Состоялся релиз Node.js 14.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 14.0 относится к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Поддержка Node.js 14.0 будет осуществляться до апреля 2023 года. Сопровождение прошлой LTS-ветки Node.js 12.0 продлится до апреля 2022 года, а позапрошлой LTS-ветки 10.0 до апреля 2021 года. Поддержка промежуточной ветки 13.x завершится в июне этого года. Основные улучшения: Стабилизирована возможность генерации на лету или при наступлении определённых событий диагностических отчётов, в которых отражаются события, помогающие диагностике таких проблем как крахи, падение производительности, утечки памяти, большая нагрузка на CPU, … Читать далее Выпуск серверной JavaScript-платформы Node.js 14.0

Компания ReversingLabs опубликовала результаты анализа применения тайпсквоттинга в репозитории RubyGems. Обычно тайпсквоттинг применяется для распространения вредоносных пакетов, рассчитанных на то, что невнимательный разработчик при поиске допустит опечатку или не заметит разницы. В ходе исследования было выявлено более 700 пакетов, названия которых схожи с популярными пакетами и отличаются незначительными деталями, например, заменой похожих букв или использованием подчёркивания вместо тире. В более чем 400 пакетах были обнаружены компоненты, подозреваемые в совершении вредоносных действий. В частности, внутри находился файл aaa.png, включающий исполняемый код в формате PE. Указанные пакеты были связаны с двумя учётными записями, через которые с 16 по 25 февраля 2020 года … Читать далее В RubyGems выявлено 724 вредоносных пакета

Представлен инструментарий rebuilderd, позволяющий организовать независимую проверку бинарных пакетов дистрибутива через развёртывание непрерывно работающего сборочного процесса, сверяющего загружаемые пакеты с пакетами, получаемыми в результате пересборки на локальной системе. В настоящее время в rebuilderd доступна только экспериментальная поддержка верификации пакетов из Arch Linux, но в скором времени обещают добавить и поддержку Debian. В простейшем случае для запуска rebuilderd достаточно установить пакет rebuilderd из штатного репозитория, импортировать GPG-ключ для проверки окружения и активировать соответствующий системный сервис. Возможно развёрытвание сети из нескольких экземпляров rebuilderd. Сервис отслеживает состояние индекса пакетов и автоматически запускает пересборку новых пакетов в эталонном окружении, состояние которого синхронизировано с настройками … Читать далее Доступен rebuilderd для независимой верификации Arch Linux при помощи повторяемых сборок

В пакетном фильтре ipfw устранены две уязвимости в коде разбора опций TCP, вызванные некорректной проверкой данных в обрабатываемых сетевых пакетах. Первая уязвимость (CVE-2019-5614) при обработке определённым образом оформленных TCP-пакетов может привести к доступу к памяти вне выделенного буфера mbuf, а вторая (CVE-2019-15874) к обращению к уже освобождённым областям памяти (use-after-free). Анализ пригодности выявленных проблем для эксплуатации, способной инициировать выполнение кода злоумышленника, не производился, но не исключается, что уязвимости могут не ограничиться вызовом краха ядра. Проблемы исправлены в обновлениях FreeBSD 11.3-RELEASE-p8 и 12.1-RELEASE-p4 (в stable-ветки исправления без лишней огласки были внесены ещё в декабре прошлого года). Источник: http://www.opennet.ru/opennews/art.shtml?num=52783 Читать далее Во FreeBSD устранены удалённо эксплуатируемые уязвимости в ipfw

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1g, в котором устранена уязвимость (CVE-2020-1967), приводящая к отказу в обслуживании при попытке согласовать соединение TLS 1.3 с подконтрольным злоумышленнику сервером или клиентом. Уязвимости присвоен высокий уровень опасности. Проблема проявляется только в приложениях, использующих функцию SSL_check_chain(), и приводит к краху процесса при некорректном использовании TLS-расширения «signature_algorithms_cert». В частности, при получении в процессе согласования соединения неподдерживаемого или неверного значения алгоритма обработки цифровых подписей возникает разыменование нулевого указателя и крах процесса. Проблема проявляется начиная с выпуска OpenSSL 1.1.1d. Источник: http://www.opennet.ru/opennews/art.shtml?num=52782 Читать далее Опубликован OpenSSL 1.1.1g с устранением уязвимости, связанной с TLS 1.3

Доступен сервисный менеджер GNU Shepherd 0.8 (бывший dmd), который развивается разработчиками дистрибутива GNU Guix System в качестве поддерживающей зависимости альтернативы системе инициализации SysV-init. Управляющий демон и утилиты Shepherd написаны на языке Guile (одна из реализаций языка Scheme), который также используется для определения настроек и параметров запуска сервисов. Shepherd уже применяется в дистрибутиве GuixSD GNU/Linux и нацелен также на использование в GNU/Hurd, но может работать в любой POSIX-совместимой ОС, для которой доступен язык Guile. Shepherd может использоваться как в роли основной системы инициализации (init c PID 1), так и в обособленном виде для управления фоновыми процессами отдельных пользователей (например, для запуска … Читать далее Выпуск системы инициализации GNU Shepherd 0.8

После года разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.18.0, которая вобрала в себя изменения, накопленные в рамках основной ветки 1.17.x. В дальнейшем все изменения в стабильной ветке 1.18 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.19, в рамках которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus. В соответствии с апрельским отчетом компании Netcraft nginx используется на 19.56% всех активных … Читать далее Релиз nginx 1.18.0

Исследователи из компании RACK911 Labs обратили внимание на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО. Для проведения атаки необходимо загрузить файл, который антивирус распознает как вредоносный (например, можно использовать тестовую сигнатуру), а через определённое время, после выявления вредоносного файла антивирусом, но непосредственно перед вызовом функции для его удаления, подменить каталог с файлом символической ссылкой. В Windows для достижения того же эффекта выполняется подмена каталога при помощи точки соединения (directory junction). Проблема в том, почти все антивирусы должным образом … Читать далее Большинство антивирусов оказались подвержены атаке через символические ссылки

Разработчики postmarketOS, дистрибутива для смартфонов, базирующегося на Alpine Linux, Musl и BusyBox, представили начальный порт проекта для iPhone 7. Из-за ограничений на размер образа ядра, эксперименты пока ограничиваются загрузкой минимальной редакции PostmarketOS без графического интерфейса. При сборке ядра использованы патчи от компании Corellium, в рамках проекта Sandcastle ведущей работу по портированию Linux и Android для iPhone. Напомним, что целью проекта postmarketOS является обеспечение возможности использования GNU/Linux дистрибутива на смартфоне, не привязанного к типовым решениям основных игроков индустрии, задающих вектор развития, и не зависящего от жизненного цикла поддержки официальных прошивок. Окружение postmarketOS максимально унифицировано и выносит все специфичные для конкретных устройств … Читать далее В дистрибутиве postmarketOS реализована начальная поддержка iPhone 7

Доступно обновление операционной системы KolibriN 10.1, написанной преимущественно на ассемблере (fasm) и распространяемой под лицензией GPLv2. KolibriN базируется на KolibriOS и предоставляет более красивое и дружественное для простого пользователя окружение, предлагающее большее количество приложений, поставляемых в комплекте. Загрузочный образ занимает 84 Мб и включает такие приложения, как браузеры WebView и Netsurf, видеоплеер FPlay, просмотрщик изображений zSea, графический редактор GrafX2, программы для просмотра документов uPDF, BF2Reader и TextReader, эмуляторы игровых консолей DosBox, ScummVM и ZX Spectrum, текстовый процессор, файловый менеджер и подборку игр. Обеспечена реализация всех возможностей USB, доступен сетевой стек, поддерживаются ФС FAT12/16/32, Ext2/3/4, NTFS (только чтение), XFS (только чтение). … Читать далее Обновление ОС KolibriN 10.1 и MenuetOS 1.34, написанных на ассемблере

Представлен выпуск дистрибутива NixOS 20.03, основанного на пакетном менеджере Nix и предоставляющего ряд собственных разработок, упрощающих настройку и сопровождение системы. Например, в NixOS используется единый файл системной конфигурации (configuration.nix), предоставляется возможность быстрого отката обновлений, присутствует поддержка переключения между различными состояниями системы, поддерживается установка индивидуальных пакетов отдельными пользователями (пакет ставится в домашний каталог), возможна одновременная установка нескольких версий одной программы, обеспечены воспроизводимые сборки. Размер полного установочного образа с KDE — 1.2 Гб, сокращённого консольного варианта — 540 Мб. Основные новшества: Обновлены версии компонентов дистрибутива, в том числе ядро Linux 5.4 (было 4.19), gcc 9.2.0, glibc 2.30, mesa 19.3.3, openssl 1.1.1d, PostgreSQL … Читать далее Выпуск дистрибутива NixOS 20.03, использующего пакетный менеджер Nix

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 и 2.17.5, в которых устранена уязвимость (CVE-2020-11008), напоминающая проблему, устранённую на прошлой неделе. Новая уязвимость также затрагивает обработчики «credential.helper» и эксплуатируется при передаче специально оформленного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса. При обработке подобного URL credential.helper отправляет информацию об учётных данных, не соответствующих запрошенному протоколу или хосту, к которому осуществляется обращение. В отличие от прошлой проблемы при эксплуатации новой уязвимости атакующий не может напрямую контролировать хост, от которого будут переданы чужие учётные данные. То, какие учётные … Читать далее Обновление Git с устранением ещё одной уязвимости

Представлен релиз дистрибутива Scientific Linux 7.8, построенного на пакетной базе Red Hat Enterprise Linux 7.8 и дополненного средствами, ориентированными на использование в научных учреждениях. Дистрибутив поставляется для архитектуры x86_64, в форме DVD-сборок (9.9 Гб и 8.1 Гб), сокращённого образа для установки по сети (627 Мб). Публикация Live-сборок задерживается. Отличия от RHEL в основной массе сводятся к ребрендингу и чистке привязок к службам Red Hat. Специфичные для научного применения приложения, а также дополнительные драйверы, предлагаются для установки из внешних репозиториев, таких как EPEL и elrepo.org. Перед обновлением до Scientific Linux 7.8 рекомендуется запустить ‘yum clean all’ для очистки кэша. Основные особенности … Читать далее Релиз дистрибутива Scientific Linux 7.8

Представлен последний итоговый выпуск Python 2.7.18, который ознаменовал собой полное прекращение поддержки ветки Python 2. Обновления для Python 2 больше формироваться не будут и всем пользователям рекомендуется перейти на использование Python 3. Ветка Python 2.7 была сформирована в 2010 году и её поддержку изначально планировалось прекратить в 2015 году, но из-за недостаточно активной миграции проектов на Python 3 и проблем, возникающих при переработке кода, время жизни Python 2 было продлено до 2020 года. Несмотря на то, что официально проект CPython больше не будет заниматься Python 2, работа над устранением уязвимостей в Python 2.7 будет продолжена представителями сообщества, заинтересованными в продолжении … Читать далее Опубликован Python 2.7.18, последний выпуск ветки Python 2

Сформирован выпуск прослойки DXVK 1.6.1, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Добавлена возможность экранирования значений настроек при помощи кавычек, например d3d9.customDeviceDesc = «ATi Rage 128»; Добавлена опция dxgi.tearFree для явного включения защиты от мерцания при … Читать далее Выпуск DXVK 1.6.1, реализации Direct3D 9/10/11 поверх API Vulkan

Разработчики OpenBSD опубликовали первый публичный выпуск переносимой редакции пакета rpki-client с реализацией механизма RPKI (Resource Public Key Infrastructure) для RP (Relying Parties), применяемого для авторизации источника BGP-анонсов. RPKI позволяет определить исходит ли BGP-анонс от владельца сети или нет, для чего при помощи инфраструктуры открытых ключей для автономных систем и IP-адресов строится цепочка доверия, которая выстраивается от IANA к региональным регистраторам (RIRs), провайдерам (LIR) и конечным потребителям адресов. Код опубликован под лицензией BSD. Программа rpki-client даёт возможность отправить запрос в репозиторий RPKI и сформировать объект VRP (Validated ROA Payload), подтверждающий источник маршрута (ROA, Route Origin Authorization) в формате настроек пакетов маршрутизации … Читать далее Проект OpenBSD представил первый переносимый выпуск rpki-client

