Обновление Firefox 53.0.2 и 52.1.1

Доступны корректирующие выпуски Firefox 53.0.2 и 52.1.1 в которых устранена уязвимость (CVE-2017-5031) во входящей в комплект библиотеке ANGLE, обеспечивающей работу WebGL поверх специфичных для разных систем API (транслирует вызовы OpenGL ES в OpenGL, Direct3D 9 и Direct3D 11). Проблема проявляется только на платформе Windows и связана с обращением к уже освобождённому блоку памяти в реализации API Buffer11, что можно использовать для инициирования краха (чтение из области вне границ буфера) при открытии специально оформленного контента WebGL. В выпуске Firefox 53.0.2 также устранена ошибка с выводом предупреждения о некорректном заполнении полей с датами и email (input type=»email» и type=»date»). Кроме того, изменено … Читать далее Обновление Firefox 53.0.2 и 52.1.1

Открыт код Postal, платформы для управления почтовым трафиком web-серверов

Компания aTech Media открыла исходные тексты платформы Postal, предназначенной для контроля доставки и приёма сообщений по электронной почте в процессе работы сайтов и web-серверов, в том числе для организации отправки писем с кодами подтверждения регистрации и восстановления паролей. Postal сочетает функции почтового сервера и интерфейса для анализа, классификации и обработки корреспонденции. Код написан на языке Ruby и распространяется под лицензией MIT. Для хранения данных используется MySQL или MariaDB. Проект можно рассматривать как аналог пропретарных облачных продуктов Sendgrid, Mailgun и Postmark, предназначенный для развёртывания на собственном оборудовании. Предусмотрен интерфейс для работы с архивом сообщений и просмотра очередей доставки входящих и исходящих … Читать далее Открыт код Postal, платформы для управления почтовым трафиком web-серверов

Второй кандидат в релизы Devuan, форка Debian без systemd

Началось тестирование второго кандидата в релизы дистрибутива Devuan Jessie 1.0, форка Debian GNU/Linux 8.0 «Jessie», поставляемого без системного менеджера systemd. Если будут выполнены критерии качества, то на следующей стадии кодовая база будет переведена в состояние первого стабильного релиза, для которого будет обеспечен длительный цикл поддержки (LTS). Для загрузки подготовлены сборки (minimal 305 Мб, install 645 Мб и live 832 Мб) для архитектур AMD64 и i386, а также образы для устройств на базе архитектуры ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и др.). Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. По сравнению с первым кандидатом … Читать далее Второй кандидат в релизы Devuan, форка Debian без systemd

Представлен SRT, открытый протокол для потоковой передачи видео

Компании Haivision и Wowza, развивающие платформы для организации потокового видеовещания, учредили организацию SRT Alliance, нацеленную на продвижение нового открытого транспортного протокола SRT для безопасной доставки высококачественного потокового видео с минимальными задержками. Код эталонной реализации клиентской и серврной части SRT написан на языке Си и открыт под лицензией LGPLv2. Для добавления поддержки SRT в приложения подготовлена разделяемая библиотека. В отличие от передачи видео абонентам кабельных сетей, доставка потокового видео через обычный интернет сопряжена с рядом проблем, связанных с усложнениями при построении сетевой инфраструктуры, кэшировании CDN-сетями и перекодированием видео, а также возможными сетевыми перегрузками в области «последней мили«. Протокол SRT разработан для … Читать далее Представлен SRT, открытый протокол для потоковой передачи видео

Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль над аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4. Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER[‘SERVER_NAME’], значение … Читать далее Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

Квадрокоптеры UDI предоставляют полный доступ к системе через анонимный FTP

Юния Валенте (Junia Valente) обратила внимание на полное отсутствие защиты (CVE-2017-3209) в квадрокоптерах компании DBPOWER, оснащённых HD-камерой и встроенной точкой беспроводного доступа. Устройство создавало открытую WiFi-сеть, подключившись к которой можно не только перехватить снимаемый камерой видеопоток, но и получить полный доступ к SD-карте устройства, в том числе к системным файлам и сохранённым видео- и фото-материалам. Для атаки достаточно подключиться к предоставляемой устройством публичной беспроводной сети и зайти на устройство по FTP, который поддерживает анонимный вход без пароля. Предоставляемый по FTP анонимный доступ осуществляется под пользователем root и позволяет изменять системные файлы. Например, показано, как можно при помощи команды «curl -T … Читать далее Квадрокоптеры UDI предоставляют полный доступ к системе через анонимный FTP

В конце июня в Беларуси пройдёт конференция LVEE 2017

22-25 июня под Гродно пройдет тринадцатая международная конференция разработчиков и пользователей свободного ПО «Linux Vacation / Eastern Europe» . Мероприятие объединяет общение и отдых специалистов и энтузиастов в области свободного ПО, включая платформу GNU/Linux, но не ограничиваясь ею. Формат конференции включает доклады, краткие выступления и workshop’ы; возможны также круглые столы и код-спринты. Тематика — разработка, сопровождение, внедрение, администрирование свободного ПО, особенности свободных лицензий. Конференция охватывает широкий круг платформ – от рабочих станций и серверов до встраиваемых систем и мобильных устройств. К началу конференции планируется издание печатного сборника. Как обычно в это время, LVEE пройдёт на турбазе Химик посреди лесного заказника, … Читать далее В конце июня в Беларуси пройдёт конференция LVEE 2017

Уязвимость в реализации NFS-сервера, поставляемой в ядре Linux

В сервере NFS (NFSv2 и NFSv3), входящем в состав ядра Linux, выявлена удалённо эксплуатируемая уязвимость (CVE-2017-7895), позволяющая прочитать содержимое произвольных областей памяти ядра и пространства пользователя (от 1 до 4 Мб) через отправку специально оформленных запросов к NFS. Для успешного проведения атаки необходимо наличие доступного на запись NFS-раздела, примонтированного в системе с которой совершается атака. Проблема вызвана ошибкой, внесённой при добавлении изменения в код fs/nfsd более 10 лет назад (при подготовке ядра 2.6.22). Уязвимость устранена в выпусках 4.11 и 4.10.13. В дистрибутивах проблема пока остаётся неисправленной (Debian, RHEL, Ubuntu, SUSE). Читать далее Уязвимость в реализации NFS-сервера, поставляемой в ядре Linux

Релиз графического тулкита wxWidgets 3.0.3

Представлен новый стабильный выпуск кроссплатформенного тулкита wxWidgets 3.0.3, позволяющего создавать графические интерфейсы для Linux, Windows, macOS, UNIX и мобильных платформ. Выпуск полностью совместим с wxWidgets 3.0.0 на уровне API и ABI и содержит большую порцию исправлений важных недоработок и ошибок. Кроме того, в новой версии добавлена возможность компиляции при помощи MinGW 4.9 и 5, реализована поддержка платформ macOS 10.10+, обеспечена совместимость с GStreamer 1.0 (ранее поддерживались только выпуски 0.x), в wxGTK устранены недоработки в поддержке GTK+ 3, в wxGLCanvas обеспечен запрос современных версий OpenGL (3.x+). Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library Licence, одобренной Фондом … Читать далее Релиз графического тулкита wxWidgets 3.0.3

Выпуск мультимедийного фреймворка GStreamer 1.12

Состоялся релиз GStreamer 1.12, написанного на языке Си кроссплатформенного набора компонентов для создания широкого спектра мультимедиа приложений, от медиаплееров и конвертеров аудио/видео файлов, до VoIP-приложений и систем потокового вещания. Код GStreamer распространяется под лицензией LGPLv2.1. Одновременно доступны обновления плагинов gst-plugins-base 1.12, gst-plugins-good 1.12, gst-plugins-bad 1.12, gst-plugins-ugly 1.12, а также обвязка gst-libav 1.12 и сервер потокового вещания gst-rtsp-server 1.12. На уровне API и ABI новый выпуск обратно совместим с веткой 1.0. Бинарные сборки в скором времени будут подготовлены для Android, iOS, macOS и Windows (в Linux рекомендуется использовать пакеты из дистрибутива). Ключевые улучшения GStreamer 1.12: Новый плагин msdk, позволяющий использовать Intel … Читать далее Выпуск мультимедийного фреймворка GStreamer 1.12

Выпуск Redisson 2.9.0 и 3.4.0, In-Memory Data Grid для Java

Выпущены новые версии фреймворка Redisson, основанного на Redis и представляющего полный набор Java-объектов и сервисов, которые необходимы для создания распределенных приложений. Код проекта написан на языке Java и поставляется под лицензией Apache 2.0. Redisson может работать с любыми конфигурациями Redis: Master/Slave, Sentinel, Cluster, а также в облачной инфраструктуре AWS Elasticache и Azure Redis Cache. Предоставляется более 30 распределенных объектов, коллекций, локов и сервисов. Также есть интеграция с Tomcat, Hibernate и Spring. В версиях 2.9.0 и 3.4.0 появилась реализация фреймворка MapReduce для всех коллекций типа Map, List и Set. Читать далее Выпуск Redisson 2.9.0 и 3.4.0, In-Memory Data Grid для Java

Уязвимость, позволяющая получить контроль за WordPress через форму сброса пароля

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль за аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4. Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER[‘SERVER_NAME’], значение … Читать далее Уязвимость, позволяющая получить контроль за WordPress через форму сброса пароля

Проект Kryptonite развивает систему хранения закрытых ключей SSH на смартфоне

Представлен проект Kryptonite, предлагающий хранить закрытые ключи SSH на смартфоне, вместо размещения в файле ~/.ssh/id_rsa. Kryptonite состоит из двух частей — ssh-агента, запускаемого на стороне рабочих станций, и мобильного приложения для Android и iOS, занимающегося хранением ключей. Агент написан на языке Go и распространяется в исходных текстах, но лицензия на код пока не определена. Kryptonite может рассматриваться как подобие двухфакторной аутентификации для доступа к SSH-ключам. Все операции с ключами выполняются на смартфоне, а размещаемый на локальной системе агент лишь получает результат операции, выполненной на стороне смартфона с закрытым ключом. На локальной системе ключи не фигурируют ни в каком виде. Каждая … Читать далее Проект Kryptonite развивает систему хранения закрытых ключей SSH на смартфоне

Выпуск дистрибутива OpenIndiana 2017.04, продолжающего развитие OpenSolaris

После 6 месяцев разработки представлен релиз свободного дистрибутива OpenIndiana 2017.04, пришедшего на смену бинарному дистрибутиву OpenSolaris, развитие которого было прекращено компанией Oracle. OpenIndiana предоставляет пользователю рабочее окружение, построенное на базе свежего среза кодовой базы проекта Illumos. Непосредственно разработка технологий OpenSolaris продолжается проектом Illumos, в котором развивается ядро, сетевой стек, файловые системы, драйверы, а также базовый набор пользовательских системных утилит и библиотек. Для загрузки сформировано три вида iso-образов — серверная редакция с консольными приложениями (639 Мб), минимальная сборка (383 Мб) и сборка с графическим окружением MATE (1.5 Гб). Основные изменения в OpenIndiana 2017.04: В USB-стек добавлена поддержка устройств USB 3.0; Переработан … Читать далее Выпуск дистрибутива OpenIndiana 2017.04, продолжающего развитие OpenSolaris

Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения

В гипервизоре Xen выявлены три уязвимости (XSA-213, XSA-214 и XSA-215), каждая из которых позволяет выйди за пределы текущего гостевого окружения. Уязвимости также могут использоваться для обхода механизмов изоляции в ОС Qubes. Проблемы выявлены исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей. Исправления пока доступны в виде патчей. CVE-идентификатор пока не присвоен. Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации всех уязвимостей атакующий должен иметь доступ … Читать далее Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения

Существование SeaMonkey в условиях прекращения поддержки XUL в Firefox

Разработчики SeaMonkey поделились планами по дальнейшей разработке проекта, в условиях прекращения поддержки XUL-дополнений в ноябрьском выпуске Firefox 57 и полном переходе Mozilla на WebExtensions. XUL является ключевой технологией при построении интерфейса SeaMonkey и для перехода на WebExtensions требуется почти полная переработка проекта. SeaMonkey поддерживается небольшой группой энтузиастов (7 основных разработчиков), которые занимаются поддержанием проекта в своё свободное время и не имеют ресурсов для выполнения портирования на WebExtensions или создания форка кода для поддержки XUL. Ситуация такова, что имеющаяся команда кое-как справляется с сопровождением текущей кодовой базы и уход даже одного из ключевых участников скорее всего приведёт к невозможности поддерживать проект. … Читать далее Существование SeaMonkey в условиях прекращения поддержки XUL в Firefox

Выпуск LibreSSL 2.5.4 с устранением уязвимости

Разработчики проекта OpenBSD опубликовали выпуск переносимой редакции пакета LibreSSL 2.5.4, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. В новой версии: Отменено изменение, привязавшее код возврата и код ошибки при выполнении callback-обработчиков верификации сертификатов, что нарушало документированный API и приводило к пропуску проверки сертификатов в nginx и некоторых других программах (CVE-2017-8301); Реализация вызова getrandom() в Linux переведена на работу в неблокирующем режиме с задействованием запасного обработчика в случае сбоя, что позволяет … Читать далее Выпуск LibreSSL 2.5.4 с устранением уязвимости

Выпуск операционной системы Chrome OS 58

Компания Google представила релиз операционной системы Chrome OS 58, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 58. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 58 доступна для всех актуальных моделей Chromebook, за исключением Acer Chromebase 24, Acer Chromebook R11, AOpen Chromebase Mini, AOpen Chromebox Mini, Google Chromebook Pixel (2015), ASUS Chromebook Flip C100PA, Dell Chromebook 11 (3120), Lenovo ThinkPad 11e Chromebook и Samsung Chromebook Plus. Энтузиастами сформированы неофициальные … Читать далее Выпуск операционной системы Chrome OS 58

Доступен Neovim 0.2, модернизированный вариант редактора Vim

После полутора лет разработки сформирован релиз Neovim 0.2, ответвления от редактора Vim, сфокусированного на повышении расширяемости и гибкости. В рамках проекта Neovim уже более трёх лет проводится агрессивная переработка кодовой базы Vim, в результате которой вносятся изменения, упрощающие сопровождение кода, предоставляющие средства разделения труда между несколькими мэйнтейнерами, отделяющие интерфейс от базовой части (интерфейс можно менять не трогая внутренности) и реализующие новую расширяемую архитектуру на основе плагинов. Из проблем Vim, побудивших к созданию Neovim, отмечается раздутая монолитная кодовая база, состоящая более чем из 300 тысяч строк кода на языке Си (C89). Во всех нюансах кодовой базы Vim разбирается всего несколько человек, … Читать далее Доступен Neovim 0.2, модернизированный вариант редактора Vim

Представлен открытый гипервизор Jailhouse 0.7, развиваемый компанией Siemens

Увидел свет свободный гипервизор Jailhouse 0.7, развиваемый компанией Siemens. Гипервизор поддерживает работу на системах x86_64 с расширениями VMX+EPT или SVM+NPT (AMD-V), а также на процессорах ARMv7 (Banana Pi, NVIDIA Jetson TK1, Versatile Express с Cortex-A15 или A7) и ARMv8/ARM64 (AMD Seattle, LeMaker HiKey, NVIDIA Jetson TX1, Xilinx ZCU102 ) с расширениями для виртуализации. Код проекта распространяется под лицензией GPLv2. Гипервизор реализован в виде модуля для ядра Linux и обеспечивает виртуализацию на уровне ядра. Для управления изоляцией используются предоставляемые современными CPU аппаратные механизмы виртуализации. Отличительными особенностями Jailhouse являются легковесная реализация и ориентация на привязку виртуальных машин к фиксированному CPU, области ОЗУ … Читать далее Представлен открытый гипервизор Jailhouse 0.7, развиваемый компанией Siemens

Релиз Lpro 1.4.3, инструмента для проверки лицензий программ

Доступен новый выпуск экспертной системы для проверки лицензий установленных программ, которая отображает лицензию, условия распространения, примерную стоимость (если программа платная) и свободно распространяемую замену (если есть). Интерфейс полностью на русском языке. Работает на операционных системах семейства Windows. Код распространяется под лицензией GPLv3. Функциональные возможности Lpro: Поиск платных, условно-бесплатных и свободных программ на компьютере; Поиск программ по названию в базе данных; Поиск следов программ в указанной папке; Просмотр информации об установленных на компьютере программах; Подбор свободно-распространяемой замены; Сортировка результатов поиска (по названию, по типу, по лицензии, по стоимости, по замене); Экспорт результатов поиска в HTML и CSV; Передача результатов поиска в … Читать далее Релиз Lpro 1.4.3, инструмента для проверки лицензий программ