Представлен новый выпуск утилиты sysdig, предназначенной для диагностики проблем и изучения особенностей работы системы. В новом выпуске добавлен режим shellshock_detect для выявления активности в системе, вызванной совершением успешных атак, эксплуатирующих уязвимость в Bash (Shellshock). Кроме того, добавлена опция spy_file для отслеживания всех операций чтения и записи для любых файлов. Подробнее о возможностях sysdig можно прочитать в тексте первого анонса данной программы. В случае успешной атаки запуск «sysdig -c shellshock_detect» покажет примерно такой вывод: TIME PROCNAME PID FUNCTION 13:51:18.779785087 apache2 2746 () { test;};echo «Content-type: text/plain»; echo; echo; /bin/cat /etc/passwd 13:52:31.459230424 dhclient 2896 () { :;} ; echo busted С учётом … Читать далее Выпуск sysdig 0.1.89 с поддержкой выявления активности, связанной с атакой на bash

Компания Adobe объявила об открытии исходных текстов пакета AFDKO (Adobe Font Development Kit for OpenType), предоставляющего средства для построения шрифтов OpenType на основе исходных векторных шрифтовых данных в форматах PostScript (Type1) и TrueType, дополненных специфичными для OpenType данными и средствами компоновки. Инструментарий используется компанией Adobe в процессе создания своих новых шрифтов. Код инструментария опубликован под лицензией Apache 2. Готовые сборки сформированы для Linux, OS X и Windows. В состав не входят средства для проектирования и редактирования глифов, пакет рассчитан исключительно на компоновку многослойных шрифтовых файлов. В частности, предоставляется набор утилит для построения шрифта OpenType из существующих шрифтовых данных, проверки содержимого … Читать далее Компания Adobe открыла код инструментария для создания шрифтов OpenType

Организация The Document Foundation объявила о выходе второго выпуска обновлений для LibreOffice 4.3 «Fresh». Исправлено более чем 80 ошибок (RC1, RC2). Основное внимание было сфокусировано на чтении и записи форматов Microsoft Office DOCX, XLSX и PPTX. Также в анонсе TDF подчёркивается, что LibreOffice 4.3.2 выпущен накануне четвёртой годовщины проекта, которая наступит в воскресение 28 сентября 2014 года. В сообщении говорится, что сообщество за последние 48 месяцев существенно выросло. Было привлечено к проекту более 100 новых разработчиков, большое количество людей, занимающихся локализацией, контролем качества, тестированием, дизайном, маркетингом и развитием региональных и языковых сообществ. Региональные и языковые сообщества развиваются особенно интенсивно, интерфейс … Читать далее LibreOffice 4.3.2 выпущен накануне четвёртой годовщины проекта

Представлены корректирующие выпуски Firefox 32.0.3 и Chrome 37.0.2062.124, а также Firefox ESR 24.8.1, 31.1.1, Thunderbird 31.1.2, 24.8.1 и SeaMonkey 2.29.1. В новых выпусках устранена опасная уязвимость в поставляемых в комплекте библиотеках NSS, допускающая создание поддельных RSA-сертификатов. Проблема также устранена в обновлениях NSS 3.16.2.1, NSS 3.16.5 и NSS 3.17.1. Воспользовавшись данной уязвимостью, атакующий может сформировать фальсифицированный RSA-сертификат, который может быть применён для вывода индикатора доверия при организации защищённого соединения с поддельным сайтом, закамуфлированным под другой сайт. Таким способом может быть организован сбор параметров аутентификации или распространение вредоносного ПО, так как пользователь будет считать, что работает с проверенным сайтом, на самом деле … Читать далее Обновление Firefox 32.0.3 и Chrome 37.0.2062.124 с устранением уязвимости в NSS

Организация The Document Foundation объявила о выходе второго выпуска обновлений для LibreOffice 4.3 «Fresh». Исправлено более чем 80 ошибок (RC1, RC2). Основное внимание было сфокусировано на чтении и записи форматов Microsoft Office DOCX, XLSX и PPTX. Так же в анонсе TDF напоминается, что LibreOffice 4.3.2 выпускается накануне четвёртой годовщиной проекта, которая произойдёт в воскресение 28 сентября 2014 года. В сообщении говориться, что сообщество за последние 48 месяцев существенно выросло. Было привлечено к проекту более 100 новых разработчиков, большое количество людей, занимающихся локализацией, контролем качества, тестированием, дизайном, маркетингом и развитием региональных и языковых сообществ. Региональные и языковые сообщества развиваются особенно интенсивно, … Читать далее LibreOffice 4.3.2 выпущен на кануне четвёртой годовщиной проекта

В командном интерпретаторе Bash выявлена опасная уязвимость (CVE-2014-6271), позволяющая организовать выполнение кода в контексте другого сеанса bash. Проблема вызвана недоработкой в организации экспорта переменных окружения и shell-функций в другие экземпляры bash, что приводит к выполнению блоков кода из специально оформленных переменных окружения, полученных от других процессов. Во многих типовых конфигурациях уязвимость может быть эксплуатирована по сети, если bash вызывается в качестве shell-интерпретатора. Потенциально может быть атаковано любое приложение которые запускает bash или скрипты на bash с установкой переменных окружения на основе внешних данных (манипуляция с подобными suid-программами может привести к повышению привилегий в системе). В том числе могут быть атакованы … Читать далее Критическая уязвимость в bash, которая может привести к удалённому запуску команд (дополнено)

Выявлены методы (CVE-2014-7169) обхода патча, представленного вчера для устранения критической уязвимости в Bash. Для решения проблемы подготовлен новый патч. В дистрибутивах проблема пока остаётся неисправленной. Для проверки на наличие обходного пути эксплуатации уязвимости можно использовать команду (успешно срабатывает после установки вчерашнего обновления bash в Ubuntu и Debian): env X='() { (a)=’ sh -c «echo date»; cat echo Кроме того, уже проведены попытки массового сканирования серверов на предмет наличия уязвимости в Bash. Первый же эксперимент выявил около 3 тысяч хостов, подверженных уязвимости в Bash при запросе корневой страницы по IP, без заполнения заголовка Host (при полноценном сканировании с указанием корректных имён … Читать далее Найдет способ обхода патча, устраняющего уязвимость в bash

Администраторы инфраструктуры проекта jQuery несколько часов назад зафиксировали повторную атаку на сайт jQuery.com и подтвердили компрометацию сервера злоумышленниками. В настоящее время сайт jQuery.com оперативно перемещён на новый сервер, на котором запущены только проверенные сервисы. В отличие от первой атаки, в рамках которой было организовано распространение вредоносного ПО, в рамках второй атаки была осуществлена подмена содержимого сайта (дефейс). Содержимое главной страницы было заменено на текст «Common, guys! All your base are belong to us. Just please reinstall dat backdoored spenssh deamon. And all will be fine», что может свидетельствовать об организации сбора паролей через подставной ssh сервер. Предполагается, что атаки проведены … Читать далее Подтверждён взлом jQuery.com. Зафиксирована вторая успешная атака

Доступен выпуск новой стабильной ветки WebKitGTK+ 2.6.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения в новой стабильной ветке: Прекращена поддержка WebKit1 и оставлена только возможность использования API WebKit2, предоставляющего средства для многопроцессной обработки данных. Начиная с выпуска WebKitGTK 2.0 движок по умолчанию предлагал API WebKit2, но продолжал сохранять опциональную поддержку старого API … Читать далее Выпуск WebKitGTK+ 2.6.0

Представлены корректирующие выпуски Firefox 32.0.3 и Chrome 37.0.2062.124, а также в Firefox ESR 24.8.1, 31.1.1, Thunderbird 31.1.2, 24.8.1 и SeaMonkey 2.29.1. В новых выпусках устранена опасная уязвимость в поставляемых в комплекте библиотеках NSS, допускающая создание поддельных RSA-сертификатов. Проблема также устранена в обновлениях NSS 3.16.2.1, NSS 3.16.5 и NSS 3.17.1. Воспользовавшись данной уязвимостью атакующий может сформировать фальсифицированный RSA-сертификат, который может быть применён для вывода индикатора доверия при организации защищённого соединения с поддельным сайтом, закамуфлированным под другой сайт. Таким способом может быть организован сбор параметров аутентификации или распространение вредоносного ПО, так как пользователь будет считать, что работает с проверенным сайтом, на самом … Читать далее Обновление Firefox 32.0.3 и Chrome 37.0.2062.124 с устранению уязвимости и NSS

Увидел свет выпуск свободной криптографической библиотеки Sodium 1.0.0, совместимую на уровне API с библиотекой NaCl (Networking and Cryptography library) и предоставляющую функции для организации защищённого сетевого взаимодействия, шифрования и работы с цифровыми подписями. Выпуск 1.0 примечателен стабилизацией API и ABI, и обеспечением в дальнейшем обратной совместимости. Код библиотеки распространяется под свободной лицензией ISC. В отличие от NaCl в Sodium решены проблемы с переносимостью кода на разные программные и аппаратные платформы, обеспечена сборка в виде разделяемой библиотеки, поставляется стандартный набор заголовочных файлов, добавлены средства для установки и интеграции со сторонними проектами. Среди поддерживаемых в Sodium платформ отмечаются Bitrig, OpenBSD, Dragonfly BSD, … Читать далее Первый стабильный выпуск криптографической библиотеки Sodium

В командном интерпретаторе Bash выявлена опасная уязвимость (CVE-2014-6271), позволяющая организовать выполнение кода в контексте другого сеанса bash. Проблема вызвана недоработкой в организации экспорта переменных окружения и shell-функций в другие экземпляры bash, что приводит к выполнению блоков кода из специально оформленных переменных окружения, полученных от других процессов. Во многих типовых конфигурациях уязвимость может быть эксплуатирована по сети, если bash вызывается в качестве shell-интерпретатора. Потенциально может быть атаковано любое приложение которые запускает bash или скрипты на bash с установкой переменных окружения на основе внешних данных (манипуляция с подобными suid-программами может привести к повышению привилегий в системе). В том числе могут быть атакованы … Читать далее Критическая уязвимость в bash, которая может привести к удалённому запуску команд

После шести месяцев разработки официально представлен выпуск десктоп-окружения GNOME 3.14. Из наиболее значительных изменений в новой версии можно отметить доведение поддержки Wayland до полноценного вида, поддержку мультитач, доступ к медиасервам по протоколу DLNA и интеграция с Picasa/Google+ в GNOME Photos, средства для организации совместного доступа. Основные изменения: Поддержка работы поверх Wayland доведена до полноценного состояния, пригодного для ежедневного использования. По сравнению с прошлым выпуском добавлена поддержка раскладок клавиатуры, операций Drag-and-Drop, сенсорных экранов, работающих контекстных меню и всплывающих подсказок. Решены почти все проблемы с запуском типовых приложений GNOME при работе поверх Wayland; Новые анимационные эффекты в обзорном режиме и при открытии … Читать далее Релиз GNOME 3.14. Обзор новшеств

Разработчики дистрибутива Kali Linux, продолжающего развитие проекта BackTrack Linux, представили новый продукт Kali NetHunter, в рамках которого подготовлено окружение для мобильных устройств на базе платформы Android, содержащие подборку инструментов для проведения тестирования систем на предмет наличия уязвимостей. Kali NetHunter устанавливается в штатное окружение платформы Android в форме chroot-образа, в котором выполняется специально адаптированный вариант Kali Linux. Для установки необходимо наличие root-доступа к Android-прошивке. NetHunter основан на существующей редакции Kali Linux для архитектуры ARM и требует низкоуровневого доступа к беспроводному адаптеру и USB-подсистеме. В настоящее время поддержка устройств ограничена моделями Nexus 5, Nexus 7 и Nexus 10. Готовые варианты окружения сформированы … Читать далее Kali NetHunter, превращающий Android-устройство в окружение исследователя безопасности

Организация LibreUmbria объявила, что органы государственной власти итальянских городов Тоди и Терни переходят на LibreOffice. В этом месяце компьютеры администрации города Тоди будут укомплектованы LibreOffice, администрация города Турни начал миграцию, — говорит Alfredo Parisi, основатель LibreUmbria и исследователь в Университета Перуджа. Администрация Тоди имеет 79 компьютеров, Терни — 50. LibreUmbria в прошлом году помогла администрации и управлению здравоохранения провинции Перуджа перевести все свои компьютеры на LibreOffice (1200 и 600 рабочих мест, соответственно). Проект LibreUmbria фокусируется на государственных и муниципальных администрациях и школах, помогая им мигрировать и использовать LibreOffice. Проект также помогает мигрировать предприятиям среднего и малого бизнеса. «Мы стремимся обучать … Читать далее LibreUmbria помогла в переходе администрациям Тоди и Терни на LibreOffice

В командном интерпретаторе Bash выявлена опасная уязвимость (CVE-2014-6271), позволяющая организовать выполнение кода в контексте другого сеанса bash. Проблема вызвана недоработкой в организации экспорта переменных окружения и shell-функций в другие экземпляры bash, что приводит к выполнению блоков кода из специально оформленных переменных окружения, полученных от других процессов. Во многих типовых конфигурация уязвимость может быть эксплуатирована по сети, если bash вызывается в качестве shell-интерпретатора. Потенциально может быть атаковано любое приложение которые запускает bash или скрипты на bash с установкой переменных окружения на основе внешних данных (манипуляция с подобными suid-программами может привести к повышению привилегий в системе). В том числе могут быть атакованы … Читать далее Критическая уязвимость в bash, которая может привести к удалённому выполнению кода

