Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять — с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки «allow trusted domains = no» (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD. Устранённые уязвимости: CVE-2020-25717 — из-за недоработки логики маппинга пользователей домена с пользователями локальной системы, пользователь домена Active Directory, … Читать далее В Samba устранено 8 опасных уязвимостей

Следом за методом атаки Trojan Source, основанном на применении Unicode-символов, меняющих порядок отображения двунаправленного текста, опубликована ещё одна техника внедрения скрытых действий, применимая для кода на языке JavaScript. Новый метод базируется на применении unicode-символа «ㅤ» (код 0x3164, «HANGUL FILLER»), который относится к разряду букв, но не имеет видимого содержимого. Unicode-категория, в которую входит данный символ, разрешена начиная со спецификации ECMAScript 2015 для использования в именах переменных JavaScript, что даёт возможность создавать невидимые переменные или новые переменные, не отличимые от других переменных в популярных редакторах кода, таких как Notepad++ и VS Code. В качестве примера приводится код для платформы Node.js, в … Читать далее Применение невидимых unicode-символов для скрытия действий в JavaScript-коде

Состоялся релиз JavaScript-платформы Deno 1.16, предназначенной для обособленного выполнения (без использования браузера) приложений, написанных на языках JavaScript и TypeScript. Проект развивается автором Node.js Райаном Далем (Ryan Dahl). Код платформы написан на языке программирования Rust и распространяется под лицензией MIT. Готовые сборки подготовлены для Linux, Windows и macOS. Проект схож с платформой Node.js и, подобно ему, использует JavaScript-движок V8, однако, по словам автора Node.js, исправляет ряд архитектурных просчётов своего предшественника и отличается от него следующими нюансами: Использование в качестве основного языка Rust, что, по мнению разработчиков, уменьшает риск появления уязвимостей, связанных с низкоуровневой работой с памятью (переполнение буфера, use-after-free и пр.); … Читать далее Выпуск JavaScript-платформы Deno 1.16

В кодовую базу Chromium добавлена возможность блокировки открытия встроенного в браузер интерфейса для просмотра исходных текстов текущей страницы. Блокировка производится на уровне локальных политик, заданных администратором, через добавление добавление маски «view-source:*» в список запрещённых URL, настраиваемый при помощи параметра URLBlocklist. Изменение дополняет ранее присутствующую опцию DeveloperToolsDisabled, позволяющую закрыть доступ к инструментам для web-разработчиков. Необходимость отключения интерфейса для просмотра кода страниц объясняется тем, что находчивые студенты и школьники пользуются доступом к исходным текстам для поиска правильных ответов при прохождении текстов в образовательных web-платформах, выполняющих проверку ответов на стороне браузера пользователя. В том числе подобным образом школьники обходят тесты на базе платформы … Читать далее В Chromium добавлена возможность локального запрета просмотра кода web-страниц

Исследователи из компаний Claroty и JFrog опубликовали результаты аудита безопасности пакета BusyBox, широко используемого во встраиваемых устройствах и предлагающего набор стандартных утилит UNIX, оформленных в виде единого исполняемого файла. В ходе проверки выявлено 14 уязвимостей, которые уже устранены в августовском выпуске BusyBox 1.34. Почти все проблемы неопасны и сомнительны с точки зрения применения в реальных атаках, так как требуют запуска утилит с полученными извне аргументами. Отдельно выделяется уязвимость CVE-2021-42374, которая позволяет вызвать отказ в обслуживании при обработке специально оформленного сжатого файла утилитой unlzma, а в случае сборки с опций CONFIG_FEATURE_SEAMLESS_LZMA, также любыми другими компонентами BusyBox, включая tar, unzip, rpm, dpkg, … Читать далее Анализ безопасности пакета BusyBox выявил 14 несущественных уязвимостей

После полутора лет разработки представлен релиз библиотеки ncurses 6.3, предназначенной для создания многоплатформенных интерактивных консольных пользовательских интерфейсов и поддерживающей эмуляцию программного интерфейса curses из System V Release 4.0 (SVr4). Выпуск ncurses 6.3 совместим на уровне исходных текстов с ветками ncurses 5.x и 6.0, но расширяет ABI. Среди добавленных новшеств: Добавлен экспериментальный драйвер для Windows Terminal. Предоставлен отдельный скрипт для обновления ncurses до новой версии на платформе OpenBSD. Добавлены sp-функции для операций erasewchar и killwchar. Переведено в разряд устаревших wgetch-событие KEY_EVENT. Добавлены новые опции в утилиты tabs, tic, toe, toe, tput. В БД терминалов добавлены 27 новых описаний терминалов, включая foot, … Читать далее Релиз консольной библиотеки ncurses 6.3

Сформирован значительный релиз специализированного браузера Tor Browser 11.0, в котором осуществлён переход на ESR-ветку Firefox 91. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP-адрес пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS. Формирование новой версии для Android задерживается. Для обеспечения дополнительной защиты в состав Tor Browser входит дополнение HTTPS Everywhere, позволяющее использовать … Читать далее Доступен Tor Browser 11.0 с переработанным интерфейсом

Разработчики проекта Raspberry Pi опубликовали осеннее обновление дистрибутива Raspberry Pi OS (Raspbian), основанного на пакетной базе Debian. Для загрузки подготовлены три сборки — сокращённая (463 МБ) для серверных систем, с рабочим столом (1.1 ГБ) и полная с дополнительным набором приложений (3 ГБ). Дистрибутив поставляется с пользовательским окружением PIXEL (ответвление от LXDE). Для установки из репозиториев доступно около 35 тысяч пакетов. В новом выпуске: Осуществлён переход на пакетную базу Debian 11 «Bullseye» (ранее использовался Debian 10). Все компоненты рабочего стола PIXEL и предлагаемые приложения переведены на использование библиотеки GTK3 вместо GTK2. В качестве причины миграции называется желание избавиться от пересечения в … Читать далее Новый выпуск дистрибутива Raspberry Pi OS, обновлённый до Debian 11

Компания Microsoft представила новый значительный выпуск открытой платформы .NET 6, созданной благодаря унификации продуктов .NET Framework, .NET Core и Mono. На основе .NET 6 можно создавать многоплатформенные приложения для браузера, облачных систем, рабочего стола, IoT-устройств и мобильных платформ, используя единые библиотеки и общий процесс сборки, не зависящий от типа приложения. Сборки .NET SDK 6, .NET Runtime 6 и ASP.NET Core Runtime 6 сформированы для Linux, macOS и Windows. .NET Desktop Runtime 6 поставляется только для Windows. Связанные с проектом наработки распространяются под лицензией MIT. В состав .NET 6 входит runtime CoreCLR с JIT-компилятором RyuJIT, стандартные библиотеки, библиотеки CoreFX, WPF, Windows … Читать далее Релиз платформы .NET 6

Состоялся релиз rav1e 0.5.0, кодировщика формата кодирования видео AV1. Продукт развивается сообществами Mozilla и Xiph и отличается от эталонной реализации libaom, написанной на языках C/C++, увеличением скорости кодирования и повышенным вниманием к обеспечению безопасности (эффективность сжатия пока отстаёт). Продукт написан на языке программирования Rust с ассемблерными вставками (72.2% — ассемблер, 27.5% — Rust), код распространяется под лицензией BSD. Готовые сборки подготовлены для Windows и macOS (сборки для Linux временно пропущены из-за проблем с системой непрерывной интеграции). В rav1e поддерживаются все основные возможности AV1, включая поддержку внутренне- и внешне-кодированных кадров (intra- и inter-кадров), суперблоков 64×64, цветовой субдискретизации 4:2:0, 4:2:2 и 4:4:4, … Читать далее Выпуск rav1e 0.5, кодировщика AV1

После 6 месяцев разработки опубликован выпуск свободного игрового движка Godot 3.4, подходящего для создания 2D- и 3D-игр. Движок поддерживает простой для изучения язык задания игровой логики, графическую среду для проектирования игр, систему развёртывания игр в один клик, широкие возможности анимации и симуляции физических процессов, встроенный отладчик и систему выявления узких мест в производительности. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой сервер, бэкенды 2D/3D рендеринга и т.п.) распространяются под лицензией MIT. Исходные тексты движка были открыты в 2014 году студией OKAM, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации … Читать далее Выпуск открытого игрового движка Godot 3.4

Майкл Мёрфи (Michael Aaron Murphy), лидер разработчиков дистрибутива Pop!_OS и участник разработки операционной системы Redox, подтвердил сведения о разработке компанией System76 нового окружения рабочего стола, не основанного на GNOME Shell и написанного на языке Rust. Компания System76 специализируется на производстве ноутбуков, ПК и серверов, поставляемых с Linux. Для предустановки развивается собственная редакция Ubuntu Linux — Pop!_OS. После перехода Ubuntu на оболочку Unity в 2011 году в дистрибутиве Pop!_OS было предложено своё пользовательское окружение на базе модифицированной оболочки GNOME Shell и нескольких расширений к GNOME Shell. После возвращения Ubuntu на GNOME в 2017 году в Pop!_OS продолжили поставку своей оболочки, которая … Читать далее Компания System76 работает над созданием нового пользовательского окружения

Опубликован выпуск проекта Snoop 1.3.1, развивающего криминалистический OSINT-инструмент, который разыскивает учётные записи пользователей в публичных данных (разведка на основе открытых источников). Программа анализирует различные сайты, форумы и социальные сети на предмет наличия искомого имени пользователя, т.е. позволяет определить на каких сайтах имеется пользователь с указанным ником. Проект разработан на материалах исследовательской работы в области скрапинга публичных данных. Сборки подготовлены для Linux и Windows. Код написан на языке Python и распространяется под лицензией, ограничивающей применение только для личного пользования. При этом проект является ответвлением от кодовой базы проекта Sherlock, поставляемой под лицензией MIT (форк был создан из-за невозможности расширить базу сайтов). … Читать далее Выпуск Snoop 1.3.1, OSINT-инструмента для сбора информации о пользователе из открытых источников

В коммутаторах Cisco Catalyst серии PON CGP-ONT-* (Passive Optical Network) выявлена критическая проблема с безопасностью (CVE-2021-34795), позволяющая при включении протокола telnet подключиться к коммутатору с правами администратора, используя заранее известную отладочную учётную запись, оставленную производителем в прошивке. Проблема проявляется только при активации в настройках возможности доступа через telnet, который отключён по умолчанию. Кроме наличия учётной записи с заранее известным паролем в рассматриваемых моделях коммутаторов также выявлены две уязвимости (CVE-2021-40112, CVE-2021-40113) в web-интерфейсе, позволяющие неаутентифицированному атакующему, не знающему параметры входа, выполнить свои команды с правами root и внести изменения в настройки. По умолчанию доступ к web-интерфейсу разрешён только из локальной сети, … Читать далее Уязвимость в коммутаторах Cisco Catalyst PON, позволяющая войти через telnet без знания пароля

Доступен web-браузер LibreWolf 94, представляющий собой пересборку Firefox 94 c изменениями, нацеленными на повышение безопасности и конфиденциальности. Проект развивается сообществом энтузиастов. Изменения публикуются под лицензией MPL 2.0 (Mozilla Public License). Сборки формируются для Linux (Debian, Fedora, Gentoo, Ubuntu, Arch, Flatpak, AppImage), macOS и Windows. Среди основных отличий от Firefox: Удаление кода, связанного с передачей телеметрии, проведением экспериментов по включению тестовых возможностей у части пользователей, показа рекламных вставок в рекомендациях при наборе в адресной строке, вывода лишних объявлений. Отключены по возможности любые обращения к серверам Mozilla и сведена к минимуму установка фоновых соединений. Удалены встроенные дополнения для проверки обновлений, отправки отчётов … Читать далее LibreWolf 94 — вариант Firefox, сфокусированный на конфиденциальности и безопасности

Доступен выпуск проекта fheroes2 0.9.9, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: В окно постройки замка были добавлены кнопки быстрого переключения между городами. Добавлен отсутствующий угол для штаба капитана в городе Варвара. Спрайт водопада в городе Варлока больше не отрисовывается вместе с пещерой. Исправлена размытая дорога возле штаба капитана в городе Варлока. Убрано наложение рва на штаб капитана в замке Варлока. Поддержка устройств с разрешением ниже … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.9

После 10 месяцев разработки представлен релиз Tcl/Tk 8.6.12, динамического языка программирования, распространяемого совместно с кроссплатформенной библиотекой базовых элементов графического интерфейса. Несмотря на то, что основное распространение Tcl получил для создания интерфейсов пользователя и как встраиваемый язык, Tcl также подходит для других задач. Например, для web-разработки, создания сетевых приложений, администрирования систем и тестирования. Код проекта распространяется под лицензией BSD. В новой версии: В Tk продолжена работа по улучшению поддержки платформы macOS. Обеспечена совместимость с macOS 12.1 «Monterey». Улучшена поддержка пиксельных форматов. Реализовано новое виртуальное событие «TkWorldChanged». Добавлены новые клавиатурные коды CodeInput, SingleCandidate, MultipleCandidate, PreviousCandidate. Добавлена поддержка кода ошибки EILSEQ, определённого в … Читать далее Выпуск Tcl/Tk 8.6.12

Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.21. С момента выпуска версии 6.20 было закрыто 26 отчётов об ошибках и внесено 415 изменений. Наиболее важные изменения: В формат PE (Portable Executable) преобразованы WinSpool, GPhoto и некоторые другие модули. В DbgHelp улучшена поддержка inline-функций. Началась реализация OLE DB-провайдера MSDASQL. Закрыты отчёты об ошибках, связанные с работой игр: Call of Duty: Black Ops II, Hitman: Sniper Challenge, Sniper Elite series, Resident Evil 0 HD Remaster, Homesick, Call of Juarez: Gunslinger, Riot Vanguard, Memento Mori, Rise of Legends, Resident Evil 4, Resident Evil 6, Internet Explorer 8, Skyrim SE, игры на … Читать далее Выпуск Wine 6.21 и Wine staging 6.21

Опубликован релиз специализированного дистрибутива Tails 4.24 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 ГБ. В новой версии осуществлён переход на ветку браузера Tor Browser 11, стабильный выпуск которой пока не сформирован (вместо ожидаемого стабильного релиза Browser 11.0 был опубликован ещё один тестовый выпуск Tor Browser 11.0a10, основанный … Читать далее Выпуск дистрибутива Tails 4.24

Компания GitLab предупредила пользователей об увеличении активности злоумышленников, связанной с эксплуатацией критической уязвимости CVE-2021-22205, позволяющей удалённо без прохождения аутентификации выполнить свой код на сервере, на котором используется платформа для организации совместной разработки GitLab. Проблема проявляется в GitLab начиная с версии 11.9 и была устранена ещё в апреле в выпусках GitLab 13.10.3, 13.9.6 и 13.8.8. Тем не менее, судя по проведённому 31 октября сканированию глобальной сети из 60 тысяч публично доступных экземпляров GitLab, на 50% систем продолжают использоваться устаревшие версии GitLab, подверженные уязвимости. Необходимые обновления установлены только на 21% из проверенных серверов, а на 29% систем определить номер используемой версии не … Читать далее Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак

После полугода разработки состоялся релиз пользовательского окружения LXQt 1.0 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux. Изначально выпуск 1.0 намеревались приурочить к реализации … Читать далее Выпуск графического окружения LXQt 1.0