Friday, March 29th, 2024

Time	Event
9:14p	Flatpak 1.15.7 : автоматическое удаление устаревших драйверов и другие улучшения Новая версия Flatpak 1.15.7 привносит автоматическое удаление устаревших драйверов и улучшения для Linux: от системы сборки Meson до исправлений для D-Bus и Wayland. Одной из ключевых особенностей новой версии является автоматическое удаление устаревших версий драйверов и других неиспользуемых ссылок. Эта функция направлена на устранение лишних компонентов, которые накапливаются со временем, автоматически удаляя среды выполнения, срок действия которых истек, и которые больше не используются. Таким образом, при обновленми системы старые версии будут автоматически удалены, что значительно упрощает обслуживание системы. Кроме этого, в версии 1.15.7 появилась поддержка аргумента «–socket=inherit-wayland-socket», позволяющего наследовать существующее окружение сокета Wayland, а также автоматическое перезагрузка конфигурации сессии D-Bus при установке или обновлении приложений для обеспечения распознавания экспортированных служб. Ещё одним значительным изменением в Flatpak 1.15.7 является отказ от поддержки системы сборки Autotools в пользу Meson. Meson уже доказала свою эффективность для Flatpak и теперь является единственной используемой системой сборки.  flatpak (Comment on this)
10:24p	В коде xz версий 5.6.0 и 5.6.1 обнаружен бэкдор Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1. Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma. Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта. Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями). По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент. Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE. Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma. Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.  xz, бэкдор (Comment on this)

<< Previous Day

2024/03/29 [Calendar]

Next Day >>