Исследователи из компаний Claroty и JFrog опубликовали результаты аудита безопасности пакета BusyBox, широко используемого во встраиваемых устройствах и предлагающего набор стандартных утилит UNIX, оформленных в виде единого исполняемого файла. В ходе проверки выявлено 14 уязвимостей, которые уже устранены в августовском выпуске BusyBox 1.34. Почти все проблемы неопасны и сомнительны с точки зрения применения в реальных атаках, так как требуют запуска утилит с полученными извне аргументами. Отдельно выделяется уязвимость CVE-2021-42374, которая позволяет вызвать отказ в обслуживании при обработке специально оформленного сжатого файла утилитой unlzma, а в случае сборки с опций CONFIG_FEATURE_SEAMLESS_LZMA, также любыми другими компонентами BusyBox, включая tar, unzip, rpm, dpkg, … Читать далее Анализ безопасности пакета BusyBox выявил 14 несущественных уязвимостей

После полутора лет разработки представлен релиз библиотеки ncurses 6.3, предназначенной для создания многоплатформенных интерактивных консольных пользовательских интерфейсов и поддерживающей эмуляцию программного интерфейса curses из System V Release 4.0 (SVr4). Выпуск ncurses 6.3 совместим на уровне исходных текстов с ветками ncurses 5.x и 6.0, но расширяет ABI. Среди добавленных новшеств: Добавлен экспериментальный драйвер для Windows Terminal. Предоставлен отдельный скрипт для обновления ncurses до новой версии на платформе OpenBSD. Добавлены sp-функции для операций erasewchar и killwchar. Переведено в разряд устаревших wgetch-событие KEY_EVENT. Добавлены новые опции в утилиты tabs, tic, toe, toe, tput. В БД терминалов добавлены 27 новых описаний терминалов, включая foot, … Читать далее Релиз консольной библиотеки ncurses 6.3

Сформирован значительный релиз специализированного браузера Tor Browser 11.0, в котором осуществлён переход на ESR-ветку Firefox 91. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP-адрес пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS. Формирование новой версии для Android задерживается. Для обеспечения дополнительной защиты в состав Tor Browser входит дополнение HTTPS Everywhere, позволяющее использовать … Читать далее Доступен Tor Browser 11.0 с переработанным интерфейсом

Разработчики проекта Raspberry Pi опубликовали осеннее обновление дистрибутива Raspberry Pi OS (Raspbian), основанного на пакетной базе Debian. Для загрузки подготовлены три сборки — сокращённая (463 МБ) для серверных систем, с рабочим столом (1.1 ГБ) и полная с дополнительным набором приложений (3 ГБ). Дистрибутив поставляется с пользовательским окружением PIXEL (ответвление от LXDE). Для установки из репозиториев доступно около 35 тысяч пакетов. В новом выпуске: Осуществлён переход на пакетную базу Debian 11 «Bullseye» (ранее использовался Debian 10). Все компоненты рабочего стола PIXEL и предлагаемые приложения переведены на использование библиотеки GTK3 вместо GTK2. В качестве причины миграции называется желание избавиться от пересечения в … Читать далее Новый выпуск дистрибутива Raspberry Pi OS, обновлённый до Debian 11

Компания Microsoft представила новый значительный выпуск открытой платформы .NET 6, созданной благодаря унификации продуктов .NET Framework, .NET Core и Mono. На основе .NET 6 можно создавать многоплатформенные приложения для браузера, облачных систем, рабочего стола, IoT-устройств и мобильных платформ, используя единые библиотеки и общий процесс сборки, не зависящий от типа приложения. Сборки .NET SDK 6, .NET Runtime 6 и ASP.NET Core Runtime 6 сформированы для Linux, macOS и Windows. .NET Desktop Runtime 6 поставляется только для Windows. Связанные с проектом наработки распространяются под лицензией MIT. В состав .NET 6 входит runtime CoreCLR с JIT-компилятором RyuJIT, стандартные библиотеки, библиотеки CoreFX, WPF, Windows … Читать далее Релиз платформы .NET 6

Состоялся релиз rav1e 0.5.0, кодировщика формата кодирования видео AV1. Продукт развивается сообществами Mozilla и Xiph и отличается от эталонной реализации libaom, написанной на языках C/C++, увеличением скорости кодирования и повышенным вниманием к обеспечению безопасности (эффективность сжатия пока отстаёт). Продукт написан на языке программирования Rust с ассемблерными вставками (72.2% — ассемблер, 27.5% — Rust), код распространяется под лицензией BSD. Готовые сборки подготовлены для Windows и macOS (сборки для Linux временно пропущены из-за проблем с системой непрерывной интеграции). В rav1e поддерживаются все основные возможности AV1, включая поддержку внутренне- и внешне-кодированных кадров (intra- и inter-кадров), суперблоков 64×64, цветовой субдискретизации 4:2:0, 4:2:2 и 4:4:4, … Читать далее Выпуск rav1e 0.5, кодировщика AV1

После 6 месяцев разработки опубликован выпуск свободного игрового движка Godot 3.4, подходящего для создания 2D- и 3D-игр. Движок поддерживает простой для изучения язык задания игровой логики, графическую среду для проектирования игр, систему развёртывания игр в один клик, широкие возможности анимации и симуляции физических процессов, встроенный отладчик и систему выявления узких мест в производительности. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой сервер, бэкенды 2D/3D рендеринга и т.п.) распространяются под лицензией MIT. Исходные тексты движка были открыты в 2014 году студией OKAM, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации … Читать далее Выпуск открытого игрового движка Godot 3.4

Майкл Мёрфи (Michael Aaron Murphy), лидер разработчиков дистрибутива Pop!_OS и участник разработки операционной системы Redox, подтвердил сведения о разработке компанией System76 нового окружения рабочего стола, не основанного на GNOME Shell и написанного на языке Rust. Компания System76 специализируется на производстве ноутбуков, ПК и серверов, поставляемых с Linux. Для предустановки развивается собственная редакция Ubuntu Linux — Pop!_OS. После перехода Ubuntu на оболочку Unity в 2011 году в дистрибутиве Pop!_OS было предложено своё пользовательское окружение на базе модифицированной оболочки GNOME Shell и нескольких расширений к GNOME Shell. После возвращения Ubuntu на GNOME в 2017 году в Pop!_OS продолжили поставку своей оболочки, которая … Читать далее Компания System76 работает над созданием нового пользовательского окружения

Опубликован выпуск проекта Snoop 1.3.1, развивающего криминалистический OSINT-инструмент, который разыскивает учётные записи пользователей в публичных данных (разведка на основе открытых источников). Программа анализирует различные сайты, форумы и социальные сети на предмет наличия искомого имени пользователя, т.е. позволяет определить на каких сайтах имеется пользователь с указанным ником. Проект разработан на материалах исследовательской работы в области скрапинга публичных данных. Сборки подготовлены для Linux и Windows. Код написан на языке Python и распространяется под лицензией, ограничивающей применение только для личного пользования. При этом проект является ответвлением от кодовой базы проекта Sherlock, поставляемой под лицензией MIT (форк был создан из-за невозможности расширить базу сайтов). … Читать далее Выпуск Snoop 1.3.1, OSINT-инструмента для сбора информации о пользователе из открытых источников

В коммутаторах Cisco Catalyst серии PON CGP-ONT-* (Passive Optical Network) выявлена критическая проблема с безопасностью (CVE-2021-34795), позволяющая при включении протокола telnet подключиться к коммутатору с правами администратора, используя заранее известную отладочную учётную запись, оставленную производителем в прошивке. Проблема проявляется только при активации в настройках возможности доступа через telnet, который отключён по умолчанию. Кроме наличия учётной записи с заранее известным паролем в рассматриваемых моделях коммутаторов также выявлены две уязвимости (CVE-2021-40112, CVE-2021-40113) в web-интерфейсе, позволяющие неаутентифицированному атакующему, не знающему параметры входа, выполнить свои команды с правами root и внести изменения в настройки. По умолчанию доступ к web-интерфейсу разрешён только из локальной сети, … Читать далее Уязвимость в коммутаторах Cisco Catalyst PON, позволяющая войти через telnet без знания пароля

Доступен web-браузер LibreWolf 94, представляющий собой пересборку Firefox 94 c изменениями, нацеленными на повышение безопасности и конфиденциальности. Проект развивается сообществом энтузиастов. Изменения публикуются под лицензией MPL 2.0 (Mozilla Public License). Сборки формируются для Linux (Debian, Fedora, Gentoo, Ubuntu, Arch, Flatpak, AppImage), macOS и Windows. Среди основных отличий от Firefox: Удаление кода, связанного с передачей телеметрии, проведением экспериментов по включению тестовых возможностей у части пользователей, показа рекламных вставок в рекомендациях при наборе в адресной строке, вывода лишних объявлений. Отключены по возможности любые обращения к серверам Mozilla и сведена к минимуму установка фоновых соединений. Удалены встроенные дополнения для проверки обновлений, отправки отчётов … Читать далее LibreWolf 94 — вариант Firefox, сфокусированный на конфиденциальности и безопасности

Доступен выпуск проекта fheroes2 0.9.9, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: В окно постройки замка были добавлены кнопки быстрого переключения между городами. Добавлен отсутствующий угол для штаба капитана в городе Варвара. Спрайт водопада в городе Варлока больше не отрисовывается вместе с пещерой. Исправлена размытая дорога возле штаба капитана в городе Варлока. Убрано наложение рва на штаб капитана в замке Варлока. Поддержка устройств с разрешением ниже … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.9

После 10 месяцев разработки представлен релиз Tcl/Tk 8.6.12, динамического языка программирования, распространяемого совместно с кроссплатформенной библиотекой базовых элементов графического интерфейса. Несмотря на то, что основное распространение Tcl получил для создания интерфейсов пользователя и как встраиваемый язык, Tcl также подходит для других задач. Например, для web-разработки, создания сетевых приложений, администрирования систем и тестирования. Код проекта распространяется под лицензией BSD. В новой версии: В Tk продолжена работа по улучшению поддержки платформы macOS. Обеспечена совместимость с macOS 12.1 «Monterey». Улучшена поддержка пиксельных форматов. Реализовано новое виртуальное событие «TkWorldChanged». Добавлены новые клавиатурные коды CodeInput, SingleCandidate, MultipleCandidate, PreviousCandidate. Добавлена поддержка кода ошибки EILSEQ, определённого в … Читать далее Выпуск Tcl/Tk 8.6.12

Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.21. С момента выпуска версии 6.20 было закрыто 26 отчётов об ошибках и внесено 415 изменений. Наиболее важные изменения: В формат PE (Portable Executable) преобразованы WinSpool, GPhoto и некоторые другие модули. В DbgHelp улучшена поддержка inline-функций. Началась реализация OLE DB-провайдера MSDASQL. Закрыты отчёты об ошибках, связанные с работой игр: Call of Duty: Black Ops II, Hitman: Sniper Challenge, Sniper Elite series, Resident Evil 0 HD Remaster, Homesick, Call of Juarez: Gunslinger, Riot Vanguard, Memento Mori, Rise of Legends, Resident Evil 4, Resident Evil 6, Internet Explorer 8, Skyrim SE, игры на … Читать далее Выпуск Wine 6.21 и Wine staging 6.21

Опубликован релиз специализированного дистрибутива Tails 4.24 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 ГБ. В новой версии осуществлён переход на ветку браузера Tor Browser 11, стабильный выпуск которой пока не сформирован (вместо ожидаемого стабильного релиза Browser 11.0 был опубликован ещё один тестовый выпуск Tor Browser 11.0a10, основанный … Читать далее Выпуск дистрибутива Tails 4.24

Компания GitLab предупредила пользователей об увеличении активности злоумышленников, связанной с эксплуатацией критической уязвимости CVE-2021-22205, позволяющей удалённо без прохождения аутентификации выполнить свой код на сервере, на котором используется платформа для организации совместной разработки GitLab. Проблема проявляется в GitLab начиная с версии 11.9 и была устранена ещё в апреле в выпусках GitLab 13.10.3, 13.9.6 и 13.8.8. Тем не менее, судя по проведённому 31 октября сканированию глобальной сети из 60 тысяч публично доступных экземпляров GitLab, на 50% систем продолжают использоваться устаревшие версии GitLab, подверженные уязвимости. Необходимые обновления установлены только на 21% из проверенных серверов, а на 29% систем определить номер используемой версии не … Читать далее Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак

После полугода разработки состоялся релиз пользовательского окружения LXQt 1.0 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux. Изначально выпуск 1.0 намеревались приурочить к реализации … Читать далее Выпуск графического окружения LXQt 1.0

Состоялся релиз бесплатного проприетарного торрент-клиента Tixati 2.86, доступного для Windows и Linux. Tixati отличается предоставлением пользователю расширенного контроля над торрентами при потреблении памяти, сравнимом с такими клиентами как µTorrent и Halite. Linux-версия использует интерфейс GTK2. Основные изменения: Значительно переделан WebUI: Реализованы категории, а также возможность добавлять, удалять, перемещать, фильтровать раздачи и ряд других действий. Названия раздач теперь имеют индикаторы «частный», «созданный» или «частичный». Список пиров теперь показывает дополнительную информацию, такую как флаг и местоположение. Значительно улучшен вывод в форме списка («list layout»), который стал более компактным. Добавлены подсказки для очень длинных имён файлов. Обеспечена подстановка CSS напрямую в шаблон HTML, … Читать далее Релиз проприератного BitTorrent-клиента Tixati 2.86

Компания Mozilla предупредила об изменении правил каталога дополнений к Firefox (Mozilla AMO) с целью повышения безопасности и конфиденциальности пользователей, а также отражения новых потребностей экосистемы. Новая редакция правил каталога вступит в силу 1 декабря 2021 года. Ключевые изменения: Сбор сведений об активности пользователя при навигации по сайтам, таких как информация о просмотренных URL, истории посещений и вводимых на страницах данных, разрешён только в дополнениях, явно заявляющих данную функциональность в качестве основной. Скрытый сбор сведений об активности пользователей как и раньше запрещён. В каталоге addons.mozilla.org запрещено размещение дополнений, ограниченных только функциями продвижения, загрузки, установки или открытия другого сайта, web-приложения или дополнения. … Читать далее Изменение правил каталога дополнений к Firefox

В поставляемой в ядре Linux реализации сетевого протокола TIPC (Transparent Inter-process Communication) выявлена критическая уязвимость (CVE-2021-43267), позволяющая удалённо через отправку специально оформленного сетевого пакета добиться выполнения своего кода с привилегиями ядра. Опасность проблемы сглаживает то, что для атаки требуется явное включение поддержки TIPC в системе (загрузка и настройка модуля ядра tipc.ko), которая в неспециализированных дистрибутивах Linux не производится по умолчанию. Протокол TIPC поддерживается начиная с ядра Linux 3.19, но приводящий к уязвимости код был включён в состав ядра 5.10. Уязвимость устранена ядрах 5.15.0, 5.10.77 и 5.14.16. Проблема проявляется и пока не устранена в Debian 11, Ubuntu 21.04/21.10, SUSE (в ещё … Читать далее Удалённая уязвимость в реализации протокола TIPC в ядре Linux

Злоумышленникам удалось получить контроль над NPM-пакетом coa и выпустить обновления 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3, включающие вредоносные изменения. Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service. Администрация NPM уже удалила выпуск с вредоносными изменениями и заблокировала публикацию новых версий до возвращения доступа к репозиторию основного разработчика. Атака была совершена через взлом учётной записи разработчика проекта. Добавленные вредоносные изменения аналогичны тем, что использовались в совершённой две недели назад атаке на пользователей NPM-пакета UAParser.js, но ограничились атакой только на платформу … Читать далее В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО