Представлен дистрибутив Kali Linux 2017.1, продолжающий развитие проекта BackTrack Linux и предназначенный для проведения тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ, размером 2.6 Гб. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной … Читать далее Выпуск дистрибутива для исследования безопасности систем Kali Linux 2017.1

Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется портирование платформы Android для архитектуры x86, опубликовали третий стабильный выпуск сборки на базе платформы Android 6.0, в которую включены исправления и дополнения, обеспечивающие бесшовную работу на платформах с архитектурой x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 6.0 для архитектур x86 (572 Мб) и x86_64 (677 Мб), пригодные для использования на типовых ноутбуках, нетбуках и планшетных ПК. Изменения со времени прошлого обновления: Реализовано автомонтирование CD/DVD; Решены проблемы при запуске в виртуальном окружении на базе VMware; Добавлен скрипт qemu-android для запуска Android-x86 в QEMU; Исходные тексты Android обновлены до ветки 6.0.1_r79; Ядро … Читать далее Обновление сборки Android 6.0 для платформы x86 от проекта Android-x86

Разработчики проекта Debian объявили о скором прекращении доступа к репозиториям пакетов с использованием протокола FTP. Поддержка FTP будет сохранена до 1 ноября, после чего публичные FTP-серверы Debian (ftp://ftp.debian.org и ftp://security.debian.org) прекратят свою работу. При этом указанные хосты останутся доступны по HTTP, т.е. в настройках репозиториев достаточно будет поменять «ftp://» на «http://» (http://ftp.debian.org, http://security.debian.org). Изменение не коснётся внутренних ресурсов ftp://ftp.upload.debian.org и ftp://ftp.upload.debian.org, которые останутся доступны разработчикам проекта. В качестве причин отказа от использования FTP называется: Отсутствие поддержки кэширования и систем ускорения доступа. Например, при доступе по HTTP может применяется сеть доставки контента, а для FTP задействование подобной системы невозможно, что создаёт … Читать далее Debian прекращает поддержку FTP на своих серверах

После года разработки вышел игровой движок INSTEAD 3.0.0 (Simple Text Adventure, The Interpreter), ориентированный на создание игр в жанре текстовых приключений, который также подходит для разработки простых аркадных или казуальных игр. Игры создаются на языке Lua. Код проекта распространяется под лицензией MIT. Основные изменения: Новый API STEAD3, благодаря которому делать игры стало ещё проще; Новый INSTEAD-JS, позволяющий запускать игры прямо в браузере; Переписана часть на языке Си, теперь INSTEAD стал модульным; В исходный код включен пример минимального интерпретатора (100 строк); Графические возможности расширены за счет подсистемы pixels; Звуковые возможности расширены за счет поддержки генерации звука из кода; Вместе с новым … Читать далее Выпуск текстового игрового движка INSTEAD 3.0.0

Джейсон Доненфилд (Jason A. Donenfeld), выявил уязвимость в сетевом стеке ядра Linux, позволяющую удалённо инициировать переполнение буфера. Уязвимость вызвана ошибкой в коде drivers/net/macsec.c с реализацией стандарта IEEE 802.1AE (MACsec). Подробности пока не сообщаются, а CVE ID не назначен, но, судя по всему, эксплуатация возможна только в локальных сетях, в которых применяется достаточно редкая технология MACsec. Джейсон Доненфилд возглавляет компанию Edge Security и является достаточно известным исследователем безопасности и разработчиком открытого ПО. Например, в своё время он выявил такие уязвимости в ядре Linux, как CVE-2012-0056, CVE-2011-1485, CVE-2011-4594, CVE-2011-4330 и CVE-2010-4258. Джейсон также является автором cgit и WireGuard (новая реализация VPN для … Читать далее Предварительное сообщение об удалённой уязвимости в сетевом стеке ядра Linux

Организация Linux Foundation представила новый совместный проект EdgeX Foundry, нацеленный на развитие открытой платформы для упрощения создания решений на базе IoT-устройств. Целью EdgeX Foundry является предоставление универсальной модульной платформы для обеспечения взаимодействия между IoT-устройствами, приложениями и сервисами, а также создание экосистемы из компаний-производителей, выпускающих совместимые и взаимозаменяемые компоненты для интернета вещей. Платформа не привязана к оборудованию конкретных поставщиков и операционным системам, и развивается независимой рабочей группой, под эгидой Linux Foundation. Платформа позволяет создавать шлюзы, объединяющие имеющиеся IoT-устройства и собирающие данные от различных датчиков. Кроме организации взаимодействия с устройствами, шлюз выполняет задачу по первичной обработке, агрегированию и анализу информации, выступая промежуточным … Читать далее Linux Foundation развивает EdgeX, новую платформу для интернета вещей

Организация Apache Software Foundation объявила о присвоении Apache Metron статуса первичного проекта Apache. Перевод в разряд первичных проектов произведён после полутора лет нахождения в инкубаторе Apache, в котором были проверены способности следования принципам разработки и управления, принятым в сообществе Apache и основанным на идеях меритократии. Теперь Apache Metron признан готовым для самостоятельного существования, не требующего дополнительного надзора. Компоненты проекта Metron написаны на языках Си и Java. Изначально система Metron развивалась компанией Cisco в рамках проекта OpenSOC, после чего в декабре 2015 года была передана фонду Apache для привлечения других компаний к совместной разработке. Apache Metron представляет собой фремворк для анализа … Читать далее Система анализа сетевых угроз Metron получила статус первичного проекта Apache

Представлена вторая стабильная сборка проекта TrueOS, обновления для которого формируются в рамках rolling-модели. В TrueOS поставляются самые свежие версии пакетов, а ядро и компоненты базовой системы синхронизируется с FreeBSD-CURRENT с заимствованием из OpenBSD некоторой функциональности, связанной с обеспечением безопасности (например, LibreSSL). В качестве рабочего стола по умолчанию используется окружение Lumina, а в качестве файловой системы — ZFS. Размер установочного iso-образа 2.2 Гб. Пакеты распространяются из одного репозитория, единого для всех выпусков. Для установки и обновления всех частей системы, включая компоненты базовой системы, применяется пакетный менеджер pkg. Кроме консольного pkg для установки дополнительных программ в TrueOS также можно использовать графический интерфейс … Читать далее Вторая стабильная сборка проекта TrueOS, пришедшего на смену PC-BSD

Доступен релиз пакетного менеджера DNF 2.3. DNF используется по умолчанию в дистрибутиве Fedora Linux и является ответвлением от Yum 3.4, адаптированным для работы с Python 3 и использующим библиотеку hawkey в качестве бэкенда для разрешения зависимостей. По сравнению с Yum, DNF обладает заметно более высокой скоростью работы, низким потреблением памяти и более качественным управлением зависимостями. В новой версии добавлен метод dnf.package.Package.remote_location() для получения информации о местоположении доступного для загрузки пакета, а также расширена функциональность команды «dnf repoquery», применяемой для поиска пакетов во внешних репозиториях (аналог «rpm -q» для удалённого репозитория), в которой появилось 7 новых опций: «dnf repoquery —whatconflicts {capability}» … Читать далее Выпуск пакетного менеджера DNF 2.3

Доступен выпуск открытого видеоплеера MPV 0.25, несколько лет назад ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного бэкпортирования новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией GPLv2. В новой версии: Дополнительная порция компонентов переведена на лицензию LGPL: символьный шрифт для OSD, ass_mp, sd_ass, common.h, demux/packet, demux_mkv, ebml, matroska.h, sd_lavc и sub/osd; По умолчанию отключена поддержка оптических дисков (DVD/CD); Добавлена поддержка стандарта DVB-T2; Прекращена поддержка OS X 10.7 и более ранних выпусков. Для macOS добавлена поддержка сенсорной панели (Touch Bar); Добавлена возможность изменения громкости … Читать далее Релиз видеоплеера MPV 0.25

В рамках сворачивания разработки Unity 8 и Ubuntu Phone, компания Canonical планирует в июне полностью прекратить выпуск обновлений с устранением уязвимостей для смартфонов на базе платформы Ubuntu Phone. Кроме того, начиная с июня планируется отключить возможность загрузки новых программ в Ubuntu Store и остановить продажи платных приложений (для продолжения распространения платных программ разработчики могут только перевести их в категорию бесплатных). В конце года планируется полностью закрыть каталог-магазин приложений Ubuntu Store. После закрытия Ubuntu Store пользователи Ubuntu Phone не смогут устанавливать программы, а разработчики сторонних приложений будут лишены возможности распространения обновлений для своих продуктов. В качестве альтернативы для пользователей можно рассматривать … Читать далее Canonical закрывает Ubuntu Store и прекращает выпуск обновлений для Ubuntu Phone

Компания Microsoft продемонстрировала возможность запуска в Windows Server изолированных контейнеров, подготовленных для Linux. Ранее для Windows была реализована поддержка Docker, но она позволяла запускать только образы, специально подготовленные для Windows. Отныне добавлена возможность запуска и обычных Linux-контейнеров, для выполнения которых в Windows задействована технология виртуализации Hyper-V. Также отмечается прогресс в развитии прослойки WSL («Windows Subsystem for Linux»), обеспечивающей трансляцию системных вызовов Linux в системные вызовы Windows и позволяющей запускать приложения Linux в Windows. В WSL появилась возможность монтирования Windows-разделов при помощи DrvFs. Например, теперь можно запустить «sudo mount -t drvfs D: /mnt/d», «sudo mount -t drvfs ‘C:mountpoint’ /mnt/myvolume» и «sudo … Читать далее Microsoft обеспечил поддержку запуска Linux-контейнеров в Windows Server

В почтовом web-клиенте Squirrelmail выявлена критическая уязвимость (CVE-2017-7692), позволяющая выполнить код на сервере через отправку через web-интерфейс специально оформленного письма. Проблема проявляется в последнем выпуске Squirrelmail 1.4.22. Так как проект Squirrelmail уже много лет не обновлялся и разработчики не ответили на уведомление о проблеме, исследователи безопасности самостоятельно подготовили патч. Уязвимость пока остаётся неисправленной в пакете squirrelmail, поставляемом в репозиториях Debian и Ubuntu. Уязвимость связана с отсутствием должных проверок аргументов, передаваемых при вызове утилиты sendmail через PHP-функцию popen(). В частности, для чистки опасных символов перед вызовом popen использовалась функция escapeshellcmd(), которая не экранирует пробелы и символы табуляции. Так как sendmail вызывается … Читать далее Уязвимость в Squirrelmail, позволяющая удалённо выполнить код на сервере

Представлен релиз PacketFence 7.0, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL 6/7 и Debian 7/8. PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и программной начинки компьютеров в сети. … Читать далее Релиз системы управления доступом к сети PacketFence 7.0

Компания Google представила выпуск языка программирования Dart 1.23, который позиционируется как язык структурированного программирования для Web, обладает похожим на Java синтаксисом, не требует явного определения типов и может использоваться для создания серверных и клиентских приложений. Для запуска внутри браузера код на языке Dart компилируется в представление JavaScript, для выполнения серверных приложений развивается специальная виртуальная машина Dart VM. Код связанных с языком компонентов распространяется под лицензией BSD. Для упрощения разработки на языке Dart поставляется SDK, включающий в себя компилятор в JavaScript — dart2js, виртуальную машину Dart VM, пакетный менеджер pub, статический анализатор кода dart_analyzer, набор библиотек, интегрированная среда разработки DartPad и … Читать далее Выпуск языка программирования Dart 1.23

Firefox 54 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. В соответствии с новым процессом разработки, aurora-выпуски больше не формируются, для ознакомления с развиваемыми возможностями можно использовать ночные сборки. Ветка Firefox Developer Edition теперь будет формироваться из бета-выпусков (Developer Edition 54 сформирован на основе прошлой aurora-ветки, но Developer Edition 55 будет подготовлен на основе Developer Edition 55-beta). Загрузить бета-выпуск можно на данной странице, а сборку Developer Edition — здесь. Релиз Firefox 54 намечен на 13 июня. Изменения, представленные в бета-версии Firefox 54: В меню и на панель закладок … Читать далее Тестирование бета-версии Firefox 54

Представлен релиз языка программирования R 3.4 и связанного с ним программного окружения, ориентированного на решение задач по статистической обработке, анализу и визуализации данных. Для решения специфичных задач предлагается более 5000 пакетов-расширений. Базовая реализация языка R развивается в рамках проекта GNU и распространяется под лицензией GPL. В новом выпуске представлено около 200 изменений, большая часть из которых связана с расширением возможностей существующих функций и реализацией новых функций и методов. По умолчанию задействован JIT-компилятор третьего уровня (функции компилируются при первом или втором использовании, а основные циклы вначале компилируются, а затем выполняются). Прекращена поддержка ОС IRIX и OSF/1, а также процессоров Alpha. Читать далее Релиз языка программирования R 3.4

Разработчики дистрибутива openSUSE объявили об очередной смене нумерации выпусков. Вместо применяемой с 2015 года схемы на основе номера репозитория в Open Build Service и сервисного выпуска SUSE Linux Enterprise, на основе которого скомпонована базовая часть релиза, отныне решено перейти к упрощённой схеме на основе порядковых номеров. Таим образом следующим после openSUSE Leap 42.3 станет выпуск openSUSE Leap 15, после чего последуют выпуски Leap 15.1, 15.2 и т.д. Решение обусловлено желанием синхронизировать номера версий openSUSE Leap и SUSE Linux Enterprise (SLE). Во время развития SLE 12 синхронизация была невозможна из-за существования релизов openSUSE 12.x, но после SLE 12 SP3 намечено формирование … Читать далее openSUSE и SUSE Linux Enterprise синхронизируют номера выпусков

Состоялся релиз текстового редактора GNU Emacs 25.2, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года. Основное внимание в GNU Emacs 25.2 было уделено исправлению ошибок. Из улучшений отмечается новый базовый тип шрифта ‘fixed-pitch-serif’, реализация переменной ‘use-default-font-for-symbols’ (включает методы выбора шрифтов, применяемые в версиях младше Emacs 25), прекращение поддержки режима ‘electric-quote-mode’, добавление переменной ‘inhibit-compacting-font-caches’ для ускорения работы со шрифтами за счёт кэширования в ОЗУ. Читать далее Выпуск текстового редактора GNU Emacs 25.2

Исследователь безопасности Уильям Энтрикен (William Entriken) поделился своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег «img src» скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций. После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, … Читать далее Поучительный опыт информировния банков об уязвимостях

Началось тестирование Subiquity, нового инсталлятора для серверной редакции Ubuntu Linux, поддерживающего текстовый режим установки. Для тестирования пользователям предложены новые экспериментальные (Technology Preview) сборки Ubuntu Server 17.04. В настоящее время предоставляет только основные функции, расширенную функциональность планируется реализовать по мере развития проекта. Возможна автоматизированная установка по профилю конфигурации, определённому в формате JSON. Читать далее Canonical тестирует новый инсталлятор для Ubuntu Server