Компания Microsoft удалила из GitHub код (копия) с прототипом эксплоита, демонстрирующем принцип действия критической уязвимости в Microsoft Exchange. Подобное действие вызвало возмущение многих исследователей безопасности, так как прототип эксплоита был опубликован после выпуска исправления, что является обычной практикой. Позднее представители GitHub прокомментировали удаление наличием в правилах GitHub пункта, запрещающего размещение в репозиториях вредоносного кода или эксплоитов. Но данное правило раньше не применялось в отношении размещаемых исследователями прототипов кода, опубликованных для разбора методов атаки после выпуска производителем исправления. Так как обычно подобный код не удаляется, действия GitHub были восприняты как применение Microsoft административного ресурса для блокирования информации об уязвимости в своём … Читать далее Критика Microsoft после удаления из GitHub прототипа эксплоита для Microsoft Exchange

ОАО «Российские железные дороги» переводит часть инфраструктуры на платформу Astra Linux. Уже закуплено 22 тысячи лицензий на дистрибутив — 5 тысяч лицензий будут использованы для миграции автоматизированных рабочих мест сотрудников, а остальные для построения виртуальной инфраструктуры рабочих мест. Миграция на Astra Linux начнётся уже в этом месяце. Внедрением Astra Linux в инфраструктуру РЖД займётся АО «Гринатом«, ИТ-интегратор Госкорпорации «Росатом», который ранее привлекался для разработки ИТ-сервисов для РЖД. Напомним, что проект Astra Linux развивается российской компанией «РусБИТех-Астра». Дистрибутив построен на пакетной базе Debian GNU/Linux и поставляется с собственным проприетарным рабочим столом Fly (интерактивная демонстрация) c компонентами, использующими библиотеку Qt. Для применения … Читать далее РЖД переводит часть рабочих станций на Astra Linux

Следом за GitHub и Bitbucket разработки платформы совместной разработки GitLab объявили о прекращении использования по умолчанию слова «master» для основных веток в пользу слова «main». Термин «master» считается последнее время неполиткорректным, напоминает о рабстве и воспринимается некоторыми участниками сообщества как оскорбление. Изменение будет произведено как в сервисе GitLab.com, так и после обновления платформы GitLab для локального использования. Новое имя будет применяться при создании новых проектов. В выпуске GitLab 13.11, намеченном на 22 апреля, появится флаг опциональной замены имени основной ветки, но по умолчанию в новых проектах будет продолжено использование имени master. В версии GitLab 14.0, которая ожидается 22 мая, для … Читать далее GitLab прекращает использование имени «master» по умолчанию

Игорь Павлов выпустил официальную консольную версию 7-zip для Linux вместе с выпуском версии 20.01 для Windows в связи с тем, что проект p7zip не видел обновлений уже пять лет. Официальная версия 7-zip для Linux схожа с p7zip, но не является копией. О разнице проектов не сообщается. Программа выпущена в версиях для x86, x86-64, ARM и ARM64. Лицензия на код 7-Zip для Linux — GNU LGPL. Помимо портирования для Linux из улучшений в 7-zip 20.01 отмечается повышение производительности на оборудовании ARM64 за счёт задействования специализированных инструкций CPU для ускорения вычислений AES, CRC-32, SHA-1 и SHA-256. Источник: http://www.opennet.ru/opennews/art.shtml?num=54740 Читать далее Вышла официальная консольная версия 7-zip для Linux

Опубликована новая версия децентрализованной платформы для обмена медиафайлами MediaGoblin 0.11.0, предназначенной для организации хостинга и обмена медиаконтентом, в том числе фотографиями, видеороликами, звуковыми файлами, видео, трёхмерными моделями и PDF-документами. В отличие от централизованных сервисов, подобных Fliсkr и Picasa, платформа MediaGoblin нацелена на организацию обмена контентом без привязки к конкретному сервису, используя модель похожую на StatusNet и pump.io, и давая возможность поднять сервер на своих мощностях. Код проекта написан на языке Python и распространяется под лицензией AGPLv3. В новом выпуске прекращена поддержка Python 2, для работы теперь требуется Python 3. Прекращение поддержки Python 2 существенно упростило сопровождение проекта и добавление новых … Читать далее Выпуск децентрализованной платформы для обмена медиафайлами MediaGoblin 0.11

