Системное администрирование *

В реализации NFS-сервера, применяемого в BSD-системах, выявлена критическая уязвимость (CVE-2024-29937), позволяющая добиться удалённого выполнения своего кода с правами root на сервере.

Проблема проявляется во всех выпусках OpenBSD и FreeBSD, вплоть до OpenBSD 7.4 и FreeBSD 14.0-RELEASE.

Детальная информация об уязвимости пока не раскрывается, известно только то, что проблема вызвана логической ошибкой, не связанной с повреждением памяти.

Отмечается, что уязвимость может быть использована для атаки на системы, в которых применяется NFS. Cудя по видеодемонстрации, уязвимость позволяет получить полный доступ к корневой ФС сервера и требует для эксплуатации наличия прав для монтирования разделов по NFS.

Доклад о сути уязвимости будет опубликован 18 апреля на конференции T2’24.

Источник: OpenNET.

Разработчики сообщества проекта GNU опубликовали релиз текстового редактора GNU Emacs 29.3. Исходный код проекта написан на языках C и Lisp и размещён на GitHub под лицензией GPLv3.

Обновление GNU Emacs 29.3 преподносится сообществом как внеплановый экстренный выпуск с устранением уязвимостей. По предварительным данным, уязвимости позволяют добиться выполнения кода при открытии определённого контента или просмотре в Gnus писем со специально оформленными вложениями.

По данным OpenNET, непосредственно уязвимости в списке изменений проекта не указаны, но там имеется информация о добавленных в код GNU Emacs методах защиты:

• для блокирования подстановки внешнего вредоносного кода запрещено исполнять произвольный Lisp-код при включении режима Org;

• добавлена новая переменная untrusted-content, которую можно использовать для пометки помещения в локальный буфер не заслуживающего доверия содержимого, к которому Lisp-программам следует относиться с особой осторожностью;

• в Gnus содержимое встроенных (inline) MIME-блоков теперь обрабатывается как не заслуживающее доверия;

• по умолчанию отключён предпросмотр содержимого почтовых вложений в формате LaTeX. Для возвращения старого поведения добавлен параметр org--latex-preview-when-risky;

• в режиме Org содержимое внешних файлов, вызываемых через file-remote-p, обрабатывается как не заслуживающее доверия.

Пользователи Linux бывают самые разные. В последние несколько дней алгоритм рекомендаций YouTube вытолкнул на главную страницу канал некой Андреа Борман [Andrea Borman], что многие заметили (1, 2, 3, 4) и оценили позитивно.

Андреа — британка глубоко средних лет, которая делится опытом по настройке и эксплуатации компьютера с открытым ПО. К примеру, она рассказывает, как установить самую свежую версию Telegram на Linux или назначить Nemo файловым менеджером по умолчанию.

Впрочем, если судить по её каналу, увлечением дистрибутивами Linux дело не ограничивается. Ещё в 2019 году Андреа делилась советами, как настроить классическую «Панель управления» NT 3.51 на Windows 7 и 8 или запустить Office 2003 на Windows 8.

Канал Борман начат давно. Ещё в 2010 году она делилась хитростями, как пользоваться встроенным в Real Player браузером. А вообще онлайн-присутствие Борман не ограничивается каналом на YouTube. К примеру, в некоторых видеороликах она жалуется на форумы по Linux.

Softline пояснила текущую ситуацию по поводу ограничений в РФ облачных сервисов Microsoft.

Только что состоялся звонок с Microsoft. Звонок оказался очень коротким, так как новостей у них, к сожалению, нет.

Мы не получили ответы на следующие вопросы :

1. Когда состоится отключение? Ответа нет.

2. Уточнён ли список ПО и облачных сервисов, доступ к которому будет ограничен? — ответа нет.

3. Будет ли осуществлять блокировка онпрем, если да, то каким способом? — ответа нет.

4. Какой будет дан срок на сохранение данных? Уточнений по этому вопросу тоже нет.

На следующем звонке мы вернёмся к этим вопросам.

20 марта 2024 года Softline (по итогам бизнес-звонка с представителями американской корпорации) сообщила, что Microsoft, возможно, не закроет доступ к облачным продуктам в РФ в ночь с 20 на 21 марта из-за нерешённых вопросах о методах блокировки, но этот процесс всё равно неизбежен. Помимо этого, остаются «открытые вопросы по списку продуктов и сервисов» компании. В Microsoft ещё пересматривают перечень вероятных сервисов и приложений для блокировки.

19 марта Softline сообщила после получения ответа от техподдержки американской корпорации, что Microsoft заблокирует доступ к 50 облачным продуктам на территории России.

15 марта 2024 года компания Microsoft предупредила российских корпоративных клиентов, что в рамках выполнения санкций ЕС с 20 марта 2024 года компании запрещено поставлять определённое ПО для управления или проектирования (включая облачные решения) для организаций в РФ.

Компания Fix Price заявила о запуске пилотного проекта на основе искусственного интеллекта (ИИ). Цель проекта — это категоризация внутренних заявок в компании для последующей обработки специалистами группы поддержки, рассказали информационной службе Хабра в пресс‑службе Fix Price.

Для решения задачи категоризации была использована совокупность методов обработки естественного языка, включая обучение, дообучение и интеграцию ансамбля различных моделей машинного обучения catboost (open‑source библиотека с реализацией алгоритма градиентного бустинга от «Яндекса»), rubert (open‑source дистиллированная модель, реализованная на базе BERT от Google) и ряда вспомогательных технологий open‑source.

По словам начальника IT‑службы Fix Price Олега Лексина, ежегодно в IT‑подразделение компании поступает более 200 тысяч запросов на решение различных задач и вопросов от сотрудников. До пилотного проекта существовавшая категоризация задач направляла их не всегда к профильным специалистам или не в ту категорию. Это увеличивало время ожидания ответа и тормозило процессы.

Новый сервис с ИИ теперь анализирует запросы. Промежуточные результаты по распознаванию заявок уже составляют 85%. С момента запуска сервиса было обработано уже 100 тысяч заявок. Как заявили разработчики, следующим шагом развития проекта станет автоматизация процесса анализа запросов в другие подразделения компании.

Сервис «МТС Линк» предложил специальные условия для российских компаний, которые ранее использовали платформу Microsoft Teams и могут с 20 марта потерять доступ к этому решению. В «МТС Линк» обещают, что переход на российскую цифровую экосистему может пройти бесшовно и с минимальными затратами.

Пользователи, которые переведут бизнес-коммуникации с MS Teams на «МТС Линк» до конца апреля, получат следующие возможности:

• бесплатный доступ к новому корпоративному мессенджеру «МТС Линк Чаты» до конца 2024 года. Возможности сервиса позволяют общаться с коллегами в группах, каналах и один на один, делиться файлами, проводить индивидуальные и групповые звонки;

• бесплатный доступ к сервису «Доски» от «МТС Линк», который подойдёт для мозговых штурмов в онлайн‑ и гибридном формате, встреч по планированию, создания диаграмм и таблиц;

• при подключении годового тарифа клиенты MS Teams — дополнительные три месяца использования сервисов «МТС Линк» (видеоконференции с подключением до 200 человек и вебинары с 5000 участников);

• бесплатное обучение новых пользователей, круглосуточная техподдержка.

«Переход на новое ПО — это сложный процесс, особенно в крупных компаниях, которые продолжают пользоваться сервисами Microsoft Teams, даже несмотря на риск отключения. Сейчас, когда отказ от привычных приложений станет вынужденной мерой, мы готовы оказать бизнесу всю необходимую поддержку для сохранения непрерывности бизнес‑процессов», — пояснил Хабру исполнительный директор «МТС Линк» Павел Потехин.

Состоялся релиз проекта PDF Shaper 14.0, включая бесплатную версию PDF Shaper Free.

Решение PDF Shaper — это набор многофункционального ПО для работы с PDF, который позволяет легко разделять, объединять, ставить водяные знаки, подписывать, оптимизировать, конвертировать, шифровать и расшифровывать PDF-документы, а также удалять и перемещать страницы, извлекать текст и изображения.

Программа оптимизирована для потребления низкого уровня ресурсов ЦП и работает в пакетном режиме, что позволяет пользователям обрабатывать несколько файлов PDF, одновременно выполняя другую работу на своих компьютерах.

PDF Shaper доступен в трёх редакциях: Free, Premium и Ultimate. Проект совместим с Windows 7, 8, 10, 11. Это решение доступно бесплатно для личного использования и для любой некоммерческой организации.

Основные изменения в PDF Shaper 14.0:

• добавлен конвертер TXT в PDF;

• профессиональная версия переименована в Ultimate;

• возможности внешнего средства просмотра PDF: текстовый поиск, вращение и прокрутка страниц, возможность сохранить или удалить прикрёпленные файлы, асинхронная загрузка страниц,поддержка PDF-файлов размером более 4 ГБ;

• обновлён пользовательский интерфейс и локализация;

• обновлён встроенный просмотрщик PDF (режим предварительного просмотра);

• улучшена производительность программы и использование процессора;

• улучшена алгоритм преобразования PDF и DOC/DOCX;

• решена проблема с перезаписью и переименованием повторяющихся файлов;

• исправлена ошибка конвертации файлов Unicode DOC и DOCX.

Состоялся релиз новой стабильной ветки почтового сервера Postfix 3.9.0. Также объявлено о прекращении поддержки ветки Postfix 3.5, выпущенной в начале 2020 года.

Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря продуманной архитектуре и достаточно жёсткой политике оформления кода и аудита патчей.

Код проекта написан на языке C и распространяется под лицензиями EPL 2.0 (Eclipse Public license) и IPL 1.0 (IBM Public License).

Согласно данным на начало года, из около 400 тыс. почтовых серверов Postfix используется на 36.81% (год назад 33.18%) системах, доля Exim составляет 56.61% (год назад 60.27%), Sendmail — 3.60% (3.62%), MailEnable — 1.82% (1.86%), MDaemon — 0.40% (0.39%), Microsoft Exchange — 0.19% (0.19%), OpenSMTPD — 0.09% (0.06%).

Основные изменения в Postfix 3.9.0:

• добавлен клиент для MongoDB, позволяющий хранить в данной СУБД базу виртуальных пользователей, псевдонимы, списки сопоставления адресов и различные проверочные таблицы;

• добавлена начальная поддержка файлов конфигурации OpenSSL;

• добавлена защита от некоторых видов атак «Blind» (SSRF‑атаки на web‑клиентов, нацеленные на обращение к серверу по SMTP);

• в реализации DNS‑клиента размер возвращаемых результатов DNS‑запроса теперь ограничен 100 записями, что в 20 раз больше, чем поддерживаемое в SMTP‑клиенте максимальное число IP‑адресов для одного сервера.

Источник: OpenNET.

Состоялся выпуск Kali Linux 2024.1 с 4 новыми инструментами и обновленным пользовательским интерфейсом.

Разработчики проекта из Offensive Security также выпустили для новой сборки системы новые визуальные элементы, включая обои и обновления загрузочного меню и экрана входа в систему.

Помимо визуальных улучшений релиз Kali Linux 2024.1 получил версию ядра 6.6, в проект добавлены четыре новых ИБ-инструмента:

• blue-hydra — сервис для обнаружения Bluetooth-устройств;

• opentaxii — имплементация сервера TAXII от EclecticIQ;

• readpe — инструменты командной строки для работы с PE-файлами Windows;

• snort — гибкая система обнаружения сетевых вторжений.

Вышел релиз серверного Linux-дистрибутива Zentyal 8.0 на пакетной базе Ubuntu 22.04 LTS. Проект подходит для создания серверов и обслуживания локальной сети предприятий среднего и малого бизнеса.

Дистрибутив Zentyal позиционируется в качестве альтернативы Windows Server и включает компоненты для замены служб Microsoft Active Directory и Microsoft Exchange Server. Размер iso-образа Zentyal составляет 2,9 ГБ.

Управление работой Zentyal производится через веб-интерфейс, в рамках которого объединено около 40 различных модулей для управления сетью, сетевыми сервисами, офисным сервером и компонентами инфраструктуры предприятия. Поддерживается  быстрая организация работы шлюза, межсетевого экрана, почтового сервера, VoIP (Asterisk), VPN‑сервера, прокси (squid), файлового сервера, системы для организации взаимодействия сотрудников, системы мониторинга, сервера для резервного копирования, системы обеспечения сетевой безопасности (Unified Threat Manager), системы организации входа пользователей через Captive portal. Настройка модулей осуществляется через систему мастеров и не требует ручной правки файлов конфигурации.

В выпуске Zentyal 8.0 реализация контроллера домена и сервиса Active Directory обновлена до Samba 4.15.13, добавлен модуль для развёртывания контейнеров Docker и появился модуль для обеспечения работы веб-сервера.

Источник: OpenNET.

Памятка, как и для чего нужно мониторить синхронизацию времени на сервере с эталонным.

?Сохраняйте себе, чтобы не потерять!

Рассинхронизация времени иногда приводит к сложно диагностируемым ошибкам как в серверном ПО, так и в клиентских приложениях. Например, нам встречались ошибки в репликации данных между двумя базами (как в схеме мастер-слейв так и мастер-мастер) или получение логов «из будущего».

Отставание времени на сервере может повлиять на работу интернет-магазинов: например крон-задание, которое должно запускаться ровно в полночь, из-за рассинхрона запустится раньше или позже обычного и нарушит формирование отчетов — как внутренних, так и внешних, скажем, для налоговой.

Мы мониторим синхронизацию времени, запрашивая статус работающих на сервере утилит. Например, ntpd, chronyd или systemd-timesyncd, и используем алерты следующего вида:

> 500 миллисекунд в течение 5 минут;

< 500 миллисекунд в течение 5 минут.

Если этот пост нанес вам пользу, ставьте ➕!

Microsoft официально представила новую функцию «Sudo для Windows» для Windows 11. Компания опубликовала наработки по проекту утилиты sudo на GitHub под открытой лицензией MIT. «Sudo для Windows» появилась спустя 44 года после выхода первой версии sudo на 4.1BSD.

«Наша команда работает над открытием исходного кода "Sudo для Windows". Вы можете внести свой вклад в скрипт sudo.ps1. Он предназначен для создания вспомогательной оболочки sudo.exe, которая обеспечивает более удобный интерфейс использования sudo из PowerShell», — обратились к сообществу специалисты из Microsoft.

Примечательно, что репозиторий Sudo for Windows Documentation ещё закрыт, но находится в разработке.

Sudo в Windows 11 можно будет включить через настройки для разработчика. Эта опция позволит управлять настройками, требующими административных привилегий, например, удалением приложений или изменением системных настроек.

В Microsoft пояснили, что проект только начал развиваться. «Если вам нужны дополнительные опции, которых нет в "Sudo для Windows", ознакомьтесь с gsudo разработчика Джерардо Гриньоли. Этот проект имеет ряд дополнительных функций и параметров конфигурации», — уточнили разработчики из Microsoft.

A Brief History of Sudo. Sudo было задумано и реализовано Бобом Коггешхоллом и Клиффом Спенсером примерно в 1980 году на факультете компьютерных наук SUNY/Buffalo, первый запуск утилиты был на VAX-11/750 под управлением 4.1BSD. Sudo в его нынешнем виде поддерживается мейнтейнером проекта Тоддом К. Миллером.

Проект по разработке свободного программного обеспечения (СПО) GNU опубликовал выпуск библиотеки libmicrohttpd 1.0.0, который отмечен как первый стабильный релиз за 16 лет существования проекта.

Библиотека написана на языке C и представляет простой API для встраивания функциональности HTTP-сервера в приложения. Среди поддерживаемых платформ: GNU/Linux, FreeBSD, OpenBSD, NetBSD, Solaris, Android, macOS, Win32 и z/OS.

Исходный код проекта распространяется под лицензией LGPL 2.1+. При сборке по умолчанию библиотека занимает около 200 КБ, а в минимальном режиме сборки — 32 КБ. В зависимостях используется только libc, а также libgnutls при опциональной сборке с поддержкой TLS.

