От изменения манифеста Chrome пострадают и дополнения для обеспечения безопасности и приватности

К обсуждению изменений в манифесте Chrome подключились участники других известных дополнений. Представители компаний F-Secure, Blockade.io, Privowny и Ermes Cyber Security заявили, что с проблемами столкнутся не только разработчики дополнений для блокирования рекламы, но и производители дополнений для защиты от вредоносного ПО, фишинга и шпионящей за пользователями активности, а также дополнений для родительского контроля и обеспечения приватности. Отмечается, что API declarativeNetRequest и заявленных лимитов недостаточно для реализации подобных дополнений. Кроме того, базы блокировки фишинга могут включать миллионы записей, а список Blockade содержит 250 тысяч записей, что никак не сочетается с лимитом в 30 тысяч правил. Компания Amnesty International подтвердила, что остающейся … Читать далее От изменения манифеста Chrome пострадают и дополнения для обеспечения безопасности и приватности

Новая редакция манифеста Chrome сделает невозможным использование uBlock Origin

Рэймонд Хилл (Raymond Hill), автор систем блокирования нежелательного контента uBlock Origin и uMatrix, предупредил о невозможности использования в браузере Chrome дополнения uBlock Origin в случае утверждения третьей версии манифеста Chrome. Манифест определяет перечень возможностей и ресурсов, предоставляемых дополнениям Chrome. В текущем черновом варианте третьей версии манифеста прекращена поддержка обработки API webRequest в блокирующем режиме и в качестве замены предложено использовать существенно более ограниченный API declarativeNetRequest. По мнению Рэймонда Хилла предложенного API недостаточно для обеспечения полноценной блокировки рекламы и в случае утверждения манифеста дополнения uBlock Origin и uMatrix не смогут выпускаться для Chrome. При этом изменение не повлияет на работу блокировщика … Читать далее Новая редакция манифеста Chrome сделает невозможным использование uBlock Origin

Стабильный релиз Wine 4.0

После года разработки и 28 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API — Wine 4.0, который вобрал в себя более 6000 изменений. Из ключевых достижений новой версии отмечается поддержка графических API Direct3D 12 и Vulkan, включение по умолчанию обособленного потока обработки команд Direct3D, инфраструктура для настройки отображения элементов интерфейса с учётом DPI, поддержка игровых контроллеров, реализация корректной работы на экранах с высокой плотностью пикселей (High-DPI) для платформы Android, интерфейс Windows Media Player, поддержка запуска задач по расписанию, прекращение встроенной поддержки исполняемых файлов DOS. В Wine подтверждена полноценная работа 4737 программ для Windows, еще 4045 программ прекрасно работают при … Читать далее Стабильный релиз Wine 4.0

Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

Опубликован релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений и устранены три уязвимости. Наиболее заметные изменения: Устранена уязвимость CVE-2018-17199 в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie); Устранена DoS-уязвимость CVE-2018-17189 в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов; Устранена DoS-уязвимость CVE-2019-0190 в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 … Читать далее Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

Опубликован релиз HTTP-сервера Apache 2.4.38, в котором представлено 14 изменений и устранены три уязвимости. Наиболее заметные изменения: Устранена уязвимость CVE-2018-17199 в модуле mod_session, позволяющая продолжить обработку сессионных Cookie даже после истечения времени их жизни (например, уязвимость можно использовать для повторного входа с использованием перехваченной когда-то устаревшей Cookie); Устранена DoS-уязвимость CVE-2018-17189 в модуле mod_http2, позволяющая вызвать отказ в обслуживании путём исчерпания лимита на число соединений через отправку на сервер большого числа очень медленно передаваемых больших запросов; Устранена DoS-уязвимость CVE-2019-0190 в модуле mod_ssl, позволяющая заблокировать работу, вызвав бесконечное зацикливание через отправку специально оформленного запроса на повторное согласование параметров TLS-соединения (версия TLS 1.3 … Читать далее Релиз http-сервера Apache 2.4.38 с объявлением стабильным модуля mod_lua

Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет

В пакетном менеджере APT выявлена уязвимость (CVE-2019-3462), позволяющая злоумышленнику инициировать подмену устанавливаемого пакета, если атакующий получил контроль за зеркалом репозитория или способен вклиниться в транзитный трафик между пользователем и репозиторием (MITM-атака). Проблему выявил исследователь безопасности Max Justicz, известный обнаружением уязвимостей в пакетном менеджере APK (Alpine) и репозиториях Packagist, NPM и RubyGems. Проблема вызвана некорректной проверкой полей в коде обработки HTTP-редиректов, что позволяет атакующему подставить собственное содержимое в данные, передаваемые в рамках HTTP-сеанса (по умолчанию Debian и Ubuntu используют при обращении к репозиторию HTTP, а не HTTPS, полагая, что достаточно цифровой подписи метаданных и проверки соответствия размера пакета). Выявленная уязвимость позволяет … Читать далее Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет

Выпуск Ubuntu Core 18

Компания Canonial представила релиз Ubuntu Core 18, компактного варианта дистрибутива Ubuntu, адаптированного для применения на устройствах интернета вещей (IoT), контейнерах, потребительском и промышленном оборудовании. Ubuntu Core поставляется в форме неделимого монолитного образа базовой системы, в котором не применяется разбивка на отдельные deb-пакеты. Образы Ubuntu Core 18, состав которых синхронизирован с пакетной базой Ubuntu 18.04, подготовлены для систем i386, amd64, ARM (Raspberry Pi 2, Samsung Artik 5, Samsung Artik 10, Orange Pi Zero) и ARM64 (Qualcomm Dragonboard 410c, Raspberry Pi 3). Размер образа 230-260 Мб в зависимости от архитектуры. Заявленное время поддержки Ubuntu Core 18 — 10 лет. Ubuntu Core служит … Читать далее Выпуск Ubuntu Core 18

Выпуск СУБД ScyllaDB 3.0, совместимой с Apache Cassandra

Представлен релиз СУБД ScyllaDB, позиционируемой как полностью совместимый аналог СУБД Apache Cassandra, переписанный с Java на C++ и демонстрирующий существенное увеличение производительности. Код проекта распространяется под лицензией AGPLv3. По сравнению с оригинальной СУБД Apache Cassandra проект ScyllaDB обеспечивает увеличение скорости обработки запросов на каждом узле в 10 раз, в 99% случаев успевая обработать запрос менее чем за миллисекунду. Обработка большего числа запросов на одном узле позволяет существенно снизить затраты на кластер (при использовании AWS EC2 в 2.5 раз), в котором для достижения заданных характеристик потребуется на порядок меньше узлов, чем при создании кластера на основе классической СУБД Cassandra. Например, 4-узловой … Читать далее Выпуск СУБД ScyllaDB 3.0, совместимой с Apache Cassandra

Скомпрометированный MySQL-сервер может получать произвольные локальные файлы клиентов

Исследователь безопасности Willem de Groot обратил внимание на недоработку, напоминающую недавно выявленную уязвимость в реализации SCP. Подконтрольный злоумышленнику сервер MySQL может получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды «LOAD DATA LOCAL» файлов сервер может загрузить произвольные файлы с системы клиента, например, SSH-ключи или параметры криптокошельков. Как и в случае SCP, проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотека лишь выполняет переданную сервером команду без проверки её соответствия исходному запросу. Подразумевается, что имя файла, указанное в отправленной пользователем конструкции «LOAD DATA…LOCAL», совпадает с именем файла, указанным … Читать далее Скомпрометированный MySQL-сервер может получать произвольные локальные файлы клиентов

Выпуск дистрибутива Parrot 4.5 с подборкой программ для проверки безопасности

Состоялся релиз дистрибутива Parrot 4.5, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены три варианта iso-образов: с окружением MATE (полный 3.7 Гб и сокращённый 1.8 Гб) и с рабочим столом KDE (2 Гб). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt … Читать далее Выпуск дистрибутива Parrot 4.5 с подборкой программ для проверки безопасности

Выпуск Porteus Kiosk 4.8.0, дистрибутива для оснащения интернет-киосков

Подготовлен релиз дистрибутива Porteus Kiosk 4.8.0, основанного на Gentoo и предназначенного оснащения автономно работающих интернет-киосков, демонстрационных стендов и терминалов самообслуживания. Загрузочный образ дистрибутива занимает 93 Мб. Базовая сборка включает только минимальный набор компонентов, необходимых для запуска web-браузера (поддерживаются Firefox и Chrome), который урезан в своих возможностях для предотвращения нежелательной активности в системе (например, недопускается изменение настроек, заблокирована загрузка/установка приложений, открыт только доступ к выбранным страницам). Дополнительно предлагаются специализированные сборки Cloud для комфортной работы с web-приложениями (Google Apps, Jolicloud, OwnCloud, Dropbox) и ThinClient для работы в роли тонкого клиента (Citrix, RDP, NX, VNC и SSH) и Server для управления сетью киосков. … Читать далее Выпуск Porteus Kiosk 4.8.0, дистрибутива для оснащения интернет-киосков

Завершён аудит реализации TLS 1.3 в OpenSSL 1.1.1

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита ветки OpenSSL 1.1.1, сосредоточенного на анализе безопасности алгоритмов и кода, связанных с реализацией TLS 1.3, новых протоколов и переработанного генератора псевдослучайных чисел. Работа выполнена французской компанией QuarksLab, которая находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки, и уже привлекалась для аудита проектов OpenVPN и VeraCrypt. Проведение аудита было профинансировано компанией Private Internet Access и проектом DuckDuckGo. Аудит не выявил серьёзных проблем с безопасностью в OpenSSL 1.1.1 и реализации TLS 1.3. Код отмечен в целом как безопасный, быстрый и функциональный, но … Читать далее Завершён аудит реализации TLS 1.3 в OpenSSL 1.1.1

Доступен NumPy 1.16, последний релиз с поддержкой Python 2

Доступен релиз Python-библиотеки для научных вычислений NumPy 1.16, ориентированной на работу с многомерными массивами и матрицами, а также предоставляющей большую коллекцию функций с реализацией различных алгоритмов, связанных с использованием матриц. NumPy является одной из наиболее востребованных библиотек, применяемых для научных расчётов. Код проекта написан на языке Python с применением оптимизаций на языке Си и распространяется под лицензией BSD. NumPy 1.16 объявлен как последний выпуск, в котором сохраняется поддержка Python 2.7. Новые возможности отныне будут добавляться только в ветку для Python 3, а поддержка Python 2 ограничится исправлением ошибок. Сопровождение ветки 1.16 будет обеспечено до 31 декабря 2019 года, после чего … Читать далее Доступен NumPy 1.16, последний релиз с поддержкой Python 2

Получение контроля за MySQL-сервером позволяет получить локальные файлы клиентов

Исследователь безопасности Willem de Groot обратил внимание на недоработку, напоминающую недавно выявленную уязвимость в реализацией SCP. Подконтрольный злоумышленнику сервер MySQL может получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды «LOAD DATA LOCAL» файлов, сервер может загрузить произвольные файлы с системы клиента, например, SSH-ключи или параметры криптокошельков. Как и в случае SCP проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотеке лишь выполняет переданную сервером команду без проверки соответствия исходному запросу. Подразумевается, что имя файла указанное в отправленной пользователем конструкции «LOAD DATA…LOCAL» совпадает с именем файла, указанным в … Читать далее Получение контроля за MySQL-сервером позволяет получить локальные файлы клиентов

Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS

1 февраля ряд DNS-сервисов и производителей DNS-серверов решили провести день корректной обработки запросов EDNS (DNS flag day). В этот же день организация ISC планирует выпустить новый значительный релиз DNS-сервера BIND 9.14, в который будут внесены изменения, нарушающие совместимость резолвера с некоторыми DNS-серверами, на которых используется старое ПО с некорректно реализованной обработкой запросов с расширенными флагами EDNS. EDNS определяет механизм расширения размера параметров DNS и позволяет добавлять в протокол новые флаги. Расширенные флаги кодируются в специальных RR-записях, что позволят сохранить обратную совместимость с классическим протоколом DNS (не поддерживающий EDNS сервер может ответить на запрос без учёта дополнительных флагов). EDNS был стандартизирован … Читать далее Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS

Debian 10 "Buster" перешёл на первую стадию заморозки перед релизом

Разработчики Debian сообщили о достижении первой стадии заморозки пакетной базы Debian 10, в рамках которой прекращено выполнение «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing). 12 февраля 2019 года состоится мягкая заморозка пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. 12 марта будет применена полная заморозка перед релизом, при которой процесс переноса пакетов из unstable в testing будет полностью остановлен и начнётся этап интенсивного тестирования и исправления блокирующих релиз проблем. В настоящее время насчитывается 577 критических ошибок, блокирующих релиз (в момент … Читать далее Debian 10 "Buster" перешёл на первую стадию заморозки перед релизом

Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера

Сообщается об обнаружении следов взлома официального репозитория пакетов PEAR (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл «go-pear.phar», в котором содержится установочный комплект с пакетным менеджером «go-pear». Модификация была осуществлена 6 месяцев назад. Потенциально могут быть скомпрометированы системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера «go-pear» из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле рекомендуется сравнить хэши имеющегося у пользователя архива «go-pear.phar» с аналогичной версией архива, поставляемой через … Читать далее Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера

Тестирование рабочего стола KDE Plasma 5.15

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.15, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 февраля. Ключевые улучшения: Виджеты В виджете контроля заряда аккумулятора реализовано отображение состояния аккумулятора внешних Bluetooth-устройств (функция работоспособна только при установке свежих версий upower и bluez); В диалог настройки обоев рабочего стола встроены функции для загрузки и установки новых плагинов с реализацией динамических обоев; Улучшена читаемость имён файлов … Читать далее Тестирование рабочего стола KDE Plasma 5.15

Определён график проведения и список докладов первой конференции Devuan

В четвертую годовщину проекта, 28 ноября 2018 года, команда Devuan анонсировала свою первую конференцию, которая будет проведена в Амстердаме 5-7 апреля 2019 года. 18 января 2019, как и обещалось, стали известны подробности: Начало: пятница, 5 апреля 13:00 CEST Окончание: воскресенье, 7 апреля 16:00 CEST Место проведения: Амстердам Хаутхейвенс, Хапарандадам 7, 1013АК, Нидерланды (на карте) Презентации: PID1: приветствие и вступление Важность минимализма и модульности CI Galore: Devuan SDK и Docker Toaster Создание своего собственного дистрибутива Конкуренция с гигантами: как продать Devuan вашей компании ОС Maemo-Leste для мобильных телефонов N900 ОС DECODE для P2P Micro-Services через Tor Dowse: прозрачный прокси для контроля … Читать далее Определён график проведения и список докладов первой конференции Devuan

Выпуск Entangle 2.0, программы для управления цифровыми камерами

Доступен выпуск приложения Entangle 2.0, предоставляющего графический интерфейс для съёмки с привязкой (tethered shooting). Код программы написан на языке Си с использованием библиотеки GTK3+ и поставляется под лицензией GPLv3. Программа позволяет подключить цифровую фотокамеру к компьютеру посредством кабеля или беспроводного интерфейса и не трогая камеру полностью удалённо управлять процессом съёмки, сразу просматривая результат на экране компьютера и выбирая оптимальные параметры снимка для получения наилучшего качества (светочувствительность ISO, баланс белого, выдержка). Программа также предоставляет доступ к настройкам камеры (разрешение, формат изображения и т.д.) и поддерживает расширение функциональности через плагины (например, поддержка сервиса Photo Box, режим автоматической съёмки Eclipse Totality и пакетный … Читать далее Выпуск Entangle 2.0, программы для управления цифровыми камерами

Выпуск дистрибутива Endless OS 3.5.4

Представлен релиз дистрибутива Endless OS 3.5.4, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Приложения распространяются в виде самодостаточных пакетов в формате Flatpak. Размер предлагаемых загрузочных образов составляет от 1.7 до 16 ГБ. Endless OS можно отнести к числу дистрибутивов, которые являются локомотивами для продвижения инноваций среди пользовательских Linux-систем. Пользовательский интерфейс Endless OS основан на значительно переработанном форке окружения GNOME. При этом разработчики Endless активно участвуют в разработке upstream-проектов и передают им свои наработки. Например, в выпуске GTK+ 3.22 около 9.8% всех изменений было подготовлено разработчиками Endless, а курирующая проект компания Endless … Читать далее Выпуск дистрибутива Endless OS 3.5.4