В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, выявлена уязвимость (CVE-2021-30465), позволяющая получить доступ из контейнера к основной файловой системе хост-окружения. Через манипуляции с символическими ссылками можно подготовить на вид безобидную конфигурацию контейнера, которая приведёт к bind-монтированию внешней ФС внутри контейнера. Проблема устранена в обновлении runc 1.0.0-rc95. Для эксплуатации уязвимости атакующий должен иметь возможность запуска контейнеров с дополнительными точками монтирования в конфигурации (например, проблема воспроизводится в окружениях на базе Kubernetes, в которых пользователи могут запускать свои контейнеры). Из-за наличия временного окна между проверкой и использованием точек монтирования на разделы, совместно используемые с другими контейнерами, атакующий может … Читать далее Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера

Следом за GitHub платформа GitLab столкнулась с атакой, связанной с использованием инфраструктуры проекта для майнинга криповалюты. Для выполнения кода злоумышленники используют runner-ы, при помощи которых можно подключить обработчики при сборке кода проекта в системе непрерывной интеграции. Для блокирования злоупотреблений GitLab ввёл дополнительную проверку, требующую введение номера кредитной карты и выполнение проверочной транзакции (без списания средств). Также введена квота на 400 бесплатных минут работы runner-ов. Без прохождения данной проверки доступ к функциональности «shared-runner» будет блокироваться. Остальные возможности платформы, включая запуск runner-ов на своих системах, остаются доступны без дополнительной проверки. Проверка будет применяться только для новых пользователей сервиса gitlab.com, зарегистрировавшихся начиная с … Читать далее GitLab вводит проверку по номеру кредитной карты для запуска обработчиков в CI

Компания Google объявила о добавлении в Chrome экспериментальной возможности «Follow» с реализацией встроенного RSS-клиента. Пользователи смогут подписываться на RSS-ленты интересующих их сайтов через кнопку Follow в меню и отслеживать появление новых публикаций в секции Following на странице открытия новой вкладки. Тестирование новой возможности начнётся в ближайшие недели и будет ограничено некоторым пользователям Chrome для Android, живущими в США и пользующимися экспериментальной веткой Canary. Компания Google также опубликовала план урезания содержимого HTTP-заголовка User-Agent. Реформирование поддержки User-Agent изначально планировалось провести год назад, но из-за пандемии COVID-19 внедрение связанных с User-Agent изменений было отложено. Отмечается, что Safari и Firefox уже убрали детализацию версии … Читать далее В Chrome экспериментируют с поддержкой RSS, чисткой User-Agent и автосменой паролей

Команда, занимавшаяся поддержанием IRC-сети FreeNode, популярной в среде разработчиков открытого и свободного ПО, прекратила сопровождение проекта и основала новую IRC-сеть libera.chat, призванную занять место FreeNode. Отмечается, что старая сеть, в которой используются домены freenode.[org|net|com], перешла под контроль сомнительных личностей, доверие к которым под вопросом. О перемещении своих IRC-каналов в сеть libera.chat уже объявили проекты CentOS и Sourcehut, переход также обсуждают разработчики KDE. В 2017 году холдинг FreeNode Ltd был продан компании Private Internet Access (PIA), которой перешли доменные имена и некоторые другие активы. Условия сделки не были раскрыты команде FreeNode. Фактическим владельцем доменов FreeNode стал Эндрю Ли (Andrew Lee). Все … Читать далее Захват контроля над IRC-сетью FreeNode, уход персонала и создание новой сети Libera.Chat

Состоялся релиз мета-дистрибутива T2 SDE 21.5, предоставляющего окружение для формирования собственных дистрибутивов, кросс-компиляции и поддержания версий пакетов в актуальном состоянии. Дистрибутивы можно создавать на основе Linux, Minix, Hurd, OpenDarwin, Haiku и OpenBSD. Из популярных дистрибутивов, построенных на базе системы T2, можно отметить Puppy Linux. Проектом предоставляются базовые загрузочные iso-образы (от 382 до 735 МБ) с минимальным графическим окружением. Для сборки доступны более 2000 пакетов. В новом выпуске добавлена поддержка архитектур s390x и SuperH, а общее число поддерживаемых аппаратных архитектур доведено до 18 (alpha, arm, arm64, hppa, ia64, m68k, mips64, mipsel, ppc, ppc64-32, ppc64le, riscv, riscv64, s390x, sparc64, superh, x86 и … Читать далее Релиз мета-дистрибутива T2 SDE 21.5

Доступен выпуск дистрибутива GeckoLinux 999.210517, основанного на пакетной базе openSUSE и уделяющего большое внимание оптимизации рабочего стола и мелочам, таким как качественная отрисовка шрифтов. Дистрибутив поставляется (1.6 ГБ) в варианте Rolling, собранном на основе репозитория Tumbleweed и собственного репозитория Packman. 999 номере в версии обозначает Rolling-выпуски и используется, чтобы не пересекаться с выпусками Static, собранными на основе релизов openSUSE. Из особенностей дистрибутива отмечается поставка в форме загружаемых live-сборок, поддерживающих работу как в live-режиме, так и установку на стационарные накопители. Сборки сформированы с рабочими столами Cinnamon, Mate, Xfce, LXQt, Pantheon, Budgie, GNOME и KDE Plasma. Каждое окружение отличается оптимальными настройками по … Читать далее Выпуск дистрибутива GeckoLinux 999.210517

В популярном проприетарном менеджере паролей 1Password реализована полноценная поддержка платформы Linux, включая интеграцию с рабочими столами GNOME, KDE, а также любыми оконными менеджерами. Для управления паролями реализован апплет, вызываемый из системного лотка. Из дистрибутивов заявлена поддержка Debian, Ubuntu, CentOS, Fedora, Arch Linux и RHEL. Дополнительно подготовлены самодостаточные пакеты в формате snap и универсальная сборка, поставляемая в архиве .tar.gz. Из возможностей отмечается автоматическая активация тёмной темы оформления на основе выбранной GTK-темы, поддержка обращения к внешним ресурсам через FTP, SSH и SMB, интеграция поддержки буферам обмена X11, поддержка GNOME Keyring и KDE Wallet, управляющий API на основе DBUS и командной строки, интеграция … Читать далее В менеджере паролей 1Password реализована полноценная поддержка Linux

Компания Oracle опубликовала обновление операционной системы Solaris 11.4 SRU 33 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: Добавлена поддержка 18 ТБ жёстких дисков Western Digital (WDC Paris-C SAS). В состав включены SpiderMonkey 78, Valgrind, buildbot-worker, Graphene, jQuery, jQuery tablesorter, libhandy, libpsl, python toml. Для Python 3.9 добавлены пакеты с модулем numpy. До версии 3.38 обновлены компоненты рабочего стола GNOME: evince, evolution-data-server, totem, gcr, seahorse, gnome-screenshot, gnome-clocks. До версии 3.36 обновлён gnome-keyring. Библиотека GTK обновлена до версии 3.24.23. Обновлены … Читать далее Доступен Solaris 11.4 SRU33

Опубликован первый выпуск специализированной сборки дистрибутива DogLinux (Debian LiveCD в стиле Puppy Linux), построенной на пакетной базе Debian 11 «Bullseye» и предназначенной для тестирования и обслуживания ПК и ноутбуков. В состав входят такие приложения, как FurMark, Unigine Heaven, ddrescue, WHDD и DMDE. Системное окружение основано на ядре Linux 5.10.28, Mesa 20.3.4, Xfce 4.16, Porteus Initrd, загрузчике syslinux и системе инициализации sysvinit. Вместо Pulseaudio напрямую используется ALSA. За монтирование накопителей отвечает pup-volume-monitor (без применения gvfs и udisks2). Размер Live-образа, загружаемого с USB-накопителей, 1.1 ГБ (torrent). Особенности сборки: Позволяет проверить/продемонстрировать работоспособность оборудования, нагрузить процессор и видеокарту, мониторить температуру, проверить SMART HDD и … Читать далее Первый выпуск сборки DogLinux для проверки оборудования

Доступен релиз открытой биллинговой системы ABillS 0.90, компоненты которой поставляются под лицензией GPLv2. Основные новшества: Веб-интерфейс переведён на использование AdminLTE 3. В модуле Msgs добавлена система плагинов. В модуле CRM добавлена работа с конкурентами. В модуле Equipment в кабельном тестере расширена поддержка оборудования и добавлена возможность отображения MAC-адресов за ONU. В модуле Paysys добавлена возможность скрывать в платёжных терминалах часть ФИО звёздочками и реализован платёжный модуль для банка Monobank. Источник: http://www.opennet.ru/opennews/art.shtml?num=55170 Читать далее Новая версия открытой биллинговой системы ABillS 0.90 CRM

Консорциум W3C представил первые черновые варианты спецификаций WebGPU и WebGPU Shading Language (WGSL), определяющих API для выполнения операций на GPU, таких как рендеринг и вычисления, а также язык шейдров для написания программ, работающих на стороне GPU. концептуально схожий с API Vulkan, Metal и Direct3D 12. Спецификации подготовлены рабочей группой, в которую вошли инженеры из Mozilla, Google, Apple и Microsoft. Концептуально WebGPU отличается от WebGL примерно так же, как графический API Vulkan отличается от OpenGL, но при этом не основывается на конкретном графическом API, а представляет собой универсальную прослойку, использующую те же низкоуровневые примитивы, что имеются в Vulkan, Metal и Direct3D. … Читать далее W3C представил черновой вариант стандарта WebGPU

Компания Mozilla объявила о начале массового тестирования в ночных сборках и бета-выпусках Firefox режима строгой изоляции сайтов, развивавшегося в рамках проекта Fission. Режим расширяет применение многопроцессной архитектуры — вместо фиксированного пула процессов, в отдельный процесс выносится обработка каждого сайта. Управление включением режима Fission осуществляется через переменную «fission.autostart=true» в about:config или на странице about:preferences#experimental. Напомним, что применяемая в Firefox до настоящего времени многопроцессная модель подразумевала запуск пула процессов-обработчиков: по умолчанию 8 основных процессов для обработки контента, 2 дополнительных непривилегированных процесса для web-контента и 4 вспомогательных процесса для дополнений, взаимодействия с GPU, сетевых операций и декодирования мультимедийных данных. Распределение вкладок по процессам … Читать далее Компания Mozilla представила режим строгой изоляции сайтов для Firefox

Тилль Кампетер (Till Kamppeter), лидер проекта OpenPrinting, объявил, что из-за отсутствия интереса компании Apple к поддержанию системы печати CUPS основанный в прошлом году форк CUPS можно рассматривать как основой проект (upstream) для передачи патчей и включения в дистрибутивы. В развитии форка принимает участие Майкл Свит (Michael R Sweet), изначальный автор CUPS, полтора года назад уволившийся из компании Apple. С начала 2020 года в поддерживаемом компанией Apple репозитории CUPS не внесено ни одного изменения и проект находится в глубокой стагнации. С учётом важности CUPS для экосистемы Linux команда OpenPrinting приняла решение взять сопровождение кода CUPS в свои руки и основала прошлой … Читать далее Проект OpenPrinting взял на себя разработку системы печати CUPS

Маттиас Герстнер (Matthias Gerstner) из SUSE Security Team провёл аудит утилиты Please, развиваемой в качестве более безопасной альтернативы sudo, написанной на языке Rust и поддерживающей регулярные выражения. Утилита поставляется в репозиториях Debian Testing и Ubuntu 21.04 в пакете rust-pleaser. В ходе аудита была выявлена группа уязвимостей (CVE-2021-31153, CVE-2021-31154, CVE-2021-31155), приводящих к краху и не исключающих возможность создания эксплоитов для повышению привилегий в системе. Уязвимости устранены в ветке Please 0.4 (обновления пакетов уже предложены для Ubuntu и Debian). Подробности о характере уязвимостей пока не сообщаются — доступен лишь один общий патч и краткое пояснение, какие из рекомендаций по устранению проблем с … Читать далее Уязвимости в Please, альтернативе sudo, написанной на языке Rust

Опубликован выпуск операционной системы NetBSD 9.2. Для загрузки подготовлены установочные образы размером 820 МБ, доступные в сборках для 57 системных архитектур и 16 различных семейств CPU. Основные изменения: Добавлена возможность экспорта файловых систем ZFS через NFS. Из NetBSD HEAD перенесён код http-сервера httpd, в котором добавлена поддержка дополнительных MIME-типов и решены проблемы с обработкой файлов размером больше 4 ГБ на 32-разрядных системах. Улучшена поддержка 32-разрядных ARM-приложений на системах AArch64 (compat_netbsd32). Добавлены компоненты пространства пользователя для архитектуры ARMv6. Обеспечена возможность сборки бинарных пакетов в изолированном окружении на сервере с процессором AArch64. Добавлена поддержка ptrace. Обеспечена эмуляция инструкций, признанных устаревшими в ARMv7. … Читать далее Выпуск NetBSD 9.2

Представлена новая версия свободной системы мониторинга с полностью открытым исходным кодом Zabbix 5.4. Вышедший релиз включает в себя поддержку генерации отчётов в формате PDF, нового синтаксиса для агрегаций обнаружения более сложных проблем, улучшения визуализации данных, поддержки токенов для доступа к API, тегов на уровне метрик, улучшения производительности и и многое другое. Zabbix состоит из трёх базовых компонентов: сервера для координации выполнения проверок, формирования проверочных запросов и накопления статистики; агентов для осуществления проверок на стороне внешних хостов; фронтэнда для организации управления системой. Код распространяется под лицензией GPLv2. Для снятия нагрузки с центрального сервера и формирования распределённой сети мониторинга может быть развёрнута … Читать далее Выпуск системы мониторинга Zabbix 5.4

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.22. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 8 июня. Ключевые улучшения: Реализован режим адаптивной настройки прозрачности панели и размещённых на панели виджетов, который автоматически отключает прозрачность при наличии хотя бы одного окна, развёрнутого на всю видимую область. В параметрах панели можно отключить данное поведение и включить постоянную прозрачность или непрозрачность. Значительно улучшена поддержка Wayland. При использовании Wayland предоставлена возможность работы с комнатами (activity) и поддержка поиска по элементам меню в апплете … Читать далее Тестирование рабочего стола KDE Plasma 5.22

Опубликован первый выпуск проекта Lima (Linux-on-Mac, macOS subsystem for Linux), развивающего прослойку для запуска Linux-приложений в macOS, по решаемым задачам похожую на подсистему WSL (Windows Subsystem for Linux). Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Принцип работы Lima сводится к запуску в окружении macOS виртуальных машин с Linux со встроенной поддержкой инструментария containerd для управления запуском готовых образов изолированных контейнеров, совместимых с Docker. Из дистрибутивов Linux заявлена поддержка Ubuntu и Fedora. Поддерживается запуск приложений, собранных для архитектур ARM (aarch64) и x86_64, в том числе запуск ARM-сборок в окружении x86 и x86-сборок в окружении ARM. Для … Читать далее Первый выпуск Lima, окружения для запуска Linux-приложений в macOS

Компания AMD предупредила о выявлении двух методов атаки, позволяющих обойти механизм защиты AMD SEV (Secure Encrypted Virtualization). Проблема затрагивает первое, второе и третье поколения процессоров AMD EPYC (на базе микроархитектуры Zen1 — Zen3), а также встраиваемые процессоры AMD EPYC. AMD SEV на аппаратном уровне обеспечивает прозрачное шифрование памяти виртуальных машин, при котором доступ к расшифрованным данным имеет только текущая гостевая система, а остальные виртуальные машины и гипервизор при попытке обращения к этой памяти получают зашифрованный набор данных. Выявленные проблемы позволяют атакующему, имеющему право администратора на сервере и контролирующему работу гипервизора, обойти ограничения AMD SEV и выполнить свой код в контексте … Читать далее Уязвимости в реализации технологии AMD SEV, затрагивающая процессоры AMD ZEPYC

Продемонстрирован метод атаки на редактор кода VSCode, позволяющий передать произвольные системные файлы при открытии в редакторе специально оформленного исходного кода. В предложенной демонстрации при открытии кода на языке Rust, в котором используется процедурный макрос, выполняется установка соединения с хостом 127.0.0.1:8080 и отправка содержимого файла «~/.ssh/id_rsa» с SSH-ключами пользователя. Для компрометации достаточно просто открыть файл с кодом, без выполнения каких-либо других действий с проектом. Для работы примера требуется наличие в VSCode плагина rust-analyzer (обвязка над штатным компилятором rustc) и наличие в системе инструментария для работы с кодом на языке Rust. Проблема связана с раскрытием процедурных макросов во время начального анализа кода. … Читать далее Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов

Разработчики библиотеки fingerprintjs, позволяющей генерировать идентификаторы браузера в пассивном режиме на основе косвенных признаков, таких как разрешение экрана, особенностей WebGL, списки установленных плагинов и шрифтов, представили новый метод идентификации, основанный на оценке установленных у пользователя типовых приложений и работающий через проверку поддержки в браузере дополнительных обработчиков протоколов. Код скрипта с реализацией метода опубликован под лицензий MIT. Проверка осуществляется на основе анализа привязки обработчиков к 32 популярным приложениями. Например, определив наличие в браузере обработчиков схем URL telegram://, slack:// и skype:// можно сделать вывод о наличии в системе приложений telegram, slack и skype, и использовать данную информацию в качестве признака при генерации … Читать далее Идентификация через анализ внешних обработчиков протоколов в браузере