Компания Elasticsearch опубликовала выпуск elasticsearch-py 7.14.0, официальной клиентской библиотеки для языка Python, содержащий изменение, блокирующее возможность подключения к серверам, на которых используется не оригинальная коммерческая платформа Elasticsearch. Клиентская библиотека отныне будет выводить ошибку, если на другой стороне используется продукт, представляющийся в заголовке «X-Elastic-Product» не как «Elasticsearch» для новых выпусков, или не передающий поля tagline и build_flavor для старых версий. Библиотека elasticsearch-py продолжает поставляться под лицензией Apache 2.0, но функциональность её теперь ограничена только возможностью подключения к коммерческим продуктам Elasticsearch. По данным компании Amazon блокировка затрагивает не только форки Open Distro for Elasticsearch и OpenSearch, но и решения на базе открытых … Читать далее В официальных клиентах Elasticsearch блокирована возможность подключения к форкам

В стандартных библиотеках языков Rust и Go выявлены уязвимости, связанные с некорректной обработкой IP-адресов с восьмеричными цифрами в функциях разбора адреса. Уязвимости позволяют обойти проверки допустимых адресов в приложениях, например, для организации обращения к адресам loopback-интерфейса (127.x.x.x) или интранет-подсетям при совершении атак SSRF (Server-side request forgery). Уязвимости продолжают цикл проблем, ранее выявленных в библиотеках node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), private-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE-2021-29921), Data::Validate::IP (Perl, CVE-2021-29662) и Net::Netmask (Perl, CVE-2021-29424). В соответствии со спецификацией строковые значения IP-адресов, начинающиеся с нуля, должны интерпретироваться как восьмеричные числа, но многие библиотеки не учитывает данную особенность и просто отбрасывают ноль, обрабатывая значение как … Читать далее Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов

Доступен выпуск Linux-дистрибутива Bottlerocket 1.2.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров. Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети … Читать далее Выпуск Bottlerocket 1.2, дистрибутива на базе изолированных контейнеров

Компания Google ведёт работу по предоставлению полных сборок браузера Chrome для ОС Fuchsia. В Fuchsia уже предоставляется браузерный движок на основе кодовой базы Chromium для выполнения web-приложений, но Chrome как отдельный полноценный продукт для Fuchsia был недоступен, а сама платформа в первую очередь развивалась для IoT и потребительских устройств, таких как Nest Hub. Последнее время ситуация изменилась и началось развитие возможностей Fuchsia, нацеленных на использование как десктоп-платформы. В том числе развивается набор изменений, делающих возможным поставку полноценного Chrome в Fuchsia. Работа по портированию ведётся постепенно — вначале обеспечивается возможность сборки урезанной версии, в которой некоторые возможности заменены на заглушки, которые … Читать далее Google портирует Chrome для ОС Fuchsia

После двух лет разработки представлен релиз панели Latte Dock 0.10, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Frameworks и библиотеки Qt. Поддерживается интеграция с рабочим столом KDE Plasma. Код проекта распространяется под лицензией GPLv2. Проект основан в результате слияния схожих по своим задачам панелей — Now Dock и Candil Dock. После объединения разработчики попытались совместить предлагаемый в Candil принцип формирования обособленной панели, работающей отдельно от Plasma Shell, со свойственными Now Dock качественным оформлением интерфейса и использованием … Читать далее Выпуск Latte Dock 0.10, альтернативной панели для KDE

Доступен выпуск проекта fheroes2 0.9.6, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Полная поддержка русской, польской и французской локализаций. Автоматическое определение и возможность выбора языка в настройках, который поддерживает текущая версия игры. Новое окно настроек позволяет выбрать разрешение, изменить язык или включить экспериментальные опции моддинга. Положение «широкого» существа в бою при атаке теперь показывается на сетке поля. Fheroes2 теперь работает и на Nintendo Switch. Исправлено свыше … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.6

Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки «HTTP Request Smuggling», позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации. Проблеме подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и прочие конфигурации, в которых запросы перенаправляются по схеме фронтэнд-бэкенд. Автор исследования продемонстрировал возможность атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, и получил 56 … Читать далее Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Определены победители ежегодной премии Pwnie Awards 2021, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности. Основные победители (список претендентов): Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена компании Qualys за выявление уязвимости CVE-2021-3156 в утилите sudo, позволяющей получить привилегии root. Уязвимость присутствовала в коде около 10 лет и примечательна тем, что для её выявления потребовался разбор логики работы утилиты. Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление нового вектора атак на Microsoft … Читать далее Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности

Опубликован выпуск проекта PipeWire 0.3.33, развивающего мультимедийный сервер нового поколения, идущий на замену PulseAudio. PipeWire расширяет возможности PulseAudio средствами для работы с потоками видео, возможностью обработки звука с минимальными задержками и новой моделью безопасности для управления доступом на уровне отдельных устройств и потоков. Проект поддерживается в GNOME и уже по умолчанию применяется в Fedora Linux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1. Основные изменения в PipeWire 0.3.33: Реализована возможность автоматического переключения между Bluetooth-профилями HSP (режим гарнитуры) и A2DP (высококачественный вывод звука). В профиле Pro Audio улучшена поддержка виртуальных источников и устройств вывода звука. Улучшено согласование модификаторов … Читать далее Выпуск мультимедийного сервера PipeWire 0.3.33

Кис Кук (Kees Cook), бывший главный системный администратор kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS, выразил опасение текущим процессом исправления ошибок в стабильных ветках ядра. Еженедельно в стабильные ветки включается около ста исправлений, а после закрытия окна приёма изменений в следующий релиз приближается к тысяче (сопровождающие удерживают исправления до закрытия окна, а после формирования «-rc1» публикуют накопившееся разом), что слишком много и требует больших трудозатрат для сопровождения продуктов на базе ядра Linux. По мнению Киса процессу работы с ошибками в ядре не уделяется должное внимание и ядру не хватает как … Читать далее Кис Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux

Компания Osterman Research опубликовала результаты проверки использования открытых компонентов с неисправленными уявзимостями в проприетарном программном обеспечении, выполненном на заказ (COTS). В исследовании были изучены пять категорий приложений — web-браузеры, почтовые клиенты, программы для обмена файлами, мессенджеры и платформы для проведения online-встреч. Результаты оказались плачевны — во всех изученных приложениях было выявлено использование открытого кода с неисправленными уязвимостями, а в 85% приложений уязвимости носили критический характер. Больше всего проблем было найдено в приложениях для проведения online-встреч и email-клиентах. Что касается открытого кода, то в 30% из всех обнаруженных открытых компонентов была выявлена как минимум одна известная, но неисправленная уязвимость. Больше всего … Читать далее Оценка использования уязвимых открытых компонентов в коммерческом ПО

До 13 августа 2021 года идёт набор в бесплатную онлайн-школу для желающих начать работу в Open Source — «Community of Open Source Newcomers» (COMMoN), организованную в рамках конференции Samsung Open Source Conference Russia 2021. Проект направлен на то, чтобы помочь молодым разработчикам начать свой путь контрибьютора. Школа позволит получить опыт взаимодействия с сообществом разработчиков открытого ПО, и даст шанс сделать свой первый коммит в серьёзный Open Source-проект. Формат онлайн-школы включает лекции для общего потока и работу в рамках конкретного направления (трека). В каждый трек набирают группу до 20 человек. Вместе с преподавателем участники пройдут путь с нуля до вклада в … Читать далее Открыт набор в бесплатную онлайн-школу для разработчиков Open Source

После трёх месяцев разработки опубликован релиз свободной реализации API OpenGL и Vulkan — Mesa 21.2.0. Первый выпуск ветки Mesa 21.2.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 21.2.1. В Mesa 21.2 реализована полная поддержка OpenGL 4.6 для драйверов 965, iris (Intel), radeonsi (AMD), zink и llvmpipe. Поддержка OpenGL 4.5 доступна для GPU AMD (r600) и NVIDIA (nvc0), а OpenGL 4.3 для virgl (виртуальный GPU Virgil3D для QEMU/KVM). Поддержка Vulkan 1.2 реализована для карт Intel и AMD, а также в режиме эмулятора (vn), поддержка Vulkan 1.1 доступна для GPU Qualcomm и программного растеризатора lavapipe, а … Читать далее Релиз Mesa 21.2, свободной реализации OpenGL и Vulkan

В ночных сборках Ubuntu Desktop 21.10 началось тестирование нового инсталлятора, реализованного в виде надстройки над низкоуровневым инсталлятором curtin, который уже применяется в инсталляторе Subiquity, используемом по умолчанию в Ubuntu Server. Новый инсталлятор для Ubuntu Desktop написан на языке Dart и использует фреймворк Flutter для построения пользовательского интерфейса. Оформление нового инсталлятора спроектировано с учётом современного стиля рабочего стола Ubuntu и рассчитано на предоставление единого процесса установки для всей линейки продуктов Ubuntu. Предложено три режима: «Repair Installation» для переустановки всех имеющихся в системе пакетов без изменения настроек, «Try Ubuntu» для ознакомления с дистрибутивом в Live-режиме и «Install Ubuntu» для установки дистрибутива на … Читать далее В ночных сборках Ubuntu Desktop появился новый инсталлятор

