Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP

В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены четыре уязвимости, позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику. CVE-2019-6111 — возможность перезаписать произвольные файлы в целевом каталоге на стороне клиента. В SCP как и в RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Проверка на стороне клиента ограничена лишь блокированием выхода за границы текущего каталога («../»), но не учитывает передачу файлов с именами, отличающимися от … Читать далее Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP

Выпуск дистрибутива Netrunner 2019.01

Компания Blue Systems, предоставляющая финансирование разработки KWin и Kubuntu, опубликовала выпуск дистрибутива Netrunner 2019.01, предлагающего рабочий стол KDE. От развиваемых той же компанией дистрибутивов Netrunner Rolling и Maui представленная редакций отличается использованием классического подхода к формированию сборок и пакетной базы Debian Testing, без применения модели rolling-обновлений на базе Arch/Kubuntu. От Kubuntu дистрибутив Netrunner отличается иным подходом к организации интерфейса пользователя и развитием в направлении бесшовной интеграции Wine и GTK-программ в окружение KDE. Размер загрузочного iso-образа составляет 2.8 Гб (x86_64). В новой версии: Обновлены версии программ, в том числе KDE Plasma 5.14.3, KDE Frameworks 5.51, KDE Applications 18.08, Qt 5.11.3, ядро … Читать далее Выпуск дистрибутива Netrunner 2019.01

Проект LLVM ввёл в строй официальное Git-зеркало своего SVN-репозитория

Разработчики проекта LLVM объявили о достижении важного рубежа на пути к миграции с Subversion на Git и GitHub. В строй введено официальной Git-зеркало основного репозитория проекта, построенного с использованием централизованной системы управления исходными текстами Subversion. Git-репозиторий теперь признан стабильным и может применяться для участия в разработке компонентов LLVM. Синхронизация с SVN осуществляется раз в минуту, а время отставания появления в Git коммитов оценивается в 20-90 секунд. Следующим шагом миграции станет перевод Git в разряд первичных репозиториев. Для приёма коммитов продолжает применяться SVN (при использовании Git для отправки изменений следует использовать git-svn или специально подготовленный скрипт). Источник. Читать далее Проект LLVM ввёл в строй официальное Git-зеркало своего SVN-репозитория

Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения

Разработчики Fedora опубликовали список из 86 пакетов, оставшихся без сопровождения и запланированных для удаления из репозитория после 6 недель неактивности, если для них в ближайшее время не найдётся мэйнтейнер. Среди находящихся в списке пакетов: autotrash, bouml, dnsyo, fasd, hdapsd, jmake, lzma, parprouted, pcapfix, pg_journal, php-ZendFramework, python-ansible-tower-cli, python-cookies, python-kafka, ratproxy, ripe-atlas-tools, scite, tinyca2, tristripper, unp и wifi-radar. Источник. Читать далее Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения

Разработчики GTK+ 3 тестируют обновлённую тему оформления

Маттиас Класен (Matthias Clasen), лидер Fedora Desktop Team и участник GNOME Release Team, сообщил о тестировании улучшенной темы оформления «Adwaita», используемой по умолчанию в GTK+ 3. Перед включением изменений в состав выпуска GTK 3.24.4, в течение трёх недель пользователям даётся возможность протестировать новую тему и высказать свои замечания. Модернизированная тема поставляется в виде отдельного архива, опубликованного параллельно с выпуском GTK 3.24.3. Прошлая значительная модернизация темы оформления была проведена в 2014 году. Нынешнее изменение не столь кардинально и в основном сосредоточено на оттачивании мелочей и корректировке цветовой схемы. Тема приведена к более современному виду, но без нарушения совместимости с оформлением виджетов … Читать далее Разработчики GTK+ 3 тестируют обновлённую тему оформления

Firefox 67 начнёт использовать отдельные профили для разных установок

В выпуске Firefox 67, намеченном на 14 мая, планируется переработать механизм работы с профилями. В ночные сборки Firefox изменение будет включено 28 января. Если до сих пор при установке нескольких разных экземпляров Firefox по умолчанию использовался один общий профиль с настройкам, дополнениями и информационными базами (закладки, история, сохранённые пароли, cookie и т.д.), то начиная с Firefox 67 для каждого параллельно установленного экземпляра будет создаваться собственный отдельный профиль. Например, при одновременной установке ESR, бета, ночных сборок, редакции Developer Edition и обычного выпуска Firefox, для них будут созданы раздельные профили. Изменение профиля будет производиться только для новых установок (после обновления будет сохраняться … Читать далее Firefox 67 начнёт использовать отдельные профили для разных установок

Релиз платформы для анализа уязвимостей Metasploit Framework 5.0

Спустя восемь лет с момента формирования прошлой значительной ветки представлен релиз платформы для анализа уязвимостей — Metasploit Framework 5.0. В настоящий момент в пакет входит 3795 модулей с реализацией различных эксплоитов и методов выполнения атак. Проектом также ведётся информационная база, содержащая сведения о 136710 уязвимостях. Код Metasploit написан на языке Ruby и распространяется под лицензией BSD. Модули могут разрабатываться на языках Ruby, Python и Go. Фреймворк предоставляет специалистам в области компьютерной безопасности набор средств для быстрой разработки и отладки эксплоитов, а также для проверки систем на наличие уязвимостей и выполнения действий (payload) в случае успеха проведения атаки. Для сканирования сети … Читать далее Релиз платформы для анализа уязвимостей Metasploit Framework 5.0

Выпуск системы распознавания текста GNU Ocrad 0.27

Подготовлен релиз системы распознавания текста Ocrad (Optical Character Recognition) 0.27, развиваемой под эгидой проекта GNU. Ocrad может применяться как в форме библиотеки для интеграции функций OCR в другие приложения, так и в форме обособленной утилиты, которая на основе переданного на вход изображения выдаёт текст в UTF-8 или 8-битных кодировках. Для оптического распознавания в Ocrad используется метод выделение признаков (feature extraction). В состав входит анализатор макета страницы, позволяющий корректно разделять столбцы и блоки текста в печатных документах. Распознавание поддерживается только для символов из кодировок «ascii», «iso-8859-9» и «iso-8859-15» (поддержка кириллицы отсутствует). Передаваемые для распознавания изображения должны быть в форматах pbm, pgm … Читать далее Выпуск системы распознавания текста GNU Ocrad 0.27

В Firefox 69 планируется по умолчанию отключить поддержку Flash

Разработчики Mozilla запланировали отключение плагина Adobe Flash в выпуске Firefox 69, намеченном на сентябрь. В ESR-ветках Firefox поддержка Flash сохранится до конца 2020 года. До начала 2020 года пользователи обычных выпусков Firefox смогут вернуть поддержку Flash через настройки в about:config, после чего код для работы с NPAPI будет полностью удалён из кодовой базы. Напомним, что компания Adobe ранее объявила о переводе Flash в разряд устаревших технологий и предупредила о полном прекращении сопровождения Flash в конце 2020 года. Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefox после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unity, Gnome Shell Integration … Читать далее В Firefox 69 планируется по умолчанию отключить поддержку Flash

Проект elementary OS представил новый браузер Ephemeral

Один из основателей проекта elementary OS представил новый web-браузер Ephemeral, развиваемый командой разработчиков elementary OS специально для данного дистрибутива Linux. Для разработки использован язык Vala, GTK3+ и движок WebKitGTK+ (проект написан с нуля и не является ответвлением от Epiphany). Код распространяется под лицензией GPLv3. Готовые сборки подготовлены только для elementary OS, но при желании браузер может быть собран и для других дистрибутивов. Проект развивается с оглядкой на функциональность мобильного браузера Firefox Focus, адаптированной для применения на настольных системах. По умолчанию браузер запускается в режиме инкогнито, в котором блокируются все внешние Cookie, выставляемые рекламными блоками, виджетами социальных сетей и любым внешним … Читать далее Проект elementary OS представил новый браузер Ephemeral

В Friefox 69 планируется по умолчанию отключить поддержку Flash

Разработчики Mozilla запланировали отключение плагина Adobe Flash в выпуске Friefox 69, намеченном на сентябрь. В ESR-ветках Firefox поддержка Flash сохранится до конца 2020 года. До начала 2020 года пользователи обычных выпусков Firefox смогут вернуть поддержку Flash через настройки в about:config, после чего код для работы с NPAPI будет полностью удалён из кодовой базы. Напомним, что компания Adobe ранее объявила о переводе Flash в разряд устаревших технологий и предупредила о полном прекращении сопровождения Flash в конце 2020 года. Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefix после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unitym, Gnome Shell Integration … Читать далее В Friefox 69 планируется по умолчанию отключить поддержку Flash

Общедоступная книга по машинному обучению

Группа исследователей из компании Amazon опубликовали книгу «Dive into Deep Learning«, знакомящую с основными принципами разработки систем машинного обучения и алгоритмами, используемыми при построении нейронных сетей. Разработка книги ведётся на GitHub в формате Markdown (любой желающий может предложить дополнения или поправки). Книга доступна в формате PDF (635 стр.), в виде интерактивного online-руководства (с возможностью оставлять комментарии и проводить обсуждение в каждом разделе) и в форме интерактивного руководства для среды Jupyter (можно сразу запускать и изменять примеры кода и наблюдать результат). Рабочие примеры кода приводятся для фреймворка Apache MXNet и охватывают различные аспекты машинного обучения, от создания и тренировки моделей, до … Читать далее Общедоступная книга по машинному обучению

Около 4.3% имеющихся монет Monero получены в результате майнинга вредоносным ПО

Исследователи из Мадридского университет имени Карла III и Королевского колледжа Лондона провели анализ известного вредоносного ПО, осуществляющего майнинг криптовалюты на системах пользователей, и пришли к выводу, что создатели подобных вредоносных систем заработали за последние 4 года около 56 млн долларов (в среднем 1.2 млн в месяц). Обычно во вредоносном ПО для майнинга используется криптовалюта Monero (XMR), которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи. Утверждается, что как минимум 4.3% от всех имеющихся монет Monero (уровень капитализации 749 млн долларов), получены через майнинг вредоносным ПО. Статистика получена на основе изучения пулов майнинга и кошельков, выявленных в процессе автоматизированного статического … Читать далее Около 4.3% имеющихся монет Monero получены в результате майнинга вредоносным ПО

Mozilla разрабатывает новый мобильный браузер Fenix

Компания Mozilla в рамках проекта Fenix начала разработку нового браузера для мобильных устройств. Разработка пока находится на начальном этапе и реализовано только около 5% от запланированной на выпуск 1.0 функциональности. Тем не менее, уже опубликованы макеты интерфейса по которым можно судить об особенностях нового браузера и направлении развития продукта. Fenix основан на движке GeckoView и наборе библиотек Mozilla Android Components, применяемых для построения браузеров Firefox Focus и Firefox Lite. Судя по доступным макетам интерфейса разработчики Fenix экспериментируют с переносом адресной строки и панели управления в нижнюю часть экрана, а также с предоставлением расширенного меню, напоминающего классическое меню настольной версии Firefox. … Читать далее Mozilla разрабатывает новый мобильный браузер Fenix

Рост атак, связанных с захватом контроля над DNS

Компьютерная команда экстренной готовности США (US-CERT) предупредила администраторов о выявлении массовых атак, проводимых через перенаправление трафика на подконтрольный злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS. Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют … Читать далее Рост атак, связанных с захватом контроля над DNS

Релиз системы управления доступом к сети PacketFence 8.3

Представлен релиз PacketFence 8.3, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы написан на языке Perl и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL 7 и Debian 8. PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и … Читать далее Релиз системы управления доступом к сети PacketFence 8.3

Проект Fedora предложил оценить новые варианты логотипа

Марин Даффи (Máirín Duffy), дизайнер из компании Red Hat, от лица команды Fedora Design Team представила для обсуждения в сообществе два варианта нового логотипа для проекта Fedora и связанные с ними элементы брендига. Разработка нового логотипа была инициирована лидером проекта с целью устранения имеющихся в текущем логотипе недостатков. Ныне используемый логотип был разработан в 2005 году и оказался плохо адаптирован для одноцветной печати, мелких размеров и тёмного фона. В логотипе использовались элементы из проприетарного шрифта и его не удобно центровать на макете. Последняя буква «а» плохо читаема и напоминает «o», а буква «f» в кружке создаёт у некоторых пользователей ассоциации … Читать далее Проект Fedora предложил оценить новые варианты логотипа

Медиаплеер VLC преодолел рубеж в три миллиарда загрузок. Выпуск VLC 3.0.6

Проект VideoLAN сообщил о преодолении рубежа в три миллиарда загрузок видеоплеера VLC, зафиксированных системой сборка статистики, работающей на серверах проекта с февраля 2005 года. Достижение было отпраздновано на выставке всемирной электроники CES 2019, проходящей в эти дни в Лас-Вегасе. Разработчики VideoLAN развернули на своём выставочном стенде информационную панель, скомпонованную из различных смартфонов и планшетов, динамически отражающую состояние счётчика загрузок. Около 2.4 миллиардов загрузок приходится на сборку VLC для платформы Windows, 267 млн — macOS, 164 млн — Android, 29 млн — iOS и 6.2 млн на архив с исходными текстами. Опубликованные данные не учитывают загрузку VLC для Linux, так как … Читать далее Медиаплеер VLC преодолел рубеж в три миллиарда загрузок. Выпуск VLC 3.0.6

Выпуск дистрибутива Clonezilla Live 2.6.0

Состоялся релиз Linux-дистрибутива Clonezilla Live 2.0, предназначенного для быстрого клонирования дисков (копируются только используемые блоки). Задачи выполняемые дистрибутивом сходны с проприетарным продуктом Norton Ghost. Размер iso-образа дистрибутива — 273 Мб (i686, amd64). Дистрибутив основан на Debian GNU/Linux и в своей работе использует код таких проектов, как DRBL, Partition Image, ntfsclone, partclone, udpcast. Возможна загрузка с CD/DVD, USB Flash и по сети (PXE). Поддерживаются ФС: ext2, ext3, ext4, reiserfs, xfs, jfs, FAT, NTFS, HFS+ (macOS), UFS, minix и VMFS (VMWare ESX). Имеется режим массового клонирования в multicast режиме, позволяющем единовременно провести клонирование исходного диска на большое число клиентских машин. В новой … Читать далее Выпуск дистрибутива Clonezilla Live 2.6.0

В systemd-journald выявлены три уязвимости, позволяющие получить права root

В компоненте systemd-journald, отвечающем за ведение логов в systemd, выявлены три уязвимости, позволяющие непривилегированному атакующему повысить свои привилегии в системе и выполнить код с правами root. Уязвимости проявляются во всех дистрибутивах, использующих systemd, за исключением SUSE Linux Enterprise 15, openSUSE Leap 15.0 и Fedora 28/29, компоненты systemd в которых собраны с включением в GCC защиты «-fstack-clash-protection». Уязвимости CVE-2018-16864 и CVE-2018-16865 позволяют создать условия для записи данных вне границ выделенного блока памяти, а уязвимость CVE-2018-16866 даёт возможность прочитать содержимое внешних областей памяти. Исследователями подготовлен рабочий прототип эксплоита, который при помощи уязвимостей CVE-2018-16865 и CVE-2018-16866 позволяет получить права root после примерно 10 … Читать далее В systemd-journald выявлены три уязвимости, позволяющие получить права root

Google наметил на 9 июля начало массовой блокировки в Chrome неприемлемой рекламы

Компания Google объявила о намерении начать повсеместную блокировку рекламных блоков, мешающих восприятию содержимого и не соответствующими критериям, выработанным Коалицией по улучшению рекламы. Предполагается, что повсеместное включение в штатом браузере блокировки неприемлемой рекламы станет разумной альтернативой агрессивным блокировщикам рекламы, которые блокируют не только навязчивые рекламные блоки, но и добросовестные рекламные сети, что наносит ущерб как рекламной индустрии, так и владельцам сайтов. Необходимые для блокирования рекламы технологии были добавлены в Chrome ещё в феврале 2018 года, но до сих пор блокировка была ограничена только отдельными странами, а основная работа была сосредоточена на популяризации принципов оформления добросовестной рекламы и информировании сайтов о наличии … Читать далее Google наметил на 9 июля начало массовой блокировки в Chrome неприемлемой рекламы