В Apache log4j, популярном фреймворке для организации ведения логов в Java-приложениях, выявлена критическая уязвимость, позволяющая выполнить произвольный код при записи в лог специально оформленного значения в формате «{jndi:URL}». Атака может быть проведена на Java-приложения, записывающие в лог значения, полученные из внешних источников, например, при выводе проблемных значений в сообщениях об ошибках. Отмечается, что проблеме подвержены почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая Steam, Apple iCloud, клиенты и серверы игры Minecraft. Ожидается, что уявзимость может привести к волне массовых атак на корпоративные приложения, повторив историю критических уязвимостей в Apache Struts. В … Читать далее Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты

В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка. Пакеты discord-selfbot-v14, discord-lofy, discordsystem и discord-vilao использовали модифицированный вариант легитимной библиотеки discord.js, предоставляющей функции для взаимодействия с API Discord. Вредоносные компоненты были интегрированы в один из файлов пакета и включали около 4000 строк кода, запутанного с использованием искажения имён переменных, шифрования строк и нарушения форматирования кода. Код сканировал локальную ФС на предмет токенов Discord и в случае выявления отправлял их … Читать далее В репозитории NPM выявлено 17 вредоносных пакетов

Компания MariaDB, курирующая вместе с одноимённой некоммерческой организацией разработку сервера баз данных MariaDB, аносировала существенное изменение графика формирования сборок MariaDB Community Server и схемы его поддержки. До сих пор компания MariaDB формировала одну значительную ветку раз в год и обеспечивала её сопровождение на протяжении примерно 5 лет. По новой схеме значительные релизы, содержащие функциональные изменения, будут выходить раз в квартал и поддерживаться всего лишь год. В официальном сообщении говорится о «желании ускорить доведения новшеств до сообщества», что, по сути, не более, чем маркетинг, так как команда MariaDB и раньше практиковала доведение новых функциональных возможностей в промежуточных выпусках, что серьёзно расходилось … Читать далее MariaDB существенно меняет график выпусков

Компания Microsoft представила открытый пакет Microsoft-Performance-Tools для анализа производительности и диагностики связанных с производительностью проблем на платформах Linux и Android. Для работы предлагается набор утилит командной строки для анализа производительности всей системы и профилирования отдельных приложений. Код написан на языке C# с использованием платформы .NET Core и распространяется под лицензией MIT. В качестве источника для отслеживания активности в системе и профилирования приложений могут использоваться подсистемы LTTng, perf и Perfetto. LTTng даёт возможность оценивать работу планировщика задач, отслеживать активность процессов, анализировать системные вызовы, ввод/вывод и события в ФС. Perf применяется для оценки нагрузки на CPU. Perfetto может применяться для анализа производительности … Читать далее Опубликован Microsoft-Performance-Tools для Linux и началось распространение WSL для Windows 11

Опубликован выпуск мобильной платформы KDE Plasma Mobile 21.12, основанной на мобильной редакции рабочего стола Plasma 5, библиотеках KDE Frameworks 5, телефонном стеке ModemManager и коммуникационном фреймворке Telepathy. Для вывода графики в Plasma Mobile используется композитный сервер kwin_wayland, а для обработки звука применяется PulseAudio. Одновременно подготовлен выпуск набора мобильных приложений Plasma Mobile Gear 21.12, формируемого по аналогии с набором KDE Gear. Для создания интерфейса приложений применяется Qt, набор компонентов Mauikit и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК. В состав входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, … Читать далее Выпуск мобильной платформы KDE Plasma Mobile 21.12

Представлен релиз специализированного браузера Tor Browser 11.0.2, сосредоточенного на обеспечении анонимности, безопасности и приватности. При использовании Tor Browser весь трафик перенаправляется только через сеть Tor, а обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP-адрес пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS. Для обеспечения дополнительной защиты в состав Tor Browser входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы … Читать далее Выпуск Tor Browser 11.0.2. Расширение блокировки сайтов Tor. Возможные атаки на Tor

Доступен релиз дистрибутива Calculate Linux 22, развиваемого русскоязычным сообществом, построенного на основе Gentoo Linux, поддерживающего непрерывный цикл выпуска обновлений и оптимизированного для быстрого развёртывания в корпоративной среде. В новой версии реализована возможность доведения до актуального состояния давно не обновлявшихся систем, выполнен перевод утилит Calculate на Python 3 и по умолчанию задействован звуковой сервер PipeWire. Для загрузки доступны следующие редакции дистрибутива: Calculate Linux Desktop с рабочим столом KDE (CLD), MATE (CLDM), LXQt (CLDL), Cinnamon (CLDC) и Xfce (CLDX и CLDXE), Calculate Directory Server (CDS), Calculate Linux Scratch (CLS) и Calculate Scratch Server (CSS). Все версии дистрибутива распространяются в виде загрузочного Live-образа … Читать далее Вышел дистрибутив Calculate Linux 22

Для реализации в Fedora Linux 36 намечен переход на использование по умолчанию сеанса GNOME на базе протокола Wayland на системах с проприетарными драйверами NVIDIA. Возможность выбора сеанса GNOME, работающего поверх традиционного X-сервера, продолжит предоставляться как и раньше. Изменение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora Linux. Отмечается, что в недавнем выпуске проприетартного драйвера NVIDIA реализованы изменения, позволяющие обеспечить полноценную поддержку аппаратного устроения OpenGL и Vulkan в приложениях X11, выполняемых при помощи DDX-компонента (Device-Dependent X) XWayland. При использовании новой ветки драйвера NVIDIA производительность OpenGL и Vulkan в X-приложениях, запущенных при помощи XWayland, … Читать далее В Fedora Linux 36 намечено включение по умолчанию Wayland на системах с проприетарными драйверами NVIDIA

Состоялся выпуск открытой системы синтеза речи RHVoice 1.6.0, изначально развивавшейся для обеспечения качественной поддержки русского языка, но затем адаптированной и для других языков, включая английский, португальский, украинский, киргизский, татарский и грузинский. Код написан на С++ и распространяется под лицензией LGPL 2.1. Поддерживается работа в GNU/Linux, Windows и Android. Программа совместима с типовыми TTS-интерфейсами (text-to-speech) для преобразования текста в речь: SAPI5 (Windows), Speech Dispatcher (GNU/Linux) и Android Text-To-Speech API, но также может использоваться в экранном ридере NVDA. Создателем и основным разработчиком RHVoice является Ольга Яковлева, которая развивает проект несмотря на полную слепоту. В новой версии добавлено 5 новых вариантов голосов для … Читать далее Выпуск синтезатора речи RHVoice 1.6.0

В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация. С 7 декабря 2021 года по 4 января 2022 года будет произведён перевод всех мэйнтейнеров, имеющих право публикации NPM-пакетов, но не использующих двухфакторную аутентификацию, на использование расширенной верификации учётных записей. Расширенная верификация подразумевает необходимость ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. Расширенная верификация не … Читать далее GitHub внедряет в NPM обязательную расширенную верификацию учётных записей

Роскомнадзор официально внёс изменения в единый реестр запрещённых сайтов, блокирующие доступ к сайту www.torproject.org. В реестр внесены все IPv4 и IPv6 адреса основного сайта проекта, но дополнительные сайты, не связанные с распространением Tor Browser, например, blog.torproject.org, forum.torproject.net и gitlab.torproject.org, остаются доступны. Блокировка также не коснулась официальных зеркал, таких как tor.eff.org, gettor.torproject.org и tb-manual.torproject.org. Версия для платформы Android продолжает распространяться через каталог Google Play. Блокировка выполнена на основании старого решения Саратовского районного суда, принятого ещё в 2017 году. Саратовский районный суд признал незаконным распространение на сайте www.torproject.org браузера-анонимайзера Tor Browser, так как с его помощью пользователи могут получить доступ к сайтам, … Читать далее Сайт Tor официально заблокирован в РФ. Выпуск дистрибутива Tails 4.25 для работы через Tor

Представлен релиз FreeBSD 12.3, который опубликован для архитектур amd64, i386, powerpc, powerpc64, powerpcspe, sparc64 и armv6, armv7 и aarch64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 13.1 ожидается весной 2022 года. Ключевые новшества: Добавлен скрипт /etc/rc.final, который запускается на последней стадии работы после завершения всех пользовательских процессов. В пакетом фильтре ipfw предоставлена команда dnctl для управления настройками системы ограничения трафика dummynet. Добавлен sysctl kern.crypto для управления криптоподсистемой ядра, а также отладочный sysctl debug.uma_reclaim. Добавлен sysctl net.inet.tcp.tolerate_missing_ts, допускающий TCP-пакеты без временных меток (опция timestamp, RFC 1323/RFC 7323). В ядре GENERIC для … Читать далее Выпуск FreeBSD 12.3

Состоялся релиз web-браузера Firefox 95. Кроме того, сформировано обновление ветки с длительным сроком поддержки — 91.4.0. На стадию бета-тестирования в ближайшее время будет переведена ветка Firefox 96, релиз которой намечен на 11 января. Основные новшества: Для всех поддерживаемых платформ реализован дополнительный уровень изоляции, основанный на технологии RLBox. Предложенный слой изоляции обеспечивает блокировку проблем с безопасностью в сторонних библиотеках функций, которые не подконтрольны разработчикам Firеfox, но могут скомпрометировать основной проект в случае выявления уязвимостей. В текущем выпуске RLBox применён для изоляции библиотек Graphite, Hunspell и Ogg, а в следующем выпуске ожидается изоляция Expat и Woff2. Механизм работы RLBox сводится к компиляции … Читать далее Релиз Firefox 95

История с возникновением проблем с подключением к сети Tor в Москве и некоторых других крупных городах РФ получила продолжение. Jérôme Charaoui из команды сисадминов проекта Tor опубликовал письмо от Роскомнадзора, перенаправленное немецким хостинг-оператором Hetzner, в сети которого находится одно из зеркал сайта torproject.org. Напрямую проект писем не получал и достоверность отправителя пока под вопросом. В письме указывается на внесение сайта www.torproject.org в единый реестр доменных имён, применяемый для идентификации сайтов, содержащих информацию, запрещённую для распространения в Российской Федерации. В случае непринятия мер по удалению запрещённой информации доступ к сайту www.torproject.org в РФ будет ограничен. В чём именно состоит нарушение не … Читать далее Провайдер сайта анонимной сети Tor получил уведомление от Роскомнадзора

Представлен выпуск инструментария Nzyme 1.2.0, предназначенного для мониторинга эфира беспроводных сетей с целью выявления вредоносной активности, развёртывания подставных точек доступа, неавторизированных подключений и совершения типовых атак. Код проекта написан на языке Java и распространяется под лицензией SSPL (Server Side Public License), которая основана AGPLv3, но не является открытой из-за наличия дискриминирующих требований в отношении использования продукта в облачных сервисах. Захват трафика осуществляется через перевод беспроводного адаптера в режим мониторинга за транзитными сетевыми кадрами. Возможна передача перехваченных сетевых кадров в систему Graylog для длительного хранения на случай, если данные потребуются для разбора инцидентов и вредоносных действий. Например, программа позволяет выявить появление … Читать далее Доступен Nzyme 1.2.0, инструментарий для отслеживания атак на беспроводные сети

Мигель Охеда (Miguel Ojeda), автор проекта Rust-for-Linux, предложил для рассмотрения разработчиками ядра Linux третий вариант компонентов для разработки драйверов устройств на языке Rust. Поддержка Rust рассматривается как экспериментальная, но уже согласована для включения в ветку linux-next. Разработка финансируется компанией Google и организацией ISRG (Internet Security Research Group), которая является учредителем проекта Let’s Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета. Напомним, что предложенные изменения дают возможность использовать Rust в качестве второго языка для разработки драйверов и модулей ядра. Поддержка Rust преподносится как опция, не активная по умолчанию и не приводящая к включению Rust в число обязательных … Читать далее Третья редакция патчей для ядра Linux с поддержкой языка Rust

Доступен выпуск проекта fheroes2 0.9.10, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Проигрывание мини-видео на экране выбора кампании «The Price of Loyalty.» Добавлен скрипт для извлечения ресурсов игры из DOSBOX версии Героев Меча и Магии 2. В ИИ устранены проблемы с одержимостью водоворотами и невозможностью высадки на берег. Отцентрован текст в некоторых окнах интерфейса. Поправлена отрисовка сетки на поле боя. Герои теперь отображаются на миникарте (в … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.10

Компания Quad9 опубликовала решение суда в отношении апелляции, поданной в ответ на судебное предписание о блокировке пиратских сайтов на уровне публичных DNS-резолверов Quad9. Суд отказался удовлетворить апелляцию и не поддержал требование о приостановке судебного запрета, ранее вынесенного по делу, инициированному компанией Sony Music. Представители Quad9 заявили, что не остановятся и попытаются обжаловать решение в суде высшей инстанции, а также направят апелляцию в защиту интересов других пользователей и организаций, на которых могут повлиять подобные блокировки. Напомним, что компания Sony Music добилась в Германии решения о блокировке доменных имён, уличённых в распространении музыкального контента, нарушающего авторские права. Блокировку было предписано реализовать на … Читать далее Quad9 проиграл апелляцию в деле о принуждении DNS-сервисов к блокировке пиратского контента

Организация The Document Foundation объявила о выходе корректирующих выпусков свободного офисного пакета LibreOffice 7.2.4 и 7.1.8, в которых до версии 3.73.0 обновлена поставляемая в комплекте криптографическая библиотека NSS. Обновление связано с устранением в NSS критичкской уязвимости (CVE-2021-43527), которую можно эксплуатировать через LibreOffice. Уязвимость позволяет организовать выполнение своего кода при верификации специально оформленной цифровой подписи документа. Выпуски отнесены к категории hotfix и содержат только одно изменение. Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows. Источник: http://www.opennet.ru/opennews/art.shtml?num=56289 Читать далее Обновление LibreOffice 7.2.4 и 7.1.8 с устранением уязвимости

После восьми месяцев разработки опубликован релиз свободного гипервизора Xen 4.16. В разработке нового выпуска приняли участие такие компании, как Amazon, Arm, Bitdefender, Citrix и EPAM Systems. Выпуск обновлений для ветки Xen 4.16 продлится до 2 июня 2023 года, а публикация исправлений уязвимостей до 2 декабря 2024 года. Ключевые изменения в Xen 4.16: В TPM Manager, обеспечивающий работу виртуальных чипов для хранения криптографических ключей (vTPM), реализуемых на базе общего физического TPM (Trusted Platform Module), внесены исправления для последующей реализации поддержки спецификации TPM 2.0. Повышена зависимость от прослойки PV Shim, применяемой для запуска немодифицированных паравиртуализированных гостевых систем (PV) в окружениях PVH и … Читать далее Выпуск гипервизоров Xen 4.16 и Intel Cloud Hypervisor 20.0

Штайнар Гундерсон (Steinar H. Gunderson), один из авторов библиотеки сжатия Snappy и участник разработки IPv6, объявил о возвращении в компанию Google, в которой в своё время занимался разработкой сервисов поиска по изображениям и offline-картами, но теперь будет вовлечён в разработку браузера Chrome. До этого Штайнар в течение пяти лет работал в Oracle над модернизацией оптимизатора СУБД MySQL. Заметка Штайнара примечательна критическим отношением к перспективам MySQL и рекомендацией переходить на PostgreSQL. По мнению Штайнара, MySQL сильно устарел и не эффективен, при том, что большинство пользователей и разработчиков считают, что всё в порядке, не утруждая себя сравнением с другими СУБД, которые давно … Читать далее Один из разработчиков MySQL раскритиковал проект и рекомендовал использовать PostgreSQL