Доступен новый значительный выпуск библиотеки Pixman 0.40, предназначенной для эффективного выполнения операций по манипулированию областями пикселей, например, для совмещения изображений и различных видов преобразований. Библиотека применяется для низкоуровневой отрисовки графики во многих открытых проектах, в том числе в X.Org, Cairo, Firefox и Wayland/Weston. В Wayland/Weston на основе Pixman организована работа бэкендов для программного рендеринга. Код написан на языке Си и распространяется под лицензией MIT. В новом выпуске добавлена базовая поддержка дизеринга в режиме «wide», добавлен фильтр упорядоченного дизеринга с синим шумом и демонстрационные файлы с примерами использования дизеринга. Модернизированы сценарии сборки на базе инструментария Meson, добавлена возможность сборки Pixman в … Читать далее Выпуск графической библиотеки Pixman 0.40

Подведены итоги ежегодных выборов лидера проекта Debian. В голосовании приняло участие 339 разработчиков, что составляет 33% от всех участников, имеющих право голоса (в прошлом году явка составила 37%, в позапрошлом 33%). В этом году в выборах приняли участие три кандидата на пост лидера (избранный в прошлом году лидер (Cэм Хартман) в выборах не участвовал). Победу одержал Джонатан Картер (Jonathan Carter). Джонатан с 2016 года занимается сопровождением более 60 пакетов в Debian, принимает участие в улучшении качества Live-образов в команде debian-live и является одним из разработчиков AIMS Desktop, сборки Debian, применяемой в ряде южноафриканских научных и образовательных учреждений. Основными своими задачами … Читать далее Избран новый лидер проекта Debian. Рекомендации по использовании Git для сопровождающих

Разработчики мобильного web-браузера Kiwi, насчитывающего более миллиона установок для платформы Android, объявили о полном открытии всех исходных текстов проекта. Код открыт под лицензией BSD. В том числе открыты наработки по обеспечению запуска на мобильном устройстве дополнений, написанных для настольной версии Chrome. Отмечается, что производители других мобильных браузеров могут воспользоваться уже реализованным в Kiwi кодом для получения расширенной функциональности. Для Kiwi открытие кода представляет интерес с точки зрения привлечения сторонних разработчиков к работе над проектом и формирования сообщества. Репозиторий на GitHub теперь рассматривается как эталонный и непосредственно применяется для разработки и формирования сборок. Kiwi основан на кодовой базе Chromium, может работать … Читать далее Открыты исходные тексты web-браузера Kiwi

Раскрыты сведения об уязвимостях в прокси-сервере Squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы присутствуют в коде обработки блока «@» в начале URL («user@host») и позволяют обойти правила ограничения доступа, отравить содержимое кэша и совершать атаку с использованием межсайтового скриптинга. CVE-2019-12524 — клиент при помощи специально оформленного URL может обойти правила, заданные при помощи директивы url_regex, и получить конфиденциальные сведения о прокси и обрабатываемом трафике (получить доступ к интерфейсу Cache Manager). CVE-2019-12520 — через манипуляцию с данными об имени пользователя в URL можно добиться сохранения в кэше фиктивного содержимого для определённой страницы, … Читать далее Уязвимость в прокси-сервере Squid, позволяющая обойти ограничения доступа

Доступны корректирующие выпуски почтового сервера Postfix — 3.5.1, 3.4.11, 3.3.9 и 3.2.14, в которых добавлен код для исправления нарушения работоспособности DANE/DNSSEC при использовании системной библиотеки Glibc 2.31, в которой была нарушена обратная совместимость в области передачи флагов DNSSEC. В частности, передача DNSSEC-флага AD (authenticated data) стала производиться не по умолчанию, а только при указании в /etc/resolv.conf нового флага RES_TRUSTAD в «_res.options». Без изменения настроек установленный DNS-сервером AD-флаг перестал передаваться приложениям, вызывающим функции, подобные res_search(). Кроме того, в новых выпусках устранена проблема со сборкой при использовании компилятора GCC 10, релиз которого ожидается в мае. Из-за изменений в GCC, нарушающих обратную совместимость, … Читать далее Обновление почтового сервера Postfix 3.5.1