Тестирование KDE Plasma 5.11. Адаптация Plasma Mobile для смартфона Librem 5

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.11, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 10 октября. Основные улучшения: Новое оформление конфигуратора, в котором упрощена навигация и предоставлена возможность быстрого доступа к часто используемым разделам настроек. Для пользователей, привыкших к старому интерфейсу, предоставлена возможность переключиться на ранее предлагавшиеся варианты оформления в виде сетки пиктограмм или дерева; Реализована возможность просмотра истории уведомлений, которая позволяет … Читать далее Тестирование KDE Plasma 5.11. Адаптация Plasma Mobile для смартфона Librem 5

Обновление tcpdump 4.9.2 с устранением 92 уязвимостей

После двухнедельного закрытого распространения среди разработчиков дистрибутивов открыт публичный доступ к релизу сетевого анализатора трафика tcpdump 4.9.2. Задержка открытия публичного доступа к релизу обусловлена устранением 92 уязвимостей, 2 из которых могут привести к переполнению буфера и выполнению кода злоумышленника при обработке определённого вида трафика. 4 уязвимости могут привести к зацикливанию процесса, а остальные 86 проблем связаны с возможностью чтения из областей вне границ выделенного буфера. Проблемы обнаружены в коде разбора содержимого различных форматов и протоколов. Читать далее Обновление tcpdump 4.9.2 с устранением 92 уязвимостей

Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts

На сайте с информацией о взломе Equifax, в результате которого произошла утечка персональных данных 44% населения США, появилось подтверждение сведений, что для атаки была применена уязвимость CVE-2017-5638. Данная уязвимость была устранена в мартовском обновлении Apache Struts, в то время как атака на Equifax была проведена с мая по июль, т.е. причиной взлома стала халатность персонала, которые не установили обновление с исправлением критической уязвимости. Примечательно, что в аргентинском отделении Equifax выявлена ещё более знаковая оплошность — оказалось, что на портал для сотрудников Equifax, предназначенный для управления кредитными спорами, можно было войти при помощи логина/пароля admin/admin. Воспользовавшись данной учётной записью исследователям удалось … Читать далее Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts

Доступен дистрибутив CentOS 7.1708, основанный на RHEL 7.4

Увидел свет дистрибутив CentOS 7.1708, вобравший в себя изменения из Red Hat Enterprise Linux 7.4. Напомним, что номер версии 7.1708 связан с введением в практику ежемесячной сборки rolling-обновлений установочных образов и отражает время очередной сборки, при том, что в рамках подготовки данной сборки репозиторий был переведён на пакетную базу RHEL 7.4, т.е. выпуск CentOS 7.1708 можно формально рассматривать как CentOS 7.4 в старой нумерации. Сборки доступны для архитектур x86_64, ARMv7 (armhfp), AArch64/ARM64, ppc64 (POWER7, Big Endian) и ppc64le (POWER8, Little Endian). Для x86_64 подготовлены установочные DVD-сборки (4 Гб), образ NetInstall для установки по сети (422 Мб), минимальная серверная сборка (792 … Читать далее Доступен дистрибутив CentOS 7.1708, основанный на RHEL 7.4

Очередная порция критических уязвимостей в Xen

Спустя месяц с момента публикации сведений о прошлой порции критических проблем доступна информация о новых 4 уязвимостях, из которых три (CVE-2017-14316, CVE-2017-14317, CVE-2017-14317) потенциально позволяют выполнить код с правами гипервизора и выйти за пределы текущего гостевого окружения. Одна уязвимость (CVE-2017-14317) даёт возможность инициировать крах процесса xenstored. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра. Для проявления всех уязвимостей, кроме CVE-2017-14316 (уязвимость в коде поддержки NUMA), гостевая система должна работать в режиме паравиртуализации. Всего за последние полгода в Xen было устранено 16 критических уязвимостей. Читать далее Очередная порция критических уязвимостей в Xen

Zerodium готов выплатить миллион долларов за 0-day уязвимости в Tor Browser

Компания Zerodium объявила о запуске инициативы по выплате вознаграждений за выявление ранее неизвестных критических уязвимостей в Tor Browser, проявляющихся в окружении Tails Linux или Windows. Общий размер предоставляемых в рамках инициативы премий составляет миллион долларов США. Например, за демонстрацию эксплоита, который позволяет выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript, и 85 тысяч долларов при включенном JavaScript. Если дополнительно продемонстрирована техника повышения привилегий до пользователя root, размер премии увеличивается до 250 и 125 тысяч долларов, соответственно. В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом. Т.е. … Читать далее Zerodium готов выплатить миллион долларов за 0-day уязвимости в Tor Browser

Выпуск пользовательского окружения GNOME 3.26

После шести месяцев разработки официально представлен выпуск десктоп-окружения GNOME 3.26. По сравнению с прошлым выпуском было внесено более 24 тысяч изменений, в реализации которых приняли участие 778 разработчиков. Из наиболее значительных изменений в новой версии можно отметить улучшение поиска, анимацию раскрытия и сворачивания окон, поддержку цветных Emoji, отключение системного лотка, редизайн конфигуратора, новую панель настройки экрана, поддержку синхронизации с Firefox в Epiphany. Для быстрой оценки возможностей GNOME 3.26 подготовлены специализированные Live-сборки на основе openSUSE и Ubuntu. Основные новшества: Представлена порция видимых изменений рабочего стола: Добавлен эффект плавной анимации сворачивания и раскрытия окон. Увеличен размер эскизов окон в обзорном режиме (Activities … Читать далее Выпуск пользовательского окружения GNOME 3.26

GitHub и Facebook представили открытую интегрированную среду разработки Atom IDE

GitHub совместно с Facebook представил проект Atom IDE, в рамках которого подготовлена интегрированная среда разработки, оформленная в виде серии дополнений к ранее развиваемому текстовому редактору для программистов Atom. Код проекта распространяется под лицензией MIT. На текущем этапе развития Atom IDE поддерживает автодополнение языковых конструкций с учётом контекста, интерактивные подсказки, выявление синтаксических ошибок, наглядное представление сведений об ошибках и предупреждениях, форматирование кода, средства для навигации по коду, такие как древовидный обзор структуры (outline view), переход на определения и поиск ссылок. Поддерживается разработка на языках TypeScript, Flow, JavaScript, Java, C# и PHP, для которых предоставляются средства глубокого синтаксического анализа кода создаваемых проектов. … Читать далее GitHub и Facebook представили открытую интегрированную среду разработки Atom IDE

Компания Oracle выбрала Eclipse Foundation для передачи разработки Java EE

Компания Oracle опубликовала детали плана по передаче проекта Java EE (Java Platform Enterprise Edition) в руки сообщества для реализации независимой модели разработки и принятия решений. В качестве организации, которая будет курировать развитие Java EE, выбран Фонд Eclipse, курирующей развитие платформы для создания интегрированных сред разработки и различных проектов на языке Java. Инициативу Oracle поддержали компании IBM и Red Hat, которые являются крупнейшими участниками разработки Java EE. Озвучены намерения перелицензировать принадлежащие Oracle технологии Java EE и наработки, связанные с проектом GlassFish, включая эталонные реализации, наборы для оценки совместимости (TCK) и всю документацию. Все имущественные права на данные технологии будут переданы Eclipse … Читать далее Компания Oracle выбрала Eclipse Foundation для передачи разработки Java EE

В Emacs 25.3 устранена уязвимость

Состоялся релиз текстового редактора GNU Emacs 25.3, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года. Выпуск носит внеплановый характер и экстренно подготовлен для устранения опасной уязвимости, которая позволяет организовать выполнение кода при разборе текста c разметкой «Enriched Text» (RFC 1896). Так как почтовые клиенты на базе Emacs по умолчанию выполняют декодирование сообщений с «Content-Type: text/enriched», то уязвимость можно эксплуатировать удалённо путем отправки пользователю специально оформленного сообщения. Уязвимость вызвана ошибкой в обработчике ‘x-display’, при помощи которого осуществляется подстановка параметров ‘display’, которые, в … Читать далее В Emacs 25.3 устранена уязвимость

Выпуск программы для управления фотографиями digiKam 5.7

Подготовлен релиз программы для управления коллекцией фотографий digiKam 5.7.0. В новом выпуске закрыто 508 отчётов об ошибках, что объясняется проведением чистки системы отслеживания ошибок от дубликатов и устаревших уведомлений. Из новшеств можно отметить: Добавлена поддержка инструментария для компоновки панорам Hugin 2017; Поддержка отображения маршрута на основе GPS-трассировок в формате KML; Реализован инструмент для компоновки содержимого страницы перед выводом на печать, упрощающий печать нескольких фотографий. Например, можно разместить несколько изображений на странице, автоматически обрезать края или отмасштабировать большое изображение; Добавлена функця отправки изображений на email. Возможно задание лимита на размер отправляемых данных, выполнение операции чистки метаданных перед отправкой и конвертация в … Читать далее Выпуск программы для управления фотографиями digiKam 5.7

Релиз видеоплеера MPV 0.27

Доступен выпуск открытого видеоплеера MPV 0.27, несколько лет назад ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного бэкпортирования новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией GPLv2, некоторые части поставляются под LGPL. В новой версии: В модуль вывода через OpenGL (vo_opengl) добавлена поддержка прямого рендеринга («—vd-lavc-dr») и цветовых профилей ICC, задействованы более быстрые вычислительные шейдеры на основе ядра EWA, обеспечена возможность инвертирования HLG OOTF, добавлен режим определения пиков HDR («—hdr-compute-peak»), добавлена поддержка пиксельных форматов с плавающей запятой, представлена возможность загрузки пользовательских текстур и … Читать далее Релиз видеоплеера MPV 0.27

Новая версия свободной системы 3D-моделирования Blender 2.79

Опубликован релиз Blender 2.79 — свободного, профессионального пакета для создания трёхмерной компьютерной графики. Основные особенности релиза: Улучшения системы рендеринга Cycles. Известно, что при небольшом количестве проходов при рендере изображения могут появляться шумы. Разработчики добавили специальный фильтр Denoise, который позволяет избавиться от артефактов, без увеличения циклов обработки. Настройки фильтра находятся в панели Render Layers. Оптимизирована вся система рендеринга и улучшена поддержка OpenCL. Теперь компиляция шейдеров выполняется многопоточно (ускорение до 20% на CPU с инструкциями AVX2), а GPU на базе AMD Radeon не уступают в производительности чипам от NVIDIA; Добавлен режим управления цветом Filmic, позволяющий добиться фотореалистичных результатов и лучше обрабатывающий содержимое … Читать далее Новая версия свободной системы 3D-моделирования Blender 2.79

BlueBorne — опаснейшая удалённая уязвимость в Bluetooth

Лаборатория Armis раскрыла сведения о серии уязвимостей под кодовым именем BlueBorne, охватывающих Bluetooth-стеки Linux, Android, iOS и Windows. По имнению Марка Кокса (Mark J. Cox), возглавляющего команду, занимающуюся решением проблем безопасности в продуктах Red Hat, выявленная проблема может претендовать на звание самой опасной уязвимости в Linux за последние 18 лет. Проблема позволяет организовать выполнение кода с привилегиями ядра на широком спектре устройств с включенной поддержкой Bluetooth через отправку в эфир специально оформленных пакетов. Атака может быть проведена скрыто без необходимости сопряжения устройств, перевода в режим доступности для обнаружения или выполнения каких-либо действий со стороны пользователя. Для атаки достаточно, чтобы на … Читать далее BlueBorne — опаснейшая удалённая уязвимость в Bluetooth

В Emacs 25.3 устранена опасная уязвимость

Состоялся релиз текстового редактора GNU Emacs 25.3, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года. Выпуск носит внеплановый характер и экстренно подготовлен для устранения опасной уязвимости, которая позволяет организовать выполнение кода при разборе текста c разметкой «Enriched Text» (RFC 1896). Так как почтовые клиенты на базе Emacs по умолчанию выполняют декодирование сообщений с «Content-Type: text/enriched», то уязвимость можно эксплуатировать удалённо путем отправки пользователю специально оформленного сообщения. Уязвимость вызвана ошибкой в обработчике ‘x-display’, при помощи которого осуществляется подстановка параметров ‘display’, которые, в … Читать далее В Emacs 25.3 устранена опасная уязвимость

В Firefox будет обновлено оформление средств для разработчиков

Для включения в ночные сборки Firefox, которые лягут в основу выпуска Firefox 57, готовится реализация нового оформления инструментов для разработчиков (Developer Tools). Наиболее заметным изменением стала новая упрощённая навигационная панель с элементами в виде вкладок и визуальное выделение центрального блока с кодом по отношению к панелям. Также проведён кардинальный пересмотр цветовой схемы, используемой при подсветке синтаксиса HTML и JavaScript. Красный цвет теперь закреплён только за ошибками. Убраны слишком кричащие цвета в пользу умеренной тёплой цветовой гаммы. Увеличена читаемость кода. Было (светлая тема): Стало (светлая тема): Было (тёмная тема): Стало (тёмная тема): Читать далее В Firefox будет обновлено оформление средств для разработчиков

Уязвимость в Apache Struts может затрагивать различные продукты Cisco

Исследователи безопасности из компании Cisco предупредили о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com. Кроме того, сообщается о подверженности уязвимостям в Apache Struts многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в продуктах Cisco Digital Media Manager, Cisco MXE 3500 Series Media Experience Engines, Cisco Unified Contact Center Enterprise, Cisco Unified Intelligent Contact Management … Читать далее Уязвимость в Apache Struts может затрагивать различные продукты Cisco

Выпуск браузерного движка WebKitGTK+ 2.18

Представлен выпуск новой стабильной ветки WebKitGTK+ 2.18.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: Начальная поддержка API WebDriver, предоставляющего интерфейс для организации проведения функционального тестирования web-приложений с учётом поведения реальных web-браузеров. WebDriver даёт возможность сформировать автоматизированный набор тестов, контролирующих поведение браузера и позволяющих симулировать такие действия, как нажатия клавиш, работу с мышью, … Читать далее Выпуск браузерного движка WebKitGTK+ 2.18

Выпуск Vagrant 2.0, инструментария для создания виртуальных окружений

Доступен релиз Vagrant 2.0, инструментария для упрощения формирования, установки и управления образами виртуальных машин при разработке и тестировании проектов с использованием различных систем виртуализации. Предоставляются средства интеграции с VirtualBox, VMware, AWS, Google Cloud Platform, OpenStack, Hyper-V, Docker и LXC. Код проекта распространяется под лицензией MIT. В рамках сервиса Vagrant Cloud развивается каталог готовых образов на базе разных систем. Vagrant позволяет без лишних усложнений, используя единый конфигурационный файл, сгенерировать готовое к работе окружение для разработки, удовлетворяющее заданным параметрам. Окружения можно создавать на базе различных операционных систем, в том числе Windows, macOS, Ubuntu, Debian, Red Hat Enterprise Linux, CentOS, Arch Linux и … Читать далее Выпуск Vagrant 2.0, инструментария для создания виртуальных окружений

Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев

Бюро кредитных историй Equifax обнародовало информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования, даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек дополнительно были получены номера кредитных карт, а для 182 тысяч — документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД. В отчёте компании William Baird Co. утверждается, что взлом был совершён через уязвимость в web-фреймворке Apache Struts, который применяется … Читать далее Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев

Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS

8 сентября вступило в силу предписание, в соответствии с которым удостоверяющие центры должны обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации. Пример настройки CAA можно посмотреть в данной заметке. Автоматически сформировать DNS-записи с CAA можно через специально подготовленный web-интерфейс. Читать далее Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS