Сбой антиспам-системы привёл к коллапсу в репозитории NPM

В репозитории NPM произошёл инцидент, напоминающий произошедшую в 2016 году историю с модулем left-pad, удаление которого привело к неработоспособности многих проектов из-за потери зависимости. На этот раз причиной проблем стала система автоматизированной борьбы со спамом, из-за которой по ошибке были удалены пользователь floatdrop и 102 разработанных им модуля. Многие из заблокированных модулей пользовались популярностью и использовались в качестве зависимостей в других модулях и приложениях. Недоступность данных модулей привела к каскадному обрушению зависимостей и невозможности установить или обновить тысячи пакетов в NPM. Например, модуль require-from-string, содержащий всего 25 строк кода, насчитывает более 4.5 млн загрузок в месяц, а модуль timed-out (46 … Читать далее Сбой антиспам-системы привёл к коллапсу в репозитории NPM

Атака на OpenSSH sftp, осуществляемая при некорректной настройке chroot

В реализации sftp из состава OpenSSH выявлена недоработка, которая при редком стечении настроек может привести к выполнению кода в режиме chroot. Суть проблемы в том, что при использовании internal-sftp и chroot, OpenSSH всё равно предпринимает попытку запуска скрипта /etc/ssh/sshrc. Проявление проблемы маловероятно в реальных условиях, так как для этого необходимо достаточно специфичное сочетание некорректных настроек. Например, так как OpenSSH блокирует работу в случае доступности корня chroot-окружения на запись, для успешной атаки требуется наличие доступных на запись каталогов bin, etc, lib. Атакующий может скопировать необходимые файлы и библиотеки в эти каталоги и запустить код внутри chroot (будет ограничен доступ к ФС, … Читать далее Атака на OpenSSH sftp, осуществляемая при некорректной настройке chroot

Доступна коммуникационная система Nextcloud Talk с поддержкой видеовызовов

После полутора лет разработки создатели облачной платформы Nextcloud (форк ownCloud) представили первый выпуск проекта Nextcloud Talk, в рамках которого подготовлено решение для развёртывания сервиса для обмена текстовыми сообщениями, совершения голосовых звонков и видеовызовов с возможность организации видеоконференций и проведения вебинаров. Как и облачное хранилище Nextcloud новая система может быть развёрнута на собственном сервере без привязки к внешним облачным сервисам, что позволяет запустить полностью подконтрольное и самодостаточное решение, не зависящее от третьих лиц. Взаимодействие возможно как через браузер, так и при помощи специального мобильного приложения (Android, iOS). Серверная часть реализована в форме модуля для платформы Nextcloud. Код написан на PHP и … Читать далее Доступна коммуникационная система Nextcloud Talk с поддержкой видеовызовов

Представлен метод атаки на групповой чат WhatsApp и Signal

Группа исследователей безопасности из Рурского университета опубликовала сведения о недоработках протокола в системе групповых чатов WhatsApp, позволяющих при получении доступа к серверу организовать прослушивание закрытого чата, несмотря на применение оконечного (end-to-end) шифрования на стороне участников чата. Таким образом, поставлена под сомнение способность групповых чатов WhatsApp обеспечить тайну переписки в случае компрометации инфраструктуры, диверсии персонала или предоставления доступа спецслужбам. Принцип работы группового чата WhatsApp и Signal сводится к тому, что каждый участник чата шифрует все отправляемые сообщения на своей стороне и рассылает всем участникам чата, используя групповой ключ. Каждый участник имеет подобный ключ, позволяющий остальным читать его сообщения (т.е. вместо создания … Читать далее Представлен метод атаки на групповой чат WhatsApp и Signal

Выпуск xine 1.2.9

Представлен релиз xine-lib 1.2.9, многоплатформенной библиотеки для проигрывания видео и аудио файлов, а также набора сопутствующих плагинов. Библиотека может использоваться в ряде видео-проигрывателей, среди которых Xine-UI, gxine, kaffeine. Xine поддерживает работу в многопоточном режиме, поддерживает большое число популярных и малоизвестных форматов и кодеков, может обрабатывать как локальный контент, так и передаваемые по сети мультимедиа потоки. Модульная архитектура позволяет легко наращивать функциональность через плагины. Различается 5 основных классов плагинов: плагины ввода для приёма данных (ФС, DVD, CD, HTTP и т.п.), плагины вывода (XVideo, OpenGL, SDL, Framebuffer, ASCII, OSS, ALSA и т.п.), плагины для распаковки медиаконтейнеров (демуксеры), плагины для декодирования видео и … Читать далее Выпуск xine 1.2.9

21 неисправленная уязвимость в системе 3D-моделирования Blender

В результате аудита кодовой базы свободной системы 3D-моделирования Blender исследователями безопасности из компании Cisco выявлена 21 уязвимость. Уязвимость позволяют атакующему выполнить произвольный код при открытии в Blender специально подготовленных файлов в различных форматах. В том числе уязвимости затрагивают обработчики данных в форматах png, tiff, bmp, avi, blend, iris, cin и hdr. Примечательно, что на предложение исследователей оперативно выпустить обновление с устранением уязвимостей, разработчики Blender в сентябре отказались решать проблемы в экстренном порядке, поэтому уязвимости остаются неисправленными и после истечения 90-дневного эмбарго информация о них теперь опубликована публично. Более того, разработчики скептически относятся к угрозе атаки на системы пользователей через Blender, … Читать далее 21 неисправленная уязвимость в системе 3D-моделирования Blender

Релиз почтового клиента Notmuch 0.26

Доступен релиз почтового клиента Notmuch, сосредоточенного на индексации, организации поиска и классификации по тегам большого архива электронной корреспонденции, включающего миллионы писем. Код Notmuch написан на языке Си и распространяется под лицензией GPLv3. Для индексации используется поисковый движок Xapian. Архитектура Notmuch подразумевает разделение на фронтэнд и бэкенд. В качестве бэкенда выступает библиотека libnotmuch и построенная на ее основе утилита для работы в режиме командной строки, реализующая базовый костяк всех функций программы и API для построения пользовательского интерфейса или использования в скриптах. В качестве фронтэндов c реализацией пользовательского интерфейса предложены плагины к Emacs и Vim, скрипт для интеграции с Mutt, а также … Читать далее Релиз почтового клиента Notmuch 0.26

Ошибка в обновлении ядра в Ubuntu 16.04 приводит к сбою загрузки системы

В опубликованном сегодня обновлении ядра Linux для дистрибутива Ubuntu 16.04 LTS, в котором было представлено устранение уязвимости Meltdown, допущена ошибка, приводящая к невозможности загрузить систему с новым ядром из-за краха ядра (kernel panic) в процессе инициализации на некоторых системах. Установившим обновление (4.4.0-108-generic) пользователям рекомендуется сразу применить ещё одно обновление (4.4.0-109-generic), не пытаясь перезагрузить систему. Если перезагрузка была совершена и пользователь столкнулся с невозможностью загрузить систему, то рекомендуется выбрать в загрузочном меню GRUB прошлый выпуск (для вывода меню следует удерживать клавишу Shift или нажать Esc в самом начале загрузки). Читать далее Ошибка в обновлении ядра в Ubuntu 16.04 приводит к сбою загрузки системы

Компания Apple присоединилась к альянсу, развивающему свободный видеокодек

Компания Apple присоединилась к альянсу Open Media, который развивает видеокодек нового поколения AV1, который изначально позиционируется как общедоступный и не требующий оплаты отчислений. Присоединение к проекту Apple является важным шагом на пути к намеченной цели, так как в Open Media теперь представлено большинство влиятельных технологических компаний, включая Google, Microsoft, Mozilla, Facebook, Amazon, Intel, AMD, ARM и NVIDIA, а также такие крупные провайдеры контента, как Netflix и Hulu. Участие Apple имеет большое значение, так как данная компания обладает большим портфелем патентов, охватывающих технологии кодирования видео, а также входит в число участников, формирующих патентный пул, связанный с форматом HEVC/H.265. Несмотря на то, … Читать далее Компания Apple присоединилась к альянсу, развивающему свободный видеокодек

Let’s Encrypt опубликовал описание атаки и план по устранению проблемы

Сервис Let’s Encrypt опубликовал описание уязвимости, из-за которой сегодня утром был отключен метод проверки владения доменом TLS-SNI-01. Проблема была не на стороне Let’s Encrypt и была вызвана предоставлением излишних полномочий на некоторых хостингах. Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном хостинге в рамках одного виртуального хоста, доступного через тот же IP, что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена без подтверждения владения этим доменом. Если атакующий имеет доступ к хостинг-окружению, … Читать далее Let’s Encrypt опубликовал описание атаки и план по устранению проблемы

Ошибка в обновлении ядра к Ubuntu 16.04 приводит к сбою загрузки системы

В опубликованном сегодня обновлении ядра Linux для дистрибутива Ubuntu 16.04 LTS, в котором было представлено устранение уязвимости Meltdown, допущена ошибка, приводящая к невозможности загрузить систему с новым ядром из-за краха ядра (kernel panic) в процессе инициализации на некоторых системах. Установившим обновление (4.4.0-108-generic) пользователям рекомендуется сразу применить ещё одно обновление (4.4.0-109-generic), не пытаясь перезагрузить систему. Если перезагрузка была совершена и пользователь столкнулся с невозможностью загрузить систему, то рекомендуется выбрать загрузочном меню GRUB прошлый выпуск (для вывода меню следует удерживать клавишу Shift или нажать Esc в самом начале загрузки). Читать далее Ошибка в обновлении ядра к Ubuntu 16.04 приводит к сбою загрузки системы

Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre

Исследователи безопасности, выявившие уязвимости в системе спекулятивного выполнения команд современных процессоров, открыли доступ к рабочим протипам эксплоитов, созданным для демонстрации возможности совершения атак Meltdown и Spectre. В том числе открыт код библиотеки libkdump, которая использовалась в демонстрациях возможности перехвата ввода паролей, обхода KASLR, доступа к памяти хост-системы из гостевой системы KVM и определения содержимого произвольных областей физической памяти (physical_reader и memdump). Наилучшие результаты работы эксплоитов отмечаются на процессорах с поддержкой Intel TSX (Intel Core i7-5xxx, i7-6xxx или i7-7xxx). Ранее доступ к репозиторию на GitHub был ограничен. Кроме того, накопилась большая подборка заметок с оценкой изменения производительности систем, после применения к … Читать далее Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre

Релиз дистрибутива Tails 3.4

Состоялся релиз специализированного дистрибутива Tails (The Amnesic Incognito Live System) 3.4, основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 Гб. В новом выпуске осуществлён переход на ядро Linux 4.14.12 с исправлениями затрагивающих процессоры узявимостей Meltdown и Spectre. Исправлена ошибка, приводившая к очень медленному запуску Tails, особенно при загрузке с DVD. Прекращено удаление по … Читать далее Релиз дистрибутива Tails 3.4

Инцидент с уязвимостью в сервисе Let’s Encrypt

Сервис Let’s Encrypt экстренно отключил поддержку проверки владения доменом с использованием метода TLS-SNI-01 из-за разбора сведений о наличии уязвимости в его реализации. Достоверность информации о проблеме оценивается как высокая, но детальные данные о сути уязвимости пока не сообщаются. Упоминается только то, что уязвимость позволяла получить неправомерный сертификат от Let’s Encrypt. В настоящее время не найдено признаков эксплуатации проблемы, кроме проверочных атак, выполненных исследователем, выявившим уязвимость. По имеющимся данным проблема связана с логикой взаимодействия протокола и сервисов провайдера. Отключение TLS-SNI-01 полностью блокирует проявление уязвимости. Решение об отключении TLS-SNI на постоянной основе пока не принято и работа команды сосредоточена на выработке исправления, … Читать далее Инцидент с уязвимостью в сервисе Let’s Encrypt

Представлен новый дизайн SourceForge

Хостинг свободных проектов SourceForge кардинально поменял оформление. Кроме изменения цветовой схемы, добавлена постоянно видимая в верхней части всех страниц шапка и выпадающее меню. Существенно расширены отступы и расстояние между служебными элементами, увеличены размеры кнопок, из-за чего контент проектов теперь отображается почти в конце страницы и не виден без прокрутки экрана вниз. Кроме оформления также полностью переделан каталог приложений SourceForge Directory, в котором появилась возможность применения фильтров (панель в левой части страницы) для отсеивания интересующих проектов по категориям, языкам, лицензии и поддерживаемой ОС. Для разработчиков приложений добавлен инструмент импортирования кода из GitHub, который позволяет синхронизировать состояние файлов на SourceForge с репозиторием … Читать далее Представлен новый дизайн SourceForge

Доступна игра Piu-Piu, написанная на bash

В рамках проекта Piu-Piu подготовлена игра c реализацией классического горизонтального скроллера стрелялки. Поддерживается мультиплеер (2 игрока) в режимах совместного прохождения уровня и дуэли. Особенностью проекта является то, что игра написана на bash и воспроизводит уровни в консоли при помощи символов псевдографики, без использования графического режима. При совместной игре взаимодействие с сервером осуществляется при помощи netcat. Пакеты с игрой уже приняты в unstable-репозиторий Debian GNU/Linux. Дополнительно можно отметить проект TextTop, который позволяет запустить полноценный интерактивный X11-сеанс в консоли без графического режима, симулируя содержимое графического экрана цветными ASCII-символами. Например, можно подключиться по ssh, запустить Firefox и посмотреть в консоли ролик на YouTube. … Читать далее Доступна игра Piu-Piu, написанная на bash

Стабильный выпуск новой ветки Tor 0.3.2

Состоялся выпуск инструментария Tor 0.3.2.9, используемого для организации работы анонимной сети Tor. Tor 0.3.2.9 признан первым стабильным выпуском ветки 0.3.2, которая развивалась последние четыре месяца. Выпуск примечателен реализацией протокола скрытых сервисов третьего поколения и новым планировщиком цепочек проброса трафика «KISTLite». Третья версия протокола для onion-сервисов отличается переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024. Поддержка второй версии протокола сохранена и продолжит предлагаться по умолчанию до окончательной стабилизации нового кода. Для включения третьей версии следует включить в torrc опцию ‘HiddenServiceVersion 3’. … Читать далее Стабильный выпуск новой ветки Tor 0.3.2

Минобороны РФ планирует перевести все служебные компьютеры на Astra Linux

Министерство обороны России планирует перевести все служебные компьютеры ведомства с Windows на отечественный дистрибутив Astra Linux Special Edition и офисный пакет LibreOffice. Решение о переводе всех компьютеров военного ведомства на отечественное ПО уже принято. На первом этапе планируется провести тестирование Astra Linux в войсках. Если в ходе испытаний соответствие дистрибутива требованиям военных будет подтверждено, его установят на все компьютеры в ведомстве и будут рассматривать в качестве основной ОС для автоматизированных систем управления и рабочих мест, серверного и бортового оборудования военной техники. Следующим шагом после замены операционной системы на ПК станет перевод служебных смартфонов и планшетов на отечественную мобильную платформу (пока … Читать далее Минобороны РФ планирует перевести все служебные компьютеры на Astra Linux

Анонсирована технология защиты беспроводных сетей WPA3

Объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, сообщило о принятии мер для приведения технологии WPA (Wi-Fi Protected Access) к современным требованиям безопасности и устранению концептуальных недоработок, выявленных авторами атаки KRACK против WPA2. Новые возможности для построения безопасных сетей Wi-Fi будут представлены в 2018 году в рамках спецификации WPA3, которая продолжит основываться на базовых технологиях WPA2. Первый черновик спецификации планируется опубликовать в ближайшие месяцы. WPA3 обеспечит надёжную защиту даже при установке пользователем ненадёжного пароля доступа, легко подбираемого в результате словарных атак. Для защиты от атак по подбору пароля (brute-force) будет введено ограничение на число попыток аутентификации в рамках одного handshake … Читать далее Анонсирована технология защиты беспроводных сетей WPA3

Выпуск шрифтового движка FreeType 2.9

Представлен релиз FreeType 2.9, модульного шрифтового движка, предоставляющего единый API для унификации обработки и вывода шрифтовых данных в различных векторных и растровых форматах. В состав нового выпуска включены наработки по улучшению качества отрисовки шрифтов в формате Type 1, поддержка которого также добавлена в движок CFF (Compact Font Format). По умолчанию для обработки Type 1 теперь используется растеризатор CFF. Внесены улучшения, связанные с поддержкой изменчивых шрифтов, в которых толщина, ширина и другие стилистические характеристики глифа могут произвольно меняться. Улучшена поддержка сборки FreeType в форме DLL для платформы Windows при помощи компилятора Visual C. Читать далее Выпуск шрифтового движка FreeType 2.9

Представлен Breezy, форк системы управления версиями Bazaar

В рамках проекта Breezy создан форк системы управления версиями Bazaar, разработчики которого поставили перед собой цель портировать кодовую базу и доступные плагины на Python 3, а также упростить участие в разработке заинтересованных энтузиастов. Поддержка Python 2 истекает в 2020 году, а разработка выпуска Bazaar 2.8, в котором ожидалась поддержка Python 3, за два года не сдвинулась с места. Несмотря на то, что Bazaar формально является частью проекта GNU, он полностью подконтролен компании Canonical, которая требует от участников подписать CLA-соглашение и передать имущественные права на код, что мешает независимым энтузиастам продолжить развитие Bazaar под прежним именем. Создание независимого форка позволит убрать … Читать далее Представлен Breezy, форк системы управления версиями Bazaar