Опубликован релиз легковесного http-сервера lighttpd 1.4.55. В новой версии внесено 53 изменения, связанных только с исправлением ошибок. Из исправлений можно отметить решение проблем со сборкой в Solaris, пометку многих функций атрибутом «pure» и устранением проблем в mod_webdav с загрузкой файлов, размером больше 128 МБ. Источник: http://www.opennet.ru/opennews/art.shtml?num=52290 Читать далее Выпуск http-сервера Lighttpd 1.4.55

Европейский Центр ядерных исследований (CERN) объявил об прекращении использования платформы Facebook Workplace для внутреннего общения сотрудников. Отныне вместо данной платформы в CERN будут применяться открытые пакеты Mattermost для быстрого обмена сообщениями и ведения чатов, и Discourse для ведения длительных обсуждений и обмена информацией, на которую можно ссылаться в будущем. Вместо механизма рассылки уведомлений на email планируется внедрить решения на базе PUSH-уведомлений и информационных рассылок. Отказ от Facebook Workplace, предоставляемого компанией Facebook корпоративного продукта для организации внутреннего общения сотрудников внутри компании, обусловлен опасениями в отношении конфиденциальности, отсутствием контроля за своими данными и желанием не зависеть от политики сторонней компании. CERN использовал … Читать далее CERN перешёл с Facebook Workplace на открытые платформы Mattermost и Discourse

Опубликованы корректирующие выпуски дистрибутива OpenWrt 18.06.7 и 19.07.1, в которых устранена опасная уязвимость (CVE-2020-7982) в пакетном менеджере opkg, позволяющая осуществить MITM-атаку и подменить содержимое загружаемого из репозитория пакета. Из-за ошибки в коде проверки контрольных сумм, атакующий может создать условия, при которых контрольные суммы SHA-256, присутствующие в заверенном цифровой подписью индексе пакетов, будут игнорированы, что даёт возможность обойти механизмы проверки целостности загружаемых ipk-ресурсов. Проблема проявляется с февраля 2017 года, после добавления кода для игнорирования начальных пробелов, идущих перед контрольной суммой. Из-за ошибки при пропуске пробелов не сдвигался указатель на позицию в строке и цикл декодирования шестнадцатеричной последовательности SHA-256 сразу возвращал управление … Читать далее Обновление OpenWrt 19.07.1 с устранением уязвимости, допускающей подмену пакетов

После 10 месяцев разработки опубликован выпуск свободного игрового движка Godot 3.2, подходящего для создания 2D- и 3D-игр. Движок поддерживает простой для изучения язык задания игровой логики, графическую среду для проектирования игр, систему развёртывания игр в один клик, широкие возможности анимации и симуляции физических процессов, встроенный отладчик и систему выявления узких мест в производительности. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой сервер, бэкенды 2D/3D рендеринга и т.п.) распространяются под лицензией MIT. Исходные тексты движка были открыты в 2014 году студией OKAM, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации … Читать далее Выпуск открытого игрового движка Godot 3.2

В утилите sudo, используемой для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2019-18634), позволяющая повысить свои привилегии в системе до пользователя root. Проблема проявляется начиная с выпуска sudo 1.7.1 только при использовании в файле /etc/sudoers опции «pwfeedback», которая отключена по умолчанию, но активирована в некоторых дистрибутивах, таких как Linux Mint и Elementary OS. Проблема устранена в выпуске sudo 1.8.31, опубликованном несколько часов назад. В дистрибутивах уязвимость пока остаётся неисправленной. Опция «pwfeedback» включает отображение символа «*» после каждого введённого символа при вводе пароля. Из-за ошибки в реализации функции getln(), определённой в файле tgetpass.c, переданная через стандартный входной поток (stdin) … Читать далее Root-уязвимость в sudo, затрагивающая Linux Mint и Elementary OS

Фонд Свободного ПО объявил о сертификации беспроводной карты Libiquity Wi-Fri ND2H по программе «Respect Your Freedom«, которая подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Карта имеет форм-фактор PCI Express Half-Mini (Type H1), построена на чипсете Atheros AR9382, совместима со стандартами 802.11a/b/g/n и поддерживает работу на частотах 2.4GHz и 5GHz. Libiquity Wi-Fri может использоваться в полностью свободных дистрибутивах, так как не требует установки проприетарных прошивок и несвободных драйверов. Для получения сертификата от Фонда СПО продукт должен удовлетворять следующим требованиям: поставка свободных … Читать далее Фонд свободного ПО сертифицировал WiFi-адаптер Libiquity Wi-Fri

Компания Google представила написанную на языке Rust платформу OpenSK, позволяющую создавать прошивки для криптографических токенов, полностью соответствующих стандартам FIDO U2F и FIDO2. Подготовленные с использованием OpenSK токены могут применяться в качестве аутентификаторов для первичной и двухфакторной аутентификации, а также для подтверждения физического присутствия пользователя. Проект написан на языке Rust и распространяется под лицензией Apache 2.0. OpenSK даёт возможность создания собственного токена для двухфакторной аутентификации на сайтах, который в отличие от готовых решений, выпускаемых такими производителями, как Yubico, Feitian, Thetis и Kensington, построен на полностью открытой прошивке, доступной для расширения и аудита. OpenSK позиционируется как исследовательская платформа, которую производители токенов и … Читать далее Google представил открытый стек OpenSK для создания криптографических токенов

Сформирован выпуск прослойки DXVK 1.5.3, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Устранены существенные регрессивные изменения в реализации Direct3D 9, внесённые в прошлый выпуск; Исправлены некоторые ошибки проверки Vulkan в приложениях Direct3D 9; Повышена производительность Direct3D … Читать далее Выпуск проекта DXVK 1.5.3 с реализацией Direct3D 9/10/11 поверх API Vulkan

Состоялся релиз гипервизора Bareflank 2.0, предоставляющего инструментарий для быстрой разработки специализированных гипервизоров. Bareflank написан на языке C++, поддерживает C++ STL. Модульная архитектура Bareflank позволят легко расширять имеющиеся возможности гипервизора и создавать собственные варианты гипервизоров, как работающих поверх оборудования (как Xen), так и запускаемых в имеющемся программном окружении (как VirtualBox). Имеется возможность выполнения операционной системы хост-окружения в отдельной виртуальной машине. Код проекта распространяется под лицензией LGPL 2.1. В Bareflank реализована поддержка Linux, Windows и UEFI на 64-разрядных CPU Intel. Для аппаратного разделения ресурсов виртуальных машин применяется технология Intel VT-x. На будущее запланирована поддержка macOS и BSD-систем, а также возможность работы на … Читать далее Выпуск гипервизора Bareflank 2.0

Опубликован первый выпуск коммуникационного клиента Dino, поддерживающего участие в чатах и обмен сообщениями с использованием протокола Jabber/XMPP. Программа совместима с различными клиентами и серверами XMPP, ориентирована на обеспечение конфиденциальности переговоров и поддерживает сквозное шифрование с применением XMPP-расширения OMEMO на базе протокола Signal или шифрование при помощи OpenPGP. Код проекта написан на языке Vala с использованием тулкита GTK и распространяется под лицензией GPLv3+. В качестве причины создания нового клиента упоминается желание создать простое и интуитивно понятное свободное приложение для общения, напоминающее WhatsApp и Facebook Messenger, но в отличие от таких открытых мессенджеров, как Signal и Wire, не привязанное к централизованным сервисам … Читать далее Представлен новый коммуникационный клиент Dino

Разработчики XCP-ng, развивающие свободную и бесплатную замену проприетарной платформе управления облачной инфраструктурой XenServer (Citrix Hypervisor), объявили о присоединении к проекту Xen, разработка которого ведётся в составе организации Linux Foundation. Переход под крыло Xen Project позволит рассматривать XCP-ng как стандартный дистрибутив для развёртывания инфраструктуры виртуальных машин на базе гипервизора Xen и XAPI. Объединение с Xen Project позволит XCP-ng, как дистрибутиву для конечных потребителей, стать связующим звеном между пользователями и разработчиками, а также гарантировать для пользователей XCP-ng, что проект в будущем продолжит следовать изначально заложенным принципам (не превратится в ограниченный коммерческий продукт, как случилось с XenServer). Объединение заметно не отразится на используемых … Читать далее XCP-ng, свободный вариант Citrix XenServer, вошёл в состав проекта Xen

Во FreeBSD устранены три уязвимости, которые позволяют выполнить код при использовании libfetch, повторно отправить IPsec-пакеты или получить доступ к данным ядра. Проблемы исправлены в обновлениях 12.1-RELEASE-p2, 12.0-RELEASE-p13 и 11.3-RELEASE-p6. CVE-2020-7450 — переполнение буфера в библиотеке libfetch, используемой для загрузки файлов в команде fetch, пакетном менеджере pkg и других утилитах. Уязвимость может привести к выполнению кода при обработке специального оформленного URL. Атака может быть совершена при обращении к подконтрольному злоумышленнику сайту, который через HTTP-редирект способен инициировать обработку вредоносного URL; CVE-2019-15875 — уязвимость в механизме генерации core-дампов процессов. Из-за ошибки в core-дампы записывалось до 20 байт данных из стека ядра, в которых … Читать далее Во FreeBSD устранены три уязвимости

Линус Торвальдс принял в состав репозитория, в котором формируется будущая ветка ядра Linux 5.6, патчи с реализацией VPN-интерфейса от проекта WireGuard и начальной поддержкой расширения MPTCP (MultiPath TCP). Ранее необходимые для работы WireGuard криптографические примитивы были перенесены из библиотеки Zinc в состав штатного Crypto API и включены в состав ядра 5.5. С особенностями WireGuard можно познакомиться в прошлом анонсе включения кода WireGuard в ветку net-next. MPTCP представляет собой расширение протокола TCP, позволяющее организовать работу TCP-соединения с доставкой пакетов одновременно по нескольким маршрутам через разные сетевые интерфейсы, привязанные к разным IP-адресам. Для сетевых приложений подобное агрегированное соединение выглядит как обычное TCP-соединение, … Читать далее В ядро Linux 5.6 принят код с поддержкой VPN WireGuard и расширения MPTCP (MultiPath TCP)

Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются): CVE-2020-3716 — возможность выполнения кода атакующего при выполнении десериализации внешних данных; CVE-2020-3718 — обход механизмов защиты, приводящих к выполнению произвольного кода на стороне сервера; CVE-2020-3719 — возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД. Источник: http://www.opennet.ru/opennews/art.shtml?num=52274 Читать далее Критические уязвимости в платформе электронной коммерции Magento

Организация The Document Foundation представила релиз офисного пакета LibreOffice 6.4. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. При подготовке выпуска 75% изменений внесены сотрудниками курирующих проект компаний, таких как Collabora, Red Hat и CIB, а 25% изменений добавлены независимыми энтузиастами. Ключевые новшества: Для документов, показываемых на стартовой странице, обеспечено отображение пиктограмм с индикаторами приложений, позволяющих сразу оценить тип документа (презентация, электронная таблица, текстовый документ и т.п.); В интерфейс встроен генератор QR-кодов, позволяющий вставить в документ QR-код с указанной пользователем ссылкой или произвольным текстом, который затем можно быстро … Читать далее Выпуск офисного пакета LibreOffice 6.4

Разработчики проекта Heptapod, развивающего форк открытой платформы совместной разработки GitLab Community Edition, адаптированный для использования системы управления исходными текстами Mercurial, объявили о введении в строй публичного хостинга для Open Source проектов (foss.heptapod.net), использующих Mercurial. Код Heptapod, как и GitLab, распространяется под свободной лицензией MIT и может применяться для развёртывания аналогичных хостингов кода на своих серверах. Запущенный сервис допускает бесплатное размещение любых свободных и открытых проектов, применяющих лицензии, одобренные в OSI. При этом имеется одно условие — требуется размещение логотипов спонсоров Heptapod (Clever Cloud и Octobus) на официальной web-странице проекта (например, на странице с инструкцией для разработчиков). В связи с прекращением … Читать далее Анонсирован публичный хостинг Heptapod для открытых проектов, использующих Mercurial

Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и различном открытом ПО. Общая сумма выплаченных в 2016 году вознаграждений составила 6.5 млн долларов, из которых $2.1 млн выплачено за уязвимости в сервисах Google, $1.9 млн — в Android, $1 млн — в Chrome и $800 тысяч — в приложениях Google Play (остальные средства были выделены на пожертвования). Для сравнения в 2018 году в сумме было выплачено 3.4 млн долларов, а в 2015 — 2 млн долларов. За 9 лет суммарный размер выплат составил 21 млн долларов. Вознаграждения получили 461 исследователей. Самую большую выплату в … Читать далее В 2019 году Google выплатил 6.5 млн долларов вознаграждений за выявление уязвимостей

В развиваемом проектом OpenBSD почтовом сервере OpenSMTPD выявлена критическая уязвимость (CVE-2020-7247), позволяющая удалённо выполнить shell-команды на сервере с правами пользователя root. Уязвимость выявлена в ходе повторного аудита, проведённого компанией Qualys Security (прошлый аудит OpenSMTPD проводился в 2015 году, а новая уязвимость присутствует с мая 2018 года). Проблема устранена в выпуске OpenSMTPD 6.6.2. Всем пользователям рекомендуется срочно установить обновление (для OpenBSD исправление можно установить через syspatch). Предложено два варианта атаки. Первый вариант работает в конфигурации OpenSMTPD по умолчанию (приём запросов только с localhost) и позволяет эксплуатировать проблему локально, когда атакующий имеет возможность обратиться к локальному сетевому интерфейсу (loopback) на сервере (например, … Читать далее Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с правами root

Компания Google представила новый сервис Android Flash Tool (flash.android.com), позволяющий использовать браузер для установки прошивок на подключённые к компьютеру Android-смартфоны. Сборки формируются на основе свежих срезов master-ветки AOSP (Android Open Source Project), прошедшей проверку в системе непрерывной интеграции, и могут быть интересны разработчикам, желающим протестировать свежие изменения в коде Android или проверить работу своих приложений. Для работы Android Flash Tool требуется браузер с поддержкой API WebUSB, например, Chrome 79. Поддерживается установка прошивок на устройства Pixel и платы HiKey. Источник: http://www.opennet.ru/opennews/art.shtml?num=52266 Читать далее Google опубликовал браузерное приложение для установки Android-прошивок

Разработчики почтового клиента Thunderbird объявили о переводе разработки проекта в отдельную компанию MZLA Technologies Corporation, которая является дочерним предприятием Mozilla Foundation. До сих пор Thunderbird находился под покровительством организации Mozilla Foundation, которая курировала финансовые и юридические вопросы, но инфраструктура и разработка Thunderbird были отделены от Mozilla и проект развивался обособленно. Перевод в отдельное подразделение обусловлен желанием более явно отделить процессы, связанные с разработкой, и обработку поступающих пожертвований. Отмечается, что увеличившийся в последние годы объём пожертвований от пользователей Thunderbird теперь позволяет проекту самостоятельно успешно развиваться. Перенос в отдельную компанию увеличит гибкость процессов, например, даст возможность самостоятельно нанимать персонал, более оперативно действовать … Читать далее Разработка Thunderbird переведена в MZLA Technologies Corporation

Разработчики криптовалюты Bitcoin Gold (не путать с Bitcoin), занимающей 24 место в рейтинге криптовалют и имеющей размер капитализации 208 млн долларов, сообщили о выявлении двух атак по двойной трате средств (double spend attack). Для осуществления двойной траты средств атакующему потребовалось получить доступ к вычислительной мощности, составляющей как минимум 51% от всей имеющейся в сети Bitcoin Gold мощности расчёта хэшей. Атаки на Bitcoin Gold были совершены 23 и 24 января и привели к успешному вторичному начислению 1900 и 5267 BTG на бирже, что по сегодняшнему курсу составляет примерно 85430 долларов. Удалось ли атакующим извлечь данные средства из биржи неизвестно (предполагается, что … Читать далее Зафиксированы две атаки по двойной трате средств в криптовалюте Bitcoin Gold