Daily Archives: April 11, 2023

Meson 1.1.0 llega con nuevas características y una gran cantidad de mejoras

Posted on by
meson

Meson es un proyecto para crear el mejor sistema de construcción de próxima generación posible.

Se dio a conocer el lanzamiento de la nueva versión del sistema de compilación Meson 1.1.0, que se utiliza para compilar diversos proyectos populares, tales como X.Org, Mesa, systemd, Wayland, GNOME, entre otros.

El objetivo clave de desarrollo de Meson es proporcionar un proceso de compilación de alta velocidad combinado con comodidad y facilidad de uso. En lugar de hacer, la compilación usa el kit de herramientas Ninja de forma predeterminada, pero se pueden usar otros backends como xcode y VisualStudio.

El sistema tiene un controlador de dependencia multiplataforma incorporado que le permite usar Meson para crear paquetes para distribuciones. Las reglas de compilacion se establecen en un lenguaje específico de dominio simplificado, son bien legibles y comprensibles para el usuario (según la idea de los autores, el desarrollador debe dedicar un mínimo de tiempo a escribir reglas).

Se admite la compilación cruzada y la compilación en una gran cantidad de sistemas y otros compiladores. Es posible construir proyectos en varios lenguajes de programación, incluidos C, C++, Fortran, Java y Rust.

Cabe destacar que admite un modo de compilación incremental, en el que solo se reconstruyen los componentes que están directamente relacionados con los cambios realizados desde la última compilación. Meson se puede usar para generar compilaciones repetibles, donde ejecutar la compilación en diferentes entornos da como resultado la generación de ejecutables completamente idénticos.

Principales novedades de Meson 1.1

En esta nueva versión que se presenta de Meson 1.1 la ejecución de «sudo meson install» garantiza el restablecimiento de privilegios durante la reconstrucción para las plataformas de destino.

Otro de los cambios que se destaca, es que el comando «meson install» ofrece la posibilidad de especificar un controlador independiente para obtener permisos de root (por ejemplo, puede seleccionar polkit, sudo, opendoas o $MESON_ROOT_CMD), ademas de que ejecutar «meson install» en modo no interactivo ya no intenta elevar los privilegios.

Ademas de ello, tambien se destaca que se agregó un nuevo backend «none» (–backend=none) para crear proyectos que solo tienen reglas de instalación y no reglas de compilación, asi como tambien que se agregó una nueva dependencia pybind11 para hacer que la dependencia (‘pybind11’) funcione con pkg-config y cmake sin usar el script pybind11-config.

De los cambios más importantes que se destacan de este nuevo lanzamiento, se encuentran los siguientes:

  • Se ha agregado un nuevo argumento «objects:» a declare_dependency() para adjuntar objetos directamente a los ejecutables como dependencias internas que no requieren link_who.
  • Redirección proporcionada a stderr de la salida de información sobre el progreso de la introspección.
  • Se agregó una opción al comando «meson devenv –dump» para especificar un archivo para escribir variables de entorno, en lugar de enviarlo a la salida estándar.
  • Se agregaron los métodos FeatureOption.enable_if y FeatureOption.disable_if para facilitar la creación de condicionales en preparación para pasar parámetros a la función dependency(), opt = get_option(‘feature’).disable_if(not foo, error_message: ‘No se puede habilitar la función cuando foo no está habilitado’)
    dep = dependencia(‘foo’, requerido : opt)
  • Se permite pasar objetos generados como argumentos «objects:».
  • La función de proyecto admite la instalación de archivos con información sobre licencias de proyectos.
  • Se agregó soporte para leer opciones del archivo meson.options en lugar de meson_options.txt.
  • Las opciones «–reconfigure» y «–wipe» (meson setup –reconfigure builddir y meson setup –wipe builddir) están permitidas con un builddir vacío.
  • Meson.add_install_script() agregó compatibilidad con la palabra clave dry_run, que le permite ejecutar sus propios scripts de instalación al llamar a «meson install –dry-run«.

Finalmente, cabe mencionar que el código de Meson está escrito en Python y tiene la licencia Apache 2.0. Si estas interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Como instalar Meson en Linux?

Para los interesados en poder obtener Meson, deben saber que está disponible en PyPi , por lo que se puede instalar con pip3 install meson.

Cabe mencionar que el comando exacto a escribir para instalar pip puede variar entre sistemas, asegúrese de usar la versión Python 3 de pip.

Aunque si lo desean, pueden instalarlo localmente con el comando estándar de Python:

python3 -m pip install meson

from Linux Adictos https://ift.tt/7hYP6IE
via IFTTT

As the west tries to limit TikTok’s reach, what about China’s other apps?

Posted on by

With government concerns over national security growing, Beijing’s influence over platforms such as WeChat and Shein could come under scrutiny

As TikTok, the world’s most popular app, comes under increasing scrutiny in response to data privacy and security concerns, lawmakers in the west may soon set their sights on other Chinese platforms that have gone global.

TikTok was built by ByteDance as a foreign version of its popular domestic video-sharing platform, Douyin. But it is far from being ByteDance’s only overseas moneymaker. The Chinese company owns dozens of apps that are available overseas, many of them English-language versions of Chinese offerings.

Continue reading…

from Data and computer security | The Guardian https://ift.tt/EmbR3gr
via IFTTT

En Fedora planean usar el cifrado del sistema de archivos por defecto

Posted on by
Fedora

El cifrado en Fedora pretende ser una solución de seguridad para el usuario

Hace pocos días se dio a conocer la noticia de que Owen Taylor, creador de GNOME Shell y la biblioteca Pango, y miembro del Grupo de trabajo de desarrollo de estaciones de trabajo de Fedora, presentó un plan para cifrar las particiones del sistema y los directorios de inicio de los usuarios de forma predeterminada en Fedora Workstation.

Los beneficios de pasar al cifrado de forma predeterminada incluyen la protección de datos en caso de robo de una computadora portátil, la protección contra ataques a dispositivos que se dejan desatendidos, el mantenimiento de la confidencialidad y la integridad sin necesidad de manipulaciones innecesarias.

Durante bastante tiempo, el Grupo de trabajo de estaciones de trabajo ha tenido solicitudes abiertas para mejorar el estado del cifrado en Fedora, y en particular llegar al punto en que puede hacer que el instalador cifre los sistemas de forma predeterminada. Para poder avanzar, he estado trabajando en un documento de requisitos y un borrador del plan.

En un resumen muy breve, el plan es: Usar el próximo soporte btrfs fscrypt para cifrar los directorios del sistema y de inicio. El sistema se cifrará de forma predeterminada con una clave de cifrado almacenada en el TPM y vinculada a las firmas utilizadas para firmar el gestor de arranque/kernel/initrd, proporcionando protección contra la manipulación, mientras que los directorios de inicio se cifrarán utilizando la contraseña de inicio de sesión del usuario.

De acuerdo con el borrador del plan preparado, planean usar Btrfs fscrypt para el cifrado. Para las particiones del sistema, las claves de cifrado se almacenarán en el módulo TPM y se usarán junto con las firmas digitales para verificar la integridad del cargador de arranque, el kernel e initrd (es decir, en la etapa de arranque del sistema, el usuario no necesitará para ingresar una contraseña para descifrar las particiones del sistema).

Al cifrar los directorios de inicio, se planifica que las claves se generen en función del inicio de sesión y la contraseña del usuario (el directorio de inicio cifrado se conectará cuando el usuario inicie sesión en el sistema).

El momento de la implementación de la iniciativa depende de la transición del kit de distribución a la imagen de kernel unificada UKI (Imagen de kernel unificada), que combina el controlador para cargar el kernel desde UEFI (stub de arranque UEFI), la imagen del kernel de Linux y el entorno del sistema initrd cargado en la memoria en un archivo.

Sin el soporte de UKI, es imposible garantizar la invariancia de los contenidos del entorno initrd, en el que se determinan las claves para descifrar el FS (por ejemplo, un atacante puede cambiar el initrd y simular una solicitud de contraseña, para evitar esto, verificado es necesario cargar toda la cadena antes de montar el FS).

En su forma actual, el instalador de Fedora tiene una opción para cifrar particiones a nivel de bloque con dm-crypt usando una frase de contraseña separada que no está vinculada a una cuenta de usuario.

Esta solicitud representa un gran cambio en el que pasamos de tener un arranque seguro como algo en lo que dedicamos mucho esfuerzo, pero en realidad no hace mucho, a algo de lo que dependemos en gran medida para proporcionar una capa adicional de seguridad al usuario.

Me interesaría escuchar, entre otras cosas: * ¿Hay requisitos que el documento no captura? * ¿Hay otras amenazas que deberíamos tratar de abordar? …

Esta solución señala problemas como la inadecuación para el cifrado separado en sistemas multiusuario, la falta de soporte para la internacionalización y herramientas para personas con discapacidades, la posibilidad de realizar ataques a través de la sustitución del cargador de arranque (un cargador de arranque instalado por un atacante puede pretender ser el cargador de arranque original y solicitar una contraseña de descifrado), la necesidad de admitir framebuffer en initrd para solicitar una contraseña.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/TmVfHF9
via IFTTT

Microsoft (& Apple) Patch Tuesday, April 2023 Edition

Posted on by

Microsoft today released software updates to plug 100 security holes in its Windows operating systems and other software, including a zero-day vulnerability that is already being used in active attacks. Not to be outdone, Apple has released a set of important updates addressing two zero-day vulnerabilities that are being used to attack iPhones, iPads and Macs.

On April 7, Apple issued emergency security updates to fix two weaknesses that are being actively exploited, including CVE-2023-28206, which can be exploited by apps to seize control over a device. CVE-2023-28205 can be used by a malicious or hacked website to install code.

Both vulnerabilities are addressed in iOS/iPadOS 16.4.1, iOS 15.5.7, and macOS 12.6.5 and 11.7.6. If you use Apple devices and you don’t have automatic updates enabled (they are on by default), you should probably take care of that soon as detailed instructions on how to attack CVE-2023-28206 are now public.

Microsoft’s bevy of 100 security updates released today include CVE-2023-28252, which is a weakness in Windows that Redmond says is under active attack. The vulnerability is in the Windows Common Log System File System (CLFS) driver, a core Windows component that was the source of attacks targeting a different zero-day vulnerability in February 2023.

“If it seems familiar, that’s because there was a similar 0-day patched in the same component just two months ago,” said Dustin Childs at the Trend Micro Zero Day Initiative. “To me, that implies the original fix was insufficient and attackers have found a method to bypass that fix. As in February, there is no information about how widespread these attacks may be. This type of exploit is typically paired with a code execution bug to spread malware or ransomware.”

According to the security firm Qualys, this vulnerability has been leveraged by cyber criminals to deploy Nokoyawa ransomware.

“This is a relatively new strain for which there is some open source intel to suggest that it is possibly related to Hive ransomware – one of the most notable ransomware families of 2021 and linked to breaches of over 300+ organizations in a matter of just few months,” said Bharat Jogi, director of vulnerability and threat research at Qualys.

Jogi said while it is still unclear which exact threat actor is targeting CVE-2023-28252, targets have been observed in South and North America, regions across Asia and at organizations in the Middle East.

Satnam Narang at Tenable notes that CVE-2023-28252 is also the second CLFS zero-day disclosed to Microsoft by researchers from Mandiant and DBAPPSecurity (CVE-2022-37969), though it is unclear if both of these discoveries are related to the same attacker.

Seven of the 100 vulnerabilities Microsoft fixed today are rated “Critical,” meaning they can be used to install malicious code with no help from the user. Ninety of the flaws earned Redmond’s slightly less-dire “Important” label, which refers to weaknesses that can be used to undermine the security of the system but which may require some amount of user interaction.

Narang said Microsoft has rated nearly 90% of this month’s vulnerabilities as “Exploitation Less Likely,” while just 9.3% of flaws were rated as “Exploitation More Likely.” Kevin Breen at Immersive Labs zeroed in on several notable flaws in that 9.3%, including CVE-2023-28231, a remote code execution vulnerability in a core Windows network process (DHCP) with a CVSS score of 8.8.

“‘Exploitation more likely’ means it’s not being actively exploited but adversaries may look to try and weaponize this one,” Breen said. “Micorosft does note that successful exploitation requires an attacker to have already gained initial access to the network. This could be via social engineering, spear phishing attacks, or exploitation of other services.”

Breen also called attention to CVE-2023-28220 and CVE-2023-28219 — a pair of remote code execution vulnerabilities affecting Windows Remote Access Servers (RAS) that also earned Microsoft’s “exploitation more likely” label.

“An attacker can exploit this vulnerability by sending a specially crafted connection request to a RAS server, which could lead to remote code execution,” Breen said. While not standard in all organizations, RAS servers typically have direct access from the Internet where most users and services are connected. This makes it extremely enticing for attackers as they don’t need to socially engineer their way into an organization. They can simply scan the internet for RAS servers and automate the exploitation of vulnerable devices.”

For more details on the updates released today, see the SANS Internet Storm Center roundup. If today’s updates cause any stability or usability issues in Windows, AskWoody.com will likely have the lowdown on that.

Please consider backing up your data and/or imaging your system before applying any updates. And feel free to sound off in the comments if you experience any problems as a result of these patches.

from Krebs on Security https://ift.tt/3CdLvNo
via IFTTT