Вышел релиз специализированного дистрибутива Parted Magic 4.6. Данный дистрибутив предназначен для восстановления системы и данных после сбоя, а также полезен при переразметке дисков. Создан на основе LFS.

Основные изменения в этой версии:

• Инструментарий для клонирования разделов Clonezilla удален из основного комплекта. Для тех, кому он действительно нужен, подготовлены специальные комплекты «Parted Magic — Clonezilla» (для сравнения: стандартный комплект занимает 86Мб, с Clonezilla — 190Мб).
• В комплект включен антивирус ClamAV.
• Терминал ROXTerm заменен на LXTerminal.
• Добавлен просмотрщик PDF ePDFView, а также простой переключатель раскладки.
• Существенно переработано меню загрузчика.
• Обновлены версии ряда программ.
• Множество багфиксов.

Parted Magic содержит множество программ, полезных при восстановлении данных и просто при переразметке диска: cfdisk, fdisk, sfdisk, dd (из комплекта util-linux-ng), parted и GParted, несколько улучшенных версий dd (ddrescue, dcfldd и dc3dd), TestDisk, PhotoRec и множество других. Поддерживаются файловые системы: ext2, ext3, ext4, btrfs, FAT16, FAT32, NTFS, HFS, HFS+, ReiserFS, Reiser4, JFS, XFS.

Скачать.

>>> Подробности

В блоге сообщества Xen анонсирован проект XVP — веб-фронтенд к свободной платформе виртуализации Citrix XenServer.

XVP включает в себя:

• xvpweb — собственно web-интерфейс, написанный на PHP.
• xvpviewer — Java-апплет, предоставляющий VNC-доступ к консолям виртуальных машин (используется в xvpweb). Создан на основе TightVNC Viewer, однако содержит дополнительные функции, специфичные для виртуальных машин (например, кнопки выключения питания и перезагрузки).
• xvp — работающий на стороне сервера VNC-прокси, обеспечивающий VNC-доступ к консолям виртуальных машин. Не зависит от XenServer, может использоваться совместно с любым VNC-клиентом.
• xvpdiscover — небольшая утилита, которая собирает информацию о пуле XenServer и генерирует на основании этой информации конфигурационные файлы для xvp и xvpweb.

Лицензия — GPL v2. Помимо наработок TightVNC, в проекте используются libxenserver и XML-RPC (в веб-интерфейсе). Разработка проекта идет с мая текущего года, последняя версия — 1.2.4 — вышла 5 ноября.

>>> Подробности

Вышел релиз специализированного live-дистрибутива DEFT 5. Этот дистрибутив предназначен для расследования взломов и поиска скрытых данных. Также может применяться для проведения аудита безопасности.

В отличие от предыдущих версий, основанных на Xubuntu, DEFT 5 является самостоятельным дистрибутивом с ядром 2.6.31 и графической средой LXDE. В качестве файлового менеджера используется thunar.

В состав DEFT 5 входят:

• DEFT Extra 2.0 — графический интерфейс, упрощающий выполнение типовых операций при расследовании инцидентов безопасности.
• Различные программы для снятия образов ФС: guymager, dcfldd, ddrescue, linen.
• Комплект программ для исследования ФС sleuthkit и графический интерфейс к нему — autopsy.
• Программы для восстановления удаленных файлов: foremost, scalpel и photorec.
• Сканер сетевой безопасности nessus.
• Снифферы: xplico, wireshark, ettercap.
• Взломщики паролей: John the Ripper и ophcrack.
• Системы поиска руткитов: chkrootkit и rkhunter.
• Антивирус clamav и интерфейс к нему clamtk.

Поддерживается большинство современных файловых систем (как Linux, так и Windows), а также LVM.

>>> Подробности

Вышел релиз широко известного TeX-дистрибутива TeX Live 2009.

