Некоммерческий фонд Tor Project, курирующий разработку анонимной сети Tor, сообщил о значительном сокращении персонала. В результате финансовых проблем и кризиса, вызванных пандемией коронавируса SARS-CoV-2, организация вынуждена расторгнуть отношения с 13 сотрудниками. Трудоустроенными остаются 22 работника, входящие в Сore team и занимающиеся работой над Tor Browser и экосистемой Tor. Отмечается, что это трудная, но вынужденная мера, необходимая для продолжения существования проекта. Источник: http://www.opennet.ru/opennews/art.shtml?num=52763 Читать далее Проект Tor объявил о значительном сокращении сотрудников

Разработчики Dark Reader, дополнения к Chrome, Firefox, Safari и Edge, позволяющего использовать тёмную тему оформления для любого сайта, предупредили о выявлении публикации вредоносных клонов популярных дополнений. Злоумышленники создают на основе имеющегося кода копии дополнения, снабжают их вредоносными вставками и размещают в каталогах под похожими именами, например, Adblock Origin или uBlock Plus. Пользователям рекомендуется при установке дополнения внимательно проверять его название и автора, которые должны соответствовать исходному проекту. Выявленные вредоносные дополнения примечательны выносом вредоносного кода в PNG-файлы, закамуфлированные под изображения. Через пять дней после установке данный код декодируется и используется для загрузки основного вредоносного модуля, который перехватывает конфиденциальные данные на просматриваемых … Читать далее Разработчики Dark Reader предупредили о появлении вредоносных подделок

Представлен новый значительный выпуск реализации языка программирования AWK от проекта GNU — Gawk 5.1.0. AWK был разработан в 70-х годах прошлого века и не претерпел значительных изменений с середины 80-х годов, в которых был определен основной костяк языка, что позволило на протяжении последних десятилетий сохранить первозданную стабильность и простоту языка. Несмотря на преклонный возраст, AWK до сих пор активно используется администраторами для выполнения рутинных работ, связанных с разбором различного рода текстовых файлов и генерацией несложной результирующей статистики. Ключевые изменения: Номер версии API поднят до 3 (отражает изменения в ветке 5.x); Устранены утечки памяти; Обновлены компоненты сборочной инфраструктуры Bison 3.5.4, Texinfo … Читать далее Новая версия интерпретатора GNU Awk 5.1

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.18 и 9.16.2, а также находящейся в разработке экспериментальной ветки 9.17.1. В новых выпусках устранена проблема безопасности, связанная с неэффективностью защиты от атак «DNS rebinding» при работе в режиме перенаправляющего запросы DNS-сервера (блок «forwarders» в настройках). Кроме того, проведена работа по сокращению размера хранящейся в памяти статистики цифровых подписей для DNSSEC — число отслеживаемых ключей сокращено до 4 для каждой зоны, чего достаточно в 99% случаев. Техника «DNS rebinding» позволяет при открытии пользователем определённой страницы в браузере установить WebSocket-соединение к сетевому сервису во внутренней сети, недоступному для прямого обращения через интернет. Для обхода … Читать далее Обновление DNS-сервера BIND 9.11.18, 9.16.2 и 9.17.1

Опубликован выпуск СУБД TimescaleDB 1.7, предназначенной для хранения и обработки данных в форме временного ряда (срезы значений параметров через заданные промежутки времени, запись образует время и набор соответствующих этому времени значений). Подобная форма хранения оптимальна для таких применений как системы мониторинга, торговые платформы, системы сбора метрик и состояний датчиков. Предоставляются средства для интеграции с проектом Grafana и Prometheus. Проект TimescaleDB реализован в виде расширения к PostgreSQL и распространяется под лицензией Apache 2.0. Часть кода с расширенными возможностями поставляется под отдельной проприетарной лицензией Timescale (TSL), не допускающей внесение изменений, запрещающей использование кода в сторонних продуктах и не разрешающей бесплатное использование в … Читать далее Выпуск СУБД TimescaleDB 1.7

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.3, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера. … Читать далее Доступен Firefox Preview 4.3 для Android

Компания Cloudflare ввела в строй сайт isBGPSafeYet.com, призванный привлечь внимание к проблеме с утечкой некорректных BGP-маршрутов и возможности совершения атак по перенаправлению трафика при помощи протокола BGP. Сайт позволяет проверить применение провайдерами технологии фильтрации некорректных маршрутов и оценить внедрение поддержки RPKI. Многие операторы остаются незащищёнными от поступления BGP-анонсов подсетей с фиктивными сведениями о длине маршрута, направляющими транзитный трафик через сторонних провайдеров. Всё чаще всплывают случаи использования BGP для атак, в ходе которых злоумышленники путём компрометации инфраструктуры провайдеров организуют перенаправление и перехват трафика для подмены конкретных сайтов через организацию MiTM-атаки для замены ответов DNS. Решением проблемы является внедрение системы авторизации BGP-анонсов … Читать далее Cloudflare запустил сервис для отслеживания фильтрации некорректных маршрутов BGP

