В JavaScript-библиотеке JsonWebToken с реализацией технологии JSON Web Token (JWT) выявлена уязвимость (CVE-2022-23529), позволяющая добиться удалённого выполнения кода при верификации специально оформленного JWT-запроса. За последнюю неделю библиотека была загружена из каталога NPM более 10 млн раз. В качестве зависимости JsonWebToken задействован в более чем 22 тысячах пакетов, в которых используется для верификации и подписывания токенов JWT, применяемых для защищённой передачи информации в формате JSON. Уязвимость устранена в выпуске JsonWebToken 9.0.0. Уязвимость вызвана ошибкой в реализации метода verify, который принимает три параметра (токен, secretOrPublicKey и набор опций), после чего проверяет корректность токена и возвращает декодированное содержимое. В соответствии со спецификацией параметр … Читать далее RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн загрузок в неделю

Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 — с высокопоставленным госслужащими. Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль «Password-1234» использовался 478 сотрудниками, Password123$ — 318, Password1234 — 274, … Читать далее В ходе аудита удалось подобрать 21% паролей сотрудников МВД США

Компания Google представила релиз web-браузера Chrome 109. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 110 запланирован на 7 февраля. Основные изменения в Chrome 109: Возвращена поддержка языка разметки MathML Core (Mathematical Markup Language) для определения математических формул, встраиваемых … Читать далее Релиз Chrome 109 с поддержкой MathML

Компания Counterplay Games объявила об открытии исходных текстов игры Duelyst, сочетающей свойства карточной игры и пошаговой стратегии, в которой два игрока сражаются на тактическом поле боя, по очереди вытаскивая карты с существами и заклинаниями. Код написан на языке JavaScript и открыт как общественное достояние под лицензией CC0 1.0 (Creative Commons Zero v1.0 Universal). Готовые сборки клиентов подготовлены для Linux, Windows и macOS. Сервер можно запустить на своих мощностях или воспользоваться окружением staging.duelyst.org, которое также поддерживает игру в online через браузер. Дальнейшее развитие игры будет продолжено сообществом в рамках проекта OpenDuelyst, к разработке которого может присоединиться любой желающий. Ключевой целью проекта … Читать далее Открыты исходные тексты игры Duelyst

Опубликовано предложение по расширению языка Python — PEP-0703, в котором рассматривается добавление режима сборки CPython без глобальной блокировки интерпретатора (GIL, Global Interpreter Lock). Предложение сводится к оставлению по умолчанию GIL, но добавлению для его отключения сборочной опции «—without-gil». Спецификация пока находится на стадии черновика, подлежащего обсуждению. Новый режим позволит решить проблему с распараллеливанием операций на многоядерных системах, вызванную тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. По умолчанию отключение GIL нецелесообразно в связи с накладными расходами, связанными с изменениями в сборщике мусора, системе управления памятью и примитивах для организации блокировок. Например, из-за использования подсчёта … Читать далее В CPython появится возможность отключения глобальной блокировки интерпретатора

В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора). Атака может быть совершена в том числе на конфигурации, явно не использующие SSH для обращения к индексам или зависимостям, если в настройках Git разрешена замена HTTPS-соединений к GitHub на SSH (параметр url.‹base›.insteadOf), что … Читать далее Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust

После 20 лет разработки сформирован первый стабильный релиз пошаговой стратегической игры FreeCol 1.0. Игра продолжает развитие старой игры Colonization и предлагает игровой процесс по колонизации неосвоенных территорий и создании новой нации. Код написан на языке Java и распространяется под лицензией GPLv2. В новой версии: Существенно увеличена стабильность, устранены многие ошибки. Добавлена новая графика колоний. Предложено новое изображение леса и пустыни. Значительно улучшен искусственный интеллект компьютерного игрока. Параметры игровых клеток, в которых осуществляется производство товаров, приведены к соответствию оригинальной игре. Добавлены новые графические переходы между базовыми игровыми клетками. Для модов предоставлена возможность определения специфичных для наций типов юнитов и добавлены инструменты … Читать далее Выпуск стратегической игры FreeCol 1.0

Доступен выпуск Privaxy 0.5, прокси-сервера для блокирования рекламы и кода отслеживания перемещений между сайтами. Реализация блокировщика в форме отдельного прокси-сервера даёт возможность использовать его в качестве универсального решения, позволяющего фильтровать обращения не только из web-браузеров. Прокси также не зависит от ограничений браузеров, напирмер, накладываемых третьей версией манифеста Chrome, и обеспечивает более высокую производительность и низкие требования к ресурсам. Например, при загрузке 320 тысяч фильтров потребление памяти составляет 50 МБ и имеется возможность фильтрации тысяч запросов в секунду. Код проекта написан на языке Rust и распространяется под лицензией AGPLv3. Сборки подготовлены для Linux (AppImage, deb), Windows и macOS. Метод работы Privaxy … Читать далее Выпуск блокировщика рекламы Privaxy 0.5

В рамках проекта Tilck сотрудник VMware развивает монолитное ядро, фундаментально отличающееся от Linux, но спроектированное для совместимости с Linux на бинарном уровне и возможности запуска приложений, собранных для Linux. Код написан на языке Си и распространяется под лицензией BSD. На текущем этапе развития ядром поддерживается только архитектура x86, но код разработан с оглядкой универсальность и на реализацию в будущем поддержки других архитектур. Ядро поддерживает вытесняющую многозадачность и реализует около 100 основных системных вызовов Linux, например, fork(), waitpid(), read(), write(), select() и poll(), которых достаточно для выполнения консольных приложений, таких как BusyBox, Vim, TinyCC, Micropython и Lua, а также графических приложений, … Читать далее Проект Tilck развивает упрощённое Linux-совместимое ядро

Опубликована утилита TTop, предназначенная для интерактивного мониторинга работы процессов в стиле программы top и примечательная возможностью просмотра прошлого состояния в соответствии с сохранёнными историческими данными (на экране отображается график изменения нагрузки (LA) и пользователь может оценить состояние процессов в выбранный момент, например, когда наблюдался пик нагрузки). Код утилиты написан на языке Nim и распространяется под лицензией MIT. Программа поддерживает следующие функции: Снятие снапшотов состояния системы через systemd.timers; Перемещение по историческим данным с помощью клавиш «[» и «]»; Подсветка критических значений ›80%; Ascii-график по снапшотам; Возможность работы без прав root; Наличие статической сборки или «yay -S ttop» для arch; Планируется добавление … Читать далее TTop — утилита мониторинга системы с поддержкой исторических данных

В кодовую базу сервера X.org и DDX-компонента Xwayland принято изменение, по умолчанию блокирующее подключение клиентов с систем, имеющих иной порядок байтов. В качестве причины называется наличие потенциальных проблем с безопасностью в коде преобразования порядка байтов, который недостаточно протестирован и может оказаться слабым местом при организации атак на систему. При этом на практике преобразование порядка байтов последнее время используется крайне редко, так как рабочие станции на которых запускается X-сервер, как правило, оснащены процессорами с порядком байтов little-endian (от младшего к старшему байту), и подключение к ним X-клиентов с порядком big-endian, таких как  платформа s390x (IBM zSystems), является большой редкостью. Таким образом, решено, … Читать далее В X-сервере отключена обработка запросов от клиентов с иным порядком байтов

Компания TIOBE Software опубликовала январский рейтинг популярности языков программирования, в котором по сравнению с январём 2022 года выделяется перемещение языка С++ с четвёртого на третье место. Язык Java соответственно сместился с третьего на четвёртое место. Индекс популярности TIOBE строит свои выводы на основе анализа статистики поисковых запросов в таких системах, как Google, Google Blogs, Yahoo!, Wikipedia, MSN, YouTube, QQ, Sohu, Bing, Amazon и Baidu. Из изменений за год также отмечается рост популярности языков Rust (поднялся с 26 на 18 место), Ruby (с 18 на 16), Scratch (с 23 на 20), SQL (с 9 на 8 место), PHP (с 11 на … Читать далее С++ поднялся на 3 место в рейтинге языков программирования Tiobe

Опубликовано обновление дистрибутива OpenWrt 22.03.3, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 32 целевых платформ. Основные изменения в OpenWrt 22.03.3: Добавлена поддержка устройств Ruckus ZoneFlex 7372/7321, ZTE MF289F, TrendNet TEW-673GRU, Linksys EA4500 v3 и Wavlink WS-WN572HP3 4G. Устранена проблема с зацикливанием перезагрузки при использовании загрузчика с LZMA, проявлявшаяся на … Читать далее Обновление OpenWrt 22.03.3

Состоялся выпуск библиотеки libmdbx 0.12.3 (MDBX) с реализацией высокопроизводительной компактной встраиваемой базы данных класса ключ-значение. Код libmdbx распространяется под лицензией OpenLDAP Public License. Поддерживаются все актуальные операционные системы и архитектуры, а также российский Эльбрус 2000. Для libmdbx предлагается развитое C++ API, а также поддерживаемые энтузиастами привязки к языкам Rust, Haskell, Python, NodeJS, Ruby, Go, Nim, Deno, Scala. Исторически libmdbx является глубокой переработкой СУБД LMDB и превосходит своего прародителя по надёжности, набору возможностей и производительности. В сравнении с LMDB, в libmdbx большое внимание уделяется качеству кода, стабильной работе API, тестированию и автоматическим проверкам. Поставляется утилита проверки целостности структуры БД с некоторыми … Читать далее Выпуск встраиваемой СУБД libmdbx 0.12.3

Опубликован выпуск проекта Valetudo 2023.01.0, предлагающего открытое решение для избавления роботов-пылесосов от привязки к облачным сервисам. Многие модели роботов-пылесосв поддерживают управление через мобильное приложений или сайт, но ценой подобной возможности является привязка к внешнему облачному сервису производителя. Valetudo развивает набор изменений для штатных прошивок, позволяющих заменить привязку к облаку на полностью подконтрольный пользователю интерфейс, не обращающийся к внешним хостам. Код интерфейса написан на JavaScript (серверная часть использует Node.js) и распространяется под лицензией Apache 2.0. Проектом поддерживается более 20 моделей роботов-пылесосов, производимых такими компаниями, как Xiaomi, Dreame, Roborock, MOVA, Viomi, Cecotec и Proscenic. Установка Valetudo требует получения root-доступа к программному окружению … Читать далее Проект Valetudo развивает модификации прошивок для локального управления роботами-пылесосами

Опубликованы результаты сканирования пакетов в репозитории PyPI (Python Package Index) на предмет наличия забытых в коде ключей доступа к Amazon Web Services (AWS). Провести проверку побудил прошлогодний инцидент с утечкой AWS-ключей компании InfoSys. Как оказалось случай не единичный и в коде представленных в PyPi пакетов удалось выявить ещё 57 действующих ключей, которые присутствовали среди прочего в проектах таких крупных компаний, как Amazon, Intel, Terradata, General Atomics, Top Glove и Delta Lake, а также в репозиториях австралийского правительства и университетов Сендфорда, Портланда и Луизианы. Для поиска ключей в коде использовалась утилита ripgrep с регулярным выражением «((?:ASIA|AKIA|AROA|AIDA)([A-Z0-7]{16}))» для выявления наличия идентификаторов ключей … Читать далее В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS

Проект OpenMandriva представил первый релиз новой редакции дистрибутива OpenMandriva Lx ROME (23.01), в которой используется модель непрерывной доставки обновлений (rolling-выпуски). Предложенная редакция позволяет получить доступ к новым версиям пакетов, развиваемым для ветки OpenMandriva Lx 5, не дожидаясь формирования классического дистрибутива. Для загрузки подготовлены iso-образы размером 2.8 ГБ c рабочими столами KDE и GNOME, поддерживающие загрузку в Live-режиме. Особенности выпуска: Предложены новые версии пакетов, включая ядро Linux 6.1 (по умолчанию предлагается ядро, собранное в Clang, а опционально — в GCC), systemd 252, PHP 8.2.0, FFmpeg 5.1.2, binutils 2.39, gcc 12.2, glibc 2.36, Java 20. Компилятор Clang, используемый для сборки пакетов, обновлён … Читать далее Первый выпуск rolling-дистрибутива OpenMandriva Lx ROME

В библиотеке Hyper, предлагающей реализацию протоколов HTTP/1 и HTTP/2 на языке Rust, выявлена особенность работы с памятью, которая может использоваться для инициирования отказа в обслуживании через исчерпание доступной процессу памяти. Для эксплуатации уязвимости достаточно отправить специально оформленный HTTP-запрос уязвимому обработчику, использующему Hyper. Библиотека достаточно популярна (67 млн загрузок) и используется в качестве зависимости у 2579 проектов, представленных в каталоге crates.io. Причиной уязвимости является отсутствие ограничений на размер ресурсов, передаваемых в HTTP-запросах и -ответах. В библиотеке Hyper для копирования запроса или тела ответа предлагается функция body::to_bytes, копирующая данные запроса и ответа целиком в один буфер без проверки размера полученных данных. Соответственно, … Читать далее Уязвимость в приложениях на базе HTTP-библиотеки Hyper

После года разработки сформирован выпуск Linux-дистрибутива OpenIPC 2.3, предназначенного для использования в камерах видеонаблюдения вместо штатных прошивок, большинство из которых со временем перестают обновляться производителями. Наработки проекта распространяются под лицензией MIT. Образы прошивок подготовлены для IP-камер на основе чипов Hisilicon Hi35xx, Goke GK7205*, Ingenic T31*, SigmaStar SSC335, XiongmaiTech XM510/XM530/XM550. Предлагаемая прошивка предоставляет такие функции, как поддержка аппаратных детекторов движения, собственная реализация протокола RTSP для раздачи видео с одной камеры более чем 10 клиентам одновременно, возможность задействования аппаратной поддержки кодеков h264/h265, поддержка звука с частотой дискретизации до 96КГц, возможность перекодирования JPEG-изображений на лету для чересстрочной загрузки (progressive) и поддержка RAW-формата Adobe … Читать далее Релиз OpenIPC 2.3, альтернативной прошивки для камер видеонаблюдения

Раскрыта информация о нескольких взломах крупных компаний, приведших к утечке конфиденциальных данных: 27 декабря злоумышленники получили доступ к репозиториям компании Slack, размещённым на GitHub, и смогли загрузить содержимое приватных репозиториев. Причиной стала кража токенов нескольких сотрудников Slack. Отмечается, что пользовательские данные и первичная кодовая база приложения Slack не пострадали. В результате компрометации инфраструктуры сервиса непрерывной интеграции CircleCI с 24 декабря по 4 января атакующие получили доступ ко всем данным клиентов, включая OAuth-токены, ключи доступа к API, переменным окружения, SSH-ключи проектов и токены Runner-ов. По заявлению CircleCI сервисом пользуется более миллиона разработчиков и 30 тысяч компаний. Информация о том, как именно … Читать далее Утечка конфиденциальных данных в Slack, CircleCI и Rackspace

Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно … Читать далее Выпуск межсетевого экрана firewalld 1.3