Дипломатия - это искусство говорить "хоро-о-ошая собачка", пока не найдешь камень поувесистей.

Жена с похмелья спрашивает у закодированного мужа: ...

В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla
Tue, 15 Jan 2019 21:10:37 +0300

Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN
Tue, 15 Jan 2019 10:18:08 +0300

Разработчики GTK+ 3 тестируют обновлённую тему оформления
Mon, 14 Jan 2019 23:15:44 +0300

Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения
Mon, 14 Jan 2019 23:06:52 +0300

Firefox 67 начнёт использовать отдельные профили для разных установок
Mon, 14 Jan 2019 10:15:10 +0300

В Firefox 69 планируется по умолчанию отключить поддержку Flash
Sun, 13 Jan 2019 13:19:47 +0300

Около 4.3% имеющихся монет Monero получены в результате майнинга вредоносным ПО
Sat, 12 Jan 2019 12:17:05 +0300

Проект Fedora предложил оценить новые варианты логотипа
Fri, 11 Jan 2019 11:28:49 +0300

Медиаплеер VLC преодолел рубеж в три миллиарда загрузок. Выпуск VLC 3.0.6
Fri, 11 Jan 2019 09:15:46 +0300

Google наметил на 9 июля начало массовой блокировки в Chrome неприемлемой рекламы
Thu, 10 Jan 2019 12:48:52 +0300

В DNF предлагают встроить UUID для идентификации установок Fedora
Wed, 09 Jan 2019 12:19:43 +0300

Debian тестирует поддержку UEFI Secure Boot
Tue, 08 Jan 2019 07:46:54 +0300

GitHub частично перевёл приватные репозитории в разряд бесплатной опции
Mon, 07 Jan 2019 23:21:50 +0300

NVIDIA объявила о поддержке открытого стандарта FreeSync/VESA Adaptive-Sync
Mon, 07 Jan 2019 13:15:57 +0300

Европейская комиссия учредила вознаграждение за поиск ошибок и уязвимостей в СПО
Mon, 07 Jan 2019 10:45:47 +0300

Новости OPENNET
Новости

Во входящем в состав systemd фоновом процессе systemd-networkd, реализующем компоненты для настройки параметров сети, найдена опасная уязвимость (CVE-2018-15688), которая потенциально может привести к выполнению кода при получении клиентом специально оформленного ответа от подконтрольного злоумышленнику DHCP-сервера. По умолчанию в systemd-networkd клиент DHCPv6 активируется автоматически при получении анонса от маршрутизатора IPv6 (RA, Router Advertisement).

Проблема вызвана ошибкой в коде встроенного клиента DHCPv6, в котором неверно проверялся размер временного буфера, используемого для формирования пакета, отправляемого на сервер DHCPv6. При обработке DHCP-опции server-id размером больше 493 байт в функции dhcp6_option_append_ia() возникает целочисленное переполнение, которое можно использовать для контролируемой перезаписи данных за границей буфера.

Debian и RHEL/CentOS 7 в конфигурации по умолчанию проблеме не подвержены, так как эти дистрибутивы предлагают systemd-networkd в качестве опции (например, в RHEL 7 systemd-networkd поставляется в репозитории rhel-7-server-optional-rpms). При этом в RHEL/CentOS 7 для осуществления атаки DHCPv6 должен быть явно включен на сетевом интерфейсе. В Ubuntu, Arch и Fedora Linux проблема пока остаётся неисправленной. Подверженность уязвивости openSUSE/SUSE пока уточняется.

Кроме того, сообщается о выявлении двух локальных уязвимостей в systemd:

  • CVE-2018-15687 - состояние гонки (race condition) при разыменовании символических ссылок в функции chown_one() можно использовать для смены прав доступа на любой файл в системе через манипуляцию символическими ссылками;
  • CVE-2018-15686 - некорректное использование функции fgets() в функции unit_deserialize() при выполнении вызова daemon-reexec позволяет поднять свои привилегии через запуск специально оформленного сервиса;

67.0820 76.9498 0.6174 9.9329

НОВОСТИ: В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за ... Tue, 15 Jan 2019 21:10:37 +0300

Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome