abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:00 | IT novinky

    Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala

    … více »
    Ladislav Hagara | Komentářů: 10
    dnes 04:44 | Bezpečnostní upozornění

    Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.

    Ladislav Hagara | Komentářů: 0
    dnes 04:22 | Komunita

    Clement "Clem" Lefebvre publikoval souhrn dění v Linux Mintu za červen 2026. Vypíchnuta je vylepšená podpora Waylandu. Už není považována za experimentální. V příští verzi Linux Mintu, plánována je na Vánoce, bude běh Cinnamonu plně podporován na X11 i Waylandu. V květnu na vývoj Linux Mintu přispělo 611 dárců celkovou částkou 19 612 dolarů. Dalších 2 326 patronů přispělo na Patreonu celkovou částkou 5 334 dolarů.

    Ladislav Hagara | Komentářů: 4
    dnes 04:00 | Bezpečnostní upozornění

    V Linuxu v KVM byla nalezena a v upstreamu již byla opravena kritická zranitelnost Januscape aneb CVE-2026-53359. Root na hostovaném počítači (virtuální stroj) může obejít izolaci a získat plnou kontrolu nad hostitelským systémem (DoS útok nebo vzdálené spuštění kódu s právy roota). Na obou hlavních architekturách – Intel i AMD. Zranitelnost v Linuxu existovala téměř 16 let (od srpna 2010 do června 2026).

    Ladislav Hagara | Komentářů: 0
    včera 19:44 | IT novinky

    Tribunál Soudního dvora Evropské unie dnes zamítl několik žalob, v nichž se americká společnost Apple ohrazovala proti pravidlům fungování velkých technologických společností na unijním trhu. Applu se nelíbilo, že jeho obchod s aplikacemi a operační systém iOS mají podléhat přísnějším povinnostem jen proto, že Brusel firmu považuje za takzvaného gatekeepera, tedy strážce přístupu.

    Ladislav Hagara | Komentářů: 2
    včera 13:11 | IT novinky

    Na WhatsAppu budou postupně v průběhu následujících měsíců zavedena uživatelská jména. Telefonní čísla tak mohou zůstat soukromá. Aktuálně si lze uživatelské jméno rezervovat.

    Ladislav Hagara | Komentářů: 3
    včera 11:11 | IT novinky

    Byl aktualizován TIOBE Index (Wikipedie). Programovací jazyk Rust se poprvé dostal do první desítky tohoto žebříčku popularity programovacích jazyků. Vede Python následovaný C, C++, Java, C#, …

    Ladislav Hagara | Komentářů: 0
    včera 01:55 | Nová verze

    Proton (Wikipedie), tj. fork Wine integrovaný ve Steamu umožňující na Linuxu hrát hry určené pouze pro Windows, byl vydán ve verzi 11.0-1. Přehled novinek se seznamem nově podporovaných her na GitHubu. Aktuální přehled všech podporovaných her na stránkách ProtonDB

    Ladislav Hagara | Komentářů: 0
    7.7. 20:44 | Zajímavý software

    Byly publikovány zdrojové kódy počítačové hry Unturned. Pro nekomerční účely. V plánu je přelicencování pod MIT. Hra Unturned je postavena nad multiplatformním herním enginem Unity.

    Ladislav Hagara | Komentářů: 1
    7.7. 15:55 | IT novinky

    První česká družice navržená a sestavená výhradně studenty se dostala na oběžnou dráhu Země. Družice KOSTKA, kterou vyvinul studentský tým YSpace z Vysokého učení technického v Brně (VUT), dnes odstartovala na palubě rakety Falcon 9 společnosti SpaceX v rámci mise Transporter-17 z kalifornské základny Vandenberg Space Force Base.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (10%)
     (7%)
     (2%)
     (17%)
     (31%)
     (4%)
     (6%)
     (2%)
     (16%)
     (25%)
    Celkem 2083 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník


    4 kritické bezpečnostní chyby v produktech společnosti VMware

    Byly nalezeny a opraveny 4 kritické bezpečnostní chyby v produktech ESXi, Workstation, Fusion a Cloud Foundation společnosti VMware. Z hostovaného systému lze spustit škodlivý kód na hostiteli.

    7.3.2024 14:00 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    7.3.2024 15:23 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Podle "ESXi 7.0(8.0) Any" se to má chápat tak, že tato konkrétní zranitelnost byla v této technologii cca 4 roky, podpora verze 7.0 končí v 2027 (takže si zranitelnost užila většinu životního cyklu verze)? Kdoví, třeba byla přítomna i v přechozí verzi, explicitně ze to nevylučuje.
    7.3.2024 15:53 Ladislav Hagara | skóre: 107 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Byla. ESXi 6.7, ESXi 6.5, …
    7.3.2024 17:11 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Byla tato chyba odhalena při jejím zneužití, náhodně, nebo cíleně? Pokud jde o poslední způsob na základě úsilí kolika jednotlivců to bylo? Pokud si představíme, že někdo věnuje na tento účel 1 mld US$/y představuje to i 10 000 takto se snažících. To nemusí představovat ani 1% některých rozpočtů na obranu, nemluvě o případném zisku z úspěšného zneužití zranitelnosti (přístup k obchodním tajemstvím, úspor nákladů na vývoj díky průmyslové́ špionáži, atd.).

    Bylo by zajímavé dodatečným průzkumem zjistit jaké procento uživatelů využívající těchto technologii právě kvůli nim neprošlo bezpečnostními audity (pokud tedy vůbec někdo).
    7.3.2024 17:58 X
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Team Ant Lab working with the 2023 Tianfu Cup Pwn Contest
    V klidu. Jsou to chyby regulerne privatne oznamene v ramci honorovaneho white hat contestu, podobne jako pwn2own.
    7.3.2024 18:01 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    A to snad vylučuje, aby na stejné chyby (nenahlášené) nepřišel někdo dříve?
    7.3.2024 18:55 X
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    To nikdo netvrdi. Jen odpovidam na tvou otazku. Fakticky a bez nepodlozenych teorii. To ze existuji napriklad ruske, nebo severo-korejske statem finacovane "skupiny", ktere takovou chybu asi neohlasi je vycemene znamy fakt. Nicmene nema smylsl se zabyvat necim co stejne nedokazes.
    7.3.2024 18:56 X
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    vicemene
    7.3.2024 19:01 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Jen si myslím, že není důvod pro "V klidu.", bez ohledu na to jak moc bílé klobouky určitou chybu odhalí.
    Max avatar 7.3.2024 20:35 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Stejné otázky si ale lze klást i u ostatních projektů včetně OSS. Nikdy nevíš, co kdo má reálně v rukávu a co se kde obezřetně zneužívá.
    Zdar Max
    Měl jsem sen ... :(
    8.3.2024 02:27 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    A přesto se prakticky rezignovalo na přípravu scénářů jak fungovat aspoň po přechodnou dobu byť třeba i omezeně bez těchto technologií.
    8.3.2024 08:51 X
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Peto, pls stop. Bezpecnost se nesklada jen z jedne vrstvy a zavazna zranitelnost automaticky neznamena prime ohrozeni.
    8.3.2024 09:28 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Jaká další vrstva zabrání zneužít tuto zranitelnost, například v rámci instance ESXi hostující VM provozované odlišnými subjekty?
    8.3.2024 09:53 a1bert | skóre: 24
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    treba topologie
    8.3.2024 11:45 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Je to možné trochu rozvést?
    8.3.2024 11:51 ~
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    A co tu chces rozvadet? Prvni otazka kterou bezpecak dava pri priprave virtualizovaneho prostredi je "Co kdyz nekdo hackne hostitele?" a od toho se odviji treba ta topologie, aby hacknutej hostitel byl by-design izolovanej od zbytku atd.
    8.3.2024 12:28 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    To není odpovědí na otázku položenou "X": "Jaká další vrstva zabrání zneužít tuto zranitelnost, například v rámci instance ESXi hostující VM provozované odlišnými subjekty?" a to na základě jeho tvrzení "Bezpecnost se nesklada jen z jedne vrstvy a zavazna zranitelnost automaticky neznamena prime ohrozeni."

    Zajímalo mne jaké opatření v této zmíněné konfiguraci měl konkrétně na mysli.

    8.3.2024 13:36 X
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Predstav si, ze abclinuxu.cz bezi na ESXi virtualizaci a ted bych te poprosil, aby jsi tu zranitelnost zneuzil a smazal tento prispevek.
    8.3.2024 13:43 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Beru to tak, že odpověď na původní otázku neznáte, nebo ji nechcete prozradit.
    8.3.2024 14:40 a1bert | skóre: 24
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    dyt to pisou primo v tom CVE, treba sandboxing guestu ;)
    8.3.2024 15:13 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    On ESXi, the exploitation is contained within the VMX sandbox whereas, on Workstation and Fusion, this may lead to code execution on the machine where Workstation or Fusion is installed.
    V ESXi zneužití možné v rámci dalších VM, u Workstation a Fusion dokonce i na jejich hostu.
    A malicious actor with privileges within the VMX process may trigger an out-of-bounds write leading to an escape of the sandbox.
    Nic z toho mi nezní jako popis bezpečí sandboxu.
    8.3.2024 15:23 a1bert | skóre: 24
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    ESXi neumi sandboxovat jednotlive guesty?
    8.3.2024 16:05 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Ta zranitelnost jak jsem pochopil se snad projevuje právě uvnitř jednotlivých VM(sandboxů), skrze něco co je všemi VM sdíleno xCHI USB controller. Možná, ze cílené vyloučení xCHI USB controleru z "konfigurace HW" konkrétní VM by tuto před útokem ochránilo (což tedy nezmiňují).
    8.3.2024 21:04 RealJ | skóre: 10
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Petre, evidentne bezpecnosti nerozumis, nechces se radsi vysrat na diskusi o bezpecnosti? Delas ze sebe jenom dalsiho velmistra nebo Jirsaka.
    8.3.2024 22:03 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Znalostní mezery jsou od toho, aby se zaplňovaly (ať individuálně, či s pomocí druhých). Ale chápu, že tento přístup může být těžko pochopitelný pro někoho kdo dané problematice vždy rozuměl. Dvakrát.
    Max avatar 8.3.2024 14:19 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    On ale podle mně myslí něco jiného. Jsi provozovatelem cloudových služeb. Tyto služby poskytuješ ve velkém, takže zákoš přijde na web, zaregistruje se, zaplatí třeba 150,-Kč přes revolut, paypalem, btc nebo jinak a běží mu tím pádem u tebe v prostředí jeho VM. A on přes tu jeho VM může pak napadnout tvé hosty a sundat ti celého hypervisora (= to je ta hloupější varianta), nebo by si získal roota do hypervisora a snažil se nepozorovaně proniknout dál a dál a získat citlivá data jiných zákazníků apod.

    Jinými slovy, jedná se o stejnou situaci, jako řešil Amazon a jiní poskytovatelé v době, kdy z Intelu padala jedna díra za druhou a oni byli v loji, bo nezaplátovat = průserver, zaplátovat = průser (bo to přinášelo performance impacty).
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 8.3.2024 10:31 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    To by asi chtělo rozvést. Jako, že nikdo nemá otestováno všechno přeinstalovat na jiný hypervisor? Třeba všech tisíc hypervisorů včetně konverze formátů všech VM a včetně změny backup řešení a navazujících technologií? Nebo, jaký konkrétní scénář je na mysli?

    Vždyť ta virtualizace je normální OS, na který chodí patche apod. Strategie je tedy stejná jako u běžného OS, prostě se nainstaluje patch (nebo se aplikuje workaround) a jede se dál, maximálně se ještě udělá inspekce, zda to už někde nemohlo být zneužito.
    Zdar Max
    Měl jsem sen ... :(
    8.3.2024 11:50 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Ne, byla tím myšlena nulová varianta (paperwork).
    Max avatar 8.3.2024 12:02 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Na to jsem se ale neptal. Můžete být uveden nějaký technický příklad?
    Já bych jeden velmi specifický měl, ale zajímá mně vaše reálná představa.
    Zdar Max
    Měl jsem sen ... :(
    8.3.2024 12:37 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Jestli víte lépe jak byla míněna má původní věta, pak si asi lépe naformulujete i odpověď na Váš dotaz.
    Max avatar 8.3.2024 13:22 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Já jsem jen chtěl, abyste nějak konkrétněji rozvedl tuto myšlenku: "A přesto se prakticky rezignovalo na přípravu scénářů jak fungovat aspoň po přechodnou dobu byť třeba i omezeně bez těchto technologií.".
    Pokud to bylo jen plácnutí do prázdna bez něčeho hlubšího, tak to napište místo nějakého nemsyslného okecávání. Napsal jste totiž naprosto fádní věc. Např. bez jakých technologií? Bez virtualizačních? Bez operačního systému? Bez čeho vlastně? Podle mně cokoli z toho nedává smysl. Jediný, co dává smysl, je směřování ke kontejnerizaci a CI/CD nasazování apod., kdy je člověk schopen relativně rychle přenést celé prostředí někam jinam (např, do cloudu apod.) a pak samozřejmě nějaká úroveň diverzifikace, která jde ale proti jednotnému konceptu.
    Zdar Max
    Měl jsem sen ... :(
    8.3.2024 14:02 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    ... bez těchto technologií, ve smyslu všech.

    Třeba tohle pomůže smysl věty pochopit.

    Max avatar 8.3.2024 14:07 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Takže nesmysl :).
    Zdar Max
    Měl jsem sen ... :(
    8.3.2024 14:21 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    U osob s rozhodováním bez širšího společenského dopadu takový názor vůbec nevadí.
    11.3.2024 13:57 ..... Izak ..... | skóre: 14
    Rozbalit Rozbalit vše Re: 4 kritické bezpečnostní chyby v produktech společnosti VMware
    Takova chyba nemuze existovat, cili to byly zadni vratka NSA/CIA, ktere nejak unikly, tak je vypnuli.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.