Все знают, что это невозможно. Но вот приходит невежда, которому это неизвестно - он-то и делает открытие.

...

Разработчики из Google предложили разработать свою libc для LLVM
Wed, 26 Jun 2019 12:36:50 +0300

Совет директоров Apache Software Foundation покинули три видных участника
Tue, 25 Jun 2019 21:08:22 +0300

Доступна бета-версия Linux-редакции игрового движка OpenXRay
Tue, 25 Jun 2019 17:35:02 +0300

Утечка BGP-маршрутов привела к массовому нарушению связности в интернете
Tue, 25 Jun 2019 09:41:14 +0300

Представлена плата Raspberry Pi 4
Mon, 24 Jun 2019 23:24:16 +0300

Представлен people.kernel.org, сервис блогов для разработчиков ядра Linux
Mon, 24 Jun 2019 21:58:05 +0300

Canonical пересмотрела планы по прекращению поддержки архитектуры i386 в Ubuntu
Mon, 24 Jun 2019 21:07:39 +0300

Поддержка 32-разрядных библиотек в Ubuntu 19.10+ будет заимствована из Ubuntu 18.04
Sun, 23 Jun 2019 22:07:09 +0300

Инициатива для защиты Linux от патентных претензий преодолела отметку в 3000 участников
Sun, 23 Jun 2019 08:01:16 +0300

Valve отказывается от официальной поддержки Steam в Ubuntu 19.10+
Sat, 22 Jun 2019 17:35:07 +0300

Взлом внутренней сети NASA через плату Raspberry Pi
Sat, 22 Jun 2019 10:24:07 +0300

Проект VKHR развивает систему рендеринга волос в режиме реального времени
Fri, 21 Jun 2019 20:13:25 +0300

Для Firefox развивается режим блокировки виджетов социальных сетей и Firefox Proxy
Fri, 21 Jun 2019 11:50:12 +0300

Началась работа по переводу GNOME Mutter на многопоточную отрисовку
Fri, 21 Jun 2019 11:09:18 +0300

Прекращение поддержки i386 в Ubuntu приведёт к проблемам с поставкой Wine
Fri, 21 Jun 2019 09:02:12 +0300

Новости OPENNET
Новости

В серверах IBM Cloud выявлена проблема с безопасностью, позволяющая злоумышленнику заменить прошивку BMC-контроллера (Baseboard Management Controller). В контексте предоставления серверов IBM Cloud во временную аренду злоумышленник может оставить бэкдор или закладку в прошивке BMC и сохранить контроль за сервером после его освобождения, очистки и смены арендатора.

Услуга "IBM Cloud Bare Metal" подразумевает предоставление в краткосрочную аренду полноценных серверов с полным доступом к аппаратному обеспечению. Поддерживается как почасовая, так и помесячная аренда. Т.е. атакующий может арендовать сервер на час, заменить прошивку BMC и получить доступ к системам последующих арендаторов. Возможность атаки продемонстрирована на используемых в IBM Cloud серверах IBM SoftLayer, построенных на основе плат Supermicro. Утверждается, что выявленная проблема с сохранением доступа через модификацию прошивок не специфична для IBM Cloud и также может проявляться в других аналогичных облачных сервисах.

Для программной смены прошивки в BMC на платформе Supermicro использовалась особенность данных плат, из-за которой перед установкой новой прошивки не применялась проверка целостности образа прошивки по цифровой подписи. Кроме того, для замены прошивки могли быть использованы известные уязвимости, позволяющие запустить код в контексте BMC или установить обновление прошивки в обход проверки цифровой подписи производителя.

Более того, в процессе экспериментальной атаки выяснилось, что можно обойтись и без смены прошивки, так как после смены арендатора не очищались логи BMC и сохранялся прежний пароль доступа к BMC-интерфейсу. Для блокирования проблемы компания IBM ввела в практику не только очистку дисков перед передачей сервера новому арендатору, но и перезаливку прошивки BMC, очистку всех логов и генерацию индивидуального пароля доступа к BMC для каждого клиента.

Напомним, что BMC представляет собой устанавливаемый в серверах специализированный контроллер, имеющий свой CPU, память, хранилище и интерфейсы опроса датчиков, который предоставляет низкоуровневый интерфейс для мониторинга и управления серверным оборудованием. При помощи BMC независимо от работающей на сервере операционной системы можно отслеживать состояние датчиков, управлять питанием, прошивками и дисками, организовать удалённую загрузку по сети, обеспечить работу консоли удалённого доступа и т.п.

9.1216 71.3816 0.5846 62.8083

НОВОСТИ: Открыты исходные тексты языка программирования V Mon, 24 Jun 2019 10:32:15 +0300

Переведён в разряд открытых компилятор для языка V. V представляет собой компилируемый в машинный код язык со статической типизацией, сосредоточенный на решении задач по упрощению сопровождения разработки и обеспечению очень высокой скорости компиляции. Код компилятора, библиотек и сопутствующих инструментов открыт под лицензией MIT.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome