Я - Дмитрий Симонов, основатель Техдирского Клуба, опубликовавшего и поддерживающего оригинальный список проблем, связанных с политизированным Open Source.
На текущий момент в списке:
36 записей опасных изменений в OpenSource
10 записей о заблокированном доступе
Дисклеймер:
Cписок формируется на основании присланных заявок. На основании этих же присланных заявок удаляются ошибочно внесённые записи. Каждая заявка внимательно рассматривается и переносится в опубликованный список.
На волне хайпа про РЖД я заметил, что много людей, даже из тех, кто "в теме", имеют странное представление о ситуации.
А большая часть тех, кто с безопасностью не связан вообще, высказывает какие-то уж совсем фантастические мнения, граничащие с теорией заговора.
В данной статье я сделаю попытку разобраться, без упора на информационную безопасность и поделиться своими мыслями, так что надеюсь, воспринято это будет правильно.
Под катом — мой личный анализ и попытка расставить точки над "ё".
А также несколько эксклюзивных железнодорожных фоточек...
В начале марта 2020 года специалисты обнародовали информацию о найденной ранее уязвимости в демоне протокола Point-to-Point Protocol Daemon (PPPD) — в нем не менее семнадцати лет существовала ошибка в коде проверки размера поля rhostname. Используя эту ошибку злоумышленник мог отправить пакет с типом EAPT_MD5CHAP, включающий очень длинное имя хоста, не вмещающийся в выделенный буфер, что давало ему возможность перезаписать данные за пределами буфера в стеке и добиться удаленного выполнения своего кода с правами root.
Читать полностью »
Таблица с протестированными процессорами AMD, галочкой отмечены экземпляры, в реализации системы предсказания канала кэша первого уровня которых были успешно выполнены атаки по сторонним каналам.
Согласно информации издания Tom's Hardware, исследователи из Грацского технического университета смогли реализовать два новых метода атак по сторонним каналам, манипулирующих утечками данных в процессе работы механизма предсказания каналов кэша первого уровня некоторых процессоров AMD.
Читать полностью »
Утром 7 марта 2020 года часть клиентов Альфа-банка обнаружили, что их дебетовые и кредитные карты оказались внезапно заблокированы, также не было никаких предупреждений от банка по этому инциденту. Согласно информации издания «РБК», Альфа-банк начал блокировать карты клиентов из-за того, что получил данные о том, что номера карточек могли быть скомпрометированы.
Читать полностью »
Джейкоб Хоффман-Эндрюс, инженер Let's Encrypt, 29 февраля 2020 года опубликовал на корпоративной странице центра сертификации информацию о том, что специалисты Let's Encrypt обнаружили ошибку в рабочем коде для CAA (Certification Authority Authorization). Оказывается, что с 25 июля 2019 года их программное обеспечение Boulder, предназначенное для проверки сертификации, некорректно отрабатывало процедуру повторной проверки в процессе выдачи сертификатов.
Читать полностью »
«Все, что хотели мои мальчики — это поужинать, но благодаря Petnet они остались голодными. Вы так и не ответили на более, чем 30 моих электронных писем по этой проблеме, сославшись в твиттере на проблемы в работе серверов. А потом на несколько недель вообще блокировали работу этих устройств. Мы все злы на вас и голодны из-за вас», — написал в твиттере пользователь Эрик Фишон и выложил фото своих голодных котиков около нерабочей кормушки SmartFeeder.
Многие пользователи систем автоматического кормления SmartFeeder второго поколения с начала января 2020 года начали жаловаться на проблемы с этими устройствами. Оказалось, что кормушки переставали работать, а домашние животные по полдня оставались без еды. Хотя в расписании при настройке устройств было указано, что они должны подавать определенную порцию корма в нужное время. По факту, кормушки функционировали в ручном режиме, если ими напрямую управлял пользователь, но отказывались работать удаленно и по расписанию.
Производителю гаджета понадобилось более месяца, чтобы понять причину проблемы и найти решение по ее устранению. Это факт не понравился многим пользователям и они начали заявлять, что будут отказываться от использования этого устройства.
Читать полностью »
В феврале 2020 года продолжается эпопея с проблемами в разных версиях Windows. Теперь и пользователи ОС Windows 10 начали жаловаться на различных форумах и в соцсетях (Reddit, Twitter), что не могут штатным образом, даже под учетной записью администратора системы, выключить или перезагрузить свои ПК. Операционная система выдает ошибку: «You don’t have permission to shut down this computer» (у вас нет прав на выключение этого компьютера).
Читать полностью »
Фонд свободного программного обеспечения (Free Software Foundation) отправил в компанию Microsoft посылку с пустым жестким диском и распечаткой подписей более тринадцати тысяч пользователей, которые поддерживали петицию Фонда СПО. Планируется, что после получения такого подарка специалисты Microsoft скопируют на этот диск исходный код Windows 7 и отправят обратно в Фонд СПО.
Читать полностью »
