В X.Org Server выявлены четыре уязвимости, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Проблемы обещают устранить в выпуске xorg-server 21.1.2, который ожидается в ближайшие дни. В дистрибутивах проблемы пока остаются неисправленными (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch). CVE-2021-4008 — переполнение буфера в функции SProcRenderCompositeGlyphs, связанное с тем, что обработчик запросов CompositeGlyphs в расширении Render некорректно проверяет длину передаваемых данных, что может быть использовано для записи произвольных данных за границу буфера. Патч с исправлением. CVE-2021-4009 переполнение буфера в функции SProcXFixesCreatePointerBarrier, … Читать далее Уязвимости в X.Org Server

Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server. Проекты Apache, которых не затрагивает уязвимость в Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack. Пользователям проблемных пакетов рекомендуется срочно установить выпущенные для них обновления, отдельно обновить версию Log4j 2 или выставить параметр Log4j2.formatMsgNoLookups в значение … Читать далее 17 проектов Apache оказались затронуты уязвимостью в Log4j 2

Компания Coinbase, поддерживающая одноимённую платформу обмена цифровых валют, объявила об открытии исходных текстов криптографической библиотеки Kryptology, предлагающей набор криптографических алгоритмов для применения в распределённых системах, в которых шифрование и подтверждение подлинности осуществляется с привлечением нескольких участников. Код написан на языке Go и распространяется под лицензией Apache 2.0. Отмечается, что код библиотеки прошёл аудит безопасности, а API разработан с оглядкой на простоту и защиту от случайных ошибок или некорректного использования, способных привести к снижению стойкости реализованных механизмов. При разработке также учтены типовые проблемы, с которыми приходилось сталкиваться в Coinbase. Библиотеке включает в себя: Реализацию схемы разделения секрета Шамира, позволяющую разделить секретное … Читать далее Coinbase опубликовал библиотеку распределённых криптоалгоритмов Kryptology

Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что 0-day уязвимость вызвана использованием памяти после её освобождения в движке V8, а критическая уязвимость связана с отсутствием должной проверки данных в IPC-фреймворке Mojo. Из других уязвимостей упоминаются переполнение буфера (CVE-2021-4101) и обращение к уже освобождённой памяти (CVE-2021-4099) в системе рендеринга Swiftshader, а также проблема (CVE-2021-4100) с жизненным циклом объектов в ANGLE, прослойке для … Читать далее Обновление Chrome 96.0.4664.110 с устранением критической и 0-day уязвимостей

Проект ЯОС развивает ответвление от операционной системы A2, также известной как Bluebottle и Active Oberon. Одна из основных целей проекта — кардинальное внедрение русского языка во всю систему, включая (хотя бы частичный) перевод исходных текстов на русский язык. ЯОС может работать как приложение в окне под Linux или Windows, а также в виде обособленной операционной системы на оборудовании x86 и ARM (поддерживаются платы Zybo Z7-10 и Raspberry Pi 2). Код написан на языке Active Oberon и распространяется под лицензией BSD. Проект выступает основой для развития идей русскоязычного программирования, повышения комфорта работы с кириллицей и русским языком, опробования на практике разных … Читать далее ЯОС — прототип безопасной русскоязычной операционной системы на базе проекта A2

В каталоге PyPI (Python Package Index) выявлены три библиотеки, содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз. Пакеты dpp-client (10194 загрузки) и dpp-client1234 (1536 загрузок) распространялись с февраля и включали код для отправки содержимого переменных окружения, которые, например, могли включать ключи доступа, токены или пароли к системам непрерывной интеграции или облачным окружениям, таким как AWS. Пакеты также отправляли на внешний хост список с содержимым каталогов «/home», «/mnt/mesos/» и «mnt/mesos/sandbox». Пакет aws-login0tool (3042 загрузки) был размещён в репозитории PyPI 1 декабря и включал код для загрузки и запуска троянского приложения … Читать далее В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки

Компания Google опубликовала релиз языка программирования Dart 2.15, продолживший развитие кардинально переработанной ветки Dart 2, которая отличается от изначального варианта языка Dart применением сильной статической типизации (типы могут выводиться автоматически, поэтому указание типов не является обязательным, но динамическая типизация больше не используется и вычисленный изначально тип закрепляется за переменной и в дальнейшем применяется строгая проверка типа). Особенности языка Dart: Привычный и простой для изучения синтаксис, естественный для программистов на JavaScript, Си и Java. Обеспечение быстрого запуска и высокой производительности для всех современных web-браузеров и различных типов окружений, от портативных устройств до мощных серверов. Возможность определения классов и интерфейсов, позволяющих использовать … Читать далее Доступны язык Dart 2.15 и фреймворк Flutter 2.8

