Компания Google объявила об открытии Nomulus, программного обеспечения для сопровождения сервисов регистратора доменов первого уровня. Код написан на языке Java и распространяется под лицензией Apache 2.0. Проект уже используется в работе регистратора Google Domains, отвечающего за домены .GOOGLE, .ZIP, .ADS, .APP, .HOW и .SOY. Код адаптирован для работы под управлением платформы Google App Engine. Работа над проектом началась в 2011 году, после того как организация ICANN начала продавать домены первого уровня. Nomulus включает в себя реализацию всех необходимых компонентов, которые упомянутых в требованиях организации ICANN к регистраторам доменов первого уровня. В том числе, предоставляется поддержка протокола EPP (Extensible Provisioning Protocol), … Читать далее Google открыл код ПО для регистраторов доменов первого уровня

Проект Mozilla опубликовал предупреждение о скором прекращении поддержки сертификатов, заверенных с использованием алгоритма хэширования SHA-1, для которого выявлен ускоренный метод подбора коллизий. По статистике Firefox Telemetry с мая 2016 года использование SHA-1 на сайтах сократилось с 3.5% до 0.8%. Напомним, что в октябре 2015 года около 25% сайтов использовали для HTTPS сертификаты, заверенные с помощью SHA-1. Начиная с выпуска Firefox 51, который намечен на 24 января, будет постепенно внедряться выборочная блокировка SHA-1 — для небольшого процента пользователей при обращении к сайтам, использующим сертификаты с SHA-1, будет выводиться ошибка и соединение будет помечаться незащищённым. Если не возникнет непредвиденных проблем, в дальнейшем … Читать далее В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1

Представлен второй выпуск основной стабильной ветки nginx 1.10.2, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.10 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Внесено изменение, улучшающее совместимость с некоторыми HTTP/2-клиентами в случае использования клиентских сертификатов. При попытке запросить виртуальный сервер, отличающийся от согласованного в процессе SSL handshake, теперь возвращается ответ «421 Misdirected Request»; HTTP/2-клиенты теперь могут сразу присылать тело запроса. Директива «http2_body_preread_size» позволяет указать размер буфера, который будет использоваться до того, как nginx начнёт читать тело; Исправлена ошибка где в рабочем процессе мог произойти segmentation fault при использовании протокола … Читать далее Обновление nginx 1.10.2

Компания Canonical представила новый сервис Canonical Livepatch Service, в рамках которого для пользователей Ubuntu началось распространение обновлений с устранением опасных уязвимостей в ядре Linux, которые применяются к работающей системе налету, позволяя избежать простоя в работе из-за перезагрузки. В настоящее время формирование live-патчей началось для 64-разрядных сборок Ubuntu 16.04. Для внесения исправлений в ядро без перезагрузки и остановки работы задействована технология livepatch, предоставляющая аналогичные возможности, что и kpatch от компании Red Hat и kGraft от компании SUSE. В livepatch также используется метод замены функций в ядре и перенаправление на новую функцию при помощи штатной подсистемы ftrace. Патч оформляется в виде модуля … Читать далее Для Ubuntu введён в строй механизм обновления ядра без перезагрузки

9 ноября в аудитории №1 Научно-исследовательского корпуса СПБГУ им. Петра Великого состоится тематическая встреча с участием технических специалистов компании «Перкона» (Percona). Требуется предварительная регистрация. Вниманию аудитории предлагаются два доклада, охватывающие различные аспекты работы с СУБД MySQL: Методы и инструменты повышения производительности в MySQL 5.6 и 5.7 (Н.Ихалайнен) Pquery — открытый бесплатный инструмент стресс-тестирования MySQL-серверов от Percona (А. Бычко). Читать далее 9 ноября в Санкт-Петербурге состоится мероприятие MySQL Meetup

Опубликован корректирующий выпуск инструментария Tor 0.2.8.9, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, которая позволяет удалённому атакующему инициировать крах скрытого сервиса, шлюза, узла авторизации или клиента Tor. Проблема вызвана некорректной обработкой данных, содержащих символы с нулевым кодом. Исправление также вошло в состав тестового выпуска 0.2.9.4-alpha. Читать далее Обновление Tor 0.2.8.9 с устранением DoS-уязвимости

Состоялся релиз i2pd 2.10 (I2P Daemon), полнофункциональной реализации клиента I2P на языке C++ Исходный код проекта распространяется под модифицированной лицензией BSD, бинарные сборки подготовлены для Debian, Ubuntu, macOS, FreeBSD, Android и Windows. I2P (Невидимый Интернет Протокол) — это универсальный анонимный сетевой уровень, все соединения в котором анонимны и используют сквозное (end-to-end) шифрование, а участники не раскрывают свои настоящие IP адреса. I2P-клиент — это программа для построения и использования анонимных I2P-сетей. Подобные сети обычно используются для анонимных peer-to-peer приложений (файлообмен, криптовалюты) и для анонимных клиент-серверных приложений (вебсайты, мессенджеры, чат-серверы). I2P позволяет людям со всего мира общаться и делиться информацией без ограничений. … Читать далее Состоялся релиз i2pd 2.10, полнофункциональной реализации I2P-клиента на языке C++

Организация Linux Foundation представила новый совместный проект JS Foundation, который будет выступать площадкой для сотрудничества и развития различных открытых проектов, связанных с использованием языка JavaScript. В JS Foundation планируется поддерживать лучшие решения и продвигать высококачественные стандарты разработки серверных и клиентских проектов на JavaScript. В рамках инициативы также запущена программа наставничества (Mentorship Program), нацеленная на усиление сотрудничества и стабильности в сообществе разработчиков на JavaScript. В число кураторов, оказывающих поддержку JS Foundation, вошли компании IBM, Samsung, Bocoup, Ripple, Sauce Labs, Sense Tecnic Systems, SitePen, StackPath, WebsiteSetup, а также Вестминстерский университет. Присоединившиеся к JS Foundation компании передали для совместной разработки некоторые свои проекты, … Читать далее Linux Foundation представил инициативу по развитию открытых JavaScript-проектов

Компания Google представила выпуск языка программирования Dart 1.20, который позиционируется как язык структурированного программирования для Web, обладает похожим на Java синтаксисом, не требует явного определения типов и может использоваться для создания серверных и клиентских приложений. Для запуска внутри браузера код на языке Dart компилируется в представление JavaScript, для выполнения серверных приложений развивается специальная виртуальная машина Dart VM. Код связанных с языком компонентов распространяется под лицензией BSD. Для упрощения разработки на языке Dart поставляется SDK, включающий в себя компилятор в JavaScript — dart2js, виртуальную машину Dart VM, пакетный менеджер pub, статический анализатор кода dart_analyzer, набор библиотек, интегрированная среда разработки DartPad и … Читать далее Выпуск языка программирования Dart 1.20

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал результаты аудита безопасности проекта VeraCrypt, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. Аудит выполнен компанией QuarksLab на средства, пожертвованные проектами DuckDuckGo и VikingVPN. Работа была сосредоточена на анализе исправлений и дополнений, внесённых в VeraCrypt, так как оригинальный код TrueCrypt уже несколько раз был подвергнут аудиту. В результате проверки обнаружено 36 уязвимостей, специфичных для VeraCrypt, из которых 8 получили статус критических, 3 отнесены к категории умеренных и 15 отмечены как незначительные. Большинство проблем затрагивают сторонние библиотеки сжатия и UEFI-загрузчик VeraCrypt. Наиболее опасная уязвимость … Читать далее Аудит VeraCrypt выявил 8 критических уязвимостей

Представлен дистрибутив Parrot 3.2, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложена полный iso-образ (3.9 Гб) и несколько специализированных сборок, размером от 1.6 до 3 Гб. Авторы Parrot попытались сформировать переносную лабораторию с окружением для экспертов в безопасности и криминалистов, делая основной акцент на средствах для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические средства и программы обеспечения приватного выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks. В качестве рабочего стола предлагается MATE. Читать далее Выпуск дистрибутива Parrot 3.2 с подборкой программ для проверки безопасности

Tencent, крупнейший интернет-провайдер в Китае, начал перевод некоторых своих разработок в разряд открытых проектов: Под лицензией BSD открыт код библиотеки Tinker, предназначенной для горячего наложения патчей на уже установленные приложения для платформы Android. Tinker позволяет организовать распространение обновлений для программ без необходимости переустановки APK-пакета. Поддерживается внесение изменений в исполняемые файлы DEX (Dalvik EXecutable), библиотеки и связанные с пакетом ресурсы. Под лицензией Apache 2.0 открыт код проекта libco, предоставляющего средства для использования сопрограмм (coroutine) в программах на языках C/C++. Библиотека широко используется на бэкендах (десятки тысяч серверов) популярной в Китае службы обмена сообщениями WeChat. Библиотека libco позволяет достаточно просто перевести приложения, … Читать далее Крупнейший китайский интернет-провайдер открыл код проектов tinker, libco и QTA

Сформирован релиз легковесного http-сервера lighttpd 1.4.42. В новой версии: Переписан фреймворк аутентификации (mod_auth), обновлён модуль аутентификации в LDAP (mod_authn_ldap) и представлены новые модули для аутентификации через GSS API (mod_authn_gssapi) и MySQL (mod_authn_mysql). В состав также включены новые модули mod_deflate, mod_geoip и mod_uploadprogress. В mod_fastcgi добавлена поддержка авторизатора. В mod_cgi реализована возможность запуска скриптов CGI, недоступных на чтение и обеспечен экспорт переменных окружения SSL_* для скриптов. В mod_scgi добавлена поддержка протокола UWSGI для WSGI-бэкендов на языке Python. Читать далее Релиз http-сервера lighttpd 1.4.42

Сформированный в августе стартап Attic Labs, в который вошли разрабочики, ранее участвовавшие в работе над Google Chrome, Chrome OS и ECMAScript, представил первые результаты разработки новой децентрализованной СУБД Noms, в которой осуществлена попытка применения идей Git для организации хранения и совместной работы над большими коллекциями структурированных данных. Сформировано два рабочих прототипа Noms, написанных на языках Go и JavaScript и распространяемых под лицензией Apache 2.0. Noms предоставляет пользователю типичные операции, свойственные Git, включая возможность контроля за версиями данных, создания форков БД, синхронизации изменений из разных БД, слияния БД и отслеживания истории изменений. СУБД автоматически сохраняет сведения о каждом изменении в БД, … Читать далее Представлена децентрализованная СУБД Noms, основанная на идеях Git

Опубликованы корректирующие выпуски языка программирования PHP 7.0.12 и 5.6.27, в которых внесено 52 изменения, в том числе устранено несколько уязвимостей. Из связанных с безопасностью исправлений выделяются переполнения буферов в функциях virtual_popen(), password_verify() и number_format(), обращений к уже освобождённым блокам памяти в функции unserialize(), некорректная работа crypt при указании слишком длинной соли, устранение серии уязвимостей в библиотеках GD, PCRE и OpenSSL. Возможно исправлены и другие проблемы с безопасностью, так как уязвимости явно не отделяются от ошибок и не выделены в публикуемом на сайте PHP списке изменений. Из связанных с PHP материалов также можно отметить отчёт о переходе на PHP 7 сайта … Читать далее Корректирующие выпуски PHP 5.6.27 и 7.0.12. Dailymotion перешёл на PHP 7

Доступен релиз SQLite 3.15.0, легковесной базы данных, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Основные новшества: Добавлен новый тип значений — ряды (row value), позволяющий задавать упорядоченные списки из двух и более скалярных значений. Например, «SELECT (1,2,3) IN (SELECT * FROM t1)»; Реализована возможность указания детерминированных функций, всегда выдающих на выходе одно неизменное значение для того же набора аргументов на входе, внутри выражения WHERE … Читать далее Релиз СУБД SQLite 3.15.0

Опубликованы корректирующие выпуски языка программирования PHP 7.0.11 и 5.6.27, в которых внесено 52 изменения, в том числе устранено несколько уязвимостей. Из связанных с безопасностью исправлений выделяются переполнения буферов в функциях virtual_popen(), password_verify() и number_format(), обращений к уже освобождённым блокам памяти в функции unserialize(), некорректная работа crypt при указании слишком длинной соли, устранение серии уязвимостей в библиотеках GD, PCRE и OpenSSL. Возможно исправлены и другие проблемы с безопасностью, так как уязвимости явно не отделяются от ошибок и не выделены в публикуемом на сайте PHP списке изменений. Из связанных с PHP материалов также можно отметить отчёт о переходе на PHP 7 сайта … Читать далее Корректирующие выпуски PHP 5.6.27 и 7.0.11. Dailymotion перешёл на PHP 7

Исследователь безопасности Willem de Groot опубликовал результаты анализа применения в сети вредоносного JavaScript-кода, нацеленного на перехват содержимого форм ввода для кражи номеров кредитных карт. Исследование показало, что скимминг в сети усиленно набирает обороты — по сравнению с прошлым годом число сайтов, на которых встречается вредоносный JavaScript-код, возросло на 69%. Сканирование представленных в сети 255 тысяч интернет-магазинов позволило выявить 5925 поражённых вредоносным ПО сайтов, которые могут стать источником утечки данных о параметрах кредитных карт клиентов. В качестве одного из способов распространения вредоносного ПО упоминается эксплуатация неисправленных критических уязвимостей в движке электронной коммерции Magento. Выявлено несколько вариантов размещаемого после взлома вредоносного кода, … Читать далее Более 5900 интернет-магазинов поражены вредоносным ПО для перехвата номеров кредитных карт

Доступен очередной экспериментальный выпуск открытой реализации Win32 API — Wine 1.9.21. С момента выпуска версии 1.9.20 было закрыто 18 отчётов об ошибках. Наиболее важные изменения: Начальная версия мини-драйвера HID; Поддержка списков в элементе ввода RichEdit; Улучшение работы системного лотка; Закрыты отчёты об ошибках, связанные с работой игр и приложений: eSignal 12.1, RichEdit, Elminage Gothic, Illustrator CS6, regedit, Hornbill Supportworks Client 7.6.0, Battle.net. Читать далее Выпуск Wine 1.9.21

Проекту KDE исполнилось 20 лет. В день двадцатилетия по всему миру будут проводиться праздничные мероприятия и встречи пользователей KDE. К празднику также приурочено несколько интересных инициатив. Энтузиасты из команды KDE Restoration Project попытались подготовить тему оформления в стиле KDE 1 для Plasma 5, но пошли дальше и портировали оригинальный KDE 1.1.2 для работы в современных окружениях дистрибутивов Linux. Кодовая база KDE 1 адаптирована для сборки современными компиляторами и переведена на сборочный инструментарий Cmake. Исторический код помещён в в штатные git-репозитории KDE, что позволяет любому желающему собрать KDE 1, воспользовавшись репозиториями qt1, kde1-kdelibs и kde1-kdebase. Для Fedora 25 собраны установочные пакеты … Читать далее Проект KDE отметил своё двадцатилетие повторным выпуском KDE 1

Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые соединения, привязываясь к localhost. Уязвимость позволяет организовать выполнение кода на машине разработчика при открытии в браузере на той же машине специально оформленной web-страницы. Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень безопасности и не позволяет обратиться к данному сервису из внешне сети. Тем временем, всё больше программ используются Web API и HTTP в своих сервисах. Если подобные сервис запущен на машине разработчика, то у атакующего появляется возможность отправки запросов к данным локальным сервисам через манипуляции … Читать далее Уязвимость в Guile, затрагивающая программы, привязанные к localhost