Hírolvasó

OpenSUSE Leap is a hybrid distribution; it is based on SUSE's enterprise distribution (SLE), which follows the "slow and stable" approach, but adds a number of newer packages on top. Leap is intended to be a desktop-oriented distribution with a stable and reliable base. As SUSE transitions away from its traditional enterprise distribution toward its "Adaptable Linux Platform" (ALP), though, the stable base upon which openSUSE Leap is built is going away. The openSUSE community is currently discussing how the project should respond.

Security updates have been issued by Fedora (erofs-utils, htmltest, indent, libeconf, netconsd, php-phpmailer6, tinyexr, and vim), Red Hat (firefox), and Ubuntu (linux-aws, linux-aws-5.15, linux-ibm-5.15, linux-oracle, linux-oracle-5.15, linux-azure, linux-azure-fde-5.15, linux-gke, linux-gkeop, linux-intel-iotg-5.15, linux-raspi, linux-oem-6.1, linux-raspi, linux-raspi-5.4, shiro, and sox).

Egy proof-of-concept exploit kódot tettek közzé a VMware Aria Operations for Networks elemző eszközében (korábbi nevén vRealize Network Insight) található kritikus SSH hitelesítési bypass sebezhetőségre. A PoC exploit egy biztonsági sebezhetőség létezésének, valós kihasználhatóságának tételes bizonyítása, demonstrálása, amit általában biztonsági kutatók készítenek és tesznek elérhetővé. A publikálásának célja nem a károkozás (bárki készíthet és publikálhat […]

The post Egy újabb kritikus VMware sebezhetőség ütötte fel a fejét first appeared on Nemzeti Kibervédelmi Intézet.

A University of Sydney bejelentette, hogy egy harmadik fél szolgáltatónál történt adatszivárgás miatt nyilvánosságra kerültek a nemrég jelentkezett és beiratkozott nemzetközi hallgatók személyes adatai. Az állami egyetem 1850-ben kezdte meg működését, közel 70 ezer hallgatója és mintegy 8500 tudományos és adminisztratív dolgozója van. Ausztrália egyik legfontosabb oktatási intézményének számít. Az egyetem az adatvédelmi incidensről szóló […]

The post Adatszivárgás a Sydney Egyetemen first appeared on Nemzeti Kibervédelmi Intézet.

A Topgolf Callaway vállalatnál augusztus elején adatszivárgás történt, amely során több mint egymillió ügyfél érzékeny adatai kerültek nyilvánosságra. A Callaway egy amerikai sporteszköz gyártó- és forgalmazó cég, amely golf felszerelésekre és kiegészítőkre specializálódott. A vállalat világszerte több, mint 70 országban van jelen, éves bevétele pedig meghaladja az 1,2 milliárd dollárt. Nagyjából 25 000 embert foglalkoztatnak. […]

The post A sportszergyártó Callaway birtokából 1,1 millió ügyfél adata szivárgott ki first appeared on Nemzeti Kibervédelmi Intézet.

Egy új smishing kampány ütötte fel a fejét az Egyesült Államokban, amelyben iMessage üzeneteket küldenek kompromittált Apple iCloud fiókokról annak érdekében, hogy személyazonosság-lopást és pénzügyi csalást hajtsanak végre. Az úgynevezett smishing az SMS-ek útján történő adathalászat. Az áldozat egy szöveges üzenetet kap, amely sokszor úgy tűnik, hogy megbízható forrásból származik (például egy bank vagy futárszolgálat), […]

The post Nagyszabású iMessage smishing kampány indult az USA-ban first appeared on Nemzeti Kibervédelmi Intézet.

Fontos megérteni a mesterséges intelligencia korlátait, kockázatait és sebezhetőségeit. A NIST által kidolgozott Mesterséges Intelligencia Kockázatkezelési Keretrendszer (Artificial Intelligence Risk Management Framework, AI RMF) olyan iránymutatások és bevált gyakorlatok gyűjteménye, amelyek célja, hogy segítse a szervezeteket a mesterséges intelligencia technológiák bevezetésével és használatával kapcsolatos kockázatok azonosításában, értékelésében és kezelésében. A keretrendszer hat elemből áll: Érvényesség […]

The post Megjelent a NIST Mesterséges Intelligencia Kockázatkezelési Keretrendszere first appeared on Nemzeti Kibervédelmi Intézet.

The LWN.net Weekly Edition for September 7, 2023 is available.

The 6.5.2, 6.4.15, 6.1.52, and 5.15.131 stable kernels have been released; each contains another set of important fixes.

