Проект OpenBSD опубликовал выпуск переносимой редакции пакета LibreSSL 3.2.5, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. В новой версии устранена ошибка в реализации клиента TLS, приводящая к обращению к уже освобождённому блоку памяти (use-after-free) при выполнении операции возобновления сеанса. Разработчики OpenBSD признали, что ошибка приводит к уязвимости, но воздержались от публикации деталей, ограничившись только патчем. Информация о возможности организации удалённой атаки пока отсутствует. Не исключено, что уязвимость имеет отношение к проблеме, приводившей к крахам, о которой в феврале предупреждали разработчики проекта haproxy. Источник: http://www.opennet.ru/opennews/art.shtml?num=54774 Читать далее Обновление LibreSSL 3.2.5 с устранением уязвимости

Самуэль Карп (Samuel Karp), инженер из компании Amazon, занимающийся разработкой Linux-дистрибутива Bottlerocket и технологий контейнерной изоляции для AWS, развивает на основе jail-окружений FreeBSD новый runtime runj для обеспечения изолированного запуска контейнеров, оформленных в соответствии со спецификацией OCI (Open Container Initiative). Проект позиционируется как экспериментальный, разрабатываемый в свободное от основной работы время и пока находящийся на стадии прототипа. Код написан на языке Go и распространяется под лицензией BSD. После доведения разработки до должного уровня потенциально проект может дорасти до уровня, позволяющего применять runj для замены штатного runtime в системах Docker и Kubernetes, используя для запуска контейнеров FreeBSD вместо Linux. Из OCI … Читать далее Runj — OCI-совместимый инструментарий для управления контейнерами на базе FreeBSD jail

Компания Oracle опубликовала обновление операционной системы Solaris 11.4 SRU 31 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске отмечается только обновление версий программ с устранением уязвимостей: BIND 9.11.28, Firefox 78.8.0esr, PHP 7.4 7.4.15, Pillow 8.1.0, Thunderbird 78.8.0, dnsmasq 2.84, libproxy 0.4.16, openjpeg 2.4.0, openldap 2.4.57, pylxml4.6.2 и python-mod/cryptography. Источник: http://www.opennet.ru/opennews/art.shtml?num=54771 Читать далее Доступен Solaris 11.4 SRU31

Доступен новый способ поиска совместимых компонентов для апгрейда компьютера с помощью клиента телеметрии hw-probe и базы поддерживаемого оборудования от проекта Linux-Hardware.org. Идея довольно простая — разные пользователи одной и той же модели компьютера (или материнской платы) могут использовать разные отдельные компоненты в силу разных причин: различие в комплектациях, произведенный апгрейд или ремонт, установка дополнительного оборудования. Соответственно, если как минимум два человека отправили телеметрию одной и той же модели компьютера, то каждому из них можно предложить список компонентов второго в качестве опций для апгрейда. Данный способ не требует знания спецификаций компьютера и специальных знаний в области совместимости отдельных компонентов — вы … Читать далее Новый способ поиска совместимых компонентов для компьютера на основе Linux-телеметрии

После шести месяцев разработки компания Oracle выпустила платформу Java SE 16 (Java Platform, Standard Edition 16), в качестве эталонной реализации которой используется открытый проект OpenJDK. В Java SE 16 сохранена обратная совместимость с прошлыми выпусками платформы Java, все ранее написанные Java-проекты без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 16 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64, AArch64), Windows и macOS. Разработанная в рамках проекта OpenJDK эталонная реализация Java 16 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими динамическое связывание с коммерческими продуктами. Java SE 16 отнесён к … Читать далее Выпуск Java SE 16

Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 6.0, позволяющего организовать проведение аудио- и видеконференций через Web, а также совместную работу и обмен сообщениями между участниками. Поддерживаются как проведение вебинаров с одним выступающим докладчиком, так и конференций с произвольным числом участников, одновременно взаимодействующих между собой. Код проекта написан на Java и распространяется под лицензией Apache 2.0. Среди дополнительных возможностей: средства для интеграции с календарём-планировщиком, отправки индивидуальных или широковещательных уведомлений и приглашений, совместного доступа к файлам и документам, поддержания адресной книги участников, ведения протокола мероприятия, совместного планирования выполнения задач, трансляции вывода запускаемых приложений (демонстрация скринкастов), проведения голосований и опросов. … Читать далее Выпуск сервера web-конференций Apache OpenMeetings 6.0

Разработчики свободного пакета 3D-моделирования Blender предупредили о временном отключении сайта blender.org из-за выявления попытки взлома. Насколько успешна была атака пока не сообщается, говориться лишь о том, что сайт будет возвращён в строй после завершения проверки. Контрольные суммы уже проверены и в файлах загрузки не выявлено вредоносных модификаций. Большая часть инфраструктуры, включая Wiki, портал для разработчиков, Git, репозитории и чат остаются в строю, но отдельные сервисы, такие как code.blender.org и блоги недоступны. Также уже открыт доступ к главной странице сайта и некоторым разделам, при это при запросе некоторых страниц продолжает выводиться заглушка о проведении работ или информация, что страница не найдена. … Читать далее Сайт Blender был отключён из-за попытки взлома

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-16 (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri. Обновление Ubuntu Touch OTA-16 сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, VollaPhone, Bq Aquaris E5/E4.5/M10, Sony Xperia X/XZ, OnePlus 3/3T, Xiaomi Redmi 4X, Huawei Nexus 6P, Sony Xperia Z4 Tablet, Google Pixel 3a, OnePlus Two, F(x)tec Pro1/Pro1 X, Xiaomi Redmi Note 7 и Samsung Galaxy Note 4, а также по сравнению с … Читать далее Шестнадцатое обновление прошивки Ubuntu Touch

В ходе проводимой в рамках проекта Proton модернизации оформления разработчики из компании Mozilla планируют удалить из настроек интерфейса компактный режим отображения панелей (меню «гамбургер» в панели -› Customize -› Density -› Compact), оставив лишь нормальный режим и режим для сенсорных экранов. В компактном режиме используются кнопки меньшего размера и убираются лишние пустоты вокруг элементов панелей и области вкладок для высвобождения дополнительного вертикального пространства для контента. В качеств причины упоминается желание упростить интерфейс и предложить оформление, которое бы подходило большинству пользователей. Отмечается, что переключатель компактного режима довольно трудно найти в настройках и, по мнению разработчиков, этим режимом мало кто пользуется (при … Читать далее Из Firefox намерены убрать компактный режим отображения панелей

Опубликован выпуск среды автоматизированного проектирования LeoCAD 21.03, рассчитанной на создание виртуальных моделей, компонуемых из деталей в стиле конструкторов Лего. Код программы написан на C++ с использованием фреймворка Qt и распространяется под лицензией GPLv2. Готовые сборки сформированы для Linux (AppImage), macOS и Windows Программа сочетает простой интерфейс, позволяющий новичкам быстро освоиться с процессом создания моделей, с богатым набором возможностей для опытных пользователей, включающим средства для написания скриптов автоматизации и наложения своих текстур. LeoCAD совместим с инструментами LDraw, может читать и записывать проекты в форматах LDR и MPD, а также загружать блоки из библиотеки LDraw, насчитывающей около 10 тысяч элементов для сборки. … Читать далее Выпуск LeoCAD 21.03, среды проектирования моделей в стиле Lego

После года разработки состоялся выпуск инструментария GNU Mes 0.23, обеспечивающего процесс бутстрэппинга (bootstrap) для GCC и позволяющего добиться замкнутого цикла пересборки из исходных текстов. Инструментарий решает задачу верифицированной начальной сборки компилятора в дистрибутивах, разрывая цепочку цикличной пересборки (для сборки компилятора требуются исполняемые файлы уже собранного компилятора, а бинарные сборки компилятора являются потенциальным источником скрытых закладок, что не позволяет полностью гарантировать целостность сборок из эталонных исходных текстов). В GNU Mes предлагается самодостаточный (self-hosting) интерпретатор для языка Scheme, написанный на языке Си, и простейший компилятор для языка Си (MesCC), написанный на языке Scheme. Оба компонента взаимособираемы. Scheme-интерпретатор даёт возможность собрать Си-компилятор MesCC, … Читать далее Выпуск GNU Mes 0.23, инструментария для самодостаточной сборки дистрибутивов

Состоялся релиз операционной системы Chrome OS 89, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 89. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 89 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Выпуск приурочен к десятилетию проекта, поэтому содержит много значительных новшеств. Основные изменения в Chrome OS 89: Добавлен Phone … Читать далее Выпуск Chrome OS 89, приуроченный к 10-летию проекта Сhromebook

Компания Canonical предупредила о скором истечении пятилетнего срока выпуска обновлений для дистрибутива Ubuntu 16.04 LTS. Начиная с 30 апреля 2021 года официальная публичная поддержка дистрибутива Ubuntu 16.04 будет прекращена. Для пользователей, которые не успевают перевести свои системы на Ubuntu 18.04 или 20.04, как и для прошлых LTS-выпусков предложена программа ESM (Extended Security Maintenance), продлевающая публикацию обновлений с устранением уязвимостей для ядра и наиболее важных системных пакетов до апреля 2024 года. Доступ к ESM-обновлениям ограничен только для пользователей платной подписки на услуги технической поддержки. Источник: http://www.opennet.ru/opennews/art.shtml?num=54756 Читать далее Компания Canonical продлит поддержку Ubuntu 16.04 для платных подписчиков

Доступно корректирующее обновление инструментарии для создания самодостаточных пакетов Flatpak 1.10.2, в котором устранена уязвимость (CVE-2021-21381), позволяющая автору пакета с приложением обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется начиная с выпуска 0.9.4. Уязвимость вызвана ошибкой в реализации функции перенаправления доступа к файлу («file forwarding»), которая даёт возможность через манипуляцию с .desktop-файлом обратится к ресурсам во внешней файловой системе, к которым запрещено обращаться запущенному приложению. При добавлении файлов с метками «@@» и «@@u» в поле Exec, flatpak посчитает что указанные целевые файлы были явно указаны пользователем и автоматически пробросит доступ к этим файлам в sandbox. … Читать далее Обновление Flatpak 1.10.2 с устранением уязвимости, нарушающей sandbox-изоляцию

В коде подсистемы iSCSI из состава ядра Linux выявлена уязвимость (CVE-2021-27365), позволяющая непривилегированному локальному пользователю выполнить код на уровне ядра и получить root-привилегии в системе. Для тестирования доступен рабочий прототип эксплоита. Уязвимость устранена в обновлениях ядра Linux 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 и 4.4.260. Обновления пакетов с ядром доступны в дистрибутивах Debian, Ubuntu, SUSE/openSUSE, Arch Linux и Fedora. Для RHEL исправления пока не выпущены. Проблема вызвана ошибкой в функции iscsi_host_get_param() из состава модуля libiscsi, внесённой ещё в 2006 году во время разработки подсистемы iSCSI. Из-за отсутствия должных проверок размера, некоторые строковые атрибуты iSCSI, такие как hostname или username, могут … Читать далее Уязвимость в подсистеме iSCSI ядра Linux, позволяющая поднять свои привилегии

Компания Google опубликовала несколько прототипов эксплоитов, показывающих возможность эксплуатации уязвимостей класса Spectre при выполнении JavaScript-кода в браузере в обход ранее добавленных методов защиты. Эксплоиты могут использоваться для получения доступа к памяти процесса, выполняющего обработку web-контента в текущей вкладке. Для тестирования работы эксплоита запущен сайт leaky.page, а код с описанием логики работа размещён на GitHub. Предложенный прототип рассчитан на совершение атаки на системы с процессорами Intel Core i7-6500U в окружении с Linux и Chrome 88. Для применения эксплоита для других окружений требуется внесение изменений. Метод эксплуатации не специфичен для процессоров Intel — после соответствующей адаптации была подтверждена работа эксплоита на системах … Читать далее Google продемонстрировал эксплуатацию уязвимостей Spectre через выполнение JavaScript в браузере