В новой версии:

• Включены свежие шрифты AMS Type 1 с учетом изменений, возникших вследствие работы Дональда Кнута над METAFONT в последние несколько лет. Также были значительно изменены эйлеровские шрифты.
• Для ряда платформ добавлена поддержка Asymptote — языка описания графики, альтернативного METAPOST.
• Транслятор DVI в PDF dvipdfm заменен на программу нового поколения dvipdfmx.
• Для платформ Mac OS и Windows добавлен новый GUI-фронтенд TeXworks.
• Включены в комплект исполняемые бинарные файлы для cygwin и NetBSD-i386. Бинарники для FreeBSD и OpenBSD исключены из комплекта в связи с трудностью поддержки. Пользователям этих систем рекомендуется ставить нужные бинарники из дистрибутивных пакетов либо портов.
• Движок Omega и набор форматов Lambda (Omega для LaTeX) были исключены из комплекта. В дистрибутиве остается форк Omega — Aleph и его LaTeX-расширение Lamed.
• Форматом вывода по умолчанию LuaTeX теперь является PDF. Для вывода в DVI используйте команды dviluatex и dvilualatex.
• Для сжатия DVD-образа TeX Live, выложенного на зеркалах, вместо LZMA теперь используется XZ.

TeX Live включает полный срез репозитария CTAN, бинарные файлы и библиотеки под ряд платформ (GNU/Linux, Mac OS, Windows, ряд Unix-систем), а также подробную документацию на нескольких языках, включая русский. Загрузив полный DVD-образ (1.4 Гб), вы сможете не только установить с него TeX Live, но и использовать его в live-режиме (без установки в вашу систему). Также поддерживается установка по сети (вы скачиваете и запускаете небольшой скрипт, который в свою очередь скачивает и устанавливает TeX Live).

>>> Подробности

Вчера вышел релиз FreeNAS 0.7. FreeNAS — специализированный дистрибутив FreeBSD, предназначенный для быстрого развертывания сетевых хранилищ. Поддерживаются протоколы FTP, NFS, Samba, AFP, rsync и iSCSI.

В числе основных новшеств:

• Использование в качестве базы FreeBSD 7.2.
• Полная поддержка ZFS.
• Добавлен web-интерфейс для пользователей.
• Обновление версий ряда программ (Samba 3.0.37, transmission 1.72, lighttpd 1.4.23, ProFTPD 1.3.2a, e2fsprogs to 1.41.8, iSCSI initiator 2.2.3, fusefs-ntfs/ntfs-3g 2009.4.4).
• Множество багфиксов.

А разработчики FreeNAS тем временем рассматривают вопрос о переходе с кодовой базы FreeBSD на Debian GNU/Linux. Приводятся следующие аргументы:

• Трудоемкость процесса переноса FreeNAS на базу FreeBSD 8.
• Большое количество ошибок в системе FreeBSD.

  The FreeBSD ports system is great, but i do not want to waste my time by fixing build problems, i only want to install and use software. Implemenmting the services and WebGUI is time consuming enough.

  My decision to use Linux for the next version was because there are too much bugs in the core FreeBSD system. Simply have a look into the bug tracker.

• Linux поддерживает гораздо больше оборудования, чем FreeBSD.

Также в числе преимуществ Debian GNU/Linux упоминаются: большое сообщество, удобная система управления пакетами, хорошая документация.

>>> Подробности

Вчера вышел релиз 2.3 специализированного дистрибутива Endian Firewall, предназначенного для развертывания межсетевых экранов (фаерволов).

В числе новшеств:

• На главную страницу web-интерфейса теперь выведены динамически обновляющиеся графики и показатели по входящему и исходящему трафику, а также состоянию служб системы.
• Автоматическая отправка уведомлений о заданных событиях по электронной почте.
• Интерфейс для настройки HTTP-прокси теперь позволяет задавать ACL с привязкой к исходному адресу. Также поддерживается объединение пользователей в группы с различными настройками фильтрации контента.
• В качестве системы IDS/IPS используется Snort.
• Интерфейс теперь поддерживает создание правил маршрутизации с проверкой MAC-адреса, сетевого интерфейса, протокола и порта.
• Значительно улучшены возможности интерфейса по управлению пробросом портов.
• Поддержка автоматических бэкапов на USB-устройства, а также отправки предварительно зашифрованных бэкапов по почте.
• Полноценное управление QoS (фильтрами, классами, очередями).
• Добавлена поддержка SNMP.
• Полностью переработан интерфейс для управления SMTP-прокси.
• Теперь пользовательский интерфейс поддерживает создание и управление VLAN'ами.

В дистрибутив Endian Firewall интегрированы полностью открытые наработки компании Endian — UTM (унифицированное управление рисками). Входящее в комплект программное обеспечение подобрано, организовано и модифицировано в расчете на быстрое и удобное развертывание межсетевых экранов. В числе прочих компонент:

• Гибкий и мощный stateful-фаервол (netfilter).
• Ряд прокси-серверов для различных протоколов (HTTP, FTP, POP3, SMTP), обеспечивающих антивирусную (а для почтовых протоколов — и антиспамовую) фильтрацию.
• Контентные фильтры для web-трафика.
• VPN-решение, базирующееся на OpenVPN.

Endian Firewall на DistroWatch

>>> Подробности

Clement Lecigne обнаружил в ядре OpenBSD уязвимость, позволяющую повысить привилегии локального пользователя (получить root-доступ) либо вызвать отказ в обслуживании (kernel crash).

Описанной уязвимости подвержены версии OpenBSD вплоть до 4.6 включительно. Уязвимость принадлежит к типу null pointer dereference, и в системах версий 4.3 и младше позволяет пользователю повысить свои привилегии. В версиях 4.4 и выше такая возможность заблокирована, и при помощи данной уязвимости можно лишь обрушить ядро.

Патчи уже доступны на OpenBSD errata page. Всем администраторам, использующим OpenBSD, рекомендуется срочно произвести обновление.

>>> Подробности

Вчера Peteris Krumins в своем блоге продемонстрировал наличие в утилите ldd уязвимости, позволяющей выполнить произвольный код при просмотре списка подгружаемых библиотек для специально подготовленной программы.

Принцип работы ldd состоит в следующем: она устанавливает переменную окружения LD_TRACE_LOADED_OBJECTS, а затем запускает программу на исполнение. Входящий в libc загрузчик динамических библиотек (для GNU glibc это ld-linux.so) проверяет наличие этой переменной. Если она установлена, то вместо нормального запуска программы он выводит список используемых ею динамически подгружаемых библиотек и завершает работу.

Однако, в том случае, если программа собрана с использованием специальным образом модифицированной версии libc, появляется возможность обойти эту проверку. Таким образом, выполнение ldd для программы приводит к исполнению этой программы с правами пользователя, от которого запущена ldd.

Также в статье приводится пример использования этой возможности совместно с методами социальной инженерии: пользователь хостинга или злоумышленник от его имени создает специальный исполняемый файл, звонит администратору и жалуется, что программа не работает. Администратор (допустим, он работает с привилегиями root) первым делом запускает ldd и сообщает пользователю, что не хватает такой-то библиотеки (программа злоумышленника имитирует нормальный вывод ldd), пользователь говорит «спасибо», и администратор даже не подозревает, что только что запустил со своими правами код злоумышленника.

>>> Подробности

Четыре дня назад Jason Bell обнаружил в популярном веб-сервере nginx уязвимость, позволяющую удаленному пользователю аварийно завершить рабочий процесс сервера при помощи специально сформированного запроса.

Данной уязвимости подвержены только версии nginx младше 0.8.14, 0.7.62, 0.6.39 и 0.5.38.

Игорь Сысоев уже опубликовал патч, устраняющий эту уязвимость. Также выпущено обновление безопасности для Debian.

В сообщении об ошибке, приведенном по ссылке ниже, присутствует текст exploit'а, использующего обсуждаемую уязвимость. Признаком успешного срабатывания exploit'а является отсутствие ответа сервера — не подверженная данной уязвимости версия nginx отвечает на запрос exploit'а 400 Bad Request. Учитывая опыт предыдущих сообщений об уязвимостях, специально напоминаем некоторым дилетантам, что exploit'ы для архитектуры i386 вовсе не обязаны работать на других архитектурах.

Отметим, что описанная уязвимость носит отнюдь не фатальный характер, так как приводит к завершению только «своего» worker process, но не master process. Однако многократное ее использование за небольшой промежуток времени может создать ощутимые проблемы в работе сервера.

Поэтому всем администраторам, использующим уязвимые версии, настоятельно рекомендуется обновиться.

>>> Подробности

В пакете openssh-server, входящем в состав Red Hat Enteprise Linux 5.4 и Fedora 11, обнаружена опасная уязвимость, потенциально позволяющая удаленному пользователю выполнить произвольный код с правами root.

Уязвимость вызвана некорректным бэкпортированием поддержки ChrootDirectory в используемую в RHEL версию openssh 4.3. В бэкпорте, сделанном Red Hat, допускается, что ChrootDirectory может быть доступен для записи обычным пользователям системы. В результате, злоумышленник может поместить в chroot жесткие ссылки на setuid-программы из основной системы. При запуске эти программы будут использовать библиотеки и файлы конфигурации, размещенные в ChrootDirectory, что позволяет злоумышленнику выполнить произвольный код с привилегиями root, но без возможности выйти за пределы chroot-окружения.

Для успешной эксплуатации этой уязвимости необходимо:

• Наличие доступа к консоли без chroot, для того, чтобы сделать hardlink на suid-файл внутри chroot-окружения.
• Нахождение требуемой setuid-программы в одной файловой системе с chroot-окружением (иначе не удастся сделать жесткую ссылку).

Обновления доступны уже две недели. Не забываем обновляться каждое утро!

>>> Описание проблемы на багзилле RH

Вчера команда безопасности FreeBSD опубликовала целых три анонса. Каждый их них сообщает о наличии в ядре FreeBSD критической уязвимости, позволяющей локальному пользователю получить root-привилегии:

• Первая уязвимость характерна только для ветки 6.x. Уязвимость имеет тип race condition и основана на ошибке реализации close() для pipe, позволяющей получить доступ к уже освобожденной памяти.
• Второй уязвимости подвержены все поддерживаемые версии шестой и седьмой веток. Она использует возможность разыменования нулевого указателя при взаимодействии devfs и VFS.
• Третья же уязвимость открывает дорогу для использования первых двух, позволяя выполнять отображение кода злоумышленника на нулевой адрес.

Не столь давно на ЛОРе уже публиковалась новость о наличии критической уязвимости в ядре FreeBSD веток 6.x и 7.x. Однако эта новость не содержала точной информации об уязвимости, поэтому обсуждавшие ее пришли к ошибочному выводу, что речь идет о давно исправленной ошибке.

>>> FreeBSD security advisories

В минувший четверг компания Red Hat опубликовала свое мнение по делу Билски. В суд было направлено экспертное заключение по вопросу необходимости и полезности патентов на программное обеспечение.

Цитата из официального заявления:

Red Hat:

Успех открытого программного обеспечения наглядно показывает полную бесполезность патентов для продолжающегося в этой области инновационного процесса. Патенты распространяют исключительное право пользования изобретением только на его владельца и обладателей лицензии. Разработчиков же открытого ПО не интересуют исключительные права. Они хотят работать сообща и делиться накопленной информацией, и в этом процессе патенты приносят только вред.

И разработчики открытых технологий не одиноки в понимании опасности, которую представляют патенты. Например, в 1991 году Билл Гейтс сказал: «Если бы люди следовали теперешнему патентному законодательству на заре технологической революции, промышленность до сих пор топталась бы на месте». Правда, с тех пор количество патентов, находящихся в собственности компании Microsoft, перевалило за десять тысяч, и никто больше не слышал о том, чтобы Гейтс ставил под сомнение идею патентования.

По мотивам opennet.ru.

>>> Подробности

Вчера вышла седьмая версия Untangle — специализированного дистрибутива, основанного на Debian GNU/Linux и предназначенного для быстрого развертывания корпоративных шлюзов.

Новые возможности:

• Отслеживание поведения пользователей для определения методов повышения производительности труда.
• Анализ сетевого трафика в целях оптимизации работы сети.
• Контекстный анализ web-трафика для предотвращения нарушений правил безопасности, а также злоупотреблений пропускной полосой.
• Журналирование доступа к важным данным, позволяющее упростить расследование возможных нарушений.
• Снижение рисков, связанных с использованием социальных сетей и медиа-сайтов.

Дистрибутив содержит ряд готовых компонентов, существенно упрощающих развертывание корпоративного шлюза:

• Анализатор web-трафика, позволяющий блокировать доступ к отдельным сайтам и типам запросов. Может применяться, например, для ограничения доступа к социальным сетям и медиа-сайтам.
• Мощный обучаемый спам-фильтр. Среди прочих возможностей — подключение OCR для распознавания спама во вложенных изображениях.
• Фильтр сигнатур, позволяющий блокировать вирусы или просто нежелательный контент.
• Генератор отчетов, умеющий собирать статистку по пользователям, хостам и email'ам.
• Система анализа трафика, позволяющая выявить и ограничить использование различных протоколов прикладного уровня (P2P, IM, онлайн-игр) даже при использовании нестандартных портов.
• Антивирус, предназначенный для выявления и блокировки вирусов, передаваемых через HTTP, FTP или электронную почту. Поддерживается сканирование архивов.
• Антирекламный фильтр для HTTP-трафика.
• Средства для быстрого развертывания безопасного доступа через OpenVPN — автоматическая генерация сертификатов и отправка на email комплекта преднастроенных программ для нужной ОС.

Все перечисленные компоненты были разработаны специально для этого дистрибутива и доступны под лицензией GPL (v2).

Источник вдохновения — opennet.ru.

Untangle на DistroWatch.

>>> Официальный анонс

В библиотеке glibc была обнаружена уязвимость (целочисленное переполнение).

Эта уязвимость присутствует в функции strfmon (форматирование числа как денежной суммы) и позволяет выполнить произвольный код с правами вызвавшего эту функцию приложения, либо аварийно завершить его работу.

Пример уязвимого кода на PHP (вызывает ошибку сегментирования):

php -r 'money_format("%.1073741821i",1);'

Уязвимости подвержены все версии glibc вплоть до 2.10.1. В настоящее время информация о багфиксах отсутствует.

>>> Подробности

В минувший понедельник вышла новая версия iptables — интерфейса к Linux-файрволу netfilter.

В числе новшеств:

• Поддержка новых возможностей ядра 2.6.31.
• Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.
• Поддержка опции queue-balance для действия NFQUEUE.
• Ряд исправлений в man-страницах.

Скачать

>>> ChangeLog

Вчера вышла новая версия широко известной системы обнаружения и предотвращения вторжений (IDS/IPS) Snort.

В числе новшеств:

• Возможность запуска одного экземпляра демона snortd с несколькими независимыми конфигурациями для разных IP-адресов/VLAN-портов.
• Поддержка непрерывного сканирования трафика даже в момент перечитывания конфигурации.
• Эффективные фильтры для борьбы с DoS-атаками, основанные на контроле количества попыток подключения в единицу времени и количества одновременных соединений.
• Улучшена производительность.

Скачать

>>> Подробности

В популярном веб-сервере и прокси-сервере nginx была обнаружена уязвимость, позволяющая удаленному злоумышленнику выполнить на сервере код с правами процесса nginx, либо вызвать отказ в обслуживании (падение nginx). Уязвимость обусловлена наличием buffer underflow в функции ngx_http_parse_complex_uri (обработка URL входящего запроса).

Уязвимости подвержены все версии с 0.1.0 по 0.8.14, кроме свежевыпущенных багфиксов 0.8.15, 0.7.62, 0.6.39 и 0.5.38. Кроме того, существует отдельный патч, закрывающий эту уязвимость.

Уже выпущены обновления безопасности для Debian и Fedora. Для других дистрибутивов сообщений об обновлениях пока не поступало.

В настоящее время информация об эксплойтах, использующих данную уязвимость, отсутствует. Тем не менее, всем администраторам, использующим уязвимые версии nginx, рекомендуется срочно отключить этот сервис и/или заблокировать его фаерволом вплоть до установки обновления.

P.S. Эта уязвимость уже обсуждается у нас на форуме.

>>> Подробности

Не столь давно решил переползти с ISC dhclient на dhcpcd (собственно, недавний эпик фейл был последней каплей).

