Тысячи анкет с фотографиями

Знакомства

Найди свою любовь

Игры

Игры

Онлайн флеш игры

временная фотография

Из Олайне...

Новости мира открытых систем

Я очень дружу с Linux, чего и вам желаю...Поэтому самые свежие новости открытых систем и публикуются, огромное спасибо автору.


Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP


Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.

Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).

В случае Ростелекома вопросы вызывает присутствие известных финансовых сервисов в списке перенаправленных сетей (случайные утечки обычно менее избирательны) и то, что характер префиксов свидетельствует о ручном изменении таблиц маршрутизации, а не типичной утечке анонсов по цепочке "BGP - OSPF - BGP"). Тем не менее, скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.

Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов (возможно, ошибка была совершена в ходе настройки внутреннего мониторинга/зеркалирования проходящего через Ростелеком трафика для всплывших автономных систем, как в своё время заворачивание в Пакистане подсетей YouTube на null-интерфейс привело к появлению этих подсетей в BGP анонсах и стеканию трафика YouTube в Пакистан). В случае получения доступа к транзитному трафику Visa и MasterCard дешифровка почти исключена, но имеется возможность изучить характер трафика и источники запросов, что может быть использовано для проведения целевых атак на менее защищённые партнёрские компании.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46469

Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx


В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена уязвимость (CVE-2017-8301), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx и IRC-сервер InspIRCd. Уязвимость выявлена разработчиками дистрибутива Alpine Linux.

Проблема проявляется начиная с выпуска LibreSSL 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится в процессе разработки. Подключение с некорректным сертификатом возможно только если callback-обработчик всегда возвращает значение 1 и следом результат верификации оценивается через вызов функции SSL_get_verify_result(). Проблема может затрагивать как серверы, к которым выполняется подключение по клиентским сертификатам, так и клиентское ПО, проверяющее сервер по серверному сертификату.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46468

Статус подготовки Debian 9


Разработчики Debian опубликовали новый отчёт о подготовке следующей значительной ветки Debian - "Stretch". Уже почти три месяца пакетная база Debian 9 находится на стадии полной заморозки перед релизом, при которой процесс переноса пакетов из unstable в testing полностью остановлен. В настоящее время насчитывается 143 критических для формирования релиза ошибки, при этом только одна из этих проблем помечена как блокирующая и остаётся неисправленной в Debian Sid. Точная дата релиза по-прежнему не определена, наиболее вероятно, что релиз выйдет в начале лета.

Для ускорения формирования релиза разработчики решились на компромисс и вывели обеспечение поддержки UEFI Secure Boot из категории блокирующих релиз, опасаясь того, что подгоняемая ограниченным временем команда, занимающаяся данной системой, наделает новых ошибок. Поэтому, вероятно Debian 9 выйдет без изначальной поддержки UEFI Secure Boot. В этом случае реализация данной технологии будет доведена до рабочего состояния уже после релиза.

Также опубликован отчёт от команды, занимающейся подготовкой установочных и загрузочных сборок Debian. Как уже сообщалось ранее, проект отказался от формирования для Debian 9 полных наборов образов на CD, которые включают более 80 компакт-дисков и не востребованы пользователями. Также почти полностью упразднены урезанные установочные CD-сборки с различными рабочими столами. Из CD-сборок остались только однодисковый образ с рабочим столом Xfce и сборка для загрузки пакетов по сети (netinst). Формирование полных образов на носителях DVD, Blu-Ray (BD) и двухслойном Blu-Ray (DLBD) будет продолжено для всех поддерживаемых архитектур.

Для архитектур amd64 и i386 возобновлено формирование еженедельно обновляемых Live-сборок с рабочими столами GNOME, KDE, Cinnamon, Mate, Xfce и LXDE, занимающих около 2 Гб. В отличие от прошлых выпусков в Live-сборках обеспечена поддержка загрузки на системах с UEFI. Из новых образов отмечаются сборки для развёртывании облачных систем (предлагается OpenStack) на оборудовании ARM64 и неофициальные сборки с несвободными прошивками, формируемые в формах live, netinst и DVD. К релизу также планируется завершить реорганизацию страниц загрузки на сайте проекта, что упростит навигацию по предоставляемым сборкам.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46467

Первый стабильный выпуск ветки Tor 0.3.0


Представлен выпуск инструментария Tor 0.3.0.6, используемого для организации работы анонимной сети Tor. Tor 0.3.0.6 является первым стабильным выпуском ветки 0.3.0, которая развивалась последние пять месяцев.