A recent discussion on the Python forum looked at a way to protect module objects (and users) from mistaken attribute assignment and deletion. There are ways to get the same effect today, but the mechanism that would be used causes a performance penalty for an unrelated, and heavily used, action: attribute lookup on modules. Back in 2017, PEP 562 ("Module __getattr__ and __dir__") set the stage for adding magic methods to module objects; now a new proposal would extend that idea to add __setattr__() and __delattr__() to them.

The Mozilla Foundation has published a report on the data-collection and privacy practices of 25 car brands.

We reviewed 25 car brands in our research and we handed out 25 "dings" for how those companies collect and use data and personal information. That’s right: every car brand we looked at collects more personal data than necessary and uses that information for a reason other than to operate your vehicle and manage their relationship with you. For context, 63% of the mental health apps (another product category that stinks at privacy) we reviewed this year received this "ding."

Proof, once again, that running Linux does not automatically make a device privacy-friendly.

Leandro Moreira is maintaining a detailed description of Linux network tuning parameters and how they all tie together. There is a lot of good information for administrators seeking a better understanding of how all those knobs work and interoperate. (Seen on HN).

Security updates have been issued by Debian (aom and php7.3), Fedora (freeimage and mingw-freeimage), Scientific Linux (thunderbird), SUSE (amazon-ssm-agent, chromium, container-suseconnect, docker, glib2, php7, python-Django1, and rubygem-rails-html-sanitizer), and Ubuntu (kernel, linux, linux-aws, linux-aws-5.4, linux-gcp, linux-hwe-5.4, linux-ibm, linux-iot, linux-kvm, linux-oracle, linux-oracle-5.4, linux, linux-aws, linux-aws-6.2, linux-hwe-6.2, linux-kvm, linux-lowlatency, linux-lowlatency-hwe-6.2, linux-raspi, linux, linux-aws, linux-aws-hwe, linux-gcp, linux-gcp-4.15, linux-hwe, linux-kvm, linux-oracle, and linux, linux-gcp, linux-hwe-5.15, linux-ibm, linux-kvm, linux-lowlatency, linux-lowlatency-hwe-5.15, linux-nvidia).

Proof-of-concept exploit kód került nyilvánosságra a VMware Aria Operations for Networks (korábbi nevén vRealize Network Insight) elemző eszközének kritikus kockázati besorolású SSH hitelesítési bypass sebezhetőségéhez.

The post Egy újabb kritikus VMware sebezhetőség ütötte fel a fejét first appeared on Nemzeti Kibervédelmi Intézet.

The Linux Vendor Firmware Service (LVFS) provides a repository where vendors can upload firmware updates that can be accessed by the fwupd firmware update daemon on Linux systems. That mechanism allows users to keep the hardware components of their systems up to date with the latest firmware releases, but it has gotten so popular that the daily metadata queries are starting to swamp the LVFS content delivery network (CDN) server. So Richard Hughes, who developed fwupd and LVFS, suggested that it would make sense to start looking at ways to reduce that burden; the idea was discussed in a recent thread on the Fedora devel mailing list.

FOSS Force looks at the KDE Gear 23.08 release.

For this release, developers have been working in high gear (no pun intended) as there were important improvements made to many of Gear’s most iconic applications. Not only that: just a little over a year after its arrival, the Kalendar app is going through a name change as it morphs into what appears will eventually become a full-featured email application.

Security updates have been issued by Debian (file and thunderbird), Fedora (exercism, libtommath, moby-engine, and python-pyramid), Oracle (cups and kernel), Red Hat (firefox, kernel, kernel-rt, kpatch-patch, and thunderbird), SUSE (amazon-ecs-init, buildah, busybox, djvulibre, exempi, firefox, gsl, keylime, kubernetes1.18, php7, and sccache), and Ubuntu (docker-registry and linux-azure-5.4).

The kernel-development community has recently been discussing a number of independent patches, each of which is intended to help improve the security of deployed systems in some way. They touch on a number of areas within the kernel, including the question of how widely io_uring should be available, how to allow virtual machines to attest to their integrity, and the best way to inform applications when their random-number generators need to be reseeded.

Security updates have been issued by Debian (thunderbird), Fedora (firefox, kernel, kubernetes, and mediawiki), Mageia (openldap), SUSE (terraform), and Ubuntu (atftp, busybox, and thunderbird).

Linux Plumbers is now sold out and in-person registration is closed.

This year it happened not as fast as in 2022, but the registration is still sold out long before the event.

We are setting up a waitlist for in-person registration (virtual attendee places are still available). Please fill in this form and try to be clear about your reasons for wanting to attend. This year we’re giving waitlist priority to new attendees and people expected to contribute content.