Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 и 2.17.5, в которых устранена уязвимость (CVE-2020-11008), напоминающая проблему, устранённую на прошлой неделе. Новая уязвимость также затрагивает обработчики «credential.helper» и эксплуатируется при передаче специально оформленного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса. При обработке подобного URL credential.helper отправляет информацию об учётных данных, не соответствующих запрошенному протоколу или хосту, к которому осуществляется обращение. В отличие от прошлой проблемы при эксплуатации новой уязвимости атакующий не может напрямую контролировать хост, от которого будут переданы чужие учётные данные. То, какие учётные … Читать далее Обновление Git с устранением ещё одной уязвимости

Представлен релиз дистрибутива Scientific Linux 7.8, построенного на пакетной базе Red Hat Enterprise Linux 7.8 и дополненного средствами, ориентированными на использование в научных учреждениях. Дистрибутив поставляется для архитектуры x86_64, в форме DVD-сборок (9.9 Гб и 8.1 Гб), сокращённого образа для установки по сети (627 Мб). Публикация Live-сборок задерживается. Отличия от RHEL в основной массе сводятся к ребрендингу и чистке привязок к службам Red Hat. Специфичные для научного применения приложения, а также дополнительные драйверы, предлагаются для установки из внешних репозиториев, таких как EPEL и elrepo.org. Перед обновлением до Scientific Linux 7.8 рекомендуется запустить ‘yum clean all’ для очистки кэша. Основные особенности … Читать далее Релиз дистрибутива Scientific Linux 7.8

Представлен последний итоговый выпуск Python 2.7.18, который ознаменовал собой полное прекращение поддержки ветки Python 2. Обновления для Python 2 больше формироваться не будут и всем пользователям рекомендуется перейти на использование Python 3. Ветка Python 2.7 была сформирована в 2010 году и её поддержку изначально планировалось прекратить в 2015 году, но из-за недостаточно активной миграции проектов на Python 3 и проблем, возникающих при переработке кода, время жизни Python 2 было продлено до 2020 года. Несмотря на то, что официально проект CPython больше не будет заниматься Python 2, работа над устранением уязвимостей в Python 2.7 будет продолжена представителями сообщества, заинтересованными в продолжении … Читать далее Опубликован Python 2.7.18, последний выпуск ветки Python 2

Сформирован выпуск прослойки DXVK 1.6.1, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Добавлена возможность экранирования значений настроек при помощи кавычек, например d3d9.customDeviceDesc = «ATi Rage 128»; Добавлена опция dxgi.tearFree для явного включения защиты от мерцания при … Читать далее Выпуск DXVK 1.6.1, реализации Direct3D 9/10/11 поверх API Vulkan

Разработчики OpenBSD опубликовали первый публичный выпуск переносимой редакции пакета rpki-client с реализацией механизма RPKI (Resource Public Key Infrastructure) для RP (Relying Parties), применяемого для авторизации источника BGP-анонсов. RPKI позволяет определить исходит ли BGP-анонс от владельца сети или нет, для чего при помощи инфраструктуры открытых ключей для автономных систем и IP-адресов строится цепочка доверия, которая выстраивается от IANA к региональным регистраторам (RIRs), провайдерам (LIR) и конечным потребителям адресов. Код опубликован под лицензией BSD. Программа rpki-client даёт возможность отправить запрос в репозиторий RPKI и сформировать объект VRP (Validated ROA Payload), подтверждающий источник маршрута (ROA, Route Origin Authorization) в формате настроек пакетов маршрутизации … Читать далее Проект OpenBSD представил первый переносимый выпуск rpki-client

Доступен новый значительный выпуск библиотеки Pixman 0.40, предназначенной для эффективного выполнения операций по манипулированию областями пикселей, например, для совмещения изображений и различных видов преобразований. Библиотека применяется для низкоуровневой отрисовки графики во многих открытых проектах, в том числе в X.Org, Cairo, Firefox и Wayland/Weston. В Wayland/Weston на основе Pixman организована работа бэкендов для программного рендеринга. Код написан на языке Си и распространяется под лицензией MIT. В новом выпуске добавлена базовая поддержка дизеринга в режиме «wide», добавлен фильтр упорядоченного дизеринга с синим шумом и демонстрационные файлы с примерами использования дизеринга. Модернизированы сценарии сборки на базе инструментария Meson, добавлена возможность сборки Pixman в … Читать далее Выпуск графической библиотеки Pixman 0.40

Подведены итоги ежегодных выборов лидера проекта Debian. В голосовании приняло участие 339 разработчиков, что составляет 33% от всех участников, имеющих право голоса (в прошлом году явка составила 37%, в позапрошлом 33%). В этом году в выборах приняли участие три кандидата на пост лидера (избранный в прошлом году лидер (Cэм Хартман) в выборах не участвовал). Победу одержал Джонатан Картер (Jonathan Carter). Джонатан с 2016 года занимается сопровождением более 60 пакетов в Debian, принимает участие в улучшении качества Live-образов в команде debian-live и является одним из разработчиков AIMS Desktop, сборки Debian, применяемой в ряде южноафриканских научных и образовательных учреждений. Основными своими задачами … Читать далее Избран новый лидер проекта Debian. Рекомендации по использовании Git для сопровождающих

Разработчики мобильного web-браузера Kiwi, насчитывающего более миллиона установок для платформы Android, объявили о полном открытии всех исходных текстов проекта. Код открыт под лицензией BSD. В том числе открыты наработки по обеспечению запуска на мобильном устройстве дополнений, написанных для настольной версии Chrome. Отмечается, что производители других мобильных браузеров могут воспользоваться уже реализованным в Kiwi кодом для получения расширенной функциональности. Для Kiwi открытие кода представляет интерес с точки зрения привлечения сторонних разработчиков к работе над проектом и формирования сообщества. Репозиторий на GitHub теперь рассматривается как эталонный и непосредственно применяется для разработки и формирования сборок. Kiwi основан на кодовой базе Chromium, может работать … Читать далее Открыты исходные тексты web-браузера Kiwi

Раскрыты сведения об уязвимостях в прокси-сервере Squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы присутствуют в коде обработки блока «@» в начале URL («user@host») и позволяют обойти правила ограничения доступа, отравить содержимое кэша и совершать атаку с использованием межсайтового скриптинга. CVE-2019-12524 — клиент при помощи специально оформленного URL может обойти правила, заданные при помощи директивы url_regex, и получить конфиденциальные сведения о прокси и обрабатываемом трафике (получить доступ к интерфейсу Cache Manager). CVE-2019-12520 — через манипуляцию с данными об имени пользователя в URL можно добиться сохранения в кэше фиктивного содержимого для определённой страницы, … Читать далее Уязвимость в прокси-сервере Squid, позволяющая обойти ограничения доступа

Доступны корректирующие выпуски почтового сервера Postfix — 3.5.1, 3.4.11, 3.3.9 и 3.2.14, в которых добавлен код для исправления нарушения работоспособности DANE/DNSSEC при использовании системной библиотеки Glibc 2.31, в которой была нарушена обратная совместимость в области передачи флагов DNSSEC. В частности, передача DNSSEC-флага AD (authenticated data) стала производиться не по умолчанию, а только при указании в /etc/resolv.conf нового флага RES_TRUSTAD в «_res.options». Без изменения настроек установленный DNS-сервером AD-флаг перестал передаваться приложениям, вызывающим функции, подобные res_search(). Кроме того, в новых выпусках устранена проблема со сборкой при использовании компилятора GCC 10, релиз которого ожидается в мае. Из-за изменений в GCC, нарушающих обратную совместимость, … Читать далее Обновление почтового сервера Postfix 3.5.1

Некоммерческий фонд Tor Project, курирующий разработку анонимной сети Tor, сообщил о значительном сокращении персонала. В результате финансовых проблем и кризиса, вызванных пандемией коронавируса SARS-CoV-2, организация вынуждена расторгнуть отношения с 13 сотрудниками. Трудоустроенными остаются 22 работника, входящие в Сore team и занимающиеся работой над Tor Browser и экосистемой Tor. Отмечается, что это трудная, но вынужденная мера, необходимая для продолжения существования проекта. Источник: http://www.opennet.ru/opennews/art.shtml?num=52763 Читать далее Проект Tor объявил о значительном сокращении сотрудников

Разработчики Dark Reader, дополнения к Chrome, Firefox, Safari и Edge, позволяющего использовать тёмную тему оформления для любого сайта, предупредили о выявлении публикации вредоносных клонов популярных дополнений. Злоумышленники создают на основе имеющегося кода копии дополнения, снабжают их вредоносными вставками и размещают в каталогах под похожими именами, например, Adblock Origin или uBlock Plus. Пользователям рекомендуется при установке дополнения внимательно проверять его название и автора, которые должны соответствовать исходному проекту. Выявленные вредоносные дополнения примечательны выносом вредоносного кода в PNG-файлы, закамуфлированные под изображения. Через пять дней после установке данный код декодируется и используется для загрузки основного вредоносного модуля, который перехватывает конфиденциальные данные на просматриваемых … Читать далее Разработчики Dark Reader предупредили о появлении вредоносных подделок

Представлен новый значительный выпуск реализации языка программирования AWK от проекта GNU — Gawk 5.1.0. AWK был разработан в 70-х годах прошлого века и не претерпел значительных изменений с середины 80-х годов, в которых был определен основной костяк языка, что позволило на протяжении последних десятилетий сохранить первозданную стабильность и простоту языка. Несмотря на преклонный возраст, AWK до сих пор активно используется администраторами для выполнения рутинных работ, связанных с разбором различного рода текстовых файлов и генерацией несложной результирующей статистики. Ключевые изменения: Номер версии API поднят до 3 (отражает изменения в ветке 5.x); Устранены утечки памяти; Обновлены компоненты сборочной инфраструктуры Bison 3.5.4, Texinfo … Читать далее Новая версия интерпретатора GNU Awk 5.1

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.18 и 9.16.2, а также находящейся в разработке экспериментальной ветки 9.17.1. В новых выпусках устранена проблема безопасности, связанная с неэффективностью защиты от атак «DNS rebinding» при работе в режиме перенаправляющего запросы DNS-сервера (блок «forwarders» в настройках). Кроме того, проведена работа по сокращению размера хранящейся в памяти статистики цифровых подписей для DNSSEC — число отслеживаемых ключей сокращено до 4 для каждой зоны, чего достаточно в 99% случаев. Техника «DNS rebinding» позволяет при открытии пользователем определённой страницы в браузере установить WebSocket-соединение к сетевому сервису во внутренней сети, недоступному для прямого обращения через интернет. Для обхода … Читать далее Обновление DNS-сервера BIND 9.11.18, 9.16.2 и 9.17.1

Опубликован выпуск СУБД TimescaleDB 1.7, предназначенной для хранения и обработки данных в форме временного ряда (срезы значений параметров через заданные промежутки времени, запись образует время и набор соответствующих этому времени значений). Подобная форма хранения оптимальна для таких применений как системы мониторинга, торговые платформы, системы сбора метрик и состояний датчиков. Предоставляются средства для интеграции с проектом Grafana и Prometheus. Проект TimescaleDB реализован в виде расширения к PostgreSQL и распространяется под лицензией Apache 2.0. Часть кода с расширенными возможностями поставляется под отдельной проприетарной лицензией Timescale (TSL), не допускающей внесение изменений, запрещающей использование кода в сторонних продуктах и не разрешающей бесплатное использование в … Читать далее Выпуск СУБД TimescaleDB 1.7

Для платформы Android опубликован выпуск экспериментального браузера Firefox Preview 4.3, развиваемого под кодовым именем Fenix в качестве замены редакции Firefox для Android. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера. … Читать далее Доступен Firefox Preview 4.3 для Android

Компания Cloudflare ввела в строй сайт isBGPSafeYet.com, призванный привлечь внимание к проблеме с утечкой некорректных BGP-маршрутов и возможности совершения атак по перенаправлению трафика при помощи протокола BGP. Сайт позволяет проверить применение провайдерами технологии фильтрации некорректных маршрутов и оценить внедрение поддержки RPKI. Многие операторы остаются незащищёнными от поступления BGP-анонсов подсетей с фиктивными сведениями о длине маршрута, направляющими транзитный трафик через сторонних провайдеров. Всё чаще всплывают случаи использования BGP для атак, в ходе которых злоумышленники путём компрометации инфраструктуры провайдеров организуют перенаправление и перехват трафика для подмены конкретных сайтов через организацию MiTM-атаки для замены ответов DNS. Решением проблемы является внедрение системы авторизации BGP-анонсов … Читать далее Cloudflare запустил сервис для отслеживания фильтрации некорректных маршрутов BGP

Представлен релиз дисплейного сервера Mir 1.8, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04-20.04 (PPA) и Fedora 30/31/32. Код проекта распространяется под лицензией GPLv2. В новом выпуске главные изменения связаны с расширением поддержки экранов с высокой плотностью пикселей … Читать далее Выпуск дисплейного сервера Mir 1.8

Роман Гилг (Roman Gilg), участвующий в разработке KDE, Wayland, Xwayland и X Server, представил проект KWinFT (KWin Fast Track), развивающий гибкий и простой в использовании композитный оконный менеджер для Wayland и X11, основанный на кодовой базе KWin. Помимо оконного менеджера проект также развивает библиотеку wrapland с реализацией обвязки над libwayland для Qt/C++, продолжающей развитие KWayland, но избавленной от привязки к Qt. Код распространяется под лицензиями GPLv2 и LGPLv2. Целью проекта является переработка KWin и KWayland с использованием современных технологий и практик разработки, позволяющих ускорить развитие проекта, провести рефакторинг кода, добавить оптимизации и упростить добавление фундаментальных новшеств, интеграция которых в KWin … Читать далее Представлен KWinFT, форк KWin, сфокусированный на Wayland

Состоялся выпуск сервера приложений NGINX Unit 1.17, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии: Возможность использования выражений «return» и «location» в блоках «action» для немедленного возвращения произвольного кода возврата или перенаправления на внешний ресурс. Например, для … Читать далее Выпуск сервера приложений NGINX Unit 1.17.0

Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для перехвата трафика VPN только что подключившегося клиента, для которого ещё не завершено согласование сессионных ключей. Среди других изменений: На платформе Windows разрешено использовать поисковые unicode-строки в опции «—cryptoapicert»; Обеспечен пропуск просроченных сертификатов в хранилище сертификатов Windows; Решена проблема с невозможностью загрузки нескольких размещённых в одном файле CRL (Certificate Revocation List) при использовании опции «—crl-verify» на системах c OpenSSL; При использовании опции»—auth-user-pass file» при наличии в … Читать далее Обновление OpenVPN 2.4.9