Сформирован выпуск основной ветки nginx 1.25.3, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD. Среди изменений: Усилена защита от аномальной активности клиентов HTTP/2, и, в частности, от DoS-атак класса «Rapid Reset«, в которых создаётся большое число сразу сбрасываемых потоков в рамках одного соединения HTTP/2. В конфигурации по умолчанию подобные атаки упираются в лимит на число запросов на соединение «keepalive_requests» (после каждых 1000 … Читать далее Выпуск nginx 1.25.3, njs 0.8.2 и NGINX Unit 1.31.1

Опубликованы корректирующие выпуски X.Org Server 21.1.9 и DDX-компонента (Device-Dependent X) xwayland 22.2.2, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены уязвимости, которые потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. Выявленные проблемы: CVE-2023-5367 — переполнение буфера в функциях XIChangeDeviceProperty и RRChangeOutputProperty, которое может быть эксплуатировано через прикрепление дополнительных элементов к свойству устройства ввода или свойству randr. Уязвимость проявляется начиная с выпуска xorg-server 1.4.0 (2007 … Читать далее Обновление X.Org Server 21.1.9 и xwayland 23.2.2 с устранением уязвимостей

Дмитрий Ханжин выполнил перевод документации к оконному менеджеру IceWM и создал русскоязычный сайт проекта — icewm.ru. В настоящее время переведены основное руководство, документация по созданию тем оформления и ман-страницы. Переводы уже включены в состав пакета для ALT Linux. Источник: http://www.opennet.ru/opennews/art.shtml?num=59990 Читать далее Перевод документации по оконному менеджеру IceWM

Состоялся релиз web-браузера Firefox 119 и сформировано обновление ветки с длительным сроком поддержки — 115.4.0. На стадию бета-тестирования переведена ветка Firefox 120, релиз которой намечен на 21 ноября. Основные новшества в Firefox 119: Предложен обновлённый интерфейс страницы Firefox View, упрощающей доступ к ранее просматриваемому содержимому. На странице Firefox View в одном месте собрана информации об активных вкладках, недавно просмотренных страницах, закрытых вкладках и вкладках с других устройств. В новой версии в Firefox View обеспечено отображение информации о всех вкладках, открытых в любых окнах, а также добавлена возможность просмотра истории посещений с сортировкой по дате или сайту. Включена возможность импорта дополнений … Читать далее Релиз Firefox 119

Компания Canonical объявила о предоставлении 10-летнего срока формирования обновлений для LTS-выпусков Ubuntu, а также для базовых пакетов с ядром Linux, изначально поставляемых в LTS-ветках. Таким образом, LTS-выпуск Ubuntu 22.04 и используемое в нём ядро Linux 5.15 будут поддерживаться до апреля 2032 года, а обновления для следующего LTS-релиза Ubuntu 24.04 будут формироваться до 2034 года. Ранее решения об аналогичных продлениях срока поддержки c 8 до 10 лет отдельно принимались для выпусков Ubuntu 14.04, 16.04, 18.04 и 20.04. Половину из 10-летнего срока сопровождения поддержка осуществляется в рамках программы ESM (Extended Security Maintenance), которая охватывает обновления с устранением уязвимостей для ядра и наиболее … Читать далее Время поддержки LTS-релизов Ubuntu увеличено до 10 лет

Исследователи из Швейцарской высшей технической школы Цюриха разработали систему fuzzing-тестирования Cascade, нацеленную на выявление ошибок и уязвимостей в процессорах на базе архитектуры RISC-V. Инструментарий уже позволил выявить 37 ошибок в процессорах, из которых 29 были классифицированы как ранее неизвестные уязвимости. Разработчики Cascade попытались учесть недостатки существующих до этого систем fuzzing-тестирования процессоров, которые ограничивались выполнением лишь коротких порций кода, охватывающих небольшую часть набора инструкций и ограниченное число комбинаций выполнения команд. Cascade нацелен на генерацию больших и сложных программ, охватывающих нетривиальные потоки выполнения команд и приводящих к возникновению нетипичных состояний CPU. В Cascade при помощи имеющейся эталонной модели набора инструкций команд RISC-V … Читать далее Представлен инструментарий Cascade, позволивший выявить 29 уязвимостей в процессорах RISC-V

Опубликован выпуск проекта Kata Containers 3.2, развивающего стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Проект создан компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языках Go и Rust, и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE. Основу Kata составляет runtime, позволяющий создавать компактные виртуальные машины, выполняемые с использованием полноценного гипервизора, вместо применения традиционных контейнеров, использующих общее ядро Linux … Читать далее Выпуск Kata Containers 3.2 с изоляцией на основе виртуализации