Разработчики Mozilla присоединились к инициативе Google и Microsoft по выводу из обихода сертификатов, подписанных с использованием SHA-1. Инициатива подразумевает прекращение выпуска сертификатов с подписью SHA-1 начиная с 1 января 2016 года и полное прекращение доверия к таким сертификатам с 1 января 2017 года. Вместо SHA-1 для формирования подписи рекомендуется использовать SHA-256, SHA-384 или SHA-512. Несмотря на то, что настоящее время подавляющие большинство HTTPS-сайтов всё ещё используют сертификаты, подписанные SHA-1, в обозримом будущем безопасность SHA-1 находится под вопросом. Если в 2012 году затраты на подбор коллизии в SHA-1 оценивались в 2 млн долларов, то к 2015 году прогнозируется уменьшение стоимости до … Читать далее Проект Mozilla присоединился к инициативе по отказу от SHA-1 для HTTPS

Компания RiskIQ, cпециализирующаяся на разработке связанных с обеспечением безопасности программных продуктов, выявила активность по распространению вредоносного ПО на страницах jquery.com, через подстановку JavaScript-вставки c организацией перенаправления обращений на подконтрольный атакующим домен jquery-cdn.com, зарегистрированный несколько дней назад. С учётом того, что JQuery используемой на более чем половине из 10 тысяч наиболее посещаемых сайтов в сети, поддержание безопасности серверной инфраструктуры проекта является критически важной задачей. Разработчики провели начальный аудит безопасности серверов и анализ логов и не нашли каких-либо следов деятельности злоумышленников. Судя по всему атака атака носила единичный характер, так как в случае массовой атаки следовало ждать потока жалоб от пользователей, которые … Читать далее Зафиксировано распространение вредоносного кода через инфраструктуру jQuery

Спустя три года с момента прошлых выпусков представлены обновления пакетов LXDE-common 0.5.6 и LXLauncher 0.2.3. Несмотря на то, что в состав LXDE-common входит лишь набор предлагаемых по умолчанию файлов конфигурации, а функциональность LXDE обеспечивают выпускаемые отдельно модули, номер версии пакета LXDE-common указывается в некоторых дистрибутивах как версия LXDE. Из изменений можно отметить смену горячей клавиши для перехода в полноэкранный режим (Alt+F11 вместо F11), добавление горячей клавиши для создания скриншота (PrintScreen) и унификацию клавиатурной комбинации для вызова меню с GNOME и Lubuntu (Alt+F1). Кроме того, файлы конфигурации перемещены из области совместно используемых данных в директорию системной конфигурации. Одновременно анонсирован выпуск библиотеки … Читать далее Выпуск LXDE-common 0.5.6

Российские разработчики Ice-Pick Lodge запустили Kickstarter-кампанию ремейка весьма известной и своеобразной игры Pathologic (Мор.Утопия). Для успешного завершения планируется собрать $250 000. На данный момент собрано $231 500, а до завершения компании остается 13 дней. «Мор. Утопия» — это сюжетная игра на выживание с открытым миром. В провинциальном городке, построенном в районе старинных кожевенных промыслов, разражается эпидемия неизвестной болезни. Ее можно узнать по некоторым внешним признакам, но причины и происхождение представляются загадкой. Болезнь заразна и смертельна. Она поражает одновременно нервную и кровеносную системы человека и протекает как в физиологической, так и в психической форме. Игра разрабатывается на движке Unity 5 и … Читать далее Kickstarter-кампания по созданию ремейка Pathologic (Мор.Утопия)

Компания Backblaze, развивающая online-сервис резервного копирования данных, опубликовала статистику по отказам жестких дисков, накопленную в результате эксплуатации 35 тысяч НЖМД, используемых для хранения более 100 петабайт данных. Если прошлогодний отчёт рассматривал корреляцию между выходами из строя и сроком эксплуатации дисков, то в нынешнем отчёте рассматривается надёжность дисков от разных производителей. Выявлено, что 3TB диски Seagate выходят из строя значительно чаще (9-15%), чем диски 3TB Western Digital (4-7%). Для всех моделей дисков Hitachi, а также для Seagate 4.0TB и Western Digital 1.0TB частота сбоев существенно ниже. Читать далее Статистика надёжности жестких дисков Seagate, Western Digital и Hitachi