Горбатого могила исправит

Несколько лет назад я имел несчастье убедиться в качестве продукции издательства williams publishing. В русском переводе руководства по java нашлись задвоенные страницы… или абзацы, уже точно не вспомню. Но факт остается фактом. Кстати говоря, я им даже письмо тогда написал, правда сейчас не совсем помню, с какой целью.

Тогда я было подумал, что это все наши, «локализаторы» перевод так некачественно сделали. А сегодня гуглил документацию по проектированию информационных систем, и совершенно случайно нагуглил ссылку на перевод книги «Анализ и проектирование информационных систем с помощью UML 2.0» от того же самого издательства…. И не на каком-нибудь рутрекере, а на сайте самого издательства.

Я так понимаю они на персонале экономят как могут. Вычитать текст некому, админить сервер тоже не кому.

К слову вот ссылка на первую часть http://www.williamspublishing.com/PDF/5-8459-0276-2/part0.pdf

 

Новые дыры в окнах

Гугл снова нашел дыры в популярном софте, в этот раз в Adobe flash и Windows. Adobe оперативненько подготовила обновления и все кто использует автоматическое обновление плагина уже его получили.  https://habrahabr.ru/post/314142/

А в виллабаджо … что они там делали? Посуду драили? В общем microsoft обновление пока не выпустил.

Еще в посте есть забавная статистика уязвимостей в разных браузерах. Общий смысл такой: в хроме, за последние пару лет, уязвимостей было найдено не меньше чем в IE и мозилле, но выполнить код на машине жертвы позволяли только 1-2% из них. В мозилле таких уязвимостей было 43%, в IE и Safari по 63%.

Есть над чем задуматься. Но блин сложно сменить превычный браузер, на пусть и хороший, но другой.

Про грязную корову

Наверное все уже слышали про баг в ядре, позволяющий делать эскалацию прав локальному злоумышленнику (https://tproger.ru/news/android-rooting-by-linux-bug/).  Народ быстренько нарисовал эксплоит под андроид, который позволяет получить рутованый девайс без танцев с бубном и замены загрузчика (https://habrahabr.ru/company/defconru/blog/313276/).

Лично мне интересно было сообщение Л.Торвальдса на эту тему (https://lkml.org/lkml/2016/10/19/860). Хреново конечно, что данную проблему фиксят не первый раз за 11 лет, но уверен, что последний, т.к. нашли правильное решение.

Кстати, как видно из сообщение Линуса, причина почему все так затянулось — в совместимости с платформой IBM S390. Т.е. чем больше устройств поддерживает операционная система, тем она потенциально более дырявая, и тем сложнее разработчикам ее довести до идеала, т.к. приходится принимать очень много компромиссных решений в архитектуре. Я это к тому, что Microsoft сейчас активно продвигает тему «одна операционка на всех устройствах». Так вот они и раньше то нормальный софт не очень писать умели, а теперь и вовсе на неподъемную задачу замахнулись. Я уверен на 146%, что это еще не раз им вылезет боком, и вполне допускаю, что в течение 5 лет, они нехило испортят себе и без того хреновую репутацию.

Обновления в репах 30.09.2016

В ClamAV пофиксили уязвимость, которая может эксплуатироваться удаленно (CVE-2016-1371, CVE-2016-1372, CVE-2016-1405), актуально для дистрибутивов начиная с 12.04 до 16.04. Рекомендую обновиться.

В Samba тоже закрыли уязвимость доступную для удаленных доброжелателей (CVE-2016-2119), актуально для 14.04, 16.04.

В Bind пофиксили уязвимость, благодаря которой, можно удаленно прибить сервис и получить отказ в обслуживании (CVE-2016-2776). Актуально для версий с 12.04 по 16.04.

В OpenSSL починили обнаруженную регрессию, используя которую можно заставить сервис сожрать всю память сервера и получить отказ в обслуживании. Подробности тут (https://launchpad.net/bugs/1626883). Актуально для версий с 12.04 по 16.04.

С более подробным списком уязвимостей по своему дистрибутиву можно ознакомиться тут: http://www.ubuntu.com/usn/

 

CVE-2016-5696

В начале июня этого года стало известно о уязвимости в tcp/ip стеке ядра linux версия от 2.6 до 4.7 (в 4.7 пофиксили). Суть уязвимости в возможности удаленно сбрасывать tcp сессию, подбирать номер пакета в tcp последовательности. Исследователи обнаружившие уязвимость сообщают о возможности проведения атака типа mitm.

Для Debian/Ubuntu заплатка выпущена, обновленные пакеты уже в репозитории.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696

Если под ваш дистрибутив нет патча, есть еще вот такой вариант:

This RFC 5961 has allegedly only been implemented on Linux, not Windows or Mac OS.

The fix allegedly is to enter the following in your sysctl.conf (mine is in /etc)

#—————————————————————
# Fix RFC RFC 5961 problem
#—————————————————————

net.ipv4.tcp_challenge_ack_limit = 999999999

The (as root) run sysctl -p (or reboot)

Отсюда: https://www.linkedin.com/groups/49301/49301-6169443184947519488

Странное поведение приложения mail.ru под adroid

Пару дней назад случилось странное. С нашего почтового сервера (около 100 ящиков) улетело за 2 дня примерно 80 гигабайт исходящего траффика. Т.к. интернет в нашем городе дорогой (0.69 р. за метр) сумма получилась солидная.

Запросил детализацию у провайдера, оказалось, что весь трафик ушел с 143 TCP порта в сторону нескольких хостов, в WHOIS адреса числятся как «MAILRU-NET08». Никаких сборщиков почты у пользователей в нашем домене не настроено, это проверил в первую очередь. Собственно, после анализа предоставленной провайдером статистики вопросов только прибавилось. Читать

wordpress SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Вот странная ошибка, на мой взгляд.

По логике, это должно означать, что wordpress, не смог средствами операционной системы в которой он установлен проверить валидность сертификата, и соединяться не стал. Но нет. Средствами ОС он этого сделать не может, и что бы оставить движек максимально простым в использовании, разработчики пошли на не совсем простой шаг. Встроили проверку сертификата вместе с хранилищем сертификатов в сам wordpress.

Если вы попали сюда из поисковика, в поиске решения этой ошибки, то лечится она легко:

Достаточно в директорию wp-includes/certificates положить файл http://curl.haxx.se/ca/cacert.pem под именем ca-bundle.crt

А теперь, чем меня насторожило такое решение. Дело в том, что движки подобные wordpress легко ломаются, всегда найдется пара не пропатченных багов. А загрузка файлов через SSL не стартует без проверки подлинности, на случай, если нам пытаются подсунуть левый контент посредством атаки Men in middle.

Получается, что проверку подлинности сервера можно легко отключить, путем замены файла ca-bundle.crt на свой, где будет добавлен сфабрикованный корневой сертификат которым будет подписан сертификат узла men in middle.

 

UPD: Как показала практика, не везде можно решить проблему таким образом.

На сайте разработчиков curl нашел вот что: http://osdir.com/ml/web.curl.php/2007-02/msg00008.html

Суть в том, что если у вас установлена версия curl из перечисленных:

>libcurl/7.10.3 OpenSSL/0.9.6g
> libcurl/7.12.1 OpenSSL/0.9.7a
> libcurl/7.11.2 OpenSSL/0.9.7c

То без обновления curl не обойтись.

Прямо праздник какой то

Для вирусописателей, и начинающих программистов, желающих приколоться над знакомым есть отличная новость из Редмонда.

3 дня назад, товарищ @ParvezGHH сообщил о обнаружении в продуктах Microsoft Office серъезной уязвимости, позволяющей выполнить любой код с правами пользователя открывшего специально созданный документ Office.

В качестве примитивной, но действенной защиты в голову приходит только — не открывать файлы офиса с расшаренных ресурсов, а сперва копировать к себе. Не открывать ничего в формате офиса с чужих флешек. Читать

VNC server проблема с поддержкой шифрования.

Сегодня срочно потребовалось зайти удаленно на десктоп с убунтой 14.04. Такое бывает крайне редко, последний раз пару лет назад, но на всякий случай стандартный vnc сервер у меня всегда включен.

С первой попытки зайти не удалось, vnc-viewer жаловался на какие то проблемы с протоколом 3.3. Другим клиентом зайти тоже не удалось. Вторая Ultravnc сказала «Error no security type suitable for rfb 3.3 supported».

 

Решить эту фигню можно только с помощью заклинания в консоли:

gsettings set org.gnome.Vino require-encryption false

которое отключить нафиг шифрование.

P.S.

Если попытаться выполнить эту команду удаленно (например по ssh с другого хоста), то в ответ получишь:

(process:12024): dconf-WARNING **: failed to commit changes to dconf: Cannot autolaunch D-Bus without X11 $DISPLAY

решается эта беда с помощью такого скрипта (спер отседа: http://askubuntu.com/questions/457016/how-to-change-gsettings-via-remote-shell):


#!/bin/bash

# Remember to run this script using the command «source ./filename.sh»

# Search these processes for the session variable
# (they are run as the current user and have the DBUS session variable set)
compatiblePrograms=( nautilus kdeinit kded4 pulseaudio trackerd )

# Attempt to get a program pid
for index in ${compatiblePrograms[@]}; do
PID=$(pidof -s ${index})
if [[ «${PID}» != «» ]]; then
break
fi
done
if [[ «${PID}» == «» ]]; then
echo «Could not detect active login session»
return 1
fi

QUERY_ENVIRON=»$(tr ‘\0’ ‘\n’ < /proc/${PID}/environ | grep «DBUS_SESSION_BUS_ADDRESS» | cut -d «=» -f 2-)»
if [[ «${QUERY_ENVIRON}» != «» ]]; then
export DBUS_SESSION_BUS_ADDRESS=»${QUERY_ENVIRON}»
echo «Connected to session:»
echo «DBUS_SESSION_BUS_ADDRESS=${DBUS_SESSION_BUS_ADDRESS}»
else
echo «Could not find dbus session ID in user environment.»
return 1
fi

return 0

в моем случае, я сохранил его в файл discover.sh (естесстевнно нужно ему chmod +x сделать), и запустил командой:


. ./discover.sh unity

именно точка, потом пробел, и затем путь к скрипту.
При этом на удаленном хосте должна быть запущена сессия unity, иначе фокус не получится.

В ответ он должен выплюнуть что-то вроде:

Connected to session:
DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-rJBfi5qWpb

Как все это работает, читай по ссылке, в оригинале.