Организация The Document Foundation представила релиз офисного пакета LibreOffice 6.3. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. Ключевые новшества: Существенно увеличена производительность Writer и Calc. По сравнению с прошлым выпуском загрузка и сохранение некоторых типов документов выполняется быстрее до 10 раз. Особенно увеличение производительности заметно при чтении и отрисовке текстовых файлов с большим числом закладок, таблиц и встроенных шрифтов, а также при открытии больших файлов в форматах ODS/XLSX и электронных таблиц с функциями VLOOKUP. Значительно ускорен экспорт файлов в формате XLS; Модернизирован компактный вариант панели инструментов Notebookbar, … Читать далее Выпуск офисного пакета LibreOffice 6.3

Раскрыты детали новой атаки на сайты, использующие модель фронтэнд-бэкенд, например, работающие через сети доставки контента, балансировщики или прокси. Атака позволяет через отправку определённых запросов вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом. Предложенный метод успешно применён для организации атаки, позволяющей перехватывать параметры аутентификации пользователей сервиса PayPal, который выплатил исследователям около 40 тысяч долларов в рамках программы информирования о наличии неисправленных уязвимостей. Атака также применима для сайтов, использующих сеть доставки контента Akamai. Суть проблемы в том, что фронтэнды и бэкенды зачастую обеспечивают разный уровень поддержки протокола HTTP, но при этом инкапсулируют запросы разных пользователей в … Читать далее Атака на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы

В коммутаторах на базе чипов RTL83xx, включая Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M и ещё более десятка устройств от менее известных производителей, выявлены критические уязвимости, позволяющие неаутентифицированному атакующему получить контроль за коммутатором. Проблемы вызваны ошибками в SDK Realtek Managed Switch Controller, код из которого использовался при подготовке прошивок. Первая уязвимость (CVE-2019-1913) затрагивает управляющий web-интерфейс и даёт возможность выполнить свой код с привилегиями пользователя root. Уязвимость вызвана недостаточной проверкой передаваемых пользователем параметров и отсутствием должной оценки границ буфера при чтении входных данных. В результате, атакующий может вызвать переполнение буфера через отправку специально оформленного запроса и эксплуатировать проблему … Читать далее Уязвимости, позволяющие захватить управление коммутаторами Cisco, Zyxel и NETGEAR на чипах RTL83xx

Разработчики из компании 9elements портировали CoreBoot для серверной материнской платы Supermicro X11SSH-TF. Изменения уже включены в основную кодовую базу CoreBoot и войдут в состав следующего значительного выпуска. Supermicro X11SSH-TF стала первой современной серверной материнской платой с процессором Intel Xeon, которую можно использовать с CoreBoot. Плата поддерживает процессоры Xeon (E3-1200V6 Kabylake-S или E3-1200V5 Skylake-S) и может оснащаться до 64 Гб ОЗУ (4 x UDIMM DDR4 2400MHz). Работа проведена совместно с VPN-провайдером Mullvad в рамках проекта System Transparency, нацеленном на усиление защищённости серверной инфраструктуры и избавление от проприетарных компонентов, состояние которых невозможно контролировать. CoreBoot является свободным аналогом проприетарным прошивкам и доступнен для … Читать далее Представлена первая современная серверная платформа на базе CoreBoot

Компания NVIDIA начала публикацию свободной документации по интерфейсам своих чипов. Опубликованные руководства пока охватывают не все возможности и чипы (например, нет информации о семействе Turing, средствах управления частотой и верификации прошивок по цифровой подписи), но работа по публикации продолжается и число документов будет увеличиваться. Опубликованная информация включает разнородные данные о семействах GPU Maxwell, Pascal, Volta и Kepler, такие как сведения о таблицах BIOS, блоках управления устройством, инициализации устройств, обеспечении защиты в движке Falcon, управлении частотой и оптимизациями, заголовочных файлах для шейдеров, режимах энегопотребления и т.п. Документация распространяется под лицензией MIT и может быть использована для усовершенствования свободного драйвера Nouveau. Источник: … Читать далее NVIDIA опубликовала документацию по интерфейсам GPU для упрощения разработки открытых драйверов

Исследователи из компании Bitdefender выявили новую уязвимость (CVE-2019-1125) в механизме спекулятивного выполнения инструкций современных CPU, которая получила имя SWAPGS, соответствующее названию процессорной инструкции, вызывающей проблему. Уязвимость позволяет непривилегированному атакующему определить содержимое памяти ядра, других процессов или виртуальных машин в системе. Проблема подтверждена в процессорах Intel (x86_64) и частично затрагивает процессоры AMD, для которых не проявляется основной вектор атаки. Ранее реализованные методы противодействия уязвимостям Spectre и Meltdown не защищают от атаки SWAPGS при использовании процессоров Intel, но для Linux, ChromeOS, Android и Windows уже предложены исправления. Уязвимость относится к классу Spectre v1 и основывается на идее восстановления данных из процессорного кэша, … Читать далее SWAPGS — новая уязвимость в механизме спекулятивного выполнения CPU

Компания Red Hat выпустила дистрибутив Red Hat Enterprise Linux 7.7. Установочные образы RHEL 7.7 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86+64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория проекта CentOS. Ветка RHEL 7.x сопровождается параллельно с веткой RHEL 8.x и будет поддерживаться до июня 2024 года. Выпуск RHEL 7.7 является последним в рамках основной полной стадии поддержки, подразумевающей включение функциональных улучшений. RHEL 7.8 перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных … Читать далее Выпуск Red Hat Enterprise Linux 7.7

Опубликован новый стабильный релиз интерфейса для упрощения настройки параметров сети — NetworkManager 1.20. Плагины для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN развиваются в рамках собственных циклов разработки. Основные новшества NetworkManager 1.20: Добавлена поддержка беспрводных Mesh-сетей, каждый узел в которых связан через соседние узлы; Проведена чистка от устаревших компонентов. В том числе удалена библиотека libnm-glib, на смену которой в NetworkManager 1.0 пришла библиотека libnm, удалён плагин ibft (для передачи данных о сетевой конфигурации от прошивки следует использовать nm-initrd-generator из initrd) и прекращена поддержка настройки «main.monitor-connection-files» в NetworkManager.conf (следует явно вызывать «nmcli connection load» или «nmcli connection reload»); По умолчанию активирован … Читать далее Релиз сетевого конфигуратора NetworkManager 1.20.0

Известна проблема, которая донимает множество людей на протяжении многих лет и которую можно воспроизвести меньше, чем за несколько минут на последней версии ядра Linux 5.2.6. Все параметры ядра установлены в значения по умолчанию. Шаги: Загружаемся с параметром «mem=4G». Выключаем поддержку swap (sudo swapoff -a). Запускаем любой веб браузер, например, Chrome/Chromium или/и Firefox. Начинаем открывать вкладки с сайтами и смотрим как уменьшается объём свободной памяти. Как только возникает ситуация, что новая вкладка требует больше оперативной памяти, чем доступно, система практически полностью зависает. Вы даже с трудом сможете двигать курсором мыши. Индикатор жёсткого диска будет моргать без остановки (мне не ясно почему). … Читать далее Linux ядро не может мягко обрабатывать ситуации с нехваткой памяти

В беспроводном стеке чипов Qualcomm выявлены три уязвимости, которые преподнесены под кодовым именем «QualPwn». Первая проблема (CVE-2019-10539) позволяет удалённо атаковать устройства на базе платформы Android через Wi-Fi. Вторая проблема присутствует в проприетарной прошивке с беспроводным стеком Qualcomm и позволяет получить доступ к baseband-модему (CVE-2019-10540). Третья проблема присутствует в драйвере icnss (CVE-2019-10538) и даёт возможность добиться выполнения своего кода на уровне ядра платформы Android. В случае успешной эксплуатации связки из указанных уязвимостей атакующий может удаленно получить контроль за устройством пользователя, на котором активен Wi-Fi (для атаки требуется, чтобы жертва и атакующий были подключены к одной беспроводной сети). Успешная возможности атаки продемонстрирована … Читать далее Уязвимость в чипах Qualcomm, позволяющая атаковать Android-устройство через Wi-Fi

После девяти месяцев разработки доступен мультимедиа-пакет FFmpeg 4.2, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 4.2, можно выделить: Добавлена возможность использования Clang для компиляции ядер CUDA; Реализована поддержка декодирования формата AV1 с использованием альтернативного декодировщика dav1d, развиваемого проектами VideoLAN и FFmpeg. Dav1d ориентирован на достижение максимально возможной производительности декодирования и обеспечение качественной работы в многопоточном режиме; Добавлены распаковщики медиаконтейнеров (demuxer) dhav, hcom и vividas, KUX и IFV; Добавлен кодировщик PCM-DVD; … Читать далее Выпуск мультимедиа-пакета FFmpeg 4.2

В Chrome 76 была прикрыта лазейка в реализации FileSystem API, позволяющая определить из web-приложения применение режима инкогнито. Начиная с Chrome 76 вместо блокировки доступа к FileSystem API, которая использовалась как признак активности режима инкогнито, браузер перестал ограничивать FileSystem API, но очищал вносимые изменения после сеанса. Как оказалось, новая реализация имеет недостатки, позволяющие как и раньше определять активность режима инкогнито. Суть проблемы в том, что сеанс с FileSystem API в режиме инкогнито является временным, а данные не сохраняются на диск и держатся в оперативной памяти. Соответственно, измеряя время сохранения данных через FileSystem API и возникающие отклонения (при сохранении в ОЗУ фиксируются … Читать далее Найден метод для определения просмотра в режиме инкогнито в Chrome 76

Завершён русский перевод второго издания книги Ричарда Столлмана и Сэма Вильямса «Free as in Freedom: Richard Stallman’s Crusade for Free Software» («Освобождение вашего компьютера (2.0): Ричард Столлман и революция свободного программного обеспечения»). Перед финальной публикацией авторы перевода просят помощи в тщательной вычитке, а также исправлении оставшихся огрехов в оформлении. Книга распространяется под лицензией GNU FDL 1.3+ и доступна в форматах TeX и PDF. Дополнительно, Фонд СПО сообщил о скором выступлении Ричарда Столлмана в Санкт-Петербурге с докладом «Free software and your freedom». Выступление состоится 24 августа на фестивале TechTrain 2019 во втором зале КВЦ «Экспофорум» c 17:15 по 18:00 (MSK). Посещение … Читать далее Перевод книги про Ричарда Столлмана

Объявлено об открытии исходных текстов SQL-движка BlazingSQL, использующего GPU для ускорения обработки данных. BlazingSQL не является полноценной СУБД, а позиционируется как движок для анализа и обработки больших наборов данных, сравнимый по своим задачам с Apache Spark. Код написан на языке Python и открыт под лицензией Apache 2.0. BlazingSQL подходит для выполнения единичных аналитических запросов над большими наборами данных (десятки гигабайт), хранимых в табличных форматах (например, логи, статистика NetFlow и т.п.). BlazingSQL может выполнять запросы из raw-файлов в форматах CSV и Apache Parquet, размещённых в сетевых и облачных ФС, подобных HDSF и AWS S3, напрямую передавая результат в память GPU. Благодаря … Читать далее Открыт код SQL-движка BlazingSQL, использующего GPU для ускорения

Опубликован выпуск JavaScript-движка Duktape 2.4.0, ориентированного на встраивание в кодовую базу проектов на языке C/C++. Движок отличается компактным размером, высокой переносимостью и низким потреблением ресурсов. Исходные тексты движка написаны на языке Си и распространяются под лицензией MIT. Код Duktape занимает около 160 kB и потребляет всего 70kB ОЗУ, а в режиме низкого потребления памяти 27kB ОЗУ. Для интеграции Duktape в код на C/C++ достаточно добавить в проект файлы duktape.c и duktape.h, и использовать Duktape API для вызова функций на JavaScript из кода на C/C++ или наоборот. Для освобождения неиспользуемых объектов из памяти применяется сборщик мусора с финализатором, построенный на основе … Читать далее Выпуск встраиваемого JavaScript-движка Duktape 2.4.0

