Опубликовано обновление браузера Chrome 81.0.4044.113 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2020-6457) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в компоненте для распознавания речи (к слову, прошлая критическая уязвимость в Chrome также затрагивала данный компонент). Источник: http://www.opennet.ru/opennews/art.shtml?num=52745 Читать далее Обновление Chrome 81.0.4044.113 с устранением критической уязвимости

Швейцарская компания Proton Technologies AG объявила в своём блоге об открытии исходного кода приложения ProtonMail Bridge для всех поддерживаемых платформ (Linux, MacOS, Windows). Код распространяется под лицензией GPLv3. Дополнительно опубликована модель безопасности приложения. Заинтересованным экспертам предложено присоединиться к программе bug bounty. ProtonMail Bridge предназначен для работы с сервисом защищённой электронной почты ProtonMail с использованием предпочитаемого десктопного почтового клиента, сохраняя при этом высокий уровень защиты передаваемых по сети данных. Ранее приложение было доступно только на платных тарифах. Таким образом компания продолжает процесс постепенного открытия исходных кодов, начатый в 2015г. Ранее в разряд открытых уже были переведены: Web-фронтенд Почтовый клиент для iOS … Читать далее Открыт исходный код ProtonMail Bridge

Состоялся релиз пакетного менеджера GNU Guix 1.1 и построенного на его основе дистрибутива GNU/Linux. Для загрузки сформированы образы для установки на USB Flash (241 Мб)и использования в системах виртуализации (479 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7 и aarch64. Дистрибутив допускает установку как в качестве обособленной ОС в системах виртуализации, в контейнерах и на обычном оборудовании, так и запуск в уже установленных дистрибутивах GNU/Linux, выступая в роли платформы для развёртывания приложений. Пользователю предоставляются такие функции, как учёт зависимостей, повторяемые сборки, работа без root, откат на прошлые версии в случае проблем, управление конфигурацией, клонирование окружений (создание точной копии программного окружения … Читать далее Доступен пакетный менеджер GNU Guix 1.1 и дистрибутив на его основе

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.6, в котором отмечено 9 исправлений. Одновременно также выпущены корректирующие релизы VirtualBox 6.0.20 и 5.2.40. В обновлениях устранено 19 уязвимостей, из которых 7 проблем имеют критический уровень опасности (CVSS больше 8). В том числе устранены уязвимости, используемые в атаках, продемонстрированных на соревновании Pwn2Own 2020 и позволяющие через манипуляции на стороне гостевой системы получить доступ к хост-системе и выполнить код с правами гипервизора. Не связанные с безопасностью изменения в выпуске 6.1.6: В компоненты для хост-окружения и дополнения для гостевых систем добавлена поддержка ядра Linux 5.6; Улучшена поддержка 2D- и 3D-ускорения, а также рендеринга; … Читать далее Выпуск VirtualBox 6.1.6

Компании MyCrypto и PhishFort выявили в каталоге Chrome Web Store 49 вредоносных дополнений, отправляющих ключи и пароли от криптокошельков на серверы злоумышленников. Дополнения распространялись с использованием методов фишинговой рекламы и преподносились как реализации различных кошельков криптовалют. Дополнения были основаны на коде официальных кошельков, но включали вредоносные изменения, выполняющие отправку закрытых ключей, кодов восстановления доступа и файлов с ключами. Для некоторых дополнений при помощи фиктивных пользователей искусственно поддерживался положительный рейтинг и публиковались положительные отзывы. Компания Google удалила указанные дополнения из каталога Chrome Web Store в течение 24 часов после уведомления. Публикация первых вредоносных дополнений началась в феврале, но пик пришёлся на … Читать далее В Chrome Web Store выявлено 49 дополнений, перехватывающих ключи от криптокошельков

Разработчики пакета совместной работы и электронной почты Zimbra, позиционируемого как альтернатива MS Exchange, изменили политику в области публикации открытого кода. Начиная с выпуска Zimbra 9 проект перестанет публиковать бинарные сборки Zimbra Open Source Edition и ограничится только выпуском коммерческой версии Zimbra Network Edition. Более того, разработчики не планируют выпускать исходные тексты Zimbra 9 для сообщества и будут развивать Zimbra 9 в форме проприетарного продукта. Старая ветка Zimbra 8.8.15 останется открытой и будет сопровождаться до 31 декабря 2024 года. Источник: http://www.opennet.ru/opennews/art.shtml?num=52739 Читать далее Zimbra сворачивает публикацию открытых выпусков для новой ветки

Для реализации в Fedora 33 намечено изменение, переводящее дистрибутив на использование по умолчанию systemd-resolved для резолвинга DNS-запросов. Glibc будет переведён на nss-resolve от проекта systemd вместо встроенного NSS-модуля nss-dns. Systemd-resolved выполняет такие функции как поддержание настроек в файле resolv.conf на основании данных DHCP и статической конфигурации DNS для сетевых интерфейсов, поддерживает DNSSEC и LLMNR (Link Local Multicast Name Resolution). Из достоинств перехода на systemd-resolved называется поддержка DNS over TLS, возможность включения локального кэширования DNS-запросов и поддержка привязки разных обработчиков к разным сетевым интерфейсам (в зависимости от сетевого интерфейса выбирается DNS-сервер для обращения, например для VPN-интерфейсов DNS-запросы будут отправляться через VPN). … Читать далее В Fedora 33 планируют перейти на использование systemd-resolved

Сформирован выпуск основной ветки nginx 1.17.10, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). В новой версии реализована новая директива «auth_delay«, позволяющая добавить задержку неавторизованных запросов с кодом ответа 401 для сокращения интенсивности подбора паролей и защиты от атак, манипулирующих измерением времени выполнения операций (timing attack) при обращении к системам, доступ к которым ограничен паролем, результатом подзапроса или JWT (JSON Web Token). Источник: http://www.opennet.ru/opennews/art.shtml?num=52736 Читать далее Выпуск nginx 1.17.10

В кодовую базу «ZFS on Linux«, развиваемую под эгидой проекта OpenZFS в качестве эталонной реализации ZFS, приняты изменения, добавляющие поддержку операционной системы FreeBSD. Добавленный в «ZFS on Linux» код протестирован в ветках FreeBSD 11 и 12. Таким образом, разработчикам FreeBSD теперь не нужно поддерживать собственное синхронизированное ответвление «ZFS on Linux» и разработка всех связанных с FreeBSD изменений будет осуществляться в основном проекте. Кроме того, работоспособность во FreeBSD основной ветки «ZFS on Linux» в процессе разработки будет тестироваться в системе непрерывной интеграции. Напомним, что в декабре 2018 года разработчики FreeBSD выступили с инициативой перехода на реализацию ZFS от проекта «ZFS on … Читать далее В ZFS on Linux добавлена поддержка FreeBSD

Опубликовано обновление операционной системы Solaris 11.4 SRU 20 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске пакет ICU (International Components for Unicode) обновлён до версии 65.1, исправлено чуть менее ста ошибок, включая обновления версий следующих компонентов для устранения проблем с безопасностью: tcpdump 4.9.3, libpcap 1.9.1, sudo 1.8.30, wireshark 2.6.15, Apache Tomcat 8.5.51, mod_auth_mellon 0.16.0, Firefox 68.6.0esr, PHP 7.3.15, Thunderbird 68.6.0, openjpeg. Источник: http://www.opennet.ru/opennews/art.shtml?num=52735 Читать далее Обновление Solaris 11.4 SRU 20

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 и 2.17.4, в которых устранена уязвимость (CVE-2020-5260) в обработчике «credential.helper«, приводящая к отправке учётных данных не на тот хост при обращении git-клиента к репозиторию по специально оформленному URL, содержащему символ новой строки. Уязвимость можно использовать для организации отправки на сервер, подконтрольный атакующему, учётных данных от другого хоста. При указании URL вида «https://evil.com?%0ahost=github.com/» обработчик учётных данных при подключении к хосту evil.com передаст параметры аутентификации, заданные для github.com. Проблема проявляется при выполнении таких операций, как «git clone», в том числе при обработке URL для … Читать далее Уязвимость в Git, приводящая к утечке учётных данных

GitHub объявил о снятии ограничений на приватные репозитории и переводе данной функциональности в разряд полностью бесплатных. Любой пользователь GitHub получил возможность бесплатного создания приватных репозиториев с неограниченным числом участников. Ранее в GitHub позволял бесплатно подключать не более трёх разработчиков к приватным репозиториям, предназначенным для развития непубличных или не подлежащие разглашению проектов, доступ к которым предоставляется только узкому кругу разработчиков. Число создаваемых приватных репозиториев не ограничено. Снятие ограничения на число пользователей позволяет командам любых проектов использовать GitHub как единое место для решения всех основных задач разработки, включая непрерывную интеграцию, управление проектом, рецензирование кода, формирование пакетов и т.п. В конкурирующей платформе BitBucket.org … Читать далее GitHub сделал бесплатными средства для работы с приватными репозиториями

Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora, утвердил предложение по реализации проекта ELN (Enterprise Linux Next), нацеленного на предоставление окружения, основанного на репозитории Fedora Rawhide, которое может применяться для тестирования функциональности будущих выпусков дистрибутива RHEL (Red Hat Enterprise Linux). Для ELN будет подготовлен новый buildroot и процесс сборки для эмуляции формирования Red Hat Enterprise Linux на базе пакетов с исходными текстами из репозитория Fedora. Проект намечен к реализации в рамках цикла разработки Fedora 33. ELN предоставит инфраструктуру, позволяющую собирать Fedora-пакеты с использованием методов, применяемых в CentOS и RHEL, и даст возможность сопровождающим пакеты Fedora … Читать далее Проект по эмуляции сборки Red Hat Enterprise Linux на базе Fedora

Компания Cisco опубликовала релиз Snort 2.9.16.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. В новом выпуске реализован режим раннего инспектирования HTTP-данных, работающий на этапе до срабатывания обычных обработчиков. Для активации режима следует использовать опцию fast_blocking в блоке настроек инспектирования http. Кроме того в новом выпуске обеспечена нормализация в UTF-8 случайно закодированных нулевых значений в ответах HTTP-сервера, а также добавлена поддержка Glibc 2.30 и 64-разрядных Windows 10. Источник: http://www.opennet.ru/opennews/art.shtml?num=52729 Читать далее Релиз системы обнаружения атак Snort 2.9.16.0

Опубликован отчёт о развитии проекта FreeBSD с января по март 2020 года. Из изменений можно отметить: Общие и системные вопросы Из дерева исходных текстов FreeBSD-CURRENT удалён набор компиляторов GCC, а также неиспользуемые утилиты gperf, gcov и gtc (компилятор devicetree). Все платформы, не поддерживающие Clang, переведены на использование внешнего сборочного инструментария, устанавливаемого из портов. В базовой системе поставлялся устаревший выпуск GCC 4.2.1, а интеграция более новых версий была невозможна из-за перехода 4.2.2 на лицензию GPLv3, которая была признана неприемлемой для базовых компонентов FreeBSD. Актуальные выпуски GCC, включая GCC 9, как и раньше, можно установить из пакетов и портов. В инфраструктуре эмуляции … Читать далее Отчёт о развитии FreeBSD за первый квартал 2020 года

Исследователи из компании Microsoft и Университета Центрального Китая разработали новый высокопроизводительный метод отслеживания нескольких объектов на видео с использованием технологий машинного обучения — FairMOT (Fair Multi-Object Tracking). Код с реализацией метода на базе Pytorch и натренированные модели опубликованы на GitHub. Большинство существующих методов отслеживания объектов используют два этапа, каждый из которых реализуется отдельной нейронной сетью. На первом этапе выполняется модель определения местоположения интересующих объектов, а на втором этапе используется модель поиска ассоциаций, применяемая для повторной идентификации объектов и привязки к ним якорей. В FairMOT применяется одноэтапная реализация на базе деформируемой свёрточной нейронной сети (DCNv2, Deformable Convolutional Network), которая позволяет добиться … Читать далее FairMOT, система для быстрого отслеживания нескольких объектов на видео

Нил МакГоверн (Neil McGovern), в 2015 году занимавший пост лидера проекта Debian, а сейчас возглавляющий организацию GNOME Foundation, сообщил о начале тестирования новой инфраструктуры для обсуждений discourse.debian.net, которая в будущем может заменить некоторые списки рассылки. Новая система обсуждения основана на платформе Discourse, применяемой в таких проектах как GNOME, Mozilla, Ubuntu и Fedora. Отмечается, что Discourse позволит избавиться от свойственных спискам рассылки ограничений, а также сделать участие и доступ к дискуссиям более удобным и привычным для новичков. Из функциональных ограничений списков рассылки, от которых можно будет избавиться при использовании Discourse, упоминается возможность организации полноценного модерирования. В текущем виде discourse.debian.net будет сосуществовать … Читать далее Debian тестирует Discourse, как потенциальную замену спискам рассылки

Компания Google опубликовала базу данных эталонных смешанных звуков, снабжённую анотациями, которую можно использовать в системах машинного обучения, применяемых для разделения произвольных смешанных звуков на отдельные компоненты. Также опубликована универсальная модель глубинного машинного обучения (TDCN++), которая может быть использована в Tensorflow для разделения звуков. Данные подготовлены на основе коллекции freesound.org и опубликованы под лицензией CC BY 4.0. Представленный проект FUSS (Free Universal Sound Separation) нацелен на решение проблемы разделения любого числа произвольных звуков, о характере которых заранее не известно. Другие подобные системы, как правило, ограничены задачей разделения определённых звуков, например, голоса и не голоса или разных говорящих людей. БД насчитывает около … Читать далее Google опубликовал данные и модель машинного обучения для разделения звуков

После полугода разработки представлен релиз операционной системы ReactOS 0.4.13, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows. Операционная система находится на «альфа»-стадии разработки. Для загрузки подготовлены установочный ISO-образ (126 Мб) и Live-сборка (в zip-архиве 95 Мб). Код проекта распространяется под лицензиями GPLv2 и LGPLv2. Ключевые изменения: Проведена большая работа по устранению ошибок и усовершенствованию нового USB-стека, в котором обеспечена поддержка устройств ввода (HID) и USB-накопителей. В графической оболочке Explorer реализована возможность поиска файлов. Проведена работа по обеспечению загрузки на первом поколении приставок Xbox. Проведена оптимизация загрузчика FreeLoader, нацеленная на сокращение времени загрузки ReactOS на разделах с FAT в … Читать далее Релиз операционной системы ReactOS 0.4.13

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 5.6. С момента выпуска версии 5.5 было закрыто 38 отчётов об ошибках и внесено 458 изменений. Наиболее важные изменения: Реализованы новые вызовы фреймворка Media Foundation; Улучшена поддержка Active Directory, решены проблемы с компиляцией wldap32 на системах без установленной поддержки LDAP; Продолжено преобразование модулей в формат PE; Улучшена поддержка применения отладчика gdb в режиме прокси; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Passmark 7.0, AVG Free 8.x/9.x Antivirus Edition, MSYS2, Explorer++, Cossacks II, Keygener Assistant 2.x, Monogram GraphStudio v0.3.x, Star Wars KOTOR II: The Sith Lords, Evernote 5.5.x, Roblox Player, … Читать далее Выпуск Wine 5.6 и Wine Staging 5.6

Опубликованы новые выпуски нескольких открытых платформ для организации видеоконференций: Выпуск клиента для проведения видеоконференций Jitsi Meet Electron 2.0, представляющего собой упакованный в отдельное приложение вариант Jitsi Meet. Из особенностей приложения отмечается локальное хранение настроек видеоконференций, встроенная система доставки обновлений, средства удалённого управления и режим закрепления поверх других окон. Из новшеств версии 2.0 выделяется возможность предоставления совместного доступа к воспроизводимому в системе звуку. Код клиента написан на JavaScript с использованием платформы Electron и распространяется под лицензией Apache 2.0. Готовые сборки подготовлены для Linux (AppImage), Windows и macOS. Jitsi Meet представляет собой JavaScript-приложение, использующее WebRTC и способное работать с серверами на базе … Читать далее Обновления систем видеоконференций Jitsi Meet Electron, OpenVidu и BigBlueButton