Доступен корректирующий выпуск Firefox 86.0.1, в котором предложено несколько исправлений: Устранён крах при запуске, проявляющийся в различных дистрибутивах Linux. Проблема была вызвана неверной проверкой размера памяти в коде загрузки цветовых профилей ICC, написанном на языке Rust. Исправлена проблема с зависанием Firefox после выхода macOS из спящего режима на системах с процессорами Apple M1. Устранена ошибка, приводившая к потере фокуса в активном окне после изменения windowReference.location.href. Исправлен выход за границу видимости данных в полях с датой и временем (‹input type=»date»› и ‹input type=»time»›) из-за неверного расчёта ширины поля. Устранена ошибка, приводившая к неопределённому поведению в дополнениях, манипулирующих группами вкладок. Источник: http://www.opennet.ru/opennews/art.shtml?num=54741 Читать далее Обновление Firefox 86.0.1

Представлен релиз Samba 4.14.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.14: Проведена значительная модернизация слоя VFS. По историческим причинам код с реализацией файлового сервера был завязан на обработку файловых путей, которая применялась в том числе для протокола SMB2, переведённого на использование дескрипторов. В Samba 4.14.0 код, обеспечивающий доступ к файловой системе сервера, был … Читать далее Выпуск Samba 4.14.0

Компания Collabora сообщила о принятии в основной состав Mesa Gallium-драйвера D3D12, реализующего прослойку для организации работы OpenGL поверх API DirectX 12 (D3D12). Одновременно объявлено об успешном прохождении драйвером тестов на совместимость с OpenGL 3.3 при работе поверх D3D12-драйверов WARP (программный растеризатор) и NVIDIA. Драйвер может быть полезен для использования Mesa на устройствах с драйверами, поддерживающими только D3D12, а также в качестве стартовой позиции для портирования OpenGL-приложений для работы поверх API D3D12. В том числе драйвер можно будет использовать для организации работы графических приложений в окружениях под управлением подсистемы WSL (Windows Subsystem for Linux), обеспечивающей запуск исполняемых файлов Linux в Windows. … Читать далее Реализация OpenGL поверх DirectX достигла совместимости с OpenGL 3.3 и принята в состав Mesa

Мэттью Миллер (Matthew Miller), лидер проекта Fedora, выступил с инициативой разделения наименования сообщества и дистрибутива Fedora. Имя Fedora предложено использовать для всего проекта и связанного с ним сообщества, а дистрибутив планируется называть Fedora Linux. В качестве причины переименования упоминается то, что проект Fedora не ограничивается одним дистрибутивом и также развивает репозиторий EPEL для RHEL/CentOS, документацию, сайты и различные инструменты. Поэтому, говоря Fedora хотелось бы, чтобы подразумевался весь проект, а не один из создаваемых им продуктов. Изменение имени предложено произвести в выпуске Fedora 35, заменив в файле /etc/os-release параметр ‘NAME=Fedora’ на ‘NAME=»Fedora Linux»‘. Параметр «ID=fedora» останется без изменений, т.е. не потребуется … Читать далее Дистрибутив Fedora на пути переименования в Fedora Linux

Сегодня ночью (около часа ночи по европейскому времени) в страсбургском датацентре компании OVH возник пожар, который уничтожил бо́льшую часть оборудования (из четырёх датацентров OVH в Страсбурге полностью сгорел ДЦ SBG2, сгорело 4 из 12 помещений в ДЦ SBG1, обесточены ДЦ SBG3 и SBG4). Пожарные и спасательные службы обесточили все здания и только к утру пожар удалось потушить. Никто не пострадал. Префектура и полиция создали периметр безопасности вокруг зданий, доступ сотрудников туда также запрещён. Это событие уже затронуло многих клиентов OVH, ведь как оказалось, многие бэкапы хранились в том же датацентре. Источник: http://www.opennet.ru/opennews/art.shtml?num=54736 Читать далее Сгорел датацентр европейского хостера OVHCloud в Страсбурге

В результате взлома инфраструктуры компании Verkada, занимающейся поставкой умных камер наблюдения с поддержкой распознавания лиц, злоумышленники получили полный доступ к более 150 тысячам камер, используемым в таких компаниях, как Cloudflare, Tesla, OKTA, Equinox, а также во многих банках, тюрьмах, школах, полицейский участках и больницах. Участники хакерской группы APT 69420 Arson Cats упомянули о наличии у них root-доступа на устройствах во внутренней сети CloudFlare, Tesla и Okta, привели в качестве доказательства видеозаписи изображений с камер и скриншоты с результатами выполнения типовых команд в shell. Атакующие заявили, что при желании за неделю смогли бы получить контроль за половиной интернета. Взлом Verkada был … Читать далее Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada

Компании Red Hat и Google, совместно с Университетом Пердью, основали проект Sigstore, нацеленный на создание инструментов и сервисов для верификации программного обеспечения при помощи цифровых подписей и ведения публичного лога для подтверждения подлинности (transparency log). Проект будет развиваться под эгидой некоммерческой организации Linux Foundation. Предложенный проект позволит повысить безопасность каналов распространения программ и защититься от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Одной из ключевых проблем с безопасностью в открытом ПО называется сложность проверки источника получения программы и верификации процесса сборки. Например, для проверки целостности релиза большинство проектов используют хэши, но часто необходимая для проверки подлинности информация … Читать далее Red Hat и Google представили Sigstore, сервис для криптографической верификации кода

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 и 2.29.3, в которых устранена уязвимость (CVE-2021-21300), позволяющая организовать удалённое выполнение кода при клонировании репозитория злоумышленника с использованием команды «git clone». Уязвимости подвержены все выпуски Git, начиная с версии 2.15. Проблема проявляется при использовании отложенных операций checkout, которые применяются в некоторых фильтрах очистки, например, настраиваемых в Git LFS. Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS). В качестве обходного … Читать далее Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода

Сильвестр Ледрю (Sylvestre Ledru), известный своей работой по сборке Debian GNU/Linux с использованием компилятора Clang, сообщил об успешном проведении эксперимента по задействованию альтернативного набора утилит coreutils, переписанного на языке Rust. В состав coreutils входят такие утилиты, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Для первого этапа интеграции в Debian варианта coreutils на языке Rust были поставлены следующие цели: Создание пакета с альтернативным вариантом coreutils на языке Rust для Debian и Ubuntu. Загрузка Debian с рабочим столом GNOME, используя rust-coreutils. Установка 1000 наиболее популярных пакетов из репозитория. Cборка из исходных текстов Firefox, LLVM/Clang … Читать далее Адаптация Debian для использования реализации coreutils на языке Rust

Группа исследователей из нескольких американских, израильских и австралийских университетов разработала три работающих в web-браузерах атаки для извлечения информации о содержимом процессорного кэша. Один метод работает в браузерах без JavaScript, а два остальных в обход существующих методов защиты от атак по сторонним каналам, в том числе применяемых в Tor browser и DeterFox. Код для демонстрации атак, а также необходимые для атак серверные компоненты, опубликованы на GitHub. Для анализа содержимого кэша во всех атаках используется метод Prime+Probe, подразумевающий заполнение кэша эталонным набором значений и определение изменений через измерение времени доступа к ним при повторном заполнении. Для обхода присутствующих в браузерах механизмов защиты, … Читать далее Атака по извлечению данных из кэша CPU, реализуемая в web-браузере без JavaScript

Опубликовано интервью с Райаном Далем (Ryan Dahl), основателем и первым разработчиком JavaScript-платформ Node.js и Deno. В беседе затригиваются основные задачи по развитию Deno, вопросы про будущее JavaScript и TypeScript, сторонние проекты экосистемы Deno и то, как бы Райан изменил свой подход к Node.js, если бы мог путешествовать во времени. Источник: http://www.opennet.ru/opennews/art.shtml?num=54726 Читать далее Интервью с Райаном Далем, создателем Node.js

