The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

/ Безопасность
 - Виртуальные серверы и изолированные окружения
 - Квоты, ограничения
 - Firewall
 - Шифрование, SSH, SSL
 - Приватность
 - Вирусы, вредоносное ПО и спам
·09.08.2022 В NPM планируют использовать Sigstore для подтверждения подлинности пакетов (14)
  GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение Sigstore позволит реализовать дополнительный уровень защиты от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Например, внедряемое изменение защитит исходные тексты проектов в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом...
·07.08.2022 Для Linux предложен механизм верификации корректности работы ядра (108 +26)
  Для включения в состав ядра Linux 5.20 (возможно, ветка получит номер 6.0) предложен набор патчей с реализацией механизма RV (Runtime Verification), представляющего средства для проверки корректности работы на высоконадежных системах, гарантирующих отсутствие сбоев. Проверка производится во время выполнения через прикрепление обработчиков к точкам трассировки, сверяющих фактический ход выполнения с заранее определённой эталонной детерминированной моделью автомата, определяющего ожидаемое поведение системы...
·07.08.2022 Уязвимость в подсистеме io_uring ядра Linux, позволяющая получить права root из контейнера (88 +11)
  В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена...
·06.08.2022 Дэниэл Бернштейн подал в суд из-за утаивания NIST информации о постквантовых криптоалгоритмах (148 +78)
  Дэниэл Бернштейн (Daniel J. Bernstein), известный эксперт в области криптографии и создания защищённого ПО, разработавший такие проекты, как qmail, djbdns, NaCl, Ed25519, Curve25519 и ChaCha20-Poly1305, инициировал судебное разбирательство против правительства США, связанное с невыполнением Национальным институтом стандартов и технологий США (NIST) требований по полному раскрытию информации, связанной со стандартизацией криптоалгоритмов...
·05.08.2022 Уязвимость в HTTP-сервере muhttpd, открываяющая доступ к файлам вне рабочего каталога (74 +8)
  В HTTP-сервере muhttpd, применяемом преимущественно в маршрутизаторах и точках доступа, выявлена уязвимость (CVE-2022-31793), позволяющая неаутентифицированному атакующему через отправку специально оформленного HTTP-запроса загрузить произвольные файлы, насколько это позволяют права доступа, под которыми выполняется HTTP-сервер (во многих устройствах muhttpd запускается с правами root). Например, атакующий может получить доступа к файлам с паролями, настройками беспроводного доступа, параметрами подключения к провайдеру и закрытыми ключами...
·04.08.2022 На GitHub зафиксирована волна форков с вредоносными изменениями (53 +15)
  В GitHub выявили активность по массовому созданию форков и клонов популярных проектов, с внедрением в копии вредоносных изменений, включающих бэкдор. Поиск по имени хоста (ovz1.j19544519.pr46m.vps.myjino.ru), к которому осуществляется обращение из вредоносного кода, показал наличие в GitHub более 35 тысяч изменений, присутствующих в клонах и форках различных репозиториев, включая форки проектов crypto, golang, python, js, bash, docker и k8s...
·03.08.2022 Отобранный NIST постквантовый криптоалгоритм SIKE оказался не защищён от взлома на обычном компьютере (180 +41)
  Исследователи из Лёвенского католического университета разработали метод атаки на механизм инкапсуляции ключей SIKE (Supersingular Isogeny Key Encapsulation), который вошёл в финал конкурса постквантовых криптосистем, проводимого Национальным институтом стандартов и технологий США (SIKE был включён в число дополнительных алгоритмов, прошедших основные этапы отбора, но отправленных на доработку для устранения замечаний перед переводом в разряд рекомендованных). Предложенный метод атаки позволяет на обычном персональном компьютере восстановить значение ключа, используемого для шифрования на базе протокола SIDH (Supersingular Isogeny Diffie-Hellman), применяемого в SIKE...
·02.08.2022 Уязвимость в Rsync, позволяющая перезаписать файлы на стороне клиента (32 +12)
  В rsync, утилите для синхронизации файлов и резервного копирования, выявлена уязвимость (CVE-2022-29154), позволяющая при обращении к rsync-серверу, подконтрольному злоумышленнику, записать или перезаписать произвольные файлы в целевом каталоге на стороне пользователя. Потенциально атака также может быть совершена в результате вмешательства (MITM) в транзитный трафик между клиентом и легитимным сервером. Проблема устранена в тестовом выпуске Rsync 3.2.5pre1...
·31.07.2022 Организация прослушивания через проходящий в помещении оптический кабель (131 +44)
  Группа исследователей из университета Цинхуа (Китай) разработала технику прослушивания разговоров в помещении, в котором проходит оптический кабель, например, используемый для подключения к интернету...
·28.07.2022 Уязвимость в Samba, позволяющая поменять пароль любому пользователю (147 +18)
  Опубликованы корректирующие выпуски пакета Samba 4.16.4, 4.15.9 и 4.14.14 с устранением 5 уязвимостей. Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD...
·27.07.2022 Атака на Node.js через манипуляции с прототипами объектов JavaScript (118 +12)
  Исследователи Центра Гельмгольца по информационной безопасности (CISPA) и Королевского технологического института (Швеция) проанализировали применимость техники засорения прототипа объектов JavaScript ("prototype pollution") для создания атак на платформу Node.js и популярные приложения на её основе, приводящих к выполнению кода...
·24.07.2022 Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo (33 +3)
  В web-фреймворке Grails, предназначенном для разработки web-приложений в соответствии с парадигмой MVC на Java, Groovy и на других языках для JVM, выявлена уязвимость, позволяющая удалённо выполнить свой код в окружении, в котором выполняется web-приложение. Эксплуатация уязвимости производится через отправку специально оформленного запроса, предоставляющего атакующему доступ к ClassLoader. Проблема вызвана недоработкой в логике привязки данных (data-binding), которая используется как при создании объектов, так и при ручной привязке при помощи bindData. Проблема устранена в выпусках...
·24.07.2022 Выпуск модуля LKRG 0.9.4 для защиты от эксплуатации уязвимостей в ядре Linux (36 +16)
  Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.4 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта...
·21.07.2022 Уязвимость в ядре Linux, позволяющая обойти ограничения режима Lockdown (70 +11)
  В ядре Linux выявлена уязвимость (CVE-2022-21505), позволяющая легко обойти механизм защиты Lockdown, который ограничивает доступ пользователя root к ядру и блокирует пути обхода UEFI Secure Boot. Для обхода предлагается использовать подсистему ядра IMA (Integrity Measurement Architecture), предназначенную для проверки целостности компонентов операционной системы по цифровым подписям и хэшам...
·20.07.2022 Опубликован инструментарий для дешифровки микрокода Intel (146 +64)
  Группа исследователей безопасности из команды uCode опубликовала исходные тексты для дешифровки микрокода Intel. Для извлечения зашифрованного микрокода может использоваться техника Red Unlock, разработанная теми же исследователями в 2020 году. Предложенная возможность расшифровки микрокода позволяет исследовать внутреннюю структуру микрокода и методы реализаций машинных инструкций x86. Дополнительно, исследователями восстановлен формат обновлений с микрокодом, алгоритм шифрования и ключ, использованный для защиты микрокода (RC4)...
Следующая страница (раньше) >>



Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру