К обсуждению изменений в манифесте Chrome подключились участники других известных дополнений. Представители компаний F-Secure, Blockade.io, Privowny и Ermes Cyber Security заявили, что с проблемами столкнутся не только разработчики дополнений для блокирования рекламы, но и производители дополнений для защиты от вредоносного ПО, фишинга и шпионящей за пользователями активности, а также дополнений для родительского контроля и обеспечения приватности. Отмечается, что API declarativeNetRequest и заявленных лимитов недостаточно для реализации подобных дополнений. Кроме того, базы блокировки фишинга могут включать миллионы записей, а список Blockade содержит 250 тысяч записей, что никак не сочетается с лимитом в 30 тысяч правил. Компания Amnesty International подтвердила, что остающейся … Читать далее От изменения манифеста Chrome пострадают и дополнения для обеспечения безопасности и приватности

Рэймонд Хилл (Raymond Hill), автор систем блокирования нежелательного контента uBlock Origin и uMatrix, предупредил о невозможности использования в браузере Chrome дополнения uBlock Origin в случае утверждения третьей версии манифеста Chrome. Манифест определяет перечень возможностей и ресурсов, предоставляемых дополнениям Chrome. В текущем черновом варианте третьей версии манифеста прекращена поддержка обработки API webRequest в блокирующем режиме и в качестве замены предложено использовать существенно более ограниченный API declarativeNetRequest. По мнению Рэймонда Хилла предложенного API недостаточно для обеспечения полноценной блокировки рекламы и в случае утверждения манифеста дополнения uBlock Origin и uMatrix не смогут выпускаться для Chrome. При этом изменение не повлияет на работу блокировщика … Читать далее Новая редакция манифеста Chrome сделает невозможным использование uBlock Origin

После года разработки и 28 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API — Wine 4.0, который вобрал в себя более 6000 изменений. Из ключевых достижений новой версии отмечается поддержка графических API Direct3D 12 и Vulkan, включение по умолчанию обособленного потока обработки команд Direct3D, инфраструктура для настройки отображения элементов интерфейса с учётом DPI, поддержка игровых контроллеров, реализация корректной работы на экранах с высокой плотностью пикселей (High-DPI) для платформы Android, интерфейс Windows Media Player, поддержка запуска задач по расписанию, прекращение встроенной поддержки исполняемых файлов DOS. В Wine подтверждена полноценная работа 4737 программ для Windows, еще 4045 программ прекрасно работают при … Читать далее Стабильный релиз Wine 4.0

Опубликован релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений и устранены три уязвимости. Наиболее заметные изменения: Устранена уязвимость CVE-2018-17199 в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie); Устранена DoS-уязвимость CVE-2018-17189 в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов; Устранена DoS-уязвимость CVE-2019-0190 в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 … Читать далее Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

Опубликован релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений и устранены три уязвимости. Наиболее заметные изменения: Устранена уязвимость CVE-2018-17199 в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie); Устранена DoS-уязвимость CVE-2018-17189 в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов; Устранена DoS-уязвимость CVE-2019-0190 в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 … Читать далее Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

В пакетном менеджере APT выявлена уязвимость (CVE-2019-3462), позволяющая злоумышленнику инициировать подмену устанавливаемого пакета, если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака). Проблему выявил исследователь безопасности Max Justicz, известный обнаружением уязвимостей в пакетном менеджере APK (Alpine) и репозиториях Packagist, NPM и RubyGems. Проблема вызвана некорректной проверкой полей в коде обработки HTTP-редиректов, что позволяет атакующему подставить собственное содержимое в данные, передаваемые в рамках HTTP-сеанса (по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS, полагая, что достаточно цифровой подписи метаданных и проверки соответствия размера пакета). Выявленная уязвимость позволяет … Читать далее Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет

Компания Canonial представила релиз Ubuntu Core 18, компактного варианта дистрибутива Ubuntu, адаптированного для применения на устройствах интернета вещей (IoT), контейнерах, потребительском и промышленном оборудовании. Ubuntu Core поставляется в форме неделимого монолитного образа базовой системы, в котором не применяется разбивка на отдельные deb-пакеты. Образы Ubuntu Core 18, состав которых синхронизирован с пакетной базой Ubuntu 18.04, подготовлены для систем i386, amd64, ARM (Raspberry Pi 2, Samsung Artik 5, Samsung Artik 10, Orange Pi Zero) и ARM64 (Qualcomm Dragonboard 410c, Raspberry Pi 3). Размер образа 230-260 Мб в зависимости от архитектуры. Заявленное время поддержки Ubuntu Core 18 — 10 лет. Ubuntu Core служит … Читать далее Выпуск Ubuntu Core 18

