После трёх месяцев разработки представлен релиз OpenSSH 8.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новом выпуске добавлена защита от атаки на scp, позволяющей серверу передать другие имена файлов, отличающиеся от запрошенных (в отличие от прошлой уязвимости, атака не даёт возможность сменить выбранный пользователем каталог или glob-маску). Напомним, что в SCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Суть выявленной проблемы в том, что если системный вызов utimes завершается ошибкой, то содержимое файла интерпретируется как метаданные файла. Данная особенность при подключении … Читать далее Релиз OpenSSH 8.3 с устранением уязвимости в scp

Исследователи из компании NCC Group опубликовали результаты аудита свободного проекта Zephyr, развивающего операционную систему реального времени (RTOS), нацеленную на оснащение устройств, соответствующих концепции «Интернет вещей» (IoT, Internet of Things). В ходе аудита было выявлено 25 уязвимостей в Zephyr и 1 уязвимость в MCUboot. Разработка Zephyr ведётся при участии компаний Intel. В сумме было выявлено 6 уязвимостей в сетевом стеке, 4 — в ядре, 2 — в командной оболочке, 5 в обработчиках системных вызовов, 5 в подсистеме USB и 3 в механизме обновления прошивки. Двум проблема присвоен критический уровень опасности, двум — высокий, 9 умеренный, 9 — низкий и 4 — … Читать далее 25 уязвимостей в RTOS Zephyr, в том числе эксплуатируемые через ICMP-пакет

Представлен первый выпуск новой основной ветки nginx 1.19, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Добавлена возможность поверки клиентских сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol). Для включения проверки предложена директива ssl_ocsp, для настройки размера кэша — ssl_ocsp_cache, для переопределения URL OCSP-обработчика, указанного в сертификате — ssl_ocsp_responder. Исправлена возникающая в процессе работы бэкендов gRPC ошибка «upstream sent frame for closed stream», выводимая при отправке кадров в закрытый поток. Устранена проблема с не работой OCSP stapling, … Читать далее Выпуск nginx 1.19.0

Представлен релиз кроссплатформенного фреймворка Qt 5.15. Исходные тексты компонентов Qt поставляются под лицензиями LGPLv3 и GPLv2. В декабре будет опубликована новая ветка Qt 6, в которой ожидаются значительные архитектурные изменения. Для сглаживания будущего перехода на ветку Qt 6 в Qt 5.15 включены предварительные реализации некоторых новшеств и добавлены предупреждения о скором прекращении поддержки функциональности, намеченной для удаления в Qt 6. Qt 5.15 отнесён к выпускам с длительным сроком поддержки (LTS). При этом для сообщества обновления ветки 5.15 будут выпускаться до формирования очередного значительного выпуска, т.е. примерно полгода. Расширенный LTS-цикл, подразумевающий формирование обновлений в течение трёх лет, будет ограничен пользователями с … Читать далее Релиз фреймворка Qt 5.15

Опубликовано обновление Protox, мобильного приложения для обмена сообщениями между пользователями без участия сервера, реализованного на основе протокола Tox (с-toxcore). На данный момент поддерживается только OS Android, однако, так как программа написана на кроссплатформенном фреймворке Qt с использованием QML, в будущем возможно портировать приложение и под другие платформы. Программа является альтернативой Tox-клиентам Antox, Trifa и Tok, почти все из которых были заброшены. Код проекта распространяется под лицензией GPLv3. Список изменений, начиная с версии 1.4.2: Добавлена передача файлов в обе стороны. Добавлены соответствующие кнопки для передачи файлов. Добавлены оповещения для передачи файлов. Добавлена кнопка, позволяющая выбрать каталог сохранения загружаемых файлов (по умолчанию … Читать далее Выпуск пре-релизной версии Protox 1.5beta_pre, Tox-клиента для мобильных платформ

