"An Avast antivirus subsidiary sells 'Every search. Every click. Every buy. On every site.'"
Fórumok
- Tovább ("An Avast antivirus subsidiary sells 'Every search. Every click. Every buy. On every site.'")
- 641 megtekintés
HUP cikkturkáló
(2015) Scary code of the week: Valve Steam CLEANS Linux PCs
Fórumok
https://www.theregister.co.uk/2015/01/17/scary_code_of_the_week_steam_c…
Dodgy shell script triggers classic rm -rf /
According to a bug report filed on GitHub, moving Steam's per-user folder to another location in the filesystem, and then attempting to launch the client may perform the following heart-stopping command:
rm -rf /*
"Egy benzinkutas rájött, hogyan csalhat bankkártyás fizetésnél" (index)
Fórumok
"[...] a 34 éves nő 2016-tól másfél éven át dolgozott a helyi benzinkúton, és itt jött rá egy furcsa technikai hibára.
Bankkártyás fizetésnél a terminál bizonyos helyzetekben nem von le pénzt a vásárlótól, miközben a pénztárgép ezt sikeres tranzakcióként érzékeli.
Megfigyelte, hogy ha a vásárló bankkártyáját a PIN-kód beütése után egy-két másodperccel később kihúzza a készülékből, akkor nem vonják le a vevőtől a pénzt, de mivel a pénztárgép sikeresnek ítélte meg a tranzakciót, a benzinkút kasszájában nem keletkezik azonnal hiány."
https://index.hu/belfold/2020/01/21/egy_benzinkutas_rajott_hogy_csalhat…
Some AMD cpus with RDRAND fail to produce random numbers after suspend/resume
Fórumok
Some AMD cpus with RDRAND fail to produce random numbers after suspend/resume: Posted by Jeffrey Walton on Jan 16This just made my radar. It appears some AMD cpus with RDRAND fail to produce random numbers after a suspend/resume. It looks like it was… https://t.co/TU9lqe20Kh
— Open Source Security (@oss_security) January 17, 2020
Nem új, de technikailag érdekes. Most bukkant fel újra az oss-sec listán.
BSD alapra vált a Hyperbola disztribúció
Fórumok
Még a tavalyi évben jelentette be a Project Trident, hogy az alapját képező FreeBSD/TrueOS-t Void Linux-ra váltja le, de ezzel együtt egy ellenkező váltás is várható.
A Hyperbola GNU/Linux-libre disztribúció fejlesztői jelentették be, hogy nincsenek megelégedve a Linux kernel fejlesztési irányával és ezért úgy határoztak, hogy a jövőben BSD alapot adnak a rendszerüknek. A Hyperbola disztribúció egyébként eddig is nagy hangsúlyt fektetett arra, hogy biztonságos, megbízható, stabil és teljesen ingyenes rendszer volt, ezért a KISS alapelvet követték, Linux-libre kernellel és LTS támogatást biztosítva, mindezt eddig Arch alapokon.
A váltást nem úgy képzelik a fejlesztők, mint a Project Trident csinálta, hogy egy meglévő rendszerre alapozva raknak össze egy rendszert, hanem az OpenBSD-ből készítenek egy hard fork-ot és ezt az alapot fejlesztik tovább. Így GPL3 és LGPL3 licence alatt fejlesztenek bele új kódokat, amivel a GPL inkompatibilis és non-free komponenseket cserélik le.
A fejlesztők remélik, hogy nem lesz hiábavaló a munkájuk és egy olyan rendszert tudnak biztosítani mindenki számára, ami a jelenlegi operációs rendszer trendekkel szembemenve nem ássa alá a felhasználók döntéseit és szabadságát.
Az okok amiért elválnak a Linux kerneltől:
- A kernel erőlteti a DRM-ek adaptálását a kódba, beleértve a HDCP-t
- Rust használata a kernelben/kernel driverekben. A fejlesztők már korábban kinyilvánították nemtetszésüket ezzel kapcsolatosan ugyanis a Mozilla a Rust és a Cargo használatával kapcsolatosan olyan szabályozásokat alakított ki, ami még ha kis mértékben is, de szembemegy a szoftverszabadság néhány elemével.
- A kernelt nem úgy fejlesztik, hogy a biztonság legyen az elsődleges szempontban és mivel a KSPP már halott projekt és a Grsec nem ingyenes és nagy munka lenne újra biztonságossá tenni.
- Több GNU userspace és core elem build-kor kikapcsolhatatlan funkciókat erőltet a felhasználóra, amik felesleges függőségeket okoznak (Pl.: PulseAudio, systemd, Rust, Java)
A csapat ígérete szerint a jelenlegi kiadást még 2022-ig támogatja, ameddig a jelenlegi LTS linux-libre kernel támogatása tart, de a jövőbeni kiadások már BSD-re térnek át és nem lesznek kompatibilisek a régiekkel.
- Tovább (BSD alapra vált a Hyperbola disztribúció)
- 268 megtekintés
FreeBSD-re váltott a DistroWatch
Fórumok
A tegnapi nap folyamán a Reddit r/freebsd subreddit-en jelentették be, hogy a DistroWatch oldal alatt működő szervert lecserélték és Debian-ról FreeBSD-re migrálták az egészet:
A váltás oka:
Hardver problémák merültek fel a régi szerverrel, így hardver csere után felmerült, hogy rendszer csere is történjen-e, mert amúgy is Debian Old-Stable-t használtak, ami miatt egy Debian átállás amúgy is kellett volna. Végül a FreeBSD mellett tették le a voksukat.
Előnyök:
- Stabilabb háttér, a FreeBSD alaprendszere sokkal statikusabb, mint egy Linux disztribúció esetén. Ezt ki is fejtik, hogy Debian esetén egy-egy verzió váltás mindig tört valamit. Kiemelik, hogy nincs bajuk a systemd-vel, de a sysvinit-ről váltás azért okozott néhány fejfájást.
- Teljesítményben nem marad el a Debian-tól.
- ZFS támogatás.
- Kevesebb process fut alapjáraton.
- Debian esetén volt, hogy a kernel CPU terhelése felkúszott 95%-ra, ami a váltással megszűnt.
- A csapat egyebek mellett üzemeltet FreeBSD szervereket, amikhez vannak saját felügyeleti szkriptek, amiket így nem kell Debian-ra portolni.
Hátrány:
- A korábbi Debian szkripteket portolni kellett.
- Átállás után probléma volt az IPv6-al, de ez hamar megoldódott.
- Több dolgot (PHP, Bash) symlinkelni kellett.
A váltásról nagy valószínűséggel lesz hír a DistroWatch-on is a következő Weekly kiadásban.
- Tovább (FreeBSD-re váltott a DistroWatch)
- 1097 megtekintés
Windows CryptoAPI spoofing vulnerability [CVE-2020-0601]
Fórumok
Any software, including third-party non-Microsoft software, that relies on the Windows CertGetCertificateChain() function to determine if an X.509 certificate can be traced to a trusted root CA may incorrectly determine the trustworthiness of a certificate chain.
CVE-2020-0601 is a serious vulnerability, because it can be exploited to undermine Public Key Infrastructure (PKI) trust. PKI is a set of mechanisms that home users, businesses, and governments rely upon in a wide variety of ways. The vulnerability permits an attacker to craft PKI certificates to spoof trusted identifies, such as individuals, web sites, software companies, service providers, or others. Using a forged certificate, the attacker can (under certain conditions) gain the trust of users or services on vulnerable systems, and leverage that trust to compromise them.
https://kb.cert.org/vuls/id/849224/
https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-20…
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/205…
Fun-fact: First time that NSA found a dangerous software flaw and alerted the firm — rather than weaponizing it
"Bukdácsol a GDPR, mert semmibe veszik a cégek"
Fórumok
https://index.hu/techtud/2020/01/13/bukdacsol_a_gdpr_mert_semmibe_veszi…
".. a weboldalak megnyitásakor felbukkanó kérdőív bezárása semmiképpen nem jelentheti azt, hogy a felhasználó beleegyezett a böngészési adatainak gyűjtésébe. Törvénytelen, ha előre be van pipálva az elfogadás jelölőnégyzete. "
- Tovább ("Bukdácsol a GDPR, mert semmibe veszik a cégek")
- 2033 megtekintés