В России ведётся разработка обучающей платформы для системных программистов — БМПОС (Базовая Модульная Платформа Операционных Систем), которая задумана и создаётся как обучающее пособие по разработке операционных систем с развитой теоретической и практической базой. В рамках проекта развивается модульное ядро, которое фундаментально отличающееся от существующих ядер и спроектировано специально для изучения процесса разработки операционных систем. Код ОС написан на языке Си и распространяется под MIT-подобной лицензией ГОЛ (Государственная Открытая Лицензия). Разработка нацелена на получение обучающимися знаний по минимально необходимой кодовой базе, формирование навыков постройки простой и понятной архитектуры и максимального упрощения кода. ОС имеет небольшой размер бинарных файлов, что способствует достижению … Читать далее Начальный выпуск ядра БМПОС

Компания Google приступила к реализации в браузере Chrome функции IP Protection, предназначенной для скрытия IP-адреса пользователя от владельцев сайтов. Новая возможность может использоваться в качестве встроенного анонимайзера, пригодного среди прочего для обхода блокировок, реализованных как на стороне сайтов, так и на уровне операторов связи. Технически предложенная возможность реализована через направление трафика не на прямую, а через прокси-сервер, перенаправляющий запрос на целевой сервер, который видит в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN. Для анонимизации запроса предусмотрена возможность проброса запроса последовательно через несколько прокси. В этом случае информация об IP-адресе клиента будет известна только первому прокси, а … Читать далее В Chrome планируют реализовать режим скрытия IP-адреса пользователя

Доступен первый стабильный релиз проекта nghttp3, развивающего библиотеку на языке Си с реализацией протокола HTTP/3. Развиваемый тем же проектом вариант библиотеки для протокола HTTP/2 используется в качестве основы модуля mod_http2, входящего в состав http-сервера Apache. Наработки проекта также задействованы в утилите Curl. Код библиотеки распространяется под лицензией MIT. Стандарт HTTP/3 определяет использование протокола QUIC (Quick UDP Internet Connections) в качестве транспорта для HTTP/2. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Протокол был создан в 2013 году компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем … Читать далее Опубликована библиотека nghttp3 1.0 с реализацией протокола HTTP/3

Представлен выпуск свободной загрузочной прошивки Libreboot 20231021. Обновлению присвоен статус тестовоого выпуска (стабильные релизы публикуются примерно раз в год, прошлый стабильный релиз был в июне). Проект развивает готовую сборку проекта coreboot, предоставляющую замену проприетарным прошивкам UEFI и BIOS, отвечающим за инициализации CPU, памяти, периферийных устройств и других компонентов оборудования, с минимизацией бинарных вставок. Libreboot нацелен на формирование системного окружения, позволяющего обойтись без проприетарного ПО настолько, насколько это возможно, не только на уровне операционной системы, но и прошивки, обеспечивающей загрузку. Libreboot дополняет Coreboot средствами для упрощения применения конечными пользователями, формируя готовый дистрибутив, которым может воспользоваться любой пользователь, не имеющий специальных навыков. … Читать далее Выпуск загрузочной прошивки Libreboot 20231021

Опубликован релиз HTTP-сервера Apache 2.4.58, в котором представлено 33 изменения и устранены три уязвимости, две из которых связаны с возможностью осуществления DoS-атаки на системы, использующие протокол HTTP/2. CVE-2023-45802 — создание условий для исчерпания свободной памяти из-за отложенного освобождения памяти после сброса потока HTTP/2 пакетом с флагом RST. Так как память освобождается не сразу после обработки флага RST, а только после закрытия соединения, атакующий может значительно повысить потребление памяти, отправляя новые запросы и сбрасывая их RST-пакетом, но при этом не закрывая соединение. CVE-2023-43622 — бесконечная блокировка обработки соединения HTTP/2, если оно было открыто с выставлением в 0 начального размера скользящего окна. … Читать далее Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2

Состоялся релиз Node.js 21.0, платформы для выполнения сетевых приложений на языке JavaScript. Поддержка ветки Node.js 21.0 будет осуществляться в течение 6 месяцев. В ближайшие дни будет завершена стабилизация ветки Node.js 20, которая получит статус LTS и будет поддерживаться до апреля 2026 года. Сопровождение прошлой LTS-ветки Node.js 18.0 продлится до сентября 2025 года, а позапрошлой LTS-ветки 16.0 до апреля 2024 года. Основные улучшения: Объявлен стабильным API Fetch, предназначенный для загрузки ресурсов по сети и упрощающий написание универсального JavaScript-кода, пригодного для работы на стороне сервера и клиента. Реализация основана на коде из HTTP/1.1 клиента undici и максимально приближена к аналогичному API, предоставляемому … Читать далее Доступна серверная JavaScript-платформа Node.js 21.0

Исследователи из компании Malwarebytes Labs выявили продвижение через рекламную сеть Google подставного сайта свободного менеджера паролей KeePass, распространяющего вредоносное ПО. Особенностью атаки стало использование злоумышленниками домента «ķeepass.info», на первый взгляд неотличимого по написанию от официального домена проекта «keepass.info«. При поиске по ключевому слову «keepass» в Google реклама подставного сайта размещалась на первом месте, раньше чем ссылка на официальный сайт. Для обмана пользователей была применена давно известная техника фишинга, основанная на регистрации интернационализированных доменов (IDN), содержащих омоглифы — символы, внешне похожие на латинские буквы, но имеющие другое значение и имеющие свой unicode-код. В частности, домен «ķeepass.info» на деле зарегистрирован как «xn--eepass-vbb.info» … Читать далее Распространение вредоносного ПО через рекламу домена, неотличимого от домена проекта KeePass

Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS. Атака была замечена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены. 16 октября администратор jabber.ru при попытке подключения к сервису получил сообщение об ошибке из-за истечения срока действия сертификата, но размещённый на сервере сертификат не был просрочен. В итоге выяснилось, что получаемый клиентом сертификат … Читать далее Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru

Исследователи безопасности из компании Outpost24 опубликовали результаты анализа надёжности паролей, используемых администраторами IT-систем. В ходе исследования были изучены учётные записи, присутствующие в базе сервиса Threat Compass, собирающего сведения об утечках паролей, произошедших в результате активности вредоносного ПО и взломов. Всего удалось собрать коллекцию из более 1.8 млн восстановленных из хэшей паролей, связанных с интерфейсами администрирования (Admin portal). Исследование показало, что не только обычные пользователи, но администраторы склонны выбирать предсказуемые пароли. Например, наиболее популярным паролем, который упоминался в собранной базе более 40 тысяч раз, стал пароль «admin». Популярность данного пароля также объясняется использованием его в качестве пароля по умолчанию на некоторых … Читать далее Рейтинг ненадёжных паролей, используемых администраторами

После года разработки состоялся релиз новой стабильной ветки открытой коммуникационной платформы Asterisk 21, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходные тексты проекта доступны под лицензией GPLv2. Asterisk 21 отнесён к категории выпусков с обычной поддержкой, обновления для которых формируются в течение двух лет. Поддержка LTS-ветки Asterisk 20 продлится до октября 2027 года, а Asterisk 18 — до октября 2025 года. Поддержка LTS-ветки 17.x прекращена. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание функциональности. Среди изменений в Asterisk 21: … Читать далее Релиз коммуникационной платформы Asterisk 21

Компания Google представила серию улучшений в адресной строке Chrome: При автодополнении URL будет учитываться любое ключевое слово, ранее использованное для поиска сайта, а не только слова совпадающие с началом адреса. Например, автодополнение адреса «https://www.google.com/travel/flights» сработает не только при вводе слова «google», но и при вводе «flights». Реализовано автоматическое исправление опечаток при вводе адреса сайта и обеспечен вывод релевантных подсказок, при формировании которых учитываются сайты, ранее открытые текущим пользователем. Например, при вводе «youutube» будет предложено открыть YouTube.com. Изменение включено у пользователей Chrome начиная с сегодняшнего дня. Предоставлена возможность поиска в разделах закладок через адресную строку. Например, можно добавить при вводе имя … Читать далее Google провёл работу по улучшению адресной строки в Chrome

Опубликован выпуск ONLYOFFICE DocumentServer 7.5.0 с реализацией сервера для online-редакторов ONLYOFFICE и организации совместной работы. Редакторы можно использовать для работы с текстовыми документами, таблицами и презентациями. Код проекта распространяется под свободной лицензией AGPLv3. Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 7.5, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная … Читать далее Опубликован офисный пакет ONLYOFFICE 7.5.0

Разработчики дистрибутива Kubuntu объявили о предоставлении возможности перехода на свежую стабильную версию пользовательского окружения KDE в LTS-ветке дистрибутива Kubuntu 22.04. Для установки предложены пакеты с KDE Plasma 5.27, KDE Frameworks 5.110 и KDE Gear 23.08, которые бэкпортированы из Kubuntu 23.10. В штатной поставке Kubuntu 22.04 LTS предлагались выпуски KDE Plasma 5.24 и KDE Gear 21.12. Для установки новой версии KDE необходимо подключить PPA-репозиторий backports-extra: sudo add-apt-repository ppa:kubuntu-ppa/backports-extra sudo apt full-upgrade -y Источник: http://www.opennet.ru/opennews/art.shtml?num=59956 Читать далее Для Kubuntu 22.04 предложены пакеты с KDE Plasma 5.27

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 387 уязвимостей. Некоторые проблемы: 3 проблемы с безопасностью в Java SE и 4 проблемы в GraalVM for JDK. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Проблемы имеют умеренный уровень опасности — наиболее опасные уязвимости в Java SE имеют уровень опасности 5.3 (в CORBA и JSSE), а в GraalVM — 7.5 (Node.js). Уязвимости устранены в выпусках Java SE 21.0.1 и 17.0.9. 26 уязвимостей в сервере MySQL, … Читать далее Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей

Доступен релиз операционной системы Chrome OS 118, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 118. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 118 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex. Основные изменения в Chrome OS 118: Предоставлена возможность восстановления забытого пароля и возвращения доступа к данным, привязанным к учётной записи. Добавлен … Читать далее Выпуск Chrome OS 118

Компания «Базальт СПО» выпустила новую версию операционной системы для образовательных организаций — «Альт Образование» 10.2, построенную на основе Деcятой платформы ALT (p10). Сборки подготовлены для платформ x86_64, AArch64 (Байкал-М), i586. ОС предназначена для повседневного использования дошкольными организациями, школами, вузами, средними специальными учебными заведениями. Продукт поставляется в рамках Лицензионного договора, который предоставляет возможность свободного использования физическими лицами, но юридическим лицам допускается только тестирование, а для использования требуется приобрести коммерческую лицензию или заключить лицензионный договор в письменной форме. «Альт Образование» позволяет создавать и интегрировать рабочие места для учеников, студентов, преподавателей. Необходимый комплект программ можно выбрать на этапе установки ОС либо скачать в … Читать далее Новая версия операционной системы Альт Образование 10.2

Компания Google объявила об открытии технологии передачи данных Falcon (hardware transport, аппаратно ускоренный транспортный уровень) и перевода её дальнейшей разработки в проект Open Compute, нацеленный на совместное развитие открытых спецификаций оборудования для оснащения датацентров. Falcon преподносится как Ethernet следующего поколения, способный повысить пропускную способность и увеличить эффективность передачи данных в существующих стандартных сетях на базе Ethernet и TCP/IP, критичных к пропускной способности и задержкам, таких как сети для систем высокопроизводительных вычислений и искусственного интеллекта. Протокол масштабируется до сетей датацентров и спроектирован для обеспечения предсказуемой высокой производительности, низких задержек, гибкости и расширяемости. Поддержка Falcon первой будет обеспечена в сетевых ускорителях серии … Читать далее Google открыл технологию передачи данных Falcon

В реализации web-интерфейса, используемого на физических и виртуальных устройствах Cisco, оснащённых операционной системой Cisco IOS XE, выявлена критическая уязвимость (CVE-2023-20198), позволяющая без прохождения аутентификации получить полный доступ к системе с максимальным уровнем привилегий, при наличии доступа к сетевому порту, через который функционирует web-интерфейс. Опасность проблемы усугубляет то, что злоумышленники уже в течение месяца используют неисправленную уязвимость для создания дополнительных учётных записей «cisco_tac_admin» и «cisco_support» с правами администратора, и для автоматизированного размещения на устройствах импланта, предоставляющего удалённый доступ для выполнения команд на устройстве. Несмотря на то, что для обеспечения должного уровня безопасности рекомендуется открывать доступ к web-интерфейсу только для избранных хостов … Читать далее Уязвимость в Cisco IOS XE, применяемая для установки бэкдора

Организация GNOME Foundation, курирующая разработку пользовательского окружения GNOME, объявила о назначении Холли Миллион (Holly Million) на пост исполнительного директора, который оставался с вакантным с августа прошлого года после ухода Нила МакГоверна (Neil McGovern). Исполнительный директор отвечает за управление и развитие GNOME Foundation как организацией, а также за взаимодействие с советом директоров, консультативным советом (Advisory Board) и членами организации. Холли Миллион имеет обширный опыт управления некоммерческими организациями и является разносторонней и увлечённой личностью, проявившей себя в роли продюсера документальных фильмов, писателя, шамана, художника и педагога. Холли прошла путь от консультанта в некоммерческой организации до директора по разработке, члена совета директоров различных … Читать далее Назначен новый исполнительный директор GNOME Foundation

Сопровождающие официальные редакции дистрибутива Fedora Linux, в которых применяется атомарное обновление системы, выступили с инициативой использования единого имени Fedora Atomic Desktop для сборок, начинка которых не разделяется на отдельные пакеты и обновляется атомарно. Для наименования атомарных редакций предлагается использовать имя «Fedora название_рабочего_стола Atomic», например, в случае появления атомарной сборки с Xfce, она будет распространяться как Fedora Xfce Atomic. В настоящее время атомарные редакции Fedora представлены на сайте, как неизменяемые («immutable»), что сбивает пользователей с толку. Кроме того, подобные сборки распространяются под произвольными именами, не привязанными к архитектурным особенностям, что создаёт у пользователей сложности при выборе той или ной редакции Fedora. … Читать далее Инициатива Fedora Atomic Desktop

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.0.12, в котором отмечено 24 исправления. Одновременно сформировано обновление прошлой ветки VirtualBox 6.1.48 с 9 изменениями, в числе которых поддержка ядер Linux 6.5 и 6.6-rc, поддержка пакета с ядром из OpenSUSE 15.5, улучшение поддержки ядра Linux 6.4 и исправления для пакетов с ядром из RHEL 8.9 и 9.3. Основные изменения в VirtualBox 7.0.12: В дополнениях для гостевых систем на базе Linux добавлена поддержка ядра Linux 6.5, находящейся в разработке ветки ядра 6.6 и пакета с ядром из дистрибутива OpenSUSE 15.5. Внесены исправления, направленные на улучшение работы в системах с ядром Linux 6.4 … Читать далее Выпуск VirtualBox 7.0.12