Всего сообщений: 5
Недавно выявленная уязвимость в ядре Linux (CVE-2021-3609) позволяет получить root-права рядом махинаций, связанных с сетевым протоколом CAN (controller area network) BCM. Затрагивает версии с 2.6.25 до mainline 5.13-rc6 включительно.
Исследователь, выявивший уязвимость, подготовил эксплоит, действующий на ядра версий >=5.4.
( читать дальше... )
>>> Подробности
Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.
Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.
Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.
( читать дальше... )
>>> Подробности
24 февраля вышла очередная патч-версия программного пакета ROOT - системы для анализа данных экспериментов в физике, и в частности, в области физики элементарных частиц. Тем не менее, она эта система может использоваться и для анализа других данных, например, астрономических.
В данной версии исправлены найденные ошибки.
Загрузить исходный код можно по ссылке.
>>> Подробности
В ядре Linux найдена опасная уязвимость, позволяющая локальному злоумышленнику выполнить код с правами пользователя root. Проблема наблюдается начиная с ядра 2.6.39. На данный момент уже опубликовано три рабочих эксплоита. Уязвимости присвоен номер CVE-2012-0056.
Источником уязвимости является ошибка в реализации proc-интерфейса для прямого доступа к памяти процесса (/proc/pid/mem). В ядре 2.6.39 защита против неавторизованного доступа к этому файлу была признана неэффективной, поэтому «#ifdef» для защиты от записи в случайные области памяти был убран, вместо этого была добавлена проверка правильных разрешений на доступ. Как оказалась, проверка привилегий была выполнена некорректно, что позволяет локальному пользователю получить права суперпользователя в ядрах 2.6.39 и выше (исключая GIT snapshot, в котором данная уязвимость была на днях закрыта).
На данный момент ни один из дистрибутивов данную ошибку не закрыл.
Взято с opennet.ru
>>> Подробности
28 июня 2011 года разработчики из Европейского центра ядерных исследований (CERN) представили очередной стабильный выпуск 5.30/00 набора объектно-ориентированных библиотек для обработки, анализа и визуализации данных - ROOT.
Это первая стабильная версия после нововведения в схеме подготовки релизов ROOT: 31 марта 2011 года разработчики приняли решение о выпуске релиз-кандидатов в основной ветке при подготовке стабильной версии.
Таким образом, выпуску ROOT 5.30/00 предшествовали два релиз-кандидата 5.30/00-rc1 и 5.30/00-rc2 1-го и 15-го июня соответственно.
Также отныне ознакомиться с планами по выходу следующей стабильной версии ROOT можно в Google Calendar.
ROOT распространяется под лицензией LGPL v2.1 за исключением библиотеки MathMore, которая в связи с использованием кода GSL лицензирована под GPL, как и собственно GSL.
Со списком изменений по сравнению с вышедшей в начале января 2011 года версией 5.28/00 можно ознакомиться в анонсе к выпуску.
Среди изменений стоит отметить следующее:
>>> Страница загрузки
>>> Архив с исходным кодом
>>> Официальный сайт