Бэкдор в зависимости к event-stream, популярной библиотеке к Node.js

Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи крипотвалюты и проведения целевой атаки на связанные с криптовалютой сервисы. Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе … Читать далее Бэкдор в зависимости к event-stream, популярной библиотеке к Node.js

Доступна СУБД EuclidesDB, использующая элементы машинного обучения

Подготовлен первый экспериментальный выпуск СУБД EuclidesDB, предоставляющей средства для использования моделей машинного обучения при индексировании и выборки данных. СУБД позволяет привязывать к различным классам информации отдельные модели машинного обучения, например, можно подключить модель для классификации изображений и применять СУБД для поиска похожих фотографий или выборки изображений, на которых присутствует определённый объект. Проект написан на языке С++ и распространяется под лицензией Apache 2.0. Модели машинного обучения обрабатываются при помощи библиотеки PyTorch (используется C++-интерфейс libtorch). СУБД EuclidesDB предоставляет универсальное решение для создания систем обработки данных с использованием моделей машинного обучения, образующее готовый каркас для подключения необходимых моделей и их применения для поиска … Читать далее Доступна СУБД EuclidesDB, использующая элементы машинного обучения

В Firefox 64 появится встроенный менеджер задач

Разработчики из компании Mozilla включили в кодовую базу, на основе которой формируется релиз Firefox 64, новую реализацию интерфейса для отслеживания потребления ресурсов. Новый интерфейс заменит собой служебную страницу «about:performance» и будет напоминать менеджер задач, упрощающий оценку потребления ресурсов отдельными страницами и дополнениями. Для вызова страницы «about:performance» в основное меню будет добавлена отдельная кнопка. В Firefox 65 планируют добавить дополнительный столбец, отражающий затраты памяти на каждую страницу и дополнение. В разработке также находится прототип, продолжающий модернизацию интерфейса отслеживания потребления ресурсов. Кроме более наглядного отображения информации в будущих выпусках появится возможность раздельного учёта нагрузки, создаваемой внешним кодом, который загружен с другого сайта, … Читать далее В Firefox 64 появится встроенный менеджер задач

Второй бета-выпуск мобильной платформы /e/ доступен для 49 устройств

Гаэль Дюваль (Gaël Duval), создатель дистрибутива Mandrake Linux, сообщил о доступности второй бета-версии мобильной платформы «/e/» (ранее Eelo), сосредоточенной на обеспечении конфиденциальности пользовательских данных. Второй бета-выпуск примечателен переходом на компоненты Android 8 «Oreo» и существенным расширением числа поддерживаемых устройств, для которых подготовлены сборки платформы. Общее число поддерживаемых устройств доведено до 49. В том числе переход на использование драйверов от Android 8 позволил обеспечить поддержку таких смартфонов, как Xiaomi Redmi Note 5 pro, Xiaomi Mi A1, Xiaomi Mi 6, Xiaomi Pocophone F1, OnePlus 5T и Google Pixel XL. Для поддержания прошивки в актуальном виде предлагается система OTA-обновлений и интерфейс, позволяющий контролировать … Читать далее Второй бета-выпуск мобильной платформы /e/ доступен для 49 устройств

Выпуск GNU OrgaDoc 1.0, инструмента для организации работы с коллекцией документов

Подготовлен полностью переработанный выпуск GNU OrgaDoc 1.0, переписанный с языка Eiffel на Си (C89). OrgaDoc позволяет автоматизировать работу по генерации документов и организации работы с ними на разных компьютерах. OrgaDoc даёт возможность сформировать индекс имеющихся документов и работать с ними как с единой коллекцией, например, разом копировать на другую систему, синхронизировать состояние коллекции между компьютерами и преобразовывать из одного формата в другой. В состав пакета входит две утилиты: orgadoc-init-readme для поиска имеющихся документов и генерации индекса (readme.xml), и orgadoc для манипуляций с коллекцией и форматирования документов (преобразования из одного формата в другой) на основе информации из readme.xml. Для синхронизации данных … Читать далее Выпуск GNU OrgaDoc 1.0, инструмента для организации работы с коллекцией документов

Выпуск Wine 3.21

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 3.21. С момента выпуска версии 3.20 было закрыто 62 отчёта об ошибках и внесено 316 изменений. Наиболее важные изменения: Система маршалинга в Typelib переписана с использованием функций NDR; Решены проблемы с выводом графики в Android 8+. В wineandroid добавлена поддержка gralloc; В DirectWrite добавлена поддержка хранения ресурсов шрифтов в памяти; Улучшена поддержка джойстика; Закрыты отчёты об ошибках, связанные с работой игр и приложений: World of Tanks, RoughDraft 3, 3DMark Vantage, NFS Porsche, CC Tiberian Sun and Red Alert 2, Guild Wars 2, Jupiter, Alan Wake, SWAT 3, Rogue Squadron 3D 1.3, … Читать далее Выпуск Wine 3.21

Выпуск системы инициализации sysvinit 2.92

Увидел свет релиз классической системы инициализации sysvinit 2.92, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart. Изначально релиз планировалось отложить до конца года, но благодаря помощи некоторых разработчиков из проектов Debian и Devuan удалось оперативно устранить остававшиеся нерешёнными проблемы. В новом выпуске: Добавлена поддержка сборки и запуска в окружении Debian GNU/Hurd; Унифицированы задержки отправки сигналов SIGTERM и SIGKILL в командах shutdown и init (задержка теперь составляет 3 секунды); В команду last добавлен флаг «-l», при указании которого полнотью отображаются логины пользователей длиннее 8 символов; В команду shutdown добавлены опции «-q» и «-Q» для снижения частоты вывода … Читать далее Выпуск системы инициализации sysvinit 2.92

Релиз XMPP/Jabber сервера Prosody 0.11.0

Представлен первый релиз новой стабильной ветки XMPP-сервера Prosody 0.11, в которой представлено более 2000 изменений. При разработке сервера основное внимание уделяется простоте установки и настройки, низкому потреблению ресурсов и лёгкости расширения функциональности. Код проекта написан на языке Lua и распространяется под лицензией MIT. Наиболее значительные улучшения в новой ветке коснулись модулей MUC и pubsub, которые реализуют одни из самых крупных расширений (XEP) стандарта XMPP. Предыдущие версии сервера уже довольно давно поддерживали MUC и pubsub, но предлагаемая реализация была довольно сильно усложнена, не отвечала актуальному состоянию спецификаций и имела проблемы с масштабированием. Основные изменения в Prosody 0.11: Улучшена работа чата. Переписан … Читать далее Релиз XMPP/Jabber сервера Prosody 0.11.0

Выпуск Nohang 0.1, предотвращающего OOM в пространстве пользователя

Состоялся первый выпуск проекта Nohang, в рамках которого подготовлен демон для GNU/Linux, обрабатывающий ситуации нехватки памяти и предотвращающий исчерпание свободной памяти (OOM, Out Of Memory). Демон написан на языке Python, потребляет около 10 MiB VmRSS и настраивается с помощью файла конфигурации (/etc/nohang/nohang.conf). По сравнению с аналогичным проектом earlyoom, nohang обладает некоторыми дополнительными возможностями. Код открыт под лицензией MIT. Основные особенности: Настраиваемая интенсивность мониторинга: если на сервере не предполагаются резкие перепады потребления памяти, то можно снизить нагрузку на процессор, снизив интенсивность мониторинга; При нехватке памяти nohang сначала отправляет SIGTERM процессу с наибольшим oom_score. При дальнейшем падении уровня доступной памяти и отсутствии … Читать далее Выпуск Nohang 0.1, предотвращающего OOM в пространстве пользователя

Компания Tracktion открыла движок для создания звуковых приложений

Компания Tracktion, известный производитель цифровых звуковых рабочих станций, открыла исходные тексты пакета Tracktion Engine, включающего высокоуровневую модель данных и набор С++ классов для создания звуковых приложений, от простых плееров и секвенсоров до полноценных студийных звуковых рабочих станций (DAW). Код написан на языке С++ и открыт под лицензией GPLv3. Дополнительно предоставляется коммерческая лицензия для использования движка в проприетарных проектах. Проект был создан в результате трёхлетней работы по рефакторингу движка цифровых звуковых рабочих станций, развиваемых компанией Tracktion. Движок был упрощён, переведён на модульную основу и адаптирован для создания других звуковых приложений. Целью проведённой работы была подготовка компонентов, которые бы учитывали основные особенности … Читать далее Компания Tracktion открыла движок для создания звуковых приложений

Разработан метод атаки на DRAM-память, позволяющий обойти защиту ECC

Группа исследователей из Амстердамского свободного университета разработала (PDF) усовершенствованный вариант атаки RowHammer, позволяющей изменить содержимого отдельных битов в памяти на базе чипов DRAM, для защиты целостности в которых применяются коды коррекции ошибок (ECC). Атака может быть выполнена удалённо при наличии непривилегированного доступа к системе. Напомним, что уязвимость RowHammer позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. … Читать далее Разработан метод атаки на DRAM-память, позволяющий обойти защиту ECC

Уязвимость в ядре Linux, позволяющая обойти ограничения user namespace

В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена уязвимость (CVE-2018-18955), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении. Уязвимость вызвана ошибкой в ядре 4.15, внесённой в октябре прошлого года. Проблема исправлена в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Уязвимость присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных … Читать далее Уязвимость в ядре Linux, позволяющая обойти ограничения user namespace

Представлен eDEX-UI 1.0, консольный интерфейс в стиле фильма Трон 2

В рамках проекта eDEX-UI подготовлено консольное окружение, оформленное в стиле компьютерного интерфейса из фантастического фильма Tron Legacy. В отличие от похожих проектов, таких как DEX-UI, в eDEX-UI реализован не интерактивный макет, а пригодное для реальной работы окружение. Окружение построено с использованием платформы Electron и доступно в сборках для Linux, Windows и macOS. Код распространяется под лицензией GPLv3. Боковые панели отражают состояние параметров работы системы, такие как нагрузка на CPU, потребление памяти, сетевую активность и данные с датчиков. В нижней части размещён файловый менеджер и экранная клавиатура, позволяющая использовать интерфейс на сенсорных экранах. Центральным звеном является эмулятор терминала: в Linux используется … Читать далее Представлен eDEX-UI 1.0, консольный интерфейс в стиле фильма Трон 2

Инициатива по передаче в основное ядро Linux специфичных для Android изменений

Разработчики из компании Google возобновили попытки переноса в основное ядро Linux изменений, развиваемых в варианте ядра для платформы Android. В настоящее время в устройствах с платформой Android применяются отдельные модифицированные ветки ядра, на поддержание которых тратятся большие ресурсы. Первые попытки передачи в основное ядро всех специфичных для Android исправлений были предприняты в 2010 и 2011 годах, но привели лишь к частичной передаче кода. Разработка всех развиваемых для Android дополнений в основном ядре даст возможность пользователям и авторам прошивок применять свежие выпуски обычного ядра Linux, не ограничиваясь ядрами, предлагаемыми Google. В свою очередь разработчики Android смогут существенно упростить сопровождение ядра для … Читать далее Инициатива по передаче в основное ядро Linux специфичных для Android изменений

В Firefox 65 будет переработан интерфейс настройки блокировки контента

В ночных сборках Firefox, на основе которых будет сформирован намеченный на 29 января релиз Firefox 65, переработана секция настройки блокировки контента. В Firefox 65 также планируется по умолчанию активировать блокировщик (в Friefox 63 он реализован в виде опции, но в ночных сборках уже включен по умолчанию). Пользователю будет предложено три режима блокировки (стандартный, строгий и настраиваемый): В стандартном режиме разработчики попытались предложить оптимальные настройки для производительности и защиты приватности. В данном режиме блокируются Cookie, выставляемые сторонними скриптами отслеживания, но допускается выполнение отдельных систем отслеживания, блокирование которых может нарушить нормальную работу сайтов; В строгом режиме блокируются все известные системы отслеживания перемещений … Читать далее В Firefox 65 будет переработан интерфейс настройки блокировки контента

В Ghostscript 9.26 устранена очередная порция уязвимостей

Представлен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF — Ghostscript 9.26, в котором устранено несколько уязвимостей, которые позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов. CVE-2018-17961 — уязвимость вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения. CVE-2018-18073 — уязвимость позволяет организовать выполнение оператора «.forceput» через манипуляции с переданным в обработчик исключения доступом к исполняемому стеку. CVE-2018-18284 — уязвимость позволяет обойти механизм sandbox-изоляции через манипуляцию с векторами с использованием оператора 1Policy; Уязвимость, связанная с небезопасным созданием временных файлов … Читать далее В Ghostscript 9.26 устранена очередная порция уязвимостей

Представлена атака на браузеры, позволяющая определить сайт в другой вкладке

Группа исследователей из Университета имени Давида Бен-Гуриона в Негеве (Израиль), Аделаидского университета (Австралия) и Принстонского университета разработали метод атаки по сторонним каналам, позволяющий определить какой сайт открыт в соседней вкладке браузера через анализ задержек при обращении к кэшу. Проблеме подвержен в том числе Tor Browser. Атака построена c применением нейронной сети, выявляющей характерную при работе с каждым сайтом активность кэша. Подобные атаки ранее были предложены для выявления фактов открытия web-страниц на основе статистического анализа шифрованного сетевого трафика, в том числе позволяющие через пассивный анализ трафика определять отправку определённых запросов через Tor. В предложенной исследователями атаке вместо анализа сетевого трафика используется … Читать далее Представлена атака на браузеры, позволяющая определить сайт в другой вкладке

Новая версия пакета PlayOnLinux 4.3

Доступен выпуск проекта PlayOnLinux 4.3, в рамках которого развивается надстройка над Wine для организации запуска популярных Windows-игр, предоставляющая графический интерфейс, автоматизирующая конфигурирование окружения Wine и упрощающая установку игр. Код проекта написан на bash и Python, и распространяется под лицензией GPLv3. Находящаяся на стадии тестирования ветка 5.0 переписана на Java и развивается в рамках проекта Phoenicis. В PlayOnLinux 4.3 улучшена поддержка экранов с высокой плотностью пикселей (HiDPI) и обеспечена совместимость с инфраструктурой автоматической сборки Wine (winebuild), развиваемой для проекта Phoenicis (PlayOnLinux 5). Новый winebuild использует Docker, написан на Pythоn и не привязан к конкретным операционным системам. Применяемый в PlayOnLinux 4 сервис … Читать далее Новая версия пакета PlayOnLinux 4.3

Уязвимость в движке для создания форумов phpBB

В популярном свободном движке для создания форумов phpBB выявлена уязвимость (CVE-2018-19274), позволяющая выполнить PHP-код на сервере и получить контроль за всей инфраструктурой форумов, имея полномочия администратора одного из форумов. Проблема устранена в выпуске phpBB 3.2.4. Уязвимость вызвана отсутствием проверки поступающих от пользователя данных, перед их использованием в функции file_exists(). Данная особенность позволяет применить для эксплуатации технику «Phar deserialization«, манипулирующую автоматической десериализацией метаданных при обработке файлов Phar (PHP Archive). Атакующий имеет возможность задать в панели управления абсолютный путь к исполняемому файлу с редактором изображений (ImageMagic). Перед применением новой настройки данный путь без проверки будет обработан функцией file_exists(), которая в случае указания … Читать далее Уязвимость в движке для создания форумов phpBB

Релиз системы сборки CMake 3.13

Состоялся релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.13, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Основные улучшения: В команду cmake … Читать далее Релиз системы сборки CMake 3.13

Выпуск ngx_php 0.0.13, модуля с интерпретатором PHP для nginx

Подготовлен новый выпуск модуля ngx_php с реализацией встраиваемого в nginx интерпретатора языка программирования PHP. Модуль позволяет создавать обработчики запросов на PHP, модифицировать запрос/ответ, фильтровать тело ответа и заголовки, создавать заглушки для блокирования уязвимостей в web-приложениях, организовывать проверку доступа. По сравнению с запуском PHP при помощи fpm модуль ngx_php обеспечивает доступ к внутренним API nginx и демонстрирует существенный прирост производительности (от 2 до 10 раз). location = /nginx_request { set $a 123; content_by_php ‘ echo ngx_request::document_uri(); echo «ngx::query_args()n»; var_dump(ngx::query_args()); $a = ngx_var::get(«a»); var_dump($a); ‘; } Дополнительно можно отметить вышедшую на днях статью о применении модуля njs (NGINX JavaScript module) для создания … Читать далее Выпуск ngx_php 0.0.13, модуля с интерпретатором PHP для nginx