Регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, сообщил об инциденте, в результате которого в открытый доступ попал SQL-дамп сервиса Whois, включающий конфиденциальные данные и хэши паролей. Примечательно, что это не первая утечка персональных данных в APNIC — в 2017 году база Whois по уже попадала в открытый доступ и тоже по недосмотру персонала. В процессе внедрения поддержки протокола RDAP, призванного заменить протокол WHOIS, сотрудники APNIC разместили SQL-дамп базы, используемой в сервисе Whois, в облачном хранилище Google Cloud, но не ограничили к нему доступ. Из-за ошибки в настройках на протяжении трёх месяцев SQL-дамп был доступен публично и данный факт … Читать далее Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC

Состоялся релиз дистрибутива Rocky Linux 8.4, нацеленного на создание новой свободной сборки RHEL, способной занять место классического CentOS, после того как компания Red Hat приняла решение прекратить поддержку ветки CentOS 8 в конце 2021 года, а не в 2029 году, как предполагалось изначально. Это первый стабильный релиз проекта, признанный готовым для рабочих внедрений. Сборки Rocky Linux подготовлены для архитектур x86_64 и aarch64. Дистрибутив полностью бинарно совместим с Red Hat Enterprise Linux 8.4. Как и в классическом CentOS внесённые в пакеты изменения сводятся к избавлению от привязки к бренду Red Hat. Проект развивается под руководством Грегори Курцера (Gregory Kurtzer), основателя CentOS. … Читать далее Релиз дистрибутива Rocky Linux 8.4, идущего на смену CentOS

Консорциум W3C объявил о придании API Web Audio статуса рекомендованного стандарта. Спецификация Web Audio описывает высокоуровневый программный интерфейс, позволяющий разрабатывать на языке JavaScript web-приложения для синтеза и обработки звука, работающие в web-браузере и не требующие использования дополнительных плагинов. Из областей применения Web Audio отмечается добавление на страницы звуковых эффектов, разработка web-приложения для обработки, записи, воспроизведения и создания музыки, использование в играх, визуализация звука. В браузерах API Web Audio поддерживается начиная с Firefox 35 и Chrome 14. API основан на парадигме графа маршрутизации звуковых потоков, в котором несколько объектов AudioNode связываются между собой для формирования итогового звукового потока. Каждый узел AudioNode … Читать далее W3C стандартизировал API Web Audio

Разработчики дистрибутива NixOS сообщили о реализации поддержки верификации целостности минимального iso-образа (iso_minimal.x86_64-linux) при помощи механизма повторяемых сборок. Ранее повторяемые сборки были доступны на уровне отдельных пакетов, а теперь расширены и для всего iso-образа. Любой пользователь может сформировать iso-образ, полностью идентичный с предоставляемым для загрузки iso-образом, и убедиться, что он собран из предоставляемых исходных текстов и не содержит скрытых изменений. Для автоматизации проверки iso-образа NixOS при помощи повторяемых сборок подготовлен специальный скрипт. На следующем этапе повторяемые сборки планируется обеспечить для полного iso-образа с рабочим столом GNOME. Повторяемые сборки являются важным звеном обеспечения безопасности, так как дают возможность самостоятельно проверить, что предлагаемые … Читать далее В NixOS обеспечена поддержка повторяемых сборок для iso-образа

Репозиторий packages.microsoft.com, через который для различных дистрибутивов Linux распространяются пакеты c продуктами Microsoft, в течение более чем 22 часов находился в неработоспособном состоянии. В том числе оказались недоступны для установки Linux-версии .NET Core, Microsoft Teams и Microsoft SQL Server, а также различные devops-обработчики Azure. Детали инцидента не раскрываются, упоминается лишь, что проблемы возникли из-за регрессивных изменений в процессе плановых работ. Источник: http://www.opennet.ru/opennews/art.shtml?num=55361 Читать далее Linux-репозиторий Microsoft оказался выведен из строя почти на сутки

В ядре Linux выявлена уязвимость (CVE-2021-3609), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана состоянием гонки в реализации протокола CAN BCM и проявляется в выпусках ядра Linux с 2.6.25 по 5.13-rc6. В дистрибутивах проблема пока остаётся неисправленной (RHEL, Fedora, Debian, Ubuntu, SUSE, Arch). Выявивший уязвимость исследователь смог подготовить эксплоит для получения прав root на системах с ядрами Linux 5.4 и новее, в том числе показана возможность успешного проведения атаки в Ubuntu 20.04.02 LTS. Не исключена возможность переработки эксплоита и для работы с более старыми ядрами (в ядре 5.4 код CAN BCM (net/can/bcm.c) был переведён с hrtimer_tasklet на HRTIMER_MODE_SOFT). … Читать далее Уязвимость в ядре Linux, затрагивающая сетевой протокол CAN BCM

Доступен релиз web-браузера Min 1.20, предлагающего минималистичный интерфейс, построенный вокруг манипуляций с адресной строкой. Браузер создан с использованием платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и платформы Node.js. Интерфейс Min написан на JavaScript, CSS и HTML. Код распространяется под лицензией Apache 2.0. Сборки сформированы для Linux, macOS и Windows. Min поддерживает навигацию по открытым страницам через систему вкладок, предоставляющих такие функции как открытие новой вкладки рядом с текущей вкладкой, скрытие невостребованных вкладок (к которым пользователь не обращался определённое время), группировка вкладок и просмотр всех вкладок в виде списка. Имеются средства для построения списков отложенных задач/ссылок для чтения … Читать далее Опубликован web-браузер Min 1.20

После года разработки состоялся релиз Live-дистрибутива NST 34 (Network Security Toolkit), предназначенного для проведения анализа безопасности сети и мониторинга её функционирования. Размер загрузочного iso-образа (x86_64) составляет 4.8 ГБ. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в уже установленную систему. Дистрибутив построен на базе Fedora 34 и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux. В состав дистрибутива включена большая подборка приложений, имеющих отношение к сетевой безопасности (например: Wireshark, NTop, Nessus, Snort, NMap, Kismet, TcpTrack, Etherape, nsttracroute, Ettercap и т.д.). Для управления процессом проверки безопасности и автоматизации вызова … Читать далее Релиз дистрибутива Network Security Toolkit 34

Опубликовано десятое корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 81 обновление с устранением проблем со стабильностью и 55 обновлений с устранением уязвимостей. Из изменений в Debian 10.10 выделяется реализация поддержки механизма SBAT (UEFI Secure Boot Advanced Targeting), решающего проблемы с отзывом сертификатов, которыми заверены загрузчики для UEFI Secure Boot. В пакетном менеджере APT принято изменение имени репоизитория по умолчанию (из stable в oldstable). До свежей стабильной версии обновлён пакет clamav. Удалён пакет sogo-connector, который несовместим с актуальной версией Thunderbird. Для загрузки и установки «с нуля» в ближайшие часы будут … Читать далее Обновление Debian 10.10

Опубликован релиз SQLite 3.36, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Основные изменения: Вывод команды «EXPLAIN QUERY PLAN» сделан более простым для восприятия. Обеспечена генерация ошибки при попытках доступа к идентификатору строки (rowid) в представлении (VIEW) или подзапросе. Для возвращения возможности доступа к rowid для представлений предусмотрена сборочная опцмия «-DSQLITE_ALLOW_ROWID_IN_VIEW» Включены по умолчанию интерфейсы sqlite3_deserialize() и sqlite3_serialize(). Для отключения предусмотрена сборочная опция … Читать далее Выпуск СУБД SQLite 3.36

Подготовлен корректирующий выпуск OpenVPN 2.5.3, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows. В новой версии устранена уязвимость (CVE-2021-3606), проявляющаяся только в сборке для платформы Windows. Уязвимость позволяет организовать загрузку файлов конфигурации OpenSSL из сторонних каталогов, доступных на запись, для изменения настроек шифрования. В новой версии загрузка файлов конфигурации OpenSSL полностью отключена. Из не связанных с безопасностью изменений отмечается добавление опции «—auth-token-user» (аналог «—auth-token», но без применения … Читать далее Обновление OpenVPN 2.5.3. Отключение Opera VPN и VyprVPN в РФ

Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.11. С момента выпуска версии 6.10 было закрыто 33 отчёта об ошибках и внесено 290 изменений. Наиболее важные изменения: Во все встроенные приложения Wine добавлена поддержка тем оформления. В C runtime добавлены все недостающие реализации математических функций из кода библиотеки Musl. Для поддержки формата MP3 в macOS задействована библиотека libmpg123. Закрыты отчёты об ошибках, связанные с работой игр: Hogs of War, Starcraft 2, Might & Magic Clash of Heroes, Roller Coaster Rampage, Pendulumania, Stories: The Path of Destinies, Two Worlds Epic Edition, Amnesia: Rebirth, Starcraft Remastered, Kingdom Come: Deliverance, Just Cause … Читать далее Выпуск Wine 6.11 и Wine staging 6.11

Состоялся второй значительный выпуск проекта Wasmer, развивающего runtime для выполнения модулей WebAssembly, который можно использовать для создания универсальных приложений, способных выполняться в разных операционных системах, а также для изолированного выполнения кода, не заслуживающего доверия. Код проекта написан на языке Rust и распространяется под лицензией MIT. Переносимость обеспечивается благодаря компиляции кода приложения в низкоуровневый промежуточный код WebAssembly, который может запускаться в любых ОС или встраиваться в программы на других языках программирования. Программы представляют собой легковесные контейнеры, в которых выполняется псевдокод WebAssembly. Данные контейнеры не привязаны к операционной системе и могут включать код, изначально написанный на любом языке программировании. Для компиляции в … Читать далее Доступен Wasmer 2.0, инструментарий для создания приложений на базе WebAssembly

Опубликован релиз языка системного программирования Rust 1.53, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Автоматическое управление памятью в Rust избавляет разработчика от ошибок при манипулировании указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения … Читать далее Выпуск Rust 1.53. Google профинансирует добавление поддержки Rust в ядро Linux

Компания Cloudflare объявила о выпуске варианта приложения WARP для Linux, которое комбинирует в одном приложении DNS-резолвер, использующий DNS-сервис 1.1.1.1, VPN и прокси для перенаправления трафика через инфраструктуру сети доставки контента Cloudflare. Для шифрования трафика в VPN используется протокол WireGuard в реализации BoringTun, написанной на языке Rust и работающей целиком в пространстве пользователя. Отличительной особенностью WARP является тесная интеграция с сетью доставки контента. Cloudflare предоставляет сеть доставки контента для 25 млн интернет-ресурсов и обслуживает трафик 17% из 1000 крупнейших сайтов. Если ресурс обслуживается в Cloudflare, обращение к нему через WARP приведёт к более быстрой передаче контента, чем при маршрутизации через сеть … Читать далее Компания Cloudflare опубликовала WARP для Linux

Компания Google представила фреймворк SLSA (Supply-chain Levels for Software Artifacts), в котором обобщён имеющийся опыт по защите инфраструктуры разработки от атак, осуществляемых на стадии написания кода, тестирования, сборки и распространения продукта. Процессы разработки становятся всё более сложными и зависящими от сторонних инструментариев, что создаёт благоприятные условия для продвижения атак, связанных не с выявлением и эксплуатацией уязвимостей в конечном продукте, а с компрометацией самого процесса разработки (атаки «supply chain», как правило нацеленные на внедрение вредоносных изменений в процессе написания кода, подмену распространяемых компонентов и зависимостей). Фреймворк учитывает 8 видов атак, связанных с угрозами внесения вредоносных изменений на этапе разработки кода, сборки, … Читать далее Google предложил SLSA для защиты от вредоносных изменений в процессе разработки

Доступен стабильный релиз интерфейса для упрощения настройки параметров сети — NetworkManager 1.32.0. Плагины для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN развиваются в рамках собственных циклов разработки. Основные новшества NetworkManager 1.32: Предоставлена возможность выбора бэкенда управления межсетевым экраном, для чего в NetworkManager.conf добавлена новая опция «[main].firewall-backend». По умолчанию выставляется бэкенд «nftables», а когда в системе отсутствует файл /usr/sbin/nft и присутствует /usr/sbin/iptables — бэкенд «iptables». В будущем планируется добавить ещё один бэкенд на базе Firewalld. Указанная возможность может применяться для настройки транслятора адресов при помощи nftables (ранее использовался только iptables) при включении профиля совместного доступа (shared). Добавлены новые опции «ethtool.pause-autoneg», «ethtool.pause-rx» … Читать далее Релиз сетевого конфигуратора NetworkManager 1.32.0

Доступен корректирующий выпуск Firefox 89.0.1, в котором предложено несколько исправлений: Устранена проблема с некорректной работой полос прокрутки на платформе Linux, проявляющаяся при использовании некоторых тем оформления GTK. Решены проблемы с производительностью и стабильностью работы системы композитинга WebRender на платформе Linux. Устранены регрессивные изменения, связанных со шрифтами. По умолчанию включена настройка gfx.e10s.font-list.shared, позволяющая сэкономить около 500 КБ памяти для каждого процесса обработки контента. В macOS решена проблема с мерцанием экрана при прокрутке страниц на внешнем мониторе. В версии для Windows решена проблема с некорректной работой экранных ридеров. Устранена уязвимость (CVE-2021-29968), приводящая к чтению данных из области за границей буфера при отрисовке … Читать далее Обновление Firefox 89.0.1

Доступен выпуск прослойки DXVK 1.9, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как Mesa RADV 20.2, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D 9/10/11, работающих поверх OpenGL. Основные изменения: Добавлена начальная поддержка форматов текстур YUV с цветовой субдискретизацией, таких как NV12, применяемых для воспроизведения видео в некоторых играх. Реализован API ID3D11VideoProcessor, который используется … Читать далее Выпуск DXVK 1.9, реализации Direct3D 9/10/11 поверх API Vulkan

Ключевые разработчики системной библиотеки GNU C Library (glibc) выставили на обсуждение предложение по прекращению обязательной передачи Фонду СПО имущественных прав на код. По аналогии с изменениями в проекте GCC, в Glibc предлагается перевести подписание CLA-соглашения с Фондом СПО в разряд необязательных и предоставить разработчикам возможность подтверждения права на передачу кода проекту при помощи механизма Developer Certificate of Origin (DCO). В соответствии с DCO отслеживание автора осуществляется через прикрепление каждому изменению строки «Signed-off-by: имя и email разработчика». Прикрепляя данную подпись к патчу, разработчик подтверждает своё авторство над передаваемым кодом и соглашается с его распространением в составе проекта или как части кода … Читать далее Разработчики Glibc рассматривают вопрос прекращения передачи прав на код Фонду СПО

Представлен первый выпуск библиотеки Aya, позволяющей создавать на языке Rust обработчики eBPF, запускаемые внутри ядра Linux в специальной виртуальной машине с JIT. В отличие от других инструментов для разработки eBPF-программ, Aya не использует libbpf и компилятор bcc, а предлагает собственную реализацию, написанную на Rust, которая использует crate-пакет libc для прямого обращения к системным вызовам ядра. Для сборки Aya не требуется наличие инструментария для языка C и заголовочных файлов ядра. Код библиотеки распространяется под лицензиями MIT и Apache 2.0. Основные возможности: Поддержка формата BTF (BPF Type Format), предоставляющего информацию о типах в псевдокоде BPF для проверки типов и сопоставления с типами, … Читать далее Представлена библиотека Aya для создания eBPF-обработчиков на языке Rust