Компания MIPS Technologies прекращает разработку архитектуры MIPS и переключается на создание систем на базе архитектуры RISC-V. Восьмое поколение архитектуры MIPS решено построить на наработках открытого проекта RISC-V. В 2017 году компания MIPS Technologies перешла под контроль стартапа Wave Computing, выпускающего ускорители для систем машинного обучения, использующие процессоры MIPS. В прошлом году компания Wave Computing начала процесс банкротства, но неделю назад при участии венчурного фонда Tallwood вышла из банкротства, провела реорганизацию и переродилась под новым именем — MIPS. Новая компания MIPS полностью изменила бизнес-модель и не будет ограничиваться процессорами. Раньше компания MIPS Technologies занималась развитием архитектуры и лицензированием интеллектуальной собственности, связанной … Читать далее MIPS Technologies прекращает развитие архитектуры MIPS в пользу RISC-V

GitHub сообщил о сбросе всех аутентифицированных сеансов к GitHub.com и необходимости подключиться к сервису вновь из-за выявления проблемы с безопасностью. Отмечается, что проблема проявляется очень редко и затрагивает лишь небольшое число сеансов, но потенциально представляет большую опасность, так как позволяет одному аутентифицированному пользователю получить доступ к сеансу другого пользователя. Уязвимость вызвана состоянием гонки при обработке запросов бэкендом и приводит к маршрутизации сеанса пользователя в браузер другого пользователя, что позволяет получить полный доступ к чужой сессионной cookie. По приблизительной оценке неверное перенаправление затронуло около 0.001% от всех аутентифицированных сеансов на GitHub.com. Утверждается, что подобная переадресация возникала при случайном стечении обстоятельств, которые … Читать далее GitHub устранил уязвимость, приводившую к подмене сеанса пользователя

Компания Canonical запустила кампанию по продвижению Ubuntu в качестве замены CentOS на серверах, используемых в инфраструктуре компаний, занимающихся оказанием финансовых услуг. Инициатива обусловлена решением Red Hat прекратить с 31 декабря 2021 года выпуск обновлений для классического CentOS 8 в пользу тестового проекта CentOS Stream. Несмотря на то, что Red Hat Enterprise Linux и CentOS заняли прочное положение в секторе финансовых услуг, фундаментальные изменения в CentOS могут подтолкнуть финансовые компании к пересмотру своих решений в отношении операционных систем. Среди пунктов, которые упоминаются в попытках подтолкнуть индустрию финансовых услуг к переходу c CentOS на Ubuntu: Предсказуемый график выпусков. Поддержка корпоративного уровня с … Читать далее Компания Canonical начала продвижение Ubuntu как замены CentOS

Группа исследователей из Иллинойсского университета разработала новую технику атаки по сторонним каналам, манипулирующую утечкой информации через кольцевую шину (Ring Interconnect) процессоров Intel. Атака позволяет выделять сведения о работе с памятью в другом приложении и отслеживать информацию о времени нажатия клавиш. Исследователи опубликовали инструментарий для проведения сопутствующих измерений и несколько прототипов эксплоитов. Предложено три эксплоита, которые позволят: Восстановить отдельные биты ключей шифрования при использовании реализаций RSA и EdDSA, уязвимых к атакам по сторонним каналам (если задержки при вычислении зависят от обрабатываемых данных). Например, утечки отдельных битов с информацией о векторе инициализации (nonce) EdDSA достаточно для применения атак по последовательному восстановлению всего … Читать далее Утечка данных через кольцевую шину CPU Intel

Проект Dolt развивает СУБД, сочетающую поддержку SQL со средствами версионирования данных в стиле Git. Dolt позволяет клонировать таблицы, создавать форки и выполнять слияния таблиц, а также выполнять операции push и pull по аналогии с действиями в git-репозитории. При этом СУБД поддерживает SQL-запросы и совместима с MySQL на уровне клиентских интерфейсов. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Возможности по версионированию данных в БД позволяют отслеживать происхождение данных — привязка к коммитам даёт возможность фиксировать состояние для получения идентичных результатов, которые независимо от текущего состояния в любое время могут быть повторены на других системах. Кроме того, … Читать далее СУБД Dolt, позволяющая манипулировать данными в стиле Git