Доступна новая версия XMPP-клиента Kaidan 0.6.0. Программа написана на языке С++ с использованием Qt, QXmpp и фреймворка Kirigami. Код распространяется под лицензией GPLv3. Сборки подготовлены для Linux (AppImage и flatpak) и Android. Публикация сборок для macOS и Windows задерживается. Ключевым улучшением в новой версии стала реализация очереди offline-сообщений — при отсутствии сетевого соединения сообщения теперь помещаются в кэш и автоматически отправляются при возобновления подключения к сети. В новой версии также появилась возможность исправления произвольных сообщений, в том числе ожидающих отправки, а не только последнего сообщения. Добавлена поддержка вызова чата из окна с уведомлением. Страницы управления учётной записью перенесены в раздел … Читать далее Выпуск XMPP-клиента Kaidan 0.6.0

Компания Zextras начала формирование и публикацию готовых сборок пакета совместной работы и электронной почты Zimbra 9, позиционируемого как альтернатива MS Exchange. Сборки подготовлены для Ubuntu и RHEL (260 МБ). Ранее компания Synacor, курирующая разработку Zimbra, объявила о прекращении публикации бинарных сборок Zimbra Open Source Edition и намерении развивать Zimbra 9 в форме проприетарного продукта без публикации новых изменений для сообщества. Позднее компания Synacor пересмотрела решение о публикации исходных текстов и продолжила публикацию изменений на GitHub, но отказалась формировать готовые сборки. В ответ компания Zextras, которая участвует в разработке Zimbra, начала публиковать готовые сборки на своём сайте. Итальянская компания Zextras начинала … Читать далее Компания Zextras взяла в свои руки формирование сборок Zimbra 9 Open Source Edition

Компания Google приступила к реализации в Chrome нового API Raw Sockets, позволяющего web-приложениям устанавливать прямые сетевые соединения с использованием протоколов TCP и UDP. В 2015 году консорциумом W3C уже была предпринята попытка стандартизации API «TCP and UDP Socket«, но участники рабочей группы не достигли консенсуса и разработка данного API была остановлена. Необходимость добавления нового API объясняется предоставлением возможности взаимодействия с сетевыми устройствами, которые используют собственные протоколы, работающие поверх TCP и UDP, и не поддерживают взаимодействие через HTTPS или WebSockets. Отмечается, что API Raw Sockets дополнит уже имеющиеся в браузере низкоуровневые программные интерфейсы WebUSB, WebMIDI и WebBluetooth, позволяющие взаимодействовать с локальными … Читать далее Для Chrome развивается API для прямых TCP и UDP коммуникаций

Компания Mozilla предоставила возможность тестирования сервиса Firefox Relay для всех желающих. Если ранее доступ к Firefox Relay можно было получить только по приглашениям, то теперь он доступен любому пользователю через учётную запись в Firefox Account. Firefox Relay позволяет генерировать временные почтовые адреса для прохождения регистрации на сайтах, чтобы не афишировать свой реальный адрес. Всего можно сгенерировать до 5 уникальных анонимных псевдонимов, письма на которые будут перенаправлены на реальный адрес пользователя. Сгенерированный email можно использовать для входа на сайты или для подписок. Для определённого сайта можно сгенерировать отдельный псевдоним и в случае поступления спама станет ясно какой ресурс является источником утечки. … Читать далее Общедоступное тестирование сервиса анонимных email-адресов Firefox Relay

В chrony, реализации протокола NTP, применяемой для синхронизации точного времени в большинстве дистрибутивов Linux, выявлена уязвимость (CVE-2020-14367), позволяющая перезаписать любой файл в системе, имея доступ к локальному непривилегированному пользователю chrony. Уязвимость может быть эксплуатирована только через пользователя chrony, что снижает её опасность. Тем не менее, проблема компрометирует уровень изоляции в chrony и может использоваться в случае выявление другой уязвимости в коде, выполняемом после сброса привилегий. Уязвимость вызвана небезопасным созданием pid-файла, который создавался на этапе, когда chrony ещё не сбросил привилегии и выполняется с правами root. При этом каталог /run/chrony, в который записывается pid-файл, создавался с правами 0750 через systemd-tmpfiles или … Читать далее Уязвимость в chrony

Проектом ZweiStein подготовлен ремейк головоломки Einstein (Flowix Games), которая в свою очередь является ремейком головоломки Sherlock, написанной для DOS. Программа снабжена текстовым интерфейсом пользователя (TUI) и использует символы Unicode. Игра написана на языке С++ и распространяется под лицензией GPLv3. Для Linux подготовлена скомпилированная версия (AMD64). Цели ремейка: Избавиться от меню и вещей, которые в игре-головоломке не несут полезной нагрузки (сохранение, таблица рекордов) и лишь отдаляют игрока от собственно игры. Flowix-вариант написан с учётом прямоугольных пропорций экрана и выглядит не очень хорошо на мониторах с другими характеристиками. Также игра затруднена на современных мониторах высокого разрешения в неполноэкранном режиме. В перспективе планируется … Читать далее Релиз ZweiStein, TUI-реализации головоломки Эйнштейна

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.22 и 9.16.6, а также находящейся в разработке экспериментальной ветки 9.17.4. В новых выпусках устранено 5 уязвимостей. Наиболее опасная уязвимость (CVE-2020-8620) позволяет удалённо вызвать отказ в обслуживании через отправку определённого набора пакетов на TCP-порт, на котором принимает соединения BIND. Отправка на TCP-порт аномально больших запросов AXFR, может привести к тому, что обслуживающая TCP-соединение библиотека libuv передаст серверу размер, приводящий к срабатыванию проверки assertion и завершению процесса. Другие уязвимости: CVE-2020-8621 — атакующий может инициировать срабатывание проверки assertion и экстренное завершение резолвера при попытке минимизации QNAME после перенаправления запроса. Проблема проявляется только на серверах с … Читать далее Обновление DNS-сервера BIND 9.11.22, 9.16.6, 9.17.4 с устранением 5 уязвимостей

Компания Microsoft объявила о предоставлении поддержки подсистемы WSL2 (Windows Subsystem for Linux) в выпусках Windows 10 — 1903 и 1909, сформированных в мае и ноябре прошлого года. Изначально подсистема WSL2, обеспечивающая запуск исполняемых файлов Linux в Windows, была предложена в выпуске Windows 10 2004. Теперь Microsoft перенёс данную подсистему в прошлые обновления Windows 10, которые остаются актуальными и используются на многих предприятиях. Портирование в данные выпуски WSL2 позволит организовать эффективное выполнение Linux-окружения без необходимости перехода на Windows 10 2004 (сопровождение выпусков 1903 и 1909 продлится до декабря 2020 года и мая 2022 года). Напомним, что редакция WSL2 отличается поставкой полноценного … Читать далее Microsoft портировал подсистему WSL2 (Windows Subsystem for Linux) в Windows 10 1903 и 1909

Разработчики Chrome экспериментируют с использованием языка Rust. Работа ведётся в рамках инициативы по предотвращению появления ошибок работы с памятью в кодовой базе Chrome. В настоящее время работа ограничивается созданием прототипов средств для использования Rust. Первой задачей, которую необходимо решить до того, как начать полноценно использовать Rust в кодовой базе Chrome, называется обеспечение переносимости между кодом на C++ и Rust. В обозримом будущем язык C++ останется первичным в Chrome, поэтому основное внимание в проводимых экспериментах уделяется возможностям по вызову существующих C++ функций из кода на Rust и безопасному способу передачи типов между Rust и C++. В качестве основного решения для организации … Читать далее Разработчики Chrome экспериментируют с языком Rust

Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа. Для построения ботнента применяется собственный P2P-протокол, в котором узлы взаимодействуют между собой, координируют организацию атак, поддерживают работу сети и контролируют состояние друг друга. Новые жертвы находятся путём проведения bruteforce-атаки на серверы, принимающие запросы по SSH. При обнаружении нового сервера выполняется перебор по словарю типовых сочетаний из логинов и паролей. Управление … Читать далее Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет

Опубликовано обновление операционной системы Solaris 11.4 SRU 24 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: До версии 20.2 обновлён Oracle Explorer, инструментарий для построения детального профиля конфигурации и состояния системы; Добавлена поддержка накопитеоей SAMSUNG 7.68TB (MS9AC2DD2SUN7.6T) и 200GB (MS9AC2DD6SUN200G); В состав включён движок SpiderMonkey 60; Добавлены Python-пакеты pyrsistent, chardet и bcrypt, а также пакеты iso8601, netaddr и pycups для Python 3.7; Обновлены версии 87 программ, включая GNOME 3.34, Erlang 22.2.8, GCC 9.3, GNU screen 4.8.0, LLVM/Clang 10.0.0, Node.js … Читать далее Доступен Solaris 11.4 SRU24

Опубликованы корректирующие выпуски пакета Icinga Web 2.6.4, 2.7.4 и v2.8.2, предоставляющего web-интерфейс для системы мониторинга Icinga. В предложенных обновлениях устранена критическая уязвимость (CVE-2020-24368), позволяющая неаутентифицированному атакующему получить доступ к файлам на сервере с привилегиями процесса Icinga Web (обычно пользователь, под которыми выполняется http-сервер или fpm). Для успешной атаки требуется наличие одного из сторонних модулей, поставляемого с изображениями или пиктограммами. Среди подобных модулей отмечаются Icinga Business Process Modeling, Icinga Director, Icinga Reporting, Maps Module и Globe Module. Сами по себе в данных модулях нет уязвимостей, но они являются факторами, позволяющими организовать атаку на Icinga Web. Атака осуществляется через отправку запросов HTTP … Читать далее Уязвимость в интерфейсе мониторинга Icinga Web

Исследователи из Рурского университета в Бохуме (Германия) проанализировали (PDF) поведение почтовых клиентов при обработке ссылок «mailto:» с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра «attach». Ещё шесть почтовых клиентов были подвержены атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений. Ссылки «mailto:» применяются для автоматизации открытия почтового клиента с целью написания письма заданному в ссылке адресату. Кроме адреса в составе ссылки можно указать дополнительные параметры, такие как тема письма и шаблон типового содержимого. Предложенная атака манипулирует параметром «attach», позволяющем … Читать далее Атака на пользователей почтовых клиентов при помощи ссылок «mailto:»

Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов. В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам «about:», запрет загрузки в родительском процессе страниц, отличных от «chrome://», «resource://» и «about:», запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется … Читать далее Mozilla расширила программу выплаты вознаграждений за выявление уязвимостей

Основная команда разработчиков языка Rust (Rust Core Team) и компания Mozilla объявили о намерении до конца года создать независимую некоммерческую организацию Rust Foundation, которой будут передана связанная с проектом Rust интеллектуальная собственность, в том числе торговые марки и доменные имена, ассоциируемые с Rust, Cargo и crates.io. Организация также будет отвечать за организацию финансирования проекта. Напомним, что Rust изначально развивался как проект подразделения Mozilla Research, который в 2015 году был преобразован в самостоятельный проект с независимым от Mozilla управлением. Несмотря на то, что с тех пор Rust развивается автономно, финансовое и юридическое сопровождение предоставлялось компанией Mozilla. Теперь данные операции будут переданы … Читать далее Анонсировано создание независимой от Mozilla организации Rust Foundation

Опубликована новая версия проекта OpenRCT2, развивающего открытую реализацию стратегической игры RollerCoaster Tycoon 2, симулирующей конструирование парка развлечений и управление им. Код OpenRCT2 поставляется под лицензией GPLv3. Новый выпуск примечателен поддержкой подключения собственных плагинов на JavaScript, возможностью импорта сценариев в формате «.sea» (RCT Classic), реализацией некоторых возможностей из первой игры RollerCoaster Tycoon. Кроме непосредственно аттракционов, игра OpenRCT2 охватывает также элементы инфраструктуры, такие как магазины и кафе. Задачей игрока является получение прибыли, поддержание хорошего имиджа и привлечение посетителей. Из отличий от RollerCoaster Tycoon 2 выделяется поддержка современных платформ, улучшенный интерфейс, повышение качества искусственного интеллекта гостей и персонала, дополнительные инструменты редактирования и возможность … Читать далее Выпуск игры OpenRCT2, предлагающей симулятор парка аттракционов

Представлена новая редакция дистрибутива MX Linux 19.2, поставляемая с рабочим столом KDE (в основной редакции поставляется Xfce). Это первая официальная сборка с рабочим столом KDE в семействе MX/antiX, созданная после сворачивания пректа MEPIS в 2013 году. Напомним, что дистрибутив MX Linux создан в результате совместной работы сообществ, образовавшихся вокруг проектов проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и многочисленными собственными приложениями, облегчающими настройку и установку ПО. Для загрузки доступна 64-разрядная сборка, размером 2.1 GB (x86_64). Сборка включает в себя типовые утилиты MX, antiX-live-usb-system и поддержку работы со снапшотами. В базовой поставке предложены … Читать далее Доступна редакция дистрибутива MX Linux 19.2 с рабочим столом KDE

Доступен релиз дистрибутива Parrot 4.10, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены несколько iso-образов с окружением MATE (полный 4.2 ГБ и сокращённый 1.8 ГБ), с рабочим столом KDE (2 ГБ) и с рабочим столом Xfce (1.7 ГБ). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, … Читать далее Выпуск дистрибутива Parrot 4.10 с подборкой программ для проверки безопасности

Компания Google сообщила о появлении в будущем выпуске Chrome 86 защиты от небезопасной отправки web-форм. Защита касается форм, отображаемых на страницах, загруженных по HTTPS, но отправляющих данные без шифрования по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Для подобных смешанных web-форм реализовано три изменения: Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь также будет учитываться применение шифрования при отправке данных обработчику формы. Работа менеджера паролей, позволяющего … Читать далее В Chrome 86 появится защита от небезопасной отправки web-форм

Разработчики проекта KDE опубликовали релиз видеоредактора Kdenlive 20.08, который позиционируется для полупрофессионального использования, поддерживает работу с видеозаписями в форматах DV, HDV и AVCHD, и предоставляет все базовые операции по редактированию видео, например, позволяет используя шкалу времени произвольно смешивать видео, звук и изображения, а также применять многочисленные эффекты. При работе программы используются такие внешние компоненты, как FFmpeg, фреймворк MLT и система оформления эффектов Frei0r. Для установки подготовлен самодостаточный пакет в формате AppImage. В новом выпуске: Предложено несколько рабочих пространств с разными вариантами компоновки элементов интерфейса для каждой стадии производства видео: Журналирование (Logging) — для оценки отснятого контента и добавления меток для … Читать далее Релиз видеоредактора Kdenlive 20.08

Сообщество Libretro, занимающееся разработкой эмулятора игровых консолей RetroArch и дистрибутива для создания игровых консолей Lakka, предупредило о взломе элементов инфраструктуры проекта и вандализме в репозиториях. Злоумышленники смогли получить доступ к сборочному серверу (buildbot) и репозиториям на GitHub. На GitHub злоумышленники получили доступ ко всем репозиториям организации Libretro, воспользовавшись учётной записью одного из доверенных участников проекта. Активность злоумышленников ограничилась вандализмом — они попытались очистить содержимое репозиториев через помещение пустого начального коммита. В ходе атаки были очищены все репозитории, представленные на трёх из девяти страницах со списками репозиториев Libretro на Github. К счастью, акт вандализма был блокирован разработчикам до того как атакующие … Читать далее Взлом сборочного сервера и компрометация репозиториев сообщества Libretro, развивающего RetroArch