В открытой панели управления хостингом Zpanel выявлена критическая уязвимость, позволяющая любому пользователю, имеющему доступ к интерфейсу панели управления (в том числе клиентам и реселлерам), выполнить произвольные команды на сервере с правами пользователя root. Ошибка вызвана сочетанием отсутствия должных проверок входящих значений с наличием средств для выполнения произвольных операций с правами пользователя root. В частности, пользователь может поменять пароль root указав вместо имени пользователя «;/etc/zpanel/panel/bin/zsudo «echo ‘newpassword’» «| passwd —stdin root» #», а затем включить возможность входа пользователем root по ssh указав «;/etc/zpanel/panel/bin/zsudo sed ‘-i «s/#*(PermitRootLogin)/1 yes #/» /etc/ssh/*hd*g’ #». Проблема пока остаётся неисправленной и присутствует в последнем стабильном выпуске Zpanel … Читать далее В Zpanel выявлена уязвимость, позволяющая получить root-доступ

Доступны корректирующие выпуски DNS-сервера BIND 9.9.3-P1, 9.8.5-P1 и 9.6-ESV-R9-P1 в которых устранена уязвимость CVE-2013-3919, позволяющая инициировать крах серверного процесса named при возврате внешним DNS-сервером записи из специально оформленной зоны в ответ на рекурсивный запрос резолвера. Проблеме подвержены только выпуски BIND 9.6-ESV-R9, 9.8.5 и 9.9.3, более ранние версии 9.6.x, 9.8.x и 9.9.x, а также другие ветки BIND, проблеме не подвержены. Администраторам рекомендуется не затягивать с обновлением систем, так как эксплоит для инициирования отказа в обслуживании уже зафиксирован в Сети. Читать далее Обновление BIND 9.9.3-P1, 9.8.5-P1 и 9.6-ESV-R9-P1 с устранением уязвимости

Известная немецкая хостинговая компания Hetzner обнаружила взлом своих систем и зафиксировала размещение весьма труднообнаружимых бэкдоров на своих серверах. Взлом инфраструктуры был произведен с использованием бэкдора, обнаруженного инженерами компании во внутренней системе мониторинга, использующей Nagios (разработчики Nagios утверждают, что в Hetzner используется форк проекта — Icinga). В результате взлома атакующие потенциально могли получить доступ ко всем данным клиентов, указанным в панели управления, в том числе к хэшам паролей и информации о совершённых платежах. Наиболее интересным моментом данной атаки является тот факт, что Rootkit поражает процессы Apache и sshd только в оперативной памяти. Файлы, хранящиеся на диске модификации не подвергаются, что делает … Читать далее Хостинговая компания Hetzner уведомила клиентов о обнаружении бэкдора в своих системах

Представлены корректирующие выпуски интерпретатора языка программирования PHP — 5.4.16 и 5.3.26 в которых устранено 15 ошибок, в том числе устранением уязвимости CVE-2013-2110, связанной с возможностью переполнения буфера в реализации функции quoted_printable_encode. Связанные с уязвимостью подробности пока не разглашаются, но об опасности проблемы можно судить по рекомендации срочного обновления систем. Читать далее Обновление PHP 5.4.16 и 5.3.26 с устранением уязвимости

Джоно Бэкон (Jono Bacon), менеджер по взаимодействию с комьюнити компании Canonical, опубликовал видеодемонстрацию текущего состояния разработки проекта Ubuntu Phone, при установке на смартфон Galaxy Nexus. По его мнению внесённая в мае большая порция улучшений уже позволяет использовать платформу для повседневного использования энтузиастами, заинтересованными в тестировании Ubuntu Phone. Платформа поддерживает приём и отправку звонков и коротких сообщений, позволяет просматривать web-сайты, общаться в социальных сетях, поддерживает многозадачность. Почти все ранее используемые заглушки с макетами программ заменены на прототипы рабочих приложений. В программы добавлено формирование интерфейса с учётом ориентации экрана. Ранее наблюдаемые крахи в процессе работы устранены, система ведёт себя достаточно стабильно. Заметно … Читать далее Демонстрация состояния развития Ubuntu Phone

Доступна новая версия проекта Turnkey Linux 12.1, в рамках которого сформирована коллекция из более ста минималистичных сборок Debian, пригодных для использования в качестве гостевых ОС в системах виртуализации VMware, Xen, OpenVZ, KVM, VirtualBox или для быстрого развертывания в Cloud-окружениях Amazon EC2. Средний размер каждой сборки — 200 Мб. Сразу после установки пользователь имеет возможность получить полностью работоспособные из коробки рабочие окружения с LAMP (Linux, Apache, MySQL, PHP/Python/Perl), Ruby on Rails, Joomla, MediaWiki, WordPress, Drupal, Apache Tomcat, LAPP, Django, MySQL, PostgreSQL, Node.js, Jenkins, Typo3, Plone, SugarCRM, punBB, OS Commerce, ownCloud, MongoDB, OpenLDAP, gitlab, CouchDB и т.д. Управление программным обеспечением производится через … Читать далее Вышел Turnkey Linux 12.1, набор мини-дистрибутивов для быстрого развертывания приложений

История с неисправленной уязвимостью в панели управления Plesk получила продолжение — сообщается о выявлении следов построения ботнета, в котором для проникновения использована указанная проблема безопасности. Размещаемый после атаки управляющий код, а также скрипты для поражения новых систем, написаны на Perl и координируются через IRC-канал. В процессе изучения поведения ботнета (был получен доступ к управляющему серверу) было выявлено около 900 обращений к уязвимой версии Plesk, по предварительной оценке за час наблюдения было поражено примерно 40 новых серверов. Читать далее Уязвимость в Plesk использовалась для построения ботнета из web-серверов

Фонд свободного ПО объявил о присвоении проекту LibreWRT статуса полностью свободного дистрибутива. LibreWRT стал первым дистрибутивом для портативных систем, отвечающим всем критериям, предъявляемым к полностью свободным системам. Дистрибутив основан на наработках проекта OpenWRT и отличается исключением из поставки всех несвободных компонентов, таких как бинарные драйверы, прошивки и приложения, распространяемые под несвободной лицензией или использующие зарегистрированные торговые марки. Несколько дней назад началось тестирование бета выпуска LibreWRT 2.0, который доступен в сборках для беспроводных маршрутизаторов на базе чипов Atheros, поддерживаемых свободным драйверов ath9k, например, для wifi-маршрутизатора Ben Nanonote и Buffalo WZR-HP-G300NH. В отличие от первого выпуска в состав LibreWRT включены такие пакеты, … Читать далее Фонд СПО анонсировал полностью свободный дистрибутив LibreWRT

Вышла новая стабильная ветка системы журналирования системных событий rsyslog 7.4.0, используемой в большинстве дистрибутиов Linux в качестве реализации сервиса syslog. Среди ключевых новшеств rsyslog 7.4.0: Возможность отправки и приема записей в systemd Journal для обеспечения работы сценариев, предусматривающих работу обеих систем бок о бок. Для интеграция с systemd Journal представлены новые модули omjournal и imjournal для экспорта и импорта записей; Поддержка шифрования файлов с логами. В качестве базового провайдера для шифрования задействована библиотека libgcrypt; Режим гарантирования корректности сохранённых сообщений через использованием цифровых подписей; Реализация модуля mmanon, обеспечивающего работу режима анонимизации записей в логе путем замены фигурирующих в сообщениях IP-адресов на … Читать далее Релиз rsyslog 7.4.0

Проект StartUbuntu представил обновление 64-разрядной русской сборки Ubuntu 12.04.2. Новый выпуск примечателен переходом на использование по-умолчанию рабочего стола Unity (ранее во всех сборках проекта по-умолчанию использовался GNOME Classic, который все еще присутствует в сборке и доступен на выбор пользователя, наряду с Cinnamon и GNOME Shell). Проект предлагает проверенную временем платформу с новейшим программным обеспечением, предустановленными пакетами поддержки русского, белорусского и украинского языков. Новый выпуск включает все обновления и исправления Ubuntu 12.04 на 4 июня 2013 года. В том числе, в состав включено ядро Linux 3.5, мультимедиа-кодеки и самые последние версии программ «из коробки», такие как Firefox 21, Google Chrome 27, … Читать далее Обновление сборки Ubuntu 12.04 от проекта StartUbuntu

Разработчики Raspberry Pi представили новый пользовательский интерфейс NOOBS, предназначенный для быстрой установки различных операционных систем. Интерфейс позволяет в один клик установить образ операционной системы на свободное место на SD-карте. Поддерживается установка Raspbian, Arch Linux, Pidora и двух вариантов медиацентра XBMC. Особенностью приложения является его установка на SD карту, после загрузки с данной карты NOOBS предоставляет интерфейс для установки и запуска выбранной системы. Если какая-то система уже установлена, для выбора другой ОС интерфейс NOOBS может быть вызван через удержание клавиши Shift в процессе загрузки. Образы поддерживается систем включены в комплект NOOBS, т.е. для их установки не требуется подключение к сети или … Читать далее Для Raspberry Pi подготовлена упрощённая система установки системных образов

После года разработки представлен релиз новой стабильной ветки сетевого анализатора Wireshark — 1.10.0. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark. Ключевые новшества Wireshark 1.10.0: Поддержка сборки с использованием GTK+ 3; Добавлена поддержка всех профилей и протоколов Bluetooth; Обновлено содержимое панели инструментов для беспроводных сетей; В версии для Linux налажено определение добавления и удаления сетевых интерфейсов; Обеспечена поддержка сравнения двух полей при задании правил фильтрации вывода на экран, например, можно указать udp.srcport != udp.dstport; Улучшено определение типа и имени продукта для USB-устройств; … Читать далее Новая версия сетевого анализатора Wireshark 1.10.0

Компания Роса представила релиз дистрибутива ROSA Desktop Fresh R1, ориентированного на энтузиастов и опытных пользователей, желающих получить подборку наиболее свежих версий приложений. При этом, благодаря использованию современных методов непрерывного тестирования и проверки качества, поставка свежих версий программ не отразилась на стабильности дистрибутива. Для свободной загрузки подготовлена DVD-сборка, размером 1.6 Гб, оформленная в вариантах для платформ i586 и x86_64. В настоящее время доступна только сборка на базе KDE, но в ближайшее время также планируется подготовить версии дистрибутива с окружениями GNOME и LXDE. Пользователи ROSA Desktop Fresh 2012 смогут обновить свои системы через штатную систему установки обновлений. Особенности дистрибутива: Из коробки доступен … Читать далее Представлен Linux-дистрибутив ROSA Desktop Fresh R1

Люк Верхеген (Luc Verhaegen), разработчик проекта Lima, в рамках которого с использованием методов обратного инжиниринга развивается открытый драйвер для GPU семейства MALI, применяемых во многих чипах на основе архитектуры ARM, опубликовал отчёт с описанием прогресса в разработке. Кроме всего прочего, в отчёте упомянут неприятный факт: по сведениям разработчика, полученным из надежных источников, руководство компании ARM отрицательно относится к инициативе по созданию открытых драйверов для их GPU. По мнению руководства компании ARM, открытый драйвер не дает очевидных преимуществ, однако даже уже существующая версия содержит слишком много сведений о внутренней архитектуре GPU MALI. Кроме того, руководство аргументирует, что если бы они хотели … Читать далее Компания ARM недовольна инициативой по созданию открытых драйверов для GPU MALI

Роб Кларк (Rob Clark), разработчик из компании Red Hat, развивающий открытый набор драйверов Freedreno для чипов OMAP и вовлечённый в разработку проекта Linaro, подготовил компоненты для установки Fedora 19 на смартфон Nexus 4. Установщик позволяет экспериментировать с работой Fedora 19, в том числе можно запустить окружение GNOME, оставляя работоспособной штатную прошивку на базе платформы Android. В качестве основной задачи подготовки средств для загрузки Fedora называется тестирование работы открытых драйверов для выпускаемых компанией Qualcomm чипов Snapdragon, поставляемых с интегрированными графическими процессорами Adreno A320. Fedora запускается в качестве полноценной системы с собственным ядром, при этом целостность платформы Android не нарушается так как … Читать далее Представлен инсталлятор Fedora 19 для смартфона Nexus 4

Разработчики openSUSE представили новый вариант системы управления конфигурацией YaST, полностью переписанный с использованием языка Ruby. В процессе внутреннего тестирования переписанный на Ruby прототип YaST уже успешно продемонстрировал возможность установки и администрирования экспериментальных сборок openSUSE. Код уже признан готовым для включения в состав четвёртой предварительной версии openSUSE 13.1, что позволяет рассчитывать на то, что новый вариант YaST может быть включён в составе следующего выпуска openSUSE. Напомним, что ранее конфигуратор YaST развивался с использованием специфичного языка программирования YCP (YaST Control Programming Language) и поддерживал консольный интерфейс и GUI на базе Qt и GTK+. Использование нестандартного языка программирования мешало вовлечению в проект новых … Читать далее Используемый в SUSE и openSUSE конфигуратор YaST переписан на языке Ruby

В открытом доступе опубликован рабочий эксплоит, позволяющий выполнить произвольный код на web-серверах, на которых установлена панель управления хостингом Plesk. Проблема проверена на системах с Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающих под управлением Linux и FreeBSD (остальные системы не тестировались и возможно также являются уязвимыми). Уязвимость пока остаётся неисправленной. По предварительной оценке в Сети находится около 360 тысяч потенциально уязвимых серверов, на который установлена панель Plesk. Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться к любому приложению, размещённому в директории /usr/bin. Представленный эксплоит демонстрирует обращение к CLI-версии установленного в системе интерпретатора PHP. Переопределив управляющие ограничениями настройки конфигурации PHP, открывается … Читать далее Опубликован zero-day эксплоит для атаки на системы с панелью управления Plesk

Майкл Видениус (Michael Widenius), основатель СУБД MySQL и MariaDB, в процессе рассмотрения возможных новых путей монетизации открытого ПО предложил для обсуждения новую концепцию Business Source. Суть Business Source сводится к тому, что доступ к продукту и его исходным текстам имеют только платные подписчики, для остальных код передаётся в публичный доступ после определённого периода нахождения в ограниченном доступе. Например, после трёх лет ограниченного распространения код предлагается публиковать под обычными открытыми лицензиями. При этом, Business Source ориентирован в основном на производителей проприетарного ПО, заинтересованных в открытии своего кода, но опасающихся вероятности негативного влияния такого шага на бизнес. Business Source рассматривается как новый … Читать далее Основатель MySQL предложил Business Source, новую модель монетизации открытого ПО

Лукас Нуссбаум (Lucas Nussbaum), недавно избранный лидер проекта Debian, предупредил пользователей о потере контроля над доменом debian-multimedia.org, на котором ранее размещался популярный неофициальный репозиторий мультимедиа-приложения для Debian GNU/Linux, поменявший название с debian-multimedia.org на deb-multimedia.org из-за нарушения правил использования торговой марки Debian. Домен debian-multimedia.org не был вовремя продлён и третье лицо перекупило его у регистратора. Всем пользователям рекомендуется удалить ссылки на debian-multimedia.org из конфигурации APT (поменять на новый домен проекта — deb-multimedia.org), так как не исключено, что контроль над доменом мог попасть в руки злоумышленников, намеренных заняться распространением поддельных вредоносных пакетов. Упомянутое событие приводится как пример важности использования криптографических ключей для … Читать далее Домен репозитория debian-multimedia.org перекуплен посторонним лицом

Компания Red Hat начала бета-тестирование продукта Red Hat Software Collections, позволяющего использовать в Red Hat Enterprise Linux 6 новые технологии разработки и компоненты web-стека, не ожидая появления следующей ветки RHEL и не устанавливая сторонние пакеты из неофициальных внешних источников. Red Hat Software Collections 1.0 включает в себя пакеты с более свежими версиями программ, чем входящие в состав штатного RHEL. Например, для установки предлагаются Ruby 1.9.3, Rails 3.2.8, Python 2.7, Python 3.3, PHP 5.4, Perl 5.16.3, node.js 0.10, MariaDB 5.5, MySQL 5.5 и PostgreSQL 9.2. Время поддержки Red Hat Software Collections составляет три года, в течение которых пользователи будут снабжаться всеми … Читать далее Бета-выпуск Red Hat Software Collections 1.0

Инженеры из компании Facebook анонсировали новый открытый инструмент Watchman, в рамках которого создан сервис для отслеживания изменения и поиска файлов в заданных иерархиях директорий. При обнаружении факта изменения содержимого файла Watchman позволяет выполнить определённое пользователем событие, привязанное к типу файла и характеру изменений. Несмотря на то, что подобные возможности могут найти достаточно широкую область применения, основной целью разработки является ускорение работы системы сборки больших проектов, в которых Watchman может быть использован для автоматизации пересборки ресурсов, связанных с файлом для которого зафиксировано изменение. В частности, Watchman используется в Facebook для ускорения многоступенчатой системы сборки компонентов на языке PHP — вместо пересборки … Читать далее Facebook представил Watchman, открытый инструмент для отслеживания изменения файлов