Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя
В PuTTY, клиенте для протокола SSH, пользующегося популярностью на платформе Windows, выявлена опасная уязвимость (CVE-2024-31497), позволяющая воссоздать закрытый ключ пользователя, сгенерированный с использованием алгоритма ECDSA с эллиптической кривой NIST P-521 (ecdsa-sha2-nistp521). Для подбора закрытого ключа достаточно проанализировать примерно 60 цифровых подписей, сформированных проблемным ключом.
Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1. После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Linux / Линукс🥸
В PuTTY, клиенте для протокола SSH, пользующегося популярностью на платформе Windows, выявлена опасная уязвимость (CVE-2024-31497), позволяющая воссоздать закрытый ключ пользователя, сгенерированный с использованием алгоритма ECDSA с эллиптической кривой NIST P-521 (ecdsa-sha2-nistp521). Для подбора закрытого ключа достаточно проанализировать примерно 60 цифровых подписей, сформированных проблемным ключом.
Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1. После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤2🤔2😁1
Памятка Mikrotik Config
В ней задокументирован процесс подключения и настройки общих сценариев.
📌 https://codingpackets.com/blog/mikrotik-config-cheatsheet/
Linux / Линукс🥸
В ней задокументирован процесс подключения и настройки общих сценариев.
📌 https://codingpackets.com/blog/mikrotik-config-cheatsheet/
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15
Линус Торвальдс решил бороться с парсерами Kconfig, которые не могут правильно обрабатывать табуляции
В рамках подготовки патчей для Linux 6.9-rc4 Линус Торвальдс решил бороться с парсерами конфигурационных файлов Kconfig, которые не могут правильно обрабатывать табуляции.
Из-за того, что на прошлой неделе в очередь на обработку был поставлен патч, заменяющий табуляцию на пробел в файле трассировки ядра Kconfig (kernel tracing Kconfig file), Линус Торвальдс решил взять дело в свои руки для парсеров Kconfig, которые не могут работать с табуляциями.
Торвальдс написал патч, чтобы намеренно добавить несколько собственных табов в Kconfig, чтобы отбросить любые внешние или сторонние парсеры, которые не могут их правильно обработать.
Он намеренно добавил эти скрытые табы в общий файл Kconfig для обработки размеров страниц ядра. Таким образом, это обязательно приведёт к серьёзным и заметным ошибкам для любых парсеров, не имеющих правильную обработку табов.
Linux / Линукс🥸
В рамках подготовки патчей для Linux 6.9-rc4 Линус Торвальдс решил бороться с парсерами конфигурационных файлов Kconfig, которые не могут правильно обрабатывать табуляции.
Из-за того, что на прошлой неделе в очередь на обработку был поставлен патч, заменяющий табуляцию на пробел в файле трассировки ядра Kconfig (kernel tracing Kconfig file), Линус Торвальдс решил взять дело в свои руки для парсеров Kconfig, которые не могут работать с табуляциями.
Торвальдс написал патч, чтобы намеренно добавить несколько собственных табов в Kconfig, чтобы отбросить любые внешние или сторонние парсеры, которые не могут их правильно обработать.
Он намеренно добавил эти скрытые табы в общий файл Kconfig для обработки размеров страниц ядра. Таким образом, это обязательно приведёт к серьёзным и заметным ошибкам для любых парсеров, не имеющих правильную обработку табов.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
😁47👍20🤔4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁59👍4
Новые версии nginx 1.25.5 и форка FreeNginx 1.26.0
Сформирован выпуск основной ветки nginx 1.25.5, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.
Дополнительно можно отметить публикацию стабильной версии проекта FreeNginx 1.26.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Выпуск 1.26.0 отмечен как стабильный релиз, вобравший в себя изменения и исправления из выпусков mainline-ветки Nginx 1.25. Среди прочего в состав FreeNginx 1.26.0 вошли экспериментальная поддержка протокола HTTP/3, улучшения для противодействия DoS-атакам и исправления, связанные с асинхронной обработкой ввода/вывода.
Linux / Линукс🥸
Сформирован выпуск основной ветки nginx 1.25.5, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.
Дополнительно можно отметить публикацию стабильной версии проекта FreeNginx 1.26.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Выпуск 1.26.0 отмечен как стабильный релиз, вобравший в себя изменения и исправления из выпусков mainline-ветки Nginx 1.25. Среди прочего в состав FreeNginx 1.26.0 вошли экспериментальная поддержка протокола HTTP/3, улучшения для противодействия DoS-атакам и исправления, связанные с асинхронной обработкой ввода/вывода.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19
Please open Telegram to view this post
VIEW IN TELEGRAM
😁66💯18🤔6
Проект Gentoo запретил принятие изменений, подготовленных при помощи AI-инструментов
Управляющий совет дистрибутива Gentoo Linux утвердил правила, запрещающие принятие в Gentoo любого контента, созданного с использованием AI-инструментов, обрабатывающих запросы на естественном языке, таких как ChatGPT, Bard и GitHub Copilot. Подобные инструменты не должны использоваться при написании кода компонентов Gentoo, создании ebuild, подготовке документации и отправке отчётов об ошибках.
Новое требование может быть выборочно отменено для AI-инструментов, для которых будет доказано отсутствие проблем с авторским правом, качеством и этикой.
Linux / Линукс🥸
Управляющий совет дистрибутива Gentoo Linux утвердил правила, запрещающие принятие в Gentoo любого контента, созданного с использованием AI-инструментов, обрабатывающих запросы на естественном языке, таких как ChatGPT, Bard и GitHub Copilot. Подобные инструменты не должны использоваться при написании кода компонентов Gentoo, создании ebuild, подготовке документации и отправке отчётов об ошибках.
Новое требование может быть выборочно отменено для AI-инструментов, для которых будет доказано отсутствие проблем с авторским правом, качеством и этикой.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍53😁4
This media is not supported in your browser
VIEW IN TELEGRAM
Lazy Git – визуальный клиент Git для терминала
Инструмент написан на Go, в нём есть пакеты под популярные дистрибутивы Linux и сборка под Windows.
Начать пользоваться Git сразу на полную не всегда просто, поэтому подобные инструменты помогают привыкнуть и освоиться новичку.
📌 https://github.com/jesseduffield/lazygit
Linux / Линукс🥸
Инструмент написан на Go, в нём есть пакеты под популярные дистрибутивы Linux и сборка под Windows.
Начать пользоваться Git сразу на полную не всегда просто, поэтому подобные инструменты помогают привыкнуть и освоиться новичку.
📌 https://github.com/jesseduffield/lazygit
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🤔6🎉1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁49🤔7
Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
Организация OpenSSF выявила активность, связанную с попытками получения контроля над популярными открытыми проектами. По аналогии с атакой на xz сомнительные личности, ранее глубоко не вовлечённые в разработку, пытались использовать методы социального инжиниринга для достижения своих целей.
Например, атакующие вступили в переписку с членами управляющего совета организации OpenJS Foundation. В переписке несколько сторонних разработчиков с сомнительной историей разработки открытого ПО предпринимались попытки убедить руководство в необходимости обновить один из популярных JavaScript-проектов, курируемых организацией OpenJS. Один из разработчиков предложил включить его в число сопровождающих проект, в разработке которого он ранее принимал лишь небольшое участие. Похожие подозрительные сценарии навязывания своего кода выявлены ещё в двух популярных JavaScript-проектах, не связанных с организацией OpenJS.
📌 На что следует обращать внимание:
При приёме изменений следует воспринимать как признаки потенциально вредоносных действий попытки включения в запросы на слияние бинарных данных (например, в xz бэкдор был передан в архивах для тестирования распаковщика) или запутанного или трудного для понимания кода. Следует обращать внимание на пробные попытки внесения изменений, незначительно снижающих безопасность, отправляемые для оценки реакции сообщества и проверки наличия лиц, отслеживающих изменения (например, в xz функция Safe_fprintf была замена на fprintf). Подозрение также должны вызывать нетипичные изменения методов компиляции, сборки и развёртывания проекта, задействование сторонних артефактов и нагнетание ощущения необходимости срочного принятия изменений.
Linux / Линукс🥸
Организация OpenSSF выявила активность, связанную с попытками получения контроля над популярными открытыми проектами. По аналогии с атакой на xz сомнительные личности, ранее глубоко не вовлечённые в разработку, пытались использовать методы социального инжиниринга для достижения своих целей.
Например, атакующие вступили в переписку с членами управляющего совета организации OpenJS Foundation. В переписке несколько сторонних разработчиков с сомнительной историей разработки открытого ПО предпринимались попытки убедить руководство в необходимости обновить один из популярных JavaScript-проектов, курируемых организацией OpenJS. Один из разработчиков предложил включить его в число сопровождающих проект, в разработке которого он ранее принимал лишь небольшое участие. Похожие подозрительные сценарии навязывания своего кода выявлены ещё в двух популярных JavaScript-проектах, не связанных с организацией OpenJS.
📌 На что следует обращать внимание:
При приёме изменений следует воспринимать как признаки потенциально вредоносных действий попытки включения в запросы на слияние бинарных данных (например, в xz бэкдор был передан в архивах для тестирования распаковщика) или запутанного или трудного для понимания кода. Следует обращать внимание на пробные попытки внесения изменений, незначительно снижающих безопасность, отправляемые для оценки реакции сообщества и проверки наличия лиц, отслеживающих изменения (например, в xz функция Safe_fprintf была замена на fprintf). Подозрение также должны вызывать нетипичные изменения методов компиляции, сборки и развёртывания проекта, задействование сторонних артефактов и нагнетание ощущения необходимости срочного принятия изменений.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🤔3❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁82🤔2
OpenBSD перешёл на использование формата PAX для tar-архивов
В кодовую базу OpenBSD принято изменение, переводящее утилиту tar на использование по умолчанию формата PAX при создании архивов. Изменение войдёт в состав выпуска OpenBSD 7.6. Использование формата PAX даст возможность сохранять более длинные имена файлов, обрабатывать ссылки, использовать более точные сведения о времени и помещать в архив файлы очень большого размера.
Из минусов перехода на PAX упоминается увеличение размера несжатых архивов и ограниченная поддержка формата в экосистеме.
Linux / Линукс🥸
В кодовую базу OpenBSD принято изменение, переводящее утилиту tar на использование по умолчанию формата PAX при создании архивов. Изменение войдёт в состав выпуска OpenBSD 7.6. Использование формата PAX даст возможность сохранять более длинные имена файлов, обрабатывать ссылки, использовать более точные сведения о времени и помещать в архив файлы очень большого размера.
Из минусов перехода на PAX упоминается увеличение размера несжатых архивов и ограниченная поддержка формата в экосистеме.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🤔4
Доступна среда рабочего стола LXQt 2.0.0
LXQt позиционируется как легковесное, модульное, быстрое и удобное окружение, вобравшее лучшие черты LXDE и Razor-qt.
В процессе разработки ветки LXQt 2.0 основное внимание уделено переводу компонентов проекта и приложений с Qt 5 на использование библиотеки Qt 6.6. Для обеспечения корректного стиля оформления приложений, использующих Qt5, и работы в них предлагаемой в LXQt реализации диалога открытия файлов, предоставлена возможность установки старых библиотек libqtxdg-3.12.0, lxqt-qtplugin-1.4.1 и libfm-qt-1.4.0, параллельно с их новыми версиями из LXQt 2.0.0, использующими Qt 6. Релиз эмулятора терминала QTerminal 2.0, переведённый на Qt6, будет опубликован позднее. До этого предлагается использовать версию QTerminal 1.4 на базе Qt5.
В новой версии также проведена адаптация окружения для использования протокола Wayland. В текущем виде не все компоненты LXQt переведены на Wayland.
Linux / Линукс🥸
LXQt позиционируется как легковесное, модульное, быстрое и удобное окружение, вобравшее лучшие черты LXDE и Razor-qt.
В процессе разработки ветки LXQt 2.0 основное внимание уделено переводу компонентов проекта и приложений с Qt 5 на использование библиотеки Qt 6.6. Для обеспечения корректного стиля оформления приложений, использующих Qt5, и работы в них предлагаемой в LXQt реализации диалога открытия файлов, предоставлена возможность установки старых библиотек libqtxdg-3.12.0, lxqt-qtplugin-1.4.1 и libfm-qt-1.4.0, параллельно с их новыми версиями из LXQt 2.0.0, использующими Qt 6. Релиз эмулятора терминала QTerminal 2.0, переведённый на Qt6, будет опубликован позднее. До этого предлагается использовать версию QTerminal 1.4 на базе Qt5.
В новой версии также проведена адаптация окружения для использования протокола Wayland. В текущем виде не все компоненты LXQt переведены на Wayland.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🎉9
Please open Telegram to view this post
VIEW IN TELEGRAM
😁47🤔4👍3
Релиз видеоплеера MPV 0.38
В 2013 году он ответвился от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей, не заботясь о сохранении совместимости с MPlayer.
В новой версии:
• Продолжается развитие нового модуля вывода vo_gpu_next, построенного на основе библиотеки libplacebo и использующего шейдеры и графические API Vulkan, OpenGL, Metal или Direct3D для обработки и отрисовки видео.
• Расширены возможности, связанные с Wayland: добавлена поддержка многопользовательских окружений с несколькими клавиатурами и мышами, обеспечена корректная прокрутка с высоким разрешением, улучшено масштабирование на экранах с высокой плотностью пикселей (HiDPI), улучшена обработка изменения курсора, включено требование по использованию переменной окружения WAYLAND_DISPLAY для инициализации.
• Для скриптов добавлен API mp.input, позволяющий запросить ввод пользователем текстовых данных.
И другие изменения.
Linux / Линукс🥸
В 2013 году он ответвился от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей, не заботясь о сохранении совместимости с MPlayer.
В новой версии:
• Продолжается развитие нового модуля вывода vo_gpu_next, построенного на основе библиотеки libplacebo и использующего шейдеры и графические API Vulkan, OpenGL, Metal или Direct3D для обработки и отрисовки видео.
• Расширены возможности, связанные с Wayland: добавлена поддержка многопользовательских окружений с несколькими клавиатурами и мышами, обеспечена корректная прокрутка с высоким разрешением, улучшено масштабирование на экранах с высокой плотностью пикселей (HiDPI), улучшена обработка изменения курсора, включено требование по использованию переменной окружения WAYLAND_DISPLAY для инициализации.
• Для скриптов добавлен API mp.input, позволяющий запросить ввод пользователем текстовых данных.
И другие изменения.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19
Forwarded from Типичный Сисадмин
This media is not supported in your browser
VIEW IN TELEGRAM
Только табуляции! Даёшь отказ бекдорам! 👀
Линус отказался от "прогрессивного" предложения заменить табуляцию на пробел в разделителе параметра FTRACE_RECORD_RECURSION_SIZE в конфигурации ядра Kconfig, предпочтя добавить табуляции в другое место. Разработчик Fedora, утверждавший, что табуляции вызывают хаос, был ошеломлен этим решением. Линус, будучи сторонником разнообразия, решил, что если парсер не умеет обрабатывать табуляции, то это - его проблемы. Таким образом, ядро Linux стало не только местом для пробелов, но и для табуляций, чтобы подчеркнуть важность разнообразия и стимулировать разработчиков к исправлению своих парсеров.
Типичный🥸 Сисадмин
Линус отказался от "прогрессивного" предложения заменить табуляцию на пробел в разделителе параметра FTRACE_RECORD_RECURSION_SIZE в конфигурации ядра Kconfig, предпочтя добавить табуляции в другое место. Разработчик Fedora, утверждавший, что табуляции вызывают хаос, был ошеломлен этим решением. Линус, будучи сторонником разнообразия, решил, что если парсер не умеет обрабатывать табуляции, то это - его проблемы. Таким образом, ядро Linux стало не только местом для пробелов, но и для табуляций, чтобы подчеркнуть важность разнообразия и стимулировать разработчиков к исправлению своих парсеров.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁40👍18❤3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁77👍7🤔2
Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию
В инструментарии Flatpak, предназначенном для создания самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и изолированных от остальной системы, выявлена уязвимость (CVE-2024-32462). Она позволяет вредоносному или скомпрометированному приложению, поставляемому в пакете flatpak, обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе.
Проблема проявляется только в пакетах, использующих порталы Freedesktop (xdg-desktop-portal), применяемые для организации доступа к ресурсам пользовательского окружения из изолированных приложений. Уязвимость устранена в корректирующих обновлениях flatpak 1.15.8, 1.14.6, 1.12.9 и 1.10.9. Обходной путь для защиты также предложен в выпусках xdg-desktop-portal 1.16.1 и 1.18.4.
Linux / Линукс🥸
В инструментарии Flatpak, предназначенном для создания самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и изолированных от остальной системы, выявлена уязвимость (CVE-2024-32462). Она позволяет вредоносному или скомпрометированному приложению, поставляемому в пакете flatpak, обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе.
Проблема проявляется только в пакетах, использующих порталы Freedesktop (xdg-desktop-portal), применяемые для организации доступа к ресурсам пользовательского окружения из изолированных приложений. Уязвимость устранена в корректирующих обновлениях flatpak 1.15.8, 1.14.6, 1.12.9 и 1.10.9. Обходной путь для защиты также предложен в выпусках xdg-desktop-portal 1.16.1 и 1.18.4.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡19🎉2👍1😁1
GitHub намерен запретить размещение сомнительных проектов для создания дипфейков
GitHub опубликовал изменения правил, определяющих политику в отношении размещения проектов, которые можно использовать для создания фиктивного мультимедийного контента с целью порномести и дезинформации. Изменения пока находятся в состоянии черновика, доступного для обсуждения до 20 мая.
При этом представители GitHub намерены лояльно относиться к проектам двойного назначения, напрямую не предназначенным для злоупотреблений и не одобряющим вредоносное применение, но которые потенциально могут применяться злоумышленниками в своей деятельности. Меры реагирования будут выбираться с учётом характера проектов и разделяя использование для неправомерных и законных целей.
Linux / Линукс🥸
GitHub опубликовал изменения правил, определяющих политику в отношении размещения проектов, которые можно использовать для создания фиктивного мультимедийного контента с целью порномести и дезинформации. Изменения пока находятся в состоянии черновика, доступного для обсуждения до 20 мая.
При этом представители GitHub намерены лояльно относиться к проектам двойного назначения, напрямую не предназначенным для злоупотреблений и не одобряющим вредоносное применение, но которые потенциально могут применяться злоумышленниками в своей деятельности. Меры реагирования будут выбираться с учётом характера проектов и разделяя использование для неправомерных и законных целей.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔10👍5