OpenSSH 8.3 ya esta aquí y estas son sus novedades

Después de tres meses de desarrollo, se presentó el lanzamiento de la nueva version de OpenSSH 8.3, en la cual se destaca una nueva protección añadida contra ataques scp, lo que permite al servidor transferir otros nombres de archivos que difieren de los solicitados (a diferencia de la vulnerabilidad anterior, el ataque no permite cambiar el directorio seleccionado por el usuario o la máscara global).

En SCP, el servidor decide qué archivos y directorios enviar al cliente y el cliente solo verifica la exactitud de los nombres de los objetos devueltos. La esencia del problema identificado es que si falla la llamada al sistema de tiempos, el contenido del archivo se interpreta como metadatos de archivo.

Cuando se conecta a un servidor controlado por un atacante, esta función se puede usar para guardar otros nombres de archivo y otros contenidos en el FS del usuario al copiar usando scp en configuraciones que provocan fallas en los tiempos. Por ejemplo, cuando los tiempos están deshabilitados por la política de SELinux o el filtro de llamadas del sistema.

Se estima que la probabilidad de ataques reales es mínima, ya que en configuraciones típicas la llamada de tiempo no falla. Además, el ataque no pasa desapercibido: cuando se llama a scp, se muestra un error de transmisión de datos.

Adiós a SHA-1

Además los desarrolladores de OpenSSH también advirtieron una vez más sobre la próxima transferencia a la categoría de algoritmos obsoletos que usan hash SHA-1, debido a un aumento en la eficiencia de los ataques de colisión con un prefijo dado (el costo de la selección de colisión se estima en alrededor de $ 45 mil).

En uno de los siguientes problemas, planean deshabilitar por defecto la capacidad de usar el algoritmo de firma digital de clave pública ssh-rsa, que se menciona en el RFC original para el protocolo SSH y sigue siendo generalizado en la práctica.

Posibles candidatos

Para facilitar la transición a nuevos algoritmos en OpenSSH en una de las próximas versiones, la configuración UpdateHostKeys se habilitará de manera predeterminada, lo que cambiará automáticamente a los clientes a algoritmos más confiables.

Entre los algoritmos recomendados para la migración están: rsa-sha2-256/512 basado en RFC8332 RSA SHA-2 (compatible con OpenSSH 7.2 y utilizado de forma predeterminada), ssh-ed25519 (compatible con OpenSSH 6.5) y ecdsa-sha2-nistp256 / 384/521 basado en RFC5656 ECDSA (compatible con OpenSSH 5.7).

Otros cambios

Desde el último número, «ssh-rsa» y «diffie-hellman-group14-sha1» se han eliminado de la lista CASignatureAlgorithms, que define los algoritmos válidos para firmar digitalmente nuevos certificados, ya que el uso de SHA-1 en los certificados conlleva un riesgo adicional debido a que el atacante tiene tiempo ilimitado para buscar colisiones para un certificado existente, mientras que el tiempo de ataque en las claves del host está limitado por el tiempo de espera de conexión (LoginGraceTime).

De los demas cambios que se destacan de esta nueva version son:

  • En sftp, el procesamiento «-1» se detiene, de forma similar a ssh y scp, que fue previamente aceptado pero ignorado.
  • En sshd cuando se usa IgnoreRhosts, ahora se proporcionan tres opciones: «yes» para ignorar rhosts/shosts, «no» para considerar rhosts/shosts y «shosts-only» que es permitir «.shosts», pero deshabilita «.rhosts».
  • En ssh, el procesamiento de la sustitución% TOKEN se proporciona en la configuración LocalFoward y RemoteForward utilizada para redirigir los sockets Unix.
  • Está permitido descargar claves públicas de un archivo no cifrado con una clave privada, si no hay un archivo separado con una clave pública.
  • Si el sistema tiene libcrypto en ssh y sshd, ahora usa la implementación del algoritmo chacha20 de esta biblioteca, en lugar de la implementación portátil incorporada, que tiene un rendimiento inferior.
  • Se implementó la capacidad de volcar el contenido de la lista binaria de certificados revocados al ejecutar el comando «ssh-keygen -lQf/path».
  • La versión portátil implementa definiciones del sistema en las cuales las señales con la opción SA_RESTART interrumpen la selección;
  • Problemas de compilación resueltos en sistemas HP/UX y AIX.
  • Se corrigieron problemas de compilación para seccomp sandbox en algunas configuraciones de Linux.
  • La definición de la biblioteca libfido2 se ha mejorado y los problemas de compilacion se han resuelto con la opción –with-security-key-builtin.

¿Como instalar OpenSSH 8.3 en Linux?

Para quienes estén interesados en poder instalar esta nueva versión de OpenSSH en sus sistemas, de momento podrán hacerlo descargando el código fuente de este y realizando la compilación en sus equipos.

Esto es debido a que la nueva versión aún no se ha incluido dentro de los repositorios de las principales distribuciones de Linux. Para obtener el código fuente, puedes hacer desde el siguiente enlace.

Hecha la descarga, ahora vamos a descomprimir el paquete con el siguiente comando:

tar -xvf openssh-8.3.tar.gz

Entramos al directorio creado:

cd openssh-8.3

Y podremos realizar la compilación con los siguientes comandos:

./configure --prefix=/opt --sysconfdir=/etc/ssh
make
make install

from Linux Adictos https://ift.tt/2Aco8LC
via IFTTT

WSU GPU, una implementación para dar acceso a aplicaciones gráficas de Linux en WSL

WSL GUI Apps

La semana pasada, los desarrolladores de Microsoft anunciaron diversas mejoras significativas en el subsistema WSL (Windows Subsystem for Linux), que permite que aplicaciones de Linux se ejecuten en Windows. Ya que a partir de la actualización de mayo de Windows 10, la primera instalación del entorno Linux utilizará la capa WSL2 de forma predeterminada.

El entorno WSL2 se ejecuta en una imagen de disco (VHD) separada con el sistema de archivos ext4 y el adaptador de red virtual. El kernel de Linux en WSL2 no se incluirá en la imagen de instalación de Windows, pero Windows lo cargará dinámicamente y lo mantendrá en la forma actual, de forma similar a cómo se instalan y actualizan los controladores de gráficos. Para instalar y actualizar el kernel, se utilizará el mecanismo estándar de Windows Update.

El núcleo propuesto para WSL2 se basa en el lanzamiento del núcleo Linux 4.19, que se ejecuta en un entorno Windows utilizando una máquina virtual que ya está en uso en Azure.

Los parches específicos de WSL2 utilizados en el núcleo incluyen optimizaciones para reducir el tiempo de inicio del núcleo, reducir el consumo de memoria, devolver Windows a la memoria liberada por los procesos de Linux y dejar el conjunto mínimo de controladores y subsistemas necesarios en el núcleo.

Ya es posible ejecutar aplicaciones gráficas en WSL

Además de lo mencionado, otra de las novedades que se destaca es el soporte para inicial para aplicaciones de Linux con una interfaz gráfica «WSU GPU».

El soporte se implementa mediante la virtualización del acceso a la GPU y la provisión de controladores a través de los cuales pueden funcionar los subsistemas gráficos regulares de las distribuciones de Linux, incluidos los basados ​​en Wayland. Las aplicaciones gráficas de Linux y Windows pueden ejecutarse lado a lado en el escritorio de Windows.

Se ha preparado un controlador dxgkrnl abierto para el kernel de Linux, que proporciona un dispositivo /dev/dxg con servicios que repiten el modelo de controlador de pantalla de Windows (WDDM) D3DKMT del kernel de Windows. El controlador establece una conexión a la GPU física utilizando el bus VM. Las aplicaciones de Linux tienen el mismo nivel de acceso a GPU que las aplicaciones nativas de Windows sin compartir recursos entre Windows y Linux.

Además, la biblioteca libd3d12.so se proporciona para Linux, que proporciona la API gráfica completa de Direct3D 12.

La biblioteca libd3d12.so está construida a partir del mismo código que la implementación nativa de Windows de Direct3D 12 y es completamente similar en funcionalidad a la biblioteca d3d12.dll.

También se proporciona una versión simplificada de la API DXGI (DirectX Graphics Infrastructure) en forma de la biblioteca DxCore (libdxcore.so). Las bibliotecas libd3d12.so y libdxcore.so son propietarias y se entregan solo en compilaciones binarias (montados en WSL como /usr/lib/wsl/lib), compatibles con Ubuntu, Debian, Fedora, Centos, SUSE y otras distribuciones basadas en Glibc.

El soporte para OpenGL en Mesa se proporciona a través de una capa que traduce las llamadas a la API de DirectX 12. El método para implementar la API de Vulkan aún se encuentra en la etapa de planificación.

En la primera etapa, en entornos WSL, se admitirán CUDA y DirectML, trabajando sobre la API D3D12 (por ejemplo, en un entorno Linux, puede ejecutar TensorFlow con un back-end para DirectML). El soporte de OpenCL es posible a través de una capa que realiza la asignación de llamadas en la API DirectX 12.

Microsoft está desarrollando su administrador compuesto utilizando el protocolo Wayland y basado en la base de código Weston. El administrador compuesto usa RDP-RAIL (Aplicación remota RDP integrada localmente) para organizar la salida de la interfaz de la aplicación Linux al escritorio principal de Windows. RDP-RAIL difiere del backend RDP disponible anteriormente en Weston en que el administrador compuesto no renderiza el escritorio en sí, sino que redirige las superficies individuales (wl_surface) a través del canal RDP RAIL para mostrarlas en el escritorio principal de Windows.

Además de que pronto se admitirá una instalación WSL con el simple comando wsl.exe –install.

Finalmente si quieres conocer mas al respecto, puedes consular los detalles en el siguiente enlace. 

from Linux Adictos https://ift.tt/2XErijp
via IFTTT

El Xiaomi Mi TV existe y hará frente sin problema al Fire TV de Amazon o al mismísimo Chromecast

Hace unos días que conocimos su existencia, pero un evento online de Xiaomi en Alemania acaba de confirmarnos que efectivamente el Xiaomi Mi TV Stick es real y que el gigante chino intentará competir con los gallos de esta industria: el Fire TV de Amazon y el casi imprescindible Google Chromecast.

En las últimas horas han sido varios los medios que han ido recogiendo al apodado Chromecast de Xiaomi que en su caso llegará más bien con la idea de convertirse en un Android TV Box en forma de pen HDMI conectable de forma directa al televisor.

El Xiaomi Mi TV Stick es real, y competirá con los Fire TV y Chromecast

La imagen superior ha sido extraída, de hecho, del material utilizado por Xiaomi Deutschland durante su conferencia de presentación de los Redmi Note 9, así que ya podemos aseguraros que ese será el diseño final tanto del Xiaomi Mi TV Stick como de su mando de control, ambos muy elegantes en color negro con detalles brillantes y acceso directo a los servicios principales como Google Assistant, Netflix o Amazon Prime Video.

Xiaomi pretende competir con los Fire TV de Amazon y Chromecast de Google, y lo hará bien gracias a un Mi TV Stick que será tan potente como su popular Mi Box S pero reducido al tamaño de un ‘pendrive’

Te recomendamos | Redmi TV: nuevos detalles de la próxima hornada de televisiones baratas de Xiaomi

Un stick tan poderoso como un Mi Box S, con Android TV y compatibilidad nativa con los principales servicios

Por desgracia, más que su diseño y su aparición fugaz no sabemos demasiada información extra, porque de él no se ha comentado prácticamente nada y el perfecto alemán de la presentación nos ha impedido entender bien todos los detalles.

En todo caso, sí sabemos por el botón de Google Assistant que una vez más Xiaomi apostará por Android TV como sistema operativo, algo ya habitual al menos en sus televisores y set-top-boxes internacionales, además de la preinstalación en su firmware de la mayoría de servicios de streaming de contenidos más importantes, algo que también se anticipa por los botones dedicados a Netflix y Amazon Prime Video.

La confirmación de su disponibilidad internacional no está todavía clara, pero ver material publicitario en idioma alemán nos anticipa que efectivamente sí debería a nuestros mercados antes o después ofreciendo una alternativa seria y a precio contenido a los Fire TV de Amazon y Google Chromecast, dueños y señores hasta la fecha de este sector.

El Xiaomi Mi TV Stick es real, y competirá con los Fire TV y Chromecast

Además, y ya utilizando rumores anteriores a su alrededor, suponemos que se cumplirá eso de que será tan potente como el Xiaomi Mi Box S, por lo que seguramente ofrecerá soporte para resoluciones 4K con HDR10+, sonido DTS-HD y Dolby Stereo Sound, soporte para WiFi de doble banda y todo ello en el tamaño de un stick con conector HDMI.

Estas serían, según los principales filtradores, sus características al completo en el apartado de hardware:

  • Android 9.0
  • 2 GB de memoria RAM
  • 8 GB de memoria interna
  • Sonido DTS-HD y Dolby Stereo
  • Conector HDMI 2.0
  • WiFi 5G yy Bluetooth 4.2
  • Puerto microUSB de alimentación

En cuanto a precios es pronto para hablar, pero de Xiaomi siempre esperamos mesura siguiendo su lema “no seas codicioso”, así que el nuevo Mi TV Stick debería convertirse en una alternativa económica con los rumores situándolo en el entorno de los 80 dólares. Habrá que esperar para conocerlo en profundidad, pero con tantas filtraciones es seguro que ya casi está entre nosotros…!

En Andro4all | Xiaomi Mi TV 4S de 55 pulgadas: análisis del mejor televisor de Xiaomi en España

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

La entrada El Xiaomi Mi TV existe y hará frente sin problema al Fire TV de Amazon o al mismísimo Chromecast se publicó primero en Andro4all.

from Andro4all https://ift.tt/2TKPmQk
via IFTTT