Началось общее голосование о системах инициализации в Debian

Проект Debian объявил о начале общего голосования (GR, general resolution) разработчиков проекта по вопросу поддержки нескольких систем инициализации, которое определит дальнейшую политику проекта в отношении привязки к systemd, поддержки альтернативных систем инициализации и взаимодействия с производными дистрибутивами, не использующими systemd. Голосование продлится до 27 декабря включительно, итоги будут подведены 28 декабря. Напомним, что в 2014 году технический комитет утвердил переход дистрибутива по умолчанию на systemd, но не выработал решения по отношению к поддержке нескольких систем инициализации (при голосование победил пункт, указывающий на неготовность комитета вынести решение по данному вопросу). Лидер комитета порекомендовал сопровождающим пакеты сохранить поддержку sysvinit в качестве альтернативной … Читать далее Началось общее голосование о системах инициализации в Debian

Выпуск web-фреймворка Django 3.0

Состоялся релиз web-фреймворка Django 3.0, написанного на языке Python и предназначенного для разработки веб-приложений. Ветка Django 3.0 отнесена к категории выпусков с обычным сроком поддержки и будет получать обновления до апреля 2021 года. LTS-ветка 2.22 будет поддерживаться до апреля 2022 года, а ветка 1.11 до апреля 2020 года. Поддержка ветки 2.1 прекращена. Ключевые улучшения: Предоставлена поддержка работы в асинхронном режиме с выполнением в форме ASGI-приложения. Программный интерфейс ASGI (Asynchronous Server Gateway Interface) разработан как замена WSGI, нацеленная на обеспечение взаимодействия серверов, фреймворков и приложений, поддерживающих работу в асинхронном режиме. Поддержка запуска с использованием WSGI сохранена, а связанный с асинхронным режимом … Читать далее Выпуск web-фреймворка Django 3.0

W3C придал WebAssembly статус рекомендованного стандарта

Консорциум W3C объявил о придании технологии WebAssembly статуса рекомендованного стандарта. WebAssembly предоставляет не зависящий от браузера универсальный низкоуровневый промежуточный код для выполнения приложений, скомпилированных из различных языков программирования. WebAssembly позиционируется как более перспективная и переносимая между браузерами технология создания высокопроизводительных web-приложений. WebAssembly может применяться для решения задач, требующих высокой производителости, например, кодирования видео, обработки звука, манипуляции с графикой и 3D, разработки игр, криптографических операций, математических вычислений и создания переносимых реализаций языков программирования. WebAssembly во многом напоминает Asm.js, но отличается тем, что является бинарным форматом, не завязанным на JavaScript. В WebAssembly не требуется применение сборщика мусора, так как применяется явное управление … Читать далее W3C придал WebAssembly статус рекомендованного стандарта

Выпуск игры NetHack 3.6.3

Спустя 6 месяцев разработки, команда разработчиков NetHack подготовила релиз легендарной roguelike-игры NetHack 3.6.3. Этот релиз содержит преимущественно исправления ошибок (более 190), а также более 22 улучшений игры, в том числе предложенных сообществом. В частности, по сравнению с предыдущим выпуском, существенно улучшена работа curses-интерфейса на всех платформах. Также улучшена работа в MS-DOS (в особенности на виртуальных машинах). Выпуск версии 3.6.3 является заключительным ветке 3.6 и открывает начало разработки ветки 3.7. Следующим крупным релизом ожидается 3.7.0, в котором планируется внедрение новых возможностей, а также чистка кодовой базы от кода для поддержки ряда устаревших платформ. Источник: http://www.opennet.ru/opennews/art.shtml?num=51987 Читать далее Выпуск игры NetHack 3.6.3

Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели

Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели. Проблема затрагивает Linux, FreeBSD, OpenBSD, Android, macOS, iOS и другие Unix-подобные системы, поддерживающие технику защиты от спуфинга rp_filter (reverse path filtering) для IPv4. Для IPv6 атака может быть совершена независимо от применения rp_filter. Метод позволяет осуществить подстановку пакетов на уровне TCP-соединений, проходящих внутри шифрованного туннеля, но не позволяет вклиниваться в соединения, применяющие дополнительные слои шифрования (например, TLS, HTTPS, SSH). Наиболее вероятной целью атаки является вмешательство в незашифрованные соединения HTTP, но не исключается и использование атаки для манипуляция с ответами DNS. Успешная подмена пакетов продемонстрирована для … Читать далее Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели

Релиз Proxmox VE 6.1, дистрибутива для организации работы виртуальных серверов

Состоялся релиз Proxmox Virtual Environment 6.1, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 776 Мб. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 6.1, дистрибутива для организации работы виртуальных серверов

Самый популярный пример Java-кода на StackOverflow оказался с ошибкой

Самый популярный пример Java-кода, опубликованного на StackOverflow, оказался с ошибкой, приводящей к выводу при определённых условиях неверного результата. Рассматриваемый код был размещён в 2010 году и накопил более тысячи рекомендаций, а также был скопирован во многие проекты и встречается в репозиториях на GitHub около 7 тысяч раз. Примечательно, что ошибку нашли не пользователи, копирующие данный код в свои проекты, а изначальный автор совета. Рассматриваемый код осуществлял преобразование байтового размера в читаемую форму, например 110592 преобразовывал в «110.6 kB» или «108.0 KiB». Код был предложен как оптимизированный при помощи логарифмов вариант ранее предложенного совета, в котором величина определялась на основе последовательного … Читать далее Самый популярный пример Java-кода на StackOverflow оказался с ошибкой

Выпуск пакетного фильтра nftables 0.9.3

Опубликован выпуск пакетного фильтра nftables 0.9.3, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.3 изменения включены в состав будущей ветки ядра Linux 5.5. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления … Читать далее Выпуск пакетного фильтра nftables 0.9.3

Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd

Компания Qualys выявила четыре уязвимости в OpenBSD, одна из которых позволяет удалённо подключиться без аутентификации к некоторым сетевым сервисам, а три остальные повысить свои привилегии в системе. В отчёте Qualys отмечена быстрая реакция разработчиков OpenBSD — все проблемы были устранены в OpenBSD 6.5 и OpenBSD 6.6 в течение 40 часов после приватного уведомления. Удалённо эксплуатируемая уязвимость вызвана ошибкой при организации вызова обработчика аутентификации в библиотеке libc, которая вызывает программу /usr/libexec/auth/login_style с передачей аргументов в командной строке. В том числе при вызове login_style при помощи опционального параметра «-s service» допускается передача названия протокола. В случае использования в начале имени пользователя символа … Читать далее Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd

Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях

Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях. За время существования платформы через HackerOne исследователям в сумме было выплачено 23 млн долларов за выявление уязвимостей в продуктах более 100 клиентов, среди которых Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон и ВМС США. Примечательно, что захват учётной записи стал возможен из-за человеческого фактора. Один из исследователей отправил на рассмотрение … Читать далее Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях

Выпуск дистрибутива Elementary OS 5.1 «Hera»

Представлен выпуск дистрибутива Elementary OS 5.1 «Hera», позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (1.47 Гб), доступные для архитектуры amd64 (при загрузке с сайта, для бесплатной загрузки в поле с суммой пожертвования необходимо ввести 0). При разработке оригинальных компонентов Еlementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и … Читать далее Выпуск дистрибутива Elementary OS 5.1 «Hera»

В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки

В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты «python3-dateutil» и «jeIlyfish«, которые были загружены одним автором olgired2017 и маскировались под популярные пакеты «dateutil» и «jellyfish» (отличается использованием символа «I» (i) вместо «l» (L) в названии). После установки указанных пакетов, на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время, проблемные пакеты уже удалены из каталога PyPI. Непосредственно вредоносный код присутствовал в пакете «jeIlyfish», а пакет «python3-dateutil» использовал его в качестве зависимости. Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (тайпсквоттинг). Вредоносный пакет «jeIlyfish» был загружен около года назад … Читать далее В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки

15 уязвимостей в USB-драйверах, поставляемых в ядре Linux

Андрей Коновалов из компании Google опубликовал отчёт о выявлении очередных 15 уязвимостей (CVE-2019-19523 — CVE-2019-19537) в USB-драйверах, предлагаемых в ядре Linux. Это третья порция проблем, найденных при проведении fuzzing-тестирования USB-стека в пакете syzkaller — ранее данный исследователь уже сообщал о наличии 29 уязвимостей. На этот раз в списке включены только уязвимости, вызванные обращением у уже освобождённым областям памяти (use-after-free) или приводящие к утечке данных из памяти ядра. Проблемы, которые могут использоваться для отказа в обслуживании в отчёт не включены. Уязвимости потенциально могут быть эксплуатируемы при подключении к компьютеру специально подготовленных USB-устройств. Исправления для всех упомянутых в отчёте проблем уже включены … Читать далее 15 уязвимостей в USB-драйверах, поставляемых в ядре Linux

Выпуск дисплейного сервера Mir 1.6

Представлен релиз дисплейного сервера Mir 1.6, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10/19.04 (PPA) и Fedora 29/30/31. Код проекта распространяется под лицензией GPLv2. В новом выпуске проведена оптимизация производительности кода, связанного с Wayland, и добавлена новая графическая … Читать далее Выпуск дисплейного сервера Mir 1.6

Выпуск qBittorrent 4.2

Представлен релиз торрент-клиента qBittorrent 4.2.0, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности. Среди возможностей qBittorrent: интегрированный поисковый движок, возможность подписки на RSS, поддержка многих BEP-расширений, удалённое управление через web-интерфейс, режим последовательной загрузки в заданном порядке, расширенные настройки для торрентов, пиров и треккеров, планировщик пропускной способности и IP-фильтр, интерфейс для создания торрентов, поддержка UPnP и NAT-PMP. В новой версии: Для хэширования паролей блокировки экрана и доступа к web-интерфейсу задействован алгоритм PBKDF2; Завершено преобразование пиктограмм в формат SVG; Добавлена возможность изменения стиля интерфейса при помощи таблиц стилей QSS; Добавлен диалог «Tracker … Читать далее Выпуск qBittorrent 4.2

Релиз дистрибутива Tails 4.1 и браузера Tor Browser 9.0.2

Сформирован релиз специализированного дистрибутива Tails 4.1 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 Гб. В новом выпуске Tails обновлены версии ядра Linux 5.3.9, Tor Browser 9.0.2, Enigmail 2.1.3 и Thunderbird 68.2.2. В качестве сервера ключей OpenPGP по умолчанию задействован keys.openpgp.org. Удалено дополнение TorBirdy, вместо которого применены патчи … Читать далее Релиз дистрибутива Tails 4.1 и браузера Tor Browser 9.0.2

Обновление рабочего стола Common Desktop Environment 2.3.1

Опубликован релиз классической среды рабочего стола CDE 2.3.1 (Common Desktop Environment). CDE был разработан в начале девяностых годов прошлого века совместными усилиями компаний Sun Microsystems, HP, IBM, DEC, SCO, Fujitsu и Hitachi, и на протяжении многих лет выступал в роли штатного графического окружения Solaris, HP-UX, IBM AIX, Digital UNIX и UnixWare. В 2012 году код CDE был открыт консорциумом The Open Group кода CDE 2.1 под лицензией LGPL. В состав исходных текстов CDE входит XDMCP-совместимый менеджер входа, менеджер пользовательских сеансов, оконный менеджер, панель CDE FrontPanel, менеджер рабочего стола, шина для обеспечения межпроцессного взаимодействия, инструментарий для рабочего стола, средства для разработки … Читать далее Обновление рабочего стола Common Desktop Environment 2.3.1

Продукты Avast и AVG удалены из каталога дополнений к Firefox из-за отправки персональных данных

Компания Mozilla удалила из каталога addons.mozilla.org (AMO) четыре дополнения компании Avast — Avast Online Security, AVG Online Security, Avast SafePrice и AVG SafePrice. Дополнения удалены из-за организации утечки персональных данных пользователей. Google пока никак не отреагировал на инцидент и дополнения остаются в каталоге Chrome App Store. В коде дополнений выявлены вставки для выгрузки на сайт uib.ff.avast.com профилей пользователей и детальных сведений об истории открытия страниц. Во вне передавалось значительно больше данных, чем необходимо для реализации заявленной функциональности дополнений для проверки безопасности (предупреждение об открытии вредоносных сайтов) и предоставления помощи при совершении online-покупок (сравнение цен, предоставление купонов и т.п.). Например, отправлялись … Читать далее Продукты Avast и AVG удалены из каталога дополнений к Firefox из-за отправки персональных данных

Релиз Firefox 71

Состоялся релиз web-браузера Firefox 71, а также мобильной версии Firefox 68.3 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 72, релиз которой намечен на 7 января (проект переходит на новый 4-недельный цикл разработки). Основные новшества: Предложен новый интерфейс страницы «about:config», который представляет собой открываемую внутри браузера служебную web-страницу, написанную на HTML, CSS и JavaScript. Элементы страницы можно произвольно выделять мышью (в том числе сразу несколько строк) и помещать в буфер обмена без применения контекстного меню. Верхняя строка поиска сохранена и расширена возможностью добавления новых переменных. Дополнительно … Читать далее Релиз Firefox 71

Microsoft развивает новый язык программирования на основе Rust

Компания Microsoft в рамках экспериментального проекта Verona развивает новый язык программирования, основанный на языке Rust и ориентированный на разработку защищённых приложений, не подверженных типовым проблемам с безопасностью. Исходные тексты текущих наработок, связанных с проектом, в ближайшее время планируется открыть под лицензией Apache 2.0. Рассматривается возможность использования развиваемого языка в том числе для переработки низкоуровневых компонентов Windows с целью блокирования потенциальных проблем, всплывающих при применении языков C и C++. Безопасность кода повышается за счёт автоматического управления памятью, которое избавит разработчиков от необходимости манипулирования указателями и защитит от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после … Читать далее Microsoft развивает новый язык программирования на основе Rust

Выпуск анонимной сети I2P 0.9.44

Представлен релиз I2P 0.9.44, реализации многослойной анонимной распределённой сети, работающей поверх обычного интернета, активно использующей сквозное (end-to-end) шифрование, гарантирующей анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. Отдельно развивается I2pd, реализация клиента I2P на языке C++. В новом выпуске I2P: Предложена начальная поддержка более надёжного и быстрого метода сквозного (end-to-end) шифрования, базирующегося на связке ECIES-X25519-AEAD-Ratchet вместо ElGamal/AES+SessionTag. Реализация пока предлагается только для экспериментов и … Читать далее Выпуск анонимной сети I2P 0.9.44