Основные новшества:

  • Задействована идентификация шлюзов по цифровой подписи с открытым ключом Ed25519 (вместо RSA1024), разработанной Дэниэлом Бернштейном и отличающейся очень высокой скоростью верификации и создания подписей при более высоким уровнем безопасности, чем ECDSA и DSA. Ed25519 не подвержен проблемам с коллизиями в хэшах, не чувствителен к атакам через определение скорости работы кэша (cache-timing attacks) и атакам по сторонним каналам (side-channel attacks). В настройках по умолчанию выставлен параметр AuthDirPinKeys, отклоняющий подключение узлов при совпадении RSA-ключей, но изменении ключа Ed25519;
  • Заменён алгоритм выбора и замены сторожевых узлов (guard) с целью повышения надёжности работы в низкокачественных сетях и при ограниченном числе входных узлов, а также для противодействия атакам по захвате узлов (guard-capture attack) во враждебных локальных сетях;
  • Продолжено развитие дополнительного бэкенда для скрытых сервисов нового поколения. Узлы теперь поддерживают третью версию ячеек ESTABLISH_INTRO и протокола HSDir, описанных в спецификации prop224 ("Next Generation Hidden Services"). Сервисы и клиенты пока не используют данную возможность;
  • Для противодействия атакам по деанонимизации через анализ трафика DNS (например, атака DefecTor) изменён алгоритм выбора времени жизни (TTL) записей DNS на стороне клиента и сервера. Узлы теперь возвращают одно из двух возможных значений TTL, которое принимается клиентом ограниченное время (до трёх часов).


Источник: http://www.opennet.ru/opennews/art.shtml?num=46462

Libreboot возвращается в проект GNU


Разработчики проекта Libreboot, в рамках которого развивается полностью свободное ответвление от CoreBoot, предоставляющее очищенную от бинарных вставок замену проприетарным прошивкам UEFI и BIOS, выступили с инициативой воссоединения с проектом GNU, отношения с которым были разорваны в результате конфликта в конце прошлого года. Одновременно Лия Роу (Leah Rowe), основной разработчик и основатель дистрибутива Libreboot, из-за решения которой были разорваны отношения с GNU, объявила об уходе с поста лидера проекта в пользу новой коллективной модели управления, принимающей решения на основе мнения сообщества.

Первым совместным решением стал возврат в проект GNU, за что проголосовало большинство разработчиков и представителей сообщества Libreboot. В поддержку вынесенного решения Лия заявила о готовности передать Фонду свободного ПО права на домен libreboot.org и предоставить SSH-доступ на сервер. Запрос на вступление уже отправлен в проект GNU, лидеры которого не против возвращения Libreboot, но официальное решение пока не принято.

Новая система управления Libreboot построена на принципах демократии и включает совет из 4 ключевых разработчиков, которые принимают решения коллегиально, учитывая мнение сообщества. В настоящий момент в совет вошли Лия Роу (Leah Rowe, бывший лидер), Свифт Гик (Swift Geek, активный разработчик), Paul Kocialkowski (активный разработчик) и Алиса Розенцвейг (Alyssa Rosenzweig, сисадмин и ответственная за взаимодействие с сообществом).

Дополнение: Кто-то из разработчиков Libreboot не согласился передавать домен libreboot.org Фонду СПО и теперь сообщество рассматривает передачу прав организации Software Freedom Conservancy (SFC).

Источник: http://www.opennet.ru/opennews/art.shtml?num=46461

Доступна операционная система Redox 0.2, написанная на языке Rust


Спустя два года с момента основания проекта состоялся выпуск операционной системы Redox 0.2, разработанной с использованием языка Rust и концепции микроядра. Наработки проекта распространяются под свободной лицензией MIT. После сборки систему можно опробовать при помощи VirtualBox или QEMU.

Пользовательское окружение в Redox построено на базе графической оболочки Orbital. Операционная система использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях. Для совместимости с существующими приложениями предоставляется специальная POSIX-прослойка, позволяющая запускать многие программы без портирования.

Redox развивается в соответствии с философией Unix c заимствованием некоторых идей из SeL4, Minix и Plan 9. В системе применяется принцип "все есть URL". Например, для записи в лог может использоваться URL "log://", для взаимодействия между процессами "bus://", для сетевого взаимодействия "tcp://" и т.п. Модули, которые могут быть реализованы в форме драйверов, расширений ядра и пользовательских приложений, могут регистрировать свои обработчики URL, например, можно написать модуль обращения к портам ввода/вывода и привязать его к URL "port_io://", после чего можно использовать его для доступа к 60 порту через открытие URL "port_io://60".

Проектом также развивается собственный пакетный менеджер, набор стандартных утилит (binutils, coreutils, netutils, extrautils), командная оболочка ion, vim-подобный текстовый редактор sodium и файловая система TFS, развиваемая на основе идей ZFS (модульный вариант ZFS на языке Rust). Конфигурация задаётся на языке Toml. Система поддерживает запуск на процессорах с архитектурой x86_64 c VBE-совместимой графической картой (nvidia, intel, amd), AHCI-дисками и сетевыми картами на базе чипов E1000 или RTL8168.

Из новшеств, добавленных в выпуске Redox 0.2, можно отметить:

  • Проведение оптимизации производительности;
  • Новый системный вызов sys:iostat для инспектирования открытых файлов;
  • Поддержка изменения размера и прокрутки в редакторе;
  • Расширение возможностей командной оболочки;
  • Возможность установки пакетов;
  • В графическом окружении выполнен рефакторинг панели программ.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46459

Релиз менеджера загрузки GNU GRUB 2.02


После почти пяти лет разработки официально представлен стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB 2.02 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, оборудование на основе MIPS-совместимого процессора Loongson 2E, системы Itanium, ARM, ARM64 и ARCS (SGI), устройства, использующие свободный пакет CoreBoot.

Основные новшества:

  • Добавлена поддержка новых платформ: ARM (U-Boot и EFI), ARM64 (EFI), Xen PV и Hyper-V Gen2 . Добавлена поддержка процессоров Loongson 2E, ноутбука Yeeloong 3A, отладочных USB-брелоков, little-endian powerpc, систем Oracle sun4v с vnet-устройствами. Добавлена новая платформа "none", при выборе которой собираются только пользовательские утилиты;
  • Добавлен режим проверки корректности цифровой подписи для всех файлов, загружаемых базовым образом c диска (в случае несоответствия подписи загрузка блокируется);
  • Добавлена поддержка файловых систем и разделов: CBFS (coreboot), LVM RAID1, XFS V5, поддержка LZ4 и флагов подключаемой функциональности в ZFS, сжатого HFS+, GPT PReP, ext2 64-bit, Big-endian UFS1, разделов DragonFly BSD. Налажена работа с разделами DM-RAID и LVM. Добавлен фреймворк с ФС /proc для LUKS;
  • Реализована команда "nativedisk" для использования своих драйверов вместо драйверов, предоставляемых прошивкой;
  • Добавлен модуль "progress" для отображения информации о прогрессе выполнения операции при чтении файлов;
  • Обеспечена возможность вывода информации через системный динамик с использованием азбуки морзе или используя специальный софтмодемный протокол ("spkmodem");
  • Добавлен режим монохромного вывода, соответствующий режиму "hercules" в старом GRUB;
  • Добавлена поддержка вывода с использованием coreboot framebuffer;
  • Обеспечена встроенная поддержка терминала vt100 для grub-emu, не привязанная к библиотеке curses;
  • В GUI gfxmenu добавлены новые опции для позиционирования окна терминала, выбора оформления фона, размещения изображений, прокрутки, подсветки и выбора стиля;
  • Добавлена поддержка новых загрузочных протоколов: ISO-загрузчик TrueCrypt, Apple FAT, FreeDOS, linux16. Добавлена поддержка спецификаций multiboot2 boot-services EFI, multiboot2 EFI memory map, multiboot2 full-file;
  • Улучшены сетевые возможности: обеспечена автозагрузка модулей http и tftp, повышена надёжность работы TFTP, добавлены переменные net_default_* с настройками сетевого интерфейса, улучшена поддержка IPv6;
  • Расширена поддержка Coreboot: возможность использования ФС CBFS для дисковых образов и flash, возможность запуска другого обработчика (payload), поддержка фреймбуфера, поддержка средств ведения и инспектирования логов CBMEMC, добавлены команды coreboot_boottime иlscoreboot для установки проверки времени и таблиц Coreboot;
  • В grub-mkrescue добавлена поддержка PowerPC, i386-ieee1275, sparc64, и систем с bootinfo, таких как pSeries и mips-arc. Улучшена поддержка Mac-систем Apple с CPU Intel;
  • Добавлены новые команды "efifwsetup" и "lsefi" для EFI, "cmosdump" и "cmosset" для CMOS, "pcidump" для PCI;
  • Для EFI добавлена поддержка разбора файлов конфигурации классического GRUB (Legacy);
  • В утилитах добавлена поддержка ОС AROS и Haiku;
  • Добавлена утилита grub-macbless для улучшения интеграции с прошивками компьютеров Apple в grub-install;
  • Добавлена поддержка "*-emu" для Windows и всех платформ (ранее поддерживались только i386 и x86_64);
  • Представлен новый фреймворк для анализа времени загрузки ("./configure --enable-boot-time");
  • Проведена оптимизация производительности, обеспечена инициализация LVM/mdraid и USB в асинхронном режиме без блокирования другой работы;
  • Добавлена команда "testspeed" для тестирования скорости чтения файла;
  • В средства для разработки скриптов добавлены новые команды "eval" и "tr";
  • Добавлена опция для сжатия файлов при инсталляции или создании образа;
  • Обеспечено определение системных разделов EFI (требуется os-prober 1.58);
  • В grub-mount добавлена поддержка символических ссылок на директории;
  • Утилиты grub-install, grub-mknetdir, grub-mkrescue и grub-mkstandalone переписаны на языке Си (ранее были shell-скрипты);
  • Добавлена поддержка инструментария mingw;
  • Добавлена возможность установки на EFI из ОС Windows. В grub-mkpasswd добавлена поддержка Windows;
  • Добавлена команда "file" и утилита "grub-file" для проверки типов файлов;
  • Реализован парсер файлов конфигурации syslinux;
  • Реализована экспериментальная поддержка сборки с использованием Clang;
  • Добавлена поддержка сборки и работы утилит в окружении OpenBSD.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46458

Grsecurity прекращает бесплатное распространение своих патчей


Проект grsecurity объявил о прекращении бесплатного распространения своих патчей c реализацией надстроек для усиления безопасности ядра Linux. Если с августа 2015 года было прекращено бесплатное распространение стабильных версий патчей, то отныне полностью прекращается публикация находящихся в разработке экспериментальных веток Grsecurity и патчей PaX. Поставка стабильных версий патчей платным подписчикам будет продолжена, но доступ к экспериментальной ветке теперь ограничен и будет использоваться как внутренняя платформа для разработки платной стабильной ветки. При этом сами патчи продолжают распространяться под лицензией GPLv2, т.е. получив код от Grsecurity платные подписчики вольны распространять и модифицировать стабильные патчи, но не могут использовать торговую марку "grsec" в произвольных продуктах.

Последним общедоступным выпуском стал набор патчей для ядра 4.9. Патчи для более свежих выпусков теперь будут развиваться за закрытыми дверями в рамках внутренней ветки, доступ к которой будет ограничен, но платным подписчикам, возможно, будут предоставлены бета-версии со срезами из закрытого репозитория. Сообщается, что проект продолжит ежедневное отслеживание коммитов в ядре Linux, будет адаптировать свой набор патчей для свежих выпусков ядра, ускорит процесс интеграции новых технологий защиты в Grsecurity и сфокусируется на разработке новых методов защиты. Например, планируется адаптировать патчи для архитектуры ARM64, развивать средства защиты для мобильных устройств и платформы Android, адаптировать технологию RAP стабильных ядер, реализовать проекты KERNSEAL и STRUCTGUARD.

Представителям сообщества, заинтересованным в использовании Grsecurity в своих проектах, предлагается взять на себя сопровождение патчей Grsecurity для свежих ядер Linux. Пока непонятно как повлияет прекращение публичного распространение патчей на разработку таких проектов, как Gentoo Hardened, Alpine Linux и Arch Linux, которые используют экспериментальные выпуски Grsecurity на базе свежих ядер Linux.