Эдуард Шишкин анонсировал новые возможности, развиваемые в рамках проекта Reiser5. Reiser5 представляет собой существенно переработанный вариант файловой системы ReiserFS, в котором на уровне файловой системы, а не блочного устройства, реализована поддержка параллельно масштабируемых логических томов, позволяющая эффективно распределять данные по логическому тому. Из развиваемых в последнее время новшеств отмечается предоставление пользователю возможности добавить небольшое высокопроизводительное блочное устройство (напр. NVRAM), называемое прокси-диском, к относительно большому логическому тому, скомпонованному из медленных бюджетных дисков. При этом будет создаваться впечатление, что весь том скомпонован из таких же дорогостоящих высокопроизводительных устройств, как и «прокси-диск». В основу реализованного метода легло простое наблюдение, что на практике запись … Читать далее В Reiser5 анонсирована поддержка Burst Buffers (Data Tiering)

Группа исследователей из Пекинского университета, Университета Цинхуа и Техасского университета в Далласе выявила новый класс DoS-атак — RangeAmp, основанный на использовании HTTP-заголовка Range для организации усиления трафика через сети доставки контента (CDN). Суть метода в том, что из-за особенности обработки Range-заголовков во многих CDN атакующий может запросить через CDN один байт из большого файла, но CDN загрузит с целевого сервера весь файл или значительно больший блок данных для помещения в кэш. Степень усиления трафика при такой атаке в зависимости от CDN составляет от 724 до 43330 раз, что может использоваться для снижения пропускной способности канала связи до сайта жертвы. Заголовок … Читать далее RangeAmp — серия атак на сайты и CDN, манипулирующая HTTP-заголовком Range

Состоялся релиз анонимной сети I2P 0.9.46 и C++-клиента i2pd 2.32.0. Напомним, что I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. I2pd представляет собой независимую реализацию клиента I2P на языке C++ и распространяется под модифицированной лицензией BSD. В выпуске I2P 0.9.46: Благодаря добавлению алгоритма контроля перегрузки Westwood+ существенно … Читать далее Новые выпуски анонимной сети I2P 0.9.46 и C++-клиента i2pd 2.32

Представлен релиз свободного звукового редактора Ardour 6.0, предназначенного для многоканальной записи, обработки и микширования звука. Имеется мультитрековая шкала времени, неограниченный уровень отката изменений на всем протяжении работы с файлом (даже после закрытия программы), поддержка разнообразных аппаратных интерфейсов. Программа позиционируется, как свободный аналог профессиональных средств ProTools, Nuendo, Pyramix и Sequoia. Код Ardour распространяется под лицензией GPLv2. Основные новшества: Внесены значительные архитектурные изменения, позволившие повысить надёжность и качестве работы приложения. Во всех компонентах, связанных с обработкой сигналов, задействованы средства полной компенсации задержек. Не важно каким образом осуществляется маршрутизация сигнала — шины, треки, плагины, элементы отправки, вставки и возвращения сигнала теперь полностью компенсированы … Читать далее Выпуск свободного звукового редактора Ardour 6.0

Открыта новая база поддерживаемого оборудования для BSD-систем, подготовленная создателями базы Linux-Hardware.org. Среди наиболее востребованных возможностей базы — поиск драйверов для устройств, тесты работоспособности, анонимизация собираемых системных логов, статистические отчёты. Варианты использования базы разнообразны — можно просто вывести список всех устройств, можно отправить логи разработчикам для исправления ошибки, можно сохранить «снимок» текущего состояния компьютера на будущее, чтобы сравнить с ним в случае возникновения неполадок и др. Как и для Linux-систем, база пополняется с помощью программы hw-probe (версия 1.6-BETA выпущена специально для BSD). Данная программа позволяет абстрагироваться от различий между BSD-системами и вывести список устройств в едином формате. Напомним, что в отличие … Читать далее Проект по формированию базы поддерживаемого оборудования для BSD-систем

Компания Microsoft опубликовала первый тестовый выпуск пакетного менеджера winget (Windows Package Manager), предоставляющего средства для установки приложений с использованием командной строки. Код написан на языке С++ и распространяется под лицензией MIT. Пакеты устанавливаются из репозитория, поддерживаемого при участии сообщества. В отличие от установки программ из каталога Windows Store, winget позволяет устанавливать приложения без лишнего маркетинга, изображений и рекламы. В текущем выпуске поддерживаются команды для поиска приложения (search), установки (install), показа информации о пакете (show), настройки репозиториев (source), работой с хэшами файлов установщика (hash) и проверки целостности метаданных (validate). В следующем выпуске ожидается появление команд uninstall, list и update. Параметры пакета … Читать далее Microsoft развивает новый открытый пакетный менеджер winget

В анонсе предварительной версии ядра Linux 5.7-rc7 после общего обзора исправлений Линус Торвальдс сообщил, что для него самым значительным улучшением за неделю стало обновление основной рабочей станции. Впервые за последние 15 лет на его системе задействован процессор не от компаании Intel. В новой конфигурации установлен CPU AMD Ryzen Threadripper 3970x с 32 ядрами (64 потока) и общим встроенным кэшем, размером 146МБ (2МБ L1 + 16МБ L2 + 128МБ L3). Для сравнения в процессорах Intel для рабочих станций предлагается до 18 ядер CPU. Отмечается, что на новой системе сборка в режиме ‘allmodconfig’ стала выполняться в три раза быстрее, чем на прошлой … Читать далее Линус Торвальдс перешёл с Intel на AMD на своей основной системе

Разработчики проекта Chromium проанализировали 912 опасных и критичкских уязвимостей, выявленных в стабильных выпусках Chrome, и пришли к выводу, что 70% из них были вызваны небезопасной работой с памятью (ошибками, при работе с указателями в коде на C/C++. Половина из данных пробоем (36.1%) вызвана обращениями к буферу, после освобождения связанной с ним памяти (use-after-free). При проектировании Chromium было изначально заложено, что код может включать в себя ошибки, поэтому большая ставка делалась на применение sandbox-изоляции для ограничения последствий проявления уязвимостей. В настоящее время возможности применения данной технологии достигли предела своих возможностей и дальнейшее дробление нецелесообразно с точки зрения потребления ресурсов. Для поддержания … Читать далее 70% проблем с безопасностью в Chromium вызваны ошибками при работе с памятью

Опубликован релиз SQLite 3.32.0, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Основные изменения: Реализован апромксимированный вариант команды ANALYZE, который позволяет в очень больших БД обойтись частичным сбором статистики, без полного сканирования индексов. Ограничение на число записей при сканировании одного индекса задаётся при помощи новой директивы «PRAGMA analysis_limit«. Добавлена новая виртуальная таблица «bytecode«, в которой предложена информация о байткоде заранее подготовленных выражений (prepared … Читать далее Релиз СУБД SQLite 3.32. Проект DuckDB развивает вариант SQLite для аналитических запросов

После трёх с половиной лет с момента прошлого выпуска сформирован релиз дистрибутива GoboLinux 017. В GoboLinux вместо традиционной для Unix-систем иерархии файлов используется стековая модель формирования дерева каталогов, при которой каждая программа устанавливается в отдельную директорию. Размер установочного образа 1.9 ГБ, который также может применяться для ознакомления с возможностями дистрибутива в Live-режиме. Корень в GoboLinux состоит из каталогов /Programs, /Users, /System, /Files, /Mount и /Depot. Минусом объединения в одном каталоге всех компонентов приложения, без разделения настроек, данных, библиотек и исполняемых файлов, является необходимость хранить данные (например, логи, файлы конфигурации) рядом с системными файлами. Плюсом является возможность параллельной установки разных версий … Читать далее Выпуск дистрибутива GoboLinux 017 с самобытной иерархией файловой системы

Опубликована новая версия отладчика GDB 9.2, в которой предложены только исправления ошибок, относительно версии 9.1. GDB поддерживает отладку на уровне исходных текстов для широкого спектра языков программирования (Ada, C, C++, Objective-C, Pascal, Go и т.д.) на различных аппаратных (i386, amd64, ARM, Power, Sparc, RISC-V и т.д.) и программных платформах (GNU/Linux, *BSD, Unix, Windows, macOS). Начиная с ветки 9.x проект GDB перешёл новую схему нумерации выпусков, напоминающую подход GCC. В соответствии с данной схемой версия 9.0 использовалась в процессе разработки, после чего был сформирован первый стабильный выпуск 9.1, в котором были предложены готовые для конечных пользователей функциональные улучшения. Последующие выпуски в … Читать далее Выпуск отладчика GDB 9.2

Детско-юношеский Центр Технического Творчества и Информационных Технологий в партнёрстве с Calculate Linux проводит первые открытые соревнования для детей и подростков по GNU Linux. Участникам будут предложены теоретические вопросы и практические задания различной степени сложности. Соревнования стартуют онлайн на русском языке 25 мая 2020 в 13 часов по московскому времени. Участие бесплатно. Все участники получат дипломы. Источник: http://www.opennet.ru/opennews/art.shtml?num=53015 Читать далее Детские online-соревнования по Linux

Компания Checkpoint представила механизм защиты Safe-Linking, позволяющий усложнить создание эксплоитов, манипулирующих определением или изменением указателей на буферы, выделенные при выполнении вызова malloc. Safe-Linking полностью не блокирует возможность эксплуатации уязвимостей, но при минимальных накладных расходах существенно усложняет создание некоторых категорий эксплоитов, так как помимо эксплуатируемого переполнения буфера необходимо найти ещё одну уязвимость, вызывающую утечку сведений о размещении кучи (heap) в памяти. Патчи с реализацией Safe-Linking подготовлены для Glibc (ptmalloc), uClibc-NG (dlmalloc), gperftools (tcmalloc) и Google TCMalloc, а также предложены для модернизации защиты в Chromium (в Chromium с 2012 году уже встроена нацеленная на решений той же проблемы техника защиты MaskPtr, но … Читать далее Checkpoint предложил технику защиты Safe-Linking, усложняющую эксплуатацию уязвимостей

После года разработки опубликован релиз Transmission 3.0, относительно лёгкого и нетребовательного к ресурсам BitTorrent-клиента, написанного на языке Cи и поддерживающего разнообразные интерфейсы пользователя: GTK, Qt, native Mac, Web-интерфейс, daemon, command-line. Основные изменения: В RPC server добавлена возможность приёма соединений через IPv6; Включена по умолчанию верификация сертификатов SSL для загрузок по HTTPS; Возвращено использование хэша в качестве имени для файлов .resume и .torrent (решает проблему с выводом в Linux ошибки «File name too long» при очень длинном имени торрента); В встроенном http-сервере до 100 ограничено число неуспешных попыток аутентификации для защиты от подбора пароля; Добавлены идентификаторы Peer ID для торрент клиентов … Читать далее Новая версия BitTorrent-клиента Transmission 3.0

Разработчики OpenBSD опубликовали выпуск переносимой редакции пакета маршрутизации OpenBGPD 6.6, который можно использовать в операционных системах, отличных от OpenBSD. Для обеспечения переносимости использованы части кода из проектов OpenNTPD, OpenSSH и LibreSSL. Кроме OpenBSD заявлена поддержка Linux и FreeBSD. Работа OpenBGPD протестирована в Debian 9, Ubuntu 14.04+ и FreeBSD 12. Разработка OpenBGPD ведётся при поддержке регионального интернет-регистратора RIPE NCC, который заинтересован в доведении функциональности OpenBGPD до пригодности к использованию на серверах для маршрутизации в точках межоператорского обмена трафиком (IXP) и в создании полноценной альтернативы пакету BIRD (из других открытых альтернатив с реализацией протокола BGP можно отметить проекты FRRouting, GoBGP, ExaBGP и … Читать далее Доступна переносимая версия OpenBGPD 6.7p0

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 5.9. С момента выпуска версии 5.8 было закрыто 28 отчётов об ошибках и внесено 337 изменений. Наиболее важные изменения: Значительно продвинулась вперёд разработка бэкенда WineD3D на базе графического API Vulkan; Реализована начальная поддержка разделения DLL на варианты в форматах PE и разделяемых библиотек Unix (.so). Предложена начальная версия ntdll.so (вариант ntdll.dll); Добавлена поддержка генерации файлов PDB при сборке DLL в формате PE; В USD (User Shared Data) ядра обеспечено обновление меток времени; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Star Wars: The Old Republic, игры Blizzard, Denuvo Anti-Tamper, Hype … Читать далее Выпуск Wine 5.9