Daily Archives: November 11, 2023

Exim 4.97 ya fue liberado y estas son sus novedades

Posted on by
Exim

Exim es un agente de transporte de correo

Se presento la nueva versión de Exim 4.97, la cual llega después de 3 RC y en este nuevo lanzamiento se han implementado nuevas funciones, asi como también mejoras internas, correcciones y más.

Para quienes desconocen de Exim, deben saber que este es un agente de transporte de correo (Mail Transport Agent, usualmente MTA) desarrollado para ser utilizado en la mayoría de los sistemas Unix, entre ellos GNU/Linux.

Este tiene una gran flexibilidad en los caminos que pueden seguir los mensajes según su origen y por presentar funcionalidades para control de correo basura, listas de bloqueo basados en DNS (DNSBL), virus, control de relay, usuarios y dominios virtuales y otros, que se configuran y mantienen en forma más o menos sencilla.

El proyecto cuenta con buena documentación, ejemplos de “cómo hacer” determinadas tareas. Exim se distribuye sin costo bajo la licencia GNU GPL.

Principales novedades de Exim 4.97

En esta nueva versión que se presenta de Exim 4.97, se destaca que la utilidad exim_msgdate se ha implementado para convertir identificadores de mensajes (ID-mensaje) a un formato visual, asi como también los controladores de cola ahora se pueden iniciar desde un único proceso en segundo plano.

Otros de los cambios que se destacan de esta nueva versión de Exim 4.97, es el nuevo evento generado en el lado del cliente y del servidor cuando falla la autenticación a través de SMTP AUTH, también se destaca el soporte para macros predefinidas para expandir elementos, operadores, condiciones y variables, asi como también una opción de línea de comando para mostrar solo los ID de mensajes en la cola y la capacidad de configurar SNI para TLS al operador de expansión ${readsocket }.

Por otra parte, se menciona que se han solucionado cinco vulnerabilidades identificadas a finales de septiembre, tres de las cuales (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) permiten ejecutar su código de forma remota sin autenticación en un servidor con derechos de un proceso que acepta conexiones en el puerto de red 25, y los dos restantes (CVE-2023-42114 y CVE-2023-42119) pueden provocar una pérdida de memoria del proceso que atiende solicitudes de red.

Se movió la ejecución de conexión de smtp para los puertos TLS-on-connect, iniciando TLS, ya que anteriormente era después. La nueva secuencia se alinea mejor con el comportamiento STARTTLS y permite defensas contra ataques de carga de procesamiento criptográfico, aunque es un cambio estrictamente incompatible. Además, evita enviar cualquier respuesta de error SMTP para la conexión ACL o host_reject_connection, para puertos TLS-on-connect.

De los demás cambios que se destacan de esta nueva versión de Exim 4.97:

  • La capacidad de establecer variables se ha agregado al mecanismo de prueba de expansión de cadenas llamado cuando se ejecuta Exim con la opción «-be«.
  • Se agregó la variable $sender_helo_verified que contiene el resultado de aplicar la ACL «verify = helo».
  • Se aseguró la expansión temprana (antes de su uso) de la opción SMTP «max_rcpt».
  • La opción tls_eccurve para OpenSSL permite recibir una lista de nombres de grupos.
  • Operador agregado para dividir líneas de encabezado largas.
  • Se permiten expresiones regulares en el modificador de ACL remove_header.
  • Se agregó la variable $recipients_list con una lista de destinatarios con escape correcto.
  • Se implementó un parámetro para log_selector para reflejar los ID de conexión entrantes.
  • En OpenSSL se corrigió la recarga automática de la prueba OCSP del servidor modificado ya que anteriormente, si el archivo con la prueba tenía un nombre sin cambios, las nuevas pruebas eran
    cargadas encima de las viejas.
  • OpenSSL se solucionó un problema con los clientes antiguos que necesitan soporte TLS para versiones anteriores que TLSv1,2. Anteriormente, las versiones más recientes de OpenSSL permitían la configuración de todo el sistema para anular la configuración de Exim.
  • Ahora se permite el uso de la condición «cifrada» de ACL para usarla en  ACL HELO/EHLO.