Напомним, что коммерциализация стабильных патчей Grsecurity в 2015 году начала развиваться в ответ на массовые злоупотребления представителями индустрии встраиваемых устройств, которые используют разработки grsecurity в своих продуктах, нарушая GPL и не соблюдая требования торговой марки, не возвращая изменения в основной проект и создавая сомнительные с точки зрения безопасности комбинированные решения. Например, применяются устаревшие ядра Linux и устаревшие патчи grsecurity, в которые внесены собственные проприетарные изменения. Подобные проблемные связки позиционируется как безопасное решение на базе Grsecurity, что негативно влияет на репутацию проекта. Кроме того, фонд Core Infrastructure Initiative (CII), отказался предоставить грант на продолжение разработки Grsecurity в текущем виде, несмотря на то, что созданные в grsecurity технологии служат основой для многих механизмов защиты в современных операционных системах и программных продуктах. Про причины ограничения доступа к экспериментальным патчам ничего не сообщается (дополнение: неофициальное пояснение причин).

Источник: http://www.opennet.ru/opennews/art.shtml?num=46457

Компания OmniTI прекращает разработку OmniOS, дистрибутива Illumos


Компания OmniTI объявила о прекращении разработки открытого дистрибутива OmniOS, построенного на базе Illumos (развиваемый сообществом форк OpenSolaris), гипервизора KVM, виртуального сетевого стека Crossbow и файловой системы ZFS. Компоненты, привязанные к инфраструктуре OmniTI, будут отключены, но работа ключевых систем пока не остановлена, код останется в открытом доступе и при желании сообщество сможет продолжить разработку своими силами.

В качестве причины сворачивания проекта называется провал инициативы по формированию сообщества для совместной разработки OmniOS. Изначально компания OmniTI планировала выступить локомотивом начальной разработки и предоставить инфраструктуру для становления независимого открытого проекта, управляемого сообществом. Но ряд организационных особенностей, таких как предоставление коммерческой поддержки клиентам, закрепил образ OmniOS в глазах сообщества как открытого проекта, подконтрольного одной коммерческой компании.

Подобное положение дел не устраивает компанию OmniTI, которая решилась на последний кардинальный шаг в попытке образовать сообщество - отстраниться от разработки. Расчёт делается на то, что если проект действительно интересен и важен для текущих пользователей, то они смогут подхватить разработку, к которой затем вернётся и OmniTI, но уже на правах обычного участника. Сообщество сможет само выбрать дальнейшее направление развития проекта, например, компания OmniTI развивала OmniOS прежде всего как платформу для высокомасштабируемых web-систем, но большинство пользователей дистрибутива применяли его для создания систем хранения. Если сообщество не удастся образовать, то оставшиеся элементы инфраструктуры будут отключены и проект окончательно прекратит своё существование.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46454

Debian прекращает поддержку FTP на своих серверах


Разработчики проекта Debian объявили о скором прекращении доступа к репозиториям пакетов с использованием протокола FTP. Поддержка FTP будет сохранена до 1 ноября, после чего публичные FTP-серверы Debian (ftp://ftp.debian.org и ftp://security.debian.org) прекратят свою работу. При этом указанные хосты останутся доступны по HTTP, т.е. в настройках репозиториев достаточно будет поменять "ftp://" на "http://" (http://ftp.debian.org, http://security.debian.org). Изменение не коснётся внутренних ресурсов ftp://ftp.upload.debian.org и ftp://security-master.debian.org/, которые останутся доступны разработчикам проекта.

В качестве причин отказа от использования FTP называется:

  • Отсутствие поддержки кэширования и систем ускорения доступа. Например, при доступе по HTTP может применяться сеть доставки контента, а для FTP задействование подобной системы невозможно, что создаёт перекосы в нагрузке на инфраструктуру;
  • Серверное ПО для FTP находится в заброшенном состоянии, неудобно в использовании и настройке. Отказ от FTP позволит сократить число публично доступных сервисов, что положительно скажется на безопасности инфраструктуры;
  • В инсталляторе FTP-серверы убраны из списка зеркал более 10 лет назад, а число Debian-пользователей FTP невелико;
  • Протокол FTP не эффективен и требует применения обходных путей при настройке межсетевых экранов и балансировщиков нагрузки.

Дополнение: Следом о прекращении поддержки FTP объявила компания NVIDIA, которая 28 апреля закроет возможность загрузки драйверов по протоколу FTP (ftp://download.nvidia.com прекратит своё существование).

Источник: http://www.opennet.ru/opennews/art.shtml?num=46448


Новинки


страницы: