Важное замечание!!!!!
В связи с удалением совместимости со старыми паролями в этой версии, переход на любую версию до 6.43 (v6.42.12 и старше) очистит все пароли пользователей и позволит проводить аутентификацию без пароля. При даунгрейде позаботьтесь о безопасности.

Основные изменения в 6.45:
----------------------
!) dot1x - добавлена поддержка IEEE 802.1X Port-Based Network Access Control;
!) ike2 - добавлена поддержка EAP методов аутентификации (eap-tls, eap-ttls, eap-peap, eap-mschapv2) при инициации;
!) security - исправлены уязвимости CVE-2018-1157, CVE-2018-1158;
!) security - исправлены уязвимости CVE-2019-11477, CVE-2019-11478, CVE-2019-11479;
!) security - исправлена уязвимость CVE-2019-13074;
!) user - удалено небезопасное хранилище паролей;

Компания D-Link представляет новые промышленные Ethernet-коммутаторы DIS-100E-8W и DIS-100E-5W. Устройства предназначены для работы в расширенном температурном диапазоне от -40°С до 75°С, поддерживают резервирование питания и соответствуют требованиям спецификаций по электромагнитной совместимости, устойчивости к вибрации, скачкам напряжения и внешним воздействиям со степенью защиты корпуса IP30. Новые коммутаторы рекомендуются для применения в локальных сетях государственных и коммерческих организаций, медицинских, социальных и образовательных учреждений в местах с повышенными требованиями к условиям эксплуатации.

После года разработки представлен релиз пакетного фильтра nftables 0.9.1, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13.

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Разработчики проекта OpenSSH добавили изменение, призванное обеспечить защиту от различных атак по сторонним каналам, таких как Spectre, Meltdown, Rowhammer и Rambleed, с помощью которых злоумышленники могут извлечь важные данные из памяти.

Изменения в код были внесены на минувшей неделе одним из разработчиков OpenSSH и OpenBSD, специалистом Google Дэмианом Миллером (Damien Miller). Добавленная защита предотвращает восстановление закрытого ключа, содержащегося в оперативной памяти. Закрытые ключи SSH могут использоваться атакующими для подключения к удаленному серверу без авторизации.

Как пояснил Миллер, суть защиты заключается в шифровании закрытых ключей (в моменты, когда они не используются) с помощью симметричного ключа, полученного из относительно большого предварительного ключа (prekey), состоящего из случайных данных (в настоящее время его размер составляет 16 КБ). В случае, если злоумышленнику удастся извлечь данные из памяти компьютера или сервера, он получит зашифрованную версию ключа SSH.

Компания Netflix выявила несколько критических уязвимостей в TCP-стеках Linux и FreeBSD, которые позволяют удалённо инициировать крах ядра или вызвать чрезмерное потребление ресурсов при обработке специально оформленных TCP-пакетов (packet-of-death). Проблемы вызваны ошибками в обработчиках максимального размера блока данных в TCP-пакете (MSS, Maximum segment size) и механизма выборочного подтверждения соединений (SACK, TCP Selective Acknowledgement).

CVE-2019-11477 (SACK Panic) - проблема проявляется в ядрах Linux начиная с 2.6.29 и позволяет вызвать крах (panic) ядра через отправку серии SACK-пакетов из-за возникновения целочисленного переполнения в обработчике. Для атаки достаточно выставить для TCP-соединения значение MSS в 48 байт и отправить последовательность определённым образом скомпонованных SACK-пакетов.

Суть проблемы в том, что структура tcp_skb_cb (Socket Buffer) рассчитана на хранение 17 фрагментов ("define MAX_SKB_FRAGS (65536/PAGE_SIZE + 1) => 17"). В процессе отправки пакета он размещается в очереди на отправку, а в tcp_skb_cb сохраняются детали о пакете, такие как номер последовательности, флаги, а также поля "tcp_gso_segs" и "tcp_gso_size", которые применяются для передачи драйверу информации о сегментировании (TSO, TCP Segmentation Offload) для обработки сегментов на стороне сетевой карты.

Intel сообщает, что достигла успеха в договоренностях с Barefoot Networks по приобретению последней. Довольно важный момент, т.к. Intel все сильнее отстает от конкурентов в Ethernet коммутаторах и сетевых адаптерах. А такие приобретения как технология Tofino 2, язык P4 и будущие разработки компании Barefoot Networks может дать хороший толчок для усиления своих позиций.

Barefoot Networks производит сетевые чипы и, для того чтобы сделать их более гибкими и быстрыми, язык программирования к ним.
 
Текущая серия Barefoot Tofino 2 содержит чипы для коммутаторов, которые могут работать на скорости до 12,8Тбит/с (достаточно быстро для фуллдуплексных 64-портовых коммутаторов 100GbE).
 
В будущем коммутаторы будут требовать более высокую степень интеграции. На OCP Summit 2018 обсуждался вопрос интеграции оптики прямо в чипы коммутации, вместо использования популярных сегодня модулей QSFP28.
 
Что интересно: Edge-Core разработала и внедрила Top-of-rack свитч для Facebook (они это называют Wedge Switch), и этот коммутатор создан на базе Tofino 2 от Barefoot Networks. Intel, в свою очередь, также говорит о поставке центрам обработки данных Facebook кремниевой фотоники в форм-факторе QSFP28 и будущих форм-факторах QSFP56/ QSFP56-DD. Можно задаться вопросом: "связаны ли эти два события?".

В связи с такими заявлениями еще интересно: а что с сетевыми картами Intel? Что будет на рынке 100GbE, особенно учитывая покупку компанией NVIDIA компании Xilinx?

26-28 июня 2019 в Киеве состоится тренинг по MikroTik первого уровня – MikroTik Certified Network Associate
 
Это начальный курс об основных возможностях операционной системы RouterOS и оборудования RouterBoard.

Вам помогут научиться настраивать, управлять, диагностировать и устранять основные неполадки маршрутизатора, предоставлять основные услуги клиентам, администрировать корпоративные СПД, беспроводные провайдерские (WISPs) и ISPs сети.

В агенте пересылки почты Exim обнаружена уязвимость, позволяющая удаленно запускать команды на сервере.

Исследователи компании Qualys обнаружили критическую уязвимость, затрагивающую более половины почтовых серверов. Проблема была обнаружена в агенте пересылки почты (MTA) Exim – ПО, устанавливаемом на почтовых серверах для доставки электронных писем от отправителя к адресату.

По данным за июнь 2019 года, Exim установлено на 57% (507 389) от всех видимых через интернет серверов. Правда, есть сведения, что на самом деле число установок Exim превышает это число в десять раз и составляет 5,4 млн.

Корпорация Intel придала официальный статус процессорам Xeon W-3200 с 14-нанометровой архитектурой Cascade Lake. Они имеют конструктивное исполнение LGA3647 и рассчитаны на использование в производительных рабочих станциях, например, новом Apple Mac Pro.
 
Всего чипмейкер подготовил девять продуктов с числом ядер от 8 до 28 штук. Их объединяет 6-канальный контроллер памяти DDR4 с поддержкой 1-2 Тбайт ОЗУ, номинальный теплопакет от 160 до 205 Вт, поддержка Hyper-Threading и технологии Turbo Boost Max 3.0, а также встроенный контроллер PCI Express 3.0 на 64 линии. Объём кэш-памяти L3 варьируется в диапазоне от 16,5 до 38,5 Мбайт. Технические характеристики новинок приведены ниже.