Компания Hewlett Packard Enterprise второй раз столкнулась с проблемой в SSD-накопителях с интерфейсом SAS, из-за ошибки в прошивке приводящей к безвозвратной потере всех данных и невозможности дальнейшего использования накопителя после 40000 часов работы (соответственно, если накопители одновременно добавлены в RAID, то и из строя они все выйдут тоже одновременно). Аналогичная проблема уже ранее всплывала в ноябре прошлого года, но в прошлый раз данные повреждались после 32768 часов работы. С учётом даты начала выпуска проблемных накопителей потеря данных проявится не раньше октября 2020 года. Ошибка решается обновлением прошивки как минимум до версии HPD7. Проблема затрагивает SAS SSD-накопители HPE 800GB/1.6TB 12G SAS … Читать далее Новая проблема в SSD-накопителях HPE, приводящая к потере данных через 40000 часов

Разработчики, заинтересованные в продолжении развития JavaScript-библиотеки CoreJS, рассматривают возможность создания форка. Намерение связано тем, что проект остался без сопровождения после того как автор, ключевой разработчик и единственный мэйнтейнер был осуждён на полтора года колонии-поселения (сбил насмерть человека на пешеходном переходе — один из пешеходов был пьян и упал, а второй наклонился, чтобы его поднять, что помешало их вовремя заметить в тёмное время суток). Доступ к инфраструктуре и репозиторию был только у автора, и другие разработчики теперь опасаются, что в случае выявления уязвимостей и серьёзных проблем они останутся неисправленными (в issues на GutHub уже накопилось несколько десятков уведомлений об ошибках). По … Читать далее Проект CoreJS оказался без сопровождения из-за осуждения автора

Опубликован выпуск проекта Snoop 1.1.6_rus, развивающего криминалистический OSINT-инструмент, который разыскивает учётные записи пользователей в публичных данных. Программа анализирует различные сайты, форумы и социальные сети на предмет наличия искомого имени пользователя, т.е. позволяет определить на каких сайтах имеется пользователь с указанным ником. Выпуск примечателен доведением базы проверяемых ресурсов до 666 сайтов, среди которых много русскоязычных. Сборки подготовлены для Linux и Windows. Код написан на языке Python и распространяется под лицензией MIT. Проект является ответвлением от кодовой базы проекта Sherlock, с некоторыми улучшениями и изменениями: База Snoop в три раза больше базы Sherlock (Kali Linux) и в два раза больше базы базы … Читать далее Snoop, инструмент для сбора информации о пользователе из открытых источников

Представлен релиз web-браузера Pale Moon 28.9, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 28.9.0

Опубликовано обновление системы кэширования данных в оперативной памяти Memcached 1.6.2, в котором устранена уязвимость, позволяющая инициировать крах рабочего процесса через отправку специально оформленного запроса. Уязвимость проявляется начиная с выпуска 1.6.0. В качестве обходного пути защиты можно отключить бинарный протокол для внешних запросов через запуск с опцией «-B ascii». Проблема вызвана ошибкой в коде разбора заголовка бинарного протокола, связанной с неверным определением размера копируемых в буфер данных при вызове функции memcpy (размер определяется на основе параметра, указанного в заголовке запроса). Через манипуляции со значением парамера в заголовке бинарного протокола, атакующий, имеющий возможность подсоединения к сетевому порту Memcached, может инициировать переполнение буфера, … Читать далее Обновление Memcached 1.6.2 с устранением уязвимости

Представлен новый выпуск программы ZombieTrackerGPS, позволяющей просматривать карты и спутниковые снимки, оценивать свою позицию на основе GPS, прокладывать маршруты путешествий и отслеживать своё перемещение по карте. Программа позиционируется как свободный аналог Garmin BaseCamp, способный работать в Linux. Интерфейс написан на Qt и поддерживает интеграцию с рабочими столами KDE и LXQt . Код написан на языке С++ и распространяется под лицензией GPLv3. Программа ориентирована на применение туристами, любителями велосипедных путешествий и спортсменами. Предоставляются такие расширенные возможности как обработка и сортировка GPS-треков, поддержка карт OpenStreetMap и Open Bike&Hike, импорт и экспорт GPS-файлов в форматах GPX, TCX и FIT, гибкий язык запросов (например, … Читать далее Выпуск ZombieTrackerGPS 0.96, приложения для отслеживания маршрутов на карте

Доступна новая версия браузера Tor Browser 9.0.7, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android. В новом выпуске обновлены компоненты Tor 0.4.2.7 и NoScript 11.0.19, в которых были устранены уязвимости. В Tor устранена DoS-уязвимость, позволяющая создать … Читать далее Обновление Tor Browser 9.0.7

В ночные сборки Firefox, на основе которых 5 мая будет сформирован релиз Firefox 76, добавлен режим работы «HTTPS Only», при включении которого все выполняемые без шифрования обращения будут автоматически перенаправляться на защищённые варианты страниц («http://» заменяется на «https://»). Для включения режима в about:config добавлена настройка «dom.security.https_only_mode». Замена будет производиться как на уровне загружаемых на страницах ресурсов, так и при вводе в адресной строке. Новый режим решает проблему с открытием по умолчанию страниц с использованием «http://», без возможности поменять данное поведение. Несмотря на большую работу по продвижению HTTPS в браузерах, при наборе домена в адресной строке без указания протокола по умолчанию … Читать далее В Firefox 76 появится режим работы только по HTTPS

Доступен релиз дистрибутива Parrot 4.8, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены три варианта iso-образов: с окружением MATE (полный 4 Гб и сокращённый 1.8 Гб) и с рабочим столом KDE (1.9 Гб). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt … Читать далее Выпуск дистрибутива Parrot 4.8 с подборкой программ для проверки безопасности

Состоялся релиз платформы для создания домашнего медиацентра MythTV 31.-, позволяющей превратить настольный ПК в телевизор, видеомагнитофон, музыкальный центр, альбом с фотографиями, станцию для записи и просмотра DVD. Код проекта распространяется в рамках лицензии GPL. Одновременной сформирован выпуск отдельно развивающегося web-интерфейса MythWeb для управления медиацентром через web-браузер. Архитектура MythTV базируется на разделении бэкенда для хранения или захвата видео (IPTV, DVB-карты и т.п.), и фронтэнда для отображения и формирования интерфейса. Фронтэнд может работать одновременно с несколькими бэкендами, которые могут быть запущены как на локальной системе, так и на внешних компьютерах. Функциональность реализуется через плагины. В настоящее время доступно два набора плагинов — … Читать далее Релиз медиацентра MythTV 31.0

Компания Google опубликовала детали о приостановке разработки новых релизов Chrome в связи со временным переводом части сотрудников на работу на дому из-за пандемии коронавируса SARS-CoV-2. Решено полностью пропустить выпуск Chrome 82 и приступить сразу к формированию ветки Chrome 83. Разработка новых возможностей будет перемещена в ветку Chrome 83. Ветка Chrome 81 продолжит находится на стадии бета-тестирования до готовности ветки Chrome 83 к началу бета-тестирования, после чего будет опубликован релиз Chrome 81. В соответствии с ранее имевшимся планом выпуск был Chrome 82 был намечен на 28 апреля, а Chrome 83 на 9 июня, но компания Google намерена скорректировать график в зависимости … Читать далее Google пропустит выпуск Chrome 82

Комиссия по помилованию отказала в удовлетворении ходатайства об условно-досрочном освобождении Ганса Рейзера (Hans Reiser), автора файловой системы ReiserFS. Повторное прошение может быть подано только через пять лет, в 2025 году. Детям Ганса уже исполнилось 18 и 20 лет, и они отказываются с ним контактировать. Напомним, что в 2008 году Ганс был приговорён к пожизненному заключению за убийство своей жены в результате ссоры с последующей попыткой сокрытия преступления. С учётом того, что он находится в тюрьме с 2006 года, в 2020 году ему было разрешено подать первое прошение о досрочном освобождении. После изоляции Ганса Рейзера разработку файловой системы ReiserFS взял в … Читать далее Ходатайство об условно-досрочном освобождении Ганса Рейзера отклонено

Представлен релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.17, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Основные улучшения: Добавлен новый генератор … Читать далее Релиз системы сборки CMake 3.17.0

Состоялся релиз композитного сервера Wayfire 0.4, использующего Wayland и позволяющего формировать не требовательные к ресурсам интерфейсы пользователя c 3D-эффектами в стиле 3D-плагинов к Compiz (переключение экранов через 3D-куб, пространственная раскладка окон, морфинг при работе с окнами и т.п.). Wayfire поддерживает расширение через плагины и предоставляет гибкую систему настройки. Код проекта написан на языке C++ и распространяется под лицензией MIT. В качестве основы используется библиотека wlroots, развиваемая разработчиками пользовательского окружения Sway и предоставляющая базовые функции для организации работы композитного менеджера на базе Wayland. В качестве панели можно использовать wf-shell или LavaLauncher. В новой версии: Появилась поддержка декорирования кнопок закрытия, минимизации и … Читать далее Доступен композитный сервер Wayfire 0.4, использующий Wayland

Компания Valve опубликовала выпуск проекта Proton 5.0-5, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» (Eventfd … Читать далее Компания Valve выпустила Proton 5.0-5, пакет для запуска Windows-игр в Linux

Zola Bridges из компании Google предложил для набора компиляторов LLVM патч с реализацией защиты SESES (Speculative Execution Side Effect Suppression), помогающей блокировать атаки на механизм спекулятивного выполнения в CPU Intel, подобные LVI. Метод защиты реализован на уровне компилятора и основан на добавлении компилятором при генерации машинного кода инструкций LFENCE, которые подставляются перед каждой инструкцией чтения из памяти или записи в память, а также перед первой инструкцией ветвления в группе инструкций, завершающей блок. Инструкция LFENCE ожидает фиксации всех предыдущих операций чтения из памяти и запрещает упреждающее выполнение следующих после LFENCE инструкций, до того как фиксация будет завершена. Применение LFENCE приводит к … Читать далее Предложенная Google программная защита от атаки LVI показала снижение производительности в 14 раз

Компания Mozilla приняла решение временно вернуть поддержку протоколов TLS 1.0/1.1, которые были отключены по умолчанию в Firefox 74. Поддержка TLS 1.0/1.1 будет возвращена без выпуска новой версии Firefox через систему экспериментов, применяемых для пробных внедрений новых возможностей. В качестве причины упоминаются то, что из-за пандемии коронавируса SARS-CoV-2 люди вынуждены работать из дома и не могут получить доступ к некоторым важным государственным сайтам, которые до сих пор не поддерживают TLS 1.2. Напомним, что в Firefox 74 для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering … Читать далее Mozilla возвращает поддержку TLS 1.0/1.1 в Firefox

Zola Bridges из компании Google предложил для набора компиляторов LLVM патч с реализацией защиты SESES (Speculative Execution Side Effect Suppression), помогающей блокировать атаки на механизм спекулятивного выполнения в CPU Intel, подобные LVI. Метод защиты реализован на уровне компилятора и основан на добавлении компилятором при генерации машинного кода инструкций LFENCE, которые подставляются перед каждой инструкцией чтения из памяти или записи в память, а также перед первой инструкцией ветвления в группе инструкций, завершающей блок. Похожий метод защиты также предложен и реализован инженерами Intel. Инструкция LFENCE ожидает фиксации всех предыдущих операций чтения из памяти и запрещает упреждающее выполнение следующих после LFENCE инструкций, до … Читать далее Программная защита от атаки LVI показала снижение производительности в 14 раз

Сформирован выпуск прослойки DXVK 1.6, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Прекращена установка по умолчанию вспомогательных библиотек Direct3D 10 — d3d10.dll и d3d10_1.dll, так как для поддержки D3D10 в DXVK требуется d3d10core.dll и d3d11.dll (под … Читать далее Выпуск DXVK 1.6, реализации Direct3D 9/10/11 поверх API Vulkan

Увидел свет выпуск альтернативной сборки дистрибутива Linux Mint — Linux Mint Debian Edition 4, выполненной на основе пакетной базы Debian (классический Linux Mint базируется на пакетной базе Ubuntu). Кроме использования пакетной базы Debian, важным отличием LMDE от Linux Mint является постоянный цикл обновления пакетной базы (модель непрерывных обновлений: частичный роллинг-релиз, semi-rolling release), при котором обновления пакетов выходят постоянно и пользователь в любой момент имеет возможность перейти на последние версии программ. Дистрибутив доступен в виде установочных iso-образов с десктоп-окружением Cinnamon. В поставку LMDE включено большинство улучшений классического релиза Mint 19.3, в том числе оригинальные разработки проекта (менеджер обновлений, конфигураторы, меню, интерфейс, … Читать далее Выпуск дистрибутива Linux Mint Debian Edition 4

Подведены итоги двух дней соревнований Pwn2Own 2020, ежегодно проводимых в рамках конференции CanSecWest. В этом году соревнования проводились виртуально и атаки демонстрировались online. На соревновании были представлены рабочие техники эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop (ядре Linux), Windows, macOS, Safari, VirtualBox и Adobe Reader. Суммарный размер выплат составил 270 тысяч долларов (общий призовой фонд составлял более более 4 млн долларов США). Локальное повышение привилегий в Ubuntu Desktop через эксплуатацию уязвимости в ядре Linux, связанной с некорректной проверкой входных значений (приз 30 тыс. долларов); Демонстрация выхода из гостевого окружения в VirtualBox и выполнения кода с правами гипервизора, эксплуатируя две уязвимости … Читать далее На соревновании Pwn2Own 2020 продемонстрированы взломы Ubuntu, Windows, macOS и VirtualBox