Закон лаборатории Фетта

Никогда не пытайтесь повторить удачный эксперимент.

— У тебя организм нормально реагирует на укус ос? ...

Oracle меняет лицензию на сборки Java SE. Red Hat взял на себя сопровождение OpenJDK 8 и 11
Thu, 18 Apr 2019 07:53:55 +0300

Zend Framework перешёл под крыло организации Linux Foundation
Wed, 17 Apr 2019 20:07:21 +0300

Опубликован код старых игр Infocom, включая Zork
Tue, 16 Apr 2019 21:59:48 +0300

Результаты совместного финансирования OpenNET в 2019 году
Mon, 15 Apr 2019 20:39:04 +0300

NVIDIA открыла код системы машинного обучения, синтезирующей пейзажи по наброскам
Sat, 13 Apr 2019 08:58:21 +0300

Судебный иск против Adblock Plus, манипулирующий изменением кода на сайтах
Fri, 12 Apr 2019 23:53:15 +0300

Результат опроса предпочтений разработчиков от Stack Overflow
Thu, 11 Apr 2019 22:10:07 +0300

Google предложил блокировать загрузку некоторых файлов через HTTP по ссылкам с HTTPS-сайтов
Thu, 11 Apr 2019 14:43:18 +0300

В Firefox Beta добавлен блокировщик скриптов майнинга и скрытой идентификации
Wed, 10 Apr 2019 13:47:46 +0300

Сбор средств на поддержание ленты новостей OpenNET в 2019 году (дополнено)
Tue, 09 Apr 2019 16:03:06 +0300

Система управления конфигурацией Chef стала полностью открытым проектом
Tue, 09 Apr 2019 11:22:14 +0300

Альянс AOMedia опубликовал заявление, касающееся попыток сбора отчислений за AV1
Tue, 09 Apr 2019 07:19:53 +0300

Chrome и Safari убрали возможность отключения атрибута отслеживания кликов
Mon, 08 Apr 2019 21:48:37 +0300

В Chromium доступна отложенная загрузка iframe и изображений. Тестовый выпуск Microsoft Edge
Mon, 08 Apr 2019 20:54:12 +0300

В Wine Staging добавлены патчи для повышения производительности многопоточных игр
Sun, 07 Apr 2019 20:25:40 +0300

Новости OPENNET
Новости

В серверах IBM Cloud выявлена проблема с безопасностью, позволяющая злоумышленнику заменить прошивку BMC-контроллера (Baseboard Management Controller). В контексте предоставления серверов IBM Cloud во временную аренду злоумышленник может оставить бэкдор или закладку в прошивке BMC и сохранить контроль за сервером после его освобождения, очистки и смены арендатора.

Услуга "IBM Cloud Bare Metal" подразумевает предоставление в краткосрочную аренду полноценных серверов с полным доступом к аппаратному обеспечению. Поддерживается как почасовая, так и помесячная аренда. Т.е. атакующий может арендовать сервер на час, заменить прошивку BMC и получить доступ к системам последующих арендаторов. Возможность атаки продемонстрирована на используемых в IBM Cloud серверах IBM SoftLayer, построенных на основе плат Supermicro. Утверждается, что выявленная проблема с сохранением доступа через модификацию прошивок не специфична для IBM Cloud и также может проявляться в других аналогичных облачных сервисах.

Для программной смены прошивки в BMC на платформе Supermicro использовалась особенность данных плат, из-за которой перед установкой новой прошивки не применялась проверка целостности образа прошивки по цифровой подписи. Кроме того, для замены прошивки могли быть использованы известные уязвимости, позволяющие запустить код в контексте BMC или установить обновление прошивки в обход проверки цифровой подписи производителя.

Более того, в процессе экспериментальной атаки выяснилось, что можно обойтись и без смены прошивки, так как после смены арендатора не очищались логи BMC и сохранялся прежний пароль доступа к BMC-интерфейсу. Для блокирования проблемы компания IBM ввела в практику не только очистку дисков перед передачей сервера новому арендатору, но и перезаливку прошивки BMC, очистку всех логов и генерацию индивидуального пароля доступа к BMC для каждого клиента.

Напомним, что BMC представляет собой устанавливаемый в серверах специализированный контроллер, имеющий свой CPU, память, хранилище и интерфейсы опроса датчиков, который предоставляет низкоуровневый интерфейс для мониторинга и управления серверным оборудованием. При помощи BMC независимо от работающей на сервере операционной системы можно отслеживать состояние датчиков, управлять питанием, прошивками и дисками, организовать удалённую загрузку по сети, обеспечить работу консоли удалённого доступа и т.п.

63.9450 72.3602 0.5708 9.5633

НОВОСТИ: Выпуск Bedrock Linux 0.7.3, сочетающего компоненты различных дис ... Mon, 15 Apr 2019 08:34:05 +0300

Доступен выпуск мета-дистрибутива Bedrock Linux 0.7.3, позволяющего использовать пакеты и компоненты из различных дистрибутивов Linux, смешивая дистрибутивы в одном окружении. Системное окружение формируется из стабильных репозиториев Debian и CentOS, дополнительно можно установить более свежие версии программ, например, из Arch Linux/AUR, а также скомпилировать портежи Gentoo. Для установки сторонних проприетарных пакетов обеспечена совместимость на уровне библиотек с Ubuntu и CentOS.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome