HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.
Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.
Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.
Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.
Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.
pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.
Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.
… více »Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)
Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.
Aktuální vývojová verze jádra je 3.6-rc6 vydaná 16. září. Statistika je vcelku normální: dvě třetiny dělají ovladače, zbývající třetina je směs aktualizací v architekturách, souborových systémech (gfs2 a nfs) a různé obecně věci (plánovač, pracovní fronty a podobné). Linus doufá, že 3.6 bude venku brzo.
Stabilní aktualizace: verze 3.0.43, 3.4.11 a 3.5.4 vyšly 14. září s obvyklou dávkou důležitých oprav.
Nejdřív musím říct, že to je pěkný bordel. Měl bych se za to stydět. Vy byste se za to měli stydět. My všichni, co jsme to dopustili, bychom se měli stydět. Než půjdeme dál, tak bychom měli aspoň deset sekund strávit s pocitem studu.
-- Tejun Heo
Cc: Mezci <stáj@vger.kernel.org>
-- Alan Cox
Lidé provozující gitové stromy dávají přednost opravným patchům vinou rozsáhlé neschopnosti.
Během posledních let získalo linuxové jádro schopnost zkoumat integritu souborů na disku v rámci ochrany proti offline útokům. Integrity Management Architecture (IMA) bylo přidáno do jádra 2.6.30 a pak následovaly další dílky skládanky, ale ještě to není hotové. Dmitry Kasatkin měl přednášku na Linux Security Summitu 2012 (LSS) ohledně rozšíření subsystému pro integritu, aby podporoval také obsah adresářů a různých speciálních souborů.
Ochrana integrity je nutná k tomu, aby bylo možné zabránit útočníkům ve změnách obsahu souborového systému bez vědomí jádra, tedy například odstraněním disku nebo nabootováním do jiného operačního systému. Integrita běhového prostředí je už řešená existujícími mechanismy řízení přístupu, jak Kasatkin řekl. Mezi ně patří mechanismy discretionary access control (DAC) jako tradiční unixová práva u souborů nebo schémata mandatory access control (MAC) jako u SELinuxu nebo Smack. Jenže tyto mechanismy závisí na důvěře v metadata pro řízení přístupu (např. bity oprávnění nebo rozšířené atributy s informacemi o zabezpečení), se kterými lze manipulovat pomocí offline útoku.
IMA zjišťuje integritu souborů počítáním kryptografického hashe z obsahu souboru, který je uložen v rozšířeném atributu (xattr) security.ima. IMA může být používána i s modulem TPM ke vzdálenému ověřování integrity spuštěného systému.
Modul pro rozšířenou validaci EVM byl přidán ve verzi 3.2 za účelem ochrany metadat souborů v inodeech proti offline útokům. Tato metadata zahrnují bezpečnostní xattr (včetně těch pro SELinux a Smack), práv, vlastníka, čísla inode apod. Opět se používá hash těchto hodnot, který EVM ukládá jako xattr security.evm.
V jádře 3.3 bylo přidáno rozšíření digitálních podpisů, které umožňuje podepisování atributů IMA a EVM. Kromě ukládání hashů v xattr může být ukládán a ověřován i digitální podpis hashe.
Funkčnost ověřování IMA, která je podle Kasatkina zacílena na jádro 3.7, zabrání v přístupu k souborům, jejichž IMA hash nesouhlasí s obsahem (soubor byl tedy upraven offline). Vyskytly se jisté problémy s uzamykáním, které bránily této funkci v začlenění, ale ty už byly vyřešeny.
Tyto dílky ale ještě nejsou vším, co je nutné pro skutečnou ochranu integrity. EVM chrání metadata inodů a IMA chrání obsah běžných souborů, jedna věc ale stále schází: názvy souborů. Na Linuxu inody názvy souborů neobsahují, ty sídlí v adresářích a vazba mezi názvem souboru a inodem není chráněna.
