Проект Debian объявил о начале общего голосования (GR, general resolution) разработчиков проекта по вопросу поддержки нескольких систем инициализации, которое определит дальнейшую политику проекта в отношении привязки к systemd, поддержки альтернативных систем инициализации и взаимодействия с производными дистрибутивами, не использующими systemd. Голосование продлится до 27 декабря включительно, итоги будут подведены 28 декабря. Напомним, что в 2014 году технический комитет утвердил переход дистрибутива по умолчанию на systemd, но не выработал решения по отношению к поддержке нескольких систем инициализации (при голосование победил пункт, указывающий на неготовность комитета вынести решение по данному вопросу). Лидер комитета порекомендовал сопровождающим пакеты сохранить поддержку sysvinit в качестве альтернативной … Читать далее Началось общее голосование о системах инициализации в Debian

Состоялся релиз web-фреймворка Django 3.0, написанного на языке Python и предназначенного для разработки веб-приложений. Ветка Django 3.0 отнесена к категории выпусков с обычным сроком поддержки и будет получать обновления до апреля 2021 года. LTS-ветка 2.22 будет поддерживаться до апреля 2022 года, а ветка 1.11 до апреля 2020 года. Поддержка ветки 2.1 прекращена. Ключевые улучшения: Предоставлена поддержка работы в асинхронном режиме с выполнением в форме ASGI-приложения. Программный интерфейс ASGI (Asynchronous Server Gateway Interface) разработан как замена WSGI, нацеленная на обеспечение взаимодействия серверов, фреймворков и приложений, поддерживающих работу в асинхронном режиме. Поддержка запуска с использованием WSGI сохранена, а связанный с асинхронным режимом … Читать далее Выпуск web-фреймворка Django 3.0

Консорциум W3C объявил о придании технологии WebAssembly статуса рекомендованного стандарта. WebAssembly предоставляет не зависящий от браузера универсальный низкоуровневый промежуточный код для выполнения приложений, скомпилированных из различных языков программирования. WebAssembly позиционируется как более перспективная и переносимая между браузерами технология создания высокопроизводительных web-приложений. WebAssembly может применяться для решения задач, требующих высокой производителости, например, кодирования видео, обработки звука, манипуляции с графикой и 3D, разработки игр, криптографических операций, математических вычислений и создания переносимых реализаций языков программирования. WebAssembly во многом напоминает Asm.js, но отличается тем, что является бинарным форматом, не завязанным на JavaScript. В WebAssembly не требуется применение сборщика мусора, так как применяется явное управление … Читать далее W3C придал WebAssembly статус рекомендованного стандарта

Спустя 6 месяцев разработки, команда разработчиков NetHack подготовила релиз легендарной roguelike-игры NetHack 3.6.3. Этот релиз содержит преимущественно исправления ошибок (более 190), а также более 22 улучшений игры, в том числе предложенных сообществом. В частности, по сравнению с предыдущим выпуском, существенно улучшена работа curses-интерфейса на всех платформах. Также улучшена работа в MS-DOS (в особенности на виртуальных машинах). Выпуск версии 3.6.3 является заключительным ветке 3.6 и открывает начало разработки ветки 3.7. Следующим крупным релизом ожидается 3.7.0, в котором планируется внедрение новых возможностей, а также чистка кодовой базы от кода для поддержки ряда устаревших платформ. Источник: http://www.opennet.ru/opennews/art.shtml?num=51987 Читать далее Выпуск игры NetHack 3.6.3

Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели. Проблема затрагивает Linux, FreeBSD, OpenBSD, Android, macOS, iOS и другие Unix-подобные системы, поддерживающие технику защиты от спуфинга rp_filter (reverse path filtering) для IPv4. Для IPv6 атака может быть совершена независимо от применения rp_filter. Метод позволяет осуществить подстановку пакетов на уровне TCP-соединений, проходящих внутри шифрованного туннеля, но не позволяет вклиниваться в соединения, применяющие дополнительные слои шифрования (например, TLS, HTTPS, SSH). Наиболее вероятной целью атаки является вмешательство в незашифрованные соединения HTTP, но не исключается и использование атаки для манипуляция с ответами DNS. Успешная подмена пакетов продемонстрирована для … Читать далее Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели

Состоялся релиз Proxmox Virtual Environment 6.1, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 776 Мб. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 6.1, дистрибутива для организации работы виртуальных серверов

Самый популярный пример Java-кода, опубликованного на StackOverflow, оказался с ошибкой, приводящей к выводу при определённых условиях неверного результата. Рассматриваемый код был размещён в 2010 году и накопил более тысячи рекомендаций, а также был скопирован во многие проекты и встречается в репозиториях на GitHub около 7 тысяч раз. Примечательно, что ошибку нашли не пользователи, копирующие данный код в свои проекты, а изначальный автор совета. Рассматриваемый код осуществлял преобразование байтового размера в читаемую форму, например 110592 преобразовывал в «110.6 kB» или «108.0 KiB». Код был предложен как оптимизированный при помощи логарифмов вариант ранее предложенного совета, в котором величина определялась на основе последовательного … Читать далее Самый популярный пример Java-кода на StackOverflow оказался с ошибкой

Опубликован выпуск пакетного фильтра nftables 0.9.3, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.3 изменения включены в состав будущей ветки ядра Linux 5.5. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления … Читать далее Выпуск пакетного фильтра nftables 0.9.3

Компания Qualys выявила четыре уязвимости в OpenBSD, одна из которых позволяет удалённо подключиться без аутентификации к некоторым сетевым сервисам, а три остальные повысить свои привилегии в системе. В отчёте Qualys отмечена быстрая реакция разработчиков OpenBSD — все проблемы были устранены в OpenBSD 6.5 и OpenBSD 6.6 в течение 40 часов после приватного уведомления. Удалённо эксплуатируемая уязвимость вызвана ошибкой при организации вызова обработчика аутентификации в библиотеке libc, которая вызывает программу /usr/libexec/auth/login_style с передачей аргументов в командной строке. В том числе при вызове login_style при помощи опционального параметра «-s service» допускается передача названия протокола. В случае использования в начале имени пользователя символа … Читать далее Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd

Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях. За время существования платформы через HackerOne исследователям в сумме было выплачено 23 млн долларов за выявление уязвимостей в продуктах более 100 клиентов, среди которых Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон и ВМС США. Примечательно, что захват учётной записи стал возможен из-за человеческого фактора. Один из исследователей отправил на рассмотрение … Читать далее Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях

Представлен выпуск дистрибутива Elementary OS 5.1 «Hera», позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (1.47 Гб), доступные для архитектуры amd64 (при загрузке с сайта, для бесплатной загрузки в поле с суммой пожертвования необходимо ввести 0). При разработке оригинальных компонентов Еlementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и … Читать далее Выпуск дистрибутива Elementary OS 5.1 «Hera»

В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты «python3-dateutil» и «jeIlyfish«, которые были загружены одним автором olgired2017 и маскировались под популярные пакеты «dateutil» и «jellyfish» (отличается использованием символа «I» (i) вместо «l» (L) в названии). После установки указанных пакетов, на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время, проблемные пакеты уже удалены из каталога PyPI. Непосредственно вредоносный код присутствовал в пакете «jeIlyfish», а пакет «python3-dateutil» использовал его в качестве зависимости. Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (тайпсквоттинг). Вредоносный пакет «jeIlyfish» был загружен около года назад … Читать далее В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки

Андрей Коновалов из компании Google опубликовал отчёт о выявлении очередных 15 уязвимостей (CVE-2019-19523 — CVE-2019-19537) в USB-драйверах, предлагаемых в ядре Linux. Это третья порция проблем, найденных при проведении fuzzing-тестирования USB-стека в пакете syzkaller — ранее данный исследователь уже сообщал о наличии 29 уязвимостей. На этот раз в списке включены только уязвимости, вызванные обращением у уже освобождённым областям памяти (use-after-free) или приводящие к утечке данных из памяти ядра. Проблемы, которые могут использоваться для отказа в обслуживании в отчёт не включены. Уязвимости потенциально могут быть эксплуатируемы при подключении к компьютеру специально подготовленных USB-устройств. Исправления для всех упомянутых в отчёте проблем уже включены … Читать далее 15 уязвимостей в USB-драйверах, поставляемых в ядре Linux

Представлен релиз дисплейного сервера Mir 1.6, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10/19.04 (PPA) и Fedora 29/30/31. Код проекта распространяется под лицензией GPLv2. В новом выпуске проведена оптимизация производительности кода, связанного с Wayland, и добавлена новая графическая … Читать далее Выпуск дисплейного сервера Mir 1.6

Представлен релиз торрент-клиента qBittorrent 4.2.0, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности. Среди возможностей qBittorrent: интегрированный поисковый движок, возможность подписки на RSS, поддержка многих BEP-расширений, удалённое управление через web-интерфейс, режим последовательной загрузки в заданном порядке, расширенные настройки для торрентов, пиров и треккеров, планировщик пропускной способности и IP-фильтр, интерфейс для создания торрентов, поддержка UPnP и NAT-PMP. В новой версии: Для хэширования паролей блокировки экрана и доступа к web-интерфейсу задействован алгоритм PBKDF2; Завершено преобразование пиктограмм в формат SVG; Добавлена возможность изменения стиля интерфейса при помощи таблиц стилей QSS; Добавлен диалог «Tracker … Читать далее Выпуск qBittorrent 4.2

Сформирован релиз специализированного дистрибутива Tails 4.1 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 Гб. В новом выпуске Tails обновлены версии ядра Linux 5.3.9, Tor Browser 9.0.2, Enigmail 2.1.3 и Thunderbird 68.2.2. В качестве сервера ключей OpenPGP по умолчанию задействован keys.openpgp.org. Удалено дополнение TorBirdy, вместо которого применены патчи … Читать далее Релиз дистрибутива Tails 4.1 и браузера Tor Browser 9.0.2

Компания Mozilla удалила из каталога addons.mozilla.org (AMO) четыре дополнения компании Avast — Avast Online Security, AVG Online Security, Avast SafePrice и AVG SafePrice. Дополнения удалены из-за организации утечки персональных данных пользователей. Google пока никак не отреагировал на инцидент и дополнения остаются в каталоге Chrome App Store. В коде дополнений выявлены вставки для выгрузки на сайт uib.ff.avast.com профилей пользователей и детальных сведений об истории открытия страниц. Во вне передавалось значительно больше данных, чем необходимо для реализации заявленной функциональности дополнений для проверки безопасности (предупреждение об открытии вредоносных сайтов) и предоставления помощи при совершении online-покупок (сравнение цен, предоставление купонов и т.п.). Например, отправлялись … Читать далее Продукты Avast и AVG удалены из каталога дополнений к Firefox из-за отправки персональных данных

Опубликован релиз классической среды рабочего стола CDE 2.3.1 (Common Desktop Environment). CDE был разработан в начале девяностых годов прошлого века совместными усилиями компаний Sun Microsystems, HP, IBM, DEC, SCO, Fujitsu и Hitachi, и на протяжении многих лет выступал в роли штатного графического окружения Solaris, HP-UX, IBM AIX, Digital UNIX и UnixWare. В 2012 году код CDE был открыт консорциумом The Open Group кода CDE 2.1 под лицензией LGPL. В состав исходных текстов CDE входит XDMCP-совместимый менеджер входа, менеджер пользовательских сеансов, оконный менеджер, панель CDE FrontPanel, менеджер рабочего стола, шина для обеспечения межпроцессного взаимодействия, инструментарий для рабочего стола, средства для разработки … Читать далее Обновление рабочего стола Common Desktop Environment 2.3.1

Состоялся релиз web-браузера Firefox 71, а также мобильной версии Firefox 68.3 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 72, релиз которой намечен на 7 января (проект переходит на новый 4-недельный цикл разработки). Основные новшества: Предложен новый интерфейс страницы «about:config», который представляет собой открываемую внутри браузера служебную web-страницу, написанную на HTML, CSS и JavaScript. Элементы страницы можно произвольно выделять мышью (в том числе сразу несколько строк) и помещать в буфер обмена без применения контекстного меню. Верхняя строка поиска сохранена и расширена возможностью добавления новых переменных. Дополнительно … Читать далее Релиз Firefox 71

Компания Microsoft в рамках экспериментального проекта Verona развивает новый язык программирования, основанный на языке Rust и ориентированный на разработку защищённых приложений, не подверженных типовым проблемам с безопасностью. Исходные тексты текущих наработок, связанных с проектом, в ближайшее время планируется открыть под лицензией Apache 2.0. Рассматривается возможность использования развиваемого языка в том числе для переработки низкоуровневых компонентов Windows с целью блокирования потенциальных проблем, всплывающих при применении языков C и C++. Безопасность кода повышается за счёт автоматического управления памятью, которое избавит разработчиков от необходимости манипулирования указателями и защитит от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после … Читать далее Microsoft развивает новый язык программирования на основе Rust

Представлен релиз I2P 0.9.44, реализации многослойной анонимной распределённой сети, работающей поверх обычного интернета, активно использующей сквозное (end-to-end) шифрование, гарантирующей анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. Отдельно развивается I2pd, реализация клиента I2P на языке C++. В новом выпуске I2P: Предложена начальная поддержка более надёжного и быстрого метода сквозного (end-to-end) шифрования, базирующегося на связке ECIES-X25519-AEAD-Ratchet вместо ElGamal/AES+SessionTag. Реализация пока предлагается только для экспериментов и … Читать далее Выпуск анонимной сети I2P 0.9.44