Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
VPS в 21 локации

От 104 рублей в месяц

Безлимитный трафик. Защита от ДДоС.

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

В Linux обнаружена серьёзная ошибка безопасности Bluetooth

Специалисты Google практически во всех версиях Linux обнаружили уязвимость в таком программном стеке Bluetooth, как BlueZ. Это означает, что уязвимыми оказались сотни миллионов или даже миллиардов устройств и изделий в мире. Android, к счастью, имеет собственный Bluetooth-стек, но компьютеры и устройства на дистрибутивах Linux и Chrome OS оказались подвержены риску внешнего враждебного воздействия.

Стек BlueZ поддерживает все основные протоколы и уровни Bluetooth. Он разработан Qualcomm и сегодня курируется группой компаний во главе с Intel. Стек доступен для ядра Linux версии 2.4.6 и выше. По словам Intel, набор из трёх новых уязвимостей, который получил название BleedingTooth, «всего лишь» ведёт к открытию информации и к изменению уровня привилегий на атакуемом устройстве. Также компания утверждает, что последняя версия Linux 5.9 закрыта для этой уязвимости.

По мнению одного из известных разработчиков ядра Linux Мэтью Гаррета (Matthew Garrett), которое он высказал в своей ленте Twitter, Intel говорит неправду, когда утверждает, что в версии Linux 5.9 закрыты все пути для уязвимости через дыру в BlueZ. Также его возмутило то, что разработчики дистрибутивов Linux не были уведомлены о проблеме до публикации отчёта Intel об обнаруженной дыре и не смогли подготовить соответствующие патчи.

Реализовать обнаруженную уязвимость можно относительно просто, хотя для этого необходимо соблюсти ряд условий, организация которых может быть не по плечу взломщику с отсутствием опыта. Самое простое — необходимо быть в зоне действия Bluetooth-передатчика атакуемого устройства, и оно должно быть активированным. Что важно, предварительного сопряжения с атакуемым устройством не нужно, как и не нужны какие-либо действия жертвы — нажатие на ссылки, открытие файлов и прочее.

Для атаки необходимо знать MAC-адрес устройства жертвы. Определить его можно при «прослушивании эфира» программами для анализа трафика. Всё это позволяет атакующему без авторизации и каких-либо действий жертвы отправить ей особенным образом оформленные Bluetooth-пакеты и выполнить на устройстве программный код на уровне ядра Linux. Согласитесь, это слабо согласуется с расслабленным сообщением Intel об опасности смены уровня привилегий и раскрытии информации.

Как выявили и показали в примере эксплоита исследователи (видео выше), уязвимость стека BlueZ обнаруживается с версии Linux 4.8. Это касается дистрибутивов Debian, RHEL (начиная с 7.4, но это может измениться), SUSE, Ubuntu и Fedora. Предоставленные Intel патчи вошли в ветку linux-next, а не в ветку Linux 5.9, так что исправления следует ещё подождать.

3DNews

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...