The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

/ Безопасность
 - Виртуальные серверы и изолированные окружения
 - Квоты, ограничения
 - Firewall
 - Шифрование, SSH, SSL
 - Приватность
 - Вирусы, вредоносное ПО и спам
·03.02.2023 Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации (53 +8)
  Опубликован релиз OpenSSH 9.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость, приводящая к двойному освобождению области памяти на стадии до прохождения аутентификации. Уязвимости подвержен только выпуск OpenSSH 9.1, в более ранних версиях проблема не проявляется...
·30.01.2023 В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom (72 +18)
  GitHub раскрыл сведения о компрометации репозиториев, в которых велась разработка приложений GitHub Desktop и Atom. Среди прочего, атакующим удалось получить доступ к сертификатам, используемым в GitHub Actions при заверении публикуемых релизов GitHub Desktop для macOS и Atom цифровой подписью. Так как ключи были дополнительно зашифрованы с использованием паролей, их использование для вредоносных действий оценивается как маловероятное, тем не менее GitHub принял решение отозвать проблемные сертификаты, что приведёт к неработоспособности некоторых версий GitHub Desktop и Atom, начиная со 2 февраля...
·29.01.2023 Зависимость времени выполнения инструкций от данных на CPU ARM и Intel (263 +10)
  Эрик Биггерс (Eric Biggers), один из разработчиков шифра Adiantum и мэйнтейнер подсистемы ядра Linux fscrypt, предложил набор патчей для блокирования проблем с безопасностью, возникающих из-за особенности процессоров Intel, не гарантирующей постоянное время выполнения инструкций для разных обрабатываемых данных. В процессорах Intel проблема проявляется начиная с семейства Ice Lake. Аналогичная проблема наблюдается и в процессорах ARM...
·29.01.2023 Intel прекратил разработку гипервизора HAXM (75 –2)
  Компания Intel опубликовала новый выпуск движка виртуализации HAXM 7.8 (Hardware Accelerated Execution Manager), после чего перевела репозиторий в архив и объявила о прекращении сопровождения проекта. Intel больше не будет принимать патчи и исправления, участвовать в разработке и формировать обновления. Лицам, желающим продолжить разработку, предложено создать форк и развивать его самостоятельно...
·27.01.2023 Выпуск web-браузера CENO 2.0, использующего P2P-сеть для обхода блокировок (50 +23)
  Компания eQualite опубликовала выпуск мобильного web-браузера CENO 2.0.0 (CEnsorship.NO), предназначенного для организации доступа к информации в условиях цензуры, фильтрации трафика или отключения сегментов интернета от глобальной сети. Браузер построен на основе движка GeckoView (применяется в Firefox для Android), расширенного возможностью обмена данными через децентрализованную P2P-сеть, в которой пользователи участвуют в перенаправлении трафика к внешним шлюзам, обеспечивающим доступ к информации в обход фильтров. Наработки проекта распространяются под лицензией MIT. Готовые сборки доступны в Google Play...
·26.01.2023 Утечка содержимого внутренних Git-репозиториев компании Яндекс (344 +61)
  Неизвестный опубликовал в открытом доступе (на форуме BreachForums) архив, включающий содержимое внутренних Git-репозиториев компании Yandex. Утверждается, что утечка произошла в июле 2022 года (внутри все файлы датированы 24 февраля 2022 года)...
·25.01.2023 Доступен OpenVPN 2.6.0 (73 +34)
  После двух с половиной лет с момента публикации ветки 2.5 подготовлен релиз OpenVPN 2.6.0, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows...
·25.01.2023 Выпуск дистрибутива Tails 5.9 (25 +7)
  Сформирован релиз специализированного дистрибутива Tails 5.9 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 ГБ...
·24.01.2023 ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux (208 +46)
  Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации...
·22.01.2023 Создатель C++ раскритиковал навязывание безопасных языков программирования (470 +100)
  Бьёрн Страуструп (Bjarne Stroustrup), создатель языка C++, опубликовал возражения против выводов, сделанных в отчёте АНБ, в котором организациям было рекомендовано отойти от использования языков программирования, таких как Си и Си++, перекладывающих управление памятью на разработчика, в пользу языков, таких как C#, Go, Java, Ruby, Rust и Swift, обеспечивающих автоматическое управление памятью или выполняющих проверки безопасной работы с памятью во время компиляции...
·21.01.2023 Уязвимость в libXpm, приводящая к выполнению кода (111 +8)
  Опубликован корректирующий выпуск библиотеки libXpm 3.5.15, развиваемой проектом X.Org и применяемой для обработки файлов в формате XPM. В новой версии устранены три уязвимости, две из которых (CVE-2022-46285, CVE-2022-44617) приводят к зацикливанию при обработке специально оформленных файлов XPM. Третья уязвимость (CVE-2022-4883) позволяет запустить произвольные команды при выполнении приложений, использующих libXpm. При запуске связанных с libXpm привилегированных процессов, например, программ с флагом suid root, уязвимость даёт возможность поднять свои привилегии...
·20.01.2023 В OpenBSD для sshd применена перекомпоновка во время загрузки (50 +17)
  В OpenBSD реализована техника защиты от эксплуатации уязвимостей, основанная на случайной перекомпоновке исполняемого файла sshd при каждой загрузке системы. Ранее подобная техника перекомпоновки применялась в отношении ядра и библиотек libc.so, libcrypto.so и ld.so, а теперь будет применена и для некоторых исполняемых файлов. В ближайшее время метод также планируется реализовать для ntpd и других серверных приложений. Изменение уже включено в состав ветки CURRENT и будет предложено в выпуске OpenBSD 7.3...
·20.01.2023 В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода (41 +6)
  Опубликованы корректирующие обновления фреймворка Ruby on Rails 7.0.4.1, 6.1.7.1 и 6.0.6.1, в которых устранено 6 уязвимостей. Наиболее опасная уязвимость (CVE-2023-22794) может привести к выполнению заданных атакующим SQL-команд при использовании внешних данных в комментариях, обрабатываемых в ActiveRecord. Проблема вызвана отсутствием необходимого экранирования спецсимволов в комментариях перед их сохранением в СУБД...
·20.01.2023 Предложен метод эксплуатации разыменования NULL-указателей в ядре Linux (134 +27)
  Исследователи из команды Google Project Zero разработали метод эксплуатации уязвимостей в ядре Linux, вызванных разыменованием указателей NULL. До сих пор проблемам в ядре, связанным с разыменованием указателей NULL, не уделялось должного внимания, так как доведение таких проблем до атак, приводящих к повышению привилегий или выполнению своего кода, считалось нереалистичным (непривилегированным процессам запрещён маппинг в нижней области адресного пространства). Как правило подобные ошибки приводят к генерации ядром oops-предупреждений, после которых проблемные задачи завершаются и состояние восстанавливается без необходимости остановки работы системы...
·20.01.2023 Уязвимость в API привела к утечке персональных данных 37 млн клиентов T-Mobile (32 +15)
  Компания T-Mobile раскрыла сведения об инциденте, в результате которого злоумышленники смогли загрузить персональные данные 37 млн клиентов. Для совершения атаки использовались недоработки в реализации API, доступного без авторизации. Вредоносная активность была обнаружена 5 января, разбор показал, что извлечение данных производилось с 25 ноября 2022 года. В руки атакующих попали такие данные как ФИО, адрес, email, номер телефона, дата рождения, номер учётной записи в T-Mobile и сведения о тарифах и оказываемых услугах. Пароли и сведения о платежах не пострадали...
Следующая страница (раньше) >>



Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру