Выпуск KDE Applications 18.08

Доступен релиз набора KDE Applications 18.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить на данной странице. Основные новшества: Расширены возможности файлового менеджера Dolphin: Модернизировано оформление конфигуратора. Устранены утечки памяти, негативно влиявшие на производительность. При просмотре корзины прекращено отображение меню ‘Create New’. Интерфейс лучше адаптирован для оптимальной работы при высоких разрешениях экрана. В контекстное меню добавлены опции … Читать далее Выпуск KDE Applications 18.08

Дополнение из состава 3D-фреймворка Verge3D опубликовано под свободной лицензией

Разработчики фреймворка для создания трёхмерных веб-приложений Verge3D опубликовали плагин для экспорта моделей под свободной лицензией GPLv3. Данный плагин для трёхмерного пакета Blender позволяет экспортировать модели в формате glTF 2.0 и создавать трёхмерный контент для публикации в социальной сети Facebook. Форма трёхмерных данных glTF разрабатывается консорциумом Khronos с 2015 года и призван стать единым стандартом для экспорта и обмена 3D контентом в интернете. Поддержка стандарта уже реализована во многих движках и пакетах моделирования. Источник. Читать далее Дополнение из состава 3D-фреймворка Verge3D опубликовано под свободной лицензией

Выявлены следы работы Valve над инструментарием для запуска Windows игр в Linux

Пользователи игрового сервиса Steam заметили среди файлов с описанием элементов интерфейса появление упоминания новой прослойки Steam Play, нацеленной на запуск Windows-игр в окружении SteamOS на базе Linux. Steam Play пока официально не анонсирован и не документирован, но, судя по описанию в GUI-файлах, обеспечит автоматическую установку инструментария для обеспечения совместимости, позволяющего запускать игры независимо от используемой операционной системы. Предполагается, что инструментарий будет основан на наработках проекта Wine. Источник. Читать далее Выявлены следы работы Valve над инструментарием для запуска Windows игр в Linux

Debian GNU/Linux исполнилось 25 лет

Проект Debian празднует своё двадцатипятилетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdoch) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии с духом полной открытости, свойственной Linux и GNU, а также стремление к техническому совершенству и надёжности. За время существования Debian было выпущено 15 релизов, обеспечена поддержка 30 аппаратных архитектур, сформирован репозиторий из более чем 40 тысяч пакетов. В проект вовлечено более 1000 разработчиков, на технологиях Debian построено около 150 производных дистрибутивов, не считая многочисленных ответвлений от таких основанных на Debian дистрибутивов, как Ubuntu. Источник. Читать далее Debian GNU/Linux исполнилось 25 лет

Уязвимость в OpenSSH, позволяющая определить наличие пользователей

В OpenSSH выявлена проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователей с данным именем в системе. Метод базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить повреждённый пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey() завершиться сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе произойдёт сбой при вызове функции sshpkt_get_u8() и сервер просто молча закроет соединение. Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита — для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время … Читать далее Уязвимость в OpenSSH, позволяющая определить наличие пользователей

В Firefox-дополнении Web Security выявлена отправка информации о посещениях

В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем. Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а на ссылки в открытом виде. Более того, отправка данных производилась в привязке к идентификатору пользователя и также передавался прошлый URL, с которого был … Читать далее В Firefox-дополнении Web Security выявлена отправка информации о посещениях

Релиз системы виртуализации VirtualBox 5.2.18

Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.18, в котором отмечено 4 исправления. В новой версии внесены изменения в Virtual Machine Manager (VMM), устранена проблема с загрузкой через VMM свежих версий binutils и собственных сборок VirtualBox, решены проблемы с работой режима трансляции адресов «—nataliasmode sameports», устранена проблема с завершением процесса виртуальной машины при отсоединении клиента VRDP при включенной поддержке 3D. Источник. Читать далее Релиз системы виртуализации VirtualBox 5.2.18

Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и FreeBSD

Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов. Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При … Читать далее Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и FreeBSD

Релиз эмулятора QEMU 3.0

Представлен релиз проекта QEMU 3.0.0. Значительное изменение номера версии связано с переходом проекта на новую схему нумерацию выпусков, в соответствии с которой первая цифра в номере версии будет увеличиваться раз в год. Никаких кардинальных изменений или нарушений совместимости изменение первой цифры не отражает. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM. Изначально проект … Читать далее Релиз эмулятора QEMU 3.0

L1TF

Компания Intel раскрыла сведения о группе уязвимостей в механизме спекулятивного выполнения CPU, представленных под кодовым именем Foreshadow или L1 Terminal Fault (L1TF). Уязвимости манипулируют тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице страниц памяти, процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кэше. Спекулятивное обращение выполняется до завершения перебора таблицы страниц памяти и независимо от состояния записи в таблице страниц памяти (PTE), т.е. до проверки наличия данных в физической памяти и их доступности для чтения. После завершения проверки доступности памяти, в случае … Читать далее L1TF

Новый стабильный релиз открытой биллинговой системы Ubilling 0.9.1

После нескольких месяцев затишья произошел релиз открытой биллинговой системы Ubilling, выступающий надстройкой над ядром Stargazer, свободной системы учёта и авторизации в локальных, домашних и офисных сетях, написанной на C. Код веб-интерфейса Ubilling написан на PHP и распространяется под лицензией GPLv2. Для предварительного ознакомления с системой запущен демонстрационный web-интерфейс. Среди основных изменений: Модуль «Печать документов»: при создании документов на основе публичных шаблонов, чекбокс публичности теперь по умолчанию установлен. Модуль «Печать документов»: добавлена возможность редактировать имя и публичность существующих шаблонов docx. Модуль «Помощник прокрастинации»: сильно переработан, теперь прокрастинировать можно намного эффективнее. Модуль «Живи с этим»: изменен процесс логирования выполненных задач. Теперь в … Читать далее Новый стабильный релиз открытой биллинговой системы Ubilling 0.9.1

Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей

Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей: CVE-2018-1139 — позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках; CVE-2018-1140 — отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через DNS или LDAP; CVE-2018-10858 — при обращении клиента к серверу, подконтрольному злоумышленнику, возможно повреждение областей памяти libsmbclient; CVE-2018-10918 — отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через DRSUAPI RPC; CVE-2018-10919 — отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через … Читать далее Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей

47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk

Компания Kryptowire представила на конференции DEF CON результаты своего исследования прошивок различных Android-смартфонов, в результате которого было выявлено 47 уязвимостей, затрагивающих 27 различных моделей смартфонов от Alcatel, ASUSE, LG, ZTE, Sony, Nokia, Orbic, Oppo, MXQ и ряда других производителей. Уязвимости достаточно разноплановые, от инициирования краха прошивки, очистки всех данных пользователя и скрытого создания скриншотов или записи видео содержимого экрана, до получения root-привилегий, установки приложений без ведома пользователя, неавторизированной отправки SMS и доступа к адресной книге. Все выявленные уязвимости выходят за пределы штатной модели управления доступом Android и, как правило, затрагивают дополнительные надстройки и драйверы, добавленные производителями. Уязвимости выявлены в рамках … Читать далее 47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk

Выпуск Launchpad Daemon 1.5, программного аналога MIDI-контроллера

Доступен новый выпуск Launchpadd, программного аналога MIDI-контроллера для создания музыки с помощью кнопок (Pads) для смартфонов и планшетов на платформе Android. Программа поддерживает клиент-серверный режим, в котором ноты отправляются на компьютер, а далее в любую программу, которая поддерживает миди сокеты. Изменения: Добавлена функция загрузки пресетов по умолчанию из репозитория при первой установке приложения. Добавлено простейшее меню с возможностью менять преднастройки. Добавлена возможность менять преднастройки одновременно на клиенте и на сервере. (активировано по умолчанию) Удалены ненужные функции. (такие как вывод /proc/cpuinfo в консоль и прочее…) Добавлена поддержка альбомной ориентации. Значение «usemidi» было перемещено из основного файла настройки в файл настроек пресетов. … Читать далее Выпуск Launchpad Daemon 1.5, программного аналога MIDI-контроллера

Релиз профессионального видеоредактора DaVinci Resolve 15

Компания Blackmagic Design, специализирующаяся на производстве профессиональных видеокамер и систем обработки видео, опубликовала выпуск проприетарной системы цветокоррекции и нелинейного монтажа DaVinci Resolve 15, используемой многими известными голливудскими киностудиями в процессе производства фильмов, сериалов, рекламных роликов, телепрограмм и видеоклипов. DaVinci Resolve объединяет в одном приложении средства для монтажа, цветоустановки, наложения звука, финальной обработки и создания конечного продукта. Сборки DaVinci Resolve подготовлены для Linux, Windows и macOS. Для загрузки требуется регистрация. Бесплатная версия имеет ограничения, связанные с выпуском продукции для коммерческого кинопоказа в кинотеатрах (монтаж и цветокоррекция 3D-кино, сверхвысокие разрешения и т.п.), но не ограничивает базовые возможности пакета, поддержку профессиональных форматов для … Читать далее Релиз профессионального видеоредактора DaVinci Resolve 15

Опубликован RFC для TLS 1.3

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола TLS 1.3 и опубликовал связанную с ним спецификацию под идентификатором RFC 8446. RFC получил статус «Предложенного стандарта», после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний. Установка защищённых соединений с использованием TLS 1.3 уже поддерживается в Firefox и Chrome, и реализована в ветке OpenSSL 1.1.1, которая пока находится на стадии тестирования. О включении поддержки TLS 1.3 на своих серверах заявили компании Cloudflare, Google и Facebook. Facebook отмечает, что уже около … Читать далее Опубликован RFC для TLS 1.3

Представлен порт Qt 1 для современных систем

Участники команды KDE Restoration Project, ведущие работу по портированию KDE 1 и KDE 2 для работы в современных дистрибутивах, выполнили портирование библиотеки Qt 1, переведённой на сборку с использованием Cmake. Работающий на современных ситемах порт Qt 1 опубликован на GitHub. Конечной целью проекта является предоставление возможности запуска полноценного рабочего стола KDE 1. Источник. Читать далее Представлен порт Qt 1 для современных систем

Компания Tesla намерена открыть код систем обеспечения безопасности

Илон Маск сообщил о намерении перевести в разряд открытого ПО компоненты, применяемые для обеспечения безопасности автомобилей Tesla с автономным управлением. Никаких деталей и сроков пока не называется, но упоминается мотив — желание повысить безопасность всех беспилотных автомобилей. По мнению Маска, предложенный код сможет применяться и другими производителями для повышения безопасности своих систем. Источник. Читать далее Компания Tesla намерена открыть код систем обеспечения безопасности

Релиз ядра Linux 4.18

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.18. Среди наиболее заметных изменений в ядре 4.18: возможность монтирования ФС на базе FUSE непривилегированным пользователем, пакетный фильтр bpfilter, подсистема AF_XDP (eXpress Data Path), новый тип модулей ядра umh (usermode helper), device-mapper модуль writecache, поддержка SoC Qualcomm Snapdragon 845 и GPU AMD Vega 20, новый API поллинга для асинхронного ввода/вывода. В новую версию принято 13 тысяч исправлений от 1668 разработчиков, размер патча — 50 Мб (изменения затронули 12866 файлов, добавлено 521039 строк кода, удалено — 619603 строк). Около 49% всех представленных в 4.18 изменений связаны с драйверами устройств, примерно 14% … Читать далее Релиз ядра Linux 4.18

Новая техника атаки на беспроводные сети с WPA2

Йенс Штойбе (Jens «atom» Steube), создатель программы для подбора паролей hashcat, представил новую технику атаки на беспроводные сети с аутентификацией на базе механизмов WPA или WPA2. Предложенный метод существенно упрощает получение идентификатора, который затем может быть использован для подбора пароля подключения к беспроводной сети. Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element)). Наличие PMKID позволяет определить разделяемый ключ PSK (Pre-Shared Key, пароль к … Читать далее Новая техника атаки на беспроводные сети с WPA2

Dropbox прекращает поддержку всех ФС в Linux, за исключением Ext4

Обладатели десктоп-клиента для работы с облачным сервисом Dropbox получили увеломление о скором прекращении поддержки синхронизации данных с облаком в случае использования файловых систем, отличных от Ext4. Начиная с 7 ноября синхронизация содержимого каталогов с Dropbox станет невозможной, например, при использовании многослойных или шифрованных разделов (в том числе eCryptfs поверх ext4) или файловых систем XFS, ZFS и Btrfs. Причина такого решения остаётся до конца не ясной, в комментариях от представителей Dropbox упоминается лишь необходимость поддержки в ФС расширенных атрибутов/Xattrs, но многие пользователи находят данный довод неубедительным, так как все основные Linux ФС поддерживают расширенные атрибуты и нет явных факторов, которые бы … Читать далее Dropbox прекращает поддержку всех ФС в Linux, за исключением Ext4