GNU Ring

Отличная новость с лора!

21 июля официально вышел релиз кроссплатформенного мессенджера с шифрованием Ring 1.0. Много лет Ring находился в стадии бета-тестирования. И сегодня компания Savoir-faire Linux под покровительством GNU рада сообщить, что все основные проблемы исправлены, и клиент готов к использованию.

Ring — это полностью децентрализованный мессенджер, работа которого не зависит от каких-либо серверов или сторонних предприятий. Каждый пользователь Ring подключается к своим контактам через распределенную сеть. Вся коммуникация в Ring полностью зашифрована — текст, голосовые вызовы и видеозвонки невозможно прослушать.

Основные возможности:

шифрование текста, голосовых и видеозвонков (ICE, SIP, TLS);
расшаривание экрана и конференции (Win32 и GNU/Linux);
поддержка блокчейна Ethereum в качестве публичной децентрализованной базы данных пользователей;
децентрализованная коммуникационная платформа (OpenDHT);
поддержка множества платформ: GNU/Linux, Windows UWP (Windows 10 и Surface), Win32 (Windows 7, 8 и 8.1), MacOS (10.10+) и Android (4.0+).

Распространяется Ring под лицензией GPLv3+.

Мессенджер Ring стал частью GNU в октябре 2016 года. Команда Ring благодарит Ричарда Столлмана и FSF за поддержку проекта!

От себя же хочу добавить, что лично мне очень интересно попробовать такую штуку. Т.к. с технологической точки зрения, это определенно — шаг в перед! Т.е. по отдельности то, все эти технологии уже использовались, но вместе — нет.

Про SSL, часть первая: какие бывают сертификаты

После обновления Firefox до версии 52, оно стало ругаться на незащищенное соединение, и задумался о настройке подключения SSL к некоторым своим серверам. Понятное дело, хочется бесплатно, или как минимум «по дешевле». Пока разбирался в ньюансах, накопал некоторое количество интересной информации, которую и постараюсь упорядоченно изложить.

Собственно, если задуматься на тему «для чего нужны сертификаты», можно было и самому догадаться, что основное отличие сертификатов — в степени доверия. Т.е. если не привязываться к набору услуг какого-то одного удостоверяющего центра, то разделить сертификаты по степени доверия можно на три части:

  1. сертификаты, которые подтверждают только доменное имя (Domain Validation — DV);
  2. сертификаты, которые подтверждают домен и организацию (Organization Validation — OV);
  3. сертификаты с расширенной проверкой (Extended Validation — EV).

Сертификаты первого типа, нередко выдаются бесплатно, проверяются они обычно в автоматическом режиме. Для получения такого сертификата достаточно всего лишь подтвердить, что данный домен принадлежит вам. Сделать это можно разными способами, например путем отправки письма на один из зафиксированных в rfc адресов, таких как postmaster@вашдомен.ру (webmaster, hostmaster и т.д.).

Т.е. такой сертификат подтверждает, что страница которую вы видите в браузере, действительно загружена с сайта с тем доменным именем, которое вы видите в адресной строке. (Если не понятно зачем это нужно, почитайте, что такое mitm атака).

Выглядит это вот так:

Читать

Обновления в репах Ubuntu

USN-3141-1: Уязвимость в Thunderbird, позволяет удаленному злоумышленнику выплнить код с привелегиями приложения или уронить его.
USN-3140-1:То же самое касательно firefox. Удаленный атакующий может путем хитрого URL’а уложить огнелиса, или выполнить код на вашей стороне.
USN-3142-1:Уязвимость в ImageMagic. Админам серверов с хостингом PHP и обработкой изображений — внимание! Уязвимость потенциально позволяет с помощью особого файла изображения выполнить удаленный код с правами доступа сервиса.

Все применительно к:

12.04
14.04
16.04

Горбатого могила исправит

Несколько лет назад я имел несчастье убедиться в качестве продукции издательства williams publishing. В русском переводе руководства по java нашлись задвоенные страницы… или абзацы, уже точно не вспомню. Но факт остается фактом. Кстати говоря, я им даже письмо тогда написал, правда сейчас не совсем помню, с какой целью.

Тогда я было подумал, что это все наши, «локализаторы» перевод так некачественно сделали. А сегодня гуглил документацию по проектированию информационных систем, и совершенно случайно нагуглил ссылку на перевод книги «Анализ и проектирование информационных систем с помощью UML 2.0» от того же самого издательства…. И не на каком-нибудь рутрекере, а на сайте самого издательства.

Я так понимаю они на персонале экономят как могут. Вычитать текст некому, админить сервер тоже не кому.

К слову вот ссылка на первую часть http://www.williamspublishing.com/PDF/5-8459-0276-2/part0.pdf

 

Новые дыры в окнах

Гугл снова нашел дыры в популярном софте, в этот раз в Adobe flash и Windows. Adobe оперативненько подготовила обновления и все кто использует автоматическое обновление плагина уже его получили.  https://habrahabr.ru/post/314142/

А в виллабаджо … что они там делали? Посуду драили? В общем microsoft обновление пока не выпустил.

Еще в посте есть забавная статистика уязвимостей в разных браузерах. Общий смысл такой: в хроме, за последние пару лет, уязвимостей было найдено не меньше чем в IE и мозилле, но выполнить код на машине жертвы позволяли только 1-2% из них. В мозилле таких уязвимостей было 43%, в IE и Safari по 63%.

Есть над чем задуматься. Но блин сложно сменить превычный браузер, на пусть и хороший, но другой.

Про грязную корову

Наверное все уже слышали про баг в ядре, позволяющий делать эскалацию прав локальному злоумышленнику (https://tproger.ru/news/android-rooting-by-linux-bug/).  Народ быстренько нарисовал эксплоит под андроид, который позволяет получить рутованый девайс без танцев с бубном и замены загрузчика (https://habrahabr.ru/company/defconru/blog/313276/).

Лично мне интересно было сообщение Л.Торвальдса на эту тему (https://lkml.org/lkml/2016/10/19/860). Хреново конечно, что данную проблему фиксят не первый раз за 11 лет, но уверен, что последний, т.к. нашли правильное решение.

Кстати, как видно из сообщение Линуса, причина почему все так затянулось — в совместимости с платформой IBM S390. Т.е. чем больше устройств поддерживает операционная система, тем она потенциально более дырявая, и тем сложнее разработчикам ее довести до идеала, т.к. приходится принимать очень много компромиссных решений в архитектуре. Я это к тому, что Microsoft сейчас активно продвигает тему «одна операционка на всех устройствах». Так вот они и раньше то нормальный софт не очень писать умели, а теперь и вовсе на неподъемную задачу замахнулись. Я уверен на 146%, что это еще не раз им вылезет боком, и вполне допускаю, что в течение 5 лет, они нехило испортят себе и без того хреновую репутацию.

Обновления в репах 30.09.2016

В ClamAV пофиксили уязвимость, которая может эксплуатироваться удаленно (CVE-2016-1371, CVE-2016-1372, CVE-2016-1405), актуально для дистрибутивов начиная с 12.04 до 16.04. Рекомендую обновиться.

В Samba тоже закрыли уязвимость доступную для удаленных доброжелателей (CVE-2016-2119), актуально для 14.04, 16.04.

В Bind пофиксили уязвимость, благодаря которой, можно удаленно прибить сервис и получить отказ в обслуживании (CVE-2016-2776). Актуально для версий с 12.04 по 16.04.

В OpenSSL починили обнаруженную регрессию, используя которую можно заставить сервис сожрать всю память сервера и получить отказ в обслуживании. Подробности тут (https://launchpad.net/bugs/1626883). Актуально для версий с 12.04 по 16.04.

С более подробным списком уязвимостей по своему дистрибутиву можно ознакомиться тут: http://www.ubuntu.com/usn/