Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla. Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3. На соревнованиях … Читать далее На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu

Состоялся релиз десктоп-ориентированной операционной системы MidnightBSD 3.0, основанной на FreeBSD с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD. Базовое десктоп-окружение построено на основе GNUstep, но пользователи имеют возможность установить WindowMaker, GNOME, Xfce или Lumina. Для загрузки подготовлен установочный образ размером 1 ГБ (i386, amd64). В отличие от других десктоп-сборок FreeBSD, ОС MidnightBSD изначально развивалась как форк FreeBSD 6.1-beta, который в 2011 году был синхронизирован с кодовой базой FreeBSD 7 и впоследствии вобрал в себя многие возможности из веток FreeBSD 9-12. Для управления пакетами в MidnightBSD задействована система mport, которая использует БД SQLite для хранения индексов и метаданных. Установка, удаление … Читать далее Выпуск операционной системы MidnightBSD 3.0

Раскрыты сведения о двух уязвимостях в офисном пакете Apache OpenOffice. Проблемы были устранены в выпуске Apache OpenOffice 4.1.14 под видом не связанных с безопасностью ошибок (сведения об уязвимости раскрыты спустя месяц после выпуска OpenOffice 4.1.14): CVE-2022-47502 — атакующий может разместить в документе ссылку, вызывающую макрос с произвольными аргументами и добиться выполнения своего скрипта при нажатии пользователем на эту ссылку или при автоматическом срабатывании связанных с документом событий без предварительного подтверждения операции. Проблеме присвоен критический уровень опасности. CVE-2022-38745 — OpenOffice может быть настроен для добавления пустого пути поиска Java-классов, что может быть использовано для запуска произвольного Java-кода, размещённого в текущем каталоге. … Читать далее Уязвимости в Apache OpenOffice

Проект Wine опубликовал выпуск пакета vkd3d 1.7 с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan. В состав пакета входят библиотеки libvkd3d с реализаций Direct3D 12, libvkd3d-shader c транслятором 4 и 5 модели шейдеров и libvkd3d-utils с функциями для упрощения портирования приложений Direct3D 12, а также набор демонстрационных примеров, включая порт glxgears на Direct3D 12. Код проекта распространяется под лицензией LGPLv2.1. Библиотека libvkd3d поддерживает большую часть возможностей Direct3D 12, включая средства для графики и вычислений, очереди и списки команд, дескрипторы и дескрипторы кучи, корневые сигнатуры, неупорядоченный доступ, Sampler-ы, сигнатуры команд, корневые константы, непрямую (indirect) отрисовку, методы Clear*() … Читать далее Проект Wine опубликовал Vkd3d 1.7 с реализацией Direct3D 12

Компания Docker объявила об отмене ранее принятого решения о прекращении действия сервиса по подписке «Docker Free Team», позволяющего организациям, курирующим открытые проекты, бесплатно размещать образы контейнеров в каталоге Docker Hub, организовать работу команд и использовать приватные репозитории. Сообщается, что пользователи «Free Team» могут продолжить работу в прежнем режиме и не опасаться ранее намеченного удаления их учётных записей. Пользователям, с 14 по 24 марта перешедшим с «Free Team» на платные тарифы, будут возвращены потраченные средства и предоставлена возможность бесплатного использования выбранного тариф на оплаченный срок (далее пользователь может вернуться на бесплатный тариф «Free Team»). Пользователи, запросившие переход на упрощённую персональную подписку … Читать далее Docker Hub отменил решение об упразднении бесплатного сервиса Free Team

GitHub сообщил об инциденте, в результате которого закрытый RSA-ключ, используемый в качестве хостового ключа при доступе к репозиториям GitHub по SSH, по ошибке оказался опубликован в публично доступном репозитории. Для исключения возможного перехвата сеансов SSH к GitHub в случае попадания RSA-ключа в руки злоумышленников, GitHub инициировал процесс замены ключа. Утечка не коснулась SSH-ключе ECDSA и Ed25519, которые продолжают оставаться безопасными. Попавший в открытый доступ SSH-ключ не позволяет получить доступ к инфраструктуре GitHub или данным пользователей, но может использоваться для перехвата Git-операций, производимых через SSH. Источник: http://www.opennet.ru/opennews/art.shtml?num=58858 Читать далее GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий

В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch. Атака производится через копирование файлов с флагами setgid/setuid из раздела, примонтированного в режиме nosuid, в раздел OverlayFS, имеющий слой, связанный с разделом, допускающим выполнение suid-файлов. Уязвимость близка к проблеме CVE-2021-3847, выявленной в 2021 году, но отличается более … Читать далее Уязвимость в OverlayFS, позволяющая повысить свои привилегии

Опубликован релиз Proxmox Virtual Environment 7.4, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.1 ГБ. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 7.4, дистрибутива для организации работы виртуальных серверов

Опубликованы корректирующие выпуски коммуникационного клиента Dino 0.4.2, 0.3.2 и 0.2.3, поддерживающего чат, аудиовызовы, видеовызовы, видеоконференции и обмен текстовыми сообщениями с использованием протокола Jabber/XMPP. В обновлениях устранена уязвимость (CVE-2023-28686), позволяющая неавторизированному пользователю через отправку специально оформленного сообщения организовать добавление, изменение или удаление записей в персональных закладках другого пользователя без необходимости совершения жертвой каких-то действий. Кроме того, уязвимость позволяет изменить отображение групповых чатов или принудительно подключить или отключить пользователя от определённого группового чата, а также ввести пользователя в заблуждение для получения доступа к конфиденциальной информации. Источник: http://www.opennet.ru/opennews/art.shtml?num=58855 Читать далее Уязвимость в мессенджере Dino, позволяющая обойти проверку отправителя

Компания NVIDIA представила выпуск новой ветки проприетарного драйвера NVIDIA 530.41.03. Драйвер доступен для Linux (ARM64, x86_64), FreeBSD (x86_64) и Solaris (x86_64). NVIDIA 530.x стала четвёртой стабильной веткой после открытия компанией NVIDIA компонентов, работающих на уровне ядра. Исходные тексты модулей ядра nvidia.ko, nvidia-drm.ko (Direct Rendering Manager), nvidia-modeset.ko и nvidia-uvm.ko (Unified Video Memory) из состава NVIDIA 530.41.03, а также используемые в них общие компоненты, не привязанные к операционной системе, опубликованы на GitHub. Прошивки и используемые в пространстве пользователя библиотеки, такие как стеки CUDA, OpenGL и Vulkan, остаются проприетарными. Основные новшества: Добавлен профиль приложения для решения проблем с производительностью в Xfce 4 при … Читать далее Выпуск проприетарного драйвера NVIDIA 530.41.03

Опубликовано обновление дистрибутива Ubuntu 20.04.6 LTS. В состав выпуска включены только накопившиеся обновления пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Версии ядра и программ соответствуют версии 20.04.5. Основной целью нового выпуска является обновление установочных образов для архитектуры amd64. В установочном образе решены проблемы, связанные с отзывом ключей в ходе устранения уязвимости в загрузчике GRUB2. Таким образом возобновлена возможность установки Ubuntu 20.04 на системы с UEFI Secure Boot. Использовать представленную сборку имеет смысл только для старого оборудования, а для новых систем более актуальным является выпуск Ubuntu 22.04.2 LTS. Системы, установленные ранее, могут получить все присутствующие в Ubuntu 20.04.6 … Читать далее Обновление дистрибутива Ubuntu 20.04.6 LTS

Компания Яндекс объявила об открытии исходных текстов платформы распределённого хранения и обработки больших объёмов данных YTsaurus, поддерживающей манипуляцию данными с использованием парадигмы MapReduce, движка SQL-запросов, распределённой файловой системы и NoSQL хранилища в формате ключ-значение. YTsaurus используется в инфраструктуре Яндекс для эффективного использования вычислительных мощностей суперкомпьютеров компании. Код проекта написан на языках C/C++ и открыт под лицензией Apache 2.0. Платформа может масштабироваться до кластеров, включающих более 10 тысяч узлов и охватывающих до миллиона процессоров и тысяч GPU (для решения задач машинного обучения). В качестве образующих кластер единиц могут использоваться изолированные контейнеры, запускаемые на физических серверах. В хранилище могут находится эксабайты данных, … Читать далее Яндекс открыл YTsaurus, платформу для обработки и хранения больших объёмов данных

В приложении Markup, применяемом в смартфонах Google Pixel для кадрирования и редактирования скриншотов, выявлена уязвимость (CVE-2023-21036), позволяющая частично восстановить обрезанную или отредактированную информацию. Проблема проявляется при редактировании в Markup PNG-изображений и вызвана тем, что при записи нового изменённого изображения данные накладываются на старый файл без его усечения, т.е. полученный после редактирования итоговый файл включает хвост исходного файла, в котором остаются старые сжатые данные. Проблема оценивается как уязвимость, так как пользователь может опубликовать отредактированное изображение, предварительно вырезав конфиденциальные данные, но на деле эти данные остаются в файле, хотя и не видны при обычном просмотре. Для восстановления оставшихся данных запущен web-сервис acropalypse.app … Читать далее Возможность восстановления части скриншотов, кадрированных на смартфонах Pixel

Доступен выпуск XWayland 23.1.0, DDX-компонента (Device-Dependent X), обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. Основные изменения: Добавлена поддержка 4 версии Wayland-протокола «linux-dmabuf«, предназначенного для совместного использования нескольких видеокарт при помощи технологии dma-buf. Добавлена поддержка протокола xwayland_shell, позволяющий создать объект xwayland_surface_v1 для определённой поверхности wl_surface. Добавлена поддержка события wl_pointer.axis_value120, доступного через программный интерфейс wl_pointer и предназначенного для высокоточного скроллинга на манипуляторах мышь с колесом прокрутки высокого разрешения. Улучшена поддержка режима «rootful» для использования XWayland в роли вложенного X-сервера. Улучшено получение имён устройств вывода при применении эмулируемого расширения XRandR. Из-за потенциальных проблем с безопасностью по умолчанию … Читать далее Выпуск XWayland 23.1.0, компонента для запуска X11-приложений в Wayland-окружениях

Подготовлен релиз дистрибутива TeX Live 2023, созданного в 1996 году на базе проекта teTeX. TeX Live является наиболее простым способом развертывания инфраструктуры для подготовки научной документации, независимо от используемой операционной системы. Для загрузки сформирована сборка (4 ГБ) TeX Live 2023, которая содержит рабочее Live-окружение, полный набор установочных файлов для различных операционных систем, копию репозитория CTAN (Comprehensive TeX Archive Network), подборку документации на разных языках (включая русский). Из новшеств можно отметить: В epTeX и eupTeX реализованы новые примитивы «tojis», «ptextracingfonts» и «ptexfontname». В LuaTeX добавлен примитив «variablefam» для вариативных математических символов. В pdfTeX добавлены примитивы «pdfomitinfodict», «pdfomitprocset» и «pdfinterwordspaceon». Прекращена отдельная … Читать далее Выпуск TeX-дистрибутива TeX Live 2023 и пакета a2ps 4.15

Компания Mozilla учредила стартап Mozilla.ai и инвестировала в него 30 млн долларов. Целью создания Mozilla.ai называется построение экосистемы для упрощения разработки заслуживающих доверия, независимых и открытых проектов, связанных с машинным обучением и искусственным интеллектом. Стартап намерен объединить единомышленников, считающих, что связанные с искусственным интеллектом разработки должны быть прозрачны, контролируемы и открыты. Mozilla.ai предоставит разработчикам, исследователям и создателем продуктов отдельную площадку, отделённую от крупных корпораций и учебных заведений, и позволяющую совместно построить независимую, децентрализованную и заслуживающую доверия экосистему. Что касается разработок, то на первом этапе основное внимание планируется уделить инструментам для повышения безопасности и прозрачности генеративных моделей машинного обучения, таких как … Читать далее Mozilla запустила проект Mozilla.ai для развития открытых систем машинного обучения

Состоялся релиз каталогизатора домашней библиотеки MyLibrary 2.1. Код программы написан на языке программирования С++ и доступен (GitHub, GitFlic) под лицензией GPLv3. Графический интерфейс пользователя реализован с помощью библиотеки GTK4. Программа адаптирована для работы в операционных системах семейства Linux и Windows. Для пользователей Arch Linux в AUR доступен готовый пакет. MyLibrary каталогизирует файлы книг в формате fb2, epub, pdf, djvu, как доступные напрямую, так и упакованные в архивы, и создаёт собственную базу данных, не изменяя исходные файлы и не меняя их положения. Контроль целостности коллекции и её изменений осуществляется за счёт создания базы данных хэш-сумм файлов и архивов. Реализован поиск книг … Читать далее Выпуск каталогизатора домашней библиотеки MyLibrary 2.1

После шести месяцев разработки представлен выпуск десктоп-окружения GNOME 44. Для быстрой оценки возможностей GNOME 44 предложены специализированные Live-сборки на основе openSUSE и установочной образ, подготовленный в рамках инициативы GNOME OS. GNOME 44 также уже включён в состав экспериментальных сборок Ubuntu 23.04 и Fedora 38. В новом выпуске: В диалог, открываемый в приложениях GNOME для выбора файлов, добавлен режим отображения содержимого каталогов в форме сетки значков. По умолчанию продолжает использоваться классическое представление в виде списка файлов, а для перехода в режим значков в правой части панели появилась отдельная кнопка. Новый диалог доступен только в приложениях, переведённых на GTK4, и отсутствует в … Читать далее Опубликовано пользовательское окружение GNOME 44

Опубликован релиз web-браузера Pale Moon 32.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированным в Firefox 29 и 57 интерфейсам Australis и Photon, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox, … Читать далее Выпуск браузера Pale Moon 32.1

Состоялся выпуск Polemarch 3.0.0, web-интерфейса для управления серверной инфраструктурой на базе Ansible. Код проекта написан на языках Python и JavaScript с использованием фреймворков Django и Celery. Проект распространяется под лицензией AGPLv3. Для запуска системы достаточно установить пакет и запустить 1 сервис. Для промышленного применения рекомендуется дополнительно использовать MySQL/PostgreSQL и Redis/RabbitMQ+Redis (кэш и брокер MQ). Для каждой версии формируется образ Docker. Основные изменения: Переход на новую версию Rest API v4 и минимально поддерживаемую версию Python 3.8. Переход был необходим для улучшения поддержки новой системы плагинов и расширений, а так же для ускорения разработки. Так же были упрощены некоторые дублирующие элементы, для … Читать далее Релиз Polemarch 3.0, web-интерфейса для управления инфраструктурой

После шести месяцев разработки компания Oracle выпустила платформу Java SE 20 (Java Platform, Standard Edition 20), в качестве эталонной реализации которой используется открытый проект OpenJDK. За исключением удаления некоторых устаревших возможностей в Java SE 20 сохранена обратная совместимость с прошлыми выпусками платформы Java — большинство ранее написанных Java-проектов без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 20 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64, AArch64), Windows (x86_64) и macOS (x86_64, AArch64). Разработанная в рамках проекта OpenJDK эталонная реализация Java 20 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими … Читать далее Выпуск Java SE 20