Во входящей в состав MySQL утилите mysqldump, используемой для создания резервных копий, выявлена уязвимость (CVE-2016-5483), позволяющая организовать выполнение произвольных shell-команд или привилегированных конструкций SQL во время восстановления резервной копии при помощи утилиты mysql. Код выполнятся с правами администратора, запустившего mysql. Уязвимостью может воспользоваться пользователь СУБД, имеющий права на создание таблиц. Проблема вызвана особенностью добавления комментариев с названиями таблиц в выводе mysqldump. Атакующий имеет возможность создать таблицу с переводом строки в имени, что приведёт к тому, что в область комментария попадёт только начало имени, а хвост будет перенесён на другую строку и выполнен при загрузке дампа. Например, атакующий может создать таблицу … Читать далее Уязвимость в mysqldump, позволяющая выполнить код при восстановлении бэкапа

На состоявшемся сегодня заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено предложение по прекращению формирования альфа-выпусков. Начиная с Fedora 27 вместо отдельных альфа-сборок для тестирования будут предложены периодически формируемые сборки репозитория Rawhide, который будет постоянно поддерживаться в состоянии альфа-качества. Пользователи получат возможность протестировать состояние дистрибутива в любое удобное время, воспользовавшись ежедневными сборками. Разработчиков Fedora новая схема избавит от лишней рутины, связанной со сборкой, отдельным тестированием и поставкой альфа-версий. Перед помещением в репозиторий каждый пакет будет проходить автоматизированное тестирование в системе непрерывной интеграции, позволяющее убедиться, что пакет будет корректно установлен и не нарушит … Читать далее Утверждён план отказа Fedora Linux от альфа-выпусков

Доступен релиз клиента для мгновенного обмена сообщениями Pidgin 2.12.0, поддерживающего работу с такими сетями как AIM, ICQ, XMPP, Google Talk, Gadu-Gadu и IRC. Графический интерфейс Pidgin написан с использованием библиотеки GTK+ и поддерживает такие возможности как единая адресная книга, одновременная работа в нескольких сетях, интерфейс на базе вкладок, работа с аватарами и интеграция с областью уведомлений Windows, GNOME и KDE. Поддержка подключения плагинов позволяет легко расширять функциональность Pidgin, а реализация базовой поддержки протоколов в отдельной библиотеке libpurple дает возможность создавать на базе технологий Pidgin собственные реализации (например, Adium для macOS). Выпуск Pidgin 2.12.0 примечателен удалением поддержки протоколов Facebook XMPP, MSN, … Читать далее Релиз клиента для мгновенного обмена сообщениями Pidgin 2.12.0

Компания Google представила релиз web-браузера Chrome 57. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, идущим в комплекте модулем Flash, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Основные изменения в Chrome 57: Включена по умолчанию поддержка технологии WebAssembly, продвижение которой синхронизировано и обговорено с производителями других браузеров, например, несколько дней назад WebAssembly также был активирован в Firefox 52. WebAssembly предоставляет не зависящий от браузера универсальный низкоуровневый промежуточный код для выполнения в браузере приложений, скомпилированных из различных языков программирования. … Читать далее Выпуск web-браузера Chrome 57

Доступна новая стабильная версия набора базовых системных утилит GNU Coreutils 8.27, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln, ls и т.д. Основные новшества: В утилиты expand и unexpand, предназначенные для преобразования символов табуляции в пробелы и наоборот, добавлена возможность определения числа пробелов в табуляции после явно определённых позиций табуляции, например «—tabs=2,4,/8»; В утилиту ‘date’ добавлена опция «—rfc-email», которая аналогична опции «-R» и определяет вывод даты в формате, определённом в RFC 5322 для электронной почты; Для времени в часовом поясе UTC утилита date теперь выдаёт «-00» при выборе числового … Читать далее Выпуск набора базовых системных утилит GNU Coreutils 8.27

Доступен дистрибутив Parrot 3.5, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены полный iso-образ (3.5 Гб) и несколько специализированных сборок, размером от 1.2 до 3.5 Гб. Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks. В качестве рабочего стола применяется … Читать далее Выпуск дистрибутива Parrot 3.5 с подборкой программ для проверки безопасности

Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.16, в котором отмечено 28 исправлений. Среди изменений: В компонентах для гостевых систем и хостов обеспечена совместимость с ядром Linux 4.11; В установщике для Linux исключена пересборка неиспользуемых модулей ядра; В состав хост-компонентов включён .desktop-файл для открытия окна менеджера виртуальных машин; В дополнениях для гостевых систем на базе Linux решены проблемы с компиляцией модуля ядра для совместного доступа к каталогам в окружении с ядром Linux 4.10; В дополнениях для гостевых систем на базе Linux налажена установка правил загрузки модулей ядра в системах без /etc/depmod.d; Устранён крах, проявляющийся в свежих сборках Windows 10 … Читать далее Выпуск VirtualBox 5.1.16

Опубликовано экстренное обновление web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена критическая 0-day уязвимость (CVE-2017-5638), которая уже несколько дней используется злоумышленниками для получения контроля за сайтами, работающими под управлением Apache Struts. Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально оформленным содержимым HTTP-заголовка «Content-Type». Проблема проявляется в выпусках Struts с 2.3.5 по 2.3.31 и с 2.5.0 по 2.5.10, и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Content-Type содержит некорректное значение, срабатывает исключение для … Читать далее Волна взломов сайтов через неисправленную уязвимость в Apache Struts

Опубликован релиз дистрибутива Manjaro Linux 17.0, построенного на основе Arch Linux и ориентированного на начинающих пользователей. Дистрибутив примечателен наличием упрощённого и дружественного пользователю процесса установки, поддержкой автоматического определения оборудования и установки необходимых для его работы драйверов. Manjaro поставляется в виде live-сборок с графическими окружениями KDE (2 Гб) и Xfce (1.4 Гб). В дальнейшем ожидается публикация редакций с рабочими столами на основе GNOME 3, MATE, Enlightenment, LXDE, Cinnamon, Fluxbox, AwesomeWM, PekWM и LXQt, развиваемых при участии сообщества. Для управления репозиториями в Manjaro используется собственный инструментарий BoxIt, спроектированный по образу Git. Репозиторий поддерживается по принципу непрерывного включения обновлений (rolling), но новые версии … Читать далее Релиз дистрибутива Manjaro Linux 17.0

В драйвере n_hdlc, поставляемом в составе ядра Linux, выявлена уязвимость (CVE-2017-2636), позволяющая локальному пользователю повысить свои привилегии в системе. Вызывающая уязвимость ошибка присутствует в ядре с 22 июня 2009 года. Подготовлен рабочий прототип эксплоита, который будет опубликован через несколько дней, чтобы дать пользователям время на обновление системы. Уязвимость вызвана состоянием гонки (race condition) при доступе к указателю n_hdlc.tbuf, которое может привести к двойному освобождению памяти и перезаписи не связанных с буфером данных через манипуляцию с параметрами протокола HDLC (High-Level Data Link Control). В случае ошибки передачи данных, одновременный вызов функций flush_tx_queue() и n_hdlc_send_frames() может привести к дублированию записи указателя n_hdlc.tbuf … Читать далее Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе

Состоялся релиз специализированного дистрибутива Tails (The Amnesic Incognito Live System) 2.11 основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 Гб. Анонимный выход в Tails обеспечивается системой Tor, в качестве опции может использоваться I2P. Tails 2.11 является последним выпуском с поддержкой альтернативной анонимной сети I2P, в следующей версии останется только поддержка Tor. В случае появления добровольца, готового поддерживать I2P в Tails, поддержка I2P будет возобновлена. Одновременно с Tails 2.11 подготовлен релиз специализированного браузера Tor Browser 6.5.1, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на … Читать далее Выпуск дистрибутива Tails 2.11 и web-браузера Tor Browser 6.5.1

Федеральный ядерный центр в Сарове (РФЯЦ-ВНИИЭФ) совместно с компанией Postgres Professional завершили проект по созданию защищенной системы управления базами данных «Синергия-БД», основанной на кодовой базе СУБД PostgreSQL. «Синергия-БД» предназначена для использования в качестве хранилища данных на предприятиях, предъявляющих повышенные требования к надежности и безопасности информационных систем. В первую очередь, это контур ядерно-оружейного и оборонно-промышленного комплекса страны, а также органы исполнительной власти федерального и регионального уровня. СУБД «Синергия-БД» обеспечивает многопользовательский доступ к данным с разным уровнем конфиденциальности. Она способна взаимодействовать с двумя ОС отечественной разработки — ОС «Синергия-ОС v.1.0» и ОС Astra Linux Special Edition — для получения информации о мандатных … Читать далее Завершена разработка защищенной отечественной СУБД Синергия-БД, основанной на PostgreSQL

Состоялся релиз почтового сервера Exim 4.89, в который внесены накопившиеся исправления, в основном связанные с исправлением ошибок. В соответствии с данными, полученными в результате автоматизированного опроса около двух миллионов почтовых серверов, Exim используется на 56.02% почтовых серверов (год назад 53.62%), доля Postfix составляет 33.07% (год назад 32.80%), Sendmail — 5.06% (6.38%), Microsoft Exchange — 1.14% (1.90%). Кроме исправления ошибок, в Exim 4.89 обеспечена возможность использования относительных путей к файлам конфигурации, подключаемых через директиву «.include». В основную секцию настроек добавлена опция «debug_store», позволяющая включить проверку размещения переменных при сбросе хранилища (дополнительная защита от проблем, вызванных повреждением памяти). Добавлена поддержка спецификации IDNA2008, … Читать далее Обновление почтового сервера Exim 4.89

Компания НТЦ ИТ РОСА опубликовала обновление дистрибутива ROSA Desktop Fresh R8.1. Для свободной загрузки подготовлены DVD-сборки для платформ i586 и x86_64 с рабочим столом на основе KDE 4 (2 Гб). Выпуск предназначен в основном для пользователей, которым нужно установить стабильное LTS-окружение ROSA Desktop на новом оборудовании. В новой версии поставляется ядро Linux 4.9, Mesa 13.0.2 с поддержкой OpenGL 4.5. Расширена поддержка оборудования, в том числе, благодаря обновлению ядра Linux, добавлена поддержка систем на базе процессоров Intel Skylake. Добавлена поддержка последних моделей принтеров и модемов. В modemmanager реализован показ трафика. Для видеоредакторов на базе MLT включена поддержка аппаратного ускорения на стороне … Читать далее Обновление Linux-дистрибутив ROSA Desktop Fresh R8.1

После шести месяцев разработки состоялся релиз Samba 4.6.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.6: Добавлена возможность настройки типа шифрования для клиента Kerberos. Через параметр «kerberos encryption types» можно определить какие настройки шифрования указать в генерируемом Samba файле krb5.conf. Выставляемое по умолчанию значение «all» определяет старое поведение и разрешает использовать все доступные алгоритмы … Читать далее Выпуск Samba 4.6.0

Разработчики операционной системы DragonFly BSD провели тестирование производительности сетевого стека в сравнении с сетевыми стеками FreeBSD и ядра Linux (3.10 из CentOS 7 и 4.9 из Debian). Тестирование производилось через симуляцию нагрузки на web-сервер и организацию двунаправленного перенаправления (forwarding) UDP-пакетов между сетевыми интерфейсами. Для отдачи статических файлов на сервере использовался nginx, а на генерации трафика на нескольких клиентских системах была запущена утилита wrk. В тесте на перенаправление пакетов для генерации пакетов использовались pktget и sink. В тесте на обработку запросов в nginx DragonFly BSD опередил FreeBSD и показал производительность близкую к ядру Linux, а при оценке уровня задержек (latency) заметно … Читать далее Сравнение производительности сетевых подсистем DragonFly BSD, FreeBSD и ядра Linux

Состоялся релиз web-браузера Firefox 52, а также мобильной версии Firefox 52 для платформы Android. Выпуск отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. В ближайшие часы ожидается обновление прошлой ветки с длительным сроком поддержки 45.8. Выпуск SeaMonkey 2.48 планировалось сформировать в феврале, но от так и не был выпущен. В скором времени на стадию бета-тестирования перейдёт ветка Firefox 53 и будет отделён Firefox Developer Edition 54. В соответствии с шестинедельным циклом разработки релиз Firefox 53 намечен на 18 апреля, а Firefox 54 на 13 июня. Основные новшества: В состав браузера добавлена технология … Читать далее Релиз Firefox 52

Ресурс WikiLeaks опубликовал первую серию документов, полученных из закрытой сети ЦРУ. Всего опубликовано 8761 файл, в основном скопированных из внутреннего wiki-сайта ЦРУ и описывающих различные инструменты и техники проведения атак. Особый интерес представляет описание метода доступа к сообщениям, отправленным через мобильные приложения WhatsApp, Signal, Telegram, Weibo, Confide и Cloackman. Для получения контроля за сообщениями в ЦРУ не пытаются перехватывать транзитный трафик и дешифровывать сообщения. Вместо этого осуществляется атака непосредственно на смартфон, пользуясь неисправленными уязвимостями в iOS и Android. После атаки на телефон, владельца которого нужно контролировать, устанавливается руткит, который записывает звук и перехватывает сообщения во время ввода, на стадии до … Читать далее WikiLeaks опубликовал 8 тысяч документов ЦРУ с описанием инструментов и методов атак

Некоммерческая организация Linux Foundation, курирующая широкий спектр работ, связанных с развитием Linux, объявила о вступлении в свои ряды компании VMware, которая получила статус золотого участника. Статус золотого участника позволит наладить более активное сотрудничество с сообществом, а также повысить эффективность участия в открытых проектах и использования открытых технологий. Компания VMware уже имеет опыт участия в совместной работе над такими проектами Linux Foundation, как Open Network Automation Platform (ONAP), Cloud Foundry и Open vSwitch. Размер взноса золотого участника составляет $100 тыс. в год, платинового — $500 тыс. в год, серебряного — $5-20 тыс. в год. Из других золотых участников можно отметить Accenture, … Читать далее Компания VMware присоединилась к Linux Foundation

Представлен выпуск мультимедиа проигрывателя SMPlayer 17.3, выполненного в форме графической надстройки над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows. В новой версии добавлена поддержка отображения субтитров при отправке видео на телевизор при помощи устройства Chromecast. При использовании Chromecast возможно отображение только внешних субтитров, сохранённых в отдельном файле в формате vtt, в том же каталоге, что … Читать далее Новая версия медиапроигрывателя SMPlayer 17.3

Проект Tor сформировал четвёртый бета-выпуск собственного клиента для мгновенного обмена сообщениями Tor Messenger, нацеленного на обеспечение анонимности и защиты от прослушивания. Весь применяемый для обмена сообщениями трафик передаётся только через сеть Tor. Для шифрования сообщений, защиты имеющейся переписки и аутентификации собеседников применяется протокол OTR (Off-the-Record). Готовые сборки подготовлены для Linux, Windows и macOS Для обмена сообщениями применяется традиционная клиент-серверная модель, подразумевающая наличие сервера для координации обмена сообщениями. Tor Messenger позволяет соединиться с обычными IM-серверами, поддерживающими такие протоколы, как Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter и Yahoo, при этом соединение с ними осуществляется только через сеть Tor. Также возможно … Читать далее Четвёртый тестовый выпуск системы мгновенного обмена сообщениями от проекта Tor