Александр Ларсон (Alexander Larsson), разработчик Flatpak и активный участник проекта GNOME, рассказал о грядущих изменениях в развиваемом им GDK-бэкенде Broadway для отрисовки вывода библиотеки GTK в окне web-браузера. В GTK 4 существенно изменились методы отрисовки и вместо вывода в буфер теперь применяется модель на основе узлов отрисовки (render nodes), при которой вывод компонуется в форме дерева высокоуровневых операций, эффективно обрабатываемых GPU при помощи OpenGL и Vulkan. Broadway не вписывается в подобную модель так как манипулирует готовыми битмапами в формате PNG — содержимое передаётся клиенту в виде копий слоев и блоков, описывающих изменения между изображениями. Как вариант можно было задействовать бэкенд … Читать далее В GTK 4 будет переработан бэкенд, позволяющий отображать интерфейс через web-браузер

Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux, в своё время получивший от Фонда СПО премию за вклад в развитие свободного ПО, обнаружил уязвимость в устройстве TP-Link SR20, сочетающем функции беспроводного маршрутизатора и шлюза для управления устройствами в умном доме (Zigbee/ZWave hub). Уязвимость позволяет получить полный контроль за устройством и выполнить на нём произвольные команды с правами root при наличии доступа к домашней локальной сети (например, в случае взлома одного из незащищённых IoT-устройств, атака может быть перенесена на маршрутизатор для полного контроля за локальной сетью). Проблема связана с реализацией протокола TDDP (TP-Link Device Debug Protocol), обработчик которого запускается по умолчанию. … Читать далее Уязвимость в TP-Link SR20, позволяющая получить root-доступ из локальной сети

Представлен бета-выпуск дистрибутива Ubuntu 19.04 «Disco Dingo», который ознаменовал переход к первой стадии заморозки пакетной базы и смещение вектора разработки от развития новых возможностей к тестированию и исправлению ошибок. Готовые тестовые образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu и UbuntuKylin (редакция для Китая). Релиз Ubuntu 19.04 запланирован на 18 апреля. Основные новшества: Рабочий стол обновлён до GNOME 3.32 с переработанным стилем элементов интерфейса, рабочего стола и пиктограмм, прекращением поддержки глобального меню и экспериментальной поддержкой дробного масштабирования (в примечании к выпуску Ubuntu Desktop 19.04 перечислено около 10 пользовательских улучшений, но это старые данные, … Читать далее Бета-выпуск Ubuntu 19.04

Компания WhiteSource опубликовала результаты анализа распределения уязвимостей в зависимости от применяемых в открытом ПО языков программирования. При рассмотрении общего распределения уязвимостей, 47% всех выявленных проблем с безопасностью затрагивают программы написанные на языке Си, 17% на PHP, 12% на Java и 11% на JavaScript. Данная статистика сильно коррелирует с популярностью того или иного языка и объёмом наработанной кодовой базы. Тем не менее, общие тенденции прослеживаются, например, язык PHP занимает в рейтинге Tiobe седьмое место по популярности, но находится на втором месте по числу уязвимостей в приложениях. Некоторые выводы: Активное внедрение автоматизированных систем тестирования, fuzzing-инструментов и программ выплаты вознаграждений за выявление уязвимостей … Читать далее Оценка типичных проблем с безопасностью для различных языков программирования

Компания Cloudflare представила BoringTun, новую реализацию VPN WireGuard, написанную на языке Rust и работающую целиком в пространстве пользователя. Код проекта распространяется под лицензией BSD. В текущем виде BoringTun уже вполне пригоден для экспериментов и начального внедрения (час назад выпущен первый релиз), но пока не рекомендован для повсеместного применения так как ещё не завершён внутренний аудит безопасности кода. Проект включает в себя исполняемый файл boringtun с обособленной реализацией WireGuard для Linux и macOS, а также библиотеку, которая может использоваться для интеграции функциональности клиента WireGuard в произвольные приложения для любых платформ, включая iOS и Android. Библиотека предоставляет только элементы протокола WireGuard без … Читать далее Cloudflare опубликовал реализацию VPN WireGuard на языке Rust

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, позволяющие выполнить код на сервере и осуществить подстановку SQL-запроса. Проблемы устранены в выпусках Magento 2.1.17, 2.2.8 и 2.3.1, в которых также исправлено 30 менее опасных уязвимостей, таких как межсайтовая подделка запроса (CSRF) и межсайтовый скриптинг (XSS). Наиболее опасная проблема позволяет добиться подстановки своего SQL-кода через отправку специального запроса к обработчику «/catalog/product/frontend_action_synchronize». Атака может быть проведена неаутентифицированным пользователем. Через манипуляции с содержимым БД атакующий может добиться выполнения своего кода на стороне сервера или загрузить конфиденциальные данные из БД, включая хэши паролей пользователей. … Читать далее Опасные уязвимости в платформе электронной коммерции Magento

Разработчики Mozilla представили проект WASI (WebAssembly System Interface), в рамках которого ведётся работа по определению программных интерфейсов, которые можно использовать для организации взаимодействия приложений, поставляемых в формате WebAssembly, с операционной системой. Целью проекта является предоставление API, расширяющего область использования WebAssembly и позволяющего создавать на базе данной технологии обычные программы, выполняемые вне браузера, переносимые на любые платформы и демонстрирующие высокий уровень безопасности. WASI даёт возможность из окружения для выполнения WebAssembly получить доступ к предоставляемым операционной системой функциям, таким как файлы, файловая система, сетевые сокеты, таймеры и генераторы случайных чисел. API WASI изначально развивается как не привязанный к браузерам и независящий от … Читать далее Mozilla развивает WASI для использования WebAssembly вне браузера

Разработчики Mozilla представили проект WASI (WebAssembly System Interface), в рамках которого ведётся работа по определению программных интерфейсов, которые можно использовать для организации взаимодействия приложений, поставляемых в формате WebAssembly, с операционной системой. Целью проекта является предоставление API, расширяющего область использования WebAssembly и позволяющего создавать на базе данной технологии обычные программы, выполняемые вне браузера, переносимые на любые платформы и демонстрирующие высокий уровень безопасности. WASI даёт возможность из окружения для выполнения WebAssembly получить доступ к предоставляемым операционной системой функциям, таким как файлы, файловая система, сетевые сокеты, таймеры и генераторы случайных чисел. API WASI изначально развивается как не привязанный к браузерам и независящий от … Читать далее Mozilla развивает WASI для использования WebAssembly вне браузера

С небольшим отставанием от выпуска протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.17, представлен релиз параллельно развиваемого композитного сервера Weston 6.0. Выпуск Weston был задержан из-за проблем в новых сценариях сборки, использующих meson. Смена номера версии Weston на 6.0 обусловлена изменениями в новом API управления выводом, нарушающими совместимость c libweston на уровне ABI. Обзор изменений в Weston 6.0 был опубликован на прошлой неделе в текста анонса Wayland 1.17. Напомним, что Weston развиваются технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и других пользовательских окружениях. Разработка Weston нацелена на предоставление высококачественной кодовой базы и рабочих примеров для использования … Читать далее Выпуск композитного сервера Weston 6.0

С небольшим отставанием от выпуска протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.17, представлен релиз параллельно развиваемого композитного сервера Weston 6.0. Выпуск Weston был задержан из-за проблем в новых сценариях сборки, использующих meson. Смена номера версии Weston на 6.0 обусловлена изменениями в новом API управления выводом, нарушающими совместимость c libweston на уровне ABI. Обзор изменений в Weston 6.0 был опубликован на прошлой неделе в текста анонса Wayland 1.17. Напомним, что Weston развиваются технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и других пользовательских окружениях. Разработка Weston нацелена на предоставление высококачественной кодовой базы и рабочих примеров для использования … Читать далее Выпуск композитного сервера Weston 6.0

Исследователи из компании RedTeam Pentesting обнаружили, что компания Cisco лишь создала видимость устранения уязвимостей в выпущенном в январе обновлении прошивки к маршрутизаторам Cisco RV320 и RV325. Вместо реального устранения проблем в скриптах web-интерфейса, в обновлении прошивки были внесены изменения в настройки http-сервера nginx, блокирующие обращение при помощи утилиты curl, которая использовалась в прототипе эксплоита и примерах для проверки наличия уязвимости. После установки обновления прошивки 1.4.2.20 с заявленным «устранением» проблем, устройства Cisco RV32x как и раньше остаются уязвимыми. Обновление прошивки с корректным исправлением пока не выпущено и ожидается в середине апреля (компания Cisco была уведомлена о проблеме в начале февраля, а … Читать далее Уязвимости в Cisco RV32x были "устранены" через блокировку запросов от утилиты curl

Разработчики дистрибутива Gentoo объявили о возобновлении подготовки редакции рабочего стола GNOME 3.30, избавленной от привязки к systemd и пригодной для использования в окружениях на базе OpenRC и других систем инициализации. Готовые портежи с GNOME 3.30 уже добавлены в ветку репозитория «testing». В прошлый раз сборки без привязки к systemd были предложены в 2016 году для GNOME 3.20. В ближайшее время ожидается добавление в ветку «testing» выпуска GNOME 3.32, а через 6-8 недель перенос в стабильную ветку репозитория. Для управления пользовательскими сеансами задействованы наработки проекта elogind, в рамках которого развивается ответвление systemd-logind, избавленное от привязки к компонентам systemd. Еlogind предоствляет необходимые … Читать далее Gentoo предоставил окружение GNOME 3.30, работающее без привязки к systemd

Разработчики из компании SUSE представили новый видеодрайвер fbdevdrm, предоставляющий поддержку API DRM (Direct Rendering Manager) поверх драйверов на базе Framebuffer (fbdev). Предложенный набор патчей протестирован для запуска композитного сервера Weston и X-сервера с fbdev-драйверами для видеокарт atyfb (ATI Mach64, RageII, RageII+, RageIIc), aty128fb (ATI Rage128), s3fb (S3), savagefb (Savage), sisfb (SiS), tdfxfb (3Dfx) и tridentfb (Trident). Подсистема fbdev считается устаревшей и когда-нибудь будет удалена из ядра, что приведёт к потере большого числа драйверов, работающих через фреймбуфер. Некоторые из этих драйверов затрагивают оборудование, которое всё ещё используется и предоставляет достаточно хорошую поддержку фреймбуфера. Проект fbdevdrm окажется полезным для перевода на современный … Читать далее Разработчики SUSE представили DRM-драйвер, работающий поверх FrameBuffer-драйверов

В инструментариях для управления самодостаточными пакетами snapd и flatpak выявлены похожие уязвимости (CVE-2019-7303, CVE-2019-10063), позволяющие на 64-разрядных системах обойти средства изоляции приложений и получить доступ к основной системе. При удачной атаке (эксплоит) злоумышленник может симулировать набор команд в активном терминале и выполнить произвольные команды вне изолированного окружения. Уязвимости устранены в выпусках snapd 2.37.4, flatpak 1.2.4 и flatpak 1.0.8. Проблема вызвана некорректным устранением в 2017 году уязвимости CVE-2017-5226, для блокирования которой при помощи механизма seccomp было применено ограничение доступа изолированных приложений к системному вызову ioctl с флагом TIOCSTI. Оказалось, что для блокировки на 64-разрядных системах применялась 64-разрядная маска, в то время … Читать далее Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции

Разработчики из компании SUSE представили новый видеодрайвер fbdevdrm, предоставляющий поддержку API DRM (Direct Rendering Manager) поверх устройства Framebuffer (fbdev) в Linux. Предложенный набор патчей протестирован для запуска композитного сервера Weston и X-сервера с fbdev-драйверами для видеокарт atyfb (ATI Mach64, RageII, RageII+, RageIIc), aty128fb (ATI Rage128), s3fb (S3), savagefb (Savage), sisfb (SiS), tdfxfb (3Dfx) и tridentfb (Trident). Подсистема fbdev считается устаревшей и когда-нибудь будет удалена из ядра, что приведёт к потере большого числа драйверов, работающих через фреймбуфер. Некоторые из этих драйверов затрагивают оборудование, которое всё ещё используется и предоставляет достаточно хорошую поддержку фреймбуфера. Проект fbdevdrm окажется полезным для перевода на современный … Читать далее Разработчики SUSE представили DRM-драйвер, работающий поверх FrameBuffer

Компания Valve опубликовала сборку проекта Proton 4.2-1, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Proton 4.2-1 отмечен как первый стабильный выпуск проекта (прошлые выпуски имели статус бета-версий). Наработки проекта распространяются под лицензией BSD. По мере готовности в оригинальный Wine и сопутствующие проекты, такие как DXVK и vkd3d, переносятся развиваемые в Proton изменения. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 11 (на базе DXVK) и 12 (на базе vkd3d), работающие через трансляцию вызовов … Читать далее Выпуск Proton 4.2-1, пакета для запуска Windows-игр в Linux

Компания Cisco представила корректирующие выпуски свободного антивирусного пакета ClamAV 0.100.3 и 0.101.2, в которых устранено несколько уязвимостей: CVE-2019-1788 — возможность записи в область памяти вне выделенного буфера при сканировании файлов в формате OLE2 (например, документы Microsoft Office 97-2003); CVE-2019-1785 — возможность записи данных в область ФС вне каталога, используемого при распаковке, при сканировании специально оформленных RAR-архивов; CVE-2019-1786, CVE-2019-1787, CVE-2019-1789 — возможность чтения из памяти за границей буфера при сканировании специально оформленных PDF-документов и исполняемых файлов в формате PE (EXE, DLL); CVE-2019-1798 — обращение к уже освобождённому блоку памяти (use-after-free) при сканировании специально оформленных вложенных RAR-архивов; Кроме того в новых выпусках … Читать далее Обновление свободного антивирусного пакета ClamAV 0.100.3 и 0.101.2 с устранением уязвимостей

Компания Proxmox, известная разработкой дистрибутива Proxmox Virtual Environment для развертывания инфраструктур виртуальных серверов, представила релиз дистрибутива Proxmox Mail Gateway 5.2. Proxmox Mail Gateway преподносится как готовое решение для быстрого создания системы контроля за почтовым трафиком и защиты внутреннего почтового сервера. Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Системная часть дистрибутива базируется на пакетной базе Debian 9.8 (Stretch) и ядра Linux 4.15. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian 9. … Читать далее Выпуск дистрибутива Proxmox Mail Gateway 5.2

После трёхстороннего обсуждения с участием Европейской комиссии и Совета Европейского союза, Европарламент принял окончательный вариант директивы об авторских и смежных правах. За принятие директивы проголосовали 384 члена Европарламента, против — 274, воздержались — 36. Голосование в Европарламенте прошло на фоне митингов противников новых правил регулирования авторского права, в которых в эти выходные приняло участие около 150 тысяч демонстрантов. Online-петицию против принятия закона подписало более 5 млн человек. После одобрения парламентом, директива передана в Европейский совет для формального утверждения. Ожидается, что директива будет утверждена до 9 апреля, после чего страны Евросоюза будут обязаны до 2021 года перенести её в свои национальные … Читать далее Европарламент принял директиву об авторских правах в интернете с исключениями для открытого ПО

Исполнилось 20 лет с момента основания некоммерческой организации Apache Software Foundation, на которую были возложены вопросы юридической и финансовой поддержки разработчиков http-сервера Apache. Дополнительной целью организации было создание нейтральной, на зависящей от отдельных производителей и заслуживающей доверия площадки для разработки открытого программного обеспечения, развиваемого силами сообщества. С момента основания организации сообщество Apache перестало быть сосредоточенным только на разработке http-сервера и переросло в движение, объединяющее близкие по духу проекты (лицензия Apache, единые правила разработки, единая культура общения, общая инфраструктура). За 20 лет с момента основания Apache Software Foundation число развиваемых в рамках Apache проектов превысило 350 (из которых 52 в инкубаторе), … Читать далее Фонду Apache исполнилось 20 лет

Доступен выпуск основной ветки nginx 1.15.10, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: При использовании имени хоста в директиве listen, nginx теперь создаёт listen-сокеты для всех адресов, соответствующих этому имени (в ранних версиях использовался только первый адрес); В директиве listen появилась возможность указания диапазонов портов; Добавлена возможность загрузки SSL-сертификатов и секретных ключей из переменных без использования промежуточных файлов; Устранена проблема с не заполнением переменной $ssl_server_name при использовании OpenSSL 1.1.1; Исправлена ошибка сборки nginx под Windows при использовании Visual Studio 2015 и новее. … Читать далее Выпуск nginx 1.15.10 и njs 0.3.0