Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила релиз HTTPS Everywhere 5.0 — дополнения к Firefox и Chrome, позволяющего на всех сайтах, где это возможно, использовать шифрование трафика. Дополнение призвано решить проблему с сайтами, по умолчанию предоставляющими доступ без шифрования, но, тем не менее, поддерживающими HTTPS, а также ресурсами, использующими ссылки из безопасной области на незашифрованные страницы. Для таких сайтов HTTPS Everywhere обеспечивает автоматическое перенаправление запросов на HTTPS-области сайтов. Среди добавленных улучшений можно отметить значительное расширение базы правил перенаправления (добавлено несколько тысяч новых правил), поддержку многопроцессных сборок Firefox (electrolysis), добавление перевода на украинский язык, реализацию автоматизированной системы тестирования правил, появление … Читать далее Организация EFF представила HTTPS Everywhere 5.0

Под видом первоапрельской шутки разработчики Magic Lantern, расширяющего функциональность дополнения для фотоаппаратов Canon, объявили об обеспечении загрузки Linux на цифровых зеркальных фотоаппаратах Canon EOS. Но шутка состояла в том, что это не шутка и пользователям действительно была предоставлена возможность загрузки Linux. В качестве мотива портирования Linux для камеры названо желание более глубоко разобраться с работой аппаратной начинки, добиться полного низкоуровневого доступа к сенсорам и привлечь новых участников в сообщество. Для установки подготовлен специальный загрузчик и минимальный системный образ, который пока включает ядро Linux 3.19, систему инициализации и простейшее консольное приложение, выводящее отладочную информацию. Система запускается с SD-карты, без замены штатной … Читать далее Энтузиасты загрузили Linux на цифровых зеркальных фотоаппаратах Canon

Доступен очередной экспериментальный выпуск открытой реализации Win32 API — Wine 1.7.40. С момента выпуска версии 1.7.39 было закрыто 29 отчётов об ошибках. Наиболее важные изменения: Поддержка Kernel Job Objects (API *JobObject), позволяющих сгруппировать процессы и обеспечить их выполнение в изолированном sandbox-окружении; Налажена работа элемента управления ListView; Улучшена поддержка использования данных OOB (out-of-band) в Windows Sockets; Поддержка DIB-изображений в кэше данных OLE; Улучшена поддержка патчей MSI; Решены проблемы с определением прав доступа к файлу через ACL; Закрыты отчёты об ошибках, связанные с работой игр и приложений: InqScribe, CDBurnerXP 3.0.x, World Series of Poker, SEGA Genesis, Microsoft Visio 2007-2010, Air Video Server … Читать далее Выпуск Wine 1.7.40

Проект Open Crypto Audit Project (OCAP), объявил о завершении второй стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt. Несмотря на то, что проект Truecrypt был закрыт разработчиками (ему на смену пришел форк CipherShed), его независимый аудит был доведён до конца, чтобы развеять сомнения в наличии бэкдоров, позволяющих спецслужбам получить доступ к зашифрованным данным. Первая стадия аудита, выполненная в апреле прошлого года и не выявившая существенных проблем, была посвящена изучению исходных текстов проекта. На второй стадии выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Судя по опубликованному отчёту, на второй стадии также не было выявлено критических проблем … Читать далее Аудит алгоритмов TrueCrypt не выявил значительных проблем

Роберт Грэм (Robert Graham) из команды Errata Security, получивший известность как разработчик сверхпроизводительного DNS-сервера robdns и системы masscan, способной за пять минут просканировать порты всех хостов в Сети, опубликовал результаты исследования источника подстановки вредоносных JavaScript-блоков, применяемых для DDoS-атаки на GitHub. Исследование подтвердило, что модификация трафика производится на оборудовании «Великого китайского файрвола» или в непосредственной близости от него, в частности в инфраструктуре магистральной опорной сети крупнейшего китайского провайдера China Unicom. Пока непонятно санкционирована ли атака китайскими властями или она стала возможной в результате взлома инфраструктуры сети China Unicom третьими лицами. Для определения точки подстановки трафика был использован довольно интересный метод, основанный … Читать далее Анализ TTL помог выявить источник DDoS-атаки на GitHub

Компания Google развернула борьбу с сомнительными браузерными дополнениями, выполняющими подстановку своей рекламы в просматриваемые пользователем страницы. Ситуация с такими дополнениями оказалась гораздо серьёзнее, чем казалось на первый взгляд. Проведённое исследование показало, что подстановщики рекламы установлены примерно у 5% пользователей, посещающих сайты Google. При этом у половины из данных пользователей установлено два подстановщика рекламы, а у трети пользователей — четыре подстановщика. Основным источником данных дополнений является установка программ с непроверенных сайтов, на которых в комплекте с целевым приложением прикрепляется несколько рекламных дополнений. Например, набрав «download firefox», в верхней части выдачи Google можно найти несколько подобных сайтов-каталогов для загрузки программ. Подобные дополнения, … Читать далее Каждый двадцатый браузер посетителя сайтов Google поражён подстановщиками рекламы

В СУБД Apache Cassandra выявлена уязвимость (CVE-2015-0225), допускающая выполнение произвольного кода на сервере. Атака может быть осуществлена удалённо без выполнения аутентификации. Проблема обусловлена тем, что интерфейс JMX/RMI, предназначенный для передачи и удалённого выполнения сериализованного Java-кода, привязывается ко всем сетевым интерфейсам без какой-либо аутентификации. Пользователям веток 2.0.x и 2.1.x рекомендуется обновить свои системы до версий 2.0.14 и 2.1.4, пользователям ветки 1.2.x рекомендовано перейти на поддерживаемую ветку. При невозможности обновления пользователям рекомендовано вручную настроить шифрование и аутентификацию для JMX/RMI в соответствии с рекомендациями. Читать далее Опасная уязвимость в Apache Cassandra

Организация The Document Foundation объявила о выходе LibreOffice 4.4.2, второго корректирующего выпуска из семейства LibreOffice 4.4 «fresh». Обновление включает более 50 исправлений. Версия 4.4.2 отмечена как стабильная и пригодная для всех категорий пользователей. Читать далее Обновление LibreOffice 4.4.2

После семи месяцев разработки вышла стабильная версия популярного фреймворка Django 1.8, написанного на языке Python и предназначенного для разработки веб-приложений. Django 1.8 отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которых выпускаются как минимум в течение трёх лет. Поддержка Django 1.7 и Django 1.4 LTS продлится до октября 2015 года, выпуск обновлений для ветки Django 1.6 прекращён. В новой версии: Обеспечена встроенная поддержка подключения различных шаблонизаторов. Из коробки доступен базовый язык шаблонов Django и шаблонизатор Jinja2. В одном проекте можно использовать одновременно несколько разных шаблонизаторов; Предоставлены средства для выполнения сложных SQL запросов через ORM; Формализован API для Model._meta; … Читать далее Релиз web-фреймворка Django 1.8

Проект Open Crypto Audit Project (OCAP), объявил о завершении второй стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt. Несмотря на то, что проект Truecrypt был закрыт разработчиками (ему на смену пришел форк CipherShed), его независимый аудит был доведён до конца, чтобы развеять сомнения в отсутствии бэкдоров, позволяющих спецслужбам получить доступ к зашифрованным данным. Первая стадия аудита, выполненная в апреле прошлого года и не выявившая существенных проблем, была посвящена изучению исходных текстов проекта. На второй стадии выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Судя по опубликованному отчёту, на второй стадии также не было выявлено критических проблем … Читать далее Криптоанализ TrueCrypt не выявил значительных проблем

Компания Oracle начала тестирование новой значительной ветки системы виртуализации VirtualBox 5.0, ключевым улучшением в которой является реализация работы в режиме паравиртуализации, подразумевающем использование гостевой системы, модифицированной для более тесного взаимодействия с гипервизором и использующей специальные драйверы вместо эмуляции оборудования. Работа в режиме паравиртуализации даёт возможность существенно поднять производительность гостевой системы. Другие улучшения: Новая модульная архитектура звуковой подсистемы, обеспечивающая более высокий уровень абстракции относительно звуковых бэкендов хост-системы; Предоставление гостевым системам, выполняемым с привлечением механизмов аппаратной виртуализации, возможности использования расширенных наборов инструкций, таких как SSE 4.1, SSE4.2, AES-NI, POPCNT, RDRAND и RDSEED; В виртуальном контроллере xHCI добавлена поддержка устройств с интерфейсом USB … Читать далее Бета-выпуск VirtualBox 5.0 с поддержкой паравиртуализации

В порты FreeBSD добавлены компоненты гипервизора Xen, позволяющие использовать FreeBSD в качестве хост-системы (dom0) для запуска гостевых окружений. Для работы требуется процессор Intel с поддержкой EPT и IOMMU, а также сборка FreeBSD 11-Current с ревизией новее 1100055. В состав порта входит ядро Xen, прошивка seabios и инструментарий xl, позволяющий управлять работой гостевых систем. Информацию о настройке можно найти в специально подготовленной инструкции. Из недоработок можно отметить отсутствие возможности проброса PCI-устройств и заморозки/миграции гостевых систем. Работа Xen осуществляется в режиме PVH, который комбинирует элементы режимов паравиртуализации (PV) и полной виртуализации (HVM). С одной стороны в данном режиме применяется полная виртуализация на … Читать далее Во FreeBSD Current реализована работа Xen dom0

Компания Google приняла решение исключить из списка заслуживающих доверия корневых сертификатов удостоверяющий центр CNNIC, который был уличен в передаче промежуточного корневого сертификата сторонней компании для организации перехвата HTTPS-трафика сотрудников. По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов, приводящих к ненадлежащему использованию сертификатов. Для сглаживания данного решения, на ограниченное время сертификаты клиентов CNNIC будут помещены в белый список и продолжат помечаться заслуживающими доверия в Chrome. Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов. В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих … Читать далее В Chrome будет прекращено доверие к сертификатам удостоверяющего центра CNNIC

Компания Google развернула борьбу с сомнительными браузерными дополнениями, выполняющими подстановку своей рекламы в просматриваемые пользователем страницы. Ситуация с такими дополнениями оказалась гораздо серьёзнее, чем казалось на первый взгляд. Проведённое исследование показало, что подстановщики рекламы установлены примерно у 5% пользователей, посещающих сайты Google. При этом у половины из данных пользователей установлено два подстановщика рекламы, а у трети пользователей — четыре подстановщика. Основным источником данных дополнений является установка программ с непроверенных сайтов, на которых в комплекте с целевым приложением прикрепляется несколько рекламных дополнений. Например, набрав «download firefox» в верхней часты выдачи Google можно найти несколько подобных сайтов-каталогов для загрузки программ. Подобные дополнения, … Читать далее Около пяти процентов посетителей сайтов Google поражены подстановщиками рекламы

После полутора лет разработки увидел свет релиз новой стабильной ветки БД Redis 3.0, относящейся к классу NoSQL-систем и развиваемой при содействии компании VMware. Redis предоставляет похожие на Memcached функции для хранения данных в формате ключ/значение, расширенные поддержкой структурированных форматов данных, таких как списки, хэши и множества, а также возможностью выполнения на стороне сервера скриптов-обработчиков на языке Lua. В отличие от Memcached, Redis обеспечивает постоянное хранение данных на диске и гарантирует сохранность БД в случае аварийного завершения работы. Исходные тексты проекта распространяются в рамках лицензии BSD. Клиентские библиотеки доступны для большинства популярных языков, включая Perl, Python, PHP, Java, Ruby и Tcl. … Читать далее Выпуск БД Redis 3.0

Александр Ларсон (Alexander Larsson), активный разработчик GNOME и сопровождающий такие проекты, как Nautilus, Gnome-vfs и Dia, представил первый выпуск GNOME SDK runtime и инструментария xdg-app, предназначенного для организации распространения графических приложений в самодостаточных контейнерах, не привязанных к конкретному дистрибутиву Linux и надёжно изолирующих приложение от остальной системы. Контейнеры позволяют упростить распространение сторонних программ, не входящих в штатные репозитории дистрибутивов, за счет подготовки одного универсального контейнера без формирования отдельных сборок для каждого дистрибутива. Изолированное окружение формируется из двух компонентов: типового системного окружения (runtime), устанавливаемого через специальный репозиторий, и дополнительных зависимостей (bundle), связанных с приложением. В сумме runtime и bundle образуют начинку … Читать далее Первый выпуск инструментария для запуска приложений GNOME в изолированных контейнерах

Подборка первоапрельских шуток: Distrowatch распространил шутку про то, что проект systemd создал форк ядра Linux. На GitHub был создан новый репозиторий github.com/systemdaemon, в котором код systemd был совмещён с кодом ядра Linux. Был получен комментарий от вымышленного разработчика systemd, который пояснил, что форк создан из-за трудностей с взаимодействием с разработчиками ядра и проблемами с обеспечением совместимости systemd с разными версиями ядра, в то время как создание форка позволит полностью контролировать все ключевые компоненты Linux-стека. Примечательно, что так как выпуски дайджеста Distrowatch выходят раз в неделю по понедельникам, выпуск с первоапрельскими шутками пришелся на 30 марта и некоторые издания всерьёз восприняли … Читать далее Первоапрельские шутки 2015 года (дополнено)

После трёх месяцев разработки представлен выпуск свободного пакета 3D-моделирования Blender 2.74. Наиболее значительные улучшения: В движок рендеринга Cycles добавлен новый атрибут Pointness, похожий на инструмент работы с вертексным цветом «Dirty Vertex Colors»; Добавлены новые функции композитинга для вьюрпорта, «Структура проекта» (Outliner) теперь лучше справляется с датаблоками, не имеющими активных пользователей; Появился инструмент редактирования нормалей, добавлена возможность переноса слоёв данных между мешами; Серьёзно улучшена динамика и инструменты редактирования частиц, таких как волосы; Для режимов скульптурирования и рисования добавлен инструмент «Маска неровностей» (Cavity Mask); Проведена большая работа по уменьшению потребления памяти при рендеринге штрихов в движке Freestyle; Внесены улучшения в инструмент Grease … Читать далее Новая версия свободной системы 3D-моделирования Blender 2.74

Компания Google представила корректирующий выпуск web-браузера Chrome 41.0.2272.118, в котором устранено 4 уязвимости. Одной из уязвимостей (CVE-2015-1233) присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и добиться выполнения кода в системе. Проблема проявляется благодаря комбинации ошибок в движке V8, кода работы с Gamepad и в реализации IPC. Исследователю, выявившему данную уязвимость, выплачено вознаграждение, размером 29633.7 долларов. Читать далее Обновление Chrome 41.0.2272.118 с устранением критической уязвимости

Доступен корректирующий релиз реляционной СУБД Firebird 2.5.4, продолжающей развитие кода БД InterBase 6.0, открытого в 2000 году компанией Borland. Firebird распространяется под свободной лицензией MPL и поддерживает стандарты ANSI SQL, в том числе такие возможности, как триггеры и хранимые процедуры. Кроме исправления ошибок, в новой версии добавлена возможность низкоуровневой проверки целостности дисковых структур таблиц и индексов с сохранением доступности БД для выполнения других операций (в режиме online). Реализован механизм раннего освобождения внутренних временных блобов, что позволило высвободить дополнительную память и дисковое пространство. Читать далее Вышла СУБД Firebird 2.5.4

Компания Oracle начала тестирование новой значительной ветки системы виртуализации VirtualBox 5.0, ключевым улучшением в которой является реализация работы в режиме паравиртуализации, подразумевающем использование гостевой системы, модифицированной для более тесного взаимодействия с гипервизором и использующей специальные драйверы, вместо эмуляции оборудования. Работа в режиме паравиртуализации даёт возможность существенно поднять производительность гостевой системы. Другие улучшения: Новая модульная архитектура звуковой подсистемы, обеспечивающая более высокий уровень абстракции, относительно звуковых бэкендов хост-системы; Предоставление гостевым системам, выполняемым с привлечением механизмов аппаратной виртуализации, возможности использования расширенных наборов инструкций, таких как SSE 4.1, SSE4.2, AES-NI, POPCNT, RDRAND и RDSEED; В виртуальном контроллере xHCI добавлена поддержка устройств с интерфейсом USB … Читать далее Бета выпуск VirtualBox 5.0 с поддержкой паравиртуализации