OpenNews.opennet.ru: Проблемы безопасности
  • Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins
    Исследователи из компании Check Point выявили одну из крупнейших атак по майнингу криптовалют на уязвимых серверах. В результате запуска вредоносного кода на уязвимых системах непрерывной интеграции Jenkins, злоумышленникам удалось добыть криптовалюты Monero более, чем на 3.3 млн долларов (10800 Monero).

  • В RubyGems устранено 7 уязвимостей
    В Rubygems, системе управления пакетами для приложений на языке Ruby, устранено семь уязвимостей. Проблемы исправлены в выпуске RubyGems 2.7.6 . Всем пользователям рекомендуется обновить RubyGems (gem update --system) или установить патчи.

  • Представлены новые виды атак MeltdownPrime и SpectrePrime
    Группа исследователей из Принстонского университета и компании NVIDIA.

  • Обновление Quagga 1.2.3 с устранением уязвимостей в реализации BGP
    Опубликован релиз пакета Quagga 1.2.3, предоставляющего реализации протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 для Unix-подобных систем. В новой версии устранено 4 уязвимости в bgpd, в том числе проблема (CVE-2018-5379) с двойным освобождением области памяти (double-free) при обработке сообщений UPDATE, в том числе отправленных не напрямую и доставленных через легитимного пира.

  • Выпуск дисплейного сервера Mir 0.30
    Опубликован релиз дисплейного сервера Mir 0.30, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical для встраиваемых устройств и интернета вещей (IoT). Пакеты для установки в Ubuntu 16.04, 17.04, 17.10 и 18.04 размещены в PPA-репозитории проекта.

  • Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage
    В PyBitmessage, эталонной реализации клиента для пересылки сообщений в децентрализованной p2p-сети Bitmessage, выявлена критическая уязвимость, позволяющая удалённо выполнить сторонний Python-код на стороне пользователя. Проблема устранена в выпуске 0.6.3.2, но имеются сведения об организации атаки по похищению файлов с кошельками Electrum, которая началась ещё до публичного раскрытия сведений об уязвимости. Уязвимости подвержены только ветки 0.6.2 и 0.6.3, в 0.6.1 проблема отсутствует. Всем пользователям уязвимых версий PyBitmessage рекомендуется срочно перегенерировать ключи и сменить пароли.

  • Выпуск Exim 4.90.1 с устранением уязвимости, не исключающей выполнение кода на сервере
    Опубликован внеплановый выпуск почтового сервера Exim 4.90.1 в котором устранена критическая уязвимость (CVE-2018-6789), потенциально позволяющая организовать удалённое выполнение кода на сервере при обработке сообщений со специально оформленными блоками в формате BASE64.

  • Уязвимость в устройствах Netgear, позволяющая получить управление без аутентификации
    В маршрутизаторах Netgear выявленo пять уязвимостей. В том числе обнаружена возможность входа в web-интерфейс без аутентификации, присутствующая в 17 моделях устройств Netgear. Проблема проста в эксплуатации и напоминает бэкдор - для выполнения любых операций в web-интерфейсе достаточно к URL запроса добавить аргумент "&genie=1" и данные операции будут выполнены без проверки параметров аутентификации.

  • Выпуск LibreOffice 6.0.1 с устранением уязвимости
    Организация The Document Foundation объявила о выходе LibreOffice 6.0.1, первого корректирующего выпуска из семейства LibreOffice 6.0 "fresh". Версия 6.0.1 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать одновременно сформированный выпуск LibreOffice 5.4.5 "still". Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows.

  • Уязвимость в KDE, позволяющая выполнить код при подключении внешнего носителя
    В опубликованном позавчера выпуске KDE Plasma 5.12 устранена опасная уязвимость (CVE-2018-6791), позволяющая выполнить код при подключении Flash-накопителя со специально оформленной меткой раздела VFAT. Проблема пока остаётся неисправленной в дистрибутивах (Debian, Ubuntu, openSUSE, Fedora), для ветки KDE 5.8 подготовлен патч.