Linux Kernel 4.4.x (Ubuntu 16.04) - Use-After-Free Local Root Exploit

 ( trey | 2016. május 6., péntek - 20:41 )

Idézet:
In Linux >=4.4, when the CONFIG_BPF_SYSCALL config option is set and the kernel.unprivileged_bpf_disabled sysctl is not explicitly set to 1 at runtime, unprivileged code can use the bpf() syscall to load eBPF socket filter programs. These conditions are fulfilled in Ubuntu 16.04. [...] This exploit was tested on a Ubuntu 16.04 Desktop system.

[ exploit részletek | PoC ]

"A Microsoft visszamenőlegesen elveszi a vállalatokról a Windows Store kikapcsolásának lehetőségét a Win 10 Pro-ban"

 ( trey | 2016. május 6., péntek - 15:06 )

Részletek itt

"Windows 10 300 millió aktív eszközön – az ingyenes frissítési ajánlat hamarosan lejár"

 ( trey | 2016. május 6., péntek - 8:59 )

Idézet:
A Windows 10 Anniversary frissítés közeledtével örömmel jelentjük be, hogy a Windows 10 már 300 millió aktív eszközön fut világszerte. Büszkék vagyunk rá, hogy kevesebb mint egy év alatt a Windows 10 vált az egyik legnagyobb online szolgáltatássá. Célunk, hogy még személyesebbé tegyük az informatikát – és ennek megfelelően a Windows 10 ismerős, ám még biztonságosabb élményt kínál a felhasználóinak, hogy még többre legyenek képesek.

A Windows 10 hónapról hónapra egyre jobb lesz: novemberben nagyszerű újítások érkeztek, és még több érkezik a Windows 10 Anniversary frissítéssel ezen a nyáron. Természetesen, mivel a Windows 10 szolgáltatásként érhető el, minden Windows 10 felhasználó élhet a frissítésekkel – ingyenesen.

Szeretnénk, ha mindenki élvezhetné az eddigi legnépszerűbb Windows előnyeit. Ha tehát valaki még nem élt az ingyenes Windows 10 frissítés lehetőségével, itt az idő! A Microsoft történetében egyedülálló ingyenes Windows 10 frissítési ajánlattal minden jogosult felhasználónk a lehető leggyorsabban frissíthet az új operációs rendszerre. Az ajánlat azonban hamarosan véget ér. Az ingyenes Windows 10 frissítési ajánlat 2016. július 29-én lejár, és utána a Windows 10 csak új eszközökön, vagy a Windows 10 teljes verziójának megvásárlásával lesz elérhető.

(Forrás: Microsoft hírlevél)

LEDE - Forkolódott az OpenWrt projekt

 ( trey | 2016. május 6., péntek - 8:49 )

Egyes OpenWrt fejlesztők úgy gondolták, hogy itt az ideje a reboot-nak, ezért forkoltak és bejelentették a LEDE projekt elindulását:

Nem jelenthető ki, hogy a bejelentést mindenki kitörő örömmel fogadta. A levelezési lista szál itt indul.

Open source termék fejlesztésében...

 ( stentor | 2016. május 5., csütörtök - 21:14 )
aktívan részt veszek fejlesztokent (release, kód, teszt, stb...)
13% (52 szavazat)
aktívan részt veszek felhasználóként (bug report, blog, mások segítése levlistán)
6% (25 szavazat)
ritkán veszek részt, fejlesztokent (release, kód, teszt, stb...)
8% (32 szavazat)
ritkán veszek részt, felhasználóként (bug report, blog, mások segítése levlistán)
25% (105 szavazat)
nem veszek részt, de használok open source terméket
44% (182 szavazat)
nem veszek részt, nem is használok open source terméket
1% (3 szavazat)
mit érdekel ez téged (avagy: egyéb)?
3% (13 szavazat)
Összes szavazat: 412

2016. május 1-i security patch level-re váltott CM13 nightly

 ( trey | 2016. május 5., csütörtök - 21:10 )

CM 13.0-20160309-NIGHTLY

A CyanogenMod nightly buildek követésének egyik pozitív hozadéka, hogy a Google által rendszeresen kiadott havi biztonsági közlönyökben publikált biztonsági hibák javítása akár 48 órán belül a végfelhasználónál lehet. Így történt ez most is. A Google kiadta május 2-án az Android Security Bulletin - May 2016-ot, a ma éjszaka lefordított CM 13.0 nightly build-ben (13.0-20160505-NIGHTLY) pedig már meg is jelentek a javítások. Erre utal az Android security patch level alatt látható "May 1, 2016" bejegyzés.

Ubuntu Hour május

 ( gyarakilaszlo | 2016. május 5., csütörtök - 20:53 )

Időpont: 2016. május 13. (péntek)

BUDAPEST
Kezdés: 18.00 óra
Helyszín: A Grund Bazsesz terem (Budapest, VIII. Nagytemplom utca 30.)
Téma: Csordos László - BQ Aquaris M10 Ubuntu Edition bemutató
Megközelítés: Corvin negyedtől 8 perc, Klinikák megállótól 5 perc séta.
Kapcsolatfelvétel a szervezővel.

A rendezvény mindenki számára ingyenes.

Mozilla Firefox 46.0.1

 ( trey | 2016. május 4., szerda - 20:15 )

A Mozilla elérhetővé tette népszerű böngészője, a Firefox 46-os verziójának első karbantartási kiadását. A változásokról részletesen a kiadási megjegyzések weboldal számol be. A kiadásban javított bugok teljes listája itt. Elérhető Windows, Linux és OS X platformokra számtalan nyelven, köztük természetesen magyarul is.

ASLR helyzet a FreeBSD-ben

 ( trey | 2016. május 4., szerda - 18:10 )

Márciusban volt már szó arról, hogy lesz-e vajon Address Space Layout Randomization (röviden: ASLR) a FreeBSD 11-ben. Akkor úgy tűnt, hogy bizonyos okokból a FreeBSD projekt nem szorgalmazza a Pintér Olivér / Shawn Webb-féle ASLR implementáció beolvasztását. Az említett implementáció mellett létezik egy másik, a Konstantin Belousov által készített másik megoldás. Ez utóbbi még nincs teljesen kész, de már elérhető szélesebb körű tesztelésre. A Konstantin által készített megoldás nem a Pintér Olivér / Shawn Webb-féle ASLR implementációra épül, noha az ő munkájuk inspirálta a megalkotását.

A részletek itt olvashatók.

FreeBSD helyzetjelentés -- 2016. január - március

 ( trey | 2016. május 4., szerda - 12:13 )

A FreeBSD projekt kiadta szokásos negyedéves helyzetértékelését, helyzetjelenését. A mostani összefoglaló a 2016. januárjától márciusáig terjedő időszakot dolgozza fel. Ez az első jelentés a 2016-os évre tervezett négyből.

Elolvasható itt.

Android Security Bulletin - 2016. május

 ( trey | 2016. május 3., kedd - 22:43 )

A Google kiadta legfrissebb Android biztonsági közlönyét, az "Android Security Bulletin - May 2016"-ot. Ezzel egy időben elkezdte terjeszteni a Nexus eszközök számára a közlönyben leírt sebezhetőségek javításait OTA frissítés formájában. Marshmallow-on a "May 01, 2016" security patchlevel (Settings -> About phone -> Android security patch level), vagy annál újabb patchlevel-ek tartalmazzák a javításokat. A Google értesítette a partnereit, illetve a javítások a közlöny kiadásától számított 48 órán belül elérhetők lesznek az Android Open Source Project (AOSP)-ben.

Részletek a közlönyben.

"Hogyan telepítettem Windows 95-öt az Apple Watch-omra"

 ( trey | 2016. május 3., kedd - 20:28 )

Látszólag teljesen haszontalan dolog, de annyi eredménye azért mégis van, hogy a csóka a Bochs emulátorhoz készített patcheit közzétette a GitHub-on...