Библиотека libmicrohttpd 1.0.0 поддерживает протокол HTTP 1.1, TLS, инкрементальную обработку POST запросов, приём соединений с нескольких сетевых портов, basic‑ и digest‑аутентификацию, IPv6, SHOUTcast, различные методы мультиплексирования соединений (select, poll, epoll) и модели многопоточности (например, можно использовать пул потоков или поток на соединение). Для снижения накладных расходов, возникающих при переключении контекста между ядром и пространством пользователя, число системных вызовов в процессе работы сведено к минимуму. Безопасность кодовой базы libmicrohttpd подтверждена аудитами, проведёнными компаниями Mozilla и Red Hat.

Источники: Phoronix. OpenNET.

Да куда же идет этот трафик? Задача для сетевиков

Привет, Хабр! Насколько хорошо вы знакомы с топологией? А с законами маршрутизации дружите? У нас есть новая задачка, которая поможет вам проверить свои скиллы.

Условие

Вы организовали сеть, внутри которой есть несколько связанных друг с другом маршрутизаторов. Они содержат настройки интерфейсов и статической маршрутизации. При этом Direct Connect-сети в описании не отражены, но их стоит учитывать.

Есть один источник, откуда отправляется трафик, и несколько вариантов хостов назначения, куда он может прийти.

Задача

Необходимо определить, на какой хост назначения придет трафик и какой силуэт нарисует его маршрут.

Свои варианты решения предлагайте в комментариях, а проверить их вы можете в Академии Selectel.

Команда разработчиков MC после пяти месяцев разработки опубликовала выпуск консольного файлового менеджера Midnight Commander 4.8.31. Исходный код проекта выложен на GitHub под лицензией GPLv3+.

Список основных изменений проекта:

• в VFS добавлена поддержка формата сжатия LZO/LZOP;

• виртуальная ФС uc1541, предоставляющая доступ к дисковым образам Commodore VIC20/C64/C128, обновлена до версии 3.6;

• реализация виртуальной ФС s3+, используемая для доступа к хранилищу Amazon AWS S3, переведена на Python 3;

• в VFS прекращена поддержка сервера и протокола FISH;

• повышены требования к версии GLib, для работы теперь требуется как минимум выпуск 2.32.0;

• в темах оформления добавлена поддержка назначения цветов для выделения в редакторе непечатных символов;

• на платформе FreeBSD в драйвере ext2fs добавлена поддержка атрибутов файлов;

• решена проблема с выставлением некорректного времени изменения после возобновления прерванной операции копирования;

• в редакторе налажено удаление выделенных столбцов;

• в Tar VFS решена проблема с обработкой жёстких ссылок;

• в Shell VFS решена проблема с именами файлов, включающими кириллические или диакритические символы.

Источник: OpenNET.

Вычисление контрольных сумм файлов в Windows

При выполнении резервного копирования файлов желательно сопровождать их сведениями о контрольных суммах. Это позволит впоследствии быстро проверить целостность резервных копий. В отличие от других операционных систем, в Windows почему-то нет удобного встроенного инструмента для вычисления и проверки контрольных сумм. Раньше более-менее официально предлагалось использовать стороннюю утилиту fciv.exe, но в настоящее время эта рекомендация убрана с официального сайта Microsoft. Сейчас наиболее популярным советом является воспользоваться предустановленной утилитой CertUtil, которая умеет вычислять контрольные суммы MD2, MD4, MD5, SHA1, SHA256, SHA384 и SHA512.

Но на практике удобнее использовать утилиту SFK (Swiss File Knife, швейцарский нож для файлов), которая, позволяя кратко записывать и выполнять из командной строки множество других операций, поддерживает работу с контрольными суммами CRC32 и MD5. Например, обработку файлов в папке folder можно произвести так:

> sfk.exe crcgento folder.crc folder
> sfk.exe crccheck folder.crc

> sfk.exe md5gento folder.md5 folder
> sfk.exe md5check folder.md5

Для получения справки можно вызвать программу sfk с указанием команды, но без параметров.

Группа компаний «Гарда» заявила о выпуске новой версии системы выявления и реагирования на сетевые угрозы «Гарда NDR 3.4». В новой версии решения появилась возможность быстрее выявлять атаки на корпоративную сеть и создавать новые формы настраиваемых отчётов, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.

В новой версии системы «Гарда NDR» добавлены такие функции:

• улучшены анализ и обработка сетевых данных за счёт поддержки протокола NSEL. Оптимизация обработки данных NetFlow, включая группировку сессий, позволила наглядно отображать события и сократить время подготовки отчётов;

• усовершенствован процесс обнаружения вредоносного программного обеспечения: внедрён механизм подсчёта хэш‑сумм файлов и ссылка для автоматической проверки на вирусы. Опция помогает обогащать информацию о зловреде;

• добавлена возможность передачи данных в SIEM и поддержку внешних интеграций через Python‑скрипты для ML и пороговых поведенческих моделей;

• сняты ограничения по количеству и вложенности логических групп управления информационными активами, пользователь может создавать и распределять активы в полную иерархическую структуру групп;

• представлен новый редактор отчётов, позволяющий настраивать виджеты в соответствии с индивидуальными потребностям пользователе и получать репорты по расписанию;

• форма отчётов стала гибкой. Виджеты можно экспортировать и импортировать — разработчики облегчили перенос конфигураций дашбордов и упростили настройку.

В инфраструктуре компании MongoDB, развивающей одноимённую документо-ориентированную СУБД и облачный сервис MongoDB Atlas, выявлены следы взлома.

Судя по уведомлениям администрации проекта, направленным многим клиентам компании, злоумышленники на некоторое время смогли получить доступ к части корпоративных IT-систем, на которых, среди прочего, были размещены сведения об учётных записях клиентов и контактные данные пользователей. Свидетельств, указывающих на то, что атакующие получили доступ к данным, хранимым пользователями в облачном сервисе MongoDB Atlas, на текущем этапе разбирательства инцидента не было выявлено.

Вредоносная активность была обнаружена вечером 13 декабря, после чего неавторизованный доступ извне был пресечён, а также был начат процесс разбора инцидента ИБ. В течение какого времени атакующие имели доступ к инфраструктуре, не сообщается. Также администрацией проекта не упоминается, насколько атака затронула IT-системы, связанные с разработкой СУБД MongoDB.

Пользователям облачных сервисов MongoDB рекомендуется включить двухфакторную аутентификацию для защиты данных и своих аккаунтов.

Не исключено, что полученные в ходе атаки данные могут использоваться для фишинга и целевых атак с использованием методов социального инжиниринга.

Источники: Bleeping Computer, OpenNET, X (Twitter).

Учим терминал Linux

Вышел в релиз выпуск проекта FreeRDP 3.0.0, предлагающий свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft. Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Исходный код проекта распространяется под открытой лицензией Apache 2.0.

Изменения в FreeRDP 3.0:

• добавлена поддержка аутентификации при помощи смарткарт и реализована полная эмуляция смарткарт;

• предложена новая эталонная реализация клиента, использующая библиотеку SDL2;

• добавлена поддержка методов аутентификации AAD (Azure AD) и AVD (Azure Virtual Desktop);

• реализована возможность использования транспорта на базе WebSocket;

• переписан прокси и предложен новый API модулей;

• переписан код для ведения логов;

• добавлена полная поддержка библиотеки OpenSSL 3;

• добавлены встроенные реализации алгоритмов RC4, MD4 и MD5;

• обновлена поддержка протокола RDP;

• улучшено приложение xfreerdp;

• улучшена работа с буфером обмена;

• добавлена клиентская и серверная поддержка RDSTLS;

• добавлена поддержка каналов перенаправления графики;

• добавлена серверная поддержка канала [MS-RDPEL];

• добавлена поддержка работы с относительными координатами при отслеживании движения мыши;

• для приложения gnome-remote-desktop реализована поддержка звукового кодека Opus;

• в SDL-клиент добавлена поддержка многомониторных конфигураций.

Источник: OpenNET.