У бібліотеці xz/liblzma виявлено бекдор, що організовує вхід через ssh

У пакеті XZ Utils, що містить бібліотеку liblzma й утиліти для роботи зі стиснутими даними у форматі .xz, виявлено бекдор CVE-2024-3094. Він дає змогу перехоплювати і модифікувати дані, оброблювані додатками, пов'язаними з бібліотекою liblzma.

Зв'язування ssh із вразливою бібліотекою дає змогу зловмисникам отримати доступ до SSH-сервера без аутентифікації.

Бекдор був присутній в офіційних випусках xz 5.6.0 і 5.6.1, опублікованих 24 лютого і 9 березня, які встигли потрапити до складу деяких дистрибутивів і репозиторіїв.

Основною метою бекдора є сервер OpenSSH, у деяких дистрибутивах пов'язаний із бібліотекою libsystemd, яка, в свою чергу, використовує liblzma.

Усім користувачам випусків xz 5.6.0 і 5.6.1 рекомендується терміново відкотитися щонайменше на версію 5.4.6, але бажано на 5.4.1, як останній випуск, опублікований минулим супроводжувальником.

Каталог Snap Store переходить на ручне рецензування нових імен пакетів (і року не минуло)

Після кількох повторюваних інцидентів із розміщенням у каталозі Snap Store шкідливих застосунків, що видають себе за офіційні клієнти відомих криптовалютних гаманців, компанія Canonical ухвалила рішення перейти на ручне рецензування всіх нових імен пакетів, які вперше розміщуються в Snap Store.

Під час реєстрації нового імені пакета буде виводитися анкета, що містить запитання про призначення і джерело збірки.

Обліковий запис буде активуватися тільки після ручного рецензування заявки, проведеного для відсіювання підозрілих імен. Перевірка займатиме до двох робочих днів. Під заборону потраплять імена, що мають відношення до криптовалют і деяких критичних видів додатків.

Для реєстрації імен подібних програм застосовуватиметься окрема процедура, правила проходження якої обіцяють опублікувати найближчими днями.

Eксперти з кібербезпеки GitGuardian з'ясували, що у 2023 році користувачі GitHub випадково розкрили 12,8 млн аутентифікаційних і конфіденційних токенів API. Витоки сталися в більш ніж 3 млн загальнодоступних репозиторіїв.

Зокрема, на GitHub розкривали ключі Google API і Google Cloud, MongoDB, токени ботів OpenWeatherMap і Telegram, облікові дані MySQL і PostgreSQL, а також ключі OAuth GitHub. 91,6% даних були доступні п'ять і більше днів.

Тренди розкриття даних визначаються і розвитком ШІ. Так, кількість витоків ключів API OpenAI на GitHub зросла в 1212 разів порівняно з 2022 роком. У HuggingFace також різко зросла кількість витоків.

З 1 березня GitHub за замовчуванням активувала захист від примусового надсилання push-сповіщень для всіх загальнодоступних репозиторіїв під час надсилання нового коду. Це дасть змогу запобігти випадковому розкриттю даних, зокрема токенів доступу та ключів API.

Реліз операційної системи NetBSD 10.0

Через півтора року після формування минулого оновлення опубліковано реліз операційної системи NetBSD 10. Для завантаження підготовлено інсталяційні образи розміром 630 МБ, доступні в збірках для 57 системних архітектур і 16 різних сімейств CPU.

Нова гілка містить низку суттєвих поліпшень:

- Додано підтримку списків контролю доступу у файловій системі FFS
- Додано мережевий інтерфейс wg з реалізацією VPN, сумісного з WireGuard;
- Оновлено графічні драйвери для GPU Intel, NVIDIA і AMD для систем x86.
- Підсистему DRM/KMS синхронізовано з Linux 5.6;
- Внесено оптимізації в систему віртуальної пам'яті;
- Додано підтримку шифрування дисків із використанням алгоритму Adiantum, що дає змогу досягти високої ефективності на системах без апаратного прискорення шифрування AES;
- Додано підтримку нових ARM-плат (Raspberry Pi 4, Orange Pi 5, тощо);
- У прошарок сумісності з Linux (compat_linux) додано підтримку механізмів eventfd, timerfd, POSIX-таймерів, preadv і pwritev;

- Покращено продуктивність: кеш файлових шляхів у ядрі, планувальник завдань для big.LITTLE Arm, системні виклики select і poll, ФС tmpfs. Оптимізації для x86 і AArch64. Збільшено пропускну здатність введення-виведення та мережевих операцій на AArch64;

- Оновлено версії сторонніх компонентів: ctwm 4.0.3, gcc 10.5, lua 5.4.6, OpenSSL 3.0.12, postfix 3.8.4, tmux 3. 2a, OpenSSH 9.6, X.org Server 21.1.7, BIND 9.18.24, Heimdal kerberos 7.8.0, unbound 1.19.1, wpa_supplicant 2.9, OpenLDAP 2.5.6, binutils 2.34, libfido2 1.13.0, pam-u2f 1.2.0, zlib 1.2.13;

І інші зміни.

Google видалить пошукові дані мільйонів користувачів, які використовували режим "інкогніто".

Компанія Google пообіцяла видалити назавжди неправильно зібрані особисті дані користувачів і оновити інформацію про роботу режиму "Інкогніто" в Chrome. Дотримуючись мирової угоди з позивачами з Каліфорнії, тепер в "Інкогніто" сторонні кукі блокуватимуться автоматично.

Якщо користувачі вважають, що їм завдано шкоди, вони повинні подавати позови окремо. Внутрішні документи Google виявили, що компанія знала про плутанину в питаннях приватності, пов'язаних із режимом "Інкогніто", який не був по-справжньому приватним.

Що не тиждень, то нова вразливість: у підсистемі io_uring виявлено вразливість, що дає змогу отримати привілеї root

В інтерфейсі асинхронного введення/виводу io_uring, що надається ядром Linux, виявлено вразливість (CVE-2024-0582), яка дає змогу непривілейованому користувачеві отримати права root у системі.

Для експлуатації вразливості достатньо звичайного локального доступу до системи, без необхідності маніпуляцій із просторами імен. Наразі публічно доступний експлоїт, що працює, а також докладно описано другу техніку експлуатації вразливості.

Настав час експериментів.

У вас, підписники, з'явилася чудова можливість вирішити, яку операційну систему я буду використовувати протягом тижня, а саме - ви можете запропонувати будь-яку систему(навіть найскладнішу) в рамках БСД та Лінукса у коментарях під цим постом, я створю опитування з усіма поданими системами, і виходячи з результату опитування, я встановлю певну операційку і буду користуватися нею тиждень.

Звісно, я намагатимуся інформувати про використання системи щодня, пишучи її підводні камені, баги, проблеми, недоліки і тд + напишу корисні гайди, статті, ресурси, тощо, які допомогли мені в опануванні системи. Може й відосик реалізую.

У вас є півтора дні з моменту публікації поста для написання бажаної системи в коментарях.

UPD. ЛФС не пишіть, я кукухою поїду через нього.

Землетрус у Тайвані може призвести до зростання цін на електроніку в усьому світі

Сегодня близько о 7:58 за місцевим часом біля східного узбережжя Тайваню стався землетрус магнітудою 7,4 за шкалою Ріхтера, епіцентр якого знаходився за 18 км від міста Хуалянь. Це найпотужніший землетрус, який зазнав Тайвань після землетрусу магнітудою 7,7, що стався 1999 року!

В окрузі Хуалянь сталося щонайменше 26 обвалень будівель, без електрики залишилися понад 91 000 хат.

Крім людських жертв, цей землетрус може також вплинути на виробництво чипів, потенційно викликаючи дефіцит або підвищуючи ціни на ключові компоненти.

Безліч заводів призупинили виробництво, а персонал було евакуйовано.

Це, своєю чергою, призведе до зростання цін на все, від ноутбуків до телевізорів.

Так, після землетрусу 1999 року, що стався на Тайвані, ціни на модулі DRAM підскочили більш ніж на 25 відсотків, а дефіцит зберігався протягом декількох місяців, а зараз буде ще гірше.

> Без жартів, було б круто почитати про генту

Навіть якщо Генту не виграє в голосуванні, то я в будь-якому разі напишу пост про цей дистрибутив цієї весни. Це досить цікавий і корисний дистрибутив, на які варто звернути увагу.

Тим більше, я давно цікавлюся Генту, тому хочу в найближчий місяць поставити та спробувати її .

Все буде.

Закриваю голосування. Переможцем став - Генту. Дякую, що не Вубунту 🙏🏿

Отже, до кінця цього тижня встановлю Генту з віконним менеджером (обов'язково проінформую про це свято). Пройдуся всіма аспектами у використанні системи, починаючи від програмування та ігор, закінчуючи якимись базовими і рутинними справами.

Намагатимуся інформувати про використання системи щодня, і наприкінці семиденного використання Генту я напишу огляд на систему(а може й відео зроблю, хтозна).

Оооо мляя, а мы и не думали: восени 2025 року Microsoft почне брати плату за оновлення/використання Windows 10.

Мікрософт передбачає єдиний тариф у розмірі $61 на рік. Тим, хто вирішить приєднатися до програми після її початку, доведеться заплатити навіть за пропущений період, оскільки система отримає всі раніше випущені в рамках програми патчі.

Максимальний термін додаткової підтримки Windows 10 для всіх становить три роки. Тому до 2028-го навіть великим компаніям зрештою доведеться перейти на Windows 11.

Залізні коні WOTAN JUGEND

За два роки сумлінної і безвідмовної служби на дорогах війни Донбасу машина нашого бас гітариста Юрія DOOM-а з 3 ОШБр потребує капітального ремонту ходової частини і повної заміни щеплення.

Від вас потрібні - гроші.
Для вас - Юра, окрім служби, cаме зараз працює над своєю частиною нового матеріалу МОЛОТХ, який ви почуєте до кінця цього року

Посилання на банку:
https://send.monobank.ua/jar/85PzYxDq5M

Номер картки:
5375 4112 1624 2995

Telegram планує обмежувати швидкість завантаження файлів і відео користувачам без підписки Premium

У програмному коді Telegram знайшли згадку про нову платну функцію.

Після перевитрати лімітів ГБ швидкість завантаження знизиться на годину в 10 разів, а месенджер виведе повідомлення: "Оформіть підписку Telegram Premium і підвищіть швидкість завантаження в 10 разів". І так буде щоразу при перевищенні ліміту.

Німеччина переводить 30 000 комп'ютерів на LibreOffice 🇩🇪

Земля Шлезвіг-Гольштейн на півночі Німеччини переходить із пропрієтарного Microsoft Windows і Office на вільні GNU/Linux і LibreOffice на 30 000 ПК у місцевих органах влади.

LibreOffice прийнятий кабінетом міністрів як стандартне офісне рішення в усіх напрямках, уряд дав добро на перший крок до повного цифрового суверенітету в державі, за яким підуть подальші кроки.

"Використання вільного програмного забезпечення забезпечує більший контроль і безпеку користувацьких даних.", - зазначає німецька влада.

Раніше також було доведено, що використання Microsoft 365 порушує закон ЄС про захист даних.