Felhívás! Az FCM magyar fordítócsapata fordítókat keres!

 ( percsy | 2016. május 3., kedd - 20:25 )

A Fullcircle Magazin magyar fordítócsapata "önkéntes" fordítókat keres! Aki úgy érzi, hogy szabadidejében szívesen vállalna (ingyen) cikkfordítást a magazinból, továbbá szeretne egy nagyszerű csapat tagja lenni, jelentkezzen!

Leendő fordítókkal szembeni elvárásaink:

A DuckDuckGo az OpenBSD Foundation aranyfokozatú támogatója lett

 ( trey | 2016. május 3., kedd - 12:36 )

Gabriel Weinberg a DuckDuckGo 2016-os open source támogatásairól

Ken Westerback, az OpenBSD Foundation igazgatója jó hírt közölt a közösséggel: a DuckDuckGo az alapítvány aranyfokozatú támogatójává vált a 2016-os pénzgyűjtő kampányban. Az OpenBSD alapítvány idén 250 ezer amerikai dollár célt tűzött ki, ebből eddig körülbelül 50 ezer dollár jött össze eddig.

Bjarne Stroustrup előadás a BME-n

 ( naszta | 2016. május 3., kedd - 10:51 )

2016 május 19-én 16:45-től a BME Q épületében a következő előadásokat nézhetitek meg:

16:45 - 17:00 rektori köszöntő
17:00 - 18:00 Sinkovics Ábel: Debugging and benchmarking the C++ compilation process
18:00 - 19:00 Bjarne Stroustrup: Type and Resource-safe C++

You can write ISO C++ programs that are statically type safe and have no resource leaks. You can do that simply, without loss of performance, and without limiting C++’s expressive power. This model for type- and resource-safe C++ has been implemented using a combination of ISO standard C++ language facilities, static analysis, and a tiny support library (written in ISO standard C++). This supports the general thesis that garbage collection is neither necessary nor sufficient for quality software. I describe the techniques used to eliminate dangling pointers and to ensure resource safety. Other aspects – also necessary for safe and effective use of C++ – have conventional solutions so they are mentioned only briefly here.

The techniques and facilities presented are supported by the Core C++ Guidelines and enforced by a static analysis tool for those.

Jelentkezni ITT lehet.

Linus Torvalds: Linux 4.6-rc6

 ( trey | 2016. május 2., hétfő - 13:02 )

Linus kiadta a 4.6-os kernel hatodik prepatchét. Mellé meglehetősen rövid bejelentést mellékelt, aminek a lényege, hogy ugyan a dolgok továbbra is nyugodtak ebben a ciklusban, mégis egész biztos abban, hogy ki fogja adni az -rc7-et is. Egyébként Linus szerint semmi különösen ijesztő nincs a mostani változtatások közt. Javítás érkezett egy régóta fennálló Infiniband interfész problémára, de hardver híján ez sokakat biztos nem érint. A maradék nagy része pedig igazából csak normális véletlenszerű "zaj". Eszközmeghajtó programok (sound, gpu, ethernet), architektúrákat (arm, s390, x86) érintő változások, hálózatkezeléssel összefüggő dolgok stb.

Részletek a bejelentésben.

Ha könyv, akkor...

 ( gkaroly | 2016. május 2., hétfő - 12:59 )
Nyomtatott könyvet vásárolok és olvasok
24% (109 szavazat)
E-bookot vásárolok és olvasok
17% (79 szavazat)
Mindkettőt szívesen olvasom
45% (209 szavazat)
Nem olvasok könyveket
10% (44 szavazat)
Csak az eredmény érdekel
5% (21 szavazat)
Összes szavazat: 462

Előrendelhető a DragonBox Pyra

 ( trey | 2016. május 1., vasárnap - 17:30 )

Előrendelhető a DragonBox Pyra

Előrendelhető a DragonBox Pyra.

Humble Book Bundle - Hacking

 ( trey | 2016. május 1., vasárnap - 11:08 )

Újabb Humble Bundle akció indult a minap. Ezúttal nem játékok, hanem 366 dollár értékben könyvek érhetők el "fizess amennyit akarsz" konstrukcióban. DRM mentesen. Multiformátumban. Akár jótékonykodással egybekötve. Az alapcsomag:

  • Al Sweigart - Automate the Boring Stuff with Python
  • William E. Shotts, Jr. - The Linux Command Line The Linux Command Line
  • Violet Blue - The Smart Girl's Guide to Privacy: Practical Tips for Staying Safe Online
  • Andrew "bunnie" Huang - Hacking the Xbox: An Introduction to Reverse Engineering

HUP LANparty-n a .... játékkal kellene játszanunk!

 ( trey | 2016. április 30., szombat - 22:54 )
Quake
4% (16 szavazat)
Quake III Arena
16% (58 szavazat)
Unreal Tournament *
16% (57 szavazat)
Left 4 Dead 2
3% (11 szavazat)
Half-Life
2% (9 szavazat)
CS: Source
6% (21 szavazat)
Warcraft *
2% (9 szavazat)
Starcraft *
7% (27 szavazat)
Team Fortress 2
5% (17 szavazat)
Wolfenstein: Enemy Territory
6% (22 szavazat)
Egyéb, leírom
6% (23 szavazat)
Csak az eredmény érdekel
26% (95 szavazat)
Összes szavazat: 365

Devuan Jessie 1.0 Beta

 ( trey | 2016. április 29., péntek - 22:46 )

2014 végén magukat veterán UNIX adminokként jellemzők egy csoportja a systemd ellen lépett fel. Akkor azt ígérték, hogy ha a Debian-ban a systemd leváltja a sysvinit-et, akkor forkolják a disztribúciót és sajátot hoznak létre. Tartották a szavukat és nekiálltak a Devuan nevű disztribúció összeállításának. Ugyan 2015-re ígérték, de úgy néz ki, hogy csak mostanra lesz belőle valaki kézzelfogható. A projekt bejelentette a Devuan Jessie 1.0 Beta elérhetőségét.

Részletek a bejelentésben. Teszteléshez lemezképfájlok itt találhatók.

Richard Stallman a 2015-ös ACM technikai díj egyik jutalmazottja

 ( trey | 2016. április 29., péntek - 12:35 )

Az Association for Computing Machinery - a világ egyik legrangosabb és egyben legnagyobb informatikai társasága, amelyet 1947-ben alapítottak, amely összefogja az információ-technológia vezető tudósait és tanulóit és aminek több mint 100 ezer tagja van - bejelentette 2015-ös technikai díjának jutalmazottjait. A díjakat Brent Waters (University of Texas professzora), Michael Luby (Qualcomm Technologies alelnöke), Eric Horvitz (Microsoft Research) és Richard Stallman kapták.

Richard Stallman, a Free Software Foundation alapítója a következőkért kapta a díjat:

Idézet:
Richard Stallman, recipient of the ACM Software System Award for the development and leadership of GCC (GNU Compiler Collection), which has enabled extensive software and hardware innovation, and has been a lynchpin of the free software movement. A compiler is a computer program that takes the source code of another program and translates it into machine code that a computer can run directly. GCC compiles code in various programming languages, including Ada, C, C++, Cobol, Java, and FORTRAN. It produces machine code for many kinds of computers, and can run on Unix and GNU/Linux systems as well as others.

GCC was developed for the GNU operating system, which includes thousands of programs from various projects, including applications, libraries, tools such as GCC, and even games. Most importantly, the GNU system is entirely free (libre) software, which means users are free to run all these programs, to study and change their source code, and to redistribute copies with or without changes. GNU is usually used with the kernel, Linux. Stallman has previously been recognized with ACM’s Grace Murray Hopper Award.

Részletek a bejelentéseben.