Následkem je to, že soubory je možné mazat, přejmenovávat či přesouvat v rámci offline útoku, aniž by to subsystém pro integritu detekoval. Kromě toho jsou symbolické odkazy a device nodes taktéž nechráněny, což znamená, že tyto soubory je možné přidávat, upravovat a mazat bez možnosti odhalení. Pomocí úprav obsahu adresářů je možné uskutečnit různé druhy útoků. Je například možné smazat soubor potřebný pro bootování nebo obnovit zazálohovanou verzi (spolu s odpovídajícími xatttr) programu, kde byly nalezeny zranitelnosti.
Kasatkin za pomoci dvou virtuálních systémů nasimuloval offline útok, kdy v jednom VM vytvořil soubory, pal disk připojil ve druhém VM a některé soubory změnil. Při použití existujícího kódu pro ochranu integrity nemohl přistoupit k upraveným souborům v původním VM, ale neměl problém v případě souborů, které byly přejmenovány nebo přesunuty (stejně tak nebyly odhaleny odstraněné soubory).
To vede k ochraně integrity adresářů a speciálních souborů, kterou navrhl. Pro adresáře budou přidány dva nové háčky ima_dir_check() a ima_dir_update(). Prvně jmenovaný by byl použit při vyhledávání cesty (z may_lookup()) a zabránil by v přístupu, pokud byly některé položky v adresáři nečekaně změněny. Když jsou pak adresáře aktualizovány na běžícím systému, tak je zavoláno ima_dir_update(), které upraví údaje o integritě, aby se v nich tyto úpravy odrazily.
Implementace ověřování začíná u kořenového inode při vyhledávání cesty. Při připojení souborového systému se nic neděje, ověřování probíhá až dle potřeby. Kdykoliv je alokováno dentry (cache položka adresáře), tak je toto ověřeno pomocí ima_dir_check(). Toto navrhované zpětné volání nerozbíjí procházení cest RCU, takže by nemělo způsobit problémy se škálováním na větších strojích. Údaj o integritě je počítán hashováním seznamu položek v adresáři s použitím čísla inode, názvu, typu a offsetu každého z nich; výsledek se ukládá v security.ima v tomto adresáři (které je pak chráněno pomocí EVM).
U speciálních souborů jako symbolických odkazů či device nodes byl přidán jeden nový háček: ima_link_check(). Ten je zavolán během vyhledávání cesty (follow_link()) a u systémového volání readlink(). Zde se vytváří hash cílové cesty v případě symbolických odkazů a major a minor čísla zařízení u device nodes. Hodnoty se opět zapisují do security.ima a ověřují se při přístupu.
Aktualizaci vyžaduje i sada uživatelských nástrojů pro nastavování ověřování integrity a vytváření obrazů, aby podporovala tyto nové funkce. Příkaz evmctl (součást balíčku ima-evm-utils) získal schopnost nastavovat referenční hashe pro adresáře a speciální soubory.
Kasatkin předvedl ochranu integrity s novým kódem. Při přesunu nebo přejmenování souboru není do adresáře, ve kterém je obsažen daný soubor, již možné vstoupit, takže příkazy jako ls nebo cd selžou s chybou EPERM. Ukázal také údaje o dopadu na výkon, který byl při srovnání s IMA/EVM bez speciálního zacházení s adresáři a speciálními soubory nevelký, ale při srovnání s vypnutým IMA/EVM už je rozdíl větší. Zajímavé je to, že oba typy IMA/EVM si vedly při kopírování souboru lépe než disk šifrovaný pomocí dm-crypt. Šifrování disků je pochopitelně dalším způsobem, jak zarazit offline útoky.
Mohlo by se zdát, že práce na subsystému integrity se blíží ke svému „dokončení“. Už nyní jsou k dispozici chybějící dílky; Kasatkin a další doufají, že budou v upstreamu brzy přijaty, ačkoliv poznamenal, že vývojáři VFS ještě nerevidovali jeho poslední patch. Ti z vás, kterým se podobná ochrana hodí, už nebudou muset čekat moc dlouho.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
trusted computing - pekna 3.14covina.