bleepingcomputer.com - Komunikacijski storitvi Zoom je v zadnjih mesecih uspel neverjeten skok v popularnosti. Po drugi strani pa se zdi, da so njeni upravljavci zlate čase svojega izdelka pričakali povsem nepripravljeni. V zadnjih tednih smo večkrat poročali o varnostnih luknjah, zdaj pa se je izkazalo, da je na hekerskih forumih in na temnem spletu naprodaj prek 530.000 uporabniških računov. Pri čemer naprodaj ni čisto ustrezna beseda, saj jih lahko ponekod za dolarski cent dobimo kar pet, v nekaterih primerih pa se celo delijo brezplačno.

A tokrat krivda ni docela na strani Zooma, ukradeni podatki namreč skoraj zagotovo izvirajo iz t. i. credential stuffinga, torej postopka, v katerem nepridipravi ukradena uporabniška imena in gesla določene storitve, preizkusijo še pri vstopu v katero drugo storitev. In pri tem pogosto uspejo, saj ljudje kljub opozorilom še vedno radi recikliramo gesla. Ukradeni računi večinoma vsebujejo uporabniško ime, geslo, zgodovino in povezave pogovorov ter tudi Zoom HostKeys,...

Slo-Tech - Po dobrem tednu ugibanj, namigovanji in špekulacij je Fedora Project team končno objavil uradno obvestilo v katerem je navedeno, da so bili njihovi strežniki kompromitirani. Čeprav so pri Fedori prepričani, da neznanim storilcem ni uspelo pridobiti t.i. "package signing key", so se vseeno odločili, da bodo ključ zamenjali. Integriteta arhivov (binary packages) naj ne bi bila spremenjena.

Vdor v strežnike pa so potrdili tudi pri krovni družbi Red Hat, Inc., vendar je v tem primeru napadalcem uspelo uporabiti pridobljeni "signing key" (ta je seveda...

Slo-Tech - Kot poročajo na poštnem seznamu Debianove skupine za zagotavljanje informacijske varnosti, je raziskovalec Luciano Bello odkril, da OpenSSL paket Linux distribucije Debian vsebuje predvidljiv generator naključnih števil.

Do napake je prišlo zaradi prilagoditev paketa distribuciji Debian, kar pomeni, da so neposredno prizadeti samo Debian in na njem temelječi sistemi (tudi Ubuntu!). Ranljivost vsebujejo vse različice openssl kasnejše od 0.9.8c-1, ki je bila sprejeta v Debianova skladišča 17. septembra 2007.

Zaradi ranljivosti se priporoča menjavo vseh kriptografskih ključev za SSH, OpenVPN, DSNSEC, SSL/TLS ter ključe uporabljene v X.509 certifikatih. Prav tako so kompromitirani tudi vsi DSA ključi uporabljeni za podpisovanje in avtentikacijo, saj Digital Signature Algorithm uporablja ranljivi naključni generator števil. GnuPG in GNUTLS ključi niso kompromitirani.

Uporabnikom Debiana, Ubuntuja in ostalih na Debianu temelječih distribucij svetujemo čimprejšnjo varnostno posodobitev...

več strani - Pekel je zmrznil in pujsi so vzleteli, izšel je namreč Debian 4.0, znan tudi pod kodnim imenom Etch. Res je, po večkratnih zamikih, uporu razvijalcev, vdoru v strežnik in nekaterih manjših težavah, je ekipi Debiana končno le uspelo izdati novo stabilno (stable) različico operacijskega sistema. Dosedanjo stabilno različico s kodnim imenom Sarge so pred prehodom v oldstable še enkrat posodobili ter odpravili nekaj napak.

ISO slike za Debian 4.0 so že na voljo, za nadgradnjo z zrcalnih strežnikov pa bo potrebno počakati, da se le-ti posodobijo. Velja tudi omeniti, da je bil izglasovan novi projektni vodja Debiana -- naš v Franciji živeč rojak, Sam Hocevar. Mimogrede, celotni namestitveni program in večina ostalih uradnih paketov namestitve Debiana je prevedena tudi v slovenščino..

<sub>Dodatni viri:
- Slashdot: Two Major Debian Releases In One Day
- Debian 3.1r6 Update
- Sam Hocevar: Osebna stran
- Sam Hocevar: Vizija za Debian</sub>

Slashdot - Ljudje, ki delajo na eni izmed bolj znanih distribucij Linuxa, Debianu, so začeli z novim projektom po imeni Debian paketek dneva. Kot ste najbrž že uganili, bodo v sklopu tega projekta vsak dan predstavili en primerek programske opreme, ki se po njihovem omrežju distribuira s pomočjo Advanced packaging tool-a, ga na kratko opisali, pokazali posnetke zaslona med njegovim delovanjem in tako poskušali razširiti obzorja uporabnikov ter jim olajšati delo s pripomočki, za katere prej niso vedeli.

Novica izvira s slashdota, obiščite tudi domačo stran projekta.

CNet - Microsoft je podal nekaj informacij o prihajajoči storitvi, imenovani "Live Drive", ki naj bi bila zastonj.

Vsak uporabnik storitve bo dobil približno dva gigabajta prostora, če mu pa to ne bo zadostovalo, bo lahko Microsoftu nakazal nekaj dolarjev za dodaten prostor. Cen, ter kdaj bo stvar na voljo za širšo uporabo, Microsoft še ni objavil. Znano je še, da bo storitev dosegljiva iz prihajajočega operacijskega sistema Windows Vista.

Google še ni javno potrdil, da bo ponujal navidezni disk, ampak se o storitvi, ki si je prislužila kodno ime "Platypus", že govori. Kasneje naj bi bila znana kot GDrive. Rezultati dela so že vidni.

Oba tekmeca, Google in Microsoft, pa že dalj časa ponujata par gigabajtov prostora namenjenega elektronski pošti.

Slo-Tech - 12. julija je bil kompromitiran eden izmed Debianovih strežnikov, in sicer ( gluck.debian.org).

Po zadnjih podatkih naj bi napadalec za dostop uporabil ukraden uporabniški račun nekega debianovega razvijalca, za povečanje (elevacijo) privilegijev pa je uporabil prctl() kernel ranljivost. Administratorji zagotavljajo, da napadalec ni povzročil večje škode saj je bil vdor hitro odkrit in saniran.

Več informacij na debianovem poštnem seznamu, oziroma med novicami.

Slashdot - Po včerajšnji izdaji Debiana 3.1, imenovanega tudi Sarge, so razvijalci odkrili, da pri namestitvi s CD-ja ali DVD-ja poleg običajnih virov paketov vira z varnostnimi posodobitvami <b>NI</b>. Ta manjša, a precej kritična, napaka je, podobno kot se je zgodilo z Netscape 8.0.1, povzročila novo izdajo Debiana še preden je minilo 24 ur od prejšnje.

Poleg tega je na IRC-kanalu #debian-amd64 na Freenode moč zaslediti najavo, da bo tudi arhitektura AMD64 ob koncu tega meseca prešla med uradne različice distribucije in bo tako kot ostalih 11 imela tudi varnostne popravke.

Bo odslej Debian izhajal vsak dan?