Разработчики проекта openSUSE опубликовали новый выпуск инсталлятора Agama (бывший D-Installer), развиваемого для замены классического интерфейса установки SUSE и openSUSE, и примечательного отделением пользовательского интерфейса от внутренних компонентов YaST. Agama предоставляет возможность использования различных фронтэндов, например, фронтэнда для управления установкой через web-интерфейс. Для установки пакетов, проверки оборудования, разбивки дисков и прочих необходимых при инсталляции функций продолжают использоваться библиотеки YaST, поверх которых реализованы сервисы-прослойки, абстрагирующие доступ к библиотекам через унифицированный интерфейс D-Bus. Для тестирования сформированы live-сборки с новым инсталлятором (x86_64, ARM64), поддерживающие установку непрерывно обновляемой сборки openSUSE Tumbleweed, а также редакций openSUSE Leap Micro, SUSE ALP и openSUSE Leap 16, построенных на … Читать далее Проект openSUSE опубликовал альтернативный инсталлятор Agama 5

Компания Google намерена удалить из кодовой базы Chrome поддержку свободного видеокодека Theora, созданного организацией Xiph.org Foundation на основе кодека VP3 и поддерживаемого в Firefox и Chrome c 2009 года. При этом кодек Theora никогда не поддерживался в Chrome для Android и в браузерах на базе WebKit, таких как Safari. Аналогичное предложение по удалению Theora рассматривается разработчиками Firefox. В качестве причины прекращения поддержки Theora упоминаются опасения, что в реализации Theora, в которой имеется достаточно сложная логика разбора бинарных данных и декодирования потоков, могут присутствовать уязвимости, похожие на недавние критические проблемы с кодировщиком VP8. По мнению разработчиков, из-за участившихся 0-day атак на … Читать далее Разработчики Chrome и Firefox рассматривают возможность прекращения поддержки видеокодека Theora

В России ведётся разработка обучающей платформы для системных программистов — БМПОС (Базовая Модульная Платформа Операционных Систем), которая задумана и создаётся как обучающее пособие по разработке операционных систем с развитой теоретической и практической базой. В рамках проекта развивается модульное ядро, которое фундаментально отличающееся от существующих ядер и спроектировано специально для изучения процесса разработки операционных систем. Код ОС написан на языке Си и распространяется под MIT-подобной лицензией ГОЛ (Государственная Открытая Лицензия). Разработка нацелена на получение обучающимися знаний по минимально необходимой кодовой базе, формирование навыков постройки простой и понятной архитектуры и максимального упрощения кода. ОС имеет небольшой размер бинарных файлов, что способствует достижению … Читать далее Начальный выпуск ядра БМПОС

Компания Google приступила к реализации в браузере Chrome функции IP Protection, предназначенной для скрытия IP-адреса пользователя от владельцев сайтов. Новая возможность может использоваться в качестве встроенного анонимайзера, пригодного среди прочего для обхода блокировок, реализованных как на стороне сайтов, так и на уровне операторов связи. Технически предложенная возможность реализована через направление трафика не на прямую, а через прокси-сервер, перенаправляющий запрос на целевой сервер, который видит в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN. Для анонимизации запроса предусмотрена возможность проброса запроса последовательно через несколько прокси. В этом случае информация об IP-адресе клиента будет известна только первому прокси, а … Читать далее В Chrome планируют реализовать режим скрытия IP-адреса пользователя

Доступен первый стабильный релиз проекта nghttp3, развивающего библиотеку на языке Си с реализацией протокола HTTP/3. Развиваемый тем же проектом вариант библиотеки для протокола HTTP/2 используется в качестве основы модуля mod_http2, входящего в состав http-сервера Apache. Наработки проекта также задействованы в утилите Curl. Код библиотеки распространяется под лицензией MIT. Стандарт HTTP/3 определяет использование протокола QUIC (Quick UDP Internet Connections) в качестве транспорта для HTTP/2. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Протокол был создан в 2013 году компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем … Читать далее Опубликована библиотека nghttp3 1.0 с реализацией протокола HTTP/3

Представлен выпуск свободной загрузочной прошивки Libreboot 20231021. Обновлению присвоен статус тестовоого выпуска (стабильные релизы публикуются примерно раз в год, прошлый стабильный релиз был в июне). Проект развивает готовую сборку проекта coreboot, предоставляющую замену проприетарным прошивкам UEFI и BIOS, отвечающим за инициализации CPU, памяти, периферийных устройств и других компонентов оборудования, с минимизацией бинарных вставок. Libreboot нацелен на формирование системного окружения, позволяющего обойтись без проприетарного ПО настолько, насколько это возможно, не только на уровне операционной системы, но и прошивки, обеспечивающей загрузку. Libreboot дополняет Coreboot средствами для упрощения применения конечными пользователями, формируя готовый дистрибутив, которым может воспользоваться любой пользователь, не имеющий специальных навыков. … Читать далее Выпуск загрузочной прошивки Libreboot 20231021

Опубликован релиз HTTP-сервера Apache 2.4.58, в котором представлено 33 изменения и устранены три уязвимости, две из которых связаны с возможностью осуществления DoS-атаки на системы, использующие протокол HTTP/2. CVE-2023-45802 — создание условий для исчерпания свободной памяти из-за отложенного освобождения памяти после сброса потока HTTP/2 пакетом с флагом RST. Так как память освобождается не сразу после обработки флага RST, а только после закрытия соединения, атакующий может значительно повысить потребление памяти, отправляя новые запросы и сбрасывая их RST-пакетом, но при этом не закрывая соединение. CVE-2023-43622 — бесконечная блокировка обработки соединения HTTP/2, если оно было открыто с выставлением в 0 начального размера скользящего окна. … Читать далее Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2

Состоялся релиз Node.js 21.0, платформы для выполнения сетевых приложений на языке JavaScript. Поддержка ветки Node.js 21.0 будет осуществляться в течение 6 месяцев. В ближайшие дни будет завершена стабилизация ветки Node.js 20, которая получит статус LTS и будет поддерживаться до апреля 2026 года. Сопровождение прошлой LTS-ветки Node.js 18.0 продлится до сентября 2025 года, а позапрошлой LTS-ветки 16.0 до апреля 2024 года. Основные улучшения: Объявлен стабильным API Fetch, предназначенный для загрузки ресурсов по сети и упрощающий написание универсального JavaScript-кода, пригодного для работы на стороне сервера и клиента. Реализация основана на коде из HTTP/1.1 клиента undici и максимально приближена к аналогичному API, предоставляемому … Читать далее Доступна серверная JavaScript-платформа Node.js 21.0

Исследователи из компании Malwarebytes Labs выявили продвижение через рекламную сеть Google подставного сайта свободного менеджера паролей KeePass, распространяющего вредоносное ПО. Особенностью атаки стало использование злоумышленниками домента «ķeepass.info», на первый взгляд неотличимого по написанию от официального домена проекта «keepass.info«. При поиске по ключевому слову «keepass» в Google реклама подставного сайта размещалась на первом месте, раньше чем ссылка на официальный сайт. Для обмана пользователей была применена давно известная техника фишинга, основанная на регистрации интернационализированных доменов (IDN), содержащих омоглифы — символы, внешне похожие на латинские буквы, но имеющие другое значение и имеющие свой unicode-код. В частности, домен «ķeepass.info» на деле зарегистрирован как «xn--eepass-vbb.info» … Читать далее Распространение вредоносного ПО через рекламу домена, неотличимого от домена проекта KeePass

Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS. Атака была замечена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены. 16 октября администратор jabber.ru при попытке подключения к сервису получил сообщение об ошибке из-за истечения срока действия сертификата, но размещённый на сервере сертификат не был просрочен. В итоге выяснилось, что получаемый клиентом сертификат … Читать далее Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru

Исследователи безопасности из компании Outpost24 опубликовали результаты анализа надёжности паролей, используемых администраторами IT-систем. В ходе исследования были изучены учётные записи, присутствующие в базе сервиса Threat Compass, собирающего сведения об утечках паролей, произошедших в результате активности вредоносного ПО и взломов. Всего удалось собрать коллекцию из более 1.8 млн восстановленных из хэшей паролей, связанных с интерфейсами администрирования (Admin portal). Исследование показало, что не только обычные пользователи, но администраторы склонны выбирать предсказуемые пароли. Например, наиболее популярным паролем, который упоминался в собранной базе более 40 тысяч раз, стал пароль «admin». Популярность данного пароля также объясняется использованием его в качестве пароля по умолчанию на некоторых … Читать далее Рейтинг ненадёжных паролей, используемых администраторами

После года разработки состоялся релиз новой стабильной ветки открытой коммуникационной платформы Asterisk 21, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходные тексты проекта доступны под лицензией GPLv2. Asterisk 21 отнесён к категории выпусков с обычной поддержкой, обновления для которых формируются в течение двух лет. Поддержка LTS-ветки Asterisk 20 продлится до октября 2027 года, а Asterisk 18 — до октября 2025 года. Поддержка LTS-ветки 17.x прекращена. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание функциональности. Среди изменений в Asterisk 21: … Читать далее Релиз коммуникационной платформы Asterisk 21

Компания Google представила серию улучшений в адресной строке Chrome: При автодополнении URL будет учитываться любое ключевое слово, ранее использованное для поиска сайта, а не только слова совпадающие с началом адреса. Например, автодополнение адреса «https://www.google.com/travel/flights» сработает не только при вводе слова «google», но и при вводе «flights». Реализовано автоматическое исправление опечаток при вводе адреса сайта и обеспечен вывод релевантных подсказок, при формировании которых учитываются сайты, ранее открытые текущим пользователем. Например, при вводе «youutube» будет предложено открыть YouTube.com. Изменение включено у пользователей Chrome начиная с сегодняшнего дня. Предоставлена возможность поиска в разделах закладок через адресную строку. Например, можно добавить при вводе имя … Читать далее Google провёл работу по улучшению адресной строки в Chrome

Опубликован выпуск ONLYOFFICE DocumentServer 7.5.0 с реализацией сервера для online-редакторов ONLYOFFICE и организации совместной работы. Редакторы можно использовать для работы с текстовыми документами, таблицами и презентациями. Код проекта распространяется под свободной лицензией AGPLv3. Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 7.5, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная … Читать далее Опубликован офисный пакет ONLYOFFICE 7.5.0