Архив метки: Linux

Про SberOS

1 комментарий

Про SberOS

Про SberOS. 27 ноября в реестр отечественного ПО Минцифры добавили два Debain-based Linux дистрибутива от Сбера. InterOS - специализированный дистриб для банкоматов. SberOS - десктопный дистрибутив, который используется в Сбере для замены Windows.

Судя по описанию, SberOS - дистрибутив на основе Debian Testing с архитектурой обновлений rolling-update. Там должны быть последние версии софта, а значит самые быстрые фиксы уязвимостей. 😇 Ядро будет из стабильной ветки. Дефолтный рабочий стол GNOME.

Это почти то, что я ждал:

🔹 Linux дистрибутив с понятным и относительно нейтральным аппстримом от крупной отечественный окологосударственной IT-компании, у которой есть ресурсы хоть как-то апстрим контролировать.

🔹 Компания не является специализированным Linux вендором, поэтому выживать на деньги от продажи лицензий, экономя на качестве, им не потребуется.

Подробностей по стоимости для персонального и коммерческого использования пока нет, ждём-следим.

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

Ноябрьский Linux Patch Wednesday

Добавить комментарий

Ноябрьский Linux Patch Wednesday

Ноябрьский Linux Patch Wednesday. Только я обрадовался в октябре, что количество уязвимостей постепенно снижается до приемлемого уровня, как снова получил пик. Всего 803 уязвимостей. Из них 567 в Linux Kernel. Какое-то безумие. 😱

2 уязвимости в Chromium с признаками эксплуатации вживую:

🔻 Security Feature Bypass - Chromium (CVE-2024-10229)
🔻 Memory Corruption - Chromium (CVE-2024-10230, CVE-2024-10231)

Для 27 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них я бы обратил внимание на:

🔸 Remote Code Execution - PyTorch (CVE-2024-48063)
🔸 Remote Code Execution - OpenRefine Butterfly (CVE-2024-47883) - "web application framework"
🔸 Code Injection - OpenRefine tool (CVE-2024-47881)
🔸 Command Injection - Eclipse Jetty (CVE-2024-6763)
🔸 Memory Corruption - pure-ftpd (CVE-2024-48208)

🗒 Отчёт Vulristics по ноябрьскому Linux Patch Wednesday

Навстречу Runux!

Добавить комментарий

Навстречу Runux!

Навстречу Runux! Минцифры отреагировало на демарш Торвальдса предложением создать собственное Linux-сообщество. Инициативу создать альтернативу The Linux Foundation без культа личности гикельберифинна, закладок NSA, политоты и с ориентацией на потребности стран БРИКС можно только приветствовать. 👍 Но такое сообщество без собственного продукта, форка, условного Runux-а вряд ли будет жизнеспособно.

Я бы делал форк на основе текущей стабильной ветки Linux с патчами от центра ядра Linux ИСП РАН. Никакой автоматической синхронизации с ядром Linux от TLF я бы не делал, отслеживал бы только фиксы для уязвимостей. И, при необходимости, дёргал бы оттуда код драйверов и прочего полезного (как делают, например, FreeBSD). Это в значительной степени решило бы проблему новых вредоносных закладок и дало бы возможность российским разработчикам нормально контрибьютить в основную ветку нового ядра. А отечественные вендоры ОС могли бы пересесть на Runux относительно безболезненно.

А вот помните, когда был кейс со зловредным кодом в node-ipc, удаляющим содержимое файлов на хостах с российскими и белорусскими IP-адресами, многие говорили (да и я тоже), что нужно как-то заранее отслеживать буйных политизированных деятелей опенсурса, которые могут что-то подобное в свои проекты засунуть?

Добавить комментарий

А вот помните, когда был кейс со зловредным кодом в node-ipc, удаляющим содержимое файлов на хостах с российскими и белорусскими IP-адресами, многие говорили (да и я тоже), что нужно как-то заранее отслеживать буйных политизированных деятелей опенсурса, которые могут что-то подобное в свои проекты засунуть?

А вот помните, когда был кейс со зловредным кодом в node-ipc, удаляющим содержимое файлов на хостах с российскими и белорусскими IP-адресами, многие говорили (да и я тоже), что нужно как-то заранее отслеживать буйных политизированных деятелей опенсурса, которые могут что-то подобное в свои проекты засунуть? И, соответственно, их проекты стараться обходить стороной.

Как вчера выяснилось, главный по разработке ядра, используемого чуть менее чем во всех отечественных ОС, позиционирует себя расовым гекльберрифинном, борцом с "агрессией" и, видимо, большим знатоком зимней войны. И вот чего теперь? На такого буйного опенсурсера реакция вендоров отечественных ОС-ей и ИБ регуляторов будет? 🤔

Ознакомился с драмой про удаление 11 российских разработчиков из списка мейнтейнеров стабильной ветки ядра Linux

Добавить комментарий

Ознакомился с драмой про удаление 11 российских разработчиков из списка мейнтейнеров стабильной ветки ядра Linux

Ознакомился с драмой про удаление 11 российских разработчиков из списка мейнтейнеров стабильной ветки ядра Linux. Поглядел оригинальный тред, темы с обсуждением на Хабре и на OpenNet.

Так-то ничего нового, уже после скандала с Baikal Electronics было понятно, что нормально контрибьютить в ядро Linux российским организациям (да и просто специалистам с российским бэкграундом) не дадут.

Могу только повторить:

"Предсказуемо. Опенсурс-опенсурсом, а Linux Foundation это конкретная американская организация. Как и банящий разработчиков GitHub это Microsoft. Понятно каким регуляциям они подчиняются.

Поэтому ядро Linux должно быть своё. Например, от ИСП РАН. И репозитории должны быть свои. И дистрибутивы Linux. Это породит дополнительную фрагментацию и несовместимость, но это выглядит как неизбежные издержки."

И от термина "Linux" тоже неплохо бы уйти в перспективе. 🤷‍♂️

На прогибы Торвальдса сотоварищи смотреть, конечно, тошновато, но другого я от just4fun-щика и не ожидал.

Октябрьский Linux Patch Wednesday

Добавить комментарий

Октябрьский Linux Patch Wednesday

Октябрьский Linux Patch Wednesday. Всего 248 уязвимостей. Из них 92 в Linux Kernel.

5 уязвимостей с признаками эксплуатации вживую:

🔻 Remote Code Execution - CUPS (CVE-2024-47176) и ещё 4 уязвимости CUPS, которые могут использоваться также для усиления DoS-атак
🔻 Remote Code Execution - Mozilla Firefox (CVE-2024-9680)

Для 10 уязвимостей признаков эксплуатации вживую пока нет, но есть эксплоиты. Из них можно выделить:

🔸 Remote Code Execution - Cacti (CVE-2024-43363)
🔸 Elevation of Privilege - Linux Kernel (CVE-2024-46848)
🔸 Arbitrary File Reading - Jenkins (CVE-2024-43044)
🔸 Denial of Service - CUPS (CVE-2024-47850)
🔸 Cross Site Scripting - Rollup JavaScript module (CVE-2024-47068)

🗒 Отчёт Vulristics по октябрьскому Linux Patch Wednesday