Компания NVIDIA занимается расследованием критического бага, при котором их драйверы начинают сбоить при работе на последних версиях ядра Linux (начиная с версии 6.10 и выше). Эта проблема затрагивает драйверы версии 550, 555 и даже последний на текущий момент драйвер 560. Проблема проявляется как на закрытых драйверах NVIDIA, так и на их открытых версиях.
Из-за проблемного патча, перенесенного обратно из Linux 6.5 в 6.1, вызывающего помехи между кодом Ext4 и iomap, существует вероятность повреждения данных в старых ядрах - особенно в последних точечных выпусках Linux 6.1 LTS, которые в настоящее время можно найти в таких дистрибутивах, как Debian 12.
В возможной ошибке повреждения данных файловой системы EXT4, которая встречается в подобных версиях Linux 6.1.64 и 6.1.55, обвиняют «тонкое взаимодействие» (subtle interaction) между iomap и Ext4. Новая версия Linux 6.1.66 уже исправляет выявленный баг.
Linux, Windows, macOS, FreeBSD и некоторые реализации гипервизоров Xen имеют недоработку в дизайне, предоставляющую злоумышленникам возможность в лучшем случае вызвать сбой в работе компьютеров на базе процессоров Intel и AMD, а в худшем - получить доступ к памяти ядра или перехватить контроль над системой.
Ошибка связана с тем, что разработчики неправильно поняли инструкции в руководствах Intel и AMD.
В последний четверг (11 JAN 2018) AMD сообщила что ее чипы чувствительны к обоим варинатам Spectre. Днем позже AMD сообщила что риск от одного из них «близок к нулю». А патчи для Ryzen и EPYC исправляющие другой из них будут на этой неделе. Патчи для более старых процессоров обещаны на следующей неделе.
Эти новости привели к падению стоимости акций на 4%.
О проблеме злонамеренного исчерпания ресурсов, при посылке нескольких introduce-соединений одновременно, сообщил владелец торговой площадки в Tor. Примечательно, что о проблеме сообщалось еще в декабре в рассылке.
Спустя десять лет выпущена новая версия GNU GNATS. Команда разработчиков выражает благодарность Alexandros Manoussakis из Juniper Networks, который проделал значительную работу.
GNU GNATS — это набор утилит для отслеживания ошибок и организации обратной связи с пользователями, сообщившими о данных проблемах. GNATS не привязан к определенному интерфейсу пользователя. Взаимодействовать с GNATS можно через командную строку, электронную почту, Emacs, также можно настроить сетевой демон (обычно в связке с веб-интерфейсом). GNATS позволяет хранить все базы данных и конфигурационные данные в текстовом файле. Всё это обеспечивает гибкость и простоту использования.
Разработчиками подтверждено наличие проблемы в инсталляторе Ubuntu, приводящей к потере данных на диске. Проблема проявляется только при использовании режима переустановки, например для восстановления системы или обновления. Проблема возникает если на компьютере установлено несколько операционных систем, в этом случае переустановка при помощи инсталлятора может привести к удалению всех имеющихся на диске разделов. Инсталлятор при переустановке считает, что Ubuntu занимает весь диск и может удалить другие разделы без соответствующего предупреждения. При этом неопытный пользователь может быть уверен, что переустановка затронет лишь раздел на котором уже установлена Ubuntu.
Доклад под названием «Вам не нужно работать в АНБ, чтобы сломать Tor: деанонимизация пользователей с помощью бюджетного решения», готовившийся на конференции специалистов по компьютерной безопасности Black Hat, был отменен.
Исследователи сообщили что успешно применили свой метод на практике. Разработчики Tor прокомментировали эту ситуацию, они работают над исправлением ошибки.
Tor (англ. The Onion Router) - система прокси-серверов, позволяющая устанавливать анонимное соединение, защищенное от прослушивания.
13 мая вышло важное обновление свободной цифровой звуковой рабочей станции Ardour: исправлены критические ошибки, приводящие к удалению аудио и миди-файлов. Помимо этого, релиз содержит в себе ещё несколько исправлений и мелких улучшений интерфейса. Во избежание потери данных, всем пользователям более ранних релизов, а также мейнтейнерам дистрибутивов рекомендуется обновить программу до версии 3.5.380.
Вышел корректирующий выпуск PHP 5.5.12. Неполный список исправлений:
В расширении PHP-FPM устранена уязвимость CVE-2014-0185, позволяющая локальному пользователю, имеющему доступ к UNIX-сокету php-fpm, по умолчанию создаваемому с правами 0666, выполнить произвольный PHP-код с правами работающего пула процессов FastCGI.
libsqlite обновлён на версию 3.8.4.3
Исправлена ошибка fpassthru
Исправлена проблема с LDAP
Исправлена ошибка, из-за которой <xsl:include> не мог найти файлы, начинающиеся с file://
Исправлена ошибка, при которой stream_socket_server() создаёт неправильные абстрактные имена UNIX-сокетов
Исправлена ошибка № 66987 — Повреждение памяти в Fileinfo ext / bigendian
Исправлена ошибка № 66482 — Неизвестная запись 'priority' в php-fpm.conf
Исправлена ошибка № 66942 — Утечка памяти в openssl_seal()
Исправлена ошибка № 66952 — Утечки памяти в openssl_open()
Исправлена ошибка № 61019 — Недостаточно памяти на команде stream_get_contents
Asheesh Laroia разработал инструмент, позволяющий сгенерировать пару совместимых с GnuPG 4096-битных RSA-ключей с наперед заданным коротким (32-битным) идентификатором. Полный отпечаток ключа не совпадает. Процедура занимает три часа на старом ноутбуке. В отличие от старых атак на короткие ID ключей, новая атака создает RSA-ключи с общеупотребительной длиной и произвольным наперед заданным именем владельца.
Исходный код инструмента в открытый доступ не выложен, поскольку это привело бы к наводнению серверов «полудубликатами» ключей влиятельных людей.
Попутно в программе GnuPG обнаружен баг, приводящий к использованию только короткого ID вместо более полного отпечатка (если он известен) при запросе ключа с сервера. Пример: gpg --keyserver pgp.mit.edu --recv-key 0xEC4B033C70096AD1 получает еще и ключ 0x37E1C17570096AD1. При редактировании ключей или проверке подписей, аналогичного бага нет. Планов по выпуску исправленной версии тоже нет.
Команда проекта ReactOS приглашает всех желающих в преддверии релиза 0.3.14 присоединиться к «Большой охоте за багами».
В багтрекере проекта накопилось серьёзное количество неподтверждённых или имеющих некорректное описание багов. Их необходимо подтвердить или опровергнуть. Подробности ниже по ссылке.
В системе сборки пакетов gentoo (portage) обнаружена несовместимость с patch-2.6. В этой версии утилиты patch изменилась логика обработки аргументов -F и -p. В результате, при неправильном задании параметра -p, patch иногда вместо возврата кода ошибки 1 создает новый файл и возвращает 0. Это сломало логику подбора правильного значения параметра -p в portage.
В результате этой ошибки некоторые патчи не применяются, но (если это не патчи, исправляющие ошибки сборки) пакеты собираются успешно. Таким образом, могут повторно открыться старые (якобы пропатченные) дыры в безопасности.
patch-2.6 замаскирован, пользователям рекомендуется откатиться на предыдущую версию и пересобрать все пакеты, собранные после patch-2.6.
После довольно острой критики со стороны Линуса Торвальдса, Алан Кокс заявил, что не собирается больше работать над подсистемой TTY в Linux, так как сыт этим всем по горло.
Этому событию предшествовала очередная дискуссия «кривой userspace vs. кривое ядро» (Кокс отстаивал первую точку зрения), в ходе которой Линус заметил, что постоянно винить пользовательские программы в том, что ядро ломается, и предлагать починить их все вместо починки ядра — как минимум непорядочно и по-идиотски.
Ответ Алана Кокса на пришедшее некоторое время спустя письмо подтверждает, что он принял решение прекратить поддержку TTY на полном серьезе.