Первое правило истории

История не повторяется — это историки повторяют друг друга.

- Девушка , Ваши документы ? ...

Firefox, Chrome, Edge и Safari прекратят поддержку TLS 1.0 и TLS 1.1
Tue, 16 Oct 2018 09:09:56 +0300

Проект KDE получил пожертвование размером 300 тысяч долларов
Mon, 15 Oct 2018 19:32:24 +0300

Открытый проект Bro переименован в Zeek из-за негативной коннотации
Mon, 15 Oct 2018 14:31:08 +0300

Выпуск операционной системы MidnightBSD 1.0
Sat, 13 Oct 2018 19:53:00 +0300

Разработчики Mozilla отложили прекращение доверия к сертификатам Symantec
Fri, 12 Oct 2018 09:25:48 +0300

Организация Linux Foundation выпустила LTSI-ветку на базе ядра Linux 4.14
Fri, 12 Oct 2018 08:52:28 +0300

Компания Microsoft присоединилась к инициативе по защите Linux от патентных претензий
Wed, 10 Oct 2018 19:00:13 +0300

В Fedora 30 решено поставлять по умолчанию сборку Firefox на базе Wayland
Wed, 10 Oct 2018 08:39:46 +0300

В GNOME 3.32 будет прекращена поддержка глобального меню
Tue, 09 Oct 2018 20:21:29 +0300

Влияние несущественных изменений кода на производительность при использовании GCC
Tue, 09 Oct 2018 08:53:30 +0300

Основан проект GoodFORM, который продолжит развитие свободных модулей к СУБД Redis
Mon, 08 Oct 2018 23:13:17 +0300

Google закрывает социальную сеть Google+
Mon, 08 Oct 2018 22:10:38 +0300

В Firefox будет добавлена поддержка формата изображений WebP
Sun, 07 Oct 2018 10:37:39 +0300

Microsoft открывает часть кода игры Minecraft: Java Edition
Sun, 07 Oct 2018 10:02:26 +0300

Калифорнийский законопроект делает скрытое использование ботов нелегальным
Sat, 06 Oct 2018 14:33:46 +0300

Новости OPENNET
Новости

В скрипте интеграции с NetworkManager, входящем в состав пакета dhcp-client, предлагаемого в Red Hat Enterprise Linux и Fedora, выявлена критическая уязвимость (CVE-2018-1111), которая позволяет удалённо выполнить код с правами root. Проблема может быть эксплуатирована при обработке специально оформленного DHCP-ответа в системах c NetworkManager, настроенных на получение конфигурации сети через протокол DHCP. Проблеме присвоен наивысший уровень опасности.

Для атаки злоумышленникам необходимо разместить в локальной сети собственный DHCP-сервер, получить контроль над штатным DHCP-сервером или выполнить спуфинг отправляемых клиенту DHCP-пакетов. Пользователь также может быть атакован при попытке подключения к незаслуживающей полного доверия беспроводной сети. Уязвимость присутствует в скрипте /etc/NetworkManager/dispatcher.d/11-dhclient (или 10-dhclient в RHEL 6), который вызывается при получении каждого ответа от DHCP-сервера. Через манипуляции с содержимым ответа можно выполнить любую shell-команду с правами NetworkManager (root).

Наличие проблемы подтверждено в RHEL 6/7 и Fedora, для которых уже выпущены экстренные обновления (в Fedora исправления включены в пакеты dhcp-4.3.5-11.fc26, dhcp-4.3.6-10.fc27, dhcp-4.3.6-20.fc28 и dhcp-4.3.6-21.fc29). Другие дистрибутивы проблема не затрагивает, за исключением продуктов, производных от RHEL и Fedora, таких как CentOS. Патч сводится к замене "read opt" на "read -r opt", т.е. отключению возможности экранирования спецсимволов с использованием обратного слэша.

Код с уязвимостью:


   eval "$(
   declare | LC_ALL=C grep '^DHCP4_[A-Z_]*=' | while read opt; do
       optname=${opt%%=*}
       optname=${optname,,}
       optname=new_${optname#dhcp4_}
       optvalue=${opt#*=}
       echo "export $optname=$optvalue"
   done
   )"

65.7508 76.0540 0.5884 9.492

НОВОСТИ: Разработчики Mozilla отложили прекращение доверия к сертификатам ... Fri, 12 Oct 2018 09:25:48 +0300

Разработчики Mozilla отменили намеченное на Firefox 63 прекращение доверия к сертификатам удостоверяющего центра Symantec, и связанных с ним брендов GeoTrust, RapidSSL и Thawte. Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатов на популярных сайтах. В частности около 1% из миллиона крупнейших сайтов до сих пор используют TLS-сертификаты, выданные в Symantec, несмотря на то, что компания DigiCert, выкупившая удостоверяющий центр у Symantec, предлагает бесплатную замену сертификатов.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome