В пакетном менеджере RPM устранена опасная уязвимость
Компания Red Hat сообщила об обнаружении в пакетном менеджере RPM опасных уязвимостей (CVE-2013-6435, CVE-2014-8118), позволяющих добиться выполнения кода злоумышленника при установке специально модифицированного пакета. Проблема усугубляется тем, что в процессе установки система верификации не выявляет модификации в архиве с мета-данными, т.е. злоумышленник может изменить корректно подписанный пакет.
Изменения вносятся в архив с метаданными, содержащими информацию о версии, описание и другую сопутствующую информацию. Данные из архива распаковывается в отдельную директорию с временным именем. Проверка цифровой подписи осуществляется после полного завершения записи временного файла. Если подпись корректна, файл переименовывается в его реальное имя. При определённых обстоятельствах (CVE-2013-6435) в результате состояния гонки система может интерпретировать неверифицированный временный файл и выполнить указанные в нём команды (например, временный файл в /etc/cron.d может подхватить cron). Вторая уязвимость (CVE-2014-8118) проявляется из-за переполнения буфера в процессе обработки модифицированного заголовка архива CPIO, что также может быть использовано для выполнения кода атакующего при распаковке изменённых подписанных пакетов.
В качестве защиты от уязвимостей рекомендуется проверить цифровую подпись пакета до начала его установки. Уязвимости в основном представляют опасность при установке пакетов из сторонних источников, так как при прямой установке из штатных репозиториев RHEL и Fedora применяется шифрование TLS, которое защищает от подмены транзитного трафика. Обновления с устранением уязвимостей выпущены для RHEL (5.x, 6.x и 7.x) и CentOS. Для Fedora, SUSE и openSUSE обновление пока недоступно.
HP планирует в следующем году выпустить новую ОС Linux++
Компания HP развивает фундаментально новую концепцию компьютеров The Machine и планирует в следующем году выпустить для них принципиально иную операционную систему, которая развивается под кодовым именем Linux++. Кроме общих слов о революционном характере новой ОС ничего не сообщается.
Особенностью компьютеров The Machine станет стирание граней между ОЗУ и Flash-накопителями - система будет комплектоваться общей памятью на основе мемристоров, которая будет быстрее чем DRAM, долговечнее и дешевле, чем Flash. По сравнению с классическими системами, аналогичными по производительности, The Machine будет потреблять 1.25% энергии и иметь в 10 раз меньший размер. Память будет сплетена с вычислительными ядрами, по сути The Machine будет представлять собой кластер из большого числа специализированных ядер, напрямую получающими доступ к данным без использования операций копирования.
Операции переключения контекста для подобных систем не будут приводить к накладным расходам, что позволит обрабатывать терабайты данных за миллисекунды. Новая архитектура потребует внедрения новых принципов работы ОС и первая из систем для The Machine будет построена на основе Linux. Готовность первых рабочих прототипов устройств на основе новой архитектуры и поступление партнёрам первых чипов ожидается в 2016 году. Linux++ и эмулятор оборудования будут доступны для экспериментов в июне 2015 года, что позволит разработчикам заранее познакомиться с особенностями разработки приложений для новой архитектуры.