Разработчики Mozilla предложили пользователям принять участие в тестировании функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). После успешного эксперимента с включением DoH в ночных сборках, решено протестировать данную функциональность в бета-выпусках Firefox. В конце этой недели части пользователей Firefox Beta из США будет предложено активировать обращение к DNS через HTTPS (при нежелании принимать участие в тестировании пользователь сможет отказаться). В процессе тестирования DoH в ночных сборках существенное ускорение отклика было замечено только участниками с медленными каналами связи,в то время как у большинства пользователей наблюдалось незначительное снижение производительности. Тем не менее эксперимент был признан удачным, так как польза от … Читать далее Mozilla тестирует DNS поверх HTTPS и применение GPU для отрисовки

Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, добавившие в Kodi репозитории Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющем майнинг криптовалюты. Первые вредоносные изменения были добавлены в репозитории ещё в декабре 2017 года и январе 2018 года. Репозитории Bubbles, Gaia и XvBMC в основном использовались для распространения спорных дополнений, предоставляющих доступ к защищённому контенту и платным кабельным/IPTV каналам. В настоящее время все проблемные репозитории уже закрыты, после инициированных антипиратской группой BREIN судебных разбирательств, касающихся нарушения авторских прав. Атака производилась через манипуляцию с популярным дополнением script.module.simplejson, которое используется во … Читать далее Атака на пользователей Kodi для скрытого майнинга криптовалюты

Организация The Document Foundation объявила о выходе LibreOffice 6.1.1, первого корректирующего выпуска из семейства LibreOffice 6.1 «fresh». Версия 6.1.1 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать одновременно сформированный выпуск LibreOffice 6.0.6 «still». Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows. Обновление включает только исправление ошибок. В частности, в новой версии устранено 124 проблемы (RC1, RC2). Источник. Читать далее Обновление LibreOffice 6.1.1

Доступен релиз проекта VeraCrypt 1.23, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Код VeraCrypt поставляется под лицензией Apache 2.0. В новой версии в основном проведена работа по исправлению ошибок, например, решена проблема с крахом в окружении Lubuntu 16.04. Из улучшений можно отметить: В диалог … Читать далее Релиз VeraCrypt 1.23, форка TrueCrypt

Доступен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF — Ghostscript 9.25, в котором продолжено исправление уязвимостей. После публикации выпуска Ghostscript 9.24, в котором были устранены критические уязвимости, исследователи безопасности пришли к выводу, что реализованный метод блокирования уязвимостей не охватывает все возможные векторы атаки. В частности, выявлено три новых варианта (CVE-2018-16802) эксплуатации уязвимости CVE-2018-15909, позволяющих через манипуляцию с инструкцией «pipe» в PostScript-файле добиться исполнения кода атакующего. Источник. Читать далее В Ghostscript 9.25 продолжено исправление опасных уязвимостей

После шести месяцев разработки подготовлен релиз Samba 4.9.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.9: Реализован новый экспериментальный бэкенд LDB на базе библиотеки LMDB, позволяющих создавать БД больше 4 Гб. Для включения нового бэкенда следует использовать опцию «—backend-store=mdb». Для сборки требуется наличие версии lmdb выше 0.9.16; Добавлена поддержка объектов установки паролей (PSO — … Читать далее Выпуск Samba 4.9.0

В рамках проекта Rac GUI подготовлен графический интерфейс, позволяющий полноценно управлять кластером серверов «1С:Предприятие» и размещаемыми в нём информационными базами. Функциональность повторяет родную оснастку от 1С. В процессе работы используется консольная утилита rac и сервис ras, поставляемые в пакете 1c-server. Работа проверена в Linux и Windows. Код написан на Tcl/Tk и распространяется под лицензией GPL. Сборки доступны в форматах RPM, DEB и EXE. Источник. Читать далее Rac GUI

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 2.2.1. Сборки подготовлены для устройств Jolla 1, Jolla C и Sony Xperia X, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт через неделю). Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, … Читать далее Выпуск мобильной ОС Sailfish 2.2.1

Facebook перевёл в разряд отрытых продуктов LogDevice, распределённую систему хранения последовательно поступающих наборов данных, таких как логи, данные мониторинга, сведения об изменении конфигурации и потоки информации о событиях. Система ориентирована на надёжное и отказоустойчивое хранение логов, обеспечивает сохранение порядка поступления записей и может масштабироваться для обработки миллионов разных логов в одном кластере хранения с интенсивностью поступления данных в несколько гигабайт в секунду. Код написан на языке С++ и опубликован под лицензией BSD. LogDevice может адаптироваться для различных видов нагрузки. Например, может использоваться для сохранения потоков событий от особо важных подсистем, гарантируя целостность всей поступающей информации и минимальные задержки на обработку … Читать далее Facebook открыл код распределённой системы хранения LogDevice

В поставляемом в составе ядра Linux гипервизоре KVM выявлена уязвимость (CVE-2018-10853), позволяющая непривилегированному пользователю гостевой системы выполнить код с правами ядра в данной гостевой системе. Проблема вызвана ошибкой в коде эмуляции инструкций sgdt/sidt/fxsave/fxrstor, в котором не выполнялась проверка текущего уровня привилегий, что давало возможность выполнения данных инструкций обычным пользователем для повышения полномочий внутри гостевой системы. Проблема проявляется начиная с ядра 4.10. Патч с исправлением уже принят в состав ядра Linux. Обновления пакетов выпущены для Debian, SUSE, openSUSE, Ubuntu и Fedora. Ядра из состава RHEL проблеме не подвержены. Дополнительно можно упомянуть недавно выявленную уязвимость (CVE-2018-14619) в криптоподсистеме ядра, которая потенциально позволяет … Читать далее Уязвимость в гипервизоре KVM

Доступны исходные тексты третьего тестового (milestone) выпуска мобильной платформы Tizen 4.0. Выпуск ориентирован на ознакомление разработчиков с новыми возможностями платформы. Проект развивается под покровительством организации Linux Foundation, последнее время в основном силами компании Samsung. Платформа продолжает развитие проектов MeeGo и LiMO, и отличается предоставлением возможности использования Web API и web-технологий (HTML5/JavaScript/CSS) для создания мобильных приложений. Графическое окружение построено на основе протокола Wayland и наработках проекта Enlightenment, для управления сервисами применяется Systemd. Изменения по сравнению со вторым тестовым выпуском Tizen 4.0 (напомним, что недавно также вышел первый тестовый выпуск Tizen 5.0): В набор для мобильных устройств добавлен новый фреймворк TIDL (Tizen … Читать далее Выпуск мобильной платформы Tizen 4.0m3 и среды разработки Tizen Studio 2.5

Состоялся выпуск новой стабильной ветки WebKitGTK+ 2.22.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: Новый JavaScriptCore GLib API; В мультимедийный бэкенд GStreamer добавлена поддержка API playbin3; В API WebDriver добавлены команды для расширенного взаимодействия с пользователем; Предлагаемая по умолчанию реализация меню переведена на использование GtkTreeView. Источник. Читать далее Релиз браузерного движка WebKitGTK+ 2.22.0

Подготовлен релиз операционной системы NetBSD 7.2, который рекомендован для пользователей ветки NetBSD 7, которые по тем или иным причинам не могут перейти на NetBSD 8.0. Для загрузки подготовлены установочные образы размером 396 Мб. Релиз NetBSD 7.2 официально доступен в сборках для 58 системных архитектур и 16 различных семейств CPU. Выпуск NetBSD 7.2 включает ряд улучшений, некоторые из которых были бэкпортированных из NetBSD 8.0: Добавлен драйвер xhci с поддержкой USB 3.0; Появилась поддержка платы Raspberry Pi 3; Улучшенная подсистема эмуляции Linux, обеспечена эмуляция системного вызова pselect6; Решены проблемы с бинарной совместимостью с исполняемыми файлами, собранными для устаревших версий NetBSD; Новый драйвер … Читать далее Релиз операционной системы NetBSD 7.2

Подготовлен выпуск новой стабильной ветки многоплатформенного тулкита для создания графического интерфейса пользователя — GTK+ 3.24.0, сформированный после двух лет существования ветки 3.22 и применения эмбарго на формирование значительных релизов GTK 3.x, вносящих изменения на уровне API. При разработке GTK+ 3.24 работа в основном была сосредоточена на точечном расширении API без нарушения обратной совместимости, что позволяет использовать GTK+ 3.24 в качестве замены GTK+ 3.22. Сопровождение отныне переключено на ветку GTK+ 3.24.x, а корректирующие выпуски GTK+ 3.22.x больше выпускаться не будут (дистрибутивам рекомендован переход на GTK+ 3.24). GTK+ 3.24 станет последним выпуском ветки GTK+ 3, что символично, так как GTK+ 2.24 был … Читать далее Выпуск графического тулкита GTK+ 3.24

Доступен релиз панели Dash to Dock 64, которая выполнена в виде расширения к оболочке GNOME Shell. На основе Dash to Dock построена панель Ubuntu Dock, которая поставляется в составе Ubuntu вместо оболочки Unity. Ubuntu Dock главным образом отличается настройками по умолчанию и необходимостью использования иного имени для организации обновления с учётом специфики поставки через основной репозиторий Ubuntu, а разработка функциональных изменений производится в рамках основного проекта Dash to Dock. В новой версии: Обеспечена поддержка пользовательской оболочки GNOME Shell 3.30 (релиз GNOME 3.30 запланирован на завтра); Добавлены CSS-классы для изменения прозрачности; В appIcons задействован формат «.format», упрощающий создание переводов на различные … Читать далее Выпуск панели Dash to Dock 64

Компания Artifex Software выпустила релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF — Ghostscript 9.24. Ghostscript позволяет обрабатывать как язык Postscript, так и документы PDF, переводить их в растровые форматы для показа на экране или для вывода на печать на принтерах без поддержки Postscript. Код проекта распространяется под лицензией AGPLv3, а содержимое каталога CMap по специальной лицензии Adobe. В новой версии проведена работа по усилению безопасности и устранена большая порция разноплановых уязвимостей. Наиболее опасной из решённых проблем является возможность (CVE-2018-15908) обхода ограничений sandbox-изоляции, применяемой при запуске в режиме «-dSAFER«. Указанная узявимость позволяет организовать выполнение … Читать далее Выпуск Ghostscript 9.24 с исправлением уязвимостей, эксплуатируемых через ImageMagick, Evince и Nautilus

Депутаты Европарламента проголосовали за противоречивые статьи 11 и 13. Самой критичной из них является 13 статья, в которой говорится, что технологические платформы должны фильтровать всё, что люди публикуют, и на этапе загрузки проверять размещаемые материалы на предмет потенциального нарушения авторских прав. Противники принятия новых правил предупреждают, что интернет-компании заставят внедрить строгие автоматические алгоритмы, через которые должен пройти контент, прежде чем он будет опубликован на таких платформах, как Twitter и Facebook. Алгоритмы могут отвергнуть все, что подпадает под реализованные в фильтрах шаблоны, что может привести к потенциальному запрету мемов, которые, например, используют кадры из фильмов. В изначально предложенном варианте, правила распространялись … Читать далее Европарламент утвердил новые правила авторского права, вводящие упреждающую фильтрацию контента

Чешский исследователь безопасности Владимир Смитка (Vladimír Smitka) провёл сканирование около 320 млн доменов и выявил, что на 390 тысячах сайтов доступны для загрузки каталоги «.git», которые по недосмотру выставили в публичное пространство без ограничения доступа. В подобных каталогах можно обнаружить закрытую информацию, в некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать их для поиска уязвимостей), настройки, а также пароли и ключи доступа к СУБД, API и облачным сервисам. Во многих случаях прямое обращение к каталогу «.git/» выдавало 403 ошибку, но ошибка была вызвана отсутствием index.html и при прямом … Читать далее Около 390 тысяч сайтов оставили открытыми каталоги .git с кодом

Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, устранённой в апрельском обновлении MikroTikOS 6.42.1. Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации. По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью. Многие из этих устройств уже атакованы. Например, на более чем 7500 устройствах были активированы настройки перехвата пакетов и зеркалирования перехваченного трафика с использованием протокола TZSP. Трафик отправлялся на один из девяти внешних IP-адресов с использованием выборочного отфильтровывания запросов … Читать далее Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика

Состоялся релиз основного эталонного компилятора DMD 2.082.0, который поддерживает системы GNU/Linux, Windows, macOS и FreeBSD. Язык D использует статическую типизацию, обладает синтаксисом, схожим с C/C++, и обеспечивает производительность компилируемых языков, при этом заимствуя некоторые полезные возможности динамических языков в области эффективности разработки и обеспечения безопасности. Например, предоставляется поддержка ассоциативных массивов, косвенное определение типов, автоматическое управление памятью, средства параллельного программирования, опциональный сборщик мусора, система шаблонов, компоненты для метапрограммирования, возможность использовать библиотеки на языке C, а также некоторые библиотеки на C++ и Objective-C. В новой версии: Расширены возможности пакетного менеджера DUB: улучшена обработка зависимостей, добавлена поддержка переменных в настройках сборки и убрана … Читать далее Вышел компилятор языка D 2.082

Опубликован новый выпуск комплекса программ для автоматизации торговли, налогового и бухгалтерского учета iceB 19.0 и графической оболочки (GTK+) iceBw 14.0. Комплекс распространяется в рамках лицензии GPLv2 и позволяет работать в многопользовательском режиме как по терминальной технологии, так и в технологии «клиент-сервер», в качестве СУБД используется MySQL. Готовые установочные пакеты подготовлены для Ubuntu и Debian. Среди поддерживаемых подсистем: Главная книга (оборотный баланс, журналы-ордера, сальдо, акты сверки и т.п.), Материальный учёт, Платёжные документы, Заработная плата, Учёт основных средств, Учёт услуг, Учёт кассовых ордеров, Учёт командировочных расходов, Учёт путевых листов, Реестр налоговых накладных, Учёт доверенностей. В новой версии в подсистеме «Заработная плата» реализовано … Читать далее Обновление свободной бухгалтерской системы iceB 19.0