Ричард Хьюз (Richard Hughes), создатель проекта PackageKit, активно участвующий в разработке Fedora и GNOME, реализовал для Linux инструмент для обновления прошивок беспроводных мышей, подверженных атаке MouseJack. Несмотря на то, что атака MouseJack была разработана более года назад, некоторые производители до сих пор не выпустили инструментарий для обновления прошивки, который можно было бы использовать в Linux. В частности Logitech не относит Linux к числу официально поддерживаемых систем и не планирует выпускать исправления. При этом MouseJack является достаточно опасной проблемой, позволяющей из-за отсутствия защиты протокола, используемого при обмене данными между компьютером и мышью, получить контроль над беспроводными мышами на расстоянии до ста … Читать далее В Linux обеспечена возможность устранения уязвимости MouseJack в устройствах Logitech

В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в сегодняшнем выпуске Kodi 17.2, Popcorn-Time 0.3.10, strem.io 3.6.5 и частично устранена в VLC 2.5.1 (полное исправление ожидается в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org. Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу, проблема вызвана отсутствием экранирования символов «..» в файловых путях zip-архива … Читать далее Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя «Yahoobleed1») в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, форке ImageMagick, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах проблема осталась неисправленной в ImageMagick. Проблема присутствует в декодировщике RLE, который использует неинициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис … Читать далее Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo

После полутора лет разработки и пяти предварительных выпусков сформирован первый стабильный релиз новой ветки СУБД MariaDB 10.2, в рамках которой развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с полностью открытым и прозрачным процессом разработки, не зависящим от отдельных вендоров. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL 7, SUSE 12, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian 9) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz. Ключевые улучшения MariaDB 10.2: Добавлена экспериментальная поддержка движка хранения … Читать далее Стабильный выпуск СУБД MariaDB 10.2

После пяти месяцев разработки представлен выпуск облачной платформы Nextcloud 12, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными. Ключевым отличием Nextcloud от ownCloud является намерение предоставить в едином открытом продукте все расширенные возможности, ранее поставляемые только в коммерческой версии ownCloud. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL. Nextcloud предоставляет средства для обеспечения совместного доступа, версионный контроль изменений, поддержку воспроизведения медиаконтента и просмотра документов прямо из web-интерфейса, возможность синхронизации данных между разными машинами, возможность просмотра и редактирования данных … Читать далее Релиз облачного хранилища Nextcloud 12, форка ownCloud

После полутора лет разработки сформирован релиз пакета sane-backends 1.0.27, в который входит набор драйверов, утилита командной строки scanimage, демон для организации сканирования по сети saned и библиотеки с реализацией SANE-API. Выпуск SANE 1.0.26 был пропущен, версия 1.0.27 вышла следом за 1.0.25. Пакетом поддерживается 1547 моделей сканеров, из которых 695 имеют статус полной поддержки всех функций, для 716 уровень поддержки оценен как хороший, для 113 — приемлемый, а для 23 — минимальный. Дополнительно, для 404 устройств имеется не до конца протестированная реализация драйверов. Не реализованной остается поддержка 487 сканеров. В новой версии представлены следующие улучшения: Добавлена поддержка 32 новых моделей сканеров … Читать далее Выпуск SANE 1.0.27 с поддержкой новых моделей сканеров

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя «Yahoobleed1») в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic. Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. … Читать далее Уязвимость в ImageMagic, позволившая получить доступ к чужим вложениям в почте Yahoo

Принято решение о закрытии проекта Parsix, в рамках которого развивался пользовательский дистрибутив, построенный на пакетной базе Debian и продолжающий развитие LiveCD-дистрибутива KANOTIX. Поддержка последнего выпуска Parsix GNU/Linux 8.15 будет обеспечена в течение шести месяцев после релиза Debian 9 «Stretch», затем проект прекратит своё существование. Пользователям предлагается обновить свои системы до Debian 9 — разработчики сделают всё, чтобы обеспечить безболезненный переход. Читать далее Дистрибутив Parsix GNU/Linux объявил о закрытии проекта

Проект GNU представил выпуск пакетного менеджера GNU Guix 0.13 и построенного на его основе дистрибутива GNU/Linux — GuixSD (Guix System Distribution). Допускается установка как в качестве обособленной ОС в системах виртуализации и на обычном оборудовании, так и запуск в уже установленных типовых окружениях GNU/Linux. Для загрузки сформированы образы для установки на USB Flash и использования в QEMU (156 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7, aarch64 и mips64el. Пакетный менеджер GNU Guix основан на наработках проекта Nix и кроме типичных функций управления пакетами поддерживает такие возможности, как выполнение транзакционных обновлений, возможность отката обновлений, работа без получения привилегий суперпользователя, поддержка … Читать далее Опубликован пакетный менеджер GNU Guix 0.13 и дистрибутив GuixSD на его основе

Доступен для тестирования кандидат в релизы дистрибутива Tails 3.0 (The Amnesic Incognito Live System), предназначенного для обеспечения анонимного выхода в сеть. Для загрузки подготовлен iso-образ, размером 1.2 Гб, который доступен только для 64-разрядных систем (поддержка архитектуры i386 прекращена). Релиз запланирован на 13 июня. Новый выпуск примечателен обновлением пакетной базы до Debian 9 «Stretch» и переходом на использование типового рабочего стола GNOME Shell, вместо ранее применяемого режима классического рабочего стола в стиле GNOME 2.32. Полностью переработан интерфейс первичной настройки после первого входа в систему (Tails Greeter). Пакет Tor обновлён до версии 0.3.0.7-1, а Tor Browser до тестового выпуска 7.0a4. В качестве … Читать далее Кандидат в релизы дистрибутива Tails 3.0

Компания Endless Mobile представила новый выпуск своего дистрибутива Endless OS, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Размер предлагаемых загрузочных образов составляет от 2 до 14 Гб. Endless OS не использует традиционные пакетные менеджеры, вместо которых предлагается минимальная атомарно обновляемая базовая система, работающая в режиме только для чтения и формируемая при помощи инструментария OSTree (системный образ атомарно обновляется из Git-подобного хранилища). Приложения распространяются в виде самодостаточных пакетов в формате Flatpak. Пользовательский интерфейс основан на значительно переработанном окружении GNOME и ориентирован на предоставлении средств для выбора и запуска приложений. О степени переработки … Читать далее Новый выпуск дистрибутива Endless OS

Группа исследователей из Университета Карнеги — Меллона, компании Seagate и Швейцарской высшей технической школы Цюриха выявила низкоуровневую уязвимость в организации хранения информации на современных NAND Flash-чипах, применяемых в SSD-накопителях. Атакующий может сформировать определённую активность со своими данными на накопителе, в результате которой будет нарушена целостность не подконтрольных ему данных, которыми манипулируют другие процессы. Уязвимость вызвана особенностями хранения данных чипами NAND Flash, поддерживающими технологию MLC (Multi-Level Cell), при которой каждая ячейка может принимать одно из четырёх пороговых напряжений (низкое — 0, два промежуточных — 01/10 и высокое — 11), т.е. MLC обеспечивает хранение в одной ячейке сразу двух битов, в отличие … Читать далее Уязвимость в NAND Flash может привести к повреждению чужих данных на SSD-накопителях

Компания AMD опубликовала первый выпуск компилятора AOCC (AMD Optimizing C/C++ Compiler), построенного на базе LLVM 4.0 и включающего дополнительные улучшения и оптимизации для 17 семейства процессоров AMD на базе микроархитектуры Zen, в частности для уже выпускаемых процессоров AMD Ryzen. В компилятор также внесены общие улучшения, связанные с векторизацией, генерацией кода, высокоуровневой оптимизацией, межпроцедурным анализом и преобразованием циклов. Компилятор доступен для 32- и 64-разрядных Linux-систем. Предлагаемые для загрузки исполняемые файлы протестированы в RHEL 7.2, SLES 12 SP1 и Ubuntu 16.04 LTS, но в общем виде пригодны для запуска на любых системах с Glibc 2.17 и более новых выпусках. AOCC пока распространяется … Читать далее Компания AMD выпустила оптимизирующий C/C++ компилятор AOCC 1.0

Компания AMD опубликовала первый выпуск компилятора AOCC (AMD Optimizing C/C++ Compiler), построенного на базе LLVM 4.0 и включающего дополнительные улучшения и оптимизации для 17 семейства процессоров AMD на базе микроархитектуры Zen, в частности для уже выпускаемых процессоров AMD Ryzen. В компилятор также внесены общие улучшения, связанные с векторизацией, генерацией кода, высокоуровневой оптимизацией, межпроцедурным анализом и преобразованием циклов. Компилятор доступен для 32- и 64-разрядных Linux-систем. Предлагаемые для загрузки исполняемые файлы протестированы в RHEL 7.2, SLES 12 SP1 и Ubuntu 16.04 LTS, но в общем виде пригодны для запуска на любых системах с Glibc 2.17 и более новых выпусках. AOCC пока распространяется … Читать далее Компания AMD выпустила оптимизирующий C/C+ компилятор AOCC 1.0

В корректирующих выпусках коммуникационной платформы Asterisk 14.4.1 и 13.15.1 устранены три уязвимости, которым присвоен наивысший уровень опасности: Переполнение буфера в обработчике PJSIP, позволяет вызвать крах или потенциально выполнить код (возможность данного вида эксплуатации пока не подтверждена) через отправку неаутентифицированного SIP-пакета со специально изменёнными заголовками CSeq и Via. Проблеме не подвержены конфигурации Asterisk с chan_sip; Ошибка в парсере комбинированных (multi-part) запросов PJSIP позволяет осуществить чтение из области вне буфера и вызвать крах через удалённую отправку специально оформленных пакетов; Ошибка в канальном драйвере chan_skinny позволяет исчерпать всю доступную Asterisk память через отправку специально оформленного SCCP-пакета из-за зацикливания, если размер пакета больше размера … Читать далее В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости

Российский разработчик свободной CRM-системы SalesPlatform Vtiger CRM опубликовал новую версию компонента SalesPlatform Vtiger Asterisk/FreePBX Connector 1.4 для интеграции с серверами IP-телефонии Asterisk и FreePBX. В релизе добавлена поддержка всех последних версий Asterisk, использующих протокол интерфейса управления AMI v2, который используется начиная с Asterisk 12. Также добавлена поддержка интеграции с CRM по защищенному HTTPS-соединению. Исходные тексты проекта распространяются под лицензией Mozilla Public License 1.0 (MPL). Читать далее Новая версия пакета интеграции SalesPlatform Vtiger CRM с Asterisk и FreePBX

Доступна для тестирования бета-версия СУБД PostgreSQL 10. Релиз ожидается в начале осени. Выбор номера версии 10.0 вместо 9.7.0 связано с переходом проекта на новую нумерацию выпусков. Вместо трёхуровневневой нумерации (Major1.Major2.Minor) отныне будет применяться схема «Major.Minor», в которой «Major» указывает номер значительной ветки, а «Minor» — номер корректирующего обновления, не требующего перезаливки БД. Таким образом, первым корректирующим релизом PostgreSQL 10 станет 10.1, а следующей значительной версией PostgreSQL 11. Как и раньше значительные версии будут формироваться раз в год. Основные улучшения: Режим логической репликации, позволяющий выборочно реплицировать только заданные таблицы или использовать репликацию в процессе обновления. Данный вид репликации манипулирует логическими изменениями … Читать далее Началось бета-тестирование СУБД PostgreSQL 10

Компания Samsung анонсировала на проходящей в Сан-Франциско конференции Tizen Developer Conference (TDC) 2017 следующую значительную ветку Tizen 4.0, которая будет поставляться на смартфонах Samsung Z4. Примечательно, что новая ветка создана несмотря на то, что разработка Tizen 3.0 ещё не доведена до конца и пока не продвинулась дальше экспериментальных промежуточных (milestone) выпусков. Также представлен Tizen RT, вариант платформы, предназначенный для устройств категории интернет вещей (IoT), оснащённых процессорами Cortex-R4, ориентированными на решение задач в режиме реального времени. Tizen RT примечателен тем, что система не использует ядро Linux, а запускается поверх RTOS-ядра TinyAra, основанного на наработках проекта Nuttx, расширенных поддержкой полноценного TCP/IP-стека, файловой … Читать далее Samsung анонсировал Tizen 4.0 и Tizen RT

Сформирован релиз операционной системы ReactOS 0.4.5, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows. Это третий выпуск, подготовленный после перехода проекта к более оперативному формированию релизов, которые теперь выходят не раз в год, а раз в три месяца. Для загрузки подготовлены установочный ISO-образ (102 Мб) и Live-сборка (200 Мб, в zip-архиве 73 Мб). Код проекта распространяется под лицензиями GPLv2 и LGPLv2. Новый выпуск примечателен: Большое внимание уделено усовершенствованию графической подсистемы, улучшена обработка шрифтов, отточен внешний вид и устранены ранее присутствующие недоработки в движке тем оформления. Доработана реализация стартового меню и добавлены дополнительные опции для каталогов. Ведётся работа над … Читать далее Релиз ReactOS 0.4.5

На проходящей в эти дни конференции Google I/O объявлено о преодолении платформой Android знакового рубежа — два миллиарда активных устройств. Статистика включает в себя только устройства, хотя бы один раз в месяц обращавшиеся к сервисам Google, учитывает только индивидуальные идентификаторы устройств, но не отражает аппараты не использующие сервисы Google, например, электронные книги, некоторые модели планшетов и устройства, привязанные к другим сервисам (многочисленные китайские прошивки, прошивка от Yandex, LineageOS/CyanogenMod). Также сообщается, что в прошлом году из Google Play было загружено 82 миллиарда приложений, на 35% выросло число разработчиков, программы которых были установлены более миллиона раз в месяц, а число покупателей программ … Читать далее Число активных устройств на базе платформы Android достигло 2 миллиардов

Компания Google анонсировала Android Go, оптимизированный вариант платформы Android, предназначенный для оснащения младших моделей смартфонов, поставляемых с небольшим размером оперативной памяти. Ожидается, что проект поможет производителям наладить выпуск функциональных и дешёвых устройств, доступных для широких масс, в условиях постоянного роста системных требований у современного ПО. Поставку устройств с Android Go планируется начать в 2018 году. В основе Android Go лежат штатные оптимизированные системные компоненты платформы Android O, способные обеспечить эффективную и комфортную работу на устройствах, имеющих 1 Гб оперативной памяти и менее. Вторым звеном является специально оптимизированный набор приложений Google Apps, который адаптирован для снижения потребления памяти, места в постоянном … Читать далее Google представил Android Go, платформу для телефонов с небольшим ОЗУ