Hace ya varios dias en GitLab se dio a conocer mediante una publicación de blog que investigadores dieron a conocer los detalles de una vulnerabilidad de seguridad ahora ya parcheada en GitLab, un software DevOps de código abierto, que podría permitir que un atacante remoto no autenticado recupere información relacionada con el usuario.

La principal vulnerabilidad, la cual ya está registrada como CVE-2021-4191, se le atribuye a la falla de gravedad media que afecta a todas las versiones de GitLab Community Edition y Enterprise Edition desde la 13.0 y todas las versiones desde la 14.4 y anteriores a la 14.8.

Fue Jake Baines, un investigador sénior de seguridad de Rapid7, a quien se le atribuye el descubrimiento y la notificación de la falla, quien después de la divulgación responsable del 18 de noviembre de 2021, se publicaron correcciones como parte de las versiones de seguridad críticas de GitLab 14.8.2, 14.7.4 y 14.6.5 que podría permitir que un usuario no autorizado extraiga tokens de registro en GitLab Runner, que se utiliza para organice los controladores de llamadas al crear el código del proyecto en un sistema de integración continua.

“La vulnerabilidad es el resultado de una verificación de autenticación faltante al ejecutar ciertas solicitudes de API de GitLab GraphQL”, dijo Baines. mencionado en un informe publicado el jueves. “Un atacante remoto no autenticado puede usar esta vulnerabilidad para recolectar nombres de usuario, nombres y direcciones de correo electrónico registrados en GitLab”.

Adicionalmente, se menciona que si se está utilizando ejecutores de Kubernetes, se deberá actualizar manualmente los valores del gráfico de Helm con el nuevo token de registro. 

Y que para las instancias autoadministradas que no están en las versiones 14.6 o posteriores, GitLab ha publicado parches que se pueden aplicar para mitigar la divulgación del token de registro de Runner a través de la vulnerabilidad de acciones rápidas  Estos parches deben considerarse temporales. Cualquier instancia de GitLab debe actualizarse a una versión parcheada de 14.8.2, 14.7.4 o 14.6.5 lo antes posible.

La explotación exitosa de la fuga de información de la API podría permitir a los actores maliciosos enumerar y compilar listas de nombres de usuario legítimos que pertenecen a un objetivo que luego se pueden usar como trampolín para llevar a cabo ataques por fuerza bruta, incluida la adivinación de contraseñas, el rociado de contraseñas y el relleno de credenciales.

“La fuga de información también permite potencialmente que un atacante cree una nueva lista de palabras de usuario basada en las instalaciones de GitLab, no solo desde gitlab.com sino también desde las otras 50,000 instancias de GitLab accesibles desde Internet”

Se recomienda a los usuarios que mantienen sus propias instalaciones de GitLab que instalen una actualización o apliquen un parche lo antes posible. Este problema se solucionó dejando el acceso a los comandos de acciones rápidas solo a los usuarios con permiso de escritura.

Después de instalar una actualización o parches de «token-prefix» individuales, los tokens de registro creados previamente para grupos y proyectos en Runner se restablecerán y regenerarán.

Además de la vulnerabilidad crítica, las nuevas versiones que fueron liberadas también incluyen las correcciones a 6 vulnerabilidades menos peligrosas:

• Un ataque DoS a través del sistema de envío de comentarios: un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 8.15. Era posible activar un DOS mediante el uso de la función matemática con una fórmula específica en los comentarios de problemas.
• Adición de otros usuarios a grupos por parte de un usuario sin privilegios: que afecta a todas las versiones anteriores a la 14.3.6, todas las versiones a partir de la 14.4 anterior a la 14.4.4, todas las versiones a partir de la 14.5 anterior a la 14.5.2. Bajo ciertas condiciones, la API REST de GitLab puede permitir que los usuarios sin privilegios agreguen otros usuarios a los grupos, incluso si eso no es posible hacerlo a través de la interfaz de usuario web.
• Información errónea de los usuarios a través de la manipulación del contenido de Snippets: permite que un actor no autorizado cree Snippets con contenido engañoso, lo que podría engañar a los usuarios desprevenidos para que ejecuten comandos arbitrarios
• Fuga de variables de entorno a través del método de entrega «sendmail»: en la validación de entrada incorrecta en todas las versiones de GitLab CE/EE usando sendmail para enviar correos electrónicos permitió a un actor no autorizado robar variables de entorno a través de direcciones de correo electrónico especialmente diseñadas.
• Determinación de la presencia de usuarios a través de la API GraphQL: as instancias privadas de GitLab con registros restringidos pueden ser vulnerables a la enumeración de usuarios por parte de usuarios no autenticados a través de la API de GraphQL
• fugas de contraseña al duplicar repositorios a través de SSH en modo pull 

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/svDboNy
via IFTTT

Hoy hace un mes y un día desde que lanzaran la versión anterior del sistema operativo que desarrolla este proyecto. En aquella ocasión podíamos decir que era un lanzamiento mayor, porque, a pesar de ser sólo un «Service Pack», es decir, una actualización de punto, incluía una nueva versión de Phosh. Hace unas horas, el proyecto ha lanzado postmarketOS 21.12 Service Pack 3, y en esta ocasión no podemos decir que sea tan importante a no ser que se use un PinePhone o el viejo rockero Nokia N900.

En postmarketOS 21.12 Service Pack 3 se han actualizado varios núcleos, entre los que está el 5.15.25 para el N900. Además, entre las novedades también leemos que se ha incluido el driver necesario para poder usar el teclado físico del PinePhone. Aparte de eso, el resto de novedades destacadas son pocas, y las tenéis en la siguiente lista.

Novedades más destacadas de postmarketOS 21.12 Service Pack 3

• Dino ~0.3 actualizado a la última versión en la rama feature/handy de @mimi89999, con soporte para una UI adaptativa.
• Squeekboard 1.16.0, con muchas traducciones a nuevos idiomas.
• Portfolio actualizado a 0.9.3, con soporte para montar/gestionar discos externos. Útil para usar unidades usb con un dispositivo acoplado, o tarjetas SD en dispositivos que las soportan.
• Corregidas las alarmas que no despertaban los dispositivos desde la suspensión, el daemon (waked) responsable de programar el evento de despertar no estaba configurado para iniciarse por defecto.
• Núcleo de Linux de SDM845 actualizado a 5.16.12., el del MSM8996  actualizado a 5.16.12 y el del N900 se ha actualizado a la versión 5.15.25.
• El controlador del kernel del teclado PinePhone ahora se construye como módulo.

Las nuevas imágenes están disponibles en la página de descargas del proyecto, desde donde también se pueden descargar imágenes de la versión Edge (unstable o inestable). Los usuarios existentes recibirán todos los nuevos paquetes automáticamente como actualización desde el mismo sistema operativo.

from Linux Adictos https://ift.tt/b176lrK
via IFTTT

El grupo hacktivista Anonymous dio a conocer hace poco la noticia de que ha vaciado una base de datos de casi 820 GB perteneciente a Roskomnadzor, el servicio federal ruso para la supervisión de las comunicaciones, las tecnologías de la información y los medios de comunicación.

El grupo ahora ha publicado 364.000 archivos, con un total de 527 GB y casi 290,6 GB de datos sin procesar. Estos estarían en formatos propietarios y el colectivo dijo que aún no ha encontrado la manera de extraerlos.

Las personas que se identificaron como pertenecientes al colectivo hacktivista Anonymous dijeron, se postularon ante una «guerra cibernética» contra Rusia al día siguiente de su invasión de Ucrania. Desde entonces, las entidades que utilizan el nombre y la iconografía del colectivo se han responsabilizado de una serie de incidentes en el ciberespacio de Rusia, así como del hackeo de numerosos sitios web estatales y medios de comunicación respaldados por el Kremlin.

Esta semana, estas entidades creen que hackearon a la autoridad reguladora de medios y telecomunicaciones de Rusia, mejor conocida como Roskomnadzor y recuperaron 817,5 GB de datos de una de sus oficinas estatales.

En una descripción de los datos, el colectivo afirma que más de 360.000 archivos provienen de la red Roskomnadzor, con un total de 526,9 GB Estos archivos parecen ser en su mayoría correos electrónicos.

Según las marcas de tiempo, se cree que algunos de los archivos son tan recientes como el 5 de marzo de 2022. Además, el grupo dice que hay dos directorios que ha identificado que contienen los archivos de datos sin procesar en formatos propietarios para un par de bases de datos. Juntos suman 290,6 GB.

«Estamos liberando los datos sin procesar mientras buscamos soluciones para extraer los datos», escribieron 

Una parece ser una base de datos de investigación legal que, según la marca de tiempo del archivo, se modificó por última vez en 2020. La otra parece ser una base de datos para procedimientos de recursos humanos.

Sin embargo, el grupo advierte que este conjunto de datos se publicó durante la preparación, en medio o después de una guerra cibernética o híbrida. Por lo tanto, existe un mayor riesgo de malware, motivos ocultos, datos modificados o implantados, o banderas/caracteres falsos. Por lo tanto, anima a los lectores, investigadores y periodistas a tener mucho cuidado con los datos.

En una serie de tuits y publicaciones en varios sitios, los hackers justificar sus acciones contra Rusia. Consideran al servicio Roskomnadzor como el aparato ruso para censurar medios locales e internacionales.

Lo describen como «un peligro para la libertad de expresión que, a través de sus acciones, deja a millones de rusos en la completa ignorancia de los abusos del Estado ruso». Por lo tanto, quieren debilitar la agencia para permitir que los rusos se informen. “Las actividades de Roskomnadzor son siempre un asunto de interés público para el pueblo ruso y para el mundo entero. Sus acciones recientes solo han subrayado eso”, escribieron.

Agregan:

“Roskomnadzor ha emitido instrucciones sobre lo que se puede decir y ordenó a los medios de comunicación que eliminen los artículos que califican de invasión a la invasión rusa de Ucrania. En respuesta a la verificación de hechos de Facebook de las declaraciones de Rusia sobre la guerra, Roskomnadzor comenzó a restringir el acceso a Facebook antes de bloquearlo más tarde. Roskomnadzor también amenazó con bloquear el acceso al sitio de Wikipedia en ruso debido a su artículo sobre la invasión rusa de Ucrania. Estas medidas siguen a acciones similares llevadas a cabo en el pasado…

La fuente, afiliada a Anonymous, dijo que el pueblo ruso debería tener acceso a la información sobre su gobierno. También expresó su oposición a que el pueblo ruso sea aislado de los medios independientes y del mundo exterior.

Rusia ha sido criticada por Anonymous y otros hackers desde la invasión de Ucrania, y estos grupos exigen más transparencia sobre lo que sucede en Moscú y en el frente. Desde el comienzo de la invasión, la infraestructura de TI rusa ha sido blanco frecuente.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/Dxrk5ue
via IFTTT

Hace poco se dio a conocer el lanzamiento de la nueva versión de la popular distribucion de Linux Tails 4.28 (The Amnesic Incognito Live System), versión la cual se han realizado meramente actualizaciones de los principales componentes del sistema, asi como tambien de algunos errores.

Para aquellos que desconocen de Tails, deben saber que está es una distribución que esta basada en la base del paquete Debian 10 y diseñada para proporcionar acceso anónimo a la red, con la finalidad de preservar la privacidad y el anonimato del usuario en la red.

La salida anónima de Tails es proporcionada por Tor en todas las conexiones, ya que el tráfico a través de la red Tor, están bloqueadas por defecto con un filtro de paquetes, con lo cual el usuario no deja rastro en la red a no ser que quiera lo contrario. El cifrado se usa para almacenar datos de usuario en el modo guardar datos de usuario entre inicios, además de que presenta una serie de aplicaciones preconfiguradas pensadas en la seguridad y anonimato del usuario, tales como un navegador web, el cliente de correo, un cliente de mensaje instantánea entre otras más.

Principales novedades de Tails 4.28

La nueva versión de Tails 4.28 llega con las actualizaciones pertinentes de Tor Browser a la versión 11.0.7, Thunderbird a la versión 91.6.1 y de tor a la versión 0.4.6.10.

Por parte de la actualización de Tor Browser 11.0.7, esta versión del navegador llega sincronizada con la base del código ESR de Firefox 91.7.0, que corrige 5 vulnerabilidades.

Mientras que por la parte de la red Tor actualizada 0.4.6.10 esta versión contiene correcciones de errores menores, pero una en particular es que el servicio Onion v2 ya estaba deshabilitado en versiones anteriores, por lo que este cambio no debería marcar ninguna diferencia, excepto que ya no lo anunciarán en la red, ademas de que se actualizan los archivos geoip para que coincidan con la base de datos de ubicación de IPFire.

En cuanto a Thunderbird a la versión 91.6.1, la nueva versión aporta las vistas generadas por Thunderbird de las invitaciones a reuniones de forma predeterminada, ademas de que se soluciono el problema de que los correos electrónicos no se descargaban al inicio en algunas condiciones, tambien en los números de puerto no se mostraban en el cuadro de diálogo «Confirmar excepción de seguridad» para conexiones CalDAV y varias correcciones de seguridad

De los demás cambios que se destacan de esta nueva versión de Tails 4.28:

• NoScript 11.3.7
• Se actualizó el estilo de la barra de mensajes en la página «about:preferences#tor».
• Extracción proporcionada de Tor Browser desde su propio archivo.
• Registro de depuración habilitado para obfs4proxy.
• La infraestructura de prueba proporciona una prueba de la distribución utilizando una red Tor real.

Finalmente si estás interesado en conocer más al respecto de esta nueva versión de Tails, puedes consultar los detalles en el siguiente enlace.

Descargar Tails 4.28

Si quieres probar o instalar esta nueva versión de esta distribución de Linux en tu equipo, puedes obtener la imagen del sistema la cual ya está disponible desde su página web oficial en su sección de descargas, en enlace es este.

La imagen que se obtiene desde la sección de descargas es una imagen ISO de 1.1 GB capaz de funcionar en modo en vivo.

Además es importante tomar en cuenta que esta nueva versión de Tails 4.28, como la mayoría de sus predecesores, también corrige algunos agujeros de seguridad por lo que sus desarrolladores recomiendan encarecidamente que se realice la actualización a esta nueva versión en caso de estar en una anterior.

¿Cómo actualizar a la nueva versión de Tails 4.28?

Para aquellos usuarios que tengan instalada una versión anterior de Tails y quieren realizar la actualización a esta nueva versión. Deben saber que la actualización directa a Tails 4.20 la pueden realizar directamente desde Tails 4.15 a 4.18 siguiendo las instrucciones de este enlace.

Para ello podrán hacer uso de su dispositivo USB que utilizaron para instalar Tails, pueden consultar la información para llevar este movimiento en su ordenador en el siguiente enlace. 

from Linux Adictos https://ift.tt/HmE1VrJ
via IFTTT

No es la primera vez ni será la última que comente aquello que pasó cuando Canonical empezó a usar su exigente Unity. Pues nada, que a millones de usuarios nos dio por buscar alternativas. Una de las que probé me la recomendó un e-amigo de un grupo de Telegram (perdón por no recordar el nombre, pero soy malísimo en eso), hablándome de su buen diseño, que se parecía mucho a lo que ofrece Apple, y un buen rendimiento. Era elementary OS, y, como en todas partes, había luces y sombras.

Al final, no conseguí hacerme a elementary OS. Algunas cosas sencillas en MATE, como crear lanzadores o tener total libertad para moverme por el escritorio, no lo eran tanto en ese bonito sistema operativo «elemental» o «primario». Pero lo cierto es que tienen su base de usuarios, y las cosas pintan bien a nivel de sistema operativo. De hecho, otros proyectos han adoptado su idea para resolver algunas cosas sobre los temas claros y oscuros. Hace poco nos hablaron por primera vez de elementary OS 7.0, pero ¿verá la luz?

Uno de los fundadores de elementary OS acepta un trabajo fuera del proyecto

Yo, que he vivido en mis carnes la dificultad de sacar proyectos adelante, sobre todo cuando se trabaja con socios (y más si son familia), puedo entender perfectamente este tipo de conflictos. Danielle Foré publicaba en Twitter qué estaba pasando (aquí), sin pensar que las redes sociales no son el mejor sitio para realizar algunos movimientos, por lo que pueda pasar.

Danielle explica que hace un par de años recibieron bastante dinero, pero que la pandemia les ha terminado golpeando y aún no se han recuperado. En donde más dinero se invierte es en los salarios, por lo que los recortaron un 5%, no sin antes llegar a un acuerdo con los trabajadores. Danielle opinaba que los primeros en rebajarse el sueldo ante las dificultades tienen que ser los dueños (algo en lo que un ex-socio y yo coincidíamos), pero algo pasó el fin de semana anterior.

Acuerdos que cambian tras recibir asesoramiento

Cassidy Blaede llamó a Danielle diciéndole que había aceptado un trabajo en otra compañía a tiempo completo, algo que no se esperaba Danielle, ya que no tenía ninguna noticia de que Blaede estuviera negociando nada con nadie. Pero bueno, no le pareció mal, ya que es normal que todos miremos por nuestros bolsillos. Danielle le dijo que bien, que se le pagaría por sus aportaciones y sus acciones, que no habría resentimientos, y que seguirían con su amistad.

Poco después, Blaede envió un email a Danielle diciendo que no quería dejar sus acciones, más concretamente que quería poder seguir teniendo control y tomar decisiones. Esto es lo que no le pareció bien a Danielle, ya que piensa que el que tome las decisiones tiene que ser alguien que esté trabajando en elementary OS, no alguien de fuera. La postura inflexible de Blaede hizo que fuera imposible mantener una relación empresarial, ni tampoco de amistad con su aún socio.

Danielle plantea la disolución

Danielle planteó la disolución de la compañía. Uno de los dos se la quedaba y el otro se quedaría con la mitad del dinero, que en la actualidad tendría un valor de 26.000$ (52.000$ el total). En un principio, parecía que Danielle se quedaría con elementary OS y Cassidy recibiría los 26.000$, pero aquí tenía algo que decir la «picapleitos» de Blaede.

La abogada de Blaede envió personalmente un correo a Foré diciendo que querían 30.000$ ahora, 70.000$ en los próximos 10 años y mantener el 5% de la compañía. Danielle dijo que eso no era lo que habían acordado, pero la abogada insiste en que no hubo acuerdo formal, y que Cassidy quería asegurarse de que, si en un futuro las cosas cambiaran, no haber «matado a la gallina de los huevos de oro» demasiado pronto.

En el hilo, y no se puede confirmar ni desmentir que sea parte de una estrategia, Danielle dice que se iría alegremente y sin pedir nada más si le dan los 26.000$ del acuerdo original. Además, dice que hay deudas, por lo que, además de que le parece justo, también es una opción conservadora con la que se arriesga poco.

elementary OS podría hacer que Danielle dejara Linux

Todo esto ha dejado a Danielle sin fuerzas, y se plantea dejar Linux o unirse a otra comunidad. El futuro de elementary OS es incierto, pero sí parece haber varias cosas claras: primero, que están perdiendo dinero; segundo, que por lo primero hay problemas internos; tercero: que, por lo primero y lo segundo, la amistad entre Danielle y Cassidy se ha ido al garete, aunque la experiencia o casos conocidos me dice que lo del refrán «mientras hay vida, hay esperanza» es cierto.

¿Qué pasará de ahora en adelante? ¿Y si desapareciera elementary OS?

from Linux Adictos https://ift.tt/GCiMe27
via IFTTT