15 октября вышло обновление ядра до версии 7.32, которое устраняет уязвимость, позволяющую выполнение инъекции SQL до прохождения авторизации, вследствие чего возможно выполнение произвольных запросов к базе без предоставления каких-либо учетных данных.
Для закрытия уязвимости достаточно заменить только файл /includes/database/database.inc. До обновления уязвимость сохраняется даже в режиме обслуживания.
Для данной уязвимости уже есть рабочие эксплоиты.
Drupal — это популярная открытая система управления содержимым (CMS), установленная на миллионах сайтов в Интернете. Уязвимость была обнаружена во время аудита кода компанией Sektion Eins.
19 апреля было одобрено предложение об усовершенствовании Python (PEP) #466.
Одно из основных изменений, содержащихся в PEP 466 — почти полная синхронизация возможностей модуля ssl с модулем, использующимся в Python 3. Единственное, что не будет бэкпортировано — функции доступа к RNG библиотеки OpenSSL ssl.RAND_*.
Данные изменения позволят приложениям, написанным на Python 2.7 и не поддерживающим Python 3 (например, Mercurial), использовать Server Name Indication (SNI). До этого из-за отсутствия поддержки этого расширения в модуле ssl приходилось либо использовать другие средства, либо отказываться от SNI, полагаясь на конфигурацию веб-сервера.
ICANN — международная некоммерческая организация, занимающаяся контролем за распределением адресов в сети Интернет. Хотя формально эта организация не подчинена правительству США, она была создана при его участии и подотчетна министерству торговли США.
В следующем году истекает договор министерства с этой организацией. Планируется, что переход будет завершен до этой даты. В качестве одной из кандидатур на передачу «контроля над Интернетом» называется Международный союз электросвязи.
4 февраля в svn-репозиторий rabbitvcs был добавлен коммит с сообщением о новом релизе.
RabbitVCS — это интегрируемый в окружение рабочего стола Gnome 2, Gnome 3 или Mate клиент для систем контроля версий SVN, Git и Mercurial. Внешне он напоминает клиент для ОС семейства Windows TortoiseSVN. Может работать как плагин файлового менеджера или утилиты командной строки. Есть также плагин для интеграции в текстовый редактор.
Изменений с предыдущей версии 0.15.3 немного, самым заметным является обеспечение поддержки файлового менеджера Caja. Однако из-за ошибки в пакете caja-python для корректной работы требуется собрать его из исходных кодов.
С позапрошлой версии 0.15.2, которая доступна в репозиториях Ubuntu Saucy по умолчанию, помимо приведенных выше изменений было также исправлено большое количество ошибок.
В январе 2014 года на сайте ntp.org появилось следующее сообщение:
NTP users are strongly urged to take immediate action to ensure that their NTP daemon is not susceptible to use in a reflected denial-of-service (DRDoS) attack. Please see the NTP Security Notice for more information.
Пользователей NTP настоятельно просим незамедлительно убедиться, что их NTP демон не подвержен атаке DRDoS (усиление трафика). См. NTP Security Notice для большей информации.
Несмотря на то, что уязвимость была закрыта еще в 2010 году в версии 4.2.7p26, во многих дистрибутивах до сих пор распространяется версия 4.2.6 или ранее. Пользователям этих версий следует обновиться на версию 4.2.7p26. Если это по каким-то причинам невозможно, следует использовать либо noquery в разрешениях по умолчанию, чтобы отключить все статусные запросы, либо disable monitor для отключения только команды ntpdc -c monlist, либо ограничить доступ к ntpd настройками файрволла.
Атака DRDoS в данном случае использует то, что демон ntpd работает по протоколу UDP, а также то, что пакет ответа на команды REQ_MON_GETLIST и REQ_MON_GETLIST_1 содержит в 3600~5500 раз больше данных, чем пакет запроса. Таким образом, если подделать IP адрес отправителя запроса на IP-адрес жертвы, то ей придет огромный трафик ответов от NTP сервера, забивая входящий канал мусором.
Разработчики популярного веб-фреймворка Django 19 августа сообщили, что разрабатываемая версия успешно прошла все тесты Python 3.
«В мае этого года Vinay Sajip опубликовал форк, показав таким образом возможность поддержки Python 2 и 3 в рамках единой кодовой базы. Вскоре после этой демонстрации основные разработчики проекта решили использовать six в качестве слоя совместимости. Было решено писать код Python 3, заботясь о совместимости со второй версией, а не наоборот, чтобы избежать возможных проблем в будущем».
Однако не стоит думать, будто Django с этого момента готов для применения с Python 3 на действующих системах. Изменения кода затронули многие части проекта, и хотя были приложены все усилия для исправления ошибок, все равно требуется полномасштабное тестирование кода в реальных условиях. Разработчики просят рассматривать код как «пре-альфа версию» и сообщать не только об ошибках в коде Python 3, но и в регрессиях кода Python 2.
Авторов приложений для Django убедительно просят сделать порт как можно быстрее, подсказки для этого доступны в документации.
В конце прошлого года появилась атака методом перебора на WPS.
Wireless Protected Setup (WPS) - это стандарт, разработанный для упрощения настройки защищенной беспроводной сети и подключения к ней устройств. В одном из вариантов подключения устройства к беспроводной сети используется 8-цифровое число, называемое PIN-ом и генерируемое точкой доступа, которое нужно ввести на устройстве. По стандарту этот метод должен поддерживаться сертифицированным для WPS устройством в обязательном порядке.
Опасность заключается в том, что устройство может получить доступ к беспроводной сети с включенным WPS без вмешательства администратора/владельца этой сети.
Последняя из 8 цифр PIN-кода является контрольной, поэтому перебор должен включать в себя не более 10 000 000 чисел. Это число было уменьшено до 11 000 за счет того, что точка доступа при проверке разбивает пин на две половины и проверяет каждую по отдельности.
В декабре 2011 года исследователь Stefan Viehböck опубликовал исходный код утилиты reaver-wps, которая пытается таким способом подобрать пин для точки доступа, задаваемой в командной строке своим BSSID. Программа умеет распознавать и обрабатывать ситуации, связанные с тем, что некоторые точки доступа блокируют попытки регистрации при превышении допустимых порогов (частоты ввода неправильного пина, например). Утилита поддерживает или частично поддерживает многие популярные беспроводные адаптеры Atheros и Realtek (на клиентской стороне).