Компания Intel передала гипервизор Cloud Hypervisor, оптимизированный для применения в облачных системах, под покровительство организации Linux Foundation, инфраструктура и сервисы которой будут использованы в дальнейшей разработке. Переход под крыло Linux Foundation избавит проект от зависимости от отдельной коммерческой компании и упростит совместную работу с привлечением сторонних участников. О своей поддержке проекта уже объявили такие компании, как Alibaba, ARM, ByteDance и Microsoft, представители которых, наряду с разработчиками из Intel, образовали курирующий проект совет. Напомним, что Cloud Hypervisor предоставляет работающий поверх KVM и MSHV монитор виртуальных машин (VMM), написанный на языке Rust и построенный на основе компонентов совместного проекта Rust-VMM, позволяющего создавать … Читать далее Компания Intel перевела разработку Cloud Hypervisor в организацию Linux Foundation

Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.0, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 14.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox. Проект стартовал в 2010 году в Иллинойсском университете и вначале развивался как исследовательская работа в области создания новых композитных графических интерфейсов. С 2012 года разработка трансформировалась в операционную систему ToaruOS, развиваемую заинтересованным в разработке сообществом. В текущем виде система снабжена композитным оконным менеджером, поддерживает … Читать далее Выпуск операционной системы ToaruOS 2.0

Представлено декабрьское сводное обновление приложений (21.12), развиваемых проектом KDE. Напомним, что сводный набор приложений KDE c апреля публикуется под именем KDE Gear, вместо KDE Apps и KDE Applications. Всего в рамках обновления опубликованы выпуски 230 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Наиболее заметные новшества: В файловом менеджере Dolphin расширена возможность фильтрации вывода, позволяющая оставить в списке только файлы и каталоги, соответствующие заданной маске (например, если нажать «Ctrl + i» и ввести маску «.txt», то в списке останутся только файлы с данным расширением). В новой версии фильтрацию теперь можно применять … Читать далее Выпуск KDE Gear 21.12, набора приложений от проекта KDE

В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути «/public/plugins/‹plugin-id›/», в котором допускалось использование символов «..» для доступа к нижележащим каталогам. Уязвимость может быть эксплуатирована через обращение к URL типовых предустановленных плагинов, таких как «/public/plugins/graph/», «/public/plugins/mysql/» и «/public/plugins/prometheus/» (всего предустановлено около 40 плагинов). Например, для доступа к файлу /etc/passwd можно было отправить запрос «/public/plugins/prometheus/../../../../../../../../etc/passwd». Для выявления следов эксплутации рекомендуется проверить наличие маски «..%2f» в логах http-сервера. Проблема … Читать далее Уязвимости в Grafana, позволяющие получить доступ к файлам в системе

Опубликован выпуск инструментария Ventoy 1.0.62, предназначенного для создания загрузочных USB-носителей, включающих несколько операционных систем. Программа примечательна тем, что обеспечивает возможность загрузки неизменных ISO, WIM, IMG, VHD и EFI-образов, не требуя распаковки образа или переформатирования носителя. Например, достаточно просто скопировать на USB Flash интересующий набор iso-образов и Ventoy обеспечит возможность загрузки находящихся внутри операционных систем. В любой момент можно заменить или добавить новые iso-образы просто скопировав новые файлы, что удобно для тестирования и предварительного ознакомления с различными дистрибутивами и операционными системами. Код проекта написан на языке Си и распространяется под лицензией GPLv3. Ventoy поддерживает загрузку на системах с BIOS, IA32 UEFI, … Читать далее Выпуск Ventoy 1.0.62, инструментария для загрузки произвольных систем с USB-носителей

Началось тестирование первого кандидата в релизы Wine 7.0, открытой реализации WinAPI. Кодовая база переведена на стадию заморозки перед релизом, который ожидается в середине января. По сравнению с выпуском Wine 6.23 закрыто 32 отчёта об ошибках и внесено 211 изменений. Наиболее важные изменения: Предложена новая реализация драйвера джойстика для WinMM (Windows Multimedia API). Все Unix-библиотеки Wine переведены на программный интерфейс на основе системных вызовов. Закрыты отчёты об ошибках, связанные с работой игр: Sea of Thieves, EVE Online Client, World of Warships, Everquest, Houkago Cinderella. Закрыты отчёты об ошибках, связанные с работой приложений: NIK Dfine2, YouTube Movie Maker, cMUD 3.34, OpenMPT, dgVoodoo … Читать далее Кандидат в релизы Wine 7.0

Европейская комиссия утвердила новые правила в отношении открытого программного обеспечения, в соответствии с которыми разработанные по заказу Еврокомиссии программные решения, представляющие потенциальную пользу для жителей, компаний и государственных учреждений, будут доступны всем желающим под открытыми лицензиями. Правила также упрощают перевод в разряд открытых уже существующих программных продуктов, принадлежащих Еврокомиссии, и уменьшают связанную с данным процессом бумажную волокиту. В качестве примеров открываемых решений, разработанных для Еврокомиссии, отмечается eSignature — набор не требующих отчислений стандартов, утилит и сервисов для создания и верификации электронных подписей, принимаемых во всех странах Евросоюза. Другим примером является пакет LEOS (Legislation Editing Open Software), предназначенный для подготовки шаблонов … Читать далее Еврокомиссия будет распространять свои программы под открытыми лицензиями

Опубликован релиз проекта Cambalache 0.8.0, развивающего инструмент быстрой разработки интерфейсов для GTK 3 и GTK 4, использующий парадигму MVC и философию первостепенного значения модели данных. В отличии от Glade в Cambalache предоставляется поддержка ведения нескольких интерфейсов пользователя в одном проекте. По функциональным возможностям выпуск Cambalache 0.8.0 отмечается как близкий к паритету с Glade. Код написан на Python и поставляется под лицензией GPLv2. Cambalache не зависит от GtkBuilder и GObject, но предоставляет модель данных, соответствующую системе типов GObject. Модель данных может импортировать и экспортировать разом несколько интерфейсов, поддерживает объекты, свойства и сигналы GtkBuilder, предоставляет стек отката операций (Undo / Redo) и … Читать далее Релиз Cambalache 0.8.0, инструмента для разработки GTK-интерфейсов

Состоялся стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.20. Ветка 1.20 обратно совместима на уровне API и ABI с выпусками 1.x и содержит в основном исправления ошибок и незначительные обновления протокола. Композитный сервер Weston, предоставляющий код и рабочие примеры для использования Wayland в десктоп-окружениях и встраиваемых решениях, развивается в рамках отдельного цикла разработки. Основные изменения в протоколе: Реализована официальная поддержка платформы FreeBSD, тесты для которой добавлены в систему непрерывной интеграции. Прекращена поддержка сборочной системы autotools, вместо которой теперь применяется Meson. В протокол добавлена возможность «wl_surface.offset», позволяющая клиентам обновлять смещение буфера поверхности независимо от самого буфера. В протокол добавлены … Читать далее Доступен Wayland 1.20

В Apache log4j, популярном фреймворке для организации ведения логов в Java-приложениях, выявлена критическая уязвимость, позволяющая выполнить произвольный код при записи в лог специально оформленного значения в формате «{jndi:URL}». Атака может быть проведена на Java-приложения, записывающие в лог значения, полученные из внешних источников, например, при выводе проблемных значений в сообщениях об ошибках. Отмечается, что проблеме подвержены почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая Steam, Apple iCloud, клиенты и серверы игры Minecraft. Ожидается, что уявзимость может привести к волне массовых атак на корпоративные приложения, повторив историю критических уязвимостей в Apache Struts. В … Читать далее Катастрофическая уязвимость в Apache log4j, затрагивающая многие Java-проекты

В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка. Пакеты discord-selfbot-v14, discord-lofy, discordsystem и discord-vilao использовали модифицированный вариант легитимной библиотеки discord.js, предоставляющей функции для взаимодействия с API Discord. Вредоносные компоненты были интегрированы в один из файлов пакета и включали около 4000 строк кода, запутанного с использованием искажения имён переменных, шифрования строк и нарушения форматирования кода. Код сканировал локальную ФС на предмет токенов Discord и в случае выявления отправлял их … Читать далее В репозитории NPM выявлено 17 вредоносных пакетов

Компания MariaDB, курирующая вместе с одноимённой некоммерческой организацией разработку сервера баз данных MariaDB, аносировала существенное изменение графика формирования сборок MariaDB Community Server и схемы его поддержки. До сих пор компания MariaDB формировала одну значительную ветку раз в год и обеспечивала её сопровождение на протяжении примерно 5 лет. По новой схеме значительные релизы, содержащие функциональные изменения, будут выходить раз в квартал и поддерживаться всего лишь год. В официальном сообщении говорится о «желании ускорить доведения новшеств до сообщества», что, по сути, не более, чем маркетинг, так как команда MariaDB и раньше практиковала доведение новых функциональных возможностей в промежуточных выпусках, что серьёзно расходилось … Читать далее MariaDB существенно меняет график выпусков

Компания Microsoft представила открытый пакет Microsoft-Performance-Tools для анализа производительности и диагностики связанных с производительностью проблем на платформах Linux и Android. Для работы предлагается набор утилит командной строки для анализа производительности всей системы и профилирования отдельных приложений. Код написан на языке C# с использованием платформы .NET Core и распространяется под лицензией MIT. В качестве источника для отслеживания активности в системе и профилирования приложений могут использоваться подсистемы LTTng, perf и Perfetto. LTTng даёт возможность оценивать работу планировщика задач, отслеживать активность процессов, анализировать системные вызовы, ввод/вывод и события в ФС. Perf применяется для оценки нагрузки на CPU. Perfetto может применяться для анализа производительности … Читать далее Опубликован Microsoft-Performance-Tools для Linux и началось распространение WSL для Windows 11

Опубликован выпуск мобильной платформы KDE Plasma Mobile 21.12, основанной на мобильной редакции рабочего стола Plasma 5, библиотеках KDE Frameworks 5, телефонном стеке ModemManager и коммуникационном фреймворке Telepathy. Для вывода графики в Plasma Mobile используется композитный сервер kwin_wayland, а для обработки звука применяется PulseAudio. Одновременно подготовлен выпуск набора мобильных приложений Plasma Mobile Gear 21.12, формируемого по аналогии с набором KDE Gear. Для создания интерфейса приложений применяется Qt, набор компонентов Mauikit и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК. В состав входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, … Читать далее Выпуск мобильной платформы KDE Plasma Mobile 21.12