Ничто не хорошо настолько, чтобы где-то не нашелся кто-то, кто это ненавидит.

- Хочу такую работу как у Деда Мороза! Сутки через 364... ...

Amazon выпустил Corretto, дистрибутив OpenJDK с длительным сроком поддержки
Fri, 16 Nov 2018 21:56:19 +0300

Время поддержки Ubuntu 18.04 увеличено до 10 лет
Thu, 15 Nov 2018 22:28:55 +0300

Представлена новая плата Raspberry Pi 3 Model A+
Thu, 15 Nov 2018 12:31:03 +0300

Подведены итоги выборов технического совета Linux Foundation
Thu, 15 Nov 2018 09:18:07 +0300

Debian запрещает использование в пакетах секции со специфичными для вендоров патчами
Wed, 14 Nov 2018 09:03:34 +0300

В Chrome развивается API для создания полноценных пользовательских приложений
Mon, 12 Nov 2018 23:58:04 +0300

Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
Mon, 12 Nov 2018 21:15:57 +0300

Red Hat перевёл проект Ceph под покровительство Linux Foundation
Mon, 12 Nov 2018 18:26:46 +0300

HTTP поверх протокола QUIC будет стандартизирован как HTTP/3
Mon, 12 Nov 2018 08:27:27 +0300

Опубликован стандарт параллельного программирования OpenMP 5.0
Fri, 09 Nov 2018 10:49:14 +0300

Свободный проект Manuel Bastioni Laboratory закрывается
Fri, 09 Nov 2018 10:11:44 +0300

Samsung опубликовал Linux-окружение для смартфонов и планшетов с адаптером DeX
Fri, 09 Nov 2018 08:33:53 +0300

GitHub преодолел рубеж в 100 млн репозиториев
Thu, 08 Nov 2018 19:13:13 +0300

В Firefox тестируют поддержку сохранения в облачные хранилища
Thu, 08 Nov 2018 11:32:23 +0300

Пользователи столкнулись с невозможностью установить Linux на новые iMac и MacBook
Wed, 07 Nov 2018 19:57:56 +0300

Новости OPENNET
Новости

Компания Qualys опубликовала результаты аудита набора procps-ng, включающего библиотеку libprocps и утилиты для работы с псевдофайловой системой /proc (например, в состав входят такие утилиты как free, kill, pgrep, pmap, ps, sysctl, top, uptime, vmstat, w и watch). В ходе исследования выявлено 7 уязвимостей, из которых две могут привести к повышению своих привилегий в системе, а одна позволяет скрывать непривилегированные процессы. Проблемы пока остаются неисправленными в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE).

  • CVE-2018-1124 - локальное повышение привилегий из-за целочисленного переполнения в функции file2strvec(), поставляемой в библиотеке libprocps и занимающейся разбором содержимого /proc/PID/cmdline. Атакующий может эксплуатировать уязвимость во время запуска администратором или другим пользователем утилит pgrep, pidof и pkill (другие утилиты могут быть эксплуатированы в зависимости от используемых опций). В том числе атакующий может эксплуатировать узявимость находясь в изолированном контейнере или в chroot. Атака производится через создание специально оформленного содержимого буфера с аргументами командной строки процесса, обработка которого в file2strvec может привести к переполнению буфера и выполнению кода (сообщается, что имеется рабочий прототип эксплоита, который пока не опубликован);
  • CVE-2018-1120 - атакующий может блокировать работу утилит ps, pgrep, pidof, pkill и w, например для скрытия своих манипуляций от анализа. Атака производится через запуск процесса, в котором для структуры со списком аргументов командной строки выполняется mmap на файл в примонтированной файловой системе FUSE (в итоге блокируются операции чтения /proc/PID/cmdline);
  • CVE-2018-1121 - непривилегированный атакующий может скрыть процесс от утилит procps через инициирование отказа в обслуживании (например, целочисленного переполнения в функции file2strvec) или состояния гонки во время выполнения proc_pid_readdir(), осуществляющего упорядоченное чтение содержимого /proc/PID;
  • CVE-2018-1122 - повышение привилегий в системе при запуске утилиты top в подконтрольном атакующему каталоге (например, в /tmp) через подмену файла конфигурации (top пытается прочитать файл конфигурации из текущего каталога) на специально оформленный файл, эксплуатирующий
  • уязвимости в функции config_file();
  • CVE-2018-1123 - атакующий может блокировать работу утилиты ps для всех пользователей, переполнив буфер вывода;
  • CVE-2018-1125 - потенциальное переполнение стека в утилите pgrep;
  • CVE-2018-1126 - использование size_t вместо типа unsigned int в функции разбора /proc.

65.9931 74.9022 0.5827 9.4987

НОВОСТИ: Выпуск дистрибутива Slax 9.6 Fri, 16 Nov 2018 08:13:10 +0300

Доступен релиз компактного Live-дистрибутива Slax 9.6. Начиная с прошлого года дистрибутив переведён с наработок проекта Slackware на пакетную базу Debian, пакетный менеджер APT и систему инициализации systemd. Графическое окружение построено на основе оконного менеджера FluxBox и рабочего стола/интерфейса запуска программ xLunch, специально разработанного для Slax участниками проекта.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome