Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange — 7.17%, Sendmail — 10.10%. Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (, ), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических … Читать далее Доступен почтовый сервер Exim 4.83 с устранением уязвимости

Силами кафедры теоретической физики физического факультета Новосибирского государственного университета были записаны лекции по физике. Исходные видеофайлы выложены в открытый доступ под лицензией CC-BY-SA 4.0. С момента первого анонса добавлен курс профессора В.Г. Сербо по Физике элементарных частиц. Части лекций склеены и доступны в форматах 720p и 1080p. Курсы опубликованы на YouTube и доступны для загрузки через BitTorrent. Читать далее Обновление видеолекций по теоретической физике под свободной лицензией

Проект OpenBSD выпустил корректирующий релиз LibreSSL 2.0.3, в котором представлено несколько изменений, направленных на улучшение переносимости кода. Кроме того, интегрирован улучшенный код для определения ответвления новых процессов, обеспечивающий переинициализацию генератора псевдослучайных чисел после создания нового процесса вызовом fork. Представленный в версии 2.0.2 метод обхода уязвимости оказался не так надёжен, как хотелось бы. Читать далее Обновление LibreSSL 2.0.3

Для устаревших выпусков Firefox, начиная с версии 10 и заканчивая 28, в ближайшие дни будет инициирован процесс автоматического обновления до последнего стабильного выпуска. Обновление будет применено только для 32-разрядных сборок для платформы Windows при условии включения функции автоматической установки обновлений и наличия версии ОС новее Windows XP SP1 (в Firefox 13 прекращена поддержка Windows XP SP1). По данным разработчиков из Mozilla около 2% из всех установленных экземпляров Firefox не перешли на более новую версию из-за «застрявших» обновлений. Такие системы остаются привлекательной целью для создателей вредоносного ПО, активно эксплуатирующих уязвимости в неактуальных версиях браузеров. Читать далее Устаревшие версии Firefox будут автоматически обновлены до самого свежего выпуска

После десяти месяцев разработки увидел свет релиз GStreamer 1.4, написанного на языке Си кроссплатформенного набора компонентов для создания широкого спектра мультимедиа приложений, от медиаплееров и конвертеров аудио/видео файлов, до VoIP-приложений и систем потокового вещания. Код GStreamer распространяется под лицензией LGPLv2.1. Одновременно доступны обновления плагинов gst-plugins-base 1.4, gst-plugins-good 1.4, gst-plugins-bad 1.4, gst-plugins-ugly 1.4, а также обвязка gst-libav 1.4 и сервер потокового вещания gst-rtsp-server 1.4.0. На уровне API и ABI новый выпуск обратно совместим с веткой 1.0. Бинарные сборки подготовлены для Android, iOS, Mac OS X и Windows. Ключевые улучшения GStreamer 1.4: Проведено расширение API, например, добавлены новые вызовы GstDeviceMonitor для проверки … Читать далее Выпуск мультимедийного фреймворка GStreamer 1.4

Доступен релиз http-сервера Apache 2.4.10, в котором представлено 69 изменений, пять из которых связаны с устранением уязвимостей. Четыре уязвимости, которые затрагивают mod_proxy, WinNT MPM, mod_deflate и mod_cgid, могут привести к инициированию отказа в обслуживании (DoS). Одна уязвимость (CVE-2014-0226) может привести к переполнению буфера в результате локальной атаки, эксплуатирующей состояния гонки при обработке файлов scoreboard. Из не связанных с безопасностью изменений отмечается улучшение поддержки FGI и websockets в mod_proxy, поддержка установки reverse-proxy через явно заданный обработчик, средства для тонкого контроля за областью действия RewriteRules, поддержка Unix Domain Socket в mod_proxy_scgi, расширение размера разделяемой памяти, доступного для mod_socache_shmcb, улучшение работы mod_lua и … Читать далее Релиз http-сервера Apache 2.4.10

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила первый экспериментальный вариант прошивки, развиваемой в рамках проекта Open Wireless Router, нацеленного на предоставление средств для развёртывания и поддержания безопасных общедоступных беспроводных сетей. Прошивка основана на наработках проекта CeroWRT и пока подготовлена только для устройств Netgear WNDR3800. В дальнейшем список поддерживаемых устройств будет расширен. В настоящее время приглашаются энтузиасты для тестирования и доработки представленного прототипа прошивки. Инструкцию по установке прошивки можно найти на данной странице, все наработки проекта размещены на GitHub. В качестве причины создания нового варианта прошивки отмечается желание предоставить ряд возможностей, которые отсутствуют в существующих беспроводных маршрутизаторах или реализованы некорректно. … Читать далее Проект Open Wireless Router выпустил прошивку для создания открытых беспроводных сетей

Разработчики OpenBSD представили начальную реализацию http-сервера httpd, созданного на основе исходных текстов ранее поставляемого в OpenBSD демона relayd. В отличие от relayd, возможности которого ограничены функциями перенаправления и балансировки запросов, httpd доработан и может выступать в роли простого http-сервера. Конечной целью проекта является создание HTTP-сервера, предоставляющего минимальный набор необходимых функций, способный отдавать статический контент и динамически обрабатывать запросы с применением FastCGI. HTTP-сервер изначально развивается в соответствии с предъявляемыми проектом OpenBSD требованиями к стилю и качеству кода для обеспечения высокого уровня безопасности. Сообщается, что http-сервер не будет поддерживать плагины, внешние системы распределения памяти, EBCDIC, PCRE и другие расширенные возможности, при необходимости … Читать далее Для OpenBSD развивается собственная реализация http-сервера

Группа исследователей из компании Яндекс опубликовала результаты анализа нового вредоносного ПО Mayhem, реализующего аналогичные Windows-ботам средства для серверов на базе Linux и FreeBSD, которые могут работать без получения расширенных привилегий, довольствуясь правами пользователя хостинга, полученными после проникновением через эксплуатацию уязвимостей в web-приложениях. Исследование проведено на основе изучения работы двух управляющих серверов, обслуживающих примерно 1400 инфицированных вредоносным ПО узлов ботнета. Mayhem примечателен сложной и гибко расширяемой архитектурой. После успешной эксплуатации уязвимости в web-приложении, на сервер загружается PHP-скрипт, производящий инициализацию бота, который выполнен в форме рахделяемой библиотеки libworker.so, обладающей достаточно богатой функциональностью. Интерес представляет метод запуска вредоносного ПО: выполняется штатная системная утилита … Читать далее Выявлено вредоносное ПО Mayhem, поражающее серверы под управлением Linux и FreeBSD

Ресурс Phoronix провёл достаточно необычную серию измерений, сравнив OS X 10.9.4 с Ubuntu 14.04 LTS на ноутбуке MacBook Air. Для Ubuntu использовался свежий графический стек (MESA 10.3-dev), а также ядро Linux 3.16, релиз которого состоится через несколько недель. Интерес представляет тот факт, что система Ubuntu обогнала OS X в практически вcех возможных номинациях, при том временами разрыв доходил до нескольких раз. В тестах семейства Compile Bench дистрибутив Ubuntu практически разгромил OS X. Особенно хорошую производительность продемонстрировала система при использовании ядра 3.16, производительность в ряде тестов оказалась примерно в 3 раза лучше чем OS X и раза в полтора-два выше чем … Читать далее Ubuntu с ядром 3.16 обогнал в тестах OS X на ноутбуке MacBook Air

В рамках инициативы по продлению срока поддержки Debian 6 Squeeze представлено корректирующее обновление 6.0.10, в которое включены все выпущенные обновления пакетов и устранены недоработки в инсталляторе. Сборка Debian 6.0.10 включает 15 обновлений с устранением серьезных проблем со стабильностью, и 53 обновления с устранением уязвимостей. Из состава дистрибутива удалено 17 пакетов, среди которых openswan, zabbix, bugzilla, couchdb и spip. Пакеты удалены из-за прекращения срока выпуска исправлений с устранением уязвимостей. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления присутствующие в Debian 6.0.10 через штатную систему установки обновлений. Включенные в Debian 6.0.10 исправления проблем безопасности доступны пользователям по мере выхода обновлений … Читать далее Обновление Debian 6.0.10

На канале Youtube, принадлежащем Linux Foundation, опубликован любопытный ролик, показывающий рабочее место Линуса Торвальдса. Из интересных моментов можно отметить, что рабочее место не только предполагает работу стоя, но даже снабжено медленно идущей беговой дорожкой, что позволяет Линусу поддерживать себя «в форме». Кроме того, можно отметить что у Линуса есть 3D-принтер. Также в интервью он признает, что ему лень избавляться от старых жестких дисков. Читать далее Linux Foundation выпустил ролик, показывающий рабочее место Линуса Торвальдса

Компания Microsoft анонсировала планы по прекращению развития основанной на платформе Android линейки продуктов Nokia X в пользу новых устройств серии Lumia, оснащённых ОС Windows. Помимо Nokia X также прекращаются разработки и инвестиции, связанные с сериями Series 40 и Asha. Все ресурсы сосредотачиваются на устройствах на базе платформы Windows Phone. Серии Asha, Series 40 и Nokia X переводятся в режим сопровождения, не подразумевающем развитие сервисов и выпуск обновлений с новыми возможностями. Через 18 месяцев поддержка устройств указанных серий будет прекращена. Трансформация проводится в рамках глобальной реструктуризации, в рамках которой будет уволено 18 тысяч работников, из которых 12.5 тысяч являются сотрудниками недавно … Читать далее Microsoft прекращает развитие Series 40 и Android-смартфонов Nokia X

В модуле l2tp_ppp, входящем в состав ядра Linux, обнаружена опасная уязвимость (CVE-2014-4943), позволяющая непривилегированному пользователю выполнить код с привилегиями ядра. Проблема проявляется при сборке ядра с опцией CONFIG_PPPOL2TP. Исправление пока доступно в форме патча, который не вошёл во вчерашние обновления 3.15.6, 3.14.13, 3.10.49, 3.4.99. При сборке l2tp_ppp в форме отдельного модуля в качестве обходного способа защиты можно запретить загрузку модуля l2tp_ppp в /etc/modprobe.conf: alias pppox-proto-1 off blacklist l2tp_ppp Читать далее Опасная уязвимость в модуле l2tp_ppp из состава ядра Linux

Компания Google представила новый выпуск проекта LiquidFun 1.1, в рамках которого развивается библиотека с реализацией практических инструментов для симуляции физических процессов. Библиотека написана на языке C++, но поддерживается вариант для языка Java, работающий через SWIG и позволяющий использовать библиотеку в том числе и на платформе Android. LiquidFun реализует реалистичные элементы гидродинамики, позволяет симулировать перетекание жидкости, поведение набора частиц, волновые процессы, трансформацию твёрдых тел при давлении и отскакивание при столкновении. Библиотека может выступать в качестве прозрачной замены 2D-движка Box2D. Из недавно созданных на базе движка LiquidFun приложений отмечается игра-платформер VoltAir и программа для детского творчества LiquidFun Paint. В новой версии добавлена … Читать далее Google выпустил движок для симуляции физических процессов LiquidFun 1.1

Разработчики проекта OpenBSD выпустили обновление переносимой редакции пакета LibreSSL 2.0.2, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. В новом выпуске устранена недоработка, которая может привести к серьёзным проблемам с безопасностью на платформе Linux. Проблема связана с особенностью реализации в LibreSSL генератора псевдослучайных чисел (PRNG), который был завязан на возможности OpenBSD и не учитывал некоторые особенности платформы Linux. В частности, LibreSSL использовал изменение PID для отслеживания форков и инициирования переинициализации PRNG, но не учитывал, что один 16-разрядный PID-идентификатор может быть назначен двум и более ответвляемым процессам. В Linux гарантируется, что ответвлённые дочерние процессы будут иметь … Читать далее Уязвимость, устранённая в LibreSSL 2.0.2, подтолкнула к добавлению вызова getrandom в ядро Linux

После полутора лет разработки доступен релиз CRUX 3.1, независимого легковесного Linux-дистрибутива, развиваемого в соответствии с концепцией KISS (Keep It Simple, Stupid), оптимизированного под платформу x86-64 и ориентированного на опытных пользователей. Размер iso-образа, подготовленного для архитектуры x86-64, составляет 333 Мб. Целью проекта является создание простого и прозрачного для пользователей дистрибутива, основанного на BSD-подобных скриптах инициализации, имеющего максимально упрощённую структуру и содержащего относительно небольшое число готовых бинарных пакетов. CRUX поддерживает систему портов, позволяющую легко устанавливать и обновлять приложения в стиле FreeBSD/Gentoo. В новом выпуске поставляется набор библиотек multilib, позволяющий выполнять 32-разрядные приложения в 64-разрядном окружении дистрибутива. Системные компоненты обновлены до ядра Linux … Читать далее Выпуск Linux-дистрибутива CRUX 3.1

Выход первого кандидата в релизы OpenWrt 14.07 ознаменовал начало процесса интеграции в дистрибутив проекта procd — новой системы инициализации, созданной разработчиками OpenWrt с нуля, специально для нужд дистрибутива. Проект procd сочетает в себе систему инициализации, службу системного лога, службу управления аппаратным сторожевым таймером (watchdog) и службу слежения за состоянием устройств. Таким образом, procd должен заменить используемые в настоящее время в OpenWrt компоненты busybox-initd, busybox-klogd, busybox-syslogd, busybox-watchdog и hotplug2. При этом, procd тесно интегрирован с шиной системных сообщений ubus (аналог D-Bus) и менеджером устройств ubox. Формат конфигурационных файлов, несмотря на то, что он построен на основе языка Bourne shell, является не императивным, а … Читать далее OpenWrt начинает интеграцию собственной минималистичной системы инициализации procd

После семи месяцев разработки анонсирован релиз X.Org Server 1.16. Ключевым нововведением является включение в состав DDX-компонента XWayland, который позволяет обеспечить работу прослойки для выполнения немодифицированых приложений X11 в окружении на базе Wayland и композитного сервера Weston. По организации работы XWayland выполнен в форме отдельного X-сервера (DDX, Device-Dependent X), чем напоминает Xwin и Xquartz для платформ Win32 и OS X. Для ускорения вывода используется основанная на OpenGL архитектура 2D-акселерации Glamor, что позволяет использовать XWayland независимо от установленных видеодрайверов. Для обеспечения прямого доступа к видеоадаптеру в XWayland реализована поддержка интерфейса DRI3. Изначально, первый вариант XWayland, от которого впоследствии отказались разработчики, основывался на … Читать далее Вышел X.Org Server 1.16

Увидел свет релиз мультимедиа-пакета FFmpeg 2.3, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Кроме изменений, созданных внутри проекта, в новую версию также включены все последние наработки, развиваемые в ветках ffmpeg-mt (многопоточное декодирование) и libav (форк FFmpeg). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 2.3, можно выделить: Добавлена нативная реализация декодера для формата Opus, которая отличается от ранее используемого декодера из состава libopus более высокой производительностью и стабильностью; Новые оптимизации: Добавлены ассемблерные оптимизации для архитектуры AArch64, которая используется … Читать далее Релиз мультимедиа-пакета FFmpeg 2.3

Вышел корректирующий релиз набора компиляторов GCC 4.9.1, в котором проведена работа по исправлению ошибок, регрессивных изменений и проблем с совместимостью. С момента выхода версии 4.9.0 отмечено 88 исправлений, большинство из которых связано с устранением внесенных ранее регрессивных изменений. Кроме того, в GCC 4.9.1 обеспечена поддержка OpenMP 4.0 для компилятора Fortran, в дополнение к ранее представленной поддержке OpenMP 4.0 для C и C++. Читать далее Корректирующий выпуск набора компиляторов GCC 4.9.1