Доступен выпуск Wi-Fi демона IWD 0.19 (iNet Wireless Daemon), развиваемого компанией Intel в качестве альтернативы wpa_supplicant для организации подключения Linux-систем к беспроводной сети. IWD может выступать в качестве бэкенда для таких сетевых конфигураторов как Network Manager и ConnMan. Ключевой целью разработки нового Wifi-демона является оптимизация потребления ресурсов, таких как потребление памяти и дисковый размер. IWD не использует внешних библиотек и обращается только к возможностям, предоставляемым штатным ядром Linux (для работы достаточно ядра Linux и Glibc). Код проекта написан на языке Си и поставляется под лицензией LGPLv2.1. В новом выпуске: Представлена поддержка стандарта Hotspot 2.0 для аутентификации и роуминга пользователей Wi-Fi; … Читать далее Выпуск Wi-Fi демона IWD 0.19

Подготовлен новый выпуск компьютерной ролевой игры Veloren 0.3, написанной на языке Rust и использующей воксельную графику. Проект развивается под впечатлением от таких игр, как Cube World, Legend of Zelda: Breath of the Wild, Dwarf Fortress и Minecraft. Бинарные сборки сформированы для Linux и Windows. Код поставляется под лицензией GPLv3. Проект пока находится на раннем этапе развития, но уже вполне пригоден для простой многопользовательской игры. Источник: http://www.opennet.ru/opennews/art.shtml?num=51218 Читать далее Выпуск многопользовательской RPG-игры Veloren 0.3

Юридическая компания Tycko & Zavareei подала судебный иск, связанный с утечкой персональных данных более 100 миллионов клиентов банковского холдинга Capital One, включая сведения об около 140 тысячах номеров социального страхования и 80 тысячах номеров банковских счетов. Помимо Capital One в число ответчиков включена компания GitHub, которой вменяется предоставление возможности размещения, отображения и использования информации, полученной в результате взлома. По мнению истца, GitHub обязан соблюдать действующее в США законодательство, запрещающее размещение в открытом доступе номеров социального страхования пользователей. В частности, так как номера социального страхования имеют фиксированный формат, компания должна была предусмотреть наличие фильтров для выявления фактов размещения пользователями результатов утечек … Читать далее GitHub включён в число ответчиков в деле об утечке пользовательской базы Capital One

Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen) выявили новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd. Напомним, что в апреле теми же авторами были выявлены шесть уязвимостей в WPA3, для противодействия которым объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, внесло изменения в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool, вместо ранее допустимых эллиптических кривых P-521 и P-256. Тем не менее, анализ показал, что использование Brainpool … Читать далее Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd

Состоялся релиз мозаичного (тайлового) оконного менеджера i3wm 4.17. Проект i3wm был создан с нуля после серии попыток устранить недостатки оконного менеджера wmii. I3wm отличается хорошо читаемым и документированным кодом, использует xcb вместо Xlib, корректно поддерживает работу в многомониторных конфигурациях, использует древовидные структуры данных для позиционирования окон, предоставляет IPC-интерфейс, поддерживает UTF-8, сохраняет минималистичность в оформлении окон. Код проекта распространяется под лицензией BSD В новом выпуске: В панели i3bar добавлена поддержка прозрачности (флаг «—transparenc») и возможность назначения произвольной ширины рамки; По умолчанию в настройках обеспечен запуск xss-lock, nm-applet, pactl (клавиши управления громкостью) и реализовано использование файла конфигурации ~/.config/i3/config; Обновлено руководство пользователя; В … Читать далее Доступен оконный менеджер i3wm 4.17

В офисном пакете LibreOffice выявлена уязвимость (CVE-2019-9848), которую можно использовать для выполнения произвольного кода при открытии документов, подготовленных злоумышленником. Уязвимость вызвана тем, что компонент LibreLogo, предназначенный для обучения программированию и вставки векторных рисунков, транслирует свои операции в код на языке Python. Имея возможность выполнить инструкции LibreLogo злоумышленник может добиться выполнения любого кода на языке Python в контексте текущего сеанса пользователя, воспользовавшись предоставляемой в LibreLogo командой «run». Из Python при помощи функции system(), в свою очередь, можно вызвать произвольные системные команды. LibreLogo является опциональным компонентом, но в LibreOffice по умолчанию предлагаются макросы, дающие возможность вызвать LibreLogo и не требующие при своём … Читать далее Уязвимость в LibreOffice, позволяющая выполнить код при открытии вредоносных документов