Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса «Pwned Passwords«, нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей, которые доступны в открытом виде, а не только в форме хэшей. Используемая в сервисе полная база паролей доступна для загрузки, размер БД составляет 8.8 Гб в сжатом виде (7-Zip, torrent). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль. Общее число паролей без отсеивания … Читать далее Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

Энтузиасты взяли на себя продолжение разработки Wine staging

Разработчики проекта Wine официально представили новый репозиторий на GitHub, в котором будет продолжена разработка проекта Wine staging, мэйнтейнеры которого несколько дней назад объявили, что не могут больше заниматься подготовкой новых релизов. Напомним, что в рамках проекта Wine staging развиваются расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока не пригодные для принятия в основную ветку Wine, например, в Wine staging предоставляется поддержка Windows ACL, CUDA/PhysX/NVENC для видеокарт NVIDIA, EAX 1, API Vulkan, тем оформления GTK3+, декодирования DXVA2 на стороне GPU. Обязанности мэйнтейнера возрождённого Wine staging взял на себя Alistair Leslie-Hughes из сообщества разработчиков Wine, известный проектом monoDX (реализация … Читать далее Энтузиасты взяли на себя продолжение разработки Wine staging

Для ядра Linux предложен новый пакетный фильтр bpfilter

Разработчики подсистемы NetFilter выставили на обсуждение патчи с начальной реализацией нового пакетного фильтра bpfilter, который со временем может заменить ныне поддерживаемые механизмы фильтрации пакетов nftables и iptables. Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляется желать лучшего и iptables до сих пор остаётся более востребован и не желает повторять судьбу ipchains и ipfwadm. В nftables логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). При этом последние годы в ядре Linux поставляется … Читать далее Для ядра Linux предложен новый пакетный фильтр bpfilter

Релиз графического тулкита wxWidgets 3.1.1

После двух лет разработки сформирован выпуск кроссплатформенного тулкита wxWidgets 3.1.1, позволяющего создавать графические интерфейсы для Linux, Windows, macOS, UNIX и мобильных платформ. wxWidgets 3.1 позиционируется как ветка для разработчиков, в которой развиваются новые возможности для следующего стабильного релиза 3.2.0. По сравнению с веткой 3.0 наблюдается ряд несовместимостей на уровне API и не гарантируется неизменность ABI между промежуточными выпусками 3.1.x. Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library License, одобренной Фондом СПО и организацией OSI. Лицензия основана на LGPL и отличается позволением использования собственных условий для распространения производных работ в бинарной форме. Кроме разработки программ на Си/Си++ … Читать далее Релиз графического тулкита wxWidgets 3.1.1

Представлен новый инсталлятор для серверной редакции Ubuntu

Дастин Киркленд (Dustin Kirkland), входящий в команду, определяющую стратегию развития в компании Canonical, представил новый инсталлятор Subiquity, который будет использован по умолчанию в серверной редакции Ubuntu 18.04. Новый инсталлятор предоставляет текстовый режим установки и уже доступен для тестирования в составе ежедневных Live-сборок. Пользователю предлагаются консольные варианты интерфейса для разбивки дисков, настройки RAID, выбора языка и раскладки клавиатуры, создания пользователей, настройки сетевого соединения. Возможна автоматизированная установка по профилю конфигурации, определённому в формате JSON. Вместе с инсталлятором также поставляется утилита «console-conf» для первичной настройки системы, после первой загрузки. Читать далее Представлен новый инсталлятор для серверной редакции Ubuntu

Незащищённый хост компании Tesla был использован для майнинга криптовалюты

Волна атак на серверные системы с целью запуска на них кода для майнинга криптовалюты дошла до компании Tesla. Подобное вредоносное ПО обнаружено на серверах Tesla в облаке Amazon Web Services (AWS), на которых была развёрнута инфраструктура изолированных контейнеров на базе платформы Kubernetes. Сообщается, что атакующие получили доступ из-за наличия на одном из хостов открытого доступа к управляющей консоли Kubernetes, не защищённой паролем. Далее злоумышленники смогли извлечь на данной системе параметры доступа к принадлежащему Tesla окружению AWS и хранилищу Amazon S3, в котором в том числе размещались конфиденциальные данные, полученные в результате сбора телеметрии с автомобилей. По заявлению компании Tesla проблема … Читать далее Незащищённый хост компании Tesla был использован для майнинга криптовалюты

Скомпрометирована инфраструктура проекта Mageia

Разработчики Linux-дистрибутива Mageia, в рамках которого независимым сообществом энтузиастов развивается форк проекта Mandriva, сообщили о компрометации сервера идентификации проекта и утечке базы пользователей. Неизвестный атакующий смог получить доступ к LDAP-серверу Mageia (identity.mageia.org) и опубликовал хранящиеся там данные, включая имена пользователей, хэши паролей и email-адреса. В опубликованном варианте базы хеши паролей были модифицированы и приведены к одному регистру символов, что немного снижает угрозу для участников разработки Mageia. Тем не менее, исходная база находится в руках злоумышленников и не исключено распространение актуальной базы или попытки реконструкции паролей по хэшам (хэши хранились с солью). После выявления атаки все пароли были сброшены и пользователям … Читать далее Скомпрометирована инфраструктура проекта Mageia

Выпуск мобильной ОС Sailfish 2.1.4

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, представила релиз операционной системы Sailfish 2.1.4. Сборки подготовлены для устройств Jolla 1, Jolla C и Sony Xperia X, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт позднее). Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но … Читать далее Выпуск мобильной ОС Sailfish 2.1.4

Выпуск nginx 1.13.9 c поддержкой технологии HTTP/2 Server Push

Подготовлен выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.13.9, в котором реализован механизм Server Push для протокола HTTP/2. Server Push предоставляет возможность отправки ресурсов от сервера к клиенту, не дожидаясь их явного запроса (например, подобным образом можно передавать файлы CSS, скрипты и изображения, которые необходимы для отрисовки страницы). Для отправки push-запросов используется уже установленное клиентом соединение. Т.е. клиент подключается и запрашивает определённую страницу, после этого сервер на основании своих настроек или содержимого переданного клиентом заголовка Link сам инициирует передачу определённых ресурсов через уже установленное соединение HTTP/2, не дожидаясь запроса этих ресурсов от клиента. При этом клиент может отвергнуть попытку push-отправки, вернув … Читать далее Выпуск nginx 1.13.9 c поддержкой технологии HTTP/2 Server Push

Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак Spectre и Meltdown

Разработчики FreeBSD интегрировали в ветку 11-STABLE набор патчей, блокирующих проведение атак Spectre и Meltdown. Защита от Meltdown базируется на уже опробованной в других ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч также включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI. Защита от второго варианта атаки Spectre основана на использования новой инструкции IBRS (Indirect Branch Restricted Speculation), представленной компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение … Читать далее Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак Spectre и Meltdown

Новая версия медиапроигрывателя SMPlayer 18.2.2

После четырёх месяцев разработки подготовлен релиз мультимедиа проигрывателя SMPlayer 18.2.2, выполненного в форме графической надстройки над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows. В новом выпуске добавлена возможность отображения субтитров на полупрозрачной подложке. Настройка степени прозрачности фона блока с субтитрами может быть произведена через меню «Preferences — Subtitles — Font and colors». Кроме того, в … Читать далее Новая версия медиапроигрывателя SMPlayer 18.2.2

Выпуск CRM-системы SuiteCRM 7.10

Состоялся релиз SuiteCRM 7.10, CRM-системы для организации взаимодействия с клиентами на предприятии, обеспечения работы службы продаж, ведения партнёрской сети, предоставления сервисов и планирования работы сотрудников. В том числе предоставляются модули для работы с контрактами, накладными, PDF-шаблонами, котировками, базой продуктов, формирования отчётов и диаграмм, управления событиями. SuiteCRM позиционируется в качестве полноценной открытой альтернативы проприетарному продукту SugarCRM, а также таким системам, как SalesForce и Microsoft Dynamics. Код системы и модулей написан на PHP и поставляется под лицензией GPLv3. В качестве СУБД по умолчанию предлагается использовать MariaDB. SuiteCRM развивается компанией SalesAgility, использующей бизнес-модель, подразумевающую неограниченное распространение и разработку полностью открытого продукта, с получением … Читать далее Выпуск CRM-системы SuiteCRM 7.10

Опубликован прототип эмулятора для запуска исполняемых файлов OS/2 в Linux

Доступен начальный прототип нового эмулятора 2ine, нацеленного на выполнение исполняемых файлов OS/2 в Linux по аналогии с тем как Wine позволяет запускать исполняемые файлы Windows. В текущем виде проект уже может выполнять консольные приложения, такие как порты GCC и Watcom C для OS/2, сетевые приложения (например, FTP.EXE) и простейшие графические программы для Presentation Manage. Работа графики симулируется через SDL. Проект развивает в качестве эксперимента Райан Гордон (Ryan C. Gordon), который является автором системы MojoELF, позволяющей запускать приложения Linux в окружении macOS. Райан также принимал участие в портировании огромного количества игр и программ для Linux (Google Earth, Quake 3, Unreal Tournament, … Читать далее Опубликован прототип эмулятора для запуска исполняемых файлов OS/2 в Linux

Фонд Pineapple пожертвовал 200 тысяч долларов проекту KDE

Некоммерческая организация KDE e.V., курирующая развитие проекта KDE, сообщила о получении пожертвования в размере 200 тысяч долларов (18.7 BTC) от благотворительного фонда Pineapple. Фонд Pineapple был учреждён анонимным биткоиновым миллионером для содействия развитию важных некоммерческих проектов и уже выделил средства 57 организациям, среди которых как Фонд СПО ($1 млн), Electronic Frontier Foundation ($1 млн), Apache Software Foundation ($1 млн), Let’s Encrypt ($250 тысяч), OpenStreetMap Foundation ($150 тысяч) и OpenBSD Foundation ($50 тысяч). Читать далее Фонд Pineapple пожертвовал 200 тысяч долларов проекту KDE

Выпуск DPDK 18.02, фреймворка для высокопроизводительных сетевых приложений

Состоялся релиз фреймворка DPDK (Data Plane Development Kit), предоставляющего средства для создания высокопроизводительных сетевых приложений, напрямую работающих с сетевым оборудованием и обрабатывающих пакеты минуя сетевой стек ядра. В качестве первичной платформы заявлен Linux, но имеется ограниченный по своим возможностям вариант для FreeBSD. Исходные тексты библиотек и драйверов поставляются под лицензией BSD, а компоненты для ядра Linux доступны под GPLv2. Разработчикам предлагается набор библиотек для низкоуровневой работы с сетевыми адаптерами, взаимодействия в многоядерных системах, задействования кольцевых буферов и больших страниц памяти («huge page»). При помощи данных библиотек можно принимать и отправлять сетевые пакеты с выполнением минимального числа циклов CPU (около 80 … Читать далее Выпуск DPDK 18.02, фреймворка для высокопроизводительных сетевых приложений

Выпуск asciinema 2.0, программы для записи текстовых скринкастов

После десяти месяцев разработки представлен релиз asciinema 2.0, программы для записи сеансов работы в терминале и их распространения в форме анимированных текстовых скринкастов (ascii-кастов), в которых в отличие от видео можно выделять и копировать текст. Записанные аscii-касты можно одной командой загрузить на сервер asciinema.org и интегрировать в свой блог или в статью. Проект написан на языке Python и распространяется под лицензией GPLv3. Новый выпуск примечателен переходом на использование нового формата asciicast v2, позволяющего записывать и воспроизводитель сеансы любой продолжительности при минимальном потреблении памяти. Новый формат также позволил реализовать инкрементальную запись (продолжение записи после прерывания сеанса) и потоковое вещание. Среди новых … Читать далее Выпуск asciinema 2.0, программы для записи текстовых скринкастов

Релиз языка программирования Go 1.10

Состоялся релиз языка программирования Go 1.10, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Релиз языка программирования Go 1.10

Доступен торрент-клиент qBittorrent 4.0.4

Представлена новая версия торрент-клиента qBittorrent 4.0.4, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности. Кроме исправления нескольких десятков ошибок в новом выпуске в контекстное меню добавлена опция для принудительной переотправки анонса. В интерфейсе для создания Torrent-ов максимальный размер элемента увеличен до 32 Мб и добавлено поле с источником данных. Читать далее Доступен торрент-клиент qBittorrent 4.0.4

Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins

Исследователи из компании Check Point выявили одну из крупнейших атак по майнингу криптовалют на уявзимых серверах. В результате запуска вредоносного кода на уязвимых системах непрерывной интеграции Jenkins, злоумышленникам удалось добыть криптовалюты Monero более, чем на 3.3 млн долларов (10800 Monero). Для получения доступа к серверам использовалась исправленная в прошлом году уязвимость (CVE-2017-1000356) в платформе Jenkins, позволяющая выполнить произвольный код на сервере без прохождения аутентификации. Атакующие поражают в основном необновлённые конфигурации Jenkins, установленные на компьютерах разработчиков под управлением Windows (злоумышленники используют программу для майнинга minerxmr.exe). По предварительной оценке в сети присутствует около 25 тысяч публично доступных Jenkins-серверов, сколько из них уязвимы … Читать далее Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins

Выпуск LaTeX2HTML 2018

Сформирован новый релиз программы LaTeX2HTML 2018, предназначенной для преобразования исходных документов в формате LaTeX в web-страницы с разметкой HTML. Поддерживается разбиение документа на несколько связанных HTML-файлов с автоматически генерируемыми панелями для навигации, перекрёстными ссылками, оглавлением и сносками. Сложные формулы и таблицы могут экспортироваться в виде изображений, для которых возможно inline-встраивание в HTML без сохранения в отдельных файлах. Код проекта поставляется под лицензией GPLv2. Для русскоязычного сообщества наиболее интересное изменение в новой версии связано с добавлением поддержки русской локали, включая поддержку кодировок KOI8-R, CP1251 и UTF-8. Читать далее Выпуск LaTeX2HTML 2018

В RubyGems устранено 7 уязвимостей

В Rubygems, системе управления пакетами для приложений на языке Ruby, устранено семь уязвимостей. Проблемы исправлены в выпуске RubyGems 2.7.6 . Всем пользователям рекомендуется обновить RubyGems (gem update —system) или установить патчи. Среди выявленных проблем: возможность выхода за корневой каталог с содержимым пакета, небезопасная десериализация объектов, некорректная интепретация полей в заголовках, возможность размещения дубликатов файлов в пакете, подстановка некорректных URL и проведение XSS-атаки через атрибут homepage. Читать далее В RubyGems устранено 7 уязвимостей