Debian 12 перешёл на стадию мягкой заморозки перед релизом
Разработчики Debian сообщили о переводе Debian 12 на стадию мягкой заморозки пакетной базы, при которой прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. Это вторая стадия заморозки - первая стадия была пройдена 19 января и привела к прекращению выполнения "transitions" (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing), а также прекращению обновления пакетов, необходимых для сборки (build-essential).
На 12 марта 2023 года намечена третья стадия - жёсткая заморозка, при которой процесс переноса ключевых пакетов и пакетов без autopkgtests из unstable в testing будет полностью остановлен и начнётся этап интенсивного тестирования и исправления блокирующих релиз проблем. Стадия жёсткой заморозки вводится впервые и рассматривается как необходимый промежуточный этап перед полной заморозкой, охватывающей все пакеты. Время полной заморозки пока точно не определено.
Релиз Debian 12 ожидается летом 2023 года. В настоящее время насчитывается 392 критические ошибки, блокирующие релиз (месяц назад таких ошибок было 637).
Типичный🥸 Сисадмин
Разработчики Debian сообщили о переводе Debian 12 на стадию мягкой заморозки пакетной базы, при которой прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. Это вторая стадия заморозки - первая стадия была пройдена 19 января и привела к прекращению выполнения "transitions" (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing), а также прекращению обновления пакетов, необходимых для сборки (build-essential).
На 12 марта 2023 года намечена третья стадия - жёсткая заморозка, при которой процесс переноса ключевых пакетов и пакетов без autopkgtests из unstable в testing будет полностью остановлен и начнётся этап интенсивного тестирования и исправления блокирующих релиз проблем. Стадия жёсткой заморозки вводится впервые и рассматривается как необходимый промежуточный этап перед полной заморозкой, охватывающей все пакеты. Время полной заморозки пока точно не определено.
Релиз Debian 12 ожидается летом 2023 года. В настоящее время насчитывается 392 критические ошибки, блокирующие релиз (месяц назад таких ошибок было 637).
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22👍6🔥3
Релиз Firefox 110
Состоялся релиз web-браузера Firefox 110. Кроме того, сформировано обновление ветки с длительным сроком поддержки - 102.8.0. На стадию бета-тестирования в ближайшее время будет переведена ветка Firefox 111, релиз которой намечен на 14 марта.
Типичный🦊 Сисадмин
Состоялся релиз web-браузера Firefox 110. Кроме того, сформировано обновление ветки с длительным сроком поддержки - 102.8.0. На стадию бета-тестирования в ближайшее время будет переведена ветка Firefox 111, релиз которой намечен на 14 марта.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21❤6👎2
GitHub опубликовал отчёт о блокировках в 2022 году
GitHub получил 2321 DMCA-требование, приведшее к блокировке 25387 проектов. Для сравнения, в 2021 году поступило 1828 запросов о блокировке, охвативших 19191 проект, в 2020 году - 2097 и 36901, в 2019 году - 1762 и 14371. От владельцев репозиториев поступило 44 опровержения на неправомерную блокировку.
GitHub также получил 432 запроса о раскрытии данных пользователей (в 2021 году - 335, в 2020 - 303 ).
От государственных служб поступило 6 требований удаления контента из-за нарушений локальных законодательств, все из которых были получены из России. Ни один из запросов не был выполнен.
Из-за получения жалоб на нарушения условий использования сервиса, не связанных с DMCA, GitHub скрыл 12860 учётных записей (в 2021 году - 4585, в 2020 - 4826), из которых 480 впоследствии были восстановлены.
Определённое число запросов также поступило от спецслужб США в рамках закона о негласном наблюдении в целях внешней разведки, но точное число запросов данной категории не подлежит разглашению.
За 2022 год в GitHub поступило 763 апелляций (в 2021 году - 1504, в 2020 - 2500) о необоснованных блокировках при выполнении требований по ограничению экспорта в отношении территорий подпадающих под санкции США. 603 апелляции были приняты, 153 отклонены и 7 возвращены с запросом дополнительных сведений.
Типичный🌐 Сисадмин
GitHub получил 2321 DMCA-требование, приведшее к блокировке 25387 проектов. Для сравнения, в 2021 году поступило 1828 запросов о блокировке, охвативших 19191 проект, в 2020 году - 2097 и 36901, в 2019 году - 1762 и 14371. От владельцев репозиториев поступило 44 опровержения на неправомерную блокировку.
GitHub также получил 432 запроса о раскрытии данных пользователей (в 2021 году - 335, в 2020 - 303 ).
От государственных служб поступило 6 требований удаления контента из-за нарушений локальных законодательств, все из которых были получены из России. Ни один из запросов не был выполнен.
Из-за получения жалоб на нарушения условий использования сервиса, не связанных с DMCA, GitHub скрыл 12860 учётных записей (в 2021 году - 4585, в 2020 - 4826), из которых 480 впоследствии были восстановлены.
Определённое число запросов также поступило от спецслужб США в рамках закона о негласном наблюдении в целях внешней разведки, но точное число запросов данной категории не подлежит разглашению.
За 2022 год в GitHub поступило 763 апелляций (в 2021 году - 1504, в 2020 - 2500) о необоснованных блокировках при выполнении требований по ограничению экспорта в отношении территорий подпадающих под санкции США. 603 апелляции были приняты, 153 отклонены и 7 возвращены с запросом дополнительных сведений.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12🤡7🍓2🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😱35🌚8🔥6👍2🤮2😭1
Прогресс в создании эксплоита для OpenSSH 9.1
Компания Qualys нашла способ обойти защиту malloc и double-free для инициирования передачи управления коду, используя уязвимость в OpenSSH 9.1, риск создания рабочего эксплоита для которой был определён как маловероятный. При этом возможность создания работающего эксплоита пока остаётся под большим вопросом.
Уязвимость вызвана двойным освобождением области памяти на стадии до прохождения аутентификации. Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" (или другой старый SSH-клиент) для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX". После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза.
Исследователи из Qualys в ходе манипуляций с уязвимостью смогли добиться контроля над регистром процессора "%rip", содержащим указатель на следующую инструкцию для выполнения. Разработанная техника эксплуатации позволяет передать управление в любую точку адресного пространства процесса sshd в необновлённом окружении OpenBSD 7.2, по умолчанию поставляемом с OpenSSH 9.1.
Отмечается, что предложенный прототип является реализацией лишь первой стадии атаки - для создания работающего эксплоита необходимо обойти механизмы защиты ASLR, NX и ROP, и выйти из sandbox-изоляции, что маловероятно. Для решения задачи обхода ASLR, NX и ROP требуется получить информации об адресах, чего можно добиться выявив ещё одну уязвимость, приводящую к утечке информации. Для выхода из sandbox может помочь ошибка в привилегированном родительском процессе или ядре.
Типичный👩💻 Сисадмин
Компания Qualys нашла способ обойти защиту malloc и double-free для инициирования передачи управления коду, используя уязвимость в OpenSSH 9.1, риск создания рабочего эксплоита для которой был определён как маловероятный. При этом возможность создания работающего эксплоита пока остаётся под большим вопросом.
Уязвимость вызвана двойным освобождением области памяти на стадии до прохождения аутентификации. Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" (или другой старый SSH-клиент) для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX". После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза.
Исследователи из Qualys в ходе манипуляций с уязвимостью смогли добиться контроля над регистром процессора "%rip", содержащим указатель на следующую инструкцию для выполнения. Разработанная техника эксплуатации позволяет передать управление в любую точку адресного пространства процесса sshd в необновлённом окружении OpenBSD 7.2, по умолчанию поставляемом с OpenSSH 9.1.
Отмечается, что предложенный прототип является реализацией лишь первой стадии атаки - для создания работающего эксплоита необходимо обойти механизмы защиты ASLR, NX и ROP, и выйти из sandbox-изоляции, что маловероятно. Для решения задачи обхода ASLR, NX и ROP требуется получить информации об адресах, чего можно добиться выявив ещё одну уязвимость, приводящую к утечке информации. Для выхода из sandbox может помочь ошибка в привилегированном родительском процессе или ядре.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🍾2
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁84🤣19🥴9👍3❤1🔥1🍌1
Выпуск дистрибутива Parrot 5.2 с подборкой программ для проверки безопасности.
#дистры
Доступен релиз дистрибутива Parrot 5.2, основанный на пакетной базе Debian 11 и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены несколько iso-образов с окружением MATE, предназначенных для повседневного использования, тестирования безопасности, установки на платах Raspberry Pi 4 и создания специализированных установок, например, для применения в облачных окружениях.
Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks.
Типичный🥸 Сисадмин
#дистры
Доступен релиз дистрибутива Parrot 5.2, основанный на пакетной базе Debian 11 и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены несколько iso-образов с окружением MATE, предназначенных для повседневного использования, тестирования безопасности, установки на платах Raspberry Pi 4 и создания специализированных установок, например, для применения в облачных окружениях.
Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21❤3🤡2
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥111😱26🥴10🗿7👎3🤬3😭3👍2❤1🍾1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥151👍14🗿13🥴6❤5👀5🍾1