Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs. org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям.
Определение имён пакетов в закрытых репозиториях может потребоваться для совершения атаки через смешивание зависимостей, манипулирующей пересечением имён зависимостей в публичных и внутренних репозиториях. Зная, какие внутренние NPM-пакеты присутствуют в корпоративных репозиториях, атакующий может разместить пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM. Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm посчитает более приоритетным публичный репозиторий и загрузит подготовленный атакующим пакет.
GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения.
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs. org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям.
Определение имён пакетов в закрытых репозиториях может потребоваться для совершения атаки через смешивание зависимостей, манипулирующей пересечением имён зависимостей в публичных и внутренних репозиториях. Зная, какие внутренние NPM-пакеты присутствуют в корпоративных репозиториях, атакующий может разместить пакеты с теми же именами и более новыми номерами версий в публичном репозитории NPM. Если при сборке внутренние библиотеки явно не привязаны в настройках к своему репозиторию, пакетный менеджер npm посчитает более приоритетным публичный репозиторий и загрузит подготовленный атакующим пакет.
GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения.
🔥9😁1
Выпуск Wine 7.19. С момента выпуска версии 7.18 было закрыто 17 отчётов об ошибках и внесено 270 изменений.
- Добавлена возможность сохранения DOS-атрибутов файлов на диск.
- Пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.5.
- Реализована поддержка формата сжатия звука MPEG-4 (AAC).
- Закрыты отчёты об ошибках, связанные с работой игр: Resident Evil Revelations 2; Ultimate Marvel vs Capcom 3, Kheops Studio, Sonic Adventure DX (2004).
- Закрыты отчёты об ошибках, связанные с работой приложений: Visual Studio Express, .NET Framework 3.0, OpenMPT, HP Prime Virtual Calculator Emulator, Cubase 12, Windows media player, Subtitle Workshop Classic 6.1.4, AE VN Tools, AIMP 3.
- Добавлена возможность сохранения DOS-атрибутов файлов на диск.
- Пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.5.
- Реализована поддержка формата сжатия звука MPEG-4 (AAC).
- Закрыты отчёты об ошибках, связанные с работой игр: Resident Evil Revelations 2; Ultimate Marvel vs Capcom 3, Kheops Studio, Sonic Adventure DX (2004).
- Закрыты отчёты об ошибках, связанные с работой приложений: Visual Studio Express, .NET Framework 3.0, OpenMPT, HP Prime Virtual Calculator Emulator, Cubase 12, Windows media player, Subtitle Workshop Classic 6.1.4, AE VN Tools, AIMP 3.
👍15
Сформированы новые загрузочные сборки дистрибутива Void Linux, который является самостоятельным проектом, не использующим наработки других дистрибутивов и разрабатываемый с применением непрерывного цикла обновления версий программ (rolling-обновления, без отдельных релизов дистрибутива).
Кроме появления актуальных загрузочных образов на основе более свежего среза системы обновление сборок функциональных изменений не несёт и их использование имеет смысл только для новых установок.
Кроме появления актуальных загрузочных образов на основе более свежего среза системы обновление сборок функциональных изменений не несёт и их использование имеет смысл только для новых установок.
🎉7👍4🥴3
В библиотеке LibKSBA выявлена критическая уязвимость (CVE-2022-3515), приводящая к целочисленному переполнению и записи произвольных данных за пределы выделенного буфера при разборе структур ASN.1, используемых в S/MIME, X.509 и CMS.
Проблема усугубляется тем, что библиотека Libksba используется в пакете GnuPG и уязвимость может привести к удалённому выполнению кода атакующего при обработке в GnuPG (gpgsm) зашифрованных или подписанных данных из файлов или почтовых сообщений, использующих S/MIME. В простейшем случае для атаки на жертву, использующую почтовый клиент с поддержкой GnuPG и S/MIME, достаточно отправить специально оформленное письмо.
Уязвимость также может использоваться для атаки на серверы dirmngr, занимающиеся загрузкой и разбором списков отозванных сертификатов (CRLs) и верификацией сертификатов, применяемых в TLS.
Уязвимость устранена в выпуске Libksba 1.6.2 и в бинарных сборках GnuPG 2.3.8.
Проблема усугубляется тем, что библиотека Libksba используется в пакете GnuPG и уязвимость может привести к удалённому выполнению кода атакующего при обработке в GnuPG (gpgsm) зашифрованных или подписанных данных из файлов или почтовых сообщений, использующих S/MIME. В простейшем случае для атаки на жертву, использующую почтовый клиент с поддержкой GnuPG и S/MIME, достаточно отправить специально оформленное письмо.
Уязвимость также может использоваться для атаки на серверы dirmngr, занимающиеся загрузкой и разбором списков отозванных сертификатов (CRLs) и верификацией сертификатов, применяемых в TLS.
Уязвимость устранена в выпуске Libksba 1.6.2 и в бинарных сборках GnuPG 2.3.8.
🤬11🤣3👍2😢2
Первый выпуск libcamera, стека для поддержки камер в Linux
После четырёх лет разработки сформирован первый выпуск проекта libcamera (0.0.1). Он предлагает программный стек для работы с видеокамерами, фотокамерами и TV-тюнерами в Linux, Android и ChromeOS, продолжает развитие API V4L2 и со временем заменит его. Код проекта написан на C++ и распространяется под лицензией LGPLv2.1.
Проект развивается с целью нормализации ситуации с поддержкой в Linux камер для смартфонов и встраиваемых устройств, которые привязаны к проприетарным драйверам. Уже имеющийся в ядре Linux API V4L2 в своё время был создан в расчёте на работу с традиционными обособленными web-камерами и плохо адаптирован для появившейся в последнее время тенденции выноса функциональности MCU на плечи CPU.
Библиотека также предоставляет доступ к алгоритмам для обработки и улучшения качества изображений и видео (корректировка баланса белого, устранение шума, стабилизация видео, автофокус, выбор экспозиции и т.п.), которые могут подключаться в виде открытых внешних библиотек или проприетарных изолированных модулей.
После четырёх лет разработки сформирован первый выпуск проекта libcamera (0.0.1). Он предлагает программный стек для работы с видеокамерами, фотокамерами и TV-тюнерами в Linux, Android и ChromeOS, продолжает развитие API V4L2 и со временем заменит его. Код проекта написан на C++ и распространяется под лицензией LGPLv2.1.
Проект развивается с целью нормализации ситуации с поддержкой в Linux камер для смартфонов и встраиваемых устройств, которые привязаны к проприетарным драйверам. Уже имеющийся в ядре Linux API V4L2 в своё время был создан в расчёте на работу с традиционными обособленными web-камерами и плохо адаптирован для появившейся в последнее время тенденции выноса функциональности MCU на плечи CPU.
Библиотека также предоставляет доступ к алгоритмам для обработки и улучшения качества изображений и видео (корректировка баланса белого, устранение шума, стабилизация видео, автофокус, выбор экспозиции и т.п.), которые могут подключаться в виде открытых внешних библиотек или проприетарных изолированных модулей.
👍30🔥1
Уязвимость в подсистеме io_uring ядра Linux, позволяющая повысить привилегии в системе
В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-2602), позволяющая непривилегированному пользователю получить права root в системе.
▪️Наличие проблемы подтверждено в ветке 5.4 и ядрах начиная с ветки 5.15.
Уязвимость вызвана обращением к уже освобождённому блоку памяти в подсистеме io_uring, которое возникает в результате состояния гонки при обработке запроса io_uring над целевым файлом во время выполнения сборки мусора для Unix-сокетов, если сборщик мусора освобождает все зарегистрированные файловые дескрипторы и файловый дескриптор с которым работает io_uring.
