Закон Муэнча

Ничто так не способствует успешному внедрению новшеств, как отсутствие проверок.

избушко, избушко, повернись ко мне лесом к заду передом ...

В Firefox 67 будет изменён интерфейс about:config и интегрировано дополнение Firefox Monitor
Mon, 18 Feb 2019 07:47:39 +0300

В Chrome появится поддержка ссылок на отдельные слова и фразы в тексте
Sat, 16 Feb 2019 10:48:24 +0300

Развитие Fedora Atomic Host прекращено в пользу проекта Fedora CoreOS
Sat, 16 Feb 2019 09:59:34 +0300

Представлен новый интерфейс браузера Opera
Fri, 15 Feb 2019 07:53:42 +0300

Обновление пакета с ядром для Ubuntu привело к проблемам с загрузкой на некоторых ноутбуках
Mon, 11 Feb 2019 08:25:02 +0300

Google представил механизм Adiantum для быстрого шифрования накопителей
Sun, 10 Feb 2019 22:52:09 +0300

FreedomEV - открытая надстройка для информационной системы автомобилей Tesla
Sat, 09 Feb 2019 23:25:16 +0300

В SUSE/openSUSE будет отключено автоопределение нетипичных файловых систем
Sat, 09 Feb 2019 09:45:28 +0300

Проект GTK+ объявил о переименовании в GTK
Fri, 08 Feb 2019 19:31:46 +0300

Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8
Fri, 08 Feb 2019 08:59:57 +0300

В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов
Thu, 07 Feb 2019 09:47:47 +0300

Для Firefox развивается режим строгой изоляции страниц
Thu, 07 Feb 2019 09:09:44 +0300

Для Chrome реализован режим экономии ресурсов
Wed, 06 Feb 2019 12:40:48 +0300

Google опубликовал браузерное дополнение для оценки компрометации паролей
Wed, 06 Feb 2019 12:40:16 +0300

Для Fedora утверждён метод подсчёта пользователей, не использующий UUID
Wed, 06 Feb 2019 09:24:03 +0300

Новости OPENNET
Новости

Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах.

Проблема вызвана отсутствием должной проверки имени файла, которое может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле. В процессе расшифровки и проверки цифровой подписи данное имя выводится на экран или в лог, но из-за отсутствия проверки может включать управляющие символы, в том числе перевод строки и команды для манипуляции терминалом. При удачной атаке уязвимость позволяет подменить сообщение об ошибке проверки на подтверждение достоверности при выводе в терминал или осуществить подстановку несуществующей строки в лог.

В случае вызова gpg из других программ сообщения со статусом проверки цифровой подписи создаются при помощи опции "--status-fd N", где N - файловый дескриптор. Если в опцию передан номер дескриптора 2 (по умолчанию), то сообщение будет выведено в стандартный поток stderr. Злоумышленник может воспользоваться данной особенностью и скомпоновать управляющие символы в имени файла для изменения выдаваемой gpg строки с результатами проверки цифровой подписи.

Проблема пока устранена только во FreeBSD, а в дистрибутивах Linux пока остаётся неисправленной (Debian, RHEL, Ubuntu, SUSE). Проблема не затрагивает приложения, которые для вызова функций GnuPG используют библиотеку GPGME, которая применяется в большинстве современных почтовых клиентов, включая GpgOL и KMail (пользователям Mutt следует проверить, что активен режим "set crypt_use_gpgme"). Проблема также не затрагивает приложения, которые вызывают gpg без опции "--verbose" (данный режим также должен быть отключен в файле конфигурации) или с указанием отдельно выделенного файлового дескриптора в опции "--status-fd" (по умолчанию для вывода лога используется stderr). В качестве обходного пути защиты рекомендуется явно указывать опцию "--no-verbose" при вызове gpg или перенаправить вывод лога в другой файл, например "--log-file /dev/null".

В выпуске GnuPG 2.2.8 также изменено поведение, касающееся применения режима аутентифицированного шифрования (MDC - Modification Detection Codes) с целью дополнительной защиты от подмены CFB-блоков при атаках на почтовые клиенты. Попытки расшифровки сообщения без использования MDC теперь будут приводить к выводу фатальной ошибки, даже при использовании устаревших шифров. Для переведения ошибки в разряд нефатальных предупреждений следует явно указать опцию "--ignore-mdc-error". При шифровании сообщений MDC теперь используется во всех случаях, независимо от настроек и алгоритмов (для отключения можно явно указать опцию "--rfc2440"). Опции "--no-mdc-warn", "--force-mdc", "--no-force-mdc",

"--disable-mdc" и "--no-disable-mdс" отныне игнорируются.

Дополнение: Опубликован отчёт с примером практических методов эксплуатации уязвимости в Enigmail, GPGTools и python-gnupg.

0 0

НОВОСТИ: Развитие Fedora Atomic Host прекращено в пользу проекта Fedora C ... Sat, 16 Feb 2019 09:59:34 +0300

Разработчики проекта Fedora сообщили об удалении компонентов Fedora Atomic Host из репозитория Rawhide и прекращении разработки данной редакции дистрибутива. Fedora 29 станет последним выпуском с компонентами Fedora Atomic Host. После окончания цикла сопровождения Fedora 29 выпуск обновлений для Fedora Atomic Host будет полностью прекращён (ориентировочно в ноябре или декабре 2019 года).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome