В консольном оконном менеджере tmux («terminal multiplexer»), разрабатываемом в рамках проекта OpenBSD в качестве замены программы GNU Screen, выявлена уязвимость (CVE-2020-27347), приводящая к переполнению буфера при вводе специально оформленной escape-последовательности. Уязвимость уже устранена или не проявляется (уязвимы только версии, начиная с tmux 2.9) в OpenBSD, Debian, SUSE, RHEL, Fedora, Ubuntu, FreeBSD. Проблема присутствует в коде обработки escape-последовательностей в функции input_csi_dispatch_sgr_colon, используемой в серверном процессе tmux и потенциально может привести к выполнению кода атакующего из-за ненадлежащей проверки границ буфера. Escape-последовательности вида «33[::::::7::1:2:3::5:6:7:m» могут перезаписать произвольные 4-байтовые значения в стеке, а при помощи пустых аргументов («::») можно пропустить выбранные смещения, не затронув … Читать далее Уязвимость в tmux, эксплуатируемая через escape-последовательность

В соответствии внедрённым в прошлом году ежемесячным циклом публикации обновлений представлено ноябрьское сводное обновление приложений (20.08.3), развиваемых проектом KDE. Всего в рамках ноябрьского обновления опубликованы выпуски более 120 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Наиболее заметные новшества: Добавлено новое приложение Arkade с коллекцией аркадных игр, разработанных с использованием фреймворка Kirigami, позволяющего создавать универсальные интерфейсы для мобильных и настольных систем. Добавлено новое приложение KGeoTag для работы с геотегами, привязанными к фотографиям. Добавлено новое приложение Neochat c реализацией системы обмена сообщениями, поддерживающей протокол Matrix. Neochat представляет собой форк программы Spectral, переписанный … Читать далее Ноябрьское обновление приложений KDE 20.08.3

После нескольких месяцев работы вышла новая версия программы Cine Encoder для обработки видео с сохранением сигналов HDR. Программа написана на языке С++, использует в своей работе утилиты FFmpeg, MkvToolNix и MediaInfo, и распространяется под лицензией GPLv3. Существуют пакеты под основные дистрибутивы: Debian, Ubuntu 20.04, Fedora 32, CentOS 7.8, Arch Linux, Manjaro Linux. В новой версии программа была полностью переписана на языке С++ (ранее код был написан на Python). Также полностью переделан интерфейс, добавлено пакетное конвертирование, режим двухпроходного кодирования и работа с пресетами. Доступны следующие режимы кодирования: H265 NVENC (8, 10 bit) H265 (8, 10 bit) VP9 (10 bit) AV1 (10 … Читать далее Вышла новая версия программы обработки видео Cine Encoder 3.0

Компания Canonical объявила о партнёрстве с мобильным оператором MTC в построении облачной инфраструктуры следующего поколения, которая будет развёрнута на базе открытой платформы OpenStack и Linux-дистрибтива Ubuntu. Новую инфраструктуру планируют начать внедрять в следующем году в 11 российских датацентрах МТС и использовать для создания сервисов для сети 5G. Платформа OpenStack включает в себя набор взаимосвязанных компонентов, нацеленных на создание как публичных cloud-сервисов, подобных Amazon EC2, так и приватных cloud-окружений, работающих на собственном оборудовании и полностью подконтрольных компании. Платформа изначально была разработана и открыта под лицензией Apache компанией Rackspace и космическим агентством NASA. Впоследствии связанная с проектом интеллектуальная собственность была передана независимой … Читать далее MTC введёт в строй облачную инфраструктуру на базе Ubuntu и OpenStack

Доступен выпуск проекта fheroes2 0.8.3, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на С++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные новшества: Началась работа по внедрению нового ИИ. Города теперь отстраиваются рациональней. Противники не сидят без дела, а нанимают войска и целенаправленно осваивают новые территории. В бою оппоненты выбирают определённые тактики поведения, в зависимости от условий боя. Исправлено множество графических недочетов на экранах городов. Например, в замке варваров множество построек теперь отрисовываются полностью, в сравнении с … Читать далее Выпуск игры Free Heroes of Might and Magic II 0.8.3

Доступен релиз дистрибутива OmniOS Community Edition r151036, основанного на наработках проекта Illumos и предоставляющего полноценную поддержку гипервизоров bhyve и KVM, виртуального сетевого стека Crossbow, файловой системы ZFS и средств запуска легковесных Linux-контейнеров. Дистрибутив может применяться как для построения высокомасштабируемых web-систем, так и для создания систем хранения. В новом выпуске: Предоставлена возможность использования альтернативной системы ведения логов на базе rsyslog. Появилась поддержка настройки атрибута roleauth, позволяющего использовать для аутентификации с заданной ролью отдельный пароль, отличный от пароля пользователя. Улучшен процесс автонастройки PCI-устройств. Применяемый по умолчанию модуль платформы (PSM) переключён на использование apix (для отмены можно указать apix_enable=0 в /etc/system). В SMB-сервера … Читать далее Выпуск OmniOS CE r151036, дистрибутива Illumos

В дисплейном менеджере SDDM (Simple Desktop Display Manager), который применяется по умолчанию в Fedora Linux при выборе рабочего стола KDE и развивается при участии проектов Liri, KDE и LXQt, выявлена уязвимость (CVE-2020-28049), позволяющая локальному пользователю повысить свои привилегии. Проблема устранена в выпуске SDDM 0.19, но в дистрибутивах пока остаётся неисправленной (Debian, RHEL (epel), Ubuntu, SUSE, Fedora). Уязвимость вызвана состоянием гонки (race condition) при вызове X-сервера. SDDM запускает X-сервер с параметрами «-auth» и «-displayfd», после чего ожидает передачи номера экрана через дескриптор displayfd, но записывает файл Xauthority, указанный в опции «-auth», на диск не сразу, а с определённой задержкой. Таким образом, … Читать далее Локальная уязвимость в дисплейном менеджере SDDM

Состоялся выпуск дистрибутива Nitrux 1.3.4, построенного на пакетной базе Ubuntu, технологиях KDE и системе инициализации OpenRC. Дистрибутив развивает собственный рабочий стол NX Desktop, который представляет собой надстройку над пользовательским окружением KDE Plasma. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages и собственный центр установки приложений NX Software Center. Размер загрузочного образа составляет 2.4 ГБ. Наработки проекта распространяются под свободными лицензиями. Рабочий стол NX Desktop предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений и мультимедийный апплет для регулирования громкости и управления воспроизведением мультимедийного контента. Из развиваемых проектом приложений также … Читать далее Релиз дистрибутива Nitrux 1.3.4 с рабочим столом NX Desktop

В Git LFS выявлена критическая уязвимость (CVE-2020-27955), позволяющая удалённому злоумышленнику выполнить свой код в системе жертвы, при клонировании жертвой специально оформленного репозитория. Проблема проявляется только на платформе Windows и устранена в предложенном несколько часов назад обновлении git-lfs 2.12.1. На Unix системах уязвимость не проявляется. Проблема вызвана тем, что на платформе Windows для запуска нового процесса git используется вызов ExecCommand(), но не указывается полный путь к исполняемому файлу git. Если полный путь не указан, то функция ExecCommand() проверяет наличие исполняемого файла в текущем каталоге. Так как запуск осуществляется в контексте текущего репозитория, атакующий может разместить в своём репозитории файлы git.bat, git.exe … Читать далее Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-14 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, VollaPhone, Bq Aquaris E5/E4.5/M10, Sony Xperia X/XZ и OnePlus 3/3T. По сравнению с прошлым выпуском началось формирование стабильных сборок для устройств Xiaomi Redmi 4X, Huawei Nexus 6P и Sony Xperia Z4 Tablet. Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на … Читать далее Четырнадцатое обновление прошивки Ubuntu Touch

Состоялся релиз пользовательского окружения LXQt 0.16 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux. Особенности выпуска: В редакцию файлового менеджера PCManFM-Qt и лежащую в … Читать далее Выпуск графического окружения LXQt 0.16.0

Доступен выпуск инструментария CRIU 3.15 (Checkpoint and Restore In Userspace), предназначенного для сохранения и восстановления процессов в пространстве пользователя. Инструментарий позволяет сохранить состояние одного или группы процессов, а затем возобновить работу с сохранённой позиции, в том числе после перезагрузки системы или на другом сервере без разрыва уже установленных сетевых соединений. Код проекта распространяется под лицензией GPLv2. Из областей применения технологии CRIU отмечается обеспечение перезагрузки ОС без нарушения непрерывности выполнения длительно выполняемых процессов, Live-миграция изолированных контейнеров, ускорение запуска медленных процессов (можно начать работу с состояния, сохранённого после инициализации), проведение обновлений ядра без перезапуска сервисов, периодическое сохранение состояния долговыполняемых вычислительных задач для … Читать далее Выпуск CRIU 3.15, системы для сохранения и восстановления состояния процессов в Linux

В репозитории github/dmca, где публикуются сообщения о нарушениях DMCA, были размещены исходные коды GitHub.com и GitHub Еnterprise. Исходники были опубликованы 4 ноября в 3:51 UTC (6:51 MSK) со следующим сообщением: «felt cute, might put gh source code on dmca repo now idk». Данные опубликованы через учётную запись nat, которая принадлежит Нэту Фридмэну (Nat Friedman), руководителю GitHub. Источник: http://www.opennet.ru/opennews/art.shtml?num=54024 Читать далее В сеть попали исходные коды GitHub.com и GitHub Еnterprise

Компания Google раскрыла информацию о методе эксплуатации уязвимости (CVE-2020-15228) в механизме GitHub Actions, предназначенном для прикрепления обработчиков для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Уязвимость вызвана тем, что обмен командами между процессом запуска Action и запускаемым действием (Action) производится через стандартный поток (STDOUT) — Actions Runner парсит стандартный поток, формируемый в процессе выполнения действий, и выделяет в нём маркеры команд «##[command parameter1=data;]command-value…». Проблема в том, что некоторые обработчики действий допускают передачу через тот же стандартный поток сторонних данных, например, передают через стандартный … Читать далее Уязвимость в GitHub Actions, допускающая подстановку команд

Симон Петер (Simon Peter), создатель формата самодостаточных пакетов AppImage, призвал бойкотировать Wayland «так как он ломает всё». В сообщении говорится: «Wayland не решает никаких проблем, которые у меня есть, но ломает почти все, что мне нужно. И обычно оно остаётся сломанным, потому что связанные с Wayland люди, похоже, заботятся только о GNOME и отдаляют всех остальных в этом процессе. НЕ УСТАНАВЛИВАЙТЕ WAYLAND! Пусть Wayland не уничтожит все, чтобы потом другим людям не пришлось устранять ущерб, который он нанесёт. Или сделайте больше Red Hat/GNOME-специфичных компонентов (glib, Portals, Pipe wire) обязательными зависимостями!» Некоторые из приведённых примеров: Wayland ломает приложения для записи экрана. … Читать далее Инициатива по бойкотированию Wayland

Проект dahliaOS нацелен на создание новой операционной системы, комбинирующей компоненты из GNU/Linux и ОС Fuchsia. Наработки проекта написаны на языке Dart и распространяются под лицензией Apache 2.0. Сборки dahliaOS формируются в двух вариантах — для систем с EFI (158 МБ) и старых систем/виртуальных машин (115 МБ). Базовый дистрибутив dahliaOS собирается на базе ядра Linux и типового системного окружения GNU, а пользовательское окружение базируется на технологиях Fuchsia. Параллельно развиваются сборки на базе микроядра Zircon и окружения из ОС Fuchsia, которые доступны для Raspberry Pi 4, msm8917 и некоторых других устройств. В настоящее время основные усилия сосредоточены на создании собственной пользовательской оболочки … Читать далее Проект dahliaOS развивает дистрибутив на базе технологий Linux и Fuchsia

В репозитории NPM выявлен вредоносный пакет twilio-npm, в котором присутствует бэкдор, позволяющий управлять системой с внешнего сервера (во время импортирования модуля создаётся соединение с сервером злоумышленников и запускается reverse shell). Вредоносный пакет twilio-npm не имеет отношения к официальному пакету Twilio и манипулирует известным брендом в названии для стимулирования установок (официальный пакет twilio насчитывает около 500 тысяч загрузок в неделю и злоумышленники рассчитывают на то, что пользователь перепутает пакет при поиске). Пакет был опубликован 30 октября и до блокировки его успели загрузить 371 раз. Пользователям, использовавшим twilio-npm, следует считать свои системы скомпрометированными, а все хранящиеся в системе ключи шифрования подлежащими замене. … Читать далее В репозитории NPM выявлен вредоносный пакет twilio-npm

Web-интерфейс GitHub примерно на 30 минут оказался неработособен из-за того, что сотрудники забыли вовремя продлить SSL-сертификат для домена githubassets.com, который используется для отдачи JavaScript-сценариев и изображений. Проблемы наблюдались с 2 до 3 утра (MSK). Сертификат для основного сайта github.com оставался работоспособен, но загрузка дополнительных ресурсов со стороннего хоста с просроченным сертификатом была заблокирована браузерами из-за срабатывания защиты от обработки смешанного контента (GitHub выставляет в HTTP-заголовке content-security-policy cвойство block-all-mixed-content). Так как GitHub запрещает обращаться без HTTPS и не поддерживает работу без JavaScript, web-интерфейс на время был выведен из строя. Источник: http://www.opennet.ru/opennews/art.shtml?num=54018 Читать далее Проблемы с GitHub, возникшие из-за просроченного SSL-сертификата

В октябрьском обновлении Solaris была устранена уязвимость (CVE-2020-14871) в подсистеме PAM (Pluggable Authentication Module), которой был присвоен наивысший уровень опасности (10 CVSS), но информация ограничивалась только тем, что проблема может быть эксплуатирована удалённо. Теперь появились первые сведения о совершении реальных атак и доступности рабочего эксплоита, который, как оказалось, продавался на чёрном рынке ещё с апреля этого года. Эксплоит позволяет неаутентифицированному атакующему получить root-доступ к системе. Проблеме подвержены ветки Solaris 10 и 11. Атака может быть совершена при использовании в системе SSHD для организации входа пользователей или при наличии других сетевых сервисов, в работе которых используется PAM. Утверждается, что уязвимость уже … Читать далее Удалённая root-уязвимость в Solaris

Компания Collabora представила выпуск Monado 0.4, открытой реализации стандарта OpenXR. Стандарт OpenXR подготовлен консорциумом Khronos и определяет универсальный API для создания приложений виртуальной и дополненной реальности, а также набор прослоек для взаимодействия с оборудованием, абстрагирующим особенности конкретных устройств. Monado предоставляет runtime, полностью соответствующий требованиям OpenXR, который может использоваться для организации работы с виртуальной и дополненной реальности на смартфонах, планшетах, ПК и любых других устройствах. Код проекта написан на языке Си и распространяется под свободной лицензией Boost Software License 1.0, совместимой с GPL. Основные изменения: Реализация доведена до состояния, успешно проходящего все предоставляемые консорциумом Khronos тесты на совместимость со стандартом OpenXR. … Читать далее Выпуск открытой платформы виртуальной реальности Monado 0.4

Проект Raspberry Pi анонсировал компактный персональный компьютер Raspberry Pi 400, оформленный в виде моноблока c интегрированной клавиатурой. В основу компьютера заложен модифицированный вариант платы Raspberry Pi 4, оснащённый 4ГБ ОЗУ. Кроме иного форм-фактора новой платы, ключевым отличием от ранее выпускаемых плат Raspberry Pi 4 стало увеличение частоты CPU с 1.5 Ghz до 1.8Ghz. Частоту удалось увеличить благодаря реализации системы отвода тепла на базе крупной металлической пластины к которой крепится клавиатура. Устройство доступно для заказа по цене 70 долларов. На заднюю часть корпуса выведены разъёмы: 40-пиновый GPIO, два порта micro-HDMI, слот для MicroSD-карт, два порта USB 3.0 и один порт USB … Читать далее Представлен моноблок Raspberry Pi 400, объединённый с клавиатурой