▫️Для искусственного создания условий проявления уязвимости можно задержать запрос при помощи userfaultfd до момента, когда сработает освобождение памяти сборщиком мусора.
Выявившие проблему исследователи объявили о создании рабочего эксплоита, который намерены опубликовать 25 октября, чтобы дать пользователям время на установку обновлений. Исправление пока доступно в виде патча. Обновления для дистрибутивов пока не выпущены.
В реализации интерфейса асинхронного ввода/вывода io_uring, входящего в ядро Linux начиная с выпуска 5.1, выявлена уязвимость (CVE-2022-2602), позволяющая непривилегированному пользователю получить права root в системе.
▪️Наличие проблемы подтверждено в ветке 5.4 и ядрах начиная с ветки 5.15.
Уязвимость вызвана обращением к уже освобождённому блоку памяти в подсистеме io_uring, которое возникает в результате состояния гонки при обработке запроса io_uring над целевым файлом во время выполнения сборки мусора для Unix-сокетов, если сборщик мусора освобождает все зарегистрированные файловые дескрипторы и файловый дескриптор с которым работает io_uring.
▫️Для искусственного создания условий проявления уязвимости можно задержать запрос при помощи userfaultfd до момента, когда сработает освобождение памяти сборщиком мусора.
Выявившие проблему исследователи объявили о создании рабочего эксплоита, который намерены опубликовать 25 октября, чтобы дать пользователям время на установку обновлений. Исправление пока доступно в виде патча. Обновления для дистрибутивов пока не выпущены.
😁6👍1
Выпуск Ubuntu 22.10
Доступен релиз дистрибутива Ubuntu 22.10 "Kinetic Kudu", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Некоторые изменения:
- Рабочий стол обновлён до выпуска GNOME 43, в котором появился блок с кнопками для быстрого изменения наиболее часто используемых настроек, продолжен перевод приложений на использование GTK 4 и библиотеки libadwaita, обновлён файловый менеджер Nautilus, добавлены настройки безопасности оборудования и прошивок, возвращена поддержка самодостаточных web-приложений в формате PWA (Progressive Web Apps).
- Произведён переход на использование по умолчанию мультимедийного сервера PipeWire для обработки звука.
- По умолчанию предложен новый текстовый редактор "GNOME Text Editor", реализованный с использованием GTK 4 и библиотеки libadwaita.
И другие изменения
Доступен релиз дистрибутива Ubuntu 22.10 "Kinetic Kudu", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Некоторые изменения:
- Рабочий стол обновлён до выпуска GNOME 43, в котором появился блок с кнопками для быстрого изменения наиболее часто используемых настроек, продолжен перевод приложений на использование GTK 4 и библиотеки libadwaita, обновлён файловый менеджер Nautilus, добавлены настройки безопасности оборудования и прошивок, возвращена поддержка самодостаточных web-приложений в формате PWA (Progressive Web Apps).
- Произведён переход на использование по умолчанию мультимедийного сервера PipeWire для обработки звука.
- По умолчанию предложен новый текстовый редактор "GNOME Text Editor", реализованный с использованием GTK 4 и библиотеки libadwaita.
И другие изменения
👍22👎7❤3
AntiX 22 построен на пакетной базе Debian и ориентирован для установки на устаревшее оборудование. Выпуск основан на пакетной базе Debian 11, но поставляется без системного менеджера systemd и с eudev вместо udev. Для инициализации на выбор могут использоваться runit или sysvinit. Сборки подготовлены для архитектур x86_64 и i386.
В новом выпуске:
- Обновлены версии программ, включая ядро Linux 4.9.0-326, IceWM 3 и seamonkey 2.53.14.
- Многие пакеты Debian, в том числе apt, cups, dbus, gvfs, openssh, policykit-1, procps, pulseaudio, rpcbind, rsyslog, samba, sane-backends, udisks2, util-linux, webkit2gtk и xorg-server, пересобраны и избавлены от привязок к libsystemd0 и libelogind0.
- Улучшена локализация.
- Из поставки удалён mps-youtube.
- Modem-manager заменён на Sakis3G.
- Вместо elogind, libpam-elogind и libelogind0 для управления пользовательскими сеансами задействованы seatd и consolekit.
В новом выпуске:
- Обновлены версии программ, включая ядро Linux 4.9.0-326, IceWM 3 и seamonkey 2.53.14.
- Многие пакеты Debian, в том числе apt, cups, dbus, gvfs, openssh, policykit-1, procps, pulseaudio, rpcbind, rsyslog, samba, sane-backends, udisks2, util-linux, webkit2gtk и xorg-server, пересобраны и избавлены от привязок к libsystemd0 и libelogind0.
- Улучшена локализация.
- Из поставки удалён mps-youtube.
- Modem-manager заменён на Sakis3G.
- Вместо elogind, libpam-elogind и libelogind0 для управления пользовательскими сеансами задействованы seatd и consolekit.
👍21👎2🥰2🔥1
Разработчик открытого Linux-драйвера для GPU Apple AGX, используемого в чипах Apple M1, сообщил об успешном прохождении 99.3% тестов из набора dEQP-GLES2, проверяющего уровень поддержки спецификации OpenGL ES 2. В работе использованы два компонента: DRM-драйвер для ядра Linux, написанный на языке Rust, и драйвер для Mesa, написанный на языке Си.
❤🔥34🔥4
Линус Торвальдс предложил прекратить поддержку CPU i486 в ядре Linux
В ходе обсуждения обходных путей работы на процессорах x86, не поддерживающих инструкцию "cmpxchg8b", Линус Торвальдс заявил, что возможно настало время объявить наличие данной инструкции обязательным для работы ядра и отказаться от поддержки процессоров i486, не поддерживающих "cmpxchg8b", вместо того чтобы пытаться эмулировать работу данной инструкции на процессорах, которые уже никто не использует.
В настоящее время почти все дистрибутивы Linux, продолжающие поддержку 32-разрядных систем x86, перешли на сборку ядра с опцией X86_PAE, требующей наличия поддержки "cmpxchg8b".
По мнению Линуса с точки зрения поддержки в ядре процессоры i486 потеряли актуальность, несмотря на то, что они всё ещё встречаются в обиходе. В определённый момент процессоры становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. Пользователи, у которых остаются системы с процессорами i486, смогут использовать LTS-выпуски ядра, которые будут сопровождаться ещё много лет.
Прекращение поддержки классических i486 не затронет выпускавшиеся компанией Intel встроенные процессоры Quark, которые хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b". То же самое относится и к процессорам Vortex86DX. Поддержка процессоров i386 была прекращена в ядре 10 лет назад.
В ходе обсуждения обходных путей работы на процессорах x86, не поддерживающих инструкцию "cmpxchg8b", Линус Торвальдс заявил, что возможно настало время объявить наличие данной инструкции обязательным для работы ядра и отказаться от поддержки процессоров i486, не поддерживающих "cmpxchg8b", вместо того чтобы пытаться эмулировать работу данной инструкции на процессорах, которые уже никто не использует.
В настоящее время почти все дистрибутивы Linux, продолжающие поддержку 32-разрядных систем x86, перешли на сборку ядра с опцией X86_PAE, требующей наличия поддержки "cmpxchg8b".
По мнению Линуса с точки зрения поддержки в ядре процессоры i486 потеряли актуальность, несмотря на то, что они всё ещё встречаются в обиходе. В определённый момент процессоры становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. Пользователи, у которых остаются системы с процессорами i486, смогут использовать LTS-выпуски ядра, которые будут сопровождаться ещё много лет.
Прекращение поддержки классических i486 не затронет выпускавшиеся компанией Intel встроенные процессоры Quark, которые хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b". То же самое относится и к процессорам Vortex86DX. Поддержка процессоров i386 была прекращена в ядре 10 лет назад.
👍47👎5🤔3😢1