Обновление Tor с устранением потенциальной уязвимости

Представлены корректирующие выпуски поддерживаемых веток инструментария Tor (0.4.0.2-alpha, 0.3.5.8, 0.3.4.11, 0.3.3.12), используемого для организации работы анонимной сети Tor. В указанных выпусках устранена потенциальная уязвимость (CVE-2019-895) в коде планировщика построения цепочек проброса KIST («Kernel Informed Socket Transport»), которая может применяться для DoS-атаки (завершение работы процесса с assertion error) на шлюзы и клиентов Tor. Источник. Читать далее Обновление Tor с устранением потенциальной уязвимости

31% дополнений к Chrome используют библиотеки с известными уязвимостями

Разработчики сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков при использовании дополнений, представленных в каталоге Chrome Web Store. В ходе исследования было изучены полномочия более 120 тысяч дополнений для Chrome. В итоге было выяснено, что: 31.8% дополнений используют сторонние библиотеки, в которых имеются известные уязвимости. 35.4% дополнений запрашивают полномочия, позволяющие полностью получить доступ к данным пользователя на любых сайтах. 15% применяют уязвимые библиотеки и имеют полномочия для доступа к пользовательским данным на сайтах. 9% дополнений имеют полномочия для чтения всех Cookie пользователя; 77.3% дополнений не имеют собственного сайта. 84.7% дополнений не определяют правила обработки конфиденциальных данных. 78.3% … Читать далее 31% дополнений к Chrome используют библиотеки с известными уязвимостями

Компания Redis Labs перешла с Commons Clause на собственную несвободную лицензию

Компания Redis Labs, развивающая СУБД Redis, объявила об очередной смене лицензии на дополнительные модули, в которых предлагаются расширенные возможности для корпоративных пользователей (RediSearch, RedisGraph, RedisJSON, RedisML, RedisBloom и т.п.). Вместо ранее применяемой лицензии Apache 2.0 с дополнением «Commons Clause», вводящей ограничение на продажу, модули отныне будут поставляться под отдельной проприетарной лицензией RSAL (Redis Source Available License). Основной код Redis остаётся свободным и продолжает поставляться под лицензией BSD. Лицензия RSAL по своим целям напоминает ранее принятую проектом MongoDB лицензию SSPL, которая была причислена к числу несвободных лицензий, недопустимых для использования в репозиториях Fedora. RSAL базируется на принципах разрешительной лицензии BSD, но … Читать далее Компания Redis Labs перешла с Commons Clause на собственную несвободную лицензию

Для гипервизора KVM реализована возможность запуска гостевых систем Xen

Жуан Мартинс (Joao Martins) из компании Oracle предложил для обсуждения разработчиками ядра Linux набор патчей, добавляющий в гипервизор KVM возможности запуска немодицированных гостевых систем Xen в режиме HVM (применение полной виртуализации) c использованием всех уже имеющиеся бэкендов (драйверы на стороне хост-окружения (Dom0) для обеспечения работы гостевой ОС) и фронтэндов (драйверы на стороне гостевой ОС (DomU) для взаимодействия с бэкенд-драйверами хост-окружения, например драйверы сетевой, графической и дисковых подсистем). Поддержка гостевых систем Xen может оказаться полезной для переноса соществующих образов гостевых систем из инфраструктур на базе Xen и для создания полигонов для тестирования и разработки гостевых систем для Xen, а также для … Читать далее Для гипервизора KVM реализована возможность запуска гостевых систем Xen

Linux Foundation запустил проект по разработке Linux-окружения для высоконадёжных систем

Под эгидой организации Linux Foundation запущен новый проект ELISA (Enabling Linux in Safety Application), нацеленный на применение Linux в решениях, требующих повышенной надёжности (Safety-Critical Systems), сбой в которых может угрожать жизни людей, нанести вред окружающей среде или привести к серьёзным повреждениям оборудования. Учредителями нового проекта выступили компании Arm, BMW, KUKA, Linutronix и Toyota. В рамках проекта планируется разработать инструменты и процессы для созданий и сертификации решений повышенной надёжности на базе Linux и открытого ПО, которые можно применять в таких областях, как транспорт, производство, здравоохранение и энергетика. Например, подготовленное Linux-окружение сможет применяться для оснащения промышленных роботов, медицинских устройств, систем автоматизации производства, … Читать далее Linux Foundation запустил проект по разработке Linux-окружения для высоконадёжных систем

Доступны графические интерфейсы для разгона видеокарт NVIDIA и AMD

Представлены три новых проекта с графическими интерфейсами для оверклокинга (overclock) видеокарт NVIDIA и AMD, позволяющие управлять тактовой частотой и параметрами системы охлаждения, отслеживая изменение температуры и характеристик производительности. TuxClocker — интерфейс на Qt5 для разгона GPU NVIDIA 600 и более новых серий. В разработке находится реализация поддержки GPU AMD. Утилита позволяет не только изменять подаваемое напряжение и частоту работы видеопамяти и ядра GPU, но и настраивать изменение скорости вращения кулера в зависимости от температуры, ограничивать максимальное энергопотребление в ваттах, создавать профили с сохранёнными настройками и наглядно отслеживать изменение температуры и энергопотребления на графиках. Имеется возможность работы с несколькими GPU (multi-GPU). … Читать далее Доступны графические интерфейсы для разгона видеокарт NVIDIA и AMD

Проект Tor представил OnionShare 2, приложение для защищённого обмена файлами

Проект Tor представил выпуск утилиты OnionShare 2, позволяющей безопасно и анонимно передавать и получать файлы, а также организовать работу публичного файлообменника. Код проекта написан на языке Python и распространяется под лицензий GPLv3. Готовые пакеты подготовлены для Ubuntu, Fedora, Windows и macOS. OnionShare запускает на локальной системе web-сервер, работающий в форме скрытого сервиса Tor, и делает его доступным для других пользователей. Для доступа к серверу генерируется непредсказуемый onion-адрес, который выступает в роли точки входа для организации обмена файлами (например, «http://ash4…pajf2b.onion/slug», где slug — два случайных слова для усиления защиты). Для загрузки или отправки файлов другим пользователям достаточно открыть этот адрес в … Читать далее Проект Tor представил OnionShare 2, приложение для защищённого обмена файлами

Бета-выпуск openSUSE Leap 15.1

Началось тестирование бета-версии дистрибутива openSUSE Leap 15.1, сформированного на основе базового набора пакетов дистрибутива SUSE Linux Enterprise 15 SP1, поверх которого поставляются более новые выпуски рабочего стола и пользовательских приложений из репозитория openSUSE Tumbleweed. Для загрузки доступна универсальная DVD-сборка, размером 3.8 Гб (x86_64). Релиз openSUSE Leap 15.1 ожидается в конце мая. Из особенностей openSUSE Leap 15.1 упоминается обновление версий некоторых пользовательских приложений, в том числе GNOME 3.30, KDE Plasma 5.15, LXQt 0.13, Cinnamon 3.8, LibreOffice 6.2, Qt 5.12, Mesa 18.3, X.org Server 1.20, Wayland 1.16, Wine 4.1. Пакет с ядром Linux пока не обновлён (предлагается 4.12). Источник. Читать далее Бета-выпуск openSUSE Leap 15.1

Проект KDE перешёл на Matrix для общения разработчиков

Проект KDE объявил о внедрении децентрализованного сервиса для общения разработчиков, построенного с использованием открытой платформы Matrix. Инфраструктура для обмена сообщениями основана на собственном экземпляре сервера Matrix (kde.modular.im), поддержанием которого будут заниматься участники проекта KDE. Matrix выбран в качестве основной платформы для общения разработчиков после нескольких лет изучения возможных альтернатив чатам на основе протокола IRC. Долгое время IRC решал задачи организации общения, но используемые в KDE IRC-каналы размещены на серверах Freenode, не подконтрольных сообществу. Кроме того, IRC непривычен для новичков и не обеспечивает функциональности, к которой привыкли пользователи современных мессенджеров. По мнению разработчиков, Matrix является оптимальной заменой IRC, так как такие … Читать далее Проект KDE перешёл на Matrix для общения разработчиков

0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей

Французский исследователь безопасности Антуан Вастель (Antoine Vastel) опубликовал результаты анализа распространённости метода скрытой идентификации («browser fingerprinting»), учитывающего особенности отрисовки графики при помощи HTML-элемента canvas. Изучение 500 тысяч самых популярных сайтов по рейтингу Alexa показало, что указанная техника скрытой идентификации применяется на 3825 (0.77%) главных страницах сайтов. Интересно, что похожее исследование, проведённое в 2016 году и охватившее миллион крупнейших сайтов, выявило применение canvas для скрытой идентификации на 1.6% сайтах. Расхождение результатов исследований объясняется снижением охвата проверяемых сайтов (на менее популярных сайтах более активно используются спорные техники идентификации) и различными методами анализа (исследование коснулось только главных страниц, в то время как код … Читать далее 0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей

Раскрыты детали уязвимости в WordPress 5.0.0

Саймон Скэннелл (Simon Scannell), в прошлом году предложивший метод атаки «PHP Phar deserialization«, опубликовал сведения об уязвимости в системе управления контентом WordPress, позволяющей выполнить произвольный код на сервере, имея привилегии автора публикаций (Author) на сайте. В обновлениях WordPress 4.9.9 и 5.0.1 была добавлена частичная защита, позволяющая блокировать атаку в основном коде WordPress, но полностью проблема остаётся не исправленной и в актуальном выпуске WordPress 5.0.3 может быть эксплуатирована через дополнительные ошибки в плагинах (отмечается, что проблема проявляется в некоторых популярных плагинах c миллионами активных установок). Уязвимость стала следствием двух проблем — возможности переопределения метаданных в БД и ошибки при обработке файловых … Читать далее Раскрыты детали уязвимости в WordPress 5.0.0

Компания Oracle выпустила обновление Solaris 11.4 SRU 6

Опубликовано обновление операционной системы Solaris 11.4 SRU 6, в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. Формирование сервисных обновлений для ветки Solaris 11.3 прекращено. В новой версии в основном обновлены входящие в состав компоненты, в том числе HMP 2.4.5, RabbitMQ 3.7.8, Erlang 21.0, Samba 4.9.3, tracker 1.12.0, irssi 1.1.2, Explorer 19.1, обновлены пакеты Java 8 и Java 7. Из обновлений, связанных с устранением уязвимостей отмечаются: Firefox 60.5.0 ESR, perl 5.26.3 5.22, ruby 2.3.8, libtiff 4.0.10, LFTP 4.8.4, mod_jk 1.2.46, Python 2.7.15, git 2.19.2, Samba 4.9.3, … Читать далее Компания Oracle выпустила обновление Solaris 11.4 SRU 6

Выпуск модуля LKRG 0.6 для защиты от эксплуатации уязвимостей в ядре Linux

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.6 (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Об особенностях LKRG можно прочитать в первом анонсе проекта. В новой версии для systemd подготовлен unit-файл для инициализации LKRG на начальной стадии загрузки, а также предложены сборочные опции для его установки и удаления. В подсистеме проверки целостности переработана … Читать далее Выпуск модуля LKRG 0.6 для защиты от эксплуатации уязвимостей в ядре Linux

Выпуск программы для управления фотографиями digiKam 6.0

Спустя 10 месяцев с момента прошлого выпуска опубликован релиз программы для управления коллекцией фотографий digiKam 6.0.0, который вобрал в себя новые возможности, подготовленные студентами в рамках программы Google Summer of Code. Основные новшества: Предложены полноценные средства для управления видеофайлами, по аналогии с ранее доступными инструментами для управления коллекцией фотографий. Видео можно просматривать прямо в интерфейсе digiKam, не вызывая отдельный проигрыватель. Для обработки различных форматов и кодеков задействован пакет FFmpeg; В LightTable, редактор изображений и Showfoto интегрированы все доступные инструменты для импорта и экспорта данных в различные web-сервисы (ранее инструменты импорта и экспорта были доступны только в интерфейсе для работы с … Читать далее Выпуск программы для управления фотографиями digiKam 6.0

Оценка производительности браузерных дополнений для блокировки рекламы

Рассмотрев критику изменений в третьей редакции манифеста Chrome, нарушающих работу многих дополнений для блокирования нежелательного контента и обеспечения безопасности, разработчики из компании Google подытожили свою позицию по данному вопросу. Утверждается, что в реализации нового API declarativeNetRequest будут учтены пожелания и замечания авторов дополнений, в том числе будет расширен лимит на число правил блокировки, реализована возможность динамического добавления/удаления правил, добавлена поддержка дополнительных условий фильтрации и возможность не только блокирования, но и изменения частей запроса (например, для чистки отдельных Cookie). Тем не менее, как и раньше разработчики Chrome намерены ограничить старый API webRequest режимом только для чтения (неблокирующим режимом), что позволит только … Читать далее Оценка производительности браузерных дополнений для блокировки рекламы

