Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Aquí en el blog me gusta compartir una gran cantidad de noticias sobre los descubrimientos de fallos y vulnerabilidades que son detectas en Linux dentro de sus diferentes subsistemas, asi como de algunas aplicaciones populares.

Como muchos de ustedes sabrán el proceso de divulgación de una vulnerabilidad tiende a ofrecer un tiempo de gracia para que los desarrolladores tengan un periodo para poder solucionar dicho fallo y lanzar versiones correctivas o parches. En la mayoría de los casos antes de que la vulnerabilidad sea divulgada, los fallos son corregidos, pero no siempre es asi y la información asi como los xplotis preparados son dados a conocer al público.

El tema sobre el llegar hasta este punto, es que no es la primera vez que se da a conocer que un «xploit» de una vulnerabilidad resulta con un «premio oculto», ya que a mediados de junio, se informo sobre una vulnerabilidad (catalogada bajo CVE-2023-35829 ) en el módulo del kernel de Linux rkvdec.

En este caso, el PoC es un lobo con piel de oveja, que alberga intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje inofensiva. Su puerta trasera oculta presenta una amenaza sigilosa y persistente. Operando como un descargador, descarga y ejecuta silenciosamente un script bash de Linux, mientras disfraza sus operaciones como un proceso a nivel de kernel.

Su metodología de persistencia es bastante astuta. Utilizado para construir ejecutables a partir de archivos de código fuente, aprovecha el comando make para crear un archivo kworker y agrega su ruta de archivo al archivo bashrc , lo que permite que el malware opere continuamente dentro del sistema de la víctima.

La vulnerabilidad detectada conduce al acceso a un área de memoria después de liberarla debido a una condición de carrera en la descarga del controlador. Se supuso que el problema se limitaba a una llamada de denegación de servicio, pero recientemente, en algunas comunidades en Telegram y Twitter, apareció información de que la vulnerabilidad puede ser utilizada para obtener derechos de root por un usuario sin privilegios.

Para demostrar esto, se dieron a conocer como evidencia, dos prototipos funcionales de xploits los cuales fueron publicados en Github y posteriormente eliminados, debido a que se encontraron backdoors en ellos.

Un análisis de los exploits publicados mostró que contienen un código malicioso que instala malware en Linux, ya que configuran un backdoor para el inicio de sesión remoto y envía algunos archivos a los atacantes.

El exploit malicioso solo simulaba obtener acceso root al mostrar mensajes de diagnóstico sobre el progreso del ataque, crear un espacio de identificador de usuario separado con su propio usuario root y ejecutar el shell /bin/bash en un entorno aislado del principal que creaba la impresión de tener acceso de root al ejecutar utilidades como whoami.

El código malicioso se activó llamando al archivo ejecutable aclocal.m4 desde el script de compilación Makefile (los investigadores que descubrieron el código malicioso se alarmaron por el hecho de que al compilar el exploit, se llama un archivo ejecutable en formato ELF como script autoconf) . Después de iniciar, el ejecutable este crea un archivo en el sistema que añade a «~/.bashrc» para el inicio automático.

De esta manera, el proceso cambia de nombre lo que sugiere que el usuario no lo notaría en la lista de procesos en el contexto de la abundancia de procesos kworker en el kernel de Linux.

El proceso de kworker luego descargaría un script bash de un servidor externo y lo ejecutaría en el sistema. A su vez, el script descargado añade una clave para conectar a los intrusos a través de SSH, y que ademas guarda un archivo con el contenido del directorio de inicio del usuario y algunos archivos del sistema, como /etc/passwd, en el servicio de almacenamiento transfer.sh, luego de lo cual se envia como un enlace al archivo guardado al servidor atacante.

Finalmente cabe mencionar que si eres un entusiasta que le gusta probar los xploits o las vulnerabilidades que se dan a conocer, tomes tus precauciones y que nunca está de más, realizar estas pruebas en un entorno aislado (VM) o en otro sistema/equipo secundario que sea especifico para esto.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/IGXDaRF
via IFTTT

Oracle Linux es la única distribución de Linux recomendada para las aplicaciones de Oracle

A finales del mes pasado compartimos aquí en el blog la noticia sobre la decisión de Red Hat de restringir el acceso al código de RHEL, ya que el código se dejara de publicar en git público de CentOS y que a partir de dicho cambio la única fuente pública para los paquetes RHEL es el repositorio CentOS Stream, con lo cual los clientes y socios de Red Hat aún podrán descargar el código de los paquetes correspondientes a las versiones de RHEL a través del portal de clientes de la empresa, cuyo acceso requiere una cuenta.

Esta noticia dividió a la comunidad, ya que causo una gran controversia y reavivo el tema sobre la adquisición de Red Hat por parte de IBM y que esto no será nada bueno para la distribucion ni para la comunidad.

Y es que con la decisión de Red Hat de restringir el acceso al código de RHEL, pasa a afectar de manera «indirecta» a aquellas distribuciones que se basan en RHEL, tales como AlmaLinux y Rocky Linux, las cuales ya se pronunciaron sobre el caso y han dado a conocer los cambios que realizaran en su hoja de desarrollo.

Ahora, otra de las distribuciones que fue afectada es la de Oracle y el cual ha dado a conocer su voluntad de continuar manteniendo la compatibilidad con Red Hat Enterprise Linux en su distribución Oracle Linux, a pesar de la restricción de acceso público al código fuente de los paquetes RHEL por parte de Red Hat.

La pérdida de acceso a los paquetes fuente de referencia aumenta la probabilidad de problemas de compatibilidad, pero Oracle está preparado para abordar estos problemas si afectan a los clientes. Oracle también da la bienvenida a la creación de distribuciones derivadas, tanto públicas como comerciales, y está dispuesto a trabajar con otros proveedores de distribución para facilitar la colaboración en Oracle Linux y certificar productos de Oracle para otras distribuciones.

Interesante. ¿IBM no quiere seguir lanzando públicamente el código fuente de RHEL porque tiene que pagar a sus ingenieros? Eso parece extraño, dado que Red Hat, como una exitosa empresa independiente de código abierto, eligió lanzar públicamente el código fuente RHEL y pagar a sus ingenieros durante muchos años antes de que IBM adquiriera Red Hat en 2019 por $ 34 mil millones.

El blog continúa mencionando CentOS. No sorprende que CentOS fuera lo más importante para el autor que intentaba justificar la retención de la fuente RHEL. CentOS había sido una distribución compatible con RHEL gratuita muy popular. En diciembre de 2020, IBM lo eliminó efectivamente como una alternativa gratuita a RHEL. Han surgido dos nuevas alternativas a RHEL en lugar de CentOS: AlmaLinux y Rocky Linux. Ahora, al retener el código fuente de RHEL, IBM los ha atacado directamente.

Se observa que Oracle está tratando de ayudar a crear el mejor sistema operativo de servidor basado en Linux, distribuido sin restricciones, disponible gratuitamente para todos y que le permita obtener soporte técnico económico y de alta calidad.

Oracle participa en la comunidad y realiza contribuciones significativas al desarrollo del kernel, los sistemas de archivos y las herramientas de Linux, lo que no solo beneficia a sus clientes, sino a todos los usuarios de Linux.

Sobre la decisión de Orcale de continuar con la compatibilidad con Oracle Linux en RHEL, se menciona que esta se basó principalmente en el deseo de evitar una fragmentación innecesaria en la comunidad de Linux. El nivel de compatibilidad alcanzado permite certificar el software de Oracle para RHEL, incluso si se crea y prueba solo en Oracle Linux.

A diferencia de Red Hat, Oracle siempre ha brindado acceso gratuito a compilaciones y paquetes fuente, y se compromete a hacerlo en el futuro sin requerir acuerdos adicionales que Oracle crea que violan los derechos de los usuarios bajo la GPLv2.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/WxyzhJF
via IFTTT

El navegador Chrome se diferencia de Chromium en el uso de los logotipos de Google

Se dió a conocer el lanzamiento de la nueva versión del popular navegador web Chrome 115, la cuál llega junto con el lanzamiento de la nueva versión de Chromium.

Además de las innovaciones y la corrección de errores, se han corregido 20 vulnerabilidades en la nueva versión de las cuales ninguna se considera como un problema crítico que permita eludir todos los niveles de protección del navegador y ejecutar código en el sistema fuera del entorno sandbox.

