Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.22, в котором отмечено 9 исправлений. В новой версии: В дополнениях для гостевых систем с Linux по умолчанию отключено 3D-ускорение из-за проблем с запуском окружений на базе Wayland; Обеспечена поддержка ядра Linux 4.19 и устранены проблемы с пересборкой модулей для новых ядер в гостевых системах с дистрибутивами на базе пакетного менеджера RPM; Устранены ошибки при пересборке файлов initrd с использованием dracut на системах RHEL 6; Устранено появившееся в выпуске 5.2.20 регрессивное изменение, из-за которого перестал запоминаться размер экрана после завершения работы или перезапуска гостевой системы; Исправлена ошибка в бэкенде Core Audio, приводившая … Читать далее Обновление VirtualBox 5.2.22

Компания NVIDIA представила первый выпуск новой стабильной ветки проприетарного драйвера NVIDIA 415.13. Драйвер доступен для Linux (ARM, x86_64), FreeBSD (x86_64) и Solaris (x86_64). Начиная с ветки 396.x выпуск 32-разрядных драйверов прекращён и поддержка новых GPU теперь осуществляться только в 64-разрядных драйверах. Основные новшества: Добавлена поддержка GPU Quadro RTX 4000 и Tesla T4; Улучшен внешний вид и расширена функциональность панели управления nvidia-settings, при её масштабировании до маленького размера. Налажено корректное отображение пиктограмм при использовании тем оформления GTK+; Решена проблема, приводящая к краху Wine, а также устранены крахи X-сервера, проявляющиеся при запуске Vulkan-приложений с включенным UBB (Unified Back Buffer) и при загрузке … Читать далее Выпуск проприетарного драйвера NVIDIA 415.13

Компания Samsung объявила о начале тестирования Linux-окружения, которое можно использовать для формирования полноценного рабочего стола, при подключении смартфона к стационарному монитору, клавиатуре и мыши при помощи адаптера DeX или при подключении клавиатуры и мыши к планшету. Окружение основано на Ubuntu и подготовлено совместно c компанией Canonical. Технология DeX поддерживается для устройств Galaxy S8/S8+, Note8, S9/S9+, Note9 и Tab S4. В качестве основного применения Linux-окружения рассматривается предоставление переносимой среды для разработчиков приложений — пользователь получает возможность установить на смартфон полноценное окружение для разработки, доступное в любой момент и в любом месте. Находясь в дороге разработчик сможет начать решать поставленную задачу с … Читать далее Samsung опубликовал Linux-окружение для смартфонов и планшетов с адаптером DeX

Объявлено о закрытии свободного проекта Manuel Bastioni Laboratory, разрабатывающего редактор для создания и анимации 3D-персонажей. В качестве причины закрытия называется потеря мотивации, вызванная почти полным отсутствием поддержки проекта со стороны пользователей. Проект разрабатывался с 2016 года и был эффективным инструментом по быстрому созданию персонажей различной направленности. Проект поставлялся в форме дополнения к системе 3D-моделирования Blender. Источник. Читать далее Свободный проект Manuel Bastioni Laboratory закрывается

После трёх лет разработки опубликован набор спецификаций OpenMP 5.0 (Open Multi-Processing), определяющих API и способы применения методов параллельного программирования для языков Си, Си++ и Фортран на многоядерных и гибридных (CPU+GPU/DSP) системах с общей памятью и блоками векторизации (SIMD). Начальная реализация OpenMP 5.0 уже включена в кодовую базу GCC, на основе которой развивается ветка GCC 9. Отдельные элементы OpenMP 5.0 также будут включены в следующий выпуск LLVM/Clang 8.0. Основные новшества OpenMP 5.0: Полная поддержка специализированных аппаратных ускорителей. В том числе реализованы: Механизмы, использующие унифицированную разделяемую память между хост-системой и устройствами сопроцессора; Возможность использования специфичных для определённых устройств реализаций функций; Улучшенное управление … Читать далее Опубликован стандарт параллельного программирования OpenMP 5.0

GitHub сообщил о преодолении рубежа в 100 млн репозиториев. Для сравнения год назад на GitHub было размещено 67 млн репозиториев, а два года назад 19.4 млн. В настоящее время в среднем каждую секунду создаётся 1.6 новых репозиториев. Число пользователей GitHub достигло 31 млн (год назад было 24 млн), а организаций — 2.1 млн (год назад — 1.5 млн). За год было совершено около 1.1 миллиарда коммитов и 67 млн pull-запросов. Общее число pull-запросов за всю историю существования GitHub достигло значения в 200 млн. Репозитрием с самым большим числом участников признан Visual Studio Code, развиваемый компанией Microsoft. Данный репозиторий насчитывает 19 … Читать далее GitHub преодолел рубеж в 100 млн репозиториев

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 11.1, 10.6, 9.6.11, 9.5.15, 9.4.20 и 9.3.25, в которых представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.4 продлится до декабря 2019 г., 9.5 до января 2021 г., 9.6 — до сентября 2021 года, 10 — до октября 2022 года, 11 — до ноября 2023 года. Поддержка ветки 9.3 прекращена, 9.3.25 стал последним выпуском. В новых версиях устранены накопившиеся ошибки и устранена одна уязвимость (CVE-2018-16850), которая может использоваться для выполнения произвольых SQL-конструкций с привилегиями суперпользователя в момент запуска утилиты pg_upgrade или при сохранении или загрузке дампов утилитой pg_dump. Атака производится через создание … Читать далее Обновление PostgreSQL 11.1, 10.6, 9.6.11, 9.5.15, 9.4.20 и 9.3.25

Представлен релиз PacketFence 8.2, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы написан на языке Perl и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL 7 и Debian 8. PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и … Читать далее Релиз системы управления доступом к сети PacketFence 8.2

В WooCommerce, плагине к системе управления контентом WordPress, позволяющем создавать площадки для продажи товаров, выявлена уязвимость, позволяющая выполнить код на сервере и получить полный контроль за сайтом. WooCommerce насчитывает более 4 млн установок и по статистике разработчиков используется для обеспечения работы около 30% всех интернет-магазинов в сети. Проблема устранена в выпуске WooCommerce 3.4.6. Для эксплуатации уязвимости необходимо наличие прав менеджера торговой площадки. Отправив определённым образом оформленный запрос можно удалить произвольные файлы на сервере, насколько это позволяют полномочия, под которыми выполняется WordPress. Например, в ходе атаки можно удалить файл wp-config.php и инициировать процесс установки нового экземпляра WordPress. В ходе атаки злонамеренный … Читать далее Уязвимость в платформе для создания интернет-магазинов WooCommerce

Компания Oracle опубликовала релиз промышленного дистрибутива Oracle Linux 7.6, созданного на основе пакетной базы Red Hat Enterprise Linux 7.6. Для загрузки без ограничений, но после бесплатной регистрации, распространяется установочный iso-образ, размером 4.7 Гб, подготовленный для архитектур x86_64 и ARM64 (aarch64). Для Oracle Linux также открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Помимо пакета с ядром из состава RHEL в Oracle Linux поставляется выпущенное летом ядро Unbreakable Enterprise Kernel 5 (4.14.35-1818.3.3), которое предложено по умолчанию. Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро позиционируется … Читать далее Доступен дистрибутив Oracle Linux 7.6

Компания Mozilla тестирует возможность сохранения файлов в облачных хранилищах. Поддерживается как сохранение загрузок в облачных хранилищах, так и перемещение ранее сохранённых в локальной ФС файлов в облачные хранилища. В настоящее время обеспечена поддержка сервисов Dropbox и Google Drive, но в будущем возможно расширение списка доступных облачных хранилищ. В ходе тестирования новая возможность предложена 1% пользователей Firefox 60 и более новых выпусков, у которых установлена локаль en-US. Выбранным для тестирования пользователям выводится диалог с предложением установить системное дополнение с реализацией новой функции. Пользователь вправе согласиться или отказаться от участия в эксперименте. Целью эксперимента является оценка востребованности функции сохранения в облачные хранилища … Читать далее В Firefox тестируют поддержку сохранения в облачные хранилища

К инициативе по увеличению предсказуемости процесса лицензирования открытого ПО присоединилось ещё 16 компаний, который согласились применить для своих открытых проектов более мягкие условия отзыва лицензии, предоставляющие время на устранение выявленных нарушений. Предлагаемое в рамках инициативы соглашение GPL Cooperation Commitment подписали компании Adobe, Alibaba, Amadeus, Ant Financial, Atlassian, Atos, ATT, Bandwidth, Etsy, GitHub, Hitachi, NVIDIA, Oath, Renesas, Tencent и Twitter. Утверждённые условия применяются для кода под лицензиями GPLv2, LGPLv2 и LGPLv2.1 и полностью соответствуют условиям, принятым осенью прошлого года разработчиками ядра Linux и компаниями Red Hat, Facebook, Google и IBM, к которым затем присоединились Microsoft, Cisco, HPE, SAP, SUSE, Amazon, Arm, … Читать далее Adobe, AT&T, GitHub, NVIDIA и Twitter изменили условия расторжения лицензии для GPLv2-кода

В анонсированных на прошлой неделе новых моделях компьютеров и ноутбуков iMac Pro, Mac mini, MacBook Pro и MacBook Air для обеспечения безопасности компания Apple задействовала специализированный чип T2, который тесно интегрирован с различными контроллерами, включая System Management Controller и контроллер SSD-накопителей. На оборудовании с чипом T2 может загружаться и функционировать только программное обеспечение, заверенное цифровой подписью Apple, что привело к невозможности установить Linux на подобные устройства. Чип предоставляет полностью отделённое от основной системы анклав-окружение, в котором выполняются операции, связанные с обеспечением безопасности и шифрованием. Например, на стороне T2 выполняются операции шифрования данных в хранилище, верификации процесса загрузки, распознавания отпечатков пальцев … Читать далее Пользователи столкнулись с невозможностью установить Linux на новые iMac и MacBook

Представлен релиз Zulip 1.9, серверной платформы для развёртывания корпоративных мессенджеров, подходящих для организации общения сотрудников и групп разработчиков. Проект изначально был разработан компанией Zulip и открыт после её поглощения компанией Dropbox под лицензией Apache 2.0. Код серверной части написан на языке Python с использованием фреймворка Django. Клиентское ПО доступно для Linux, Windows, macOS, Android и iOS, также предоставляется встроенный web-интерфейс. Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для … Читать далее Выпуск платформы обмена сообщениями Zulip 1.9

Сергей Зеленюк раскрыл детальную информацию об ещё не исправленной (0-day) критической уязвимости в системе виртуализации VirtualBox, позволяющей обойти механизм изоляции гостевых систем и выполнить код на стороне хост-окружения. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита. Для атаки требуется наличие прав root или администратора в гостевой системе. Проблема проявляется в конфигурации по умолчанию с сетевым адаптером E1000 при применении трансляции адресов (NAT) для организации сетевого взаимодействия. Проблема вызвана переполнением буфера в коде эмуляции сетевого адаптера E1000 (Intel PRO/1000 MT Desktop). Практическая атака, использующая данное переполнение буфера, разделена на несколько этапов: через манипуляцией с Tx-дескрипторами пакета (структура с информацией о пакете), создаются … Читать далее Уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы

Организация OISF (Open Information Security Foundation) представила релиз системы обнаружения и предотвращения сетевых вторжений Suricata 4.1. Suricata обеспечивает ускорения работы через задействование вычислений на стороне GPU (CUDA и OpenCL), поддерживает многопоточность для оптимального задействования мощностей многоядерных систем и имеет развитые средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2. Основные изменения: Добавлена поддержка разбора и ведения лога для протоколов SMBv1/2/3, NFSv4, Kerberos, DHCP и IKEv2. Для FTP реализована возможность извлечения передаваемых файлов. Для TFTP предложена поддержка ведения … Читать далее Доступна система обнаружения атак Suricata 4.1

Опубликованы новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx — 1.14.1 и 1.15.6, в которых устранены три уязвимости: CVE-2018-16845 — ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4; CVE-2018-16843 — DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции «http2» в блоке «listen»; CVE-2018-16844 — DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU. В выпуске 1.15.6 дополнительно добавлены … Читать далее Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей

Зафиксирован взлом популярного сервиса web-аналитики StatCounter, JavaScript-код со счётчиком которого размещён на более чем двух миллионах сайтах, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещён код счётчика StatCounter. После взлома злоумышленники добавили в код счётчика несколько дополнительных строк, которые перехватывают информацию о всех транзакциях с криптовалютой Bitcoin в web-интерфейсе Gate.io. Вредоносный код активируется только для страниц, содержащих в URL маску «myaccount/withdraw/BTC», которая специфична для сайта Gate.io и используется на странице перевода средств. При совпадении маски осуществляется загрузка дополнительного скрипта https://www.statconuter.com/c.php … Читать далее Атака на биржу криптовалюты через взлом счётчика StatCounter

Группа исследователей из Университета Неймегена (Нидерланды) в ходе проведения обратного инжиниринга начинки некоторых моделей самошифруемых SSD-накопителей выявила фундаментальную недоработку, позволяющую получить доступ к зашифрованным данным. Пользователям рекомендовано не доверять встроенным в SSD-накопители аппаратным механизмам шифрования, а использовать полностью программные реализации, такие как VeraCrypt. Суть проблемы в некорректной организации шифрования, позволяющей расшифровать данные без знания заданного пользователем пароля. Оказалось, что реализуемые в накопителях схемы шифрования не соответствуют стандарту TCG Opal и задаваемый пользователем пароль никак не используется для генерации или защиты DEK-ключа (Data Encryption Key), непосредственного применяемого для шифрования. Несмотря на то, что задаваемый пользователем пароль позиционируется как пароль для шифрования, … Читать далее Уязвимость, предоставляющая доступ к данным на самошифруемых SSD-накопителях

Представлен релиз операционной системы ReactOS 0.4.10, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows. Это восьмой выпуск, подготовленный после перехода проекта к более оперативному формированию релизов, которые теперь выходят не раз в год, а раз в три месяца. Операционная система находится на «альфа»-стадии разработки. Для загрузки подготовлены установочный ISO-образ (112 Мб) и Live-сборка (в zip-архиве 79 Мб). Код проекта распространяется под лицензиями GPLv2 и LGPLv2. Ключевые изменения: Реализована возможность загрузки с дискового раздела с файловой системой Btrfs. Если в самой ОС поддержка Btrfs на базе свободного драйвера WinBtrfs была добавлена ещё в прошлом году (также поддерживаются NTFS, FAT, … Читать далее Релиз операционной системы ReactOS 0.4.10

После шести месяцев разработки доступен мультимедиа-пакет FFmpeg 4.1, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 4.1, можно выделить: Добавлена возможность использования формата кодирования видео AV1 в контейнерах MP4 и реализован парсер для AV1. AV1 разработан альянсом Open Media (AOMedia) и позиционируется как общедоступный и не требующий оплаты отчислений свободный формат кодирования видео, который заметно опережает H.264 и VP9 по уровню сжатия; Добавлена поддержка реализации TLS на базе библиотеки mbedTLS; Новые … Читать далее Выпуск мультимедиа-пакета FFmpeg 4.1