Выпуск панели Dash to Dock 65

Доступен релиз панели Dash to Dock 65, которая выполнена в виде расширения к оболочке GNOME Shell. На основе Dash to Dock построена панель Ubuntu Dock, которая поставляется в составе Ubuntu вместо оболочки Unity. Ubuntu Dock главным образом отличается настройками по умолчанию и необходимостью использования иного имени для организации обновления с учётом специфики поставки через основной репозиторий Ubuntu, а разработка функциональных изменений производится в рамках основного проекта Dash to Dock. Выпуск поддерживает GNOME Shell версий с 3.18 по 3.30 включительно. В новой версии обеспечено сохранение порядка отображения содержимого окон при их предпросмотре в отдельном всплывающем меню. Проведена оптимизация производительности. Обновлены файлы … Читать далее Выпуск панели Dash to Dock 65

Выпуск браузера Pale Moon 28.4

Доступен релиз web-браузера Pale Moon 28.4, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2. Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии … Читать далее Выпуск браузера Pale Moon 28.4

Релиз дистрибутива для исследования безопасности систем Kali Linux 2019.1

Представлен релиз дистрибутива Kali Linux 2019.1, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ (3.2 Гб) и сокращённый образ (929 Мб). Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной … Читать далее Релиз дистрибутива для исследования безопасности систем Kali Linux 2019.1

Уязвимость в systemd, которую можно использовать для блокирования работы системы

В systemd найдена уязвимость (CVE-2019-6454), позволяющая вызвать крах управляющего процесса инициализации (PID1) через отправку непривилегированным пользователем специально оформленного сообщения через шину D-Bus. Разработчики из Red Hat также не исключают возможность применения уязвимости для организации выполнения кода с привилегиями root, но окончательно возможность такой атаки пока не определена. Манипулируя размером отправляемого через D-Bus сообщения атакующий может сместить указатель за границы выделенной для стека памяти, обойдя защиту «stack guard-page», суть которой в подстановке на границе со стеком страниц памяти, обращение к которым приводит к генерации исключения (page-fault). По мнению исследователя безопасности, выявившего уязвимость, смещение указателя стека возможно только на неиспользуемые страницы памяти … Читать далее Уязвимость в systemd, которую можно использовать для блокирования работы системы

В рамках проекта syswall развивается файервол для системных вызовов

Представлен проект syswall, нацеленный на создание подобия динамического межсетевого экрана для фильтрации доступа приложений к системным вызовам. Код проекта написан на языке Rust, лицензия не указана. Syswall напоминает интерактивный вариант утилиты strace и позволяет отслеживать каждый выполняемый программой системный вызов. Ключевым отличием является то, что помимо вывода информации о системных вызовах и результатах их выполнения, syswall поддерживает интерактивный режим при котором перед выполнением системного вызова отслеживаемый процесс останавливается и пользователю выводится запрос на продолжение или игнорирование дальнейшей операции (например, можно контролировать попытки открытия каждого файла или сетевого соединения процессом). Syswall также может собирать статистику о выполняемых системных вызовах и на … Читать далее В рамках проекта syswall развивается файервол для системных вызовов

В Firefox 67 будет изменён интерфейс about:config и интегрировано дополнение Firefox Monitor

В ночных сборках, на базе которых 14 мая будет сформирован релиз Firefox 67, переработан интерфейс about:config. Реализация about:config полностью переписана с использованием JavaScript и стандартных web-технологий, а также приведена в соответствие со стилевым оформлением Firefox Quantum. Вместо столбцов со статусом переменной и её типом добавлен столбец с кнопками, позволяющими инвертировать переменные с булевыми значениями (true/false) и редактировать строковые и числовые переменные. Кроме выделения жирным шрифтом значений, изменённых пользователем, для них также будет отображаться кнопка, позволяющая вернуть значение по умолчанию. По сути новый интерфейс представляет собой открываемую внутри браузера служебную web-страницу. Элементы в about:config теперь можно произвольно выделять мышью (в том … Читать далее В Firefox 67 будет изменён интерфейс about:config и интегрировано дополнение Firefox Monitor