Linux-версия Mozilla VPN некорректно проверяет аутентификацию

Linux-версия Mozilla VPN некорректно проверяет аутентификацию

Linux-версия Mozilla VPN некорректно проверяет аутентификацию

Один из разработчиков Linux-дистрибутива SUSE указал на опасную уязвимость в клиенте Mozilla VPN для «пингвина». Эксплуатация бреши может позволить перенаправить сетевой трафик на сторонние ресурсы и вмешаться в текущие настройки VPN.

В посте на Openwall специалист Матиас Герстнер объясняет, что проблема кроется в некорректной проверке аутентификации. Баг затрагивает версию v2.14.1, которая вышла 30 мая.

Фактически уязвимость может использовать любой пользователь, что позволит ему перенаправить трафик «на сторону», вмешаться в конфигурацию VPN и многое другое. Особую опасность брешь представляет для компьютеров, которыми пользуются несколько людей.

По словам Герстнера, проблему удалось обнаружить в тот момент, когда один из сотрудников пытался добавить клиент Mozilla VPN в систему openSUSE Tumbleweed. Софт изучила команда безопасности SUSE (что является стандартной процедурой) и обратила внимание на службу D-Bus, запущенную от имени root и с политикой Polkit.

Polkit представляет собой API для аутентификации привилегированных программ. Как выяснила команда безопасников SUSE, процесс mozillavpn linuxdaemon содержал некорректную логику аутентификации.

После этого Герстнер обнаружил, что проверка аутентификации реализована по странной логике: код «просит» Polkit определить, авторизована ли служба Mozilla VPN D-Bus (а не конкретный пользователь) осуществлять определенное действие. Поскольку D-Bus работает с правами root, проверка аутентификации всегда возвращает утвердительное значение.

Таким образом, проверку пройдет любой пользователь и любой аккаунт, невзирая на права.

В Госдуме объяснили разницу между суверенным и национальным ИИ

В России хотят разделить искусственный интеллект на два типа: суверенный и национальный. Звучит почти одинаково, но разница есть, её в эфире Радио РБК объяснил первый зампред комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачев.

По его словам, суверенная модель ИИ — это полностью российская разработка. То есть все компоненты должны быть произведены на территории России.

Такой вариант, как пояснил депутат, в первую очередь нужен для чувствительных сфер: обороны, силовых структур и других направлений, где безопасность должна быть максимально жёсткой.

Тут логика простая: чем меньше внешних зависимостей, тем меньше поводов нервно смотреть на поставщиков и инфраструктуру.

Национальный ИИ — уже более гибкая история. Такая модель может использовать иностранные компоненты, но при этом должна размещать серверы на территории России. Это, по словам Ткачева, нужно для контроля над сервисами и их работой внутри страны.

Депутат также отметил, что России не стоит полностью закрываться от мировых разработок в области ИИ. По его мнению, для национальной модели можно брать лучшее и дорабатывать собственные решения, сохраняя при этом ключевое условие — размещение инфраструктуры в России.

Ранее власти скорректировали законопроект о регулировании искусственного интеллекта. В документе как раз появляются понятия суверенных и национальных моделей. В конце июня проект внесли в Госдуму. Если его успеют принять в весеннюю сессию, основные положения должны вступить в силу с 1 марта 2027 года.

Так что ИИ в России, похоже, хотят разложить по полкам: полностью свой — для самых закрытых и чувствительных задач, гибридный с иностранными компонентами — для более широкого применения, но с серверами на российской земле.

RSS: Новости на портале Anti-Malware.ru