Уязвимость в реализации сокетов AF_PACKET ядра Linux
Спустя три года с момента волны уязвимостей в подсистеме AFPACKET ядра Linux выявлена ещё одна проблема (CVE-2020-14386), позволяющая локальному непривилегированному пользователю выполнить код с правами root или выйти из изолированных контейнеров, при наличии в них root-доступа.
Для создания сокета AFPACKET и эксплуатации уязвимости требуется наличие полномочий CAPNETRAW. Тем не менее, указанное полномочие может быть получено непривилегированным пользователем в контейнерах, создаваемых в системах с включённой поддержкой пространств имён идентификаторов пользователей (user namespaces). Например, user namespaces по умолчанию включён в Ubuntu и Fedora, но не активирован в Debian и RHEL.
Уязвимость присутствует в функции tpacketrcv и вызвана ошибкой вычисления переменной netoff. Атакующий может создать условия, при которых в переменную netoff будет записано значение меньше переменной maclen, что вызовет переполнение при вычислении "macoff = netoff - maclen" и неверной последующей установке указателя на буфер для поступающих данных. В итоге, атакующим может быть инициирована запись от 1 до 10 байт в область за границей выделенного буфера. Отмечается, что в разработке находится эксплоит, позволяющий получить root-права в системе.
Ошибка вычисления присутствует в ядре с июля 2008 года, т.е. во всех актуальных ядрах, однако известная сейчас возможность применить ее для записи в область за границей выделенного буфера (уязвимость) предположительно была привнесена в феврале 2016 (ядра 4.6-rc1 и новее), с развитием поддержки virtionet. Исправление пока доступно в виде патча.
Источник
Новости Linux 🐧: @linux_gram
Спустя три года с момента волны уязвимостей в подсистеме AFPACKET ядра Linux выявлена ещё одна проблема (CVE-2020-14386), позволяющая локальному непривилегированному пользователю выполнить код с правами root или выйти из изолированных контейнеров, при наличии в них root-доступа.
Для создания сокета AFPACKET и эксплуатации уязвимости требуется наличие полномочий CAPNETRAW. Тем не менее, указанное полномочие может быть получено непривилегированным пользователем в контейнерах, создаваемых в системах с включённой поддержкой пространств имён идентификаторов пользователей (user namespaces). Например, user namespaces по умолчанию включён в Ubuntu и Fedora, но не активирован в Debian и RHEL.
Уязвимость присутствует в функции tpacketrcv и вызвана ошибкой вычисления переменной netoff. Атакующий может создать условия, при которых в переменную netoff будет записано значение меньше переменной maclen, что вызовет переполнение при вычислении "macoff = netoff - maclen" и неверной последующей установке указателя на буфер для поступающих данных. В итоге, атакующим может быть инициирована запись от 1 до 10 байт в область за границей выделенного буфера. Отмечается, что в разработке находится эксплоит, позволяющий получить root-права в системе.
Ошибка вычисления присутствует в ядре с июля 2008 года, т.е. во всех актуальных ядрах, однако известная сейчас возможность применить ее для записи в область за границей выделенного буфера (уязвимость) предположительно была привнесена в феврале 2016 (ядра 4.6-rc1 и новее), с развитием поддержки virtionet. Исправление пока доступно в виде патча.
Источник
Новости Linux 🐧: @linux_gram
Embox v0.4.3
1 сентября состоялся релиз 0.4.3 свободной, распространяемой под лицензией BSD, ОС реального времени для встраиваемых систем Embox:
Изменения:
Улучшения в системе сборки
-Переключились на использование абсолютных имен
-Добавлена папка ‘project’ для проектов
-Добавлена возможность подключать проекты из сторонних репозиториев и папок вне проекта
-Начата работа над подсистемой ‘device tree’
Улучшена поддержка STM32
-Добавлена поддержка cache для STM32F7
-Драйвер uart переведен на ‘device tree’
-Почищены порты для f4 & f7 серий
-Библиотеки Cube переключены на версии с github
-Добавлена поддержка UDC (usb device controller)
Улучшена поддержка RISC-V
-Добавлена поддержка платы ‘MAiX BiT’
-Улучшена подсистема таймеров
-Улучшена 64-битная версия
-Улучшена подсистема прерываний
Улучшена подсистема USB-gadget
Улучшена графическая подсистема
Улучшена поддержка библиотеки Qt4
Улучшена поддержка библиотеки OpenCV
И другие улучшения и исправления
Источник
Новости Linux 🐧: @linux_gram
1 сентября состоялся релиз 0.4.3 свободной, распространяемой под лицензией BSD, ОС реального времени для встраиваемых систем Embox:
Изменения:
Улучшения в системе сборки
-Переключились на использование абсолютных имен
-Добавлена папка ‘project’ для проектов
-Добавлена возможность подключать проекты из сторонних репозиториев и папок вне проекта
-Начата работа над подсистемой ‘device tree’
Улучшена поддержка STM32
-Добавлена поддержка cache для STM32F7
-Драйвер uart переведен на ‘device tree’
-Почищены порты для f4 & f7 серий
-Библиотеки Cube переключены на версии с github
-Добавлена поддержка UDC (usb device controller)
Улучшена поддержка RISC-V
-Добавлена поддержка платы ‘MAiX BiT’
-Улучшена подсистема таймеров
-Улучшена 64-битная версия
-Улучшена подсистема прерываний
Улучшена подсистема USB-gadget
Улучшена графическая подсистема
Улучшена поддержка библиотеки Qt4
Улучшена поддержка библиотеки OpenCV
И другие улучшения и исправления
Источник
Новости Linux 🐧: @linux_gram
Релиз дистрибутива Q4OS 3.12
Q4OS — дистрибутив Linux, основанный на Debian. Позиционируется как стабильная и не требовательная к ресурсам система. Использует среды рабочего стола Trinity и KDE Plasma. Trinity — форк KDE 3.5.
Что нового:
- В качестве базы используется Debian 10.5 Buster. Система получила все обновления Debian 10.5.
- Обновлены темы оформления для KDE Plasma. В репозиториях доступно несколько новых тем оформления.
- Добавлена тема оформления Debonaire, которая предлагает темную панель и меню приложений Kickoff.
- Исправлены проблемы при автоматическом определении оборудования от NVidia.
- Добавлена программа установки Firefox 80.
- Новые профили рабочего стола.
Доступны среды рабочего стола:
- Trinity Desktop Environment R14.0.8
- KDE Plasma 5.14.5
Видео
Источник
Новости Linux 🐧: @linux_gram
Q4OS — дистрибутив Linux, основанный на Debian. Позиционируется как стабильная и не требовательная к ресурсам система. Использует среды рабочего стола Trinity и KDE Plasma. Trinity — форк KDE 3.5.
Что нового:
- В качестве базы используется Debian 10.5 Buster. Система получила все обновления Debian 10.5.
- Обновлены темы оформления для KDE Plasma. В репозиториях доступно несколько новых тем оформления.
- Добавлена тема оформления Debonaire, которая предлагает темную панель и меню приложений Kickoff.
- Исправлены проблемы при автоматическом определении оборудования от NVidia.
- Добавлена программа установки Firefox 80.
- Новые профили рабочего стола.
Доступны среды рабочего стола:
- Trinity Desktop Environment R14.0.8
- KDE Plasma 5.14.5
Видео
Источник
Новости Linux 🐧: @linux_gram
Проект Gentoo представил систему управления пакетами Portage 3.0
Кроме прекращения поддержки Python 2.7, другим важным изменением стало включение оптимизаций, позволивших на 50-60% ускорить вычисления, связанные с определением зависимостей.
Проведение профилирования имевшегося кода показало, что основное время при вычислениях тратится на вызов функций usereduce и catpkgsplit с повторяющимся набором аргументов (например, функция catpkgsplit вызывалась от 1 до 5 млн раз). Для ускорения было применено кэширование результата работы данных функций с использованием словарей. Оптимальным для хранения кэша была встроенная функция lrucache, но она была доступна только в выпусках Python, начиная с 3.2. Для совместимости с более ранними версиями была добавлена заглушка, подменяющая lrucache, но решение о прекращении поддержки Python 2.7 в Portage 3.0 сильно упростило задачу и позволило обойтись без данной прослойки.
Использование кэша позволило снизить время выполнения операции "emerge -uDvpU —with-bdeps=y @ world" на ноутбуке ThinkPad X220 с 5 минут 20 секунд до 3 минут 16 секунд (63%). Тесты на других системах показали прирост производительности не ниже 48%.
Источник
Новости Linux 🐧: @linuxgram
Кроме прекращения поддержки Python 2.7, другим важным изменением стало включение оптимизаций, позволивших на 50-60% ускорить вычисления, связанные с определением зависимостей.
Проведение профилирования имевшегося кода показало, что основное время при вычислениях тратится на вызов функций usereduce и catpkgsplit с повторяющимся набором аргументов (например, функция catpkgsplit вызывалась от 1 до 5 млн раз). Для ускорения было применено кэширование результата работы данных функций с использованием словарей. Оптимальным для хранения кэша была встроенная функция lrucache, но она была доступна только в выпусках Python, начиная с 3.2. Для совместимости с более ранними версиями была добавлена заглушка, подменяющая lrucache, но решение о прекращении поддержки Python 2.7 в Portage 3.0 сильно упростило задачу и позволило обойтись без данной прослойки.
Использование кэша позволило снизить время выполнения операции "emerge -uDvpU —with-bdeps=y @ world" на ноутбуке ThinkPad X220 с 5 минут 20 секунд до 3 минут 16 секунд (63%). Тесты на других системах показали прирост производительности не ниже 48%.
Источник
Новости Linux 🐧: @linuxgram
Релиз VirtualBox 6.1.14
Состоялся корректирующий релиз программы VirtualBox 6.1.14, предназначенной для создания виртуальных машин.
Что нового:
- Добавлена поддержка ядра Linux 5.8.
- Исправлена ошибка при копировании текста, содержащего HTML, через общий буфер обмена.
- Исправлена проблема, которая приводила к изменению пути размещения файла при создании виртуального жесткого диска.
- Исправлена ошибка запуска виртуальных машин с включенным Hyper-V.
- Исправления связанные с эмуляцией HDA.
- Исправлены некоторые ошибки для EFI.
Источник
Новости Linux 🐧: @linux_gram
Состоялся корректирующий релиз программы VirtualBox 6.1.14, предназначенной для создания виртуальных машин.
Что нового:
- Добавлена поддержка ядра Linux 5.8.
- Исправлена ошибка при копировании текста, содержащего HTML, через общий буфер обмена.
- Исправлена проблема, которая приводила к изменению пути размещения файла при создании виртуального жесткого диска.
- Исправлена ошибка запуска виртуальных машин с включенным Hyper-V.
- Исправления связанные с эмуляцией HDA.
- Исправлены некоторые ошибки для EFI.
Источник
Новости Linux 🐧: @linux_gram
В Fedora 34 намерены убрать отключение SELinux на лету и перейти на поставку KDE с Wayland
В Fedora 34 намечено изменение. Оно убирает возможность отключения SELinux во время работы. Возможность переключение режимов "enforcing" и "permissive" в процессе загрузки будет сохранена. После инициализации SELinux LSM-обработчики будут переведены в режим только для чтения. Это повысит защиту от атак, нацеленных на отключение SELinux после эксплуатации уязвимостей, позволяющих изменить содержимое памяти ядра.
Для отключения SELinux потребуется перезагрузить систему с передачей параметра "selinux=0" в командной строке ядра. Отключение через изменение настроек /etc/selinux/config (SELINUX=disabled) поддерживаться не будет.
Кроме того, в Fedora 34 предложено перевести по умолчанию сборки с рабочим столом KDE на использование Wayland по умолчанию. Сеанс на базе X11 планируется перевести в разряд опции. Сейчас работа KDE поверх Wayland относится к экспериментальным возможностям, но в KDE Plasma 5.20 данный режим работы намерены довести до паритета в функциональности с режимом работы поверх X11. В том числе в сеансе KDE 5.20 на базе Wayland будут решены проблемы с ведением скринкастов и вставкой средней кнопкой мыши. Для работы при использовании проприетарных драйверов NVIDIA будет задействован пакет kwin-wayland-nvidia.
Источник
Новости Linux 🐧: @linux_gram
В Fedora 34 намечено изменение. Оно убирает возможность отключения SELinux во время работы. Возможность переключение режимов "enforcing" и "permissive" в процессе загрузки будет сохранена. После инициализации SELinux LSM-обработчики будут переведены в режим только для чтения. Это повысит защиту от атак, нацеленных на отключение SELinux после эксплуатации уязвимостей, позволяющих изменить содержимое памяти ядра.
Для отключения SELinux потребуется перезагрузить систему с передачей параметра "selinux=0" в командной строке ядра. Отключение через изменение настроек /etc/selinux/config (SELINUX=disabled) поддерживаться не будет.
Кроме того, в Fedora 34 предложено перевести по умолчанию сборки с рабочим столом KDE на использование Wayland по умолчанию. Сеанс на базе X11 планируется перевести в разряд опции. Сейчас работа KDE поверх Wayland относится к экспериментальным возможностям, но в KDE Plasma 5.20 данный режим работы намерены довести до паритета в функциональности с режимом работы поверх X11. В том числе в сеансе KDE 5.20 на базе Wayland будут решены проблемы с ведением скринкастов и вставкой средней кнопкой мыши. Для работы при использовании проприетарных драйверов NVIDIA будет задействован пакет kwin-wayland-nvidia.
Источник
Новости Linux 🐧: @linux_gram
Группа компаний Astra Linux намерена инвестировать 3 млрд руб. в экосистему Linux
Группа компаний Astra Linux планирует выделить 3 млрд руб. на инвестиции в акции компаний, совместные предприятия и гранты для небольших разработчиков, развивающих нишевые решения для программного стека на базе Linux. Инвестиции помогут решить проблему с отсутствием функциональности в отечественном программном стеке, необходимой для решения задач ряда корпоративных и государственных предприятий. Компания намерена построить полный технический стек, который бы закрывал потребности заказчиков во всех узких сегментах.
Источник
Новости Linux 🐧: @linux_gram
Группа компаний Astra Linux планирует выделить 3 млрд руб. на инвестиции в акции компаний, совместные предприятия и гранты для небольших разработчиков, развивающих нишевые решения для программного стека на базе Linux. Инвестиции помогут решить проблему с отсутствием функциональности в отечественном программном стеке, необходимой для решения задач ряда корпоративных и государственных предприятий. Компания намерена построить полный технический стек, который бы закрывал потребности заказчиков во всех узких сегментах.
Источник
Новости Linux 🐧: @linux_gram
Выпуск дистрибутива Zorin OS 15.3
Представлен релиз Linux-дистрибутива Zorin OS 15.3, основанного на пакетной базе Ubuntu 18.04.5. Целевой аудиторией дистрибутива являются начинающие пользователи, привыкшие работать в Windows. Для управления оформлением дистрибутив предлагает специальный конфигуратор, позволяющий придать рабочему столу вид, свойственный различным версиям Windows, а в состав включена подборка программ, близких к программам, к которым привыкли пользователи Windows. Размер загрузочного iso-образа составляет 2.4 ГБ (доступны две сборки - обычная на основе GNOME и "Lite" с Xfce). Отмечается, что сборки Zorin OS 15 с июня 2019 года были загружены более 1,7 млн раз, и 65% загрузок выполнены пользователями Windows и macOS.
В новой версии осуществлён переход на ядро Linux 5.4 с поддержкой нового оборудования. Обновлены версии пользовательских приложений, в том числе добавлен выпуск LibreOffice 6.3.6. В состав включён новый выпуск мобильного приложения Zorin Connect (на базе KDE Connect) для сопряжения рабочего стола с мобильным телефоном, в котором обеспечена поддержка новых выпусков платформы Android, автоматический поиск устройств ограничен только заслуживающими доверия беспроводными сетями, в уведомления добавлены кнопки для отправки файлов и буфера обмена.
Источник
Новости Linux 🐧: @linux_gram
Представлен релиз Linux-дистрибутива Zorin OS 15.3, основанного на пакетной базе Ubuntu 18.04.5. Целевой аудиторией дистрибутива являются начинающие пользователи, привыкшие работать в Windows. Для управления оформлением дистрибутив предлагает специальный конфигуратор, позволяющий придать рабочему столу вид, свойственный различным версиям Windows, а в состав включена подборка программ, близких к программам, к которым привыкли пользователи Windows. Размер загрузочного iso-образа составляет 2.4 ГБ (доступны две сборки - обычная на основе GNOME и "Lite" с Xfce). Отмечается, что сборки Zorin OS 15 с июня 2019 года были загружены более 1,7 млн раз, и 65% загрузок выполнены пользователями Windows и macOS.
В новой версии осуществлён переход на ядро Linux 5.4 с поддержкой нового оборудования. Обновлены версии пользовательских приложений, в том числе добавлен выпуск LibreOffice 6.3.6. В состав включён новый выпуск мобильного приложения Zorin Connect (на базе KDE Connect) для сопряжения рабочего стола с мобильным телефоном, в котором обеспечена поддержка новых выпусков платформы Android, автоматический поиск устройств ограничен только заслуживающими доверия беспроводными сетями, в уведомления добавлены кнопки для отправки файлов и буфера обмена.
Источник
Новости Linux 🐧: @linux_gram
