В коде обработчика протокола RDS на базе TCP (Reliable Datagram Socket, net/rds/tcp.c) выявлена уязвимость (CVE-2019-11815), которая может привести к обращению к уже освобождённой области памяти и отказу в обслуживании (потенциально не исключается возможность эксплуатации проблемы для организации выполнения кода). Проблема вызывается состоянием гонки (race condition), которое может возникнуть при выполнении функции rds_tcp_kill_sock в момент очистки сокетов для пространства сетевых имён.

В спецификации NVD проблема помечена как удалённо эксплуатируемая по сети, но судя по описанию исправления, без локального присутствия в системе и манипуляции с пространствами имён удалённо организовать атаку не получится. В частности, по мнению разработчиков SUSE уязвимость эксплуатируется только локально, организация атаки достаточно сложна и требует наличия дополнительных привилегий в системе. Если в NVD уровень опасности оценен в 9.3 (CVSS v2) и 8.1 (CVSS v2) баллов, то по рейтингу SUSE опасность оценена в 6.4 балла из 10.

Представители Ubuntu также оценили опасность проблемы как умеренную. При этом в соответствии со спецификацией CVSS v3.0 проблеме присвоен высокий уровень сложности атаки и возможность эксплуатации выставлена всего в 2.2 балла из 10.

Судя по отчёту от компании Cisco уязвимость эксплуатируется удалённо через отправку TCP-пакетов на рабочие сетевые сервисы RDS и уже имеется прототип эксплоита. Насколько эта информация соответствует действительности пока не ясно, возможно в отчёте лишь художественно оформлены предположения NVD. По сведениям VulDB эксплоит ещё не создан и проблема эксплуатируется только локально.

Проблема проявляется в ядрах до 5.0.8 и блокирована мартовским исправлением, включённым в состав ядра 5.0.8. В большинстве дистрибутивов проблема остаётся неустранённой (Debian, RHEL, Ubuntu, SUSE). Исправление выпущено для SLE12 SP3, openSUSE 42.3 и Fedora.
Дні електронних комунікацій – це міжнародна зустріч гравців ринку електронних комунікацій для обговорення сучасних трендів, перспектив регулювання, ризиків та можливостей для розвитку інтернету, телевізійних сервісів. Це перший масштабний конвергентний галузевий захід для операторів телекомунікацій, постачальників аудіовізуальних медіа-послуг, електронних ЗМІ, операторів кабельного телебачення, виробників і дистриб’юторів обладнання й технологій.
 ДЕК 2019
  • впровадження європейських стандартів на ринках надання телекомунікаційних та аудіовізуальних послуг, лібералізація регулювання;
  • забезпечення свободи слова в мережі Інтернет і на телебаченні;
  • відповідальність за порушення авторського права та/або суміжних прав;
  • якість послуг та залежність їх від тарифів, майстер-класи;
  • кібербезпека у телеком-мережах;
  • обговорення викликів і можливостей розвитку відносин «держава – бізнес», «провайдери – медіа», «провайдери – провайдери»;
  • сприяння розвитку малого й середнього та малого бізнесу телекому і медіа за допомогою впровадження інноваційних ідей;
  • ефективне використання РЧР України;
  • конкуренція на ринку Pay TV;
  • доступ до інфраструктури: що змінилося за рік після прийняття профільного закону;
  • опис кейсів у сфері IoT.
Компания Cloudflare представила открытый проект xdpcap, в рамках которого развивается похожий на tcpdump анализатор сетевых пакетов, построенный на основе подсистемы XDP (eXpress Data Path). Код проекта написан на языке Go и распространяется под лицензией BSD. Проектом также подготовлена библиотека для привязки eBPF-обработчиков трафика из приложений на языке Go.

Утилита xdpcap совместима с выражениями фильтрации tcpdump/libpcap и позволяет обрабатывать на том же оборудовании существенно большие объёмы трафика. Xdpcap также может применяться для отладки в условиях, в которых обычный tcpdump неприменим, например, когда применяются системы фильтрации, защиты от DoS-атак и балансировки нагрузки, использующие подсистему ядра Linux XDP, обрабатывающую пакеты на стадии до их обработки сетевым стеком ядра Linux (tcpdump не видит пакеты, отброшенные обработчиком XDP).
На теперішній час, компанії, що здійснюють надання телекомунікаційних та Інтернет послуг, (далі - компанії-провайдери, провайдери) активно звертаються до Об'єднань Співвласників Багатоквартирного Будинку з пропозиціями, щодо укладення Договору, предметом якого є доступ до спільного майна будинку з метою розміщення інженерних мереж компанії-провайдера.

Найчастіше відповідні договори оформлені таким чином, що порушують права ОСББ, тому з метою захисту прав та інтересів Об'єднань, Асоціацією було підготовлено відповідне роз'яснення, щодо порядку укладення такого роду договорів.