Проект InitWare, развивающий экспериментальный форк системного менеджера systemd, реализовал поддержку операционной системы OpenBSD на уровне возможности управления пользовательскими сервисами (user manager — режим «iwctl —user», позволяющий пользователям управлять собственными сервисами). PID1 и системные сервисы пока не поддерживаются. Ранее аналогичная поддержка была обеспечена для DragonFly BSD, а возможность управления системными сервисами и управления входом для NetBSD и FreeBSD. Следующим шагом станет реализация поддержки управления пользовательскими сервисами для Illumos. Проект InitWare нацелен на создание переносимого и модульного системного менеджера, способного работать на системах, отличных от Linux. При этом в отличие от systemd проект не пытается охватить необъятное и сосредотачивается только на функциях … Читать далее Системный менеджер InitWare, форк systemd, портирован для OpenBSD

Дискуссионная площадка Stack Overflow опубликовала результаты ежегодного опроса, в котором приняло участие более 83 тысяч разработчиков ПО. Наиболее часто используемым участниками опроса языком является JavaScript 64.9% (год назад 67.7%, большинство участников Stack Overflow web-разработчики). Наибольший рост популярности как и в прошлом году демонстрирует Python, который за год переместился с 4 (44.1%) на 3 место (48.2%), обогнав SQL. Число пользователей языка Rust за год выросло с 5% до 7%, TypeScript с 25.4% до 30.2%, Dart с 4% до 6%, а Go с 8.8% до 9.5%. Популярность Ruby снизилась с 7.1% до 6.7%, Perl c 3.1% до 2.4%, а PHP с 26.2% … Читать далее Опрос Stack Overflow: Rust назван самым любимым, а Python самым востребованным языком

Компания CodeWeavers выпустила релиз пакета Crossover 21.0, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 21.0 можно загрузить на данной странице. В новой версии: Кодовая база обновлена до ветки Wine 6.0 с портированием некоторых изменений из свежих экспериментальных выпусков Wine. Прослойка DXVK с реализацией DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11 поверх API Vulkan обновлена до версии 1.7. В состав включён компонент Wine Mono. … Читать далее Релиз CrossOver 21.0 для Linux, Chrome OS и macOS

Опубликован релиз операционной системы Chrome OS 92, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 92. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 92 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 92: Расширена функциональность виртуальных рабочих столов. Предоставлена возможность прикрепления приложений Linux и Android … Читать далее Выпуск Chrome OS 92

Кристиан Риу (Christien Rioux) сообщил о решении открыть исходные тексты инструментария L0phtCrack, предназначенного для восстановления паролей по хешам. Продукт развивается с 1997 года и в 2004 году был продан компании Symantec, но в 2006 году выкуплен тремя основателями проекта, в числе которых был Кристиан Риу. В 2020 году проект поглотила компания Terahash, но в июле этого года права на код были возвращены изначальным авторам из-за невыполнение обязательств по сделке. В итоге, создатели L0phtCrack решили отказаться от поставки инструментария в форме проприетарного продукта и открыть исходные тексты. Код планируется опубликовать после конференции DEFCON, которая пройдёт с 5 по 8 августа. Код … Читать далее Анонсировано открытие исходных текстов программы для аудита паролей L0phtCrack

Компания Google предупредила, что начиная с 27 сентября будет прекращена возможность подключения к учётной записи Google на устройствах, оснащённых выпусками Android, сформированными более 10 лет назад. В качестве причины называется забота о безопасности пользователей. При попытке подключения к продуктам Google, включая сервисы Gmail, YouTube и Google Maps, со старой версии Android пользователю будет выдана ошибка о неверном имени пользователя или пароле. Под блокировку подпадают выпуски вплоть до версии Android 2.3.7. Мобильная платформа Android 2.3 была опубликована в 2010 году, а обновление 2.3.7 было предложено в сентябре 2011 года. Для продолжения работы с сервисами Google рекомендовано обновить свои устройства как минимум … Читать далее Google запретит подключение к своим сервисам очень старых версий Android

Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, представил проект WireGuardNT, развивающий высокопроизводительный порт VPN WireGuard для ядра Windows, совместимый с Windows 7, 8, 8.1 и 10, и поддерживающий архитектуры AMD64, x86, ARM64 и ARM. Код реализации распространяется под лицензией GPLv2. Новый драйвер уже включён в состав клиента WireGuard для Windows, но пока помечен экспериментальным и не активирован по умолчанию. Порт основан на проверенной кодовой базе основной реализации WireGuard для ядра Linux, которая была переведена на использование сущностей ядра Windows и сетевого стека NDIS. По сравнению с ранее доступной для Windows реализацией wireguard-go, работающей в пространстве пользователя и использующей сетевой … Читать далее Представлена реализация VPN WireGuard для ядра Windows