Проблемы с безопасностью старых scp-клиентов, новый релиз фреймворка Metasploit, двойные стандарты движения СПО и другие новости

 Alex    16 янв. 2019 : 17:09

Подборка новостей за 16 января 2019 года

Гарри Синтонен на этой неделе выпустил рекомендацию по улучшению безопасности scp-клиентов из состава OpenSSH, PuTTY и других. В частности, в данной рекомендации говорится, что многие scp-клиенты не проверяют соответствие объектов, возвращаемых scp-сервером, запрашиваемым объектам. Эта проблема актуальна с момента выпуска утилиты rcp в 1983 году, на основе которой создавались клиенты scp. Отдельная проблема многих клиентов заключается в том, что атрибуты целевых директорий могут меняться произвольным образом. Наконец, еще две проблемы могут позволить серверу осуществить спуфинг вывода клиента.

Недавно состоялся новый релиз открытого фреймворка для аудита безопасности Metasploit. В соответствии с постом из блога Rapid7, Metasploit 5.0 является первым значительным релизом с момента выпуска Metasploit 4.0 в 2011 году. В рамках нового релиза появились «API для автоматизации работы и доступа к базе данных Metasploit, дополнительные модули и библиотеки, расширенная поддержка языков, улучшения производительности, дополнительные усовершенствования режима совместной работы, глубокая интеграция инструментария, а также масштабирование применения эксплойтов».

Вчера был выпущен релиз VirtualBox 6.0.2, который стал первым корректирующим релизом версии 6.0. В рамках этого релиза были исправлены: конфликт между Debian и desktop-файлами Oracle, сборка драйверов в SLES 12.4, сборка драйвера для разделяемых директорий при использовании старых версий ядра Linux и многое другое. Дополнительная информация доступна в журнале изменений.

Сегодня состоялась отличная демонстрация двойных стандартов движения свободного ПО. Как известно, проект MongoDB не так давно сменил лицензию. Это было сделано главным образом из-за того, что крупные компании повсеместно использовали базу данных MongoDB, не платя отчислений и не открывая своих наработок. Для решения этой проблемы была представлена лицензия SSPL v1, которая практически полностью повторяет признанную свободной лицензию AGPL за исключением одного пункта, который обязывает пользователей продукта открывать исходные коды всех компонентов его инфраструктуры. Если им не хочется этого делать, они всегда могут приобрести коммерческую лицензию. Очевидно, что данная лицензия полностью соответствует четырем критериям свободных лицензий. Но где же двойные стандарты? А вот где: комитет Fedora Legal вынес решение по поводу лицензии SSPL v1: «Проект Fedora принял решение о том, что лицензия Server Side Public License v1 (SSPL) не является свободной лицензией. Коллектив разработчиков Fedora считает, что лицензия SSPL была специально создана для агрессивной дискриминации определенного класса пользователей. Кроме того, очевидно, что авторы лицензии пытаются запугать, запутать и ввести в заблуждение коммерческих пользователей распространяемого в соответствии с этой лицензией программного обеспечения. Декларация лицензии SSPL как свободной и открытой может бросить тень на другие свободные и открытые лицензии, которые не связаны с подобными рисками». В результате пакеты с де-факто свободной лицензией будут удалены из репозиториев дистрибутивов Fedora и RHEL, а также из COPR. Все очень просто: выгода корпораций важнее любых принципов.