Сформирован релиз специализированного дистрибутива Tails 5.9 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 ГБ. В новой версии удалён диалог с предупреждением, показываемый при запуске Unsafe Browser, предназначенного для обращения к ресурсам в локальной сети. Обновлены версии Tor Browser 12.0.2 и Tor 0.4.7.13]. В Tor Connection упрощён экран с … Читать далее Выпуск дистрибутива Tails 5.9

После года разработки и 28 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API — Wine 8.0, который вобрал в себя более 8600 изменений. Ключевым достижением в новой версии отмечается завершение работы по переводу модулей Wine в формат. В Wine подтверждена полноценная работа 5266 (год назад 5156, два года назад 5049) программ для Windows, ещё 4370 (год назад 4312, два года назад 4227) программ прекрасно работают при дополнительных настройках и внешних DLL. У 3888 программ (года назад 3813, два года назад 3703) наблюдаются небольшие проблемы в работе, которые не мешают использованию основных функций приложений. Ключевые новшества Wine 8.0: Модули в … Читать далее Стабильный релиз Wine 8.0

Компания Microsoft представила пакетный менеджер WinGet 1.4 (Windows Package Manager), предназначенный для установки приложений в Windows из репозитория, поддерживаемого при участии сообщества, и выступающего альтернативой каталога Microsoft Store, с которой можно работать из командной строки. Код написан на языке С++ и распространяется под лицензией MIT. Для управления пакетами предоставляются команды, близкие к таким пакетным менеджерам как apt и dnf (install, search, list, upgrade и т.п.). Параметры пакета определяются через файлы с манифестом в формате YAML. Репозиторий WinGet лишь выступает индексом, а манифест ссылается на внешний zip- или msi-файл, например, размещённый на Microsoft Store, GitHub или на основном сайте проекта). Для … Читать далее Microsoft выпустил открытый пакетный менеджер WinGet 1.4

Опубликован выпуск web-браузера Tangram 2.0, построенного на технологиях GNOME и специализирующего на организации доступ к постоянно используемым web-приложениям. Код браузера написан на JavaScript и распространяется под лицензией GPLv3. В качестве браузерого движка задействован компонент WebKitGTK, также применяемый в браузере Epiphany (GNOME Web). Готовые пакеты сформированы в формате flatpak. Интерфейс браузера содержит боковую панель, в которой можно закреплять вкладки для выполнения постоянно используемых web-приложений и web-сервисов. Web-приложения загружаются сразу после запуска и функционируют постоянно, что например, позволяет держать в одном приложении активными различные мессенджеры, для которых имеются web-интерфейсы (WhatsApp, Telegram, Discord, SteamChat и т.п.), без установки отдельных программ, а также иметь … Читать далее Опубликован Tangram 2.0, web-браузер на основе технологий GNOME

Федеральная служба по техническому и экспортному контролю РФ разработала и утвердила методические рекомендации (PDF, 7 стр.) по повышению защищённости систем на базе ядра Linux. Рекомендации подлежат реализации в государственных информационных системах и на объектах критической информационной инфраструктуры РФ, построенных с использованием Linux, несертифицированных по требованиям безопасности информации. Документ охватывает такие области, как настройка авторизации, ограничение механизмов получения привилегий, настройка прав доступа, настройка механизмов защиты ядра Linux, уменьшение периметра атак на ядро Linux и настройка средств защиты пользовательского пространства со стороны ядра Linux. Основные рекомендации: Запрет учётных записей пользователей с пустыми паролями. Отключение входа суперпользователя по SSH (PermitRootLogin=no в /etc/ssh/sshd_config). Ограничение … Читать далее ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной настройки Linux

Доступен выпуск проекта WFB-ng 23.01, развивающего программный стек для создания прямых каналов связи на большие расстояния при помощи обычных беспроводных карт. Типовым применением проекта является поддержание канала связи с дроном и передача видеопотока с закреплённых на нём камер. Наработки распространяются под лицензией GPLv3. Готовые системные сборки с Linux-окружением и WFB-ng формируются для плат Raspberry PI 3B (986 МБ). Канал связи обеспечивается при помощи перевода беспроводной карты в широковещательный режим (broadcast) и применения низкоуровневых WiFi-пакетов, что по сравнению с обычным стеком IEEE 802.11 позволяет обойти ограничения по расстоянию и сократить задержки при передаче данных. Помимо высокоскоростного однонаправленного канала для передачи видео … Читать далее Доступен WFB-ng 23.01, стек для организации связи с дронами при помощи карт Wi-Fi

Для включения в состав ядра Linux предложены изменения, расширяющие возможности стандартной Си-библиотеки nolibc, входящей в состав исходных текстов ядра Linux (tools/include/nolibc). В случае принятия изменений библиотека будет расширена средствами для обработки сигналов, включающими функции sigaction() и signal(). Проект nolibc входит в состав ядра начиная с выпуска 5.1 и нацелен на предоставление обвязки над базовыми системными вызовами, оформленной в виде минимальной стандартной Си-библиотеки, которую можно использовать для организации работы небольших и низкоуровневых приложений без установки полноценных внешних стандартных Си-библиотек (приложение можно статически скомпоновать с nolibc без привлечения внешних зависимостей). Библиотека очень компактная, например, статически собранный с nolibc процесс init занимает 36 … Читать далее В Си-библиотеке nolibc, входящей в состав ядра Linux, реализована поддержка сигналов

Симон Петер (Simon Peter), создатель формата самодостаточных пакетов AppImage, опубликовал выпуск дистрибутива helloSystem 0.8, основанного на FreeBSD 13 и позиционируемого как система для обычных пользователей, на которую могут перейти любители macOS, недовольные политикой Apple. Система лишена усложнений, свойственных современным Linux-дистрибутивам, находится под полным контролем пользователя и позволяет чувствовать себя комфортно бывшим пользователям macOS. Для ознакомления с дистрибутивом cформирован загрузочный образ, размером 941 МБ (torrent). Интерфейс напоминает macOS и включает две панели — верхнюю с глобальным меню и нижнюю с панелью приложений. Для формирования глобального меню и строки состояния задействован пакет panda-statusbar, развиваемый дистрибутивом CyberOS (бывший PandaOS). Панель приложений Dock основана … Читать далее Выпуск BSD-системы helloSystem 0.8, развиваемой автором AppImage

Бьёрн Страуструп (Bjarne Stroustrup), создатель языка C++, опубликовал возражения против выводов, сделанных в отчёте АНБ, в котором организациям было рекомендовано отойти от использования языков программирования, таких как Си и Си++, перекладывающих управление памятью на разработчика, в пользу языков, таких как C#, Go, Java, Ruby, Rust и Swift, обеспечивающих автоматическое управление памятью или выполняющих проверки безопасной работы с памятью во время компиляции. По мнению Страуструпа упомянутые в отчёте АНБ безопасные языки на деле не превосходят C++ в важных с его точки зрения применениях. В частности, развиваемые последние годы базовые рекомендации по использованию C++ (C++ Core Guidelines) охватывают методы безопасного программирование и … Читать далее Создатель C++ раскритиковал навязывание безопасных языков программирования

Компания Google объявила о массовых сокращениях персонала, в результате которого под увольнение подпадает около 12 тысяч сотрудников, что составляет примерно 6% от всего персонала. Среди прочего, появились сведения, что под сокращение попадают около 400 работников, занимавшихся проектом Fuchsia, что соответствует примерно 16% от общего числа сотрудников, вовлечённых в работу над данной ОС. Кроме того, сообщается о существенном сокращении команды инкубатора Area 120, развивающего новые продукты и сервисы, а также продвигающего экспериментальные проекты компании (в подразделении Area 120 останется только три основных проекта, а остальные будут свёрнуты). Подробности о том как сокращение затронет другие проекты и подразделения Google пока отсутствуют. Источник: … Читать далее Google уволит 16% разработчиков ОС Fuchsia

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.27. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 14 февраля. Ключевые улучшения: Предложено вводное приложение Plasma Welcome, знакомящие пользователей с основными возможностями рабочего стола и позволяющего выполнить базовую настройку основных параметров, таких как привязка к online-сервисам. В конфигуратор добавлен новый модуль для настройки полномочий Flatpak-пакетов. По умолчанию Flatpak-пакетам не предоставляется доступ к остальной системе, а через предложенный интерфейс можно выборочно предоставить каждому пакету необходимые полномочия, такие как доступ к частям основной ФС, … Читать далее Тестирование рабочего стола KDE Plasma 5.27

Опубликован корректирующий выпуск библиотеки libXpm 3.5.15, развиваемой проектом X.Org и применяемой для обработки файлов в формате XPM. В новой версии устранены три уязвимости, две из которых (CVE-2022-46285, CVE-2022-44617) приводят к зацикливанию при обработке специально оформленных файлов XPM. Третья уязвимость (CVE-2022-4883) позволяет запустить произвольные команды при выполнении приложений, использующих libXpm. При запуске связанных с libXpm привилегированных процессов, например, программ с флагом suid root, уязвимость даёт возможность поднять свои привилегии. Уязвимость вызвана особенностью работы libXpm со сжатыми файлами XPM — при обработке файлов XPM.Z или XPM.gz библиотека при помощи вызова execlp() запускает внешние утилиты распаковки (uncompress или gunzip), путь к которым вычисляется … Читать далее Уязвимость в libXpm, приводящая к выполнению кода

Опубликован выпуск Linux-дистрибутива ArchLabs 2023.01.20, основанного на пакетной базе Arch Linux и поставляемого с легковесным пользовательским окружением на основе оконного менеджера Openbox (опционально доступны i3, Bspwm, Awesome, JWM, dk, dwm, Fluxbox, Xfce, Deepin, GNOME, Cinnamon, Sway). Для организации стационарной установки предлагается инсталлятор ABIF. В базовую поставку включены такие приложения, как Thunar, Termite, Geany, Firefox, Audacious, MPV и Skippy-XD. Размер установочного iso-образа 1 ГБ. В новой версии в инсталлятор возвращена возможность установки оконного менеджера dwm. Улучшена работа в Live-режиме. По умолчанию обеспечена загрузка в режим установки, а не в Live-сеанс, который теперь нужно запускать отдельно (можно запустить команду startx). Обновлены пакеты … Читать далее Выпуск дистрибутива ArchLabs 2023.01.20

GitHub объявил о решении прекратить поддержку системы управления версиями Subversion. Возможность работы с размещёнными в GitHub репозиториями через интерфейс централизованной системы контроля версий Subversion (svn.github.com) будет отключена 8 января 2024 года. До официального закрытия в конце 2023 года будет проведена серия тестовых отключений, вначале на несколько часов, а затем на целый день. В качестве причины прекращения поддержки Subversion упоминается желание избавиться от издержек на сопровождение лишних сервисов — бэкенд для работы с Subversion отмечен как выполнивший свою задачу и больше не востребованный разработчиками. Поддержка Subversion была реализована в GitHub в 2010 году для упрощения постепенной миграции на Git пользователей, привыкших … Читать далее GitHub прекращает поддержку Subversion

В OpenBSD реализована техника защиты от эксплуатации уязвимостей, основанная на перекомпоновке исполняемого файла sshd со случайной перегруппировкой библиотек (libc.so, libcrypto.so, ld.so и т.п.) при каждой загрузке системы. В ближайшее время подобную защиту также планируется реализовать для ntpd и других серверных приложений. Изменение уже включено в состав ветки CURRENT и будет предложено в выпуске OpenBSD 7.3. Перекомпоновка позволяет сделать малопредсказуемым смещения функций в библиотеках, что затруднит создание эксплоитов, использующие методы возвратно-ориентированного программирования (ROP — Return-Oriented Programming). При использовании техники ROP атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата … Читать далее В OpenBSD для sshd применена перекомпоновка во время загрузки

Опубликованы корректирующие обновления фреймворка Ruby on Rails 7.0.4.1, 6.1.7.1 и 6.0.6.1, в которых устранено 6 уязвимостей. Наиболее опасная уязвимость (CVE-2023-22794) может привести к выполнению заданных атакующим SQL-команд при использовании внешних данных в комментариях, обрабатываемых в ActiveRecord. Проблема вызвана отсутствием необходимого экранирования спецсимволов в комментариях перед их сохранением в СУБД. Вторая уязвимость (CVE-2023-22797) может применяться к организации проброса на другие страницы (открытый редирект) при использовании непроверенных внешних данных в обработчике redirect_to. Остальные 4 уязвимости приводят к отказу в обслуживании из-за создания высокой нагрузки на ситему (в основном из-за обработки внешних данных в неэффективных и длительно выполняемых регулярных выражениях). Источник: http://www.opennet.ru/opennews/art.shtml?num=58519 Читать далее В Ruby on Rails устранена уязвимость, допускающая подстановку SQL-кода

Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости: CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки). CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса «HTTP Request Smuggling» на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка «If:». Наиболее заметные изменения, … Читать далее Релиз http-сервера Apache 2.4.55 с устранением уязвимостей

Исследователи из команды Google Project Zero разработали метод эксплуатации уязвимостей в ядре Linux, вызванных разыменованием указателей NULL. До сих пор проблемам в ядре, связанным с разыменованием указателей NULL, не уделялось должного внимания, так как доведение таких проблем до атак, приводящих к повышению привилегий или выполнению своего кода, считалось нереалистичным (непривилегированным процессам запрещён маппинг в нижней области адресного пространства). Как правило подобные ошибки приводят к генерации ядром oops-предупреждений, после которых проблемные задачи завершаются и состояние восстанавливается без необходимости остановки работы системы. Новый метод атаки основывается на особенности обработки состояний «oops», в результате которых можно добиться увеличения значения счётчика ссылок (refcount), что … Читать далее Предложен метод эксплуатации разыменования NULL-указателей в ядре Linux

Компания T-Mobile раскрыла сведения об инциденте, в результате которого злоумышленники смогли загрузить персональные данные 37 млн клиентов. Для совершения атаки использовались недоработки в реализации API, доступного без авторизации. Вредоносная активность была обнаружена 5 января, разбор показал, что извлечение данных производилось с 25 ноября 2022 года. В руки атакующих попали такие данные как ФИО, адрес, email, номер телефона, дата рождения, номер учётной записи в T-Mobile и сведения о тарифах и оказываемых услугах. Пароли и сведения о платежах не пострадали. Источник: http://www.opennet.ru/opennews/art.shtml?num=58517 Читать далее Уязвимость в API привела к утечке персональных данных 37 млн клиентов T-Mobile

Компания Apple разрешила Музею компьютерной истории опубликовать исходные тексты операционной системы Lisa OS, которая c 1983 по 1986 год использовалась в персональных компьютерах Apple Lisa. Дополнительно разрешена публикация и набора приложений для Lisa OS, таких как LisaWrite, LisaCalc, LisaDraw, LisaGraph, LisaProject, LisaList и LisaTerminal. Код опубликован (zip-архив 1.1 МБ) под лицензией CHM Software License Agreement. Операционная система Lisa OS обладала передовыми характеристиками для ОС начала 1980-х годов, в том числе поддерживала систему защиты памяти и виртуальную память, многозадачность, ФС с разделением файлов по директориям (прообраз HFS), предоставляла графический интерфейс с набором приложений для решения прикладных задач. Для разработки использовался язык … Читать далее Опубликованы исходные тексты программного окружения компьютера Apple Lisa

Состоялся выпуск набора интернет-приложений SeaMonkey 2.53.15, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60.8 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox). В новой версии: Из Firefox перенесена поддержка механизма Promise и вызовов для манипуляциями микрозадачами, таких как queueMicrotask(). Удалены обработчик contentPrefService и вызовы для верификации сертификатов, выполнявшиеся в … Читать далее Выпуск браузеров SeaMonkey 2.53.15 и Tor Browser 12.0.2