В октябре прошлого года в memcached были обнаружены критические уязвимости, позволяющие удалённо исполнять код. Согласно недавнему сканированию, большинство инсталляций этой Open Source-системы кэширования до сих пор не были обновлены.
Три проблемы в memcached*, получившие очень высокий рейтинг критичности (у одного 8.1/10, а у двух — по 9.8/10), были обнаружены специалистом по ИТ-безопасности из подразделения Talos компании Cisco Systems и обнародованы 31 октября 2016 года. После волны атак на серверы, обслуживающие другие Open Source-решения для баз данных (MongoDB, CouchDB, Hadoop и Elasticsearch), в которых также были найдены опасные уязвимости в декабре и январе, специалисты из Talos ожидали подобной эпидемии и для memcached. Однако, просканировав в феврале 2017 года доступные в интернете серверы memcached общим количеством около 100 тысяч, они обнаружили, что лишь 24 тысячи инсталляций требовали аутентификацию, а всего у 200 из них были установлены патчи, исправляющие 3 октябрьские уязвимости.
Всего же около 80 % из обнаруженных инсталляций memcached были подвержены уязвимостям. Повторное сканирование специалисты из Talos провели уже в этом месяце, спустя почти 8 месяцев после публикации информации о критических проблемах. Из 106 тысяч найденных серверов с memcached около 70 процентов (73400 серверов) сохраняли 3 критические уязвимости. Более 18 тысяч из memcached-серверов требовали аутентификацию, но и среди них 99 % сохраняют уязвимость в поддержке SASL, позволяющую удалённо выполнять произвольный код.
Дасти Кирклэнд (Dustin Kirkland), менеджер продукта Ubuntu в Canonical, начал опрос на популярных веб-сайтах, в котором Linux-пользователям предлагается высказать свои предпочтения относительно приложений, которые должны быть включены в поставку по умолчанию для десктоп-редакции следующего LTS-релиза Ubuntu — 18.04.
Это не первый пример такого открытого взаимодействия Canonical со своими пользователями. В марте онлайн-сообщество HackerNews спрашивали, что они хотят увидеть в Ubuntu 17.10. И результаты не заставили себя ждать: в текущей версии 17.10 уже реализованы такие пожелания сообщества, как замена Unity на GNOME, новый BlueZ для лучшей поддержки Bluetooth, переход на libinput и другие, а некоторые из них (автоматическое удаление старых ядер Linux из /boot, шифрование файловой системы Ext4 с fscrypt, лучшая поддержка GPU/CUDA) активно разрабатываются с тем, чтобы тоже появиться в финальной версии 17.10.
В рамках новой инициативы у пользователей HackerNews, Reddit и Slashdot спрашивают, какие приложения, по их мнению, должны быть включены в стандартную (т.е. по умолчанию) поставку релиза Ubuntu 18.04 LTS. Речь идёт о приложениях для десктопов/ноутбуков, таких как веб-браузер, терминал, текстовый редактор, файловый менеджер и т.п. Если для некоторых из этих функций предпочтительны веб-решения, то это можно указать. Также в Canonical просят отдельно выделить опции, которые не являются свободными. Принять участие в опросе можно через эту онлайн-форму Google.
