OpenBSD es un sistema operativo completo, libre, multiplataforma de tipo Unix basado en BSD.

Se presenta el lanzamiento de la nueva versión del popular OS UNIX, «OpenBSD 7.3» que demás del propio sistema operativo, el proyecto OpenBSD es conocido por sus componentes, que se han generalizado en otros sistemas y han demostrado ser una de las soluciones más seguras y de mayor calidad.

De las novedades que se presentan de la nueva versión de OpenBSD 7.3, se destaca que se implementaron llamadas al sistema waitid (en espera de un cambio de estado del proceso), pinsyscall (para pasar información sobre el punto de entrada ejecutivo para protegerse contra explotaciones de ROP), getthrname y setthrname (obtener y configurar el nombre del hilo).

Todas las arquitecturas usan clockintr , un programador de interrupciones de temporizador independiente del hardware.
Se agregó sysctl kern.autoconf_serial, que se puede usar para monitorear los cambios de estado del árbol de dispositivos en el kernel desde el espacio del usuario.

Otro de los cambios que se presenta en la nueva versión, es que se han implementado características para la protección adicional de la memoria del proceso en el espacio del usuario: la llamada al sistema mimmutable y la función de biblioteca asociada del mismo nombre, que le permite corregir los derechos de acceso cuando se reflejan en la memoria (asignaciones de memoria).

Después de la fijación, los derechos establecidos para el área de memoria, por ejemplo, la prohibición de escribir y ejecutar, no se pueden cambiar posteriormente a través de llamadas posteriores a las funciones mmap (), mprotect () y munmap (), que, al intentar cambiar, generará un error EPERM.

En OpenBSD 7.3 tambien se destaca el soporte mejorado para sistemas multiprocesador (SMP). Los filtros de eventos para dispositivos tun y tap se han convertido a mp-safe, ademas de que se ha mejorado con bloqueo en el filtro de paquetes pf y tambien el rendimiento mejorado del sistema y de la pila de red en sistemas multinúcleo.

Tambien se destaca el soporte añadido para los nuevos modelos de GPU Ryzen 7xxx , ademas de que se agregó soporte para el control de retroiluminación en amdgpu y se hizo que xbacklight funcionara cuando se usa el controlador X.Org de configuración de modo. Mesa tiene habilitado el almacenamiento en caché de shaders de forma predeterminada.

Por otra parte la protección contra explotación se habilita en función de la vinculación aleatoria del ejecutable sshd en cada arranque del sistema. Volver a vincular dificulta la predicción de compensaciones de funciones en sshd, lo que dificulta la creación de exploits que utilizan técnicas de programación orientadas al retorno.

De los demás cambios que se destacan:

• Se han realizado mejoras en el hipervisor VMM.
• La implementación del marco drm (Direct Rendering Manager) está sincronizada con el kernel de Linux 6.1.15 (5.15.69 en la versión anterior).
• En la arquitectura AMD64, el mecanismo de protección RETGUARD está habilitado para llamadas al sistema, cuyo objetivo es complicar la ejecución de exploits creados con fragmentos de código y técnicas de programación orientadas al retorno.
• Aleatorización de ubicación de pila más agresiva en sistemas de 64 bits.
• Se agregó protección contra la vulnerabilidad Spectre-BHB en las estructuras de microarquitectura del procesador.
• En los procesadores ARM64, el indicador DIT (Data Independent Timing) está habilitado para que el espacio del usuario y el espacio del kernel bloqueen los ataques de canal lateral que manipulan la dependencia del tiempo de ejecución de la instrucción en los datos procesados ​​en estas instrucciones.
• Brinda la capacidad de usar lladdr al definir configuraciones de red. Por ejemplo, además de enlazar con el nombre de la interfaz, también puede enlazar con la dirección MAC.
• Soporte de hibernación mejorado para sistemas basados ​​en ARM64.
• Soporte significativamente ampliado para chips ARM de Apple.
• Se agregó soporte para nuevo hardware y se incluyeron nuevos controladores.
• El controlador bwfm para tarjetas inalámbricas basadas en chips Broadcom y Cypress implementa soporte de encriptación para WEP.
• El instalador ha mejorado el trabajo con el software RAID e implementó soporte inicial para el Cifrado de disco guiado.
• Se agregaron nuevos comandos de desplazamiento superior e inferior a tmux («terminal multiplexor») para desplazar el cursor hacia arriba y hacia abajo.
• Paquetes de LibreSSL y OpenSSH actualizados.

Finalmente para los interesados en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descargar y obtener OpenBSD 7.3

Para los interesados en poder obtener la nueva versión, deben saber que el tamaño de la imagen ISO de instalación completa del sistema base OpenBSD 7.3 es de 620 MB.

from Linux Adictos https://ift.tt/XOBQW9m
via IFTTT

Nginx ​ es un servidor web/proxy inverso ligero de alto rendimiento y un proxy

Tras 11 meses de desarrollo, se dio a conocer el lanzamiento de la nueva rama estable del servidor HTTP de alto rendimiento y servidor proxy multiprotocolo nginx 1.24.0, que incorpora los cambios acumulados en la rama principal 1.23.x.

En el futuro, todos los cambios en la rama estable 1.24 estarán relacionados con la eliminación de errores y vulnerabilidades graves. Próximamente, se formará la rama principal de nginx 1.25, en la que continuará el desarrollo de nuevas funcionalidades.

Según el informe de marzo de Netcraft, nginx se utiliza en el 18,94 % de todos los sitios activos (20,08 % hace un año, 20,15 % hace dos años), que es el segundo sitio más popular en esta categoría (la participación de Apache corresponde al 20,52 % (22,58 % hace un año, dos plataformas basada en nginx y LuaJIT) – 7,94% (8,01%).

Principales novedades de nginx 1.24.0

En esta nueva versión que se presenta de nginx 1.24.0 el protocolo TLSv1.3 está habilitado de forma predeterminada y es que incluye muchas mejoras de seguridad y desempeño, ademas de que ayuda a acelerar las conexiones encriptadas incluso aún más con opciones tales como TLS false start y Zero Round Trip Time (0RTT).

Otro de los cambios que se destaca de la nueva versión, es que se proporcionó una rotación automática de claves de cifrado para tickets TLS de sesión, que se utilizan cuando se usa memoria compartida en la directiva ssl_session_cache.

En Windows, se agregó compatibilidad con caracteres que no son ASCII en los nombres de archivo a los módulos ngx_http_autoindex_module y ngx_http_dav_module, así como a la directiva incluye. En Windows, nginx también está construido con OpenSSL 3.0.

De los demás cambios que se destacan de nginx 1.24.0:

• Se agregó soporte para las variables «$proxy_protocol_tlv_* «, que almacenan los valores de los campos TLV (Type-Length-Value) que aparecen en el protocolo PROXY v2 Type-Length-Value .
• Se agregó soporte para rangos de bytes al módulo ngx_http_gzip_static_module.
• Se agregó el parámetro «ipv4=off» a la directiva «resolver», que le permite deshabilitar la búsqueda de direcciones IPv4 al resolver nombres y direcciones.
• API interna rediseñada, las líneas de encabezado ahora se pasan en forma de lista enlazada.
• Proporcionó concatenación de cadenas de encabezado con nombres idénticos cuando se pasaron a backends FastCGI, SCGI y uwsgi, en el método $r->header_in() de ngx_http_perl_module y en las variables «$http_…», «$sent_http_…» , «$sent_trailer_ …», «$upstream_http_…» y «$upstream_trailer_…».
• Proporcionó una advertencia en caso de anular la configuración de los protocolos utilizados para el socket de escucha.
• El nivel de registro de muchos errores de SSL se ha degradado de Crítico a Informativo.
• Consumo de memoria optimizado en configuraciones con proxy SSL.
• Cambio: el nivel de registro de «data length too long», «length too short», «bad legacy version», «no shared signature algorithms», «bad digest length», «missing sigalgs extension», «encrypted length too long», «bad length», «bad key update», «mixed handshake and non handshake data», «ccs received early», «data between ccs and finished», «packet length too long», «too many warn alerts», «record too small», and «got a fin before a ccs».

Finalmente si estás interesado en poder conocer más al respecto puedes consultar los detalles en el siguiente enlace.

Para los usuarios comunes que no tienen la tarea de garantizar la compatibilidad con módulos de terceros, se recomienda utilizar la rama principal, en base a la cual se forman versiones del producto comercial Nginx Plus cada tres meses.

Obtener nginx 1.24.0

Para los interesados en poder obtener la nueva versión, deben realizar lo siguiente, según sea el caso de su distribucion.

Para RHEL y derivados, deben de añadir el repositorio con el siguiente comando:

sudo nano /etc/yum.repos.d/nginx.repo

Y añaden esto al final

[nginx]
name=nginx repo
baseurl=https://nginx.org/packages/rhel/$releasever/$basearch/
gpgcheck=0
enabled=1

E instalamos con:

dnf install nginx

Mientras que para Ubuntu y derivados de este, deben teclear lo siguiente:

sudo nano etc/apt/sources.list.d/nginx.list

Y añadir esto al archivo:

deb https://nginx.org/packages/ubuntu/ $(lsb_release -sc) nginx
deb-src https://nginx.org/packages/ubuntu/ $(lsb_release -sc) nginx

Y procedemos a instalar con:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $key
sudo apt update
sudo apt install nginx

Finalmente para quienes prefieren la compilacion del paquete, esta la pueden hacer con los siguientes comandos (una vez ya descargado y estando dentro del directorio del codigo):

./configure
make
sudo make install

from Linux Adictos https://ift.tt/nNDsuzG
via IFTTT

El reciente compromiso de la informacion de los usuarios a alarmado a los desarrolladores

Hace poco se dio a conocer información por parte de los desarrolladores del centro de medios abiertos Kodi en la cual advierten a los usuarios sobre un reciente hackeo del foro, el servicio Pastebin y el sitio wiki del proyecto (forum.kodi.tv , paste.kodi.tv y kodi.wiki ).

Los desarrolladores se dieron cuenta del hackeo después de que se puso a la venta la base de usuarios del foro de Kodi. La auditoría mostró que la infraestructura del proyecto estaba efectivamente comprometida y los últimos rastros de la actividad de los atacantes se registraron el 16 y el 21 de febrero.

En las últimas 24 horas, nos enteramos de un volcado del software del foro de usuarios de Kodi (MyBB) que se anunciaba para la venta en foros de Internet. Esta publicación confirma que se ha producido una infracción.

Los registros de administración de MyBB muestran que la cuenta de un miembro confiable pero actualmente inactivo del equipo de administración del foro se utilizó para acceder a la consola de administración de MyBB basada en la web dos veces: el 16 de febrero y nuevamente el 21 de febrero. La cuenta se usó para crear copias de seguridad de la base de datos que luego se descargaron y eliminaron. También descargó copias de seguridad completas nocturnas existentes de la base de datos. El propietario de la cuenta ha confirmado que no accedió a la consola de administración para realizar estas acciones.

Sobre el caso, cabe mencionar que en particular, el registro del foro contenía información sobre la entrada a la interfaz web administrativa de uno de los administradores inactivos.

De esta forma, habiendo obtenido acceso a la interfaz web de control, los atacantes crearon y descargaron una copia de seguridad de la base de datos, así como también descargaron las copias de seguridad completas de la base de datos nightly disponibles.

El propietario de la cuenta confirmó que no realizó ninguna acción con el foro en estos días (no se especifica cómo los atacantes lograron averiguar la contraseña del administrador). Los datos cargados por los atacantes incluían un archivo completo de todas las discusiones públicas y privadas, mensajes privados y una base de usuarios (nombres, correos electrónicos y hash de contraseñas).

Aunque MyBB almacena las contraseñas en un formato encriptado, debemos asumir que todas las contraseñas están comprometidas. Esto requiere acciones del equipo y de los usuarios del foro:

El equipo de administración está investigando la mejor manera de realizar un restablecimiento de contraseña global y la mejor manera de garantizar la integridad del host del servidor y el software asociado. El servidor del foro se ha desconectado mientras se completa esta actividad. Esto también afectará a los sitios wiki y pastebin de Kodi. Actualmente no hay una estimación de tiempo para que el servidor del foro vuelva a estar en línea; nuestro enfoque es ser minucioso, no ser rápido.

Los usuarios deben asumir sus credenciales del foro de Kodi y cualquier dato privado compartido con otros usuarios a través del sistema de mensajería de usuario a usuario se ve comprometido. Si ha utilizado el mismo nombre de usuario y contraseña en cualquier otro sitio, debe seguir el procedimiento de restablecimiento/cambio de contraseña para ese sitio. Una vez que el foro de Kodi vuelva a estar en línea, le proporcionaremos instrucciones sobre cómo completar un restablecimiento de su contraseña del foro de Kodi.

Durante el estudio del entorno del sistema, no hubo rastros de compromiso del sistema operativo ni acciones que fueran más allá de la interfaz web administrativa del foro. Sin embargo, el servidor del foro se ha desconectado de la red y se ha iniciado el proceso de reinstalación completa del software utilizado en él. En el mismo servidor se organizaron los servicios de Pastebin y Wiki, los cuales pueden ser considerados como potencialmente comprometidos.

Después de restaurar el software, está previsto organizar el cambio de contraseñas de usuario y el envío de avisos individuales de compromiso (se registraron más de 400.000 usuarios en el foro). Se recomienda a los usuarios del foro de Kodi que hayan usado la misma contraseña en diferentes sitios que la cambien con urgencia.

Se espera que la recuperación tarde varios días, ya que Kodi usó un fork modificado de una de las versiones anteriores del motor MyBB (1.8.27) y su sincronización con la versión actual (1.8.33) llevará tiempo.

El sitio wiki se moverá a otro servidor y se actualizará a la última versión del motor MediaWiki. El servicio de Pastebin también se transferirá a otro servidor.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/oja7hZz
via IFTTT

Cada cuatro semanas, en martes, Mozilla da inicio a un nuevo ciclo en el desarrollo/lanzamiento de su navegador web. Llega la versión estable, la última la v112, y también se actualizan las versiones de los canales beta y nightly.  Lo que ofrece la beta es lo que se espera que ofrezca la versión estable con poco menos de un mes de diferencia, y Firefox 113 beta está disponible para descargar en dos formatos diferentes para los usuarios de Linux.

Lo acabamos de explicar y definir bien al decir que lo que nos encontramos en la beta es lo que se espera para dentro de poco menos de un mes, y eso también significa que hay cosas que podrían retrasarse un tiempo o no llegar jamás. Pero Firefox 113 ya se puede descargar también en paquete DEB, es decir, el tipo de paquete nativo de Debian que también usan otras distribuciones como Ubuntu o Linux Mint.

Firefox 113 llegará el 9 de mayo

Ahora mismo, si vamos al servidor de Mozilla y entramos al apartado de Firefox 112, vemos que hay disponible lo que se conoce como «tarball», es decir, los archivos sueltos que hay que instalar manualmente o ejecutar directamente como si fuera, salvando las distancias, una versión portable. Si hacemos lo mismo pero dirigiéndonos al apartado de Firefox 113.0b1 o 113.0b2, veremos que aparece el paquete .deb, siempre y cuando hayamos entrado a la versión de inglés estadounidense (en_US).

El paquete DEB de Firefox instalará el software, pero no se sabe si añadirá el repositorio oficial, no aún. Para estar seguros de cómo funcionará, antes deberá llegar al canal estable. Cuando lo haga, es probable que añada el repositorio de Mozilla tal y como hace Google con su Chrome o Vivaldi con su navegador. Me parece lógico hasta cierto punto que no añada el repositorio del canal estable, pero no es algo que yo descartaría para el futuro.

Este movimiento parece uno de ida y vuelta, ya que, en teoría, fue Mozilla quien le pidió a Canonical que hicieran el cambio y empezaran a ofrecer a Firefox sólo como paquete snap en Ubuntu. Lo que sí es seguro es que facilitará mucho las cosas, y debería ser la mejor opción para los usuarios descontentos con el paso de Firefox de repositorios a su versión en snap. Sea como fuere, veremos si esto se cumple el 9 de mayo, fecha de lanzamiento de Firefox 113.

from Linux Adictos https://ift.tt/tvrdMPC
via IFTTT

Elon Musk entró en Twitter con la sutileza de un elefante en una cristalería, despidió a medio mundo, cambió las formas de trabajar y transformó en pagas cosas que antes eran gratuitas. Ahora Twitter dejó de ser una empresa independiente.

Para comprar Twitter, Musk creó una empresa llamada X Corporation ofreciendo a los empleados de la ex empresa del pajarito.  Una presentación judicial posterior informó que Twitter Inc ya no existe pasando todos sus derechos y obligaciones a X Corporation

¿Por qué Twitter ya no es una empresa independiente?

Llevo años quejándome de los continuos cambios de rumbo de Mark Shuttleworth, pero Elon Musk ha dejado a su compatriota sudafricano fundador de Ubuntu cómo un ejemplo de constancia. Aunque nadie sabe lo que pretende se especula con que lance una aplicación todo en uno que combine la capacidad de hacer pagos, realizar compras, compartir y consumir contenido y enviar mensajes. Sin embargo, otros sostienen que es solo una cuestión organizativa que busca poner todas sus empresas bajo el paraguas de una misma corporación.

La respuesta de Musk consistió en un tweet de una sola letra, la X.

Un indicio de que Musk está planeando algo es el reciente bloqueo a Substack, una plataforma de creación y distribución de contenidos que recientemente acaba de incorporar la modalidad de microblogging. Cuando usuarios de esa plataforma se quejaron se les sugirió que publicaran sus artículos en Twitter. La plataforma viene prometiendo hace algún tiempo una solución de monetización para creadores.

Además de la resistencia al cambio de los usuarios, Musk enfrenta otro desafió. El gobierno norteamericano está decidido a poner fin a las prácticas antimonopólicas y de poca protección a la privacidad de las grandes tecnológicas. El creador de Tesla está en las antípodas políticas de la administración Biden, por lo que podría ser un buen candidato para dar el ejemplo.

No es la primera vez que Musk quiere cambiar el nombre de una marca reconocida por la letra X, quiso hacerlo cuando su X Bank se fusionó com Paypal y perdió la votación. Ahora tomó la precaución de ser el único que vota.

En principio la movida de Musk tiene sentido ya que el mercado de las redes sociales está saturado. Google con todo su poder intentó ingresar varias veces fracasando en todas y, los jugadores establecidos no logran obtener ganancias. Las medidas de Musk de cobrar por funciones que antes eran gratis solo cubrirán una fracción de la deuda que contrajo.

Jack Dorsey, el creador de Twitter llegó a la conclusión de que como empresa era inviable y que debería haberse transformado en la base de otros servicios. Ahora se encuentra trabajando en un servicio de mensajes basado en blockchain.

Una teoría conspirativa sobre los planes de Musk

Acá se termina la parte seria del artículo, pónganse su sombrero de aluminio para prevenir que la CIA capte sus ondas cerebrales y sigan leyendo por su cuenta y riesgo.

Un tal David Troy, autodenominado periodista de investigación independiente, sostiene que Musk y otros inversores en Twitter como el príncipe saudí Alwaleed bin Talal bin Abdulaziz, Qatar y el propio Dorsey planean utilizar la influencia de la red social para bajar el dólar y reemplazarlo por criptomonedas.

Al mejor estilo de Goebbels, Troy intenta justificar su teoría combinando dos acontecimientos que no tienen nada que ver. Sin que venga al caso, mete a Vladimir Putin, la invasión a Ucrania y el deseo del mandatario de crear un nuevo orden mundial liderado por los BRICS (Brasil, Rusia, India, china y Sudáfrica) con la postura de Musk y algunos de sus antiguos y actuales socios a favor de reemplazar los billetes en papel por una moneda independiente de los intereses financieros y políticos.

Curiosamente se le pasó el dato de que Musk es sudafricano.

¿Decisión de marketing, reorganización corporativa o conspiración? Creo que el verdadero problema del señor Troy con Musk se encuentra en este párrafo.

Mientras Putin condena los géneros múltiples y la homosexualidad, Musk pide a los anunciantes que rechacen la «corrección política» en favor de la «libertad de expresión». Mientras que la democracia tiende a aplanar las sociedades e igualar las oportunidades para todos, la autocracia tiende a enfatizar la jerarquía y la riqueza. Musk, como el hombre más rico del mundo, ha llegado a creer que encarna la cúspide de dicha jerarquía, y parece tratar de imponerla a los demás.

Sin embargo, algo hay que decir a favor del hombre. Por fin una teoría conspirativa que tiene la originalidad de no incluir a Soros y Bill Gates.

from Linux Adictos https://ift.tt/1qHuGMr
via IFTTT