Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

Взломаны серверы проекта Debian. Успеху атаки способствовала ошибка в ядре Linux



Новости    Новости НеWindows


В понедельник команда Debian Project сообщила, что злоумышленникам удалось взломать четыре сервера проекта разработки ПО с открытым исходным кодом из-за ошибки в ядре Linux.

Воспользовавшись ошибкой, 19 ноября атакующий, уже имевший доступ к серверу, смог снять ограничения, защищавшие систему от рядовых пользователей, и совершить несколько проникновений.

Разработчики обнаружили ошибку в сентябре и исправили ее в последней версии ядра Linux 2.4.23, но исправленная версия вышла несколько позднее — в пятницу, через восемь дней после атаки на Debian.

Debian Project, который в своей работе использует только истинное ПО open-source, утверждает, что проникновения не повлияли на базу кода проекта.«К счастью, мы требуем от разработчиков подписывать присылаемое ими ПО цифровой подписью, — говорит член проекта, программист Мартин Шульц. — Эти файлы сохраняются также вне сайта и используются в качестве базы сравнения для перепроверки».

Команда проекта пообещала заблокировать все учетные записи разработчиков до выявления и исправления ошибки. В понедельник были опубликованы соответствующие поправки, но, когда будут разблокированы учетные записи, не сообщается.

Неизвестный злоумышленник взломал по крайней мере четыре сервера Debian Project. Эти серверы — называемые Master, Murphy, Gluck и Klecker — обслуживали систему регистрации ошибок, базу данных исходного кода, почтовые списки, веб-сайт и секьюрити-патчи проекта open-source.

Как говорится в опубликованных в понедельник результатах анализа, злоумышленник получил доступ к одной из систем, взломав компьютер разработчика и установив на него программу для регистрации клавишного ввода. Когда программист вошел в систему Klecker, злоумышленник перехватил его пароль.

Воспользовавшись сентябрьской ошибкой, атакующий получил права доступа к Klecker уровня owner, то есть, как говорят, «овладел» системой. Ошибка — она находится в той части ядра, которая управляет памятью, — позволяет пользователям, у которых уже есть доступ к системе, повысить свои привилегии. Такие ошибки менее опасны, чем те, что обеспечивают доступ к серверу для внешнего атакующего, поэтому они исправляются не так срочно.

Это не первая атака на ПО open-source. В ноябре злоумышленник пытался исказить ядро Linux, внедрив в него аналогичный дефект. А год назад злоумышленники поместили хакерское ПО в популярный инструмент open-source Tcpdump. Несколько известных атак было предпринято и против других проектов open-source.

Последний баг исправлен в версии ядра 2.4.23 и в ядре Linux нового поколения, начиная с версии 2.6.0-test6, которая вышла в конце сентября.Несмотря на двухмесячную задержку в выпуске патча, Иэн Мердок, основатель Debian и председатель правления Linux-компании Progeny, хвалит команду разработчиков проекта.«В конечном счете ребята замечательно справились с ситуацией: они не скрывали то, что произошло, и очень быстро с этим разобрались», — сказал он. Мердок входит в команду Debian как разработчик, но больше не выполняет повседневных обязанностей администратора.

Автор: Роберт Лемос
Дата:

11.04.2024 14:22

Доля Linux на десктопах продолжает держаться выше 4%

Впервые порог в 4% был преодолен в феврале, а в марте этот уровень удалось закрепить, но Windows продолжает уверенно лидировать с долей в 72%


09.04.2024 09:09

«Газпром» внедряет российскую «Ред ОС» вместо Windows

«Газпром» закупил 134 тыс. лицензий на операционную систему «Ред ОС» от российской компании «Ред cофт» для серверов и рабочих станций


16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


27.10.2023 23:08

Выпущена операционная система Simply Linux 10.2

Российская компания «Базальт СПО» выпустила новую версию операционной системы Simply Linux


Популярное: Новости НеWindows
16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


21.04.2023 03:07

Состоялся релиз Ubuntu 23.04

В число официальных редакций Ubuntu добавлена редакция с графическим окружением Cinnamon


16.05.2023 19:07

Выпущена анонимная операционная система Tails 5.13

Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя. Известна тем, что использовалась Эдвардом Сноуденом при разоблачении программы PRISM


14.08.2023 11:18

Доработку российской ОС «Аврора» оценили в 300 млрд рублей

В Роскомнадзоре прошло совещание с российскими производителями смартфонов и разработчиками операционных систем



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (2965 / 87):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта