В WordPress-плагине Easy WP SMTP, предназначенном для организации отправки писем через SMTP-сервер и насчитывающем более 500 тысяч активных установок, выявлена уязвимость, позволяющая получить полный доступ к сайту с правами администратора. Проблема устранена в выпуске 1.4.4. Примечательно, что разработчики узнали о проблеме после массовой атаки на сайты с данным плагином, в ходе которой неизвестные злоумышленника меняли пароль администратора (0-day уязвимость, используемая для атаки до появления исправления). Уязвимость была вызвана тем, что плагин сохранял в публично доступном каталоге «/wp-content/plugins/easy-wp-smtp/» файл с отладочным логом, в котором отображалось содержимое всех отправленных писем. Лог создавался со случайными символами в имени файла (например, «5fcdb91308506_debug_log.txt»), но для … Читать далее Обновление WordPress 5.6. Уязвимость в плагине Easy WP SMTP, имеющем 500 тысяч установок

Доступен релиз переносимой редакции системы синхронизации точного времени OpenNTPD 6.8p1, развиваемой проектом OpenBSD. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации ntpd.conf. Работа OpenNTPD проверена в Linux, FreeBSD, Solaris и macOS. В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и понятный … Читать далее Проект OpenBSD опубликовал NTP-сервер OpenNTPD 6.8p1

В связи с грядущим прекращением существования дистрибутива CentOS в прежнем виде и трансформации CentOS в тестовый полигон для разработки Red Hat Enterprise Linux, компания Oracle предложила пользователям CentOS 8 перейти на Oracle Linux и подготовила скрипт для миграции уже установленных систем. Скрит автоматически заменяет специфичные для CentOS пакеты на эквиваленты из поставки Oracle Linux. Поддерживается миграция с CentOS 6, 7 и 8. Для CentOS 6 переход актуален в силу того, что штатная поддержка данной ветки RHEL и CentOS уже прекращена, а сопровождение Oracle Linux 6 продлится до марта 2021 года. Из ограничений отмечается отсутствие поддержки систем, в которых используются сторонние … Читать далее Компания Oracle опубликовала инструментарий для миграции с CentOS на Oracle Linux

Доступен седьмой выпуск стартовых наборов на Девятой платформе Альт. Эти образы подходят для начала работы со стабильным репозиторием опытным пользователям, которые предпочитают самостоятельно определять список пакетов приложений и настраивать систему (вплоть до создания собственных производных). Как составные произведения распространяются на условиях лицензии GPLv2+. Варианты включают в себя базовую систему и одно из окружений рабочего стола или набор специализированных приложений. Сборки подготовлены для архитектур i586, x86_64, aarch64 и armh. Дополнительно доступны сборки для архитектуры mipsel в вариантах для систем Таволга и BFK3 на процессоре «Байкал-Т1». Владельцам ВК «Эльбрус» на базе процессоров 4С и 8С/1С+ доступен ряд стартовых наборов. Также собраны варианты … Читать далее Зимнее обновление стартовых наборов ALT p9

Майкл Свит (Michael R Sweet), изначальный автор системы печати CUPS, который после увольнения из компании Apple в прошлом году переключился на разработку форка CUPS от проекта OpenPrinting, представил первый стабильный выпуск PAPPL, нового фреймворка для разработки приложений для печати (CUPS Printer Applications), которые рекомендуется использовать в качестве замены традиционным драйверам для принтеров. Код фреймворка написан на языке Си и распространяется под лицензией Apache 2.0, включающей исключение, разрешающее связывание с кодом под лицензиями GPLv2 и LGPLv2. Фреймворк изначально разработан для поддержки системы печати LPrint и драйверов Gutenprint, но может быть использован для обеспечения поддержки любых принтеров и драйверов для организации вывода … Читать далее Автор CUPS выпустил PAPPL 1.0, фреймворк для организации вывода на печать

Определены победители ежегодной премии Pwnie Awards 2020, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности. Основные победители (список претендентов): Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление уязвимости CVE-2020-10188, позволяющей удалённо атаковать встраиваемые устройства с прошивкой на базе Fedora 31 через переполнение буфера в telnetd. Лучшая ошибка в клиентском ПО. Победили исследователи, выявившие уязвимость в Android-прошивках Samsung, позволяющую без вовлечения пользователя получить доступ к устройству через отправку MMS. Лучшая уязвимость, приводящая к … Читать далее Pwnie Awards 2020: наиболее существенные уязвимости и провалы в безопасности

Компания Google предложила систему для ранжирования открытых проектов по степени их важности для отрасли. Рейтинг поможет выделить критические важные проекты от которых многое зависит, и которым в первую очередь необходимо предоставить ресурсы на сопровождение, разработку и обеспечение безопасности. При помощи указанного рейтинга организации, готовые предоставить помощь и поддержку разработки, смогут определить проекты, заслуживающие первоочередного внимания. Так как важность проекта величина не очевидная и для разных областей могут применяться разные критерии, Google предложил использовать уровень критичности (Criticality Score), для расчёта которого задействован алгоритм, предложенный известным программистом Робом Пайком (Rob Pike), стоявшим у истоков Unix, Plan 9, Inferno и UTF-8. Алгоритм учитывает … Читать далее Google представил рейтинг критически важных открытых проектов

Представлено декабрьское сводное обновление приложений (20.12), развиваемых проектом KDE. Всего в рамках декабрьского обновления опубликованы выпуски 224 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Наиболее заметные новшества: Предложен первый релиз ассистента в путешествиях KItinerary, помогающего добраться до пункта назначения, используя метаданные из различных источников, и предоставляющего сопутствующую информацию, необходимую в дороге. В том числе предоставляются данные о расписании движения различных видов транспорта, расположении вокзалов и остановок, размещении гостиниц, прогнозе погоды и проходящих мероприятиях. Поддерживается автоматическое извлечения параметров билетов из электронных писем для составления и корректировки графика перемещения. Добавлена библиотека KPublicTransport, … Читать далее Выпуск приложений KDE 20.12

Подготовлены обновление дистрибутива OpenWrt 19.07.5 и 18.06.9, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 37 целевых платформ. Выпуск OpenWrt 18.06.9 станет последним в серии 18.06, пользователям рекомендуется перейти на ветку 19.07. Из изменений в OpenWrt 19.07.5 отмечается: Устранены уязвимости в libuci (CVE-2020-28951), musl (CVE-2020-28928) и ядре Linux (CVE-2020-25705) Устранены проблемы … Читать далее Обновление OpenWrt 18.06.9 и 19.07.5

Компании Cloudflare, Apple и Fastly совместно разработали и начали процесс стандартизации технологии ODoH (Oblivious DNS over HTTPS) с реализацией варианта DNS over HTTPS, сохраняющего конфиденциальность пользователя и не позволяющей резолверу узнать его IP-адрес. Одной из проблем DNS и DNS over HTTPS является утечка данных, возникающая из-за наличия у DNS-сервера возможности сопоставления отправляемых запросов с IP-адресом пользователя. Так как клиент отправляет запросы напрямую, DNS-сервер изначально знает его IP-адрес и все домены к которым пытается обратиться пользователь. Для решения указанной проблемы в ODoH дополнительно вводится промежуточный узел — прокси, который перенаправляет запросы клиента к DNS-серверу и транслирует через себя ответы. Запросы и … Читать далее Cloudflare, Apple и Fastly представили сохраняющий конфиденциальность вариант DNS over HTTPS

Сформированы корректирующие выпуски криптографических библиотек OpenSSL 1.1.1i и LibreSSL 3.3.1, 3.2.3, 3.1.5, в которых устранена уязвимость (CVE-2020-1971) в обработчике структур ASN.1. Проблема позволяет инициировать крах клиентского или серверного приложения, использующего OpenSSL или LibreSSL, при обработке специально оформленных сертификатов и списков отозванных сертификатов (CRL). В сертификатах X.509 для представления различных типов имён используется тип GeneralName, подмножеством которого является тип EDIPartyName. Уязвимость вызвана разыменованием нулевого указателя, возникающим при сравнении в функции GENERAL_NAME_cmp двух имён, имеющих тип EDIPartyName. Для эксплуатации уязвимости атакующий должен контролировать значения сравниваемых имён, что возможно, например, при проверке клиентом или сервером специально оформленного сертификата в списке отозванных сертификатов (CRL), … Читать далее Обновление OpenSSL 1.1.1i и LibreSSL 3.3.1 с устранением уязвимости

Представлен стабильный релиз интерфейса для упрощения настройки параметров сети — NetworkManager 1.28.0. Плагины для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN развиваются в рамках собственных циклов разработки. Основные новшества NetworkManager 1.28: Добавлен и включён по умолчанию режим «rc-manager=auto», определяющий наличие в системе «systemd-resolved», «resolvconf» и «netconfig», и выбирающий оптимальный для текущей конфигурации вариант (в первую очередь выбирается «systemd-resolved», но в настройках можно изменить приоритет в пользу «resolvconf» или «netconfig»). В генераторе initrd разрешено указание MAC-адреса для идентификации сетевого интерфейса и добавлена поддержка создания соединений Infiniband. В nm-cloud-setup реализован обработчик для автоматической настройки сетевых параметров в облаке Azure. Добавлена настройка ipv4.dhcp-reject-servers, … Читать далее Релиз сетевого конфигуратора NetworkManager 1.28.0

Компания Google сообщила о включении в Chrome 88, релиз которого ожидается 19 января 2021 года, третьей редакции манифеста Chrome, нарушающей работу многих дополнений для блокирования нежелательного контента и обеспечения безопасности. Отмечается, что поддержка дополнений, использующих вторую версию манифеста, какое-то время будет сохранена. Дата прекращения поддержки Manifest V2 пока не определена, но период миграции на новый манифест продлится как минимум год. Напомним, что манифест Chrome определяет возможности и ресурсы, предоставляемые дополнениям. Новый манифест разработан в рамках инициативы по усилению безопасности, конфиденциальности и производительности дополнений. Главной целью вносимых изменений является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и … Читать далее Chrome 88 переведён на новый манифест, несовместимый с uBlock Origin

Грегори Курцер (Gregory Kurtzer), основатель проекта CentOS, при обсуждении предпринятой компанией Red Hat трансформации стабильной платформы CentOS в тестовый роллинг дистрибутив CentOS Stream, сообщил о намерении создать новую пересборку RHEL и пригласил других разработчиков присоединиться к данной инициативе. Для ведения разработки нового дистрибутива Грегори зарегистрировал домен rockylinux.org и создал репозиторий на GitHub. Проект пока находится на стадии планирования и формирования команды разработчиков. Заявлено, что Rocky Linux продолжит традиции классического CentOS и будет развиваться силами сообщества. Проект предоставит полностью совместимую с Red Hat Enterprise Linux пересборку, демонстрирующую уровень стабильности релизов RHEL и пригодную для применения в рабочих проектах и на предприятиях. … Читать далее Основатель CentOS начал развитие новой свободной сборки RHEL — Rocky Linux

После восьми лет с момента публикации версии 2.69 представлен выпуск пакета GNU Autoconf 2.70, в котором поставляется набор M4-макросов для создания скриптов автоконфигурации для сборки приложений в различных Unix-подобных системах (на основе подготовленного шаблона выполняется генерация скрипта «configure»). В новую версию включены изменения, которые потенциально могут привести к нарушению совместимости с существующими скриптами Autoconf. Перед переходом на Autoconf 2.70 пользователям рекомендуется протестировать свои скрипты на предмет корректности их работы. Среди изменений: Обеспечена совместимость с выпущенными в 2011 году стандартами C и C++. Добавлена поддержка повторяемых сборок, результат которых будет одинаковым на разных системах. Улучшена поддержка кросс-компиляции. Улучшена совместимость с современными … Читать далее Доступен GNU Autoconf 2.70

Представлен релиз проекта QEMU 5.2. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM. Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных … Читать далее Выпуск эмулятора QEMU 5.2

После полутора лет разработки подготовлен релиз независимого легковесного Linux-дистрибутива CRUX 3.6, развиваемого с 2001 года в соответствии с концепцией KISS (Keep It Simple, Stupid) и ориентированного на опытных пользователей. Целью проекта является создание простого и прозрачного для пользователей дистрибутива, основанного на BSD-подобных скриптах инициализации, имеющего максимально упрощённую структуру и содержащего относительно небольшое число готовых бинарных пакетов. CRUX поддерживает систему портов, позволяющую легко устанавливать и обновлять приложения в стиле FreeBSD/Gentoo. Размер iso-образа, подготовленного для архитектуры x86-64, составляет 819МБ. В новом выпуске обновлены версии системных компонентов, включая ядро Linux 5.4.80, glibc 2.32, gcc 10.2.0 и binutils 2.35.1. Также обновлён графический стек на … Читать далее Выпуск Linux-дистрибутива CRUX 3.6

Компания Google сообщила о расширении открытой модели разработки операционной системы Fuchsia. Отныне кроме сотрудников Google в разработке Fuchsia смогут принимать участие и представители сообщества, изменения от которых будут приниматься в проект. Для упрощения общения с разработчиками введены в строй публичные списки рассылки и система отслеживания ошибок. Разработана модель управления проектом, описывающая механизмы принятия решений. Также опубликован план дальнейшей разработки Fuchsia, в котором отмечены основные направления развития и приоритеты. Среди первичных задач отмечена разработка фреймворка для драйверов устройств, которые можно будет обновлять отдельно от ядра системы, а также улучшение производительности файловых систем и расширение средств ввода для людей с ограниченными возможностями. … Читать далее В ОС Fuchsia начат приём изменений от представителей сообщества

Ростелеком опубликовал более чем странный отчёт «Свобода с подвохом» с результатами исследования безопасности 10 открытых приложений. В отчёте не приводятся конкретные сведения, информация о найденных уязвимостях размыта, а выводы делаются а пустом месте без каких-либо пояснений или подтверждений. Складывается впечатление, что просто скопировали описание некторых типовых видов уязвимостей и без какого-то логического обоснования расставили цифры. Указано, что была проведена проверка с использованием «автоматизированного сканирования» и «методов статического, динамического и интерактивного анализа. Статический анализ производился в отношении исходного кода приложений в автоматическом режиме», что, скорее всего, свидетельствует, что найденные «уязвимости» ничто иное как предупреждения анализатора или ложные срабатывания, которые не потрудились … Читать далее Ростелеком «исследовал» безопасность 10 открытых приложений

Компания Red Hat объявила о прекращении разработки дистрибутива CentOS 8 в своём классическом варианте, подразумевающем предоставление максимально приближенных пепресборок выпусков Red Hat Enterprise Linux. Вместо классического CentOS пользователям будет преложено перейти на непрерывно обновляемую редакцию CentOS Stream, которую можно рассматривать как промежуточное звено между RHEL и Fedora, находящееся на уровне бета-выпуска RHEL. Формирование обновлений для классического CentOS 8 будет прекращено в конце 2021 года. Сопровождение ватки CentOS 7 будет продолжено без изменений. В отличие от обычного CentOS, в CentOS Stream вместо пересборки исходных пакетов, используемых в уже сформированных стабильный выпусках RHEL, предлагаются сборки на основе экспериментальных и нестабилизированных пакетов, формируемых … Читать далее Red Hat прекращает разработку CentOS 8 в пользу тестового CentOS Stream

Компания Qt Company опубликовала релиз ветки Qt 6, которая включает значительные архитектурные изменения. Для сборки Qt 6 по умолчанию задействован Cmake, а в коде разрешено использование стандарта C++17. Лицензионная политика и модель распространения фреймворка остались прежними, опасения, связанные с усилением коммерциализации проекта, не подтвердились. В новой версии заявлена поддержка платформ Windows 10, macOS 10.14+, Linux (Ubuntu 20.04+, CentOS 8.1+, OpenSuSE 15.1+), iOS 13+ и Android (API 23+). Достижение паритета с Qt 5 в поддержке real-time систем ожидается в выпуске Qt 6.2. Следующий значительный выпуск Qt 6.1 ожидается в апреле, а Qt 6.2 LTS в сентябре 2021 года. Ключевые особенности Qt … Читать далее Релиз фреймворка Qt 6.0