Конфигурация сети у меня такая

DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes
METRIC=10
USERCTL=yes
RESOLV_MODS=yes
LINK_DETECTION_DELAY=6
DHCP_CLIENT=dhcpcd
PEERDNS=no
PEERYP=yes
PEERNTPD=no

До определенного момента все работало нормально. Вот вывод /etc/dhcpc/dhcpcd-eth0.info в штатном режиме:

IPADDR=xx.xx.xx.xx
NETMASK=255.255.255.0
NETWORK=xx.xx.xx.0
BROADCAST=xx.xx.xx.255
GATEWAY=xx.xx.xx.1
DOMAIN='aaa.aa'
DNS=yy.yy.yy.yy,zz.zz.zz.zz
DHCPSID=10.100.32.3
DHCPGIADDR=10.132.0.1
DHCPSIADDR=10.100.32.3
DHCPCHADDR=bb:bb:bb:bb:bb:bb
DHCPSHADDR=00:01:5C:31:4C:C0
DHCPSNAME=''
LEASETIME=86400
RENEWALTIME=86100
REBINDTIME=86100
INTERFACE='eth0'
CLASSID='Linux 2.6.aaa'
CLIENTID=bb:bb:bb:bb:bb:bb

Но! При перезагрузке кабельного модема (arris touchstone) модем на короткое время выдает внутренний айпишник без гейта (пока он к серваку прова не подконнектился). Выглядит это так:

IPADDR=192.168.100.2
NETMASK=255.255.255.0
NETWORK=192.168.100.0
BROADCAST=192.168.100.255
DNS=192.168.100.1
DHCPSID=192.168.100.1
DHCPGIADDR=0.0.0.0
DHCPSIADDR=0.0.0.0
DHCPCHADDR=bb:bb:bb:bb:bb:bb
DHCPSHADDR=00:15:CE:30:D3:2D
DHCPSNAME=''
LEASETIME=20
RENEWALTIME=10
REBINDTIME=17
INTERFACE='eth0'
CLASSID='Linux 2.6.aaa'
CLIENTID=bb:bb:bb:bb:bb:bb

dhclient такую ситуацию отрабатывает нормально.

Итого: для dhcpcd собственный кеш важнее данных от DHCP-сервера? Т.е. он глючное УГ? Или я в чем-то неправ?

В браузере Firefox версии 3.5 обнаружена еще одна критическая уязвимость, не закрытая в версии 3.5.1.

На этот раз проблема вызвана ошибкой реализации JavaScript-метода document.write() (переполнение при использовании слишком длинной строки в кодировке Unicode).

Эта уязвимость, как и прошлая, позволяет злоумышленнику выполнить произвольный код либо вызвать крах приложения. Доступен демонстрационный эксплойт.

В настоящее время исправления ошибки от производителя отсутствуют, поэтому пользователям традиционно рекомендуется воздерживаться от посещения незнакомых страниц и использовать дополнение NoScript, отключающее исполнение JS-кода на сайтах, не подтвержденных пользователем.

>>> Подробности

Фонд Free Software Foundation опубликовал заявление, в котором предостерегает от излишнего доверия к обещаниям компании Microsoft по поводу патентов на Mono.

Основные тезисы заявления:

• Отнюдь не все патенты на программное обеспечение опасны одинаково. Степень опасности зависит в том числе и от держателя патента.
• Microsoft является принципиальным врагом Linux, и практически все ее действия в отношении Linux только подтверждают это. Поэтому патенты, которыми владеет эта компания, должны априорно рассматриваться как опасные.
• Недавняя история с VFAT наглядно подтверждает это.
• Помимо спецификаций ECMA, которые «защищены» обещаниями Microsoft, существуют и нестандартные, но тем не менее широко использующиеся (не только в Windows) библиотеки C#. В частности, библиотеки, реализующие сериализацию двоичных объектов, регулярные выражения, XPath и XSLT и т.д.
• Ничто не мешает Microsoft передать эти патенты «сторонним» организациям, чтобы спокойно атаковать Linux, не нарушая своих «обещаний». В свете такого подхода, «обещание» выглядит очень ловким тактическим ходом (играет роль сыра в мышеловке).
• Единственным возможным решением в сложившейся ситуации FSF считает безотзывную передачу сообществу патентов на все технологии, использующиеся в Mono.
• Пока этого не произошло, разработчики должны воздерживаться от использования Mono в Linux-приложениях, если они не являются врагами Linux.

>>> Конспективный перевод заявления доступен на opennet.ru