Представлен релиз дисплейного сервера Mir 1.8, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04-20.04 (PPA) и Fedora 30/31/32. Код проекта распространяется под лицензией GPLv2. В новом выпуске главные изменения связаны с расширением поддержки экранов с высокой плотностью пикселей … Читать далее Выпуск дисплейного сервера Mir 1.8

Роман Гилг (Roman Gilg), участвующий в разработке KDE, Wayland, Xwayland и X Server, представил проект KWinFT (KWin Fast Track), развивающий гибкий и простой в использовании композитный оконный менеджер для Wayland и X11, основанный на кодовой базе KWin. Помимо оконного менеджера проект также развивает библиотеку wrapland с реализацией обвязки над libwayland для Qt/C++, продолжающей развитие KWayland, но избавленной от привязки к Qt. Код распространяется под лицензиями GPLv2 и LGPLv2. Целью проекта является переработка KWin и KWayland с использованием современных технологий и практик разработки, позволяющих ускорить развитие проекта, провести рефакторинг кода, добавить оптимизации и упростить добавление фундаментальных новшеств, интеграция которых в KWin … Читать далее Представлен KWinFT, форк KWin, сфокусированный на Wayland

Состоялся выпуск сервера приложений NGINX Unit 1.17, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии: Возможность использования выражений «return» и «location» в блоках «action» для немедленного возвращения произвольного кода возврата или перенаправления на внешний ресурс. Например, для … Читать далее Выпуск сервера приложений NGINX Unit 1.17.0

Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для перехвата трафика VPN только что подключившегося клиента, для которого ещё не завершено согласование сессионных ключей. Среди других изменений: На платформе Windows разрешено использовать поисковые unicode-строки в опции «—cryptoapicert»; Обеспечен пропуск просроченных сертификатов в хранилище сертификатов Windows; Решена проблема с невозможностью загрузки нескольких размещённых в одном файле CRL (Certificate Revocation List) при использовании опции «—crl-verify» на системах c OpenSSL; При использовании опции»—auth-user-pass file» при наличии в … Читать далее Обновление OpenVPN 2.4.9

Разработчики проекта Fedora объявили о переносе релиза Fedora 32 на одну неделю в связи с невыполнением критериев качества. Релиз Fedora 32 планируют выпустить 28 апреля, а не 21 апреля, как было намечено изначально. В финальных тестовых сборках остаются неисправленными 3 проблемы, которые отнесены к блокирующим выпуск. Из блокирующих релиз проблем можно отметить: проблемы с распознаванием LVM-разделов в режиме восстановления после сбоя, зависание при попытке загрузки на системах с GPU NVIDIA Turing в режиме «Secure Boot» и отсутствие финальной версии пакета f32-backgrounds в стабильном репозитории. Источник: http://www.opennet.ru/opennews/art.shtml?num=52751 Читать далее Релиз Fedora 32 отложен на неделю

Представлен выпуск системы обмена сообщениями Mattermost 5.22, ориентированной на обеспечение коммуникации разработчиков и сотрудников предприятий. Код серверной части проекта написан на языке Go и распространяется под лицензией MIT. Web-интерфейс и мобильные приложения написаны на JavaScript с использованием React, десктоп-клиент для Linux, Windows и macOS построен на платформе Electron. В качестве СУБД могут применяться MySQL и Postgres. Mattermost позиционируется как открытая альтернатива системе организации коммуникаций Slack и позволяет получать и отправлять сообщения, файлы и изображения, отслеживать историю переговоров и получать уведомления на смартфоне или ПК. Поддерживаются подготовленные для Slack модули интеграции, а также предоставлена большая коллекция собственных модулей для интеграции с … Читать далее Выпуск системы обмена сообщениями Mattermost 5.22

Компания Valve опубликовала выпуск проекта Proton 5.0-6, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» (Eventfd … Читать далее Компания Valve выпустила Proton 5.0-6, пакет для запуска Windows-игр в Linux

В драйвере vhost-net, обеспечивающем работу virtio net на стороне хост-окружения, выявлена уязвимость (CVE-2020-10942), позволяющая локальному пользователю инициировать переполнение стека ядра через отправку устройству /dev/vhost-net определённым образом оформленного ioctl(VHOST_NET_SET_BACKEND). Проблема вызвана отсутствием должной проверки содержимого поля sk_family в коде функции get_raw_socket(). По предварительным данным уязвимость можно использовать для совершения локальной DoS-атаки через вызов краха ядра (сведений об использовании вызываемого уязвимостью переполнения стека для организации выполнения кода нет). Уязвимость устранена в обновлении ядра Linux 5.5.8. Для дистрибутивов проследить за выпуском обновлений пакетов можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch. Источник: http://www.opennet.ru/opennews/art.shtml?num=52747 Читать далее Уязвимость в драйвере vhost-net из состава ядра Linux

Компания GitHub Inc, принадлежащая Microsoft и функционирующая в качестве независимого бизнес-подразделения, объявила об успешном завершении сделки по покупке бизнеса компании NPM Inc, контролирующей разработку пакетного менеджера NPM и занимающейся поддержанием репозитория NPM. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Сумма сделки не называется. Ahmad Nassri, технический директор NPM Inc, сообщил о решении уйти из команды NPM, отдохнуть, проанализировать свой опыт и воспользоваться новыми возможностями (в профиле Ахмеда появились данные, что он занял должность техдиректора в компании Fractional). Айзек Шлютер (Isaac Z. Schlueter), создатель NPM, продолжит работать над … Читать далее GitHub успешно завершил сделку по покупке NPM

Опубликовано обновление браузера Chrome 81.0.4044.113 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2020-6457) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в компоненте для распознавания речи (к слову, прошлая критическая уязвимость в Chrome также затрагивала данный компонент). Источник: http://www.opennet.ru/opennews/art.shtml?num=52745 Читать далее Обновление Chrome 81.0.4044.113 с устранением критической уязвимости

Швейцарская компания Proton Technologies AG объявила в своём блоге об открытии исходного кода приложения ProtonMail Bridge для всех поддерживаемых платформ (Linux, MacOS, Windows). Код распространяется под лицензией GPLv3. Дополнительно опубликована модель безопасности приложения. Заинтересованным экспертам предложено присоединиться к программе bug bounty. ProtonMail Bridge предназначен для работы с сервисом защищённой электронной почты ProtonMail с использованием предпочитаемого десктопного почтового клиента, сохраняя при этом высокий уровень защиты передаваемых по сети данных. Ранее приложение было доступно только на платных тарифах. Таким образом компания продолжает процесс постепенного открытия исходных кодов, начатый в 2015г. Ранее в разряд открытых уже были переведены: Web-фронтенд Почтовый клиент для iOS … Читать далее Открыт исходный код ProtonMail Bridge

Состоялся релиз пакетного менеджера GNU Guix 1.1 и построенного на его основе дистрибутива GNU/Linux. Для загрузки сформированы образы для установки на USB Flash (241 Мб)и использования в системах виртуализации (479 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7 и aarch64. Дистрибутив допускает установку как в качестве обособленной ОС в системах виртуализации, в контейнерах и на обычном оборудовании, так и запуск в уже установленных дистрибутивах GNU/Linux, выступая в роли платформы для развёртывания приложений. Пользователю предоставляются такие функции, как учёт зависимостей, повторяемые сборки, работа без root, откат на прошлые версии в случае проблем, управление конфигурацией, клонирование окружений (создание точной копии программного окружения … Читать далее Доступен пакетный менеджер GNU Guix 1.1 и дистрибутив на его основе

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.6, в котором отмечено 9 исправлений. Одновременно также выпущены корректирующие релизы VirtualBox 6.0.20 и 5.2.40. В обновлениях устранено 19 уязвимостей, из которых 7 проблем имеют критический уровень опасности (CVSS больше 8). В том числе устранены уязвимости, используемые в атаках, продемонстрированных на соревновании Pwn2Own 2020 и позволяющие через манипуляции на стороне гостевой системы получить доступ к хост-системе и выполнить код с правами гипервизора. Не связанные с безопасностью изменения в выпуске 6.1.6: В компоненты для хост-окружения и дополнения для гостевых систем добавлена поддержка ядра Linux 5.6; Улучшена поддержка 2D- и 3D-ускорения, а также рендеринга; … Читать далее Выпуск VirtualBox 6.1.6

Компании MyCrypto и PhishFort выявили в каталоге Chrome Web Store 49 вредоносных дополнений, отправляющих ключи и пароли от криптокошельков на серверы злоумышленников. Дополнения распространялись с использованием методов фишинговой рекламы и преподносились как реализации различных кошельков криптовалют. Дополнения были основаны на коде официальных кошельков, но включали вредоносные изменения, выполняющие отправку закрытых ключей, кодов восстановления доступа и файлов с ключами. Для некоторых дополнений при помощи фиктивных пользователей искусственно поддерживался положительный рейтинг и публиковались положительные отзывы. Компания Google удалила указанные дополнения из каталога Chrome Web Store в течение 24 часов после уведомления. Публикация первых вредоносных дополнений началась в феврале, но пик пришёлся на … Читать далее В Chrome Web Store выявлено 49 дополнений, перехватывающих ключи от криптокошельков