Вчера известный испанский специалист по ИТ-безопасности Гектор Марко (Hector Marco) опубликовал на своём сайте сообщение о критической уязвимости CVE-2016-4484, получившей говорящее название «Cryptsetup Initrd root Shell».
Проблема была обнаружена в утилите cryptsetup, предназначенной для шифрования жёстких дисков в Linux с помощью LUKS (Linux Unified Key Setup). Некорректная обработка вводимого пользователем пароля в скрипте /scripts/local-top/cryptroot приводит к тому, что достаточно попытаться сделать эту операцию (ввести неправильный пароль) множество раз (93 для архитектуры x86), что вызовет root-шелл (Busybox). Таким образом, эксплуатация уязвимости cryptsetup заключается в том, чтобы просто зажать клавишу Enter на примерно 70 секунд, после чего вы окажетесь в системе с правами администратора.
Из официального комментария Марко о CVE-2016-4484: «Эта уязвимость очень надёжна [в воспроизведении], потому что не зависит от конкретных систем или конфигураций. Атакующие могут копировать, модифицировать и удалять данные жёсткого диска, а также настроить сеть для пересылки данных. Уязвимость особенно серьёзна в таких окружениях, как библиотеки, банкоматы, терминалы в аэропортах, лаборатории и т.п., где весь процесс загрузки защищён (паролем в BIOS и GRUB), а у нас есть доступ к клавиатуре и/или мыши».
Автор отмечает, что «если вы используете Debian или Ubuntu (возможно, уязвимы и производные дистрибутивы, но мы их не проверяли) и зашифровали системный раздел, то ваши системы уязвимы», а также то, «что системы, использующие Dracut вместо initramfs, тоже уязвимы (проверено на Fedora 24 x86_64)». На странице описания уязвимости CVE-2016-4484 предлагается и патч для скрипта cryptroot, и простой workaround.
Вчера был анонсирован очередной релиз популярного свободного веб-браузера проекта Mozilla — Firefox 50.0.
Несмотря на «юбилейный» номер версии, релиз стал регулярным в смысле количества представленных новшеств. Итак, среди наиболее значимых изменений в Firefox 50:
обновления в клавиатурных сочетаниях: опция для переключения вкладок по Ctrl+Tab в порядке их недавнего использования и просмотр страницы в режиме читателя (Reader Mode) через Ctrl+Alt+R;
опция поиска по странице с совпадением только по целому слову;
защита от загрузки большого количества исполняемых файлов в Windows, Mac и Linux;
улучшенная производительность SDK-расширений и расширений, использующих загрузчик SDK-модуля;
улучшенная доступность WebGL в Windows (поддержку получили более 98 % пользователей Windows 7 и выше);
встроенная коллекция иконок Emoji для операционных систем без родных Emoji-шрифтов (Linux и Windows версии 8 и ниже);
в Adnroid-версии добавлена поддержка видео в HLS (через player overlay) и упрощён пользовательский интерфейс благодаря комбинированию панелей недавних вкладок (Recent Tabs) и истории (History);
многочисленные улучшения для веб-разработчиков (включая поддержку X-Content-Type-Options, реализацию заголовка Referrer-Policy и ряд новых возможностей в CSS/HTML/JavaScript и API — полный список см. здесь).
Вчера некоммерческая организация Apache Software Foundation (ASF) объявила о новом крупном релизе своего набора инструментов на Java для работы с облачной инфраструктурой — Apache jclouds v2.0.
Проект jclouds называется «Java-тулкитом для множества облаков» и предлагает универсальную библиотеку для взаимодействия с большим количеством облачных провайдеров через единый API. Проект попал в Apache Incubator в апреле 2013 года и стал ведущим проектом Apache (Top-Level Project, TLP) в октябре того же года. После получения статуса TLP в кодовую базу Apache jclouds внесли более 13 тысяч изменений (коммитов) более 250 разработчиков, а последняя версия — 2.0 — стала 11-м релизом с 1 тысячей коммитов.
Среди поддерживаемых в Apache jclouds облачных провайдеров значатся: Amazon (AWS), CloudSigma, DigitalOcean, ElasticHosts, Go2Cloud, GoGrid, Google (Google Compute Engine), Microsoft Azure, OpenHosting, ProfitBricks, Rackspace, ServerLove, SkaliCloud и SoftLayer. Среди поддерживаемых облачных API: Abiquo, AWS, Bring Your Own Node, CloudSigma, CloudStack, Docker, ElasticStack и OpenStack. Релиз jclouds 2.0 принёс в проект более широкую совместимость с библиотеками Guava и Guice, поддержку новых провайдеров, лучшую интеграцию с OSGi и Apache Karaf.
Авторы Apache jclouds среди своих пользователей упоминают компании Abiquo, Adobe, CloudBees, Cloudify, Cloudsoft, Mesosphere и Red Hat. Исходный код распространяется на условиях свободной лицензии Apache License v2.0. Сайт проекта — jclouds.apache.org.
Компания Samsung анонсировала международную программу Tizen Mobile App Incentive Program, в рамках которой планирует потратить 9 миллионов USD на поддержку разработки мобильных приложений для Linux-платформы Tizen.
Для участия в конкурсе необходимо (с помощью инструментов Tizen SDK & Tools) разработать приложение или игру для Tizen, целевыми устройствами которого(ой) станут смартфоны Samsung Z1, Z2, Z3 и новинки, что выйдут в 2017 году. После этого — добавить свою разработку в официальный магазин Tizen Store и зарегистрировать программу на сайте конкурса (стартует в начале января 2017 года). Победителями станут разработчики, программы которых войдут в ежемесячный топ-100 приложений для Tizen. Они будут получать 10 тысяч USD за каждый месяц нахождения программы в списке 100 лучших. Конкурс официально стартует в феврале 2017 года и продлится 9 месяцев.
Вончел Чай (Woncheol Chai), вице-президент по управлению продуктами в подразделении мобильных коммуникаций Samsung Electronics: «Будучи верным лидером платформы Tizen, мы стремимся способствовать расширению и развитию экосистемы платформы. Рады запустить новую программу, чтобы содействовать разработке и предложить сообществу Tizen лучшие мобильные приложения, а также предоставить нашим пользователям лучший мобильный опыт».
