Жуан Мартинс (Joao Martins) из компании Oracle предложил для обсуждения разработчиками ядра Linux набор патчей, добавляющий в гипервизор KVM возможности запуска не модифицированных гостевых систем Xen в режиме HVM c использованием всех уже имеющихся бэкендов (драйверы на стороне хост-окружения (Dom0), применяемые для обеспечения работы гостевой ОС) и фронтэндов (драйверы на стороне гостевой ОС (DomU) для взаимодействия с бэкенд-драйверами хост-окружения, например драйверы сетевой, графической и дисковых подсистем).

В KVM поддержка гостевых систем Xen может оказаться полезной для переноса существующих образов гостевых систем из инфраструктур на базе Xen или для создания полигонов для тестирования и разработки гостевых систем для Xen, а также для использования имеющихся паравиртуальных драйверов (PV) Xen. На стороне гипервизора реализация напоминает подход, применённый в KVM для запуска вложенных виртуальных машин HyperV. На стороне бэкенда предлагается использовать штатные драйверы Xen.

В отличие от развивавшегося около 10 лет назад модуля xenner, обеспечивающего эмуляцию Xen Dom0 через KVM, в предложенном наборе патчей обеспечена возможность применения существующих паравиртуальных драйверов Xen (вместо полной эмуляции оборудования, для ввода/вывода, обработки прерываний и взаимодействия с оборудованием на стороне гостевой системы применяются специальные драйверы, работающие через бэкенд-драйверы хост-системы). Более того, кроме бэкнд и фронтэнд драйверов Xen для управления можно использовать штатный инструментарий Xen, так как в предложенных для KVM патчах воплощён необходимый для их работы UABI. Например, можно запускать не модифицированные версии xenstored, xenstore-list и xenstore-read.

Патчи разбиты на две основные части:

Код для поддержки Xen HVM ABI, позволяющий загружать гостевые системы в режиме HVM без применения на стороне гостевой системы паравиртуализированных драйверов.
Код для поддержки паравиртуальных (PV) драйверов, обеспечивающий перенаправление гипервызовов, эмулируя поведение PV бэкендов Xen, и реализующий специфичные для Xen механизмы для работы с разделяемой памятью и каналами для уведомления о наступлении различных событий.
В runc, инструментарии для запуска изолированных контейнеров, выявлена критическая уязвимость (CVE-2019-5736), позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak. Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos.

Суть уязвимости в возможности запуска исполняемого файла runc в окружении контейнера, но его обработки в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере на скрипт с заголовком "#!/proc/self/exe" или использовать подставную разделяемую библиотеку. При выполнении "docker exec" и запуске runtime-ом подменённого /bin/bash внутри контейнера будет выполнен файл /proc/self/exe, который на данной стадии ссылается на исполняемый файл runtime (runc) в хост-окружении. После этого атакующий может через модификацию /proc/self/exe внутри контейнера внести изменение в исполняемый файл runc на стороне хост-системы.
Для обеспечения безопасности «умного» производственного оборудования требуются «умные» технологии. Смарт-устройства постоянно находятся под угрозой кибератак, и не только «Интернет вещей» (IoT) в целом, но и отдельные системы. В связи с этим Международная организация по стандартизации (ИСО) разработала новый стандарт, призванный усилить безопасность промышленного IoT-оборудования.

По словам специалиста ИСО Клэр Наден (Clare Naden), помимо прочего, список угроз включает в себя умышленное увеличение скорости работы производственного смарт-оборудования до критического уровня и снижение температуры термической обработки продуктов питания, что может привести к размножению болезнетворных микроорганизмов. То есть, кибератаки на промышленные IoT-устройства не только чреваты финансовыми потерями из-за вынужденной остановки производства, но также могут причинить вред здоровью человека.
ELKO Smart Center начинает проводить сертифицированные учебные курсы по сетевому оборудованию Ubiquiti Networks. Это уникальное предложение для Украины и ближайшего зарубежья - Молдовы, России, Кавказа, стран Балтии и Средней Азии.

Эти тренинги позволяют приобрести как базовые знания, так и практический опыт построения систем беспроводной связи с использованием оборудования Ubiquiti. После успешной сдачи экзамена участники получают официальные сертификаты.

Тренинги предназначены для специалистов по развертыванию систем передачи данных, специалистов в области системной интеграции, инженеров по компьютерным сетям, проектировщиков и инженеров по эксплуатации беспроводных систем, инженеров, желающих изучить построение, настройку и управление проводными и беспроводными сетями c использованием оборудования Ubiquiti Networks.
Компания Ubiquiti Networks работает над исправлением в своих устройствах недавно обнаруженной уязвимости, эксплуатируемой киберпреступниками в реальных атаках с июля прошлого года. По данным специалистов из Rapid7, проблема затрагивает порядка 485 тыс. устройств.

Массовые атаки с использованием уязвимости впервые были зафиксированы на прошлой неделе одним из основателей точки обмена интернет-трафиком NNENIX Джимом Траутменом (Jim Troutman). Как сообщает Траутмен, с помощью сервиса, запущенного на порту 10,001 на устройствах Ubiquiti, злоумышленники осуществляют слабые DDoS-атаки с использованием методов отражения и усиления.

Атакующие отправляют небольшие 56-байтовые пакеты на порт 10,001 на устройствах Ubiquiti, которые отражают эти пакеты, усиливают до 206 байтов (фактор усиления 3,67) и направляют их на IP-адрес атакуемой цели.

Сейчас попытки эксплуатации уязвимости находятся на начальной стадии, и киберпреступники пока только экспериментируют с атаками в поисках наиболее эффективного метода. Никаких масштабных сбоев, вызванных эксплуатацией данной уязвимости, на данный момент зафиксировано не было.

Как пояснил Джон Харт (Jon Hart) из Rapid7, киберпреступники используют так называемый «сервис обнаружения», запущенный на порту 10,001. С помощью этого сервиса производитель и интернет-провайдеры могут находить устройства Ubiquiti как по всему интернету, так и в закрытых сетях.

По словам Харта, фактор усиления сервиса может достигать 30-35, благодаря чему злоумышленники смогут осуществлять DDoS-атаки мощностью до 1 ТБ/с. Но есть и хорошая новость – протокол обнаружения не способен отвечать множественными пакетами, что существенно затрудняет задачу киберпреступникам, поскольку они смогут отражать лишь небольшую часть трафика.
Компания SilverStone анонсировала корпус RM21-304, на основе которого можно сформировать хранилище данных, рассчитанное на монтаж в стойку.
 

Устройство имеет форм-фактор 2U: габариты составляют 430 × 88,5 × 480 мм. Весит решение приблизительно 6,3 килограмма.

Во фронтальной части предусмотрены четыре отсека для накопителей типоразмера 3,5 или 2,5 дюйма. Конструкция предусматривает возможность «горячей» замены установленных устройств хранения данных.
 

Сервер может быть оборудован материнской платой формата Micro-ATX или Mini-ITX, а также четырьмя низкопрофильными картами расширения PCIe.

Говорится о возможности установки оптического привода, одного внутреннего накопителя формата 3,5 дюйма и одного внутреннего устройства формата 2,5 дюйма.
 

На фронтальную панель выведены индикаторы работы, по одному порту USB 2.0 и USB 3.1 Gen 1 Type-A. Допускается использование одного или двух блоков питания.
 

Информации о цене и сроках начала продаж корпуса SilverStone RM21-304 на данный момент, к сожалению, нет.
В ядре Linux найдена уязвимость (CVE-2019-7308), позволяющая обойти защиту от проведения атак класса Spectre v1 через использование подсистемы eBPF. Проблема устранена в выпусках ядра 4.19.19 и 4.20.6, но в дистрибутивах пока остаётся неисправленной (Debian, RHEL, SUSE, Ubuntu).

Для чтения данных из привилегированных областей памяти при помощи атаки Spectre v1 необходимо наличие в привилегированном коде определённой последовательности команд. Подобные сочетания команд были удалены из ядра Linux, но разработчики не учли то, что подсистема eBPF позволяет инициировать выполнение в контексте ядра произвольных BPF-программ. Через манипуляцией с байткодом BPF атакующий может добиться выполнения JIT-компилятором eBPF необходимого для совершения атаки Spectre v1 сочетания машинных инструкций, приводящих к спекулятивному обращению к внешним областям памяти при совершении операций с указателем.

Дополнительно, можно отметить предложение включить в состав ядра Linux патч, реализующий дополнительный режим для отключения базирующейся на использовании PSTATE-бита SSBS (Speculative Store Bypass Safe) защиты от атак Spectre. Подобная защита ощутимо снижает производительность, поэтому включается на уровне приложения при помощи команды PR_SET_SPECULATION_CTRL в prctl (как правило, атаке подвержены программы с JIT, например, Java). Проблема в том, что при отключении спекулятивных операций, данное состояние наследуется и для дочерних процессов. Для отключения наследования защиты (наследования блокировки спекулятивных операций) при запуске новых процессов предложен флаг PR_SPEC_DISABLE_NOEXEC.
Наряду с увеличением инвестиций в собственные производственные мощности корпорация Intel не забывает осваивать новые направления бизнеса и наращивать интеллектуальную собственность. По сообщениям ряда источников, чипмейкер намерен приобрести израильскую компанию Mellanox Technologies, специализирующуюся на производстве телекоммуникационного оборудования.

Согласно имеющейся информации, Intel оценила Mellanox в 5,5-6 млрд долларов, что примерно на 35% превышает текущую стоимость всех акций израильского предприятия. Обе компании пока отказываются комментировать готовящуюся сделку, однако о подготовке Mellanox к возможному поглощению другой фирмой стало известно ещё в октябре. Тогда заинтересованность в её активах выразили как минимум два крупных игрока.

Отметим, что корпорация Intel в последнее время весьма активно инвестирует средства в Израиле. В 2017 году чипмейкер приобрёл компанию MobilEye, создающую компоненты для автопилота, за $15,3 млрд, а на днях стало известно, что «синий» гигант намерен потратить на своё израильское подразделение 11 млрд долларов.
НКРЗІ погодила проект наказу Адміністрації Держспецзв’язку «Про затвердження Вимог щодо рівня якості послуг із передачі даних і доступу до Інтернету» із пропозиціями та зауваженнями
Наразі в країнах Європейського Союзу використовується стандарт Технічного комітету Європейського інституту стандартизації в галузі телекомунікацій ETSI 202 057 та рекомендації Міжнародного союзу електрозв’язку ITU Y.1540, ITU Y.1541, ITU Y.1545, які визначають перелік параметрів якості послуг доступу до Інтернету, встановлюють методи їх вимірювання та оцінювання. Зазначений стандарт є гармонізованим в Україні як ДСТУ ETSI EG 202 057. Крім того, у висновках та рекомендаціях звіту СЕРТ від 2013 року ECC REPORT 195 «Minimum Set of Quality of Service Parameters and Measurement Methods for Retail Internet Access Services» (розділ 10) зазначено, що мінімальні установки параметрів якості послуг мають бути використані та гармонізовані країнами CEPT.
Не секрет, что в ближайшее время на прилавки магазинов поступит 28-ядерный процессор Intel Xeon W-3175X, анонсированный ещё в середине осени. Новинка должна составить конкуренцию топовым AMD Ryzen Threadripper второго поколения и будет работать в специальных материнских платах, оборудованных монструозной системой питания гнезда LGA3647.
 
Одной из таких плат является ASUS ROG Dominus Extreme. Она рассчитана на подключение сразу двух БП, для чего предусмотрена пара 24-штырьковых разъёмов ATX, а к процессору питание подводится через два 6- и четыре 8-контакных разъёма. Такое обилие коннекторов, как выяснилось, понадобится не только во время экстремального разгона 28-ядерного «монстра», но и при работе на относительно невысоких частотах.