Во FreeBSD выявлено несколько уязвимостей, которые устранены в обновлениях 12.1-RELEASE-p8, 11.4-RELEASE-p2 и 11.3-RELEASE-p12: CVE-2020-7460 — повышение привилегий в системе через манипуляции с 32-разрядным вызовом sendmsg на 64-разрядной системе. Проблеме не подвержены 32-разрядные системы и системы с ядром, собранным без опции COMPAT_FREEBSD32 (по умолчанию включена в ядрах GENERIC). CVE-2020-7459 — отсутствие должных проверок размера копируемых в буфер данных в Ethernet-драйверах smsc (SMSC/Microchip), muge (Microchip) и cdceem (USB Communication Device Class) позволяет атакующему выполнить код на уровне ядра или в пространстве пользователя через подключение к системе вредоносного USB-устройства. Для эксплуатации уязвимости необходимо наличие физического доступа к оборудованию и возможность добиться активации сетевого … Читать далее Уязвимости во FreeBSD

Опубликован релиз HTTP-сервера Apache 2.4.46 (выпуски 2.4.44 и 2.4.45 были пропущены), в котором представлено 17 изменений и устранено 3 уязвимости: CVE-2020-11984 — переполнение буфера в модуле mod_proxy_uwsgi, котороя может привести к утечке информации или выполнении кода на сервере при отправке специально оформленного запроса. Эксплуатация уязвимости осуществляется через передачу очень длинного HTTP-заголовка. Для защиты добавлена блокировка заголовков, длиннее 16K (ограничение, определённое в спецификации протокола). CVE-2020-11993 — уязвимость в модуле mod_http2, позволяющая вызвать крах процесса при отправке запроса со специально оформленным заголовком HTTP/2. Проблема проявляется при включении отладки или трассировки в модуле mod_http2 и выражается в повреждении содержимого памяти из-за состояния гонки … Читать далее Релиз http-сервера Apache 2.4.46 с устранением уязвимостей

Facebook представил открытый статический анализатор Pysa (Python Static Analyzer), предназначенный для выявления потенциальных уязвимостей в коде на языке Python. Новый анализатор оформлен в виде надстройки над инструментарием для проверки типов Pyre и размещён в его репозитории. Код опубликован под лицензией MIT. Pysa обеспечивает анализ потоков данных в результате выполнения кода, что позволяет выявлять многие потенциальные уязвимости и проблемы с конфиденциальностью, связанные с использованием данных в тех местах, где они не должны фигурировать. Например, Pysa может отследить использование неочищенных внешних данных в вызовах, приводящих к запуску внешних программ, в файловых операциях и в конструкциях SQL. Работа анализатора сводится к определению источников … Читать далее Facebook представил Pysa, статический анализатор для языка Python

Представлен выпуск дистрибутива Elementary OS 5.1.7, позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. При разработке оригинальных компонентов Еlementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и поддержки репозиториев Еlementary OS 5.1.x совместим с Ubuntu 18.04. Графическое окружение основано на собственной оболочке Pantheon, которая объединяет собой такие компоненты, как оконный менеджер Gala (на базе … Читать далее Обновление дистрибутива Elementary OS 5.1.7

Неизвестные злоумышленники устроили массовый вандализм в Reddit, в результате которой было изменено оформление около 150 групп, общая аудитория которых оценивается в несколько миллионов участников. Фон и оформление атакованных групп было заменены на картинки с агитацией за Дональда Трампа. Reddit инициировал разбирательство инцидента, по предварительным данным страницы были подменены в результате захвата учётных записей модераторов сообществ. У всех модераторов захваченных групп не была включена двухфакторная аутентификация. Предполагается, что данные администраторы использовали один и тот же пароль на разных сайтах и атакующие воспользовались имеющимися базами утечек паролей для получения доступа. Источник: http://www.opennet.ru/opennews/art.shtml?num=53515 Читать далее Массовый дефейс дискуссионных групп в Reddit

Исследователи из компании Eset выявили новый вариант (CVE-2020-3702) уязвимости Kr00k, применимый к беспроводным чипам Qualcomm и MediaTek. Как и первый вариант, которому были подвержены чипы Cypress и Broadcom, новая уязвимость позволяет дешифровать перехваченный Wi-Fi трафик, защищённый с использованием протокола WPA2. Напомним, что уязвимость Kr00k вызвана некорректной обработкой ключей шифрования при отсоединении (диссоциации) устройства от точки доступа. В первом варианте уязвимости при отсоединении выполнялось обнуление сессионного ключа (PTK), хранимого в памяти чипа, так как дальнейшая отправка данных в текущем сеансе производиться не будет. При этом оставшиеся в буфере передачи (TX) данные шифровались уже очищенным ключом, состоящим только из нулей и, соответственно, … Читать далее Уязвимость в чипах Qualcomm и MediaTek, позволяющая перехватить часть трафика WPA2

Компания Mozilla представила новую редакцию браузера для систем виртуальной реальности — Firefox Reality PC Preview. Браузер поддерживает все возможности Firefox по обеспечению конфиденциальности, но предлагает иной трёхмерный интерфейс пользователя, позволяющий осуществлять навигацию по сайтам внутри виртуального мира или в составе систем дополненной реальности. Сборки доступны для установки через каталог HTC Viveport (пока только для Windows 10). Возможна работа со всеми 3D-шлемами, поддерживаемыми платформой Viveport, включая Vive Cosmos, Vive Pro, Valve Index, Oculus Rift и Oculus Rift S. В отличие от основой редакции Firefox Reality, поддерживающей работу на устройствах под управлением Android, редакция Firefox Reality PC ориентирована на платформы виртуальной реальности, … Читать далее Представлен Firefox Reality PC Preview для устройств виртуальной реальности

Компания AMD опубликовала выпуск набора драйверов AMD Radeon 20.30 для Linux, основанного на свободном модуле ядра AMDGPU, развиваемого в рамках инициативы по унификации графического стека AMD для проприетарных и открытых видеодрайверов. В одном наборе AMD Radeon интегрированы открытый и проприетарный стеки драйверов — драйверы amdgpu-pro и amdgpu-all-open (vulkan-драйвер RADV и OpenGL-драйвер RadeonSI, основанные на коде из Mesa) предлагаются в одном пакете и пользователь на своё усмотрение может выбрать открытые или закрытые драйверы. Драйвер поддерживает API OpenGL 4.6, GLX 1.4, OpenCL 1.2, Vulkan 1.2 и VDPAU/VAAPI, включает базовые средства для управления экраном и питанием, поддерживает интерфейсы KMS (Kernel Mode Setting) и … Читать далее Выпуск набора видеодрайверов AMD Radeon 20.30

В кодовую базу, на основе которой формируется будущий выпуск ядра Linux 5.9, в подсистему USB приняты изменения с чисткой неполиткорректных терминов. Изменения внесены в соответствии с недавно принятыми рекомендациями по использованию инклюзивной терминологии в ядре Linux. Код очищен от использования слов «slave», «master», «blacklist» и «whitelist». Например, вместо фразы «usb slave device» теперь используется «usb gadget device», выражение «master/slave protocol» заменено на «host/device protocol», вместо отдельных упоминаний «slave» указывается «device», вместо «master» — «controller» или «host», слово «blacklist» заменено на «ignore», «some» или «disable», «whitelist» на «productlist». Изменения затрагивают в том числе названия заголовочных файлов, структур и функций. Источник: http://www.opennet.ru/opennews/art.shtml?num=53508 Читать далее USB-стек ядра Linux переведён на использование инклюзивных терминов

Тилли Котманн (Tillie Kottmann), разработчик для платформы Android из Швейцарии, ведущий Telegram-канал об утечках данных, опубликовал в открытом доступе 20 ГБ внутренней технической документации и исходных текстов, полученной в результате крупной утечки информации из компании Intel. Заявлено, что это первый набор из коллекции, переданной анонимным источником. Многие документы помечены как конфиденциальные, корпоративные секреты или распространяемые только по подписке о неразглашении. Самые свежие документы датированы началом мая и включают информацию о новой серверной платформе Cedar Island (Whitley). Имеются также документы от 2019 года, например, описывающие платформу Tiger Lake, но большая часть информации датирована 2014 годом. Помимо документации в наборе также присутствует … Читать далее Утечка 20ГБ внутренней технической документации и исходных текстов Intel

Разработчик Telegram Desktop обнаружил, что клиент im-desktop от Mail.ru, (по всей видимости, это десктоп клиент myteam) скопировал вообще без изменений старый самописный движок анимации из Telegram Desktop (по мнению самого автора, не лучшего качества). При этом мало того, что изначально никак не был упомянут Telegram Desktop, но и лицензия кода была изменена, соответственно, с GPLv3 на Apache, что недопустимо по требованиям GPLv3. Как видно из кода, что-то было добавлено, но изначально содержимое было перенесено просто под копирку с минимальными изменениями: код mail-ru-im / код telegramdesktop. 6 августа, после репоста информации в некоторых Telegram-чатах, упоминание авторства было добавлено, однако перелицензирование с … Читать далее GPL-код из Telegram взят мессенджером Mail.ru без соблюдения GPL

После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.32, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2017. В состав нового выпуска включены исправления от 67 разработчиков. Из реализованных в Glibc 2.32 улучшений можно отметить: Добавлена поддержка процессоров Synopsys ARC HS (ARCv2 ISA). Для работы порта требуется как минимум binutils 2.32, gcc 8.3 и ядро Linux 5.1. Поддерживается три варианта ABI arc-linux-gnu, arc-linux-gnuhf и arceb-linux-gnu (big-endian); Реализована загрузка модулей аудита, указанных в секциях DT_AUDIT и DT_DEPAUDIT исполняемого файла. Для архитектуры powerpc64le реализована поддержка типа IEEE128 long double, включаемая при сборке с опцией «-mabi=ieeelongdouble». В некоторые API … Читать далее Выпуск системной библиотеки Glibc 2.32

Представлен первый бета-выпуск новой ветки языка программирования PHP 8. Релиз намечен на 26 ноября. Одновременно сформированы корректирующие выпуски PHP 7.4.9, 7.3.21 и 7.2.33, в которых устранены накопившиеся ошибки и уязвимости. Основные новшества PHP 8: Включение JIT-компилятора, применение которого позволит повысить производительность. Поддержка именованных аргументов функций, позволяющих передававать в функцию значения в привязке к именам, т.е. можно передавать аргументы в произвольном порядке и определять необязательные аргументы. Например, «array_fill(start_index: 0, num: 100, value: 50)». При вызове методов разрешено применение оператора «?», который позволяет инициировать вызов только, если метод присутствует, что позволяет избежать лишних проверок на возврат значения «null». Например, «$dateAsString = $booking->getStartDate()?->asDateTimeString()»; … Читать далее Началось бета-тестирование PHP 8

Компания Canonical представила первый корректирующий выпуск дистрибутива Ubuntu 20.04.1 LTS, в который включены обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. В новой версии также исправлены ошибки в инсталляторе и загрузчике. Релиз Ubuntu 20.04.1 ознаменовал прохождение базовой стабилизации LTS-выпуска — пользователям Ubuntu 18.04 теперь будет предложено осуществить обновление до ветки 20.04. Одновременно представлены аналогичные обновления Ubuntu Budgie 20.04.1 LTS, Kubuntu 20.04.1 LTS, Ubuntu MATE 20.04.1 LTS,Ubuntu Studio 20.04.1 LTS, Lubuntu 20.04.1 LTS, Ubuntu Kylin 20.04.1 LTS и Xubuntu 20.04.1 LTS. Использовать представленные сборки имеет смысл только для новых установок, системы, установленные ранее, могут получить … Читать далее Релиз Ubuntu 20.04.1 LTS

Фонд Свободного ПО объявил об избрании нового президента, после ухода с данного поста Ричарда Столлмана после обвинений в поведении, недостойном лидера движения СПО, и угроз разрыва отношений с СПО некоторых сообществ и организаций. Новым президентом стал Джеффри Кнаут (Geoffrey Knauth), входивший в совет директоров Фонда СПО с 1998 года и принимающий участие в работе проекта GNU с 1985 года. Джеффри окончил Гарвардский университет со специализацией в области экономики, после чего посвятил свою деятельность компьютерным наукам, которые сейчас преподаёт в колледже Lycoming. Джеффри является сооснователем проекта GNU Objective-C. Кроме английского Джеффри владеет русским и французским языками, а также сносно говорит на … Читать далее Джеффри Кнаут избран новым президентом Фонда СПО

В OpenBSD-current добавлен инструментарий LLVM 10. Стоит отметить, что в отличие от поставляемого ранее LLVM 8, десятая версия (также как и девятая) распространяется под лицензией Apache 2.0, использование которой явно запрещено лицензионной политикой проекта. Разработчики OpenBSD ранее обсуждали смену лицензии и оценивали данное действие негативно. Однако, на презентации с Eurobsdconf отмечается, что в итоге придётся пойти на компромисс и принять в проект код под лицензией Apache 2.0. Теперь это случилось. Источник: http://www.opennet.ru/opennews/art.shtml?num=53499 Читать далее В OpenBSD-current импортирован LLVM 10

Спустя пять лет с момента прошлого выпуска сформирован релиз открытого растрового графического редактора Pinta 1.7, представляющего собой попытку переписать программу Paint.NET с использованием GTK. Редактор предоставляет базовый набор возможностей для рисования и обработки изображений, ориентируясь на начинающих пользователей. Интерфейс максимально упрощен, редактор поддерживает неограниченный буфер отката изменений, позволяет работать с несколькими слоями, укомплектован набором инструментов для наложения различных эффектов и корректировки изображений. Код Pinta распространяется под лицензией MIT. Проект написан на языке C# с использованием Mono и обвязки Gtk#. Бинарные сборки подготовлены для Ubuntu, macOS и Windows. В новом выпуске: Добавлена возможность редактирования нескольких изображений в разных вкладках. Содержимое вкладок … Читать далее Опубликован графический редактор Pinta 1.7, выступающий в роли аналога Paint.NET

Организация The Document Foundation представила релиз офисного пакета LibreOffice 7.0. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. При подготовке выпуска 74% изменений внесены сотрудниками курирующих проект компаний, таких как Collabora, Red Hat и CIB, а 26% изменений добавлены независимыми энтузиастами. Ключевые новшества: Добавлена поддержка формата OpenDocument 1.3 (ODF), в котором добавлены новые возможности для обеспечения защиты документов, такие как заверение документа цифровой подписью и шифрование содержимого c использованием ключей OpenPGP. В новой версии также добавлена поддержка типов полиномиальной и скользящей средней регрессии для графиков, реализованы дополнительные методы … Читать далее Выпуск свободного офисного пакета LibreOffice 7.0

Состоялся релиз композитного сервера Wayfire 0.5, использующего Wayland и позволяющего формировать не требовательные к ресурсам интерфейсы пользователя c 3D-эффектами в стиле 3D-плагинов к Compiz (переключение экранов через 3D-куб, пространственная раскладка окон, морфинг при работе с окнами и т.п.). Wayfire поддерживает расширение через плагины и предоставляет гибкую систему настройки. Код проекта написан на языке C++ и распространяется под лицензией MIT. В качестве основы используется библиотека wlroots, развиваемая разработчиками пользовательского окружения Sway и предоставляющая базовые функции для организации работы композитного менеджера на базе Wayland. В качестве панели можно использовать wf-shell или LavaLauncher. В новой версии: Поддержка постоянного размещения элементов поверх другого содержимого … Читать далее Доступен композитный сервер Wayfire 0.5, использующий Wayland

Компания Mozilla объявила о намерении активировать механизм расширенной защиты от отслеживания перемещений ETP 2.0 (Enhanced Tracking Protection). Изначально поддержка ETP 2.0 была добавлена в Firefox 79, но была отключена по умолчанию. В ближайшие недели данный механизм планируется довести до всех категорий пользователей. Основным новшеством ETP 2.0 является добавление защиты от отслеживания через редиректы. Для обхода блокировки установки Cookie сторонними компонентами, загружаемыми в контексте текущей страницы, рекламные сети, социальные сети и поисковые системы при переходе по ссылкам стали перенаправлять пользователя на промежуточную страницу, с которой затем пробрасывать на целевой сайт. Так как промежуточная страница открывается сама по себе, вне контекста другого … Читать далее В Firefox началась активация защиты от отслеживания перемещений через редиректы

Оливер Кочард (Olivier Cochard-Labbé), создатель дистрибутива FreeNAS, представил выпуск специализированного дистрибутива BSD Router Project 1.97 (BSDRP), примечательный обновлением кодовой базы до FreeBSD 12.1. Дистрибутив предназначен для создания компактных программных маршрутизаторов, поддерживающих широкий спектр протоколов, таких как RIP, OSPF, BGP и PIM. Управление производится в режиме командной строки через CLI-интерфейс, напоминающий Cisco. Дистрибутив доступен в сборках для архитектур amd64 и i386 (размер установочного образа 140 МБ), может работать на системах с 128 Мб ОЗУ и Flash-накопителях, размером 256 Мб. Кроме обновления до FreeBSD 12.1-STABLE новая версия примечательна включением по умолчанию загрузки микрокода для процессоров Intel и добавлением пакетов wireguard, Mellanox Firmware, … Читать далее Выпуск дистрибутива BSD Router Project 1.97