По-перше, провайдерами активно використовується посилання на Закон України «Про доступ до об'єктів будівництва, транспорту, електроенергетики з метою розвитку телекомунікаційних мереж» (https://zakon.rada.gov.ua/laws/show/1834-19), який загалом за своїм змістом, захищає виключно права та інтереси провайдерів.
Интернет неумолимо приближается к рубежу, известному как «День 768 тысяч» («768K Day»), и системные администраторы начинают подготовку к возможным отключениям из-за устаревшего оборудования. Их обеспокоенность весьма оправдана, и обновление устаревших маршрутизаторов – действительно хорошая идея. Тем не менее, эксперты по-прежнему прогнозируют некоторые отключения в «День 768 тысяч».

Термин «День 768 тысяч» происходит от «День 512 тысяч», припавший на 12 августа 2014 года. В этот день тысячи интернет-провайдеров по всему миру столкнулись с массовым отключением Сети. Из-за отключения и замедления интернета компании терпели миллиардные убытки. Причиной глобального отключения стал тот факт, что у устаревших маршрутизаторов закончилась память для хранения глобальной таблицы маршрутизации BGP (файла, в котором хранятся адреса IPv4 всех известных подключенных к интернету сетей).

В то время огромная часть интернет-трафика маршрутизировалась через устройства с троичной ассоциативной памятью (TCAM), выделенной области которой хватало не более чем на 512 тысяч маршрутизаторов.

12 августа 2014 года телекоммуникационная компания Verizon добавила 15 тысяч новых BGP-маршрутизаторов, в результате чего количество строк в таблице маршрутизации BGP превысило 512 тысяч. Это привело к переполнению выделенной памяти на старых моделях маршрутизаторов, и при каждой попытке обращения к таблице устройства выходили из строя. Проблема затронула множество компаний, в том числе Microsoft, eBay, LastPass, BT, LiquidWeb, Comcast, AT&T, Sprint и Verizon.

Многие маршрутизаторы получили экстренные обновления, позволяющие системным администраторам расширить область выделенной памяти для хранения таблицы маршрутизации BGP. Большинство сисадминов последовали рекомендациям и повысили лимит до 768 тысяч.

По данным сайта CIDR Report , осуществляющего мониторинг глобальной таблицы маршрутизации BGP, файл вмещает в себя уже 773 480 входов. Однако данная таблица является неофициальной и содержит дубликаты.

За размером таблицы также следит Twitter-бот BGP4-Table. По его данным, количество входов достигло отметки в 767 392, а значит, до финишных 768 тысяч осталось совсем ничего.

Как сообщают специалист AAGICo Berlin Аарон Гленн (Aaron A. Glenn) и руководитель точки обмена трафиком NNENIX Джим Траутман (Jim Troutman), «День 786 тысяч» наступит уже в следующем месяце. Однако ожидать массового отключения интернета как в 2014 году не стоит, уверены они. Крупные компании уже обновили свое оборудование, и переполнения памяти не предвидится. Проблема затронет лишь небольшие компании и местных операторов связи, использующих старые маршрутизаторы.
После пяти месяцев разработки представлен релиз OpenSSH 8.0, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

Основные изменения:
  • В ssh и sshd добавлена экспериментальная поддержка метода обмена ключами, стойкого к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Предложенный метод основан на алгоритме NTRU Prime (функция ntrup4591761), разработанном для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519;
  • В sshd в директивах ListenAddress и PermitOpen прекращена поддержка устаревшего синтаксиса "host/port", реализованного в 2001 году в качестве альтернативы "host:port" для упрощения работы с IPv6. В современных условиях для IPv6 устоялся синтаксис "[::1]:22", а "host/port" часто путают с указанием подсети (CIDR);
  • В ssh, ssh-agent и ssh-add реализована поддержка ключей ECDSA в токенах PKCS#11;
  • В ssh-keygen размер ключа RSA по умолчанию увеличен до 3072 бит, в соответствии с новыми рекомендациями NIST;
  • В ssh разрешено использование настройки "PKCS11Provider=none" для переопределения директивы PKCS11Provider, заданной в ssh_config;
  • В sshd обеспечено отображение в логе ситуаций, когда соединение завершено при попытке выполнения команд, блокированных ограничением "ForceCommand=internal-sftp" в sshd_config;
  • В ssh при выводе запроса на подтверждение приёма нового хостового ключа, вместо ответа "yes" теперь воспринимается правильный fingerprint-отпечаток ключа (в ответ на приглашение подтвердить подключение пользователь может через буфер обмена скопировать отдельно полученный эталонный хэш, чтобы вручную не заниматься его сравнением);
  • В ssh-keygen обеспечено автоматическое увеличение номера последовательности в сертификате при создании цифровых подписей для нескольких сертификатов в командной строке;
  • В scp и sftp добавлена новая опция "-J", эквивалентная настройке ProxyJump;
Компания Juniper Networks исправила уязвимость (CVE-2019-0034) в своих сетевых коммутаторах для дата-центров. Проблема заключалась в наличии вшитых учетных данных в программном инструменте Junos Network Agent, предназначенном для управления датчиками и другими устройствами для мониторинга производительности сетей. Если говорить точнее, вшитые учетные данные были обнаружены в компоненте Google gRPC, используемом с Junos Telemetry Interface.