Компания Google сформировала обновление Chrome 89.0.4389.90, в котором исправлены пять уязвимостей, в том числе проблема CVE-2021-21193, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана обращением к уже освобождённой области памяти в JavaScript-движке Blink. Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе. Источник: http://www.opennet.ru/opennews/art.shtml?num=54750 Читать далее Обновление Chrome 89.0.4389.90 с устранением 0-day уязвимости

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 6.4. С момента выпуска версии 6.3 было закрыто 38 отчётов об ошибках и внесено 396 изменений. Наиболее важные изменения: Добавлена поддержка протокола DTLS. В DirectWrite реализована поддержка манипуляции с наборами шрифтов (FontSet), определения фильтров для наборов шрифтов и вызовов GetFontFaceReference(), GetFontSet() и GetSystemFontSet(), позволяющих получить информацию о локально установленных шрифтах и системных шрифтах, в том числе доступных в поставке Windows 10, но в текущий момент не установленных. Добавлен диалог для редактирования элементов в списках контроля доступа. Расширено число элементов интерфейса, для которых поддерживание изменение стиля через темы оформления. Для PowerPoint, OpenOffice.org и … Читать далее Выпуск Wine 6.4

Готов восьмой выпуск стартовых наборов на Девятой платформе Альт. Эти образы подходят для начала работы со стабильным репозиторием опытным пользователям, которые предпочитают самостоятельно определять список пакетов приложений и настраивать систему (вплоть до создания собственных производных). Как составные произведения распространяются на условиях лицензии GPLv2+. Варианты включают в себя базовую систему и одно из окружений рабочего стола или набор специализированных приложений. Сборки подготовлены для архитектур i586, x86_64, aarch64 и armh. Дополнительно доступны сборки для архитектуры mipsel в вариантах для систем Таволга и BFK3 на процессоре «Байкал-Т1». Владельцам ВК «Эльбрус» на базе процессоров 4С и 8С/1С+ доступен ряд стартовых наборов. Также собраны варианты … Читать далее Весеннее обновление стартовых наборов ALT p9

Представлен релиз свободной реализации API OpenGL и Vulkan — Mesa 21.0.0. Первый выпуск ветки Mesa 21.0.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 21.0.1. В Mesa 21.0 реализована полная поддержка OpenGL 4.6 для драйверов 965, iris (Intel), radeonsi (AMD), zink и llvmpipe. Поддержка OpenGL 4.5 доступна для GPU AMD (r600) и NVIDIA (nvc0), а OpenGL 4.3 для virgl (виртуальный GPU Virgil3D для QEMU/KVM). Поддержка Vulkan 1.2 реализована для карт Intel и AMD, а Vulkan 1.0 для VideoCore VI (Raspberry Pi 4). Основные новшества: В драйвере Zink (реализация API OpenGL поверх Vulkan) обеспечена поддержка OpenGL … Читать далее Релиз Mesa 21.0, свободной реализации OpenGL и Vulkan

Компания Microsoft удалила из GitHub код (копия) с прототипом эксплоита, демонстрирующем принцип действия критической уязвимости в Microsoft Exchange. Подобное действие вызвало возмущение многих исследователей безопасности, так как прототип эксплоита был опубликован после выпуска исправления, что является обычной практикой. Позднее представители GitHub прокомментировали удаление наличием в правилах GitHub пункта, запрещающего размещение в репозиториях вредоносного кода или эксплоитов. Но данное правило раньше не применялось в отношении размещаемых исследователями прототипов кода, опубликованных для разбора методов атаки после выпуска производителем исправления. Так как обычно подобный код не удаляется, действия GitHub были восприняты как применение Microsoft административного ресурса для блокирования информации об уязвимости в своём … Читать далее Критика Microsoft после удаления из GitHub прототипа эксплоита для Microsoft Exchange