Hírolvasó

Két súlyos biztonsági hibát fedeztek fel a TPM 2.0-ás biztonsági chipekben, amelyek több milliárd eszközt érinthetnek világszerte.

The post TPM 2.0 sérülékenységeket fedeztek fel first appeared on Nemzeti Kibervédelmi Intézet.

Az igen nagy népszerűségnek örvendő kínai divatcég alkalmazásának egy régebbi verziója időnként rögzítette és egy távoli szerverre továbbította az androidos eszközök vágólap tartalmát. A SHEIN, eredeti néven ZZKKO, egy szingapúri székhelyű online kínai gyors-divatkereskedő cég. Ezidáig több mint 100 millióan töltötték le a Play Store alkalmazásboltból a jelenleg 9.0.0 verziójánál járó appot. A  Microsoft 365 […]

The post Távoli szerverekre továbbított vágólapra másolt adatokat a SHEIN androdis verziója first appeared on Nemzeti Kibervédelmi Intézet.

Wladimir Palant has written an article on use of OpenSMTPD filters, and provided code under an MIT license for those who may wish to utilize the techniques described therein.

The LWN.net Weekly Edition for March 9, 2023 is available.

Version 0.85 of Game of Trees has been released (and the port updated):

Read more…

Way back in 2009, we looked at the presto plugin for yum, which added support for DeltaRPMs to Fedora. That package format allows just the binary differences (i.e. the delta) between an installed RPM and its update to be transmitted, which saves network bandwidth; the receiving system then creates the new RPM from those two pieces before installing it. Support for DeltaRPMs was eventually added to the distribution by default, though the feature has never really lived up to expectations—and hopes. Now, it would seem that Fedora is ready to, in the words of project leader Matthew Miller, "give DeltaRPMs a sad, fond farewell".

Version 4.18 of the Samba interoperability suite is out. Changes include some significant performance improvements, better error messages, and more; click below for the details.

Version 4.15 of the "anything to PostScript" filter a2ps has been released — the first release since 2007. "This release contains few user-visible changes. It does however contain a lot of changes “under the hood”: code clean-up, etc. Therefore, it’s likely that there are new bugs."

Security updates have been issued by Debian (apr), Fedora (c-ares), Oracle (curl, kernel, pesign, samba, and zlib), Red Hat (curl, gnutls, kernel, kernel-rt, and pesign), Scientific Linux (kernel, pesign, samba, and zlib), SUSE (libX11, python-rsa, python3, python36, qemu, rubygem-rack, xorg-x11-server, and xwayland), and Ubuntu (libtpms, linux-ibm, linux-raspi, linux-raspi, python3.7, python3.8, and sofia-sip).

A Twitter nemrég bejelentette, hogy már nem tartja elég biztonságosnak az SMS-alapú kétfaktoros hitelesítést (2FA), és ezt a hitelesítési módot meg is szünteti a nem fizetős felhasználók számára. Akik nem rendelkeznek előfizetéssel, azoknak még 2023.03.17-e előtt át kell állniuk egy másfajta 2FA rendszer, például hitelesítő alkalmazás használatára, ha biztonságban szeretnék tudni a fiókjukat. Minderről az […]

The post Vigyázat, csaló 2FA alkalmazások az App Store-ban és a Google Playen! first appeared on Nemzeti Kibervédelmi Intézet.

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) három sebezhetőséggel bővítette az ismert módon kihasznált sérülékenységeket tartalmazó (KEVC) listáját. A sérülékeny rendszerek között olyan széles körben alkalmazott szoftverek is megtalálhatóak, mint például az Apache Spark.

The post Három aktívan kihasznált sérülékenységre figyelmeztet a CISA first appeared on Nemzeti Kibervédelmi Intézet.

Összesen 60 biztonsági hiba került javításra a Google által kiadott 2023. márciusi Android frissítéssel, köztük két kritikus besorolású távoli kódvégrehajtási (RCE) sebezhetőséggel (CVE-2023-20951 és CVE-2023-20954), amely a 11, 12 és 13-as Android verziókat érinti. A javítások két részletben érkeztek, egy 2023-03-01 és egy 2023-03-05-ös csomagban. Míg az első csomag 31 hibajavítást tartalmaz olyan alapvető Android […]

The post Két kritikus sérülékenységet is javít az Android márciusi frissítése first appeared on Nemzeti Kibervédelmi Intézet.