Principales novedades de Chrome 115

En esta nueva versión que se presenta de Chrome 115, se destaca que la funcionalidad de barra lateral ha sido mejorada y que está habilitada para algunos usuarios. Y es que se ha implementado un modo de barra lateral que permite refinar la información sobre el contenido de la página que está viendo actualmente, por ejemplo, puede enviar consultas de búsqueda, ver respuestas a preguntas relacionadas con la página actual y obtener información más detallada sobre el sitio. Cabe mencionar que la funcionalidad no se ha implementando al 100% de los usuarios, ya que se habilitará para una audiencia más amplia en la próxima versión.

También se destaca que se agregó la capacidad de mostrar en la barra lateral el texto de los resultados de búsqueda seleccionado en la página principal y enviado al motor de búsqueda haciendo clic en «Buscar en Google» en el menú contextual.

Otro de los cambios que se destaca de Chrome 115 es que ahora es posible mostrar el contenido de la página en la barra lateral en modo de lectura, en el que solo se muestra el texto relevante de la página y todos los controles, pancartas, menús, barras de navegación y otras partes de la página que no están relacionadas. Para activar rápidamente el modo, se ha agregado el enlace «Abrir en modo lectura» al menú contextual que se muestra para el fragmento de texto seleccionado.

Ademas de ello, para algunos usuarios, está habilitado el soporte para el mecanismo ECH (Encrypted Client Hello) , que continúa el desarrollo de ESNI (Encrypted Server Name Indication) y se utiliza para cifrar información sobre los parámetros de la sesión TLS, como el nombre de dominio solicitado. La diferencia clave entre ECH y ESNI es que, en lugar de cifrar a nivel de campos individuales, todo el mensaje TLS ClientHello se cifra en ECH. En Windows y Linux, ECH requiere que la configuración «DNS seguro» esté activa.

También se destaca en Chrome 115 que se proporcionó una visualización de información sobre cuánta memoria se liberó al desalojar una pestaña en el modo «Memory Saver». El modo de ahorro de memoria permite reducir significativamente el consumo de RAM al liberar la memoria ocupada por pestañas inactivas, lo que le permite proporcionar los recursos necesarios para procesar los sitios que se están viendo actualmente en situaciones en las que se ejecutan en paralelo otras aplicaciones que consumen mucha memoria en el sistema. Cuando cambia a pestañas inactivas que han sido desalojadas de la memoria, su contenido se carga automáticamente. El modo está habilitado en la configuración «Rendimiento / Guardar memoria».

Por otra parte, se ha ampliado el soporte para scroll-driven animation ( Animación guiada por desplazamiento ) , con la que, por ejemplo, puede crear indicadores para representar visualmente la posición en la página o agregar efectos que cambien el contenido cuando aparece en la zona de visibilidad durante el desplazamiento.

Hay dos modos disponibles para su uso: «ScrollTimeline» para enlazar a la posición de desplazamiento relativa al eje de coordenadas y «ViewTimeline» para enlazar al desplazamiento de visualización relativo de los elementos de contenido individuales en el área de desplazamiento.

Como parte de la iniciativa Privacy Sandbox , se ha implementado la compatibilidad con el elemento HTML » fencedframe « . El nuevo elemento se asemeja a un «iframe» y también permite incrustar contenido de terceros en la página. Las diferencias se reducen a limitar la interacción del contenido en línea con el contenido de la página en los niveles de atributo y DOM.

De los demás cambios que se destacan de esta nueva versión:

• La propiedad CSS «display» permite varias palabras clave al mismo tiempo.
• Se agregó la capacidad de especificar solo el nombre de la propiedad en las consultas de estilo CSS (), sin detallar el valor, que cubrirá todos los valores que difieren de los originales.
• Se han realizado mejoras en las herramientas para desarrolladores web. Se agregó soporte experimental para inspeccionar cuadrículas CSS anidadas ( subcuadrícula ).
• Se proporcionó salida de información sobre herramientas con valores de propiedad CSS personalizados.
• Resaltado de sintaxis implementado de archivos CSS en formatos SASS, SCSS y LESS.
• Se agregó el acceso directo «Ctrl + clic del mouse en el número de línea en el editor de código» para establecer rápidamente puntos de interrupción condicionales.

¿Como instalar Google Chrome 115 en Linux?

Si estás interesado en poder instalar esta nueva versión de este navegador web y aún no lo tienes instalado, puedes visitar la siguiente publicación en donde te enseñamos a como poder instalarlo en algunas distribuciones de Linux.

El enlace es este. 

from Linux Adictos https://ift.tt/7S8zq3H
via IFTTT

Slackware no es el único proyecto de código abierto que cumple un aniversario redondo en julio del dos mil veintitrés. Hoy hablaremos de otro de los títulos estrella del software libre y de código abierto, Wireshark cumple 25 años.

Si nunca escuchaste hablar de Wireshark, te cuento que se trata de un analizador de protocolos de red (Hasta el nivel más básico. Su popularidad es tal que se considera como la opción indiscutible en grandes empresas y organismos gubernamentales.

Whireshark cumplió veinticinco años

Wireshark es un programa de código abierto y multiplataforma que permite capturar y analizar paquetes de red. Puede hacerlo mientras esos datos se están transmitiendo o a partir de una captura previamente realizada. Esto lo hace una herramienta ideal para analizar y detectar problemas en redes, desarrollar protocolos de comunicación y con propósitos educativos.

Entre los diferentes protocolos que pueden analizar están Ethernet, IPv4, TCP y HTTP.

Algunas de las cosas que puede hacer Wireshark son:

• Determinar que protocolos se quieren visualizar.
• Una lista de los protocolos de cada paquete.
• El contenido real de cada campo.
• Hacer un volcado hexadecimal y ASCII de cada campo.

Lo que hace ideal a Wireshark para pruebas de penetración, análisis forense y auditoría de redes es que puede identificar los protocolos que son utilizados por un sistema remoto, lo que incluye aquellos utilizados por los sistemas de prevención de intrusiones o firewall. La aplicación facilita investigar el tráfico de red para obtener informes sobre la implementación de protocolos y el comportamiento de las aplicaciones.

Los orígenes de Wireshark

La historia comenzó a fines de 1997 cuando Gerald Combs comenzó a escribir un programa que le permitiera rastrear problemas y entender mejor el funcionamiento de las redes.  El proyecto se llamó Ethereal y se lanzó con ese nombre en julio de mil novecientos noventa y ocho bajo el número de versión 0.2.0. Con el correr del tiempo distintos desarrolladores vieron su potencial y fueron contribuyendo con parches y mejoras.

Años después, Combs recordó:

Durante el primer año aproximadamente, mantener el sitio web en funcionamiento era bastante difícil, en el mejor de los casos. En aquel entonces, el alojamiento seguía siendo costoso. Los servicios de alojamiento de proyectos como GitHub y SourceForge no existían, lo que significaba que tenías que arreglártelas por ti mismo. Terminé comprando una pequeña estación SPARC en eBay e intercambié tiempo de consultoría con varios proveedores de servicios de Internet de la ciudad para conseguir alojamiento. Los acuerdos eran informales y funcionaron muy bien, hasta que dejaron de hacerlo. Tenía un talento para encontrar empresas que posteriormente cerrarían, serían adquiridas o cambiarían su línea de negocio por completo.

En un par de ocasiones tuve que luchar para asegurarme de que mi pequeño servidor no terminara en el inventario de otra persona, a veces al amparo de la oscuridad. Eventualmente, terminé hospedando el servidor del proyecto en el centro de datos de mi empleador. Quería asegurarme de que el arreglo fuera estable y sostenible y esto finalmente condujo al modelo de patrocinio actual del proyecto”.

Combs reconoce que al principio no quería desarrollar una versión para Windows, pero cuando otros desarrolladores portaron el proyecto eso fue el gran despegue de Wireshark.

Fue en el año dos mil seis se cambió el nombre y en el dos mil ocho se liberó la versión 1.0 considerada la primera versión completa ya que tiene las características mínimas implementadas.

Hubo que esperar siete años para que viera la luz una segunda versión con una nueva interfaz de usuario.

En el dos mil veintitrés se constituyó la Wireshark Foundation que administra la infraestructura para el proyecto y organiza las conferencias de usuarios y desarrolladores.

Aunque no soy un usuario activo de Wireshark, le tengo un gran cariño al proyecto. Una vez lo necesité y la versión incluida en Ubuntu presentaba un problema.  Logré solucionarlo y escribí un tutorial sobre el tema.  Fue mi primer post en superar las cien visualizaciones.

Puedes encontrar WIreshark en su web o en los repositorios de tu distribución preferida

from Linux Adictos https://ift.tt/lrW4ipP
via IFTTT