«В используемых gRPC конфигурационных файлах были обнаружены неизменяемые учетные данные, которые могли использоваться Junos Network Agent для неавторизованного чтения некоторых некритических данных (информации с датчиков). Кроме того, API, доступные через Juniper Extension Toolkit (JET), могут выполнять на устройстве некритические операции 'set'», – говорится в уведомлении Juniper Networks.

Хотя уязвимые компоненты могут входить в Junos, вшитые учетные данные есть только в сетевых коммутаторах, на которых работает Telemetry Interface с Junos Network Agent. Устройства без Junos Network Agent уязвимости не подвержены.

Администраторы могут проверить Network Agent на наличие уязвимости, введя команду user@junos> show version | grep na\ telemetry и проверив выходные данные user@junos>JUNOS na telemetry [17.3R3-S3.3]. В случае обнаружения проблемы настоятельно рекомендуется установить последнюю версию прошивки. Впрочем, установка обновлений желательна в любом случае.
Специалисты команды IBM Security предупредили о наличии опасной уязвимости в бюджетных моделях маршрутизаторов TP-Link, с помощью которой злоумышленники могут удаленно перехватить управление устройством. Речь идет о моделях TP-Link WR940N и TL-WR941ND с версией прошивки 150312. Хотя производитель уже прекратил производство данных моделей, они все еще предлагаются в некоторых магазинах электроники.

Проблема связана с web-панелью управления, используемой для настройки маршрутизаторов, в частности, с вкладкой системные инструменты/диагностика, где пользователи могут отправить эхо-запрос по протоколу ICMP на имя или IP-адрес целевого узла. Протокол управляющих сообщений ICMP (Internet Control Message Protocol) используется для обмена служебной и диагностической информацией в сети. Команда ping позволяет выполнить отправку управляющего сообщения типа Echo Request адресуемому узлу и интерпретировать полученный от него ответ в удобном для анализа виде.
Уряд інвестує 1 млрд грн в інтернетизацію та комп’ютеризацію українських шкіл – 700 млн грн буде спрямовано на забезпечення доступу до Інтернету, а ще 300 млн грн – на закупівлю комп’ютерів. Відповідну постанову було прийнято на засіданні КМУ сьогодні, 3 квітня 2019 року.

«Сьогодні, у 21-му столітті, у нас є школи, які взагалі не мають доступу до Інтернету. Наприклад, на Закарпатті 12,1% таких шкіл, а в Житомирській області – 19,3%. У нас у половині українських шкіл швидкість Інтернет-підключення становить менше 10Мбіт/с. Це означає, що там неможливо використовувати Інтернет для роботи з будь-яким освітнім контентом. Тому наше завдання – провести Інтернет у ті заклади, де доступу взагалі немає, а також забезпечити швидкість підключення для інших закладів не менше 30 Мбіт/с, а для опорних закладів та великих шкіл – до 100 Мбіт/с, бо саме ця швидкість може дозволити працювати з нормальними Інтернет-ресурсами», – розповіла Міністр освіти і науки Лілія Гриневич.

Вона наголосила, що сума в 700 млн грн для виконання цього завдання сформувалася після тривалих консультацій, зокрема, з Офісом ефективного регулювання.

«Однак Інтернет неможливо використовувати, якщо немає комп’ютерів. Наше завдання – забезпечити для шкіл співвідношення бодай 1 комп’ютер на 10 учнів. Хочу повідомити, що в Україні наразі є 413 шкіл, де взагалі відсутні комп’ютери, що використовуються в освітньому процесі. А ще велика кількість шкіл, де це співвідношення значно більше, ніж 10 до 1. Тому ми спрямовуватимемо кошти  саме туди, де немає цих комп’ютерів і де немає відповідного співвідношення. На це в субвенції – 300 млн грн», – пояснила Лілія Гриневич.

Міністр додала, що розподіл цих коштів відбувається за визначеним заздалегідь алгоритмом, що допомагає уникнути зловживань.
2-го апреля 2019 Intel презентовала большое количество новинок, среди которых оказалась 800-ая серия сетевых адаптеров. Таким образом Intel входит в сетевой хай-енд 100GbE. Раньше эта серия называлась Columbiaville, и - это первая сетевая в сегменте 100GbE. Похоже, что с провалом покупки Mellanox, это как раз то, что нужно Intel, чтобы не упустить рынок.
 
С 800-й серией 100GbE Intel добавляет несколько новых функций. Когда вышли 40GbE "Fortville", они потребляли большое количество энергии из-за того, что это были обычные сетевухи, по сравнению с тем, что предлагали другие. Возможно, именно поэтому Intel называет сетевые карты новой серии как "Основные сетевухи / Foundational NICs".
 
Чтобы облегчить переход, 700-ая и 800-ая серии работают на общем AVF (Virtual Function Driver / Intel AVF). Другие основные функции - это Application Device Queues (ADQ) и Dynamic Device Personalization (DDP).

Другой новостью на брифинге стало то, что Intel стала поддерживать в хранилищах: RDMA, iWARP и RoCEv2. До этого момента оборудование компании не поддерживало RoCE, хотя большинство игроков индустрии работали с ним. Теперь это изменилось, видимо, в Intel осознали популярность такого типа устройств.