The OpenBSD installer now has basic support for configuring disk encryption during the regular installation process. Previously, disk encryption needed to be set up manually by dropping to the shell from the installer.

Initial support, likely to be expanded upon, was committed by Klemens Nanni (kn@) on March 7, 2023. The commit reads,

Subject: CVS: cvs.openbsd.org: src From: Klemens Nanni <kn () cvs ! openbsd ! org> Date: 2023-03-07 17:29:42

Read more…

Another piece from Florian Obser (florian@) just came out, titled Dynamic host configuration, please.

In the article, Florian details the steps to modern OpenBSD dynamic host configuration, including interface configuration, name resolution, routing and more.

We also get an explanation of the various userland programs (most of them portable, some OpenBSD-specific) that make a modern OpenBSD laptop shine.

You can read the full piece here, Dynamic host configuration, please.

Many wireless sensors broadcast their data using Bluetooth Low Energy (BLE). Their data is easy to receive, but decoding it can be a challenge. Each manufacturer uses its own format, often tied to its own mobile apps. Integrating all of these sensors into a home-automation system requires a lot of custom decoders, which are generally developed by reverse-engineering the protocols. The goal of the BTHome project is to change this: it offers a standardized format for sensors to broadcast their measurements using BLE. BTHome is supported by the Home Assistant home-automation software and by a few open-firmware and open-hardware projects.

Asahi Lina has posted an initial version of a Rust-based driver for Apple AGX graphics processors; the posting includes a fair amount of Rust infrastructure for graphics drivers in general.

While developing the driver, I tried to make use of Rust's safety and lifetime features to provide not just CPU-side safety, but also partial firmware-ABI safety. Thanks to this, it has turned out to be a very stable driver even though GPU firmware crashes are fatal (no restart capability, need to reboot!) and the FW/driver interface is a huge mess of unsafe shared memory structures with complex pointer chains.

The Flathub organization (in the form of Robert McQueen) has posted a lengthy update on the state of Flathub and its plans for the coming year.

So far, the GNOME Foundation has acted as an incubator and legal host for Flathub even though it’s not purely a GNOME product or initiative. Distributing software to end users along with processing and forwarding payments and donations also has a different legal profile in terms of risk exposure and nonprofit compliance than the current activities of the GNOME Foundation. Consequently, we plan to establish an independent legal entity to own and operate Flathub which reduces risk for the GNOME Foundation, better reflects the independent and cross-desktop interests of Flathub, and provides flexibility in the future should we need to change the structure.

Security updates have been issued by Debian (kopanocore), Fedora (golang-github-projectdiscovery-chaos-client, rust-sequoia-octopus-librnp, rust-sequoia-sop, rust-sequoia-sq, and usd), Oracle (libjpeg-turbo and pesign), Red Hat (kernel, kernel-rt, kpatch-patch, osp-director-downloader-container, pesign, rh-mysql80-mysql, samba, and zlib), SUSE (mariadb), and Ubuntu (fribidi, gmp, linux, linux-aws, linux-kvm, linux-lts-xenial, linux-azure, linux-azure-4.15, linux-kvm, linux-raspi2, linux-snapdragon, linux-raspi, nss, python3.6, rsync, systemd, and tiff).

A Biden-kormányzat pénteken bejelentette, hogy a szövetségi államok számára kötelezővé teszi a közüzemi vízrendszerek kiberbiztonsági auditjának elvégzését. Az Egyesült Államok Környezetvédelmi Ügynöksége (EPA) szerint a kritikus infrastruktúrák, köztük az ivóvízrendszerek is egyre inkább kerülnek a különböző bűnszervezetek kibertámadásainak célkeresztjébe, miközben a közüzemi vízrendszerek sok esetben kimondottan sérülékenyek. Az EPA javasolja egy általa készített útmutató használatát […]

The post Elrendelték a közüzemi vízrendszerek kiberbiztonsági auditálását Amerikában first appeared on Nemzeti Kibervédelmi Intézet.

Linus Torvalds released 6.3-rc1 and closed the 6.3 merge window as expected on March 5. By that time, 12,717 non-merge commits (and 848 merges) had found their way into the mainline kernel; nearly 7,000 of those commits came in after the first-half merge-window summary was written. The second half of the 6.3 merge window was thus a busy time, with quite a bit of new functionality landing in the mainline.