Представлен релиз СУБД ScyllaDB, позиционируемой как полностью совместимый аналог СУБД Apache Cassandra, переписанный с Java на C++ и демонстрирующий существенное увеличение производительности. Код проекта распространяется под лицензией AGPLv3. По сравнению с оригинальной СУБД Apache Cassandra проект ScyllaDB обеспечивает увеличение скорости обработки запросов на каждом узле в 10 раз, в 99% случаев успевая обработать запрос менее чем за миллисекунду. Обработка большего числа запросов на одном узле позволяет существенно снизить затраты на кластер (при использовании AWS EC2 в 2.5 раз), в котором для достижения заданных характеристик потребуется на порядок меньше узлов, чем при создании кластера на основе классической СУБД Cassandra. Например, 4-узловой … Читать далее Выпуск СУБД ScyllaDB 3.0, совместимой с Apache Cassandra

Исследователь безопасности Willem de Groot обратил внимание на недоработку, напоминающую недавно выявленную уязвимость в реализации SCP. Подконтрольный злоумышленнику сервер MySQL может получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды «LOAD DATA LOCAL» файлов сервер может загрузить произвольные файлы с системы клиента, например, SSH-ключи или параметры криптокошельков. Как и в случае SCP, проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотека лишь выполняет переданную сервером команду без проверки её соответствия исходному запросу. Подразумевается, что имя файла, указанное в отправленной пользователем конструкции «LOAD DATA…LOCAL», совпадает с именем файла, указанным … Читать далее Скомпрометированный MySQL-сервер может получать произвольные локальные файлы клиентов

Состоялся релиз дистрибутива Parrot 4.5, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены три варианта iso-образов: с окружением MATE (полный 3.7 Гб и сокращённый 1.8 Гб) и с рабочим столом KDE (2 Гб). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt … Читать далее Выпуск дистрибутива Parrot 4.5 с подборкой программ для проверки безопасности

Подготовлен релиз дистрибутива Porteus Kiosk 4.8.0, основанного на Gentoo и предназначенного оснащения автономно работающих интернет-киосков, демонстрационных стендов и терминалов самообслуживания. Загрузочный образ дистрибутива занимает 93 Мб. Базовая сборка включает только минимальный набор компонентов, необходимых для запуска web-браузера (поддерживаются Firefox и Chrome), который урезан в своих возможностях для предотвращения нежелательной активности в системе (например, недопускается изменение настроек, заблокирована загрузка/установка приложений, открыт только доступ к выбранным страницам). Дополнительно предлагаются специализированные сборки Cloud для комфортной работы с web-приложениями (Google Apps, Jolicloud, OwnCloud, Dropbox) и ThinClient для работы в роли тонкого клиента (Citrix, RDP, NX, VNC и SSH) и Server для управления сетью киосков. … Читать далее Выпуск Porteus Kiosk 4.8.0, дистрибутива для оснащения интернет-киосков

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита ветки OpenSSL 1.1.1, сосредоточенного на анализе безопасности алгоритмов и кода, связанных с реализацией TLS 1.3, новых протоколов и переработанного генератора псевдослучайных чисел. Работа выполнена французской компанией QuarksLab, которая находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки, и уже привлекалась для аудита проектов OpenVPN и VeraCrypt. Проведение аудита было профинансировано компанией Private Internet Access и проектом DuckDuckGo. Аудит не выявил серьёзных проблем с безопасностью в OpenSSL 1.1.1 и реализации TLS 1.3. Код отмечен в целом как безопасный, быстрый и функциональный, но … Читать далее Завершён аудит реализации TLS 1.3 в OpenSSL 1.1.1

Доступен релиз Python-библиотеки для научных вычислений NumPy 1.16, ориентированной на работу с многомерными массивами и матрицами, а также предоставляющей большую коллекцию функций с реализацией различных алгоритмов, связанных с использованием матриц. NumPy является одной из наиболее востребованных библиотек, применяемых для научных расчётов. Код проекта написан на языке Python с применением оптимизаций на языке Си и распространяется под лицензией BSD. NumPy 1.16 объявлен как последний выпуск, в котором сохраняется поддержка Python 2.7. Новые возможности отныне будут добавляться только в ветку для Python 3, а поддержка Python 2 ограничится исправлением ошибок. Сопровождение ветки 1.16 будет обеспечено до 31 декабря 2019 года, после чего … Читать далее Доступен NumPy 1.16, последний релиз с поддержкой Python 2

Исследователь безопасности Willem de Groot обратил внимание на недоработку, напоминающую недавно выявленную уязвимость в реализацией SCP. Подконтрольный злоумышленнику сервер MySQL может получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды «LOAD DATA LOCAL» файлов, сервер может загрузить произвольные файлы с системы клиента, например, SSH-ключи или параметры криптокошельков. Как и в случае SCP проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотеке лишь выполняет переданную сервером команду без проверки соответствия исходному запросу. Подразумевается, что имя файла указанное в отправленной пользователем конструкции «LOAD DATA…LOCAL» совпадает с именем файла, указанным в … Читать далее Получение контроля за MySQL-сервером позволяет получить локальные файлы клиентов

1 февраля ряд DNS-сервисов и производителей DNS-серверов решили провести день корректной обработки запросов EDNS (DNS flag day). В этот же день организация ISC планирует выпустить новый значительный релиз DNS-сервера BIND 9.14, в который будут внесены изменения, нарушающие совместимость резолвера с некоторыми DNS-серверами, на которых используется старое ПО с некорректно реализованной обработкой запросов с расширенными флагами EDNS. EDNS определяет механизм расширения размера параметров DNS и позволяет добавлять в протокол новые флаги. Расширенные флаги кодируются в специальных RR-записях, что позволят сохранить обратную совместимость с классическим протоколом DNS (не поддерживающий EDNS сервер может ответить на запрос без учёта дополнительных флагов). EDNS был стандартизирован … Читать далее Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS

Разработчики Debian сообщили о достижении первой стадии заморозки пакетной базы Debian 10, в рамках которой прекращено выполнение «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing). 12 февраля 2019 года состоится мягкая заморозка пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. 12 марта будет применена полная заморозка перед релизом, при которой процесс переноса пакетов из unstable в testing будет полностью остановлен и начнётся этап интенсивного тестирования и исправления блокирующих релиз проблем. В настоящее время насчитывается 577 критических ошибок, блокирующих релиз (в момент … Читать далее Debian 10 "Buster" перешёл на первую стадию заморозки перед релизом

Сообщается об обнаружении следов взлома официального репозитория пакетов PEAR (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл «go-pear.phar», в котором содержится установочный комплект с пакетным менеджером «go-pear». Модификация была осуществлена 6 месяцев назад. Потенциально могут быть скомпрометированы системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера «go-pear» из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле рекомендуется сравнить хэши имеющегося у пользователя архива «go-pear.phar» с аналогичной версией архива, поставляемой через … Читать далее Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.15, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 февраля. Ключевые улучшения: Виджеты В виджете контроля заряда аккумулятора реализовано отображение состояния аккумулятора внешних Bluetooth-устройств (функция работоспособна только при установке свежих версий upower и bluez); В диалог настройки обоев рабочего стола встроены функции для загрузки и установки новых плагинов с реализацией динамических обоев; Улучшена читаемость имён файлов … Читать далее Тестирование рабочего стола KDE Plasma 5.15

В четвертую годовщину проекта, 28 ноября 2018 года, команда Devuan анонсировала свою первую конференцию, которая будет проведена в Амстердаме 5-7 апреля 2019 года. 18 января 2019, как и обещалось, стали известны подробности: Начало: пятница, 5 апреля 13:00 CEST Окончание: воскресенье, 7 апреля 16:00 CEST Место проведения: Амстердам Хаутхейвенс, Хапарандадам 7, 1013АК, Нидерланды (на карте) Презентации: PID1: приветствие и вступление Важность минимализма и модульности CI Galore: Devuan SDK и Docker Toaster Создание своего собственного дистрибутива Конкуренция с гигантами: как продать Devuan вашей компании ОС Maemo-Leste для мобильных телефонов N900 ОС DECODE для P2P Micro-Services через Tor Dowse: прозрачный прокси для контроля … Читать далее Определён график проведения и список докладов первой конференции Devuan

Доступен выпуск приложения Entangle 2.0, предоставляющего графический интерфейс для съёмки с привязкой (tethered shooting). Код программы написан на языке Си с использованием библиотеки GTK3+ и поставляется под лицензией GPLv3. Программа позволяет подключить цифровую фотокамеру к компьютеру посредством кабеля или беспроводного интерфейса и не трогая камеру полностью удалённо управлять процессом съёмки, сразу просматривая результат на экране компьютера и выбирая оптимальные параметры снимка для получения наилучшего качества (светочувствительность ISO, баланс белого, выдержка). Программа также предоставляет доступ к настройкам камеры (разрешение, формат изображения и т.д.) и поддерживает расширение функциональности через плагины (например, поддержка сервиса Photo Box, режим автоматической съёмки Eclipse Totality и пакетный … Читать далее Выпуск Entangle 2.0, программы для управления цифровыми камерами

Представлен релиз дистрибутива Endless OS 3.5.4, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Приложения распространяются в виде самодостаточных пакетов в формате Flatpak. Размер предлагаемых загрузочных образов составляет от 1.7 до 16 ГБ. Endless OS можно отнести к числу дистрибутивов, которые являются локомотивами для продвижения инноваций среди пользовательских Linux-систем. Пользовательский интерфейс Endless OS основан на значительно переработанном форке окружения GNOME. При этом разработчики Endless активно участвуют в разработке upstream-проектов и передают им свои наработки. Например, в выпуске GTK+ 3.22 около 9.8% всех изменений было подготовлено разработчиками Endless, а курирующая проект компания Endless … Читать далее Выпуск дистрибутива Endless OS 3.5.4