Уотергейтский принцип

О коррупции в правительстве всегда сообщается в прошедшем времени.

Интеллигентная семья продаст двух фортепьянов и одну роялю. Мешаются в калидоре ...

Перед GTK+ 4 планируется сформировать внеплановый выпуск GTK+ 3.24
Sun, 24 Jun 2018 18:06:52 +0300

Компания Oracle передала сообществу Apache 1.5 млн строк кода NetBeans
Fri, 22 Jun 2018 09:25:33 +0300

Начальный план разработки Qt 6
Thu, 21 Jun 2018 22:26:33 +0300

Разработчики Netfilter официально объявили инструментарий iptables устаревшим
Thu, 21 Jun 2018 14:18:47 +0300

Blender тестирует децентрализованный PeerTube после блокировки видео на YouTube
Wed, 20 Jun 2018 20:35:28 +0300

Представлен проект Fedora CoreOS
Wed, 20 Jun 2018 19:05:49 +0300

В OpenBSD добавлен код программного отключения SMT (HyperThreading)
Wed, 20 Jun 2018 12:11:25 +0300

В рамках проекта Devilution предпринята попытка воссоздания кода игры Diablo
Tue, 19 Jun 2018 13:06:26 +0300

Проекту FreeBSD исполнилось 25 лет
Tue, 19 Jun 2018 12:18:37 +0300

Открыт код C++ компилятора Zapcc
Mon, 18 Jun 2018 11:26:24 +0300

Установочный скрипт проекта yandex-disk-indicator удалял раздел /usr
Sun, 17 Jun 2018 20:11:45 +0300

Mozilla рассматривает возможность создания системы голосовой навигации для браузера
Sun, 17 Jun 2018 13:27:14 +0300

Разбор ситуации с обвинением OpenBSD в нарушении эмбарго при исправлении уязвимости KRACK
Sat, 16 Jun 2018 08:46:44 +0300

Подготовленный в Microsoft deb-пакет с Open R принудительно заменяет /bin/sh на bash
Thu, 14 Jun 2018 20:15:07 +0300

В Chrome будет прекращена поддержка установки дополнений по запросу сторонних сайтов
Thu, 14 Jun 2018 12:04:29 +0300

Новости OPENNET
Новости

Представлены корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости, одна из которых может быть использована для запуска кода злоумышленника при обращении к вредоносному репозиторию. Обновления пакетов с устранением проблемы выпущены для Debian и Fedora, и ожидаются для RHEL, Ubuntu и SUSE.

  • CVE-2018-11235 - возможность выхода за границы базового каталога репозитория через использование символов "../" в относительном пути к субмодулю, определённому в файле ".gitmodules". Штатно субмодули размещаются внутри собственного каталога .git/modules/, но благодаря уязвимости имеется возможность выхода за его пределы при выполнении операции извлечения субмодуля.
  • При обращении пользователя к контролируемому злоумышленником репозиторию возможна организация атаки по созданию/переписи файла вне каталога

    ".git" с правами текущего пользователя. Атака может быть доведена до запуска кода на сервере при рекурсивном клонировании вредоносного репозитория, например, через подстановку скрипта post-checkout в файл .git/config. Для эксплуатации уязвимости клиент обязательно должен выполнить "git clone --recurse-submodules" или "git clone --recursive", при простом клонировании без субмодулей проблема не проявляется;
  • CVE-2018-11233 - чтение случайных частей памяти процесса git через создание в файловой системе NTFS специально оформленных путей.

Дополнительно в новых выпусках добавлена возможность блокирования на стороне сервера push-операций с попыткой создания проблемного файла .gitmodules в качестве превентивной меры защиты от добавления вредоносных репозиториев в системах совместного хостинга кода. Режим блокировки включается наряду с другими мерами усиления защиты при наличии параметра receive.fsckObjects в настройках на стороне сервера. Например, ранее подобным образом уже было запрещено создание каталога ".GIT" с изменением регистра символов.

63.2396 73.7247 0.5739 9.7368

НОВОСТИ: Разработчики Netfilter официально объявили инструментарий iptabl ... Thu, 21 Jun 2018 14:18:47 +0300

На прошедшей в конце прошлой недели в Берлине конференции Netfilter workshop, объединившей разработчиков Linux-подсистемы фильтрации и модификации пакетов Netfilter, было принято решение о переводе семейства программ iptables (включая ip6tables, arptables и ebtables) в разряд устаревших, что отразится в именах соответствующих бинарных файлов.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome