Сегодня в открытом доступе появились базы, включающие 1.2 миллиона паролей пользователей сервиса Yandex-почта и 4.6 млн — mail.ru. Данные в базе представлены в форме связки логин/пароль в открытом виде. По заявлению представителей Яндекса, база накоплена в результате проведения фишинг-атак, подбора типовых паролей и активности вредоносного ПО на компьютерах пользователей (в том числе использование снифферов на поражённых системах могло привести к перехвату паролей других систем в локальной сети при приёме почты по незащищённым каналам связи). 85% из представленных в базе учетных записей уже были заблокированы до публикации списка, для остальных блокировка для принудительной смены пароля выставлена сегодня. Данные использовались как правило … Читать далее Благодаря вредоносному ПО, накоплена база из миллионов паролей пользователей Yandex, Mail.ru и Gmail

В примечании к очередному обновлению игры Counter-Strike: Global Offensive, основанной на современном движке Source, отмечается внесение изменений в большое число подсистем, необходимых для реализации клиента для платформы Linux. Читать далее Готовится к выпуску Linux-версия игры Counter-Strike: Global Offensive

Раскрыта информация об опасной уязвимости (CVE-2013-4444) в контейнере для выполнения JSP-страниц и Java-сервлетов Apache Tomcat, позволяющей неаутентифицированнму злоумышленнику организовать удалённое выполнение кода на сервере. При определённом стечении обстоятельств атакующий может загрузить произвольный JSP-код на сервер и инициировать его выполнение. Необходимым условием для проведения атаки является использование в приложении функциональности Servlet 3.0 File Upload, включение JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP. Полноценная эксплуатация возможна вкупе с уязвимостью в классе java.io.File, которая присутствует в Oracle Java 1.7.0 update 25 и более ранних выпусках. Проблема проявляется в выпусках Apache Tomcat с 7.0.0 по 7.0.39 и была устранена в … Читать далее Уязвимость в устаревших выпусках Apache Tomcat, которая может привести к выполнению кода на сервере

Представлена новая версия утилиты для организации выборки данных по сети — cURL 7.38.0, предоставляющей возможность гибкого формирования запроса с заданием таких параметров, как cookie, user_agent, referrer и любых других заголовков. Кроме http-запросов, cURL поддерживает SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP и другие сетевые протоколы. Одновременно вышло обновление параллельно развиваемой библиотеки libcurl, предоставляющей API для задействования всех функций cURL в программах на таких языках, как Си, Perl, PHP, Python. Выпуск примечателен добавлением поддержки спецификации HTTP/2.0 (draft-14), которая реализована с использованием библиотеки nghttp2. Кроме того, добавлено определение библиотек LibreSSL и BoringSSL, в связанном с SSL коде задействованы более надёжные генераторы … Читать далее Новая версия утилиты cURL 7.38.0 с поддержкой HTTP/2.0

Увидела свет платформа для управления инфраструктурой Linux-серверов Red Hat Satellite 6.0, которая основана на свободном проекте Spacewalk и развивается синхронно с ним. Продукт позволяет организовать инвентаризацию оборудования и программного обеспечения, автоматизировать установку и обновление ПО на группе виртуальных или физических систем, централизовано управлять файлами конфигурации, осуществлять мониторинг, управлять работой виртуальных машин, автоматизировать установку типовых конфигураций системы, организовать сетевую загрузку и обновление группы машин. В состав Red Hat Satellite входят следующие открытые компоненты: Foreman — обеспечение работы и управление жизненным циклом физических и виртуальных систем, автоматическая конфигурация систем с использованием сценариев kickstart и модулей Puppet, сбор данных для отчётности, диагностики проблем … Читать далее Выпуск платформы Red Hat Satellite 6.0

В проекте Webmin выявлена опасная уязвимость, позволяющая аутентифицированным пользователям удалить любой файл в системе. Операция удаления производится из обработчика заданий cron, выполняемого с правами пользователя root. Проблема вызвана некорректной обработкой файлов блокировки, которые создаются с использованием в имени файла содержимого одной из передаваемых пользователем переменных. Указав в переменной user относительный путь к файлу и разделив его нулевым символом (например, «../../../../etc/passwd%00»), будет осуществлён вызов unlink(«../../../../etc/passwd.lock») в директории с файлами блокировки, что приведёт к удалению файла /etc/passwd. Интересно, что проблема без лишней огласки наличия уязвимости была устранена в майском выпуске Webmin 1.690. В примечании к выпуску было в общем виде было упомянуто … Читать далее Уязвимость в Webmin, позволяющая удалять произвольные файлы в системе

Объявлено о проведении новой акции «Humble Indie Bundle«, в рамках которой пользователь может получить комплект из 7 многоплатформенных игр в обмен на пожертвование проекту любой суммы. Распространяемые в рамках акции могут работать на платформах OS X, Windows и Linux. При оплате любой суммы доступны игры SteamWorld Dig, Hammerwatch и Gunpoint. Игры Papers, Please, Gone Home и LUFTRAUSERS доступны только при оплате суммы выше среднего перечисления. На момент написания новости собрано уже около 600 тыс. долларов. Средний размер суммы взноса составил $7.88. Средний размер взноса пользователей Linux систем составил $10.06, OS X — $9, Windows — $7.54. Часть собранных средств (каждый … Читать далее Двенадцатая акция Humble Indie Bundle по распространению комплекта игр

В ночных сборках Firefox добавлена реализация API JS-SIMD (Single Instruction, Multiple Data), позволяющего организовать распараллеливание выполнения операций над данными c использованием инструкций SIMD. API JS-SIMD пока доступен только для web-приложений, использующих расширение Asm.js с реализацией низкоуровневого подмножества языка JavaScript со строгой типизацией. Реализация API JS-SIMD не привязана к специфичным реализациям SIMD и может использовать как SIMD-инструкции Intel, так и ARM. В дальнейшем планируется предоставить возможность использования API JS-SIMD не только для Asm.js, но и для обычного JavaScript-кода. Кроме того ведётся работа по интеграции поддержки JS-SIMD в компилятор Emscripten, что позволит транслировать в JavaScript применяемые в программах на C/C++ механизмы SIMD. … Читать далее Для Firefox представлен API для задействования в web-приложениях инструкций SIMD

Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 4.3.16, в котором отмечено около 38 исправлений, направленных на увеличение стабильности и устранение регрессивных изменений. Из наиболее заметных улучшений можно отметить: Добавлена поддержка X.Org Server 1.16; Налажен процесс записи видео для сеансов, использующих 3D; Устранены проблемы с фокусом ввода и нажатиями клавиш в полноэкранном режиме для X11-хостов; Для хостов на базе Linux устранено наводнение лога сообщениями, связанными с пробросом USB-устройств; Решена проблема с крахом приложений в гостевых системах с Linux при вызове drm_wait_vblank; Устранена ошибка, приводившая к краху gnome-session в гостевых системах с Linux; Для гостевых систем X11 прекращён запуск VBoxClient поверх … Читать далее Корректирующий выпуск системы виртуализации VirtualBox 4.3.16

Представлен первый публичный выпуск проекта Open PostgreSQL Monitoring (OPM), в рамках которого развивается система мониторинга работы СУБД PostgreSQL. В состав системы входит набор агентов мониторинга (используются средства Nagios), подсистема хранения собранных данных и web-интерфейс. Исходные тексты проекта написаны на языке Perl с использованием фреймворка Mojolicious и распространяются под лицензией PostgreSQL. Со временем планируется довести функциональность OPM до уровня продуктов Oracle Grid Control, MySQL Workbench и SQL Server Management Studio. Накопленная статистика отображается в форме графиков, что позволяет наглядно проследить активность СУБД, проанализировать статистику работы, оценить изменения производительности и выявить возможные сбои. В случае выявление требующих участия администратора аномалий предусмотрена функции … Читать далее Представлена система мониторинга OPM (Open PostgreSQL Monitoring)

Компания Oracle объявила об обеспечении сертифицированной поддержки Firefox 31 ESR для всех компонентов Oracle E-Business Suite. Работа выпускаемых каждые шесть недель обычных выпусков Firefox, которые не подпадают под программу длительного выпуска обновлений, гарантироваться не будет. Причина такого шага достаточно проста — на сертификацию требуется достаточно много времени и получается, что до окончания сертификации успевает выйти новая версия Firefox, что делает сертифицированный выпуск изначально устаревшим. Читать далее Oracle обеспечит сертификацию только для ESR-выпусков Firefox

Группа энтузиастов, в порыве ностальгии по минималистичному дистрибутиву «Damn Small Linux» (DSL), в рамках нового проекта DSLR (Damn Small Linux Remake) решила возродить идею компактного и быстрого Live-дистрибутива с набором ретро-приложений. DSLR является полностью новой разработкой, в которой задействована системная библиотека Musl вместо glibc, loksh вместо Bash, tinyxserver вместо X.Org и набор утилит Toybox (аналог BusyBox под лицензией BSD). Развиваемые дистрибутивом графические приложения, такие как конфигуратор, написаны с использованием GtkDialog1 (GTK+ 1.x). Из пользовательских приложений можно отметить браузер Dillo, текстовые редакторы Ted и Beaver, программу для рисования mtPaint, почтовый клиент Sylpheed, irc-клиент X-Chat, офисный пакет Siag Office, музыкальный проигрыватель xhippo. … Читать далее В рамках проекта DSLR подготовлен новый дистрибутив в стиле Damn Small Linux

Компания Oracle выпустила открытый сервер приложений GlassFish Server Open Source Edition 4.1, предоставляющий полную реализацию спецификации Java EE 7 (Java Platform, Enterprise Edition 7), как в форме web профиля (Java EE 7 Web Profile), так и полного профиля (Java EE 7 Full Platform). Включение выражения «Open Source Edition» в название продукта сигнализирует о прекращении его коммерческой поддержки, о чём было заявлено Oracle в ноябре прошлого года. Пользователям, которым требуется коммерческая поддержка, рекомендовано использовать продукт Oracle WebLogic Server. Код GlassFish распространяется под двумя лицензиями: CDDL v1.0 и GPL v2. Особенности выпуска: Добавлена поддержка Java 8, CDI 1.2 и WebSocket 1.1. Обеспечена … Читать далее Выпуск сервера приложений GlassFish 4.1 с поддержкой Java 8

Неизвестные поменяли содержимое сайта проекта Bitcoin на SourceForge, заменив содержимое блока с описанием проекта (Bitcoin поменяли на Buttcoin) и удалив администраторов сайта из списков доступа. В настоящее время старое содержимое страницы восстановлено, но это сделано руками атакующих, которые по-прежнему контролируют доступ к ресурсу. Содержимое размещённых на SourceForge архивов с кодом и сборками Bitcoin пока не тронуто, но в дальнейшем не исключается подмена данных файлов, поэтому пользователям не рекомендуется использовать материалы с сайта на SourceForge. Для загрузки следует использовать не затронутый атакой сайт bitcoin.org. Одновременно сообщается о получении атакующими контроля над почтовым ящиком satoshi@gmx.de, принадлежащим Сатоси Накамото (Satoshi Nakamoto), создателем первой … Читать далее Неизвестные получили контроль над аккаунтом создателя Bitcoin и сайтом проекта на SourceForge

Открыта новая площадка для организации финансирования работы над открытыми проектами — GitBounty. Основное отличие от сервиса BountySource сводится к ориентации на исправлением ошибок, а не на создание новых возможностей — основной задачей сервиса GitBounty является финансовое стимулирование устранения ошибок в открытом ПО. Пользователи, готовые заплатить за устранение проблемы, имеют возможность ускорить исправление ошибки, а разработчики могут заработать на подготовке патчей. GitBounty также поможет найти выход в ситуации, когда пользователю необходимо устранить ошибку, но автор оригинального приложения не заинтересован в первоочерёдной работе над исправлением. В GitBounty пользователю достаточно найти уже опубликованный отчёт об ошибке для любого проекта в GitHub и назначить … Читать далее GitBounty

Фонд свободного ПО и разработчики дистрибутива Debian объявили об объединении усилий в области продвижения и наполнения каталога h-node.org, на котором собраны сведения о совместимости различного оборудования со свободным программным обеспечением. Сайт позволяет оценить насколько то или иное устройство хорошо поддерживается в СПО и поделиться своим опытом использования свободных операционных систем с различными устройствами. В каталоге рассматривается как совместимость с отдельными компонентами, такими как беспроводные и видео карты, так и с моделями ноутбуков. Изначально h-node был рассчитан только на сбор сведений о работе оборудования в полностью свободных дистрибутивах, одобренных Фондом СПО. Debian GNU/Linux можно отнести к полностью свободным дистрибутивам, но только … Читать далее Фонд СПО и проект Debian намерены упростить поиск оборудования, совместимого с СПО

Доступен для тестирования альфа-выпуск кроссплатформенного фреймворка Qt 5.4, продолжившего развитием ветки Qt 5.x. Начиная с Qt 5.4 почти все модули распространяются под лицензией LGPLv3, в дополнение к LGPLv2.1, GPLv3 и коммерческой лицензии. Qt WebEngine, Qt Canvas3D, Qt WebView и Qt Quick Controls для Android будут поставляться только под LGPLv3, GPLv2 и коммерческой лицензией. Основные новшества: Интеграция Qt WebEngine, компонента для использования браузерного движка в Qt-приложениях, пришедшего на смену Qt WebKit. Qt WebEngine отличается переходом на кодовую базу проекта Blink, в рамках которого компания Google развивает форк движка WebKit. Поддержка Qt WebKit пока сохранена для обеспечения обратной совместимости, но данная подсистема … Читать далее Началось альфа-тестирование Qt 5.4

Объявлено о начале формирования пакетов с официальными сборками GNU IceCat для Fedora Linux. Пока браузер добавлен в репозиторий updates-testing, но в скором времени будет помещён и в репозитории стабильных выпусков. GNU IceCat построен на актуальной кодовой базе Firefox, из которой удалены несвободные компоненты, заменены элементы оформления, прекращено использование зарегистрированных торговых марок, отключен поиск несвободных плагинов и дополнений, интегрированы дополнения, направленные на усиления приватности. В пакет с GNU IceCat для Fedora также включены дополнения GNU LibreJS, IceCat Privacy Extension и Request Policy. Рекомендуемое дополнение Https-Everywhere поставляется в виде отдельного пакета. Читать далее Для Fedora Linux началось формирование официальных сборок браузера GNU IceCat

Представлено третье квартальное обновление десктоп-ориентированной ОС PC-BSD 10.0, основанной на кодовой базе FreeBSD 10. Для загрузки подготовлен гибридный iso-образ (3.3 GB, только для amd64), подходящий для использования на DVD и USB-накопителях. Для пользователей желающих использовать технологии PC-BSD на сервере, подготовлен iso-образ TrueOS (572 Мб), серверной редакции PC-BSD, работающей без графического интерфейса, предлагающей текстовый вариант инсталлятора. Из особенностей TrueOS можно отметить возможность установки с использованием ZFS на корневом разделе, установку с шифрованием всего диска (с зашифрованным разделом /boot), поддержку окружений загрузки (boot environment), поставку работающих в режиме командной строки версии утилит PC-BSD, в том числе менеджера jail-окружений Warden и системы резервного … Читать далее Обновление десктоп-ориентированной ОС PC-BSD 10.0.3

Сегодня в открытом доступе появились базы, включающие 1.2 миллиона паролей пользователей сервиса Yandex-почта и 4.6 млн — mail.ru. Данные в базе представлены в форме связки логин/пароль в открытом виде. По заявлению представителей Яндекса, база накоплена в результате проведения фишинг-атак, подбора типовых паролей и активности вредоносного ПО на компьютерах пользователей (в том числе использование снифферов на поражённых системах могло привести к перехвату паролей других систем в локальной сети при приёме почты по незащищённым каналам связи). 85% из представленных в базе аккаунтов уже были заблокированы до публикации списка, для остальные блокировка для принудительной смены пароля выставлена сегодня. Данные использовались как правило для … Читать далее Благодаря вредоносному ПО, накоплена база из миллионов паролей пользователей Yandex и Mail.ru

Представлен релиз системной библиотеки GNU C Library (glibc) 2.20, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2008. В подготовке нового выпуска использованы патчи от 69 разработчиков. Новый выпуск ознаменовал собой завершение процесса слияния с проектом Eglibc (Embedded GLIBC), который развивался синхронно с Glibc и был полностью совместим с ней на уровне API и ABI, отличаясь интеграцией некоторых дополнительных наработок для встраиваемых систем, более низкими системными требованиями, возможностью гибкой настройки компонентов, улучшенной поддержкой кросс-компиляции и кросс-тестирования. Последние два года проекты двигались в сторону возвращения в Glibc наработок Eglibc, к моменту выхода Glibc 2.20 данный процесс завершился и отныне пользователям и … Читать далее Выпуск системной библиотеки Glibc 2.20, ознаменовавший слияние с Eglibc