Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов
dl // 30.03.24 17:23
Совершенно прекрасный бэкдор в библиотеке liblzma, входящей в состав архиватора xz, обнаружил разработчик из Microsoft Андрес Фройнд.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2024/03/02.html]
Один из двух основных разработчиков xz JiaT75 в конце февраля добавил в архивированный релиз (tarball) скрипт, который вызывался при сборке deb/rpm-пакетов и внедрял в библиотеку вредоносный код, меняя поведение функций crc32_resolve и crc64_resolve. При вызове выполнялись различные проверки (типа процессора, параметров вызова программы, переменных окружения и т.п.), после чего происходил довольно медленный парсинг символьных таблиц динамически загружаемых библиотек (что и обратило на себя внимание Фройнда).

Полный анализ сильно обфусцированного кода еще не закончен, предварительно он предназначен для удаленного исполнения кода, не требующего предварительной авторизации. Несмотря на то, что стандартный openssh не использует liblzma, некоторые популярные дистрибутивы включают в него поддержку уведомлений systemd, а вызываемая при этом libsystemd уже использует liblzma.

За последние недели разработчики нескольких дистрибутивов получили запросы на включение обновленной версии xz, а разработчики Fedora даже поработали с автором над исправлением ошибок valgrind, связанных как раз с механизмом внедрения вредоносного кода. Фактически лишь чудо и внимательность Фройнда не дали бэкдору распространиться.

Пока linux-сообществу повезло и стабильные версии популярных дистрибутивов не успели пострадать, хотя, например, популярному пакетному менеджеру для macOS HomeBrew пришлось срочно откатить xz c версии 5.6.1 на версию 5.4.6.

Источник: Ars Technica теги: ssh  |  обсудить  |  все отзывы (0)

Три миллиона электронных замков готовы открыть свои двери
dl // 22.03.24 20:22
Около трех миллионов популярных электронных замков Saflok швейцарской компании dormakaba, которыми оборудованы многие отели (около 13 тысяч), парковки и лифты в 131 странах, оказались подвержены уязвимости, получившей название, конечно же, Unsaflok.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2024/03/01.html]
Чтобы воспользоваться уязвимостью, потребуются две карты — одна перепрограммирует замок, вторая его откроет. Модификация карт может быть проделана с помощью такого оборудования, как Flipper Zero, или даже просто Android-смартфоном с поддержкой NFC.

Производитель начал работу по исправлению уязвимости в ноябре 2023 года, спустя год после обнаружения. Пока заменено около 36 процентов замков.

Источник: The Register теги: уязвимости  |  обсудить  |  все отзывы (0)

Doom на газонокосилках
dl // 28.02.24 17:19
Husqvarna совместно с Bethesda подготовила к выходу к апрелю (и вроде бы не к первому) версию Doom, работающую на роботизированных газонокосилках Nera (ценой в жалкую пару тысяч долларов), ролик с анонсом прилагается.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2024/02/01.html]
Печально, но столь полезная функция будет временной и отключится 9 сентября.

Жаль, что не на бензопилах, было бы аутентичней.

Источник: Slashdot обсудить  |  все отзывы (2)

Умер Никлаус Вирт
dl // 04.01.24 14:05
1 января скончался Никлаус Вирт, создатель Паскаля, Модулы и Оберона, автор классического учебника «Алгоритмы + структуры данных = программы», один из отцов структурного программирования.

Источник: ITWire теги: rip  |  обсудить  |  все отзывы (0)

С наступающим
dl // 31.12.23 23:59
И традиционное поздравление с неуклонно приближающимся unix time 1704056400.

теги: ny  |  обсудить  |  все отзывы (0)

«   1  |  2  |  3  |  4  |  5  |  6  |  7  |  8  |  9  |  10   »    »»

Предложить свою новость