Descargar Exim 4.97

Para obtener esta nueva versión de Exim 4.97 debes de dirigirte a su sitio web oficial en el cual en su sección de descargas podrás encontrar los enlaces correspondientes a esta nueva versión. El enlace es este.

from Linux Adictos https://ift.tt/ImBwjS4
via IFTTT

KDE 6 contará con soporte para las extensiones Wayland de gestión de color

Posted on by
Wayland en KDE

Los trabajos de Wayland en sobre KDE continúan mejorando

Los trabajos sobre la base que impulsara la próxima versión del entorno de escritorio, «KDE Plasma 6», no se han detenido y se continúan añadiendo mejoras y nuevas características, de las cuales hace algunos días se dio a conocer información sobre la llegada del soporte para extensiones del protocolo Wayland para la gestión del color al servidor compuesto KWin.

Y es que se menciona que ahora la sesión de KDE Plasma 6 basada en Wayland presenta una administración de color separada para cada pantalla, con lo cual los usuarios ahora pueden asignar sus propios perfiles ICC a cada pantalla y las aplicaciones que utilicen Wayland tendrán una reproducción cromática correcta.

Además de ello, también se destaca que los colores seleccionados con la aplicación Color Picker ahora se convierten al espacio de color sRGB y se procesan según los perfiles de color. Una de las tareas aún sin resolver es tener en cuenta la configuración de gestión del color para las aplicaciones X11 iniciadas con XWayland.

Otros cambios recientes en el código base de KDE Plasma 6 que se desatacan, es en el administrador de aplicaciones Discover, en el cual se ha perfeccionado la interfaz, pues se ha cambiado el color de fondo, se ha mejorado la alineación de las tarjetas de aplicaciones, se ha modernizado el comportamiento de la barra lateral durante la búsqueda, se ha mejorado la visualización de capturas de pantalla de programas y se ha agregado un indicador de acceso al subsistema de audio para programas en formato Flatpak.

KDE Plasma 6

cubo en KDE Plasma 6

Ademas de ello en, Spectacle (el programa para crear capturas de pantalla), se destaca que se ha agregado el soporte para los modos para capturar solo la ventana activa o la ventana sobre la cual se encuentra el cursor, y también tiene una opción para desactivar las sombras en la captura de pantalla guardada.

También se destaca que el estilo de los cuadros de diálogo de títulos con configuraciones utilizados en aplicaciones basadas en QtWidgets se acerca al diseño del configurador del sistema y de las aplicaciones basadas en el marco Kirigami.

De los demas cambios que se destacan de los recientes trabajos sobre KDE Plasma 6:

  • Se ha devuelto un efecto visual que representa el contenido de los escritorios en forma de cubo giratorio. Este se puede activar con Meta+C.
  • En el modo Descripción general, se agregó la capacidad de realizar una búsqueda completa a través de KRunner, y no solo buscar entre los títulos de las ventanas.
  • Se agregó la capacidad de desbloquear la pantalla mediante una tarjeta inteligente o una huella digital.
    El visor de fuentes KFontView está adaptado para funcionar en entornos basados ​​en Wayland.
    Se ha rediseñado la sección de configuración responsable de las teclas de acceso rápido.
  • El trabajo con documentos abiertos recientemente en KRunner se ha más que duplicado.
    El reproductor de música Elisa garantiza que una canción se reproduzca después de un solo clic del mouse, en lugar de un doble clic.
  • Se solucionó un caso en la sesión de Plasma Wayland donde iniciar sesión causaba que KWin fallara inmediatamente y lo devolviera a la pantalla de inicio de sesión
  • Se corrigió el fallo más común en Plasma que podía manifestarse al cerrar las notificaciones, al incluir un parche de Qt que lo soluciona, ya que ya está solucionado en Plasma
  • Se corrigió una condición de carrera que causaba que el elemento de menú «Mostrar en actividades» en el menú de la ventana solo fuera visible algunas veces
  • Se corrigió un irritante parpadeo de la pantalla que aparecía al usar gestos del panel táctil para cambiar de escritorio virtual con animaciones globalmente deshabilitadas
  • Se corrigió el fallo más común en System Monitor que a veces podía causar que explotara al salir o cambiar de página
  • Se solucionó un caso en el que las asociaciones de archivos podían heredarse en el orden incorrecto, lo que provocaba que ciertos tipos de documentos se abrieran en las aplicaciones incorrectas en determinadas circunstancias

Finalmente, si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/xj1hrJD
via IFTTT

It’s Still Easy for Anyone to Become You at Experian

Posted on by

In the summer of 2022, KrebsOnSecurity documented the plight of several readers who had their accounts at big-three consumer credit reporting bureau Experian hijacked after identity thieves simply re-registered the accounts using a different email address. Sixteen months later, Experian clearly has not addressed this gaping lack of security. I know that because my account at Experian was recently hijacked, and the only way I could recover access was by recreating the account.

Entering my SSN and birthday at Experian showed my identity was tied to an email address I did not authorize.

I recently ordered a copy of my credit file from Experian via annualcreditreport.com, but as usual Experian declined to provide it, saying they couldn’t verify my identity. Attempts to log in to my account directly at Experian.com also failed; the site said it didn’t recognize my username and/or password.

A request for my Experian account username required my full Social Security number and date of birth, after which the website displayed portions of an email address I never authorized and did not recognize (the full address was redacted by Experian).

I immediately suspected that Experian was still allowing anyone to recreate their credit file account using the same personal information but a different email address, a major authentication failure that was explored in last year’s story, Experian, You Have Some Explaining to Do. So once again I sought to re-register as myself at Experian.

The homepage said I needed to provide a Social Security number and mobile phone number, and that I’d soon receive a link that I should click to verify myself. The site claims that the phone number you provide will be used to help validate your identity. But it appears you could supply any phone number in the United States at this stage in the process, and Experian’s website would not balk. Regardless, users can simply skip this step by selecting the option to “Continue another way.”

Experian then asks for your full name, address, date of birth, Social Security number, email address and chosen password. After that, they require you to successfully answer between three to five multiple-choice security questions whose answers are very often based on public records. When I recreated my account this week, the only question that pertained to my real information concerned a previous street addresses we’ve lived at — information that is just a Google search away.

Assuming you sail through the multiple-choice questions, you’re prompted to create a 4-digit PIN and provide an answer to one of several pre-selected challenge questions. After that, your new account is created and you’re directed to the Experian dashboard, which allows you to view your full credit file, and freeze or unfreeze it.

At this point, Experian will send a message to the old email address tied to the account, saying certain aspects of the user profile have changed. But this message isn’t a request seeking verification: It’s just a notification from Experian that the account’s user data has changed, and the original user is offered zero recourse here other than to a click a link to log in at Experian.com.

If you don’t have an Experian account, it’s a good idea to create one. Because at least then you will receive one of these  emails when someone hijacks your credit file at Experian.

And of course, a user who receives one of these notices will find that their credentials to their Experian account no longer work. Nor do their PIN or account recovery question, because those have been changed also. Your only option at this point is recreate your account at Experian and steal it back from the ID thieves!

In contrast, if you try to recreate an existing account at either of the other two major consumer credit reporting bureaus — Equifax or TransUnion — they will ask you to enter a code sent to the email address or phone number on file before any changes can be made.

Reached for comment, Experian declined to share the full email address that was added without authorization to my credit file.

“To ensure the protection of consumers’ identities and information, we have implemented a multi-layered security approach, which includes passive and active measures, and are constantly evolving,” Experian spokesperson Scott Anderson said in an emailed statement. “This includes knowledge-based questions and answers, and device possession and ownership verification processes.”

Anderson said all consumers have the option to activate a multi-factor authentication method that’s requested each time they log in to their account. But what good is multi-factor authentication if someone can simply recreate your account with a new phone number and email address?

Several readers who spotted my rant about Experian on Mastodon earlier this week responded to a request to validate my findings. The Mastodon user @Jackerbee is a reader from Michican who works in the biotechnology industry. @Jackerbee said when prompted by Experian to provide his phone number and the last four digits of his SSN, he chose the option to “manually enter my information.”

“I put my second phone number and the new email address,” he explained. “I received a single email in my original account inbox that said they’ve updated my information after I ‘signed up.’ No verification required from the original email address at any point. I also did not receive any text alerts at the original phone number. The especially interesting and egregious part is that when I sign in, it does 2FA with the new phone number.”

The Mastodon user PeteMayo said they recreated their Experian account twice this week, the second time by supplying a random landline number.

“The only difference: it asked me FIVE questions about my personal history (last time it only asked three) before proclaiming, ‘Welcome back, Pete!,’ and granting full access,” @PeteMayo wrote. “I feel silly saving my password for Experian; may as well just make a new account every time.”

I was fortunate in that whoever hijacked my account did not also thaw my credit freeze.  Or if they did, they politely froze it again when they were done. But I fully expect my Experian account will be hijacked yet again unless Experian makes some important changes to its authentication process.

It boggles the mind that these fundamental authentication weaknesses have been allowed to persist for so long at Experian, which already has a horrible track record in this regard.

In December 2022, KrebsOnSecurity alerted Experian that identity thieves had worked out a remarkably simple way to bypass its security and access any consumer’s full credit report — armed with nothing more than a person’s name, address, date of birth, and Social Security number. Experian fixed the glitch, and acknowledged that it persisted for nearly seven weeks, between Nov. 9, 2022 and Dec. 26, 2022.

In April 2021, KrebsOnSecurity revealed how identity thieves were exploiting lax authentication on Experian’s PIN retrieval page to unfreeze consumer credit files. In those cases, Experian failed to send any notice via email when a freeze PIN was retrieved, nor did it require the PIN to be sent to an email address already associated with the consumer’s account.

A few days after that April 2021 story, KrebsOnSecurity broke the news that an Experian API was exposing the credit scores of most Americans.

More greatest hits from Experian:

2022: Class Action Targets Experian Over Account Security
2017: Experian Site Can Give Anyone Your Credit Freeze PIN
2015: Experian Breach Affects 15 Million Customers
2015: Experian Breach Tied to NY-NJ ID Theft Ring
2015: At Experian, Security Attrition Amid Acquisitions
2015: Experian Hit With Class Action Over ID Theft Service
2014: Experian Lapse Allowed ID Theft Service Access to 200 Million Consumer Records
2013: Experian Sold Consumer Data to ID Theft Service

from Krebs on Security https://ift.tt/OmRy8Nu
via IFTTT

Fueron solucionadas varias vulnerabilidades en X.Org Server y xwayland 

Posted on by
vulnerabilidad

Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Hace ya varios días se dio a conocer la noticia de la liberación de las nuevas versiones correctivas de X.Org Server y xwaylan, las cuales llegaron a solucionar varios problemas críticos que fueron identificados en estos dos componentes.

Y es que las nuevas versiones abordan vulnerabilidades que podrían explotarse para escalar privilegios en sistemas que ejecutan el servidor X como root, así como para la ejecución remota de código en configuraciones que utilizan la redirección de sesiones X11 a través de SSH para el acceso.

Se han encontrado múltiples problemas en la implementación del servidor X.Org X publicada por X.Org para el cual estamos lanzando correcciones de seguridad en xorg-server-21.1.9 y xwayland-23.2.2.

Cabe mencionar que los problemas que fueron resueltos con las nuevas versiones correctivas, estuvieron presentes desde hace al menos 11 años (tomando en cuenta la vulnerabilidad más reciente de la lista), lo cual se convierte en un grave problema para X.Org Server, pues a inicios de Octubre se dio a conocer informacion sobre vulnerabilidades de seguridad que datan desde el año 1988.

Por la parte de los problemas que se solucionaron en estas versiones correctivas, la primera de las vulnerabilidades es CVE-2023-5367 y de la cual se menciona lo siguiente:

  • Esta vulnerabilidad causa un desbordamiento de búfer en las funciones XIChangeDeviceProperty y RRChangeOutputProperty, que se puede explotar adjuntando elementos adicionales a la propiedad del dispositivo de entrada o a la propiedad randr.
    La vulnerabilidad ha estado presente desde el lanzamiento de xorg-server 1.4.0 (2007) y es causada por el cálculo de un desplazamiento incorrecto al adjuntar elementos adicionales a propiedades existentes, lo que provoca que los elementos se agreguen con un desplazamiento incorrecto, lo que resulta en escritura a un área de memoria fuera del búfer asignado.
    Por ejemplo, si agrega 3 elementos a 5 elementos existentes, se asignará memoria para una matriz de 8 elementos, pero los elementos previamente existentes se almacenarán en la nueva matriz comenzando en el índice 5 en lugar de 3, lo que provocará que los dos últimos elementos estar escrito fuera de los límites.

La segunda de las vulnerabilidades que fue abordada es la CVE-2023-5380 y de la cual se menciona que:

  • Permite el acceso a la memoria después de la liberación en la función DestroyWindow. Se menciona que el problema se puede explotar moviendo el puntero entre pantallas en configuraciones de varios monitores en modo zaphod, en el que cada monitor crea su propia pantalla, y llamando a la función de cierre de la ventana del cliente.
    La vulnerabilidad ha aparecido desde el lanzamiento de xorg-server 1.7.0 (2009) y es causada por el hecho de que después de cerrar una ventana y liberar la memoria asociada a ella, un puntero activo a la ventana anterior permanece en la estructura que proporciona la pantalla vinculante. Xwayland no se ve afectado por la vulnerabilidad en cuestión.

La última de las vulnerabilidades que fue solucionada en las nuevas versiones correctivas es CVE-2023-5574 y esta permite:

  • El acceso a memoria de uso posterior a liberación en la función DamageDestroy. La vulnerabilidad se puede explotar en el servidor Xvfb durante el proceso de limpieza de la estructura ScreenRec durante el apagado del servidor o la desconexión del último cliente. Al igual que la vulnerabilidad anterior, el problema sólo aparece en configuraciones de múltiples monitores en modo Zaphod. La vulnerabilidad ha estado presente desde el lanzamiento de xorg-server-1.13.0 (2012) y permanece sin corregir (sólo se corrigió en forma de parche).

Por otra parte, se menciona que además de eliminar las vulnerabilidades, xwayland 23.2.2 también se cambió de la biblioteca libbsd-overlay a libbsd y dejó de conectarse automáticamente a la interfaz del Portal de escritorio RemoteDesktop XDG para determinar el socket utilizado para enviar eventos XTest al servidor compuesto.

La conexión automática creó problemas al ejecutar Xwayland en un servidor compuesto anidado, por lo que en la nueva versión, la opción «-enable-ei-portal» debe especificarse explícitamente para conectarse al portal.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/5BJSnR2
via IFTTT

FFmpeg 6.1 «Heaviside» llega con soporte para Vulkan, codecs, decodificadores y mas

Posted on by
FFmpeg

FFmpeg es el marco multimedia líder

Se dio a conocer el lanzamiento de la nueva versión de FFmpeg 6.1 con nombre clave «Heaviside», la cual se había retrasado durante al menos medio año debido a la actividad constante en el repositorio, pero ya está aquí y llega implementando una gran cantidad de mejoras de soporte y muchas cosas mas.

Para quienes desconocen de FFmpeg deben saber que este es un proyecto de software libre que puede que permite a los usuarios para decodificar, codificar, transcodificar, mux, demux, stream, filtro, streaming de audio y vídeo, entre otras muchas cosas más.

Principales novedades de FFmpeg 6.1

En esta nueva versión que se presenta de se destaca que se ha implementado la capacidad de utilizar la API de Vulkan para la decodificación de video por hardware en formatos H264, HEVC y AV1.

Ademas de ello, en FFmpeg 6.1 se ha añadido una gran cantidad de soporte nuevo, tal es el caso del nuevo codificador de formato de video AV1 basado en VAAPI, asi como también el soporte para el uso de códecs HEVC, VP9 y AV1 en transmisiones basadas en el protocolo rtmp y en archivos en formato flv y el soporte ampliado para VAAPI en sistemas Windows con la biblioteca libva-win32.

También en FFmpeg 6.1 se implementó la capacidad de usar parámetros para acelerar la codificación de video usando la biblioteca libx264, se ha agregado compatibilidad con comandos a los filtros setpts y asetpts y se añadió el soporte para el codificador de video en formato Microsoft RLE.

Otros de los cambios que se destacan de este lanzamiento son las nuevas opciones añadidas, una de ellas es «-readrate_initial_burst» que se añadió para establecer el tiempo de almacenamiento en búfer de lectura inicial, después del cual comienza a aplicarse el límite «-readrate».

La otra es en ffprobe, en donde se añadió «-output_format», que es similar a la opción «-of» y puede usarse para determinar el formato de salida (por ejemplo, puede usar el formato json). El esquema de salida XML se ha modificado para admitir varios elementos vinculados a un único elemento principal.

De los demás cambios que se destacan de esta nueva versión:

  • La opción ‘-top’ ha quedado obsoleta y en su lugar se debe utilizar el filtro setfield .
  • El decodificador de subtítulos ARIB STD-B24 se implementa en base a la biblioteca libaribcaption .
  • Se agregó analizador, codificador y decodificador para contenedores de medios en el formato EVC.
  • Nuevos filtros de vídeo:
    color_vulkan: crea un marco de un color determinado llamando a la API de Vulkan.
    bwdif_vulkan: realiza el desentrelazado utilizando el algoritmo BWDIF implementado mediante la API de Vulkan.
    bwdif_cuda: desentrelazado mediante el algoritmo BWDIF, implementado en base a la API CUDA.
    nlmeans_vulkan: eliminación de ruido mediante el algoritmo de medios no locales implementado mediante la API de Vulkan.
    xfade_vulkan: implementación de un efecto de desvanecimiento utilizando la API de Vulkan.
    Zoneplate: genera una tabla de prueba de vídeo basada en una placa de zona de Fresnel
  • Nuevos filtros de sonido:
    arls: aplica mínimos cuadrados recurrentes para aproximar los parámetros de una secuencia de audio a otra.
    afireqsrc: genera un ecualizador FIR (filtro de respuesta de impulso finito).
    apsnr: mide el nivel de señal a ruido.
    asisdr: mide el nivel de distorsión de la señal.

Para quienes estén interesados en poder conocer más al respecto sobre este nuevo lanzamiento o conocer más sobre FFmpeg, pueden consultar los detalles en el siguiente enlace.

Descargar y obtener FFmpeg 6.1

Finalmente, para quienes quieran realizar la instalación o actualización de FFmpeg 6.1 deben saber que este paquete se encuentra en la mayoría de las distribuciones de Linux o si lo prefieren pueden descargar su código fuente para su compilación desde el siguiente enlace.

Y para realizar la instalación desde el código fuente, basta con ejecutar la secuencia de comandos ya conocidos:

./configure
make
make install

Para el caso de los que son usuarios de Ubuntu, Debian o cualquier otro derivado de estas distribuciones basta con abrir una terminal y en ella ejecutar el siguiente comando:

sudo apt install ffmpeg

Mientras que para el caso de Fedora el comando a ejecutar es el siguiente:

sudo dnf install ffmpeg

Y para el caso de los que son usuarios de Arch Linux, Manjaro o cualquier otro derivado de Arch Linux basta con ejecutar el siguiente comando:

sudo pacman -S ffmpeg

from Linux Adictos https://ift.tt/qZ6btxJ
via IFTTT