В представленном 22 мая выпуске платформы для организации совместной разработки GitLab 16.0 выявлена критическая уязвимость (CVE-2023-2825), позволяющая неаутентифицированному пользователю получить содержимое любого файла на сервере, насколько это позволяют права доступа процесса, обрабатыващего web-запросы. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлении GitLab 16.0.1 и не затрагивает ветки до 16.0. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. одробности эксплуатации пока не приводятся, их обещают опубликовать через 30 дней после исправления. Известно лишь, то, что уязвимость вызвана ошибкой проверки файловых путей, позволяющей выйти за пределы базового каталога и … Читать далее Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере

В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлено 14 уязвимостей, из которых четыре позволяют удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблемы проявляются начиная с ядра 5.15, в состав которого был принят модуль ksmbd. Уязвимости устранены в обновлениях ядра 6.3.2, 6.2.15, 6.1.28 и 5.15.112. Проследить за исправлением в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Gentoo, Arch. Выявленные проблемы: CVE-2023-32254, CVE-2023-32250, CVE-2023-32257, CVE-2023-32258 — удалённое выполнение кода с правами ядра из-за отсутствия должных … Читать далее Уязвимости в модуле ksmbd ядра Linux, позволяющие удалённо выполнить свой код

В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6 (RA, Router Advertisement). Проблема вызвана отсутствием должной проверки поступающих извне данных в процессе, отвечающем за обработку запросов IPv6 RA (Router Advertisement), что позволило добиться записи данных за границу выделенного буфера и организовать выполнение своего кода с привилегиями root. Уязвимость проявляется в ветках MikroTik RouterOS v6.xx и v7.xx, при включении в настройках получения сообщений IPv6 RA («ipv6/settings/ set accept-router-advertisements=yes» или «ipv6/settings/set forward=no accept-router-advertisements=yes-if-forwarding-disabled»). Возможность эксплуатации уязвимости на практике была продемонстрирована на соревнованиях Pwn2Own в … Читать далее Уязвимость в маршрутизаторах MikroTik, приводящая к выполнению кода при обработке IPv6 RA

Представлен первый выпуск новой основной ветки nginx 1.25.0, в рамках которой будет продолжено развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Новый выпуск примечателен добавлением модуля ngx_http_v3 с экспериментальной поддержкой протокола HTTP/3. Модуль отключён по умолчанию и для активации при сборке требует указания опции «—with-http_v3_module». Для работы модуля рекомендуется сборка с криптографическими библиотеками, поддерживающими протокол QUIC, такими как BoringSSL, LibreSSL или QuicTLS. При сборке с OpenSSL будет задействован слой для обеспечения совместимости, в котором не поддерживается … Читать далее Доступен nginx 1.25.0 с экспериментальной поддержкой HTTP/3

Компания Google опубликовала результаты аудита 389 crate-пакетов, используемых в проектах ChromiumOS и Fuchsia, в которых допускается разработка на языке Rust. Для использования в своих проектах предоставлен файл для проверки зависимостей при помощи команды cargo vet на предмет соответствия требованиям к безопасности, корректности и тестированию. Применение «cargo vet» позволяет гарантировать, что в проекте используются только проверенные зависимости, которые удовлетворяют заранее определённым условиям. В файле для подключения к пакетному менеджеру cargo отражены проверенные версии пакетов и присвоенные в процессе аудита метки, такие как подтверждение безопасного использования, отсутствие/наличие поддержки шифрования, присутствие unsafe-блоков в коде и различные уровни риска при использовании имеющихся unsafe-блоков. Источник: … Читать далее Google опубликовал результат аудита используемых пакетов на языке Rust

Айки Доэрти (Ikey) объявил о начале работы над сайтом документации дистрибутива Seprent OS. Для развёртывания используются Markdown и Docusaurus. Страницы документации размещены на GitHub. Документация проясняет некоторые моменты разработки: Код должен быть оформлен в стиле Allman с использованием 4 пробелов в качестве отступа. Для интеграции оформления подготовлен скрипт. Рекомендуется обрабатывать ошибки через механизм исключений. Поощряется использование механизмов языка D, такие как scope guards, обработка исключений в функциональном стиле. Использование стандартной библиотеки, сокращённого синтаксиса методов и UFCS приветствуется. Рекомендуется использование подмножества языка SafeD и расширенного набора правил языка dip1000 для обеспечения безопасности работы с памятью. Когда это невозможно, призывается помечать такой … Читать далее Проект разработки документации для Serpent OS

Компания Google добавила в тестовые сборки Chrome Canary, которые лягут в основу выпуска Chrome 115, намеченного на 17 июля, возможность просмотра объёма памяти, потребляемого отдельной вкладкой. Информация о занимаемой вкладкой памяти показывается при нажатии на кнопку «Memory Saver» в адресной строке и позволяет определить сайты, наиболее интенсивно потребляющие память, а также понять сколько памяти удалось высвободить при вытеснении вкладки. Изменение продолжает развитие режима Memory Saver, который даёт возможность значительно снизить потребление оперативной памяти за счёт освобождения памяти, занимаемой неактивными вкладками, что позволяет предоставить необходимые ресурсы для обработки просматриваемых в текущий момент сайтов в ситуациях, когда в системе параллельно выполняются другие … Читать далее В Chrome появится индикация потребления памяти отдельными вкладками

В пакете cups-filters, включающем компоненты для организации работы сервиса печати, найдена уязвимость (CVE-2023-24805), позволяющая удалённо выполнить произвольные команды на сервере печати через отправку специально оформленного задания вывода на печать. В настоящее время исправление доступно в виде патча. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Уязвимость проявляется при использовании бэкенда beh (Backend Error Handler) для создания сетевого принтера. Проблема вызвана отсутствием в обработчике должных проверок имени выводимой на печать работы, при том, что данное имя используется в составе команд, выполняемых через функцию system(). Эксплуатация уязвимости сводится к передаче в поле «job-name» … Читать далее Уязвимость в cups-filters, позволяющая выполнить код на сервере

Компания VK объявила о присвоении имени Nau Engine проекту по разработке российского открытого игрового движка, создании сайта движка и начале приёма заявок на участие в тестировании. Первая бета-версия движка ожидается в 2024 году, после чего начнётся процесс доработки и адаптации платформы, а также создания серверных решений. Полноценный релиз запланирован на 2025 год. Заявлено, что Nau Engine «предоставит мощное ядро с удобным редактором, а также позволит создавать типовые проекты и готовые игровые системы, сделает интерфейсы простого подключения популярным сервисам. Движок поможет не только в процессе разработки, но и предоставит доступ к инструментам для интеграции с платформами и создания метасистем игры — … Читать далее VK будет развивать свой открытый игровой движок под именем Nau Engine

Опубликован 61-й выпуск рейтинга 500 самых высокопроизводительных компьютеров мира. В новой редакции в десятке лидеров отсутствуют изменения. Тройка лидеров: Frontier — размещён в Ок-Риджской национальной лаборатории Министерства энергетики США. Кластер насчитывает почти 9 миллионов процессорных ядер (CPU AMD EPYC 64C 2GHz, ускоритель AMD Instinct MI250X) и обеспечивает производительность 1.102 экзафлопс, что почти в три раза больше, чем в кластере, занимающем второе место (при этом энергопотребление Frontier на 30% ниже). Fugaku — размещён в Институте физико-химических исследований RIKEN (Япония). Кластер построен с использованием процессоров ARM (158976 узлов на базе SoC Fujitsu A64FX, оснащённых 48-ядерным CPU Armv8.2-A SVE 2.2GHz). Fugaku обеспечивает производительность … Читать далее Опубликована 61 редакция рейтинга самых высокопроизводительных суперкомпьютеров

Представлен релиз дистрибутива Rocky Linux 8.8, нацеленного на создание свободной сборки RHEL, способной занять место классического CentOS, после того как компания Red Hat досрочно прекратила поддержку ветки CentOS 8 в конце 2021 года, а не в 2029 году, как предполагалось изначально. Сборки Rocky Linux подготовлены для архитектур x86_64 и aarch64. Дополнительно формируются сборки для облачных окружений Oracle Cloud Platform (OCP), GenericCloud, Amazon AWS (EC2), Google Cloud Platform и Microsoft Azure, а также образы для контейнеров и виртуальных машин в форматах RootFS/OCI и Vagrant (Libvirt, VirtualBox, VMWare). Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению … Читать далее Релиз дистрибутива Rocky Linux 8.8, развиваемого основателем CentOS

Компания Postgres Professional выпустила первое обновление 15-й версии проприетарной СУБД Postgres Pro Certified для редакции Enterprise, основанной на кодовой базе PostgreSQL и включающей дополнительные возможности, такие как мультимастер репликацию, сжатие данных на уровне блоков, инкрементальное резервное копирование, встроенный пулер соединений, оптимизированное секционирование таблиц, улучшенный полнотекстовый поиск, автоматическую компиляцию и планирование запросов. Обновлённый выпуск сертифицированной версии поддерживает четыре версии ядра СУБД: 11.19.1, 13.10.2, 14.7.1 и 15.2.1. Сертификат соответствия ФСТЭК РФ №4063 переоформлен 4 мая 2023 года. Новые версии содержат следующие изменения: Добавлена поддержка ОС РОСА «КОБАЛЬТ» Сервер 7.9 и прекращена поддержка ОС РОСА «КОБАЛЬТ» Сервер 7.3. Прекращена поддержка ОС SLES-12 SP3. … Читать далее СУБД Postgres Pro Enterprise 15 получила сертификат соответствия ФСТЭК РФ

Группа исследователей из компании Tencent и Чжэцзянского университета (Китай) представила технику атаки BrutePrint, позволяющую обойти методы защиты от подбора отпечатков пальцев, реализованные в устройствах на базе платформы Android. В штатном режиме подбору отпечатков пальцев мешает ограничение на число попыток — после нескольких неудачных попыток разблокировки устройство приостанавливает попытки биометрической аутентификации или переходит к запросу пароля. Предложенный метод атаки позволяет организовать бесконечный неограниченный цикл подбора. Эффективность атаки продемонстрирована для 10 Android-устройств разных производителей (Samsung, Xiaomi, OnePlus, Vivo, OPPO, Huawei), на подбор отпечатка пальца для разблокировки которых потребовалось от 40 минут до 36 часов. Атака требует физического доступа к устройству и подключения … Читать далее Атака BrutePrint для разблокировки Android-смартфона через подбор отпечатков пальцев

Компания PayPal открыла исходные тексты отказоустойчивой СУБД JunoDB, манипулирующей данными в формате ключ-значение. Система изначально спроектирована с оглядкой на высокую безопасность, горизонтальную масштабируемость, отказоустойчивость и способность обрабатывать сотни тысяч одновременных соединений с предсказуемыми задержками. В PayPal практически все сервисы, от входа пользователей до обработки финансовых транзакций, завязаны на JunoDB. Код проекта написан на языке Go (клиентская библиотека на Java) и распространяется под лицензией Apache 2.0. При дальнейшей разработке будут приниматься исправления, улучшения и изменения от сообщества. Архитектура JunoDB основана на использовании балансировщика нагрузки, принимающего запросы от клиентских приложений и распределяющего их между прокси-серверами, одновременно обращающимися к группе серверов хранения при … Читать далее PayPal открыл код СУБД JunoDB

Репозиторий Python-пакетов PyPI (Python Package Index) временно прекратил регистрацию новых пользователей и проектов. В качестве причины указан всплеск активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом. Отмечается, что с учётом нахождения в отпуске нескольких администраторов, на прошлой неделе объём зарегистрированных вредоносных проектов превысил возможности оставшейся команды PyPI по оперативному реагированию. Разработчики планируют за выходные перестроить некоторые процессы проверки, после чего возобновить возможность регистрации в репозитории. По данным системы мониторинга вредоносной активности от компании Sonatype в марте 2023 года в каталоге PyPI найдено 6933 вредоносных пакета, а всего с 2019 года число выявленных вредоносных пакетов превысило 115 тысяч. В декабре 2022 … Читать далее PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов

Сформирован выпуск дистрибутива AlmaLinux 8.8, синхронизированный c дистрибутивом Red Hat Enterprise Linux 8.8 и содержащий все предложенные в данном выпуске изменения. Сборки подготовлены для архитектур x86_64, ARM64, s390x и ppc64le в форме загрузочного (900 МБ), минимального (1.9 ГБ) и полного образа (12 ГБ). Позднее планируют сформировать Live-сборки с GNOME, KDE, Xfce и MATE, а также образы для плат Raspberry Pi, WSL, контейнеров и облачных платформ. Дистрибутив полностью бинарно совместим с Red Hat Enterprise Linux 8.8 и может использоваться в качестве прозрачной замены CentOS 8. Изменения сводятся к ребрендингу, удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. Дистрибутив … Читать далее Доступен дистрибутив AlmaLinux 8.8, продолжающий развитие CentOS 8

Следом за выпуском Red Hat Enterprise Linux 9.2 опубликовано обновление прошлой ветки Red Hat Enterprise Linux 8.8, которая сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal (также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков). Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. … Читать далее Релиз дистрибутива Red Hat Enterprise Linux 8.8

Компания Intel представила упрощённую процессорную архитектуру x86S (x86 Simplification), реализующую только 64-разрядный режим и избавленную от поддержки устаревших концепций. Поддержка 16- и 32-разрядных операционных систем в x86S прекращена, но их можно будет запускаться при помощи виртуализации. Возможность запуска 32-разрядных приложений в окружении 64-разрядной ОС сохранится. Процессоры с новой архитектурой будут запускаться сразу в 64-разрядном режиме, минуя промежуточные переключения в 16- и 32-разрядные режимы в процессе инициализации. В x86S также реализована возможность переключения на использование 5-уровневой структуры таблицы страниц памяти, без предварительного отключения страничной адресации и минуя переход в бесстраничный режим. Особенности архитектуры x86S: Прекращение поддержки 16-разрядной адресации и возможности переопределения … Читать далее Intel развивает упрощённую архитектуру x86S, работающую только в 64-разрядном режиме

После двух лет разработки опубликован выпуск web-браузера Nyxt 3.0.0, предоставляющего обширные возможности по настройке и изменению поведения любых аспектов работы. Концептуально Nyxt напоминает Emacs и Vim, и вместо готового набора настроек даёт возможность менять саму логику работы, используя язык Lisp. Пользователь может переопределить или перенастроить любые классы, методы, переменные и функции. Код проекта написан на языке Lisp и распространяется под лицензией BSD. Интерфейс может быть собран с GTK или Qt. Готовые сборки сформированы для Linux (Flatpak, Alpine, Arch, Guix, NixOS, Void), Windows и macOS. > Для повышения эффективности рабочего процесса браузер оптимизирован для управления с клавиатуры и поддерживает типовые клавиатурные … Читать далее Выпуск web-браузера Nyxt 3.0.0

Компания Valve опубликовала выпуск VKD3D-Proton 2.9, ответвления от кодовой базы vkd3d, созданного для улучшения поддержки Direct3D 12 в пакете для запуска игр Proton. В VKD3D-Proton поддерживаются специфичные для Proton изменения, оптимизации и улучшения для более качественной работы Windows-игр на базе Direct3D 12, которые пока не приняты в основной состав vkd3d. Из отличий также отмечается ориентация на использование современных расширений Vulkan и возможностей свежих выпусков графических драйверов для достижения полной совместимости с Direct3D 12. Среди изменений в новой версии: По аналогии с AgilitySDK библиотека d3d12core.dll разделена на загрузчик (d3d12.dll) и основную реализацию (d3d12core.dll). Внесены оптимизации производительности. Значительно снижены требования к размеру … Читать далее Выпуск VKD3D-Proton 2.9, форка Vkd3d с реализацией Direct3D 12

Компания ASUS уведомила пользователей об ошибке в измерениях, доставленных на различные типы маршрутизаторов данной фирмы через систему автоматической доставки обновлений. Ошибка привела к массовым сбоям устройств пользователей — после автоматического применения обновления устройства зависали через несколько минут. После перезагрузки работа возобновлялась, но через какое-то время (по данным некоторых пользователей — 5-7 минут) зависание повторялось. Проблема усугубилась тем, что компания ASUS признала наличие проблемы только спустя два дня после начала проявления сбоя и долгое время пользователи оставались в неведении и пытались сами разобраться в чем причина. В уведомлении ASUS суть проблемы описана лишь в общих чертах, утверждается, что в процессе работы … Читать далее Ошибка в обновлении привела к массовым сбоям маршрутизаторов ASUS