[0day] Új időszámítás: Grsecurity 4.5 kernel, egyedülálló PaX RAP védelemmel

 ( Hunger | 2016. április 29., péntek - 11:27 )

Az IT ipar évtizedek óta küzd a puffer túlcsordulás és a kapcsolódó memóriakorrupciós hibákkal. Ugyan ezek a problémák még jó ideig velünk is maradnak, azonban egyre fontosabb szerepet tölt be az ezekhez köthető biztonsági problémák kihasználásának ellehetetlenítése. A 16 éve fejlesztés alatt álló PaX védelem ezeknek a hibáknak a kihasználását hivatott ellehetetleníteni, vagy legalábbis annyira megnehezíteni, hogy a támadóknak már ne érje meg az ilyen tipusú sérülékenységeknek a kihasználására erőforrást fordítani. Ahogy a hadi iparban, úgy a manapság zajló "kiber" háborúban is a közgazdaságtan a fő mozgatórugója azoknak a fegyvereknek, amelyeket a virtuális térben arra használnak, hogy a célpont infrastruktúrájába behatolhassanak, vagy a már megszerzett területeken a hatókört kiszélesíthessék. Ezeknek az "exploit" elnevezéssel illetett támadókódoknak az értéke annak függvényében változik, hogy a támadásra kiszemelt rendszereket mennyire könnyű sikeresen megtámadni. Egy elhanyagolt, évek óta nem frissített általános operációs rendszeren elérhető szolgáltatásokat sokkal kisebb erőforrással lehet sikeresen megtámadni, mint egy naprakészen tartott, proaktív biztonsági elemekkel védett lebiztosított rendszert.

A PaX védelmi patch ennek az elgondolásnak a mentén próbálja a támadások cost-benefit arányát olyan szinten elmozdítani, hogy a sikeres támadásokhoz jóval több időre és ezáltal pénzre legyen szükség. Ennek köszönhetően egy sérülékenység megjelenésekor a rendszerüzemeltetőknek több idejük marad a már publikussá vált sebezhetőségek befoltozására és a levédett rendszerek nagyobb valószínűséggel állnak ellen a nem ismert, nulladik napi támadásoknak is. Ezeket az exploit mitigációs technikákat manapság már széles körben alkalmazzák, nem csupán a szoftver, de mostanra már a hardvergyártók is. Azokat az innovációkat, amelyeket a PaX több mint egy évtizede szoftveresen valósított meg, jelenleg az Intel és az ARM processzorokban külön funkcionális, vagy utasításkészlet bővítéssel oldanak meg, így általánosságban elmondható, hogy az újabb rendszerekkel könnyebben implementálhatók biztonságosabb környezetek.

Elkezdték a Cyanogen OS 13.0 terítését a OnePlus One készülékek számára

 ( trey | 2016. április 28., csütörtök - 19:59 )

A Cyanogen OS mögött álló Cyanogen Inc. blogján jelentette be, hogy megkezdték a Cyanogen OS 13.0 terítését a OnePlus One készülékek számára. A Cyanogen OS 13.0 az Android 6.0-ra épül. Benne számos újdonsággal, mint például a videón látható Truecaller mod for Messaging-gel:

Használsz Steam-et Linuxon?

 ( traktor | 2016. április 28., csütörtök - 19:52 )
Igen, felraktam, megnéztem, de még nem installáltam belőle játékot
4% (17 szavazat)
Igen, installáltam is már belőle játékot (ingyen)
9% (39 szavazat)
Igen, vettem is már benne játékot (pénzért (is))
37% (160 szavazat)
Nem, de talán majd később felrakom
9% (39 szavazat)
Nem, mert nem érdekel a Steam
10% (42 szavazat)
Nem, mert nem érdekelnek a játékok Linuxon
22% (94 szavazat)
Csak az eredmény érdekel / Nem használok Linuxot / Nem tudom miről van szó
9% (38 szavazat)
Összes szavazat: 429