Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов. За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с … Читать далее Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей

Опубликовано обновление операционной системы Solaris 11.4 SRU 15/a> (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: До версии 19.4 обновлён Oracle Explorer, инструментарий для построения детального профиля конфигурации и состояния системы; Добавлены новые модули для Python 3.7: pybonjour и pygobject3; В состав включён пакет cbindgen 0.8.7 (генератор Си-биндингов на основе кода на языке Rust); В RAD, интерфейс для автоматической установки, добавлена поддержка Python 3.7; Авторизация при помощи zlogin ограничена доступом только с консоли; Обновлены версии программ: net-snmp 5.8, ruby … Читать далее Обновление Oracle Solaris 11.4 SRU15

В DNS-сервере Unbound выявлена уязвимость (CVE-2019-18934), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем ipsec («—enable-ipsecmod») и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске Unbound 1.9.5. Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды ipsecmod-hook, в случае получения запроса для домена, для которого присутствуют записи A/AAAA и IPSECKEY. Подстановка кода осуществляется через указание специально оформленного доменного имени в полях qname и gateway, привязанных к записи IPSECKEY. Источник: http://www.opennet.ru/opennews/art.shtml?num=51900 Читать далее Уязвимость в DNS-сервере Unbound, допускающее удалённое выполнение кода

Сформирован выпуск основной ветки nginx 1.17.6, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Добавлены новые переменные $proxy_protocol_server_addr и $proxy_protocol_server_port, включающие сведения об адресе и номере порта из заголовка протокола PROXY; Добавлена директива limit_conn_dry_run, переводящая модуль ngx_http_limit_conn_module в режим пробного запуска, при котором число соединений не ограничивается, но учитывается. Добавлены переменные $limit_req_status и $limit_conn_status, в которых сохраняется результат ограничения интенсивности запросов или числа соединений. Переменная может принимать значения PASSED, DELAYED, REJECTED, DELAYED_DRY_RUN и REJECTED_DRY_RUN. Дополнительно можно отметить выпуск njs 0.3.7, интерпретатора языка JavaScript … Читать далее Выпуск nginx 1.17.6 и njs 0.3.7

Разработчики криптовалюты Monero, которая позиционируется как обеспечивающая полную анонимность и защиту от отслеживания платежей, предупредили пользователей о компрометации официального сайта проекта (GetMonero.com). В результате взлома 18 ноября с 5:30 до 21:30 (MSK) в разделе загрузки распространялись подменённые злоумышленниками исполняемые файлы консольной редакции кошелька Мonero для Linux, macOS и Windows. В исполняемые файлы был интегрирован вредоносный код для кражи средств с кошельков. При открытии кошелька вредоносный код осуществлял отправку на внешний сервер node.hashmonero.com криптографических ключей, позволяющих контролировать средства в кошельке. Через какое-то время после передачи сведений, атакующие переводили себе средства, имеющиеся на кошельке жертвы. В настоящее время приложения пересбораны из отдельной … Читать далее Взлом сайта криптовалюты Мonero с подменой предлагаемого для загрузки кошелька

Опубликован релиз проекта CoreBoot 4.11, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие 130 разработчиков, которые подготовили 1630 изменений. Основные новшества: Добавлена поддержка 25 материнских плат: AMD PADMELON; ASUS P5QL-EM; QEMU-AARCH64 (эмуляция); Google AKEMI, ARCADA CML, DAMU, DOOD, DRALLION, DRATINI, JACUZZI, JUNIPER, KAKADU, KAPPA, PUFF, SARIEN CML, TREEYA и TROGDOR; Lenovo R60, T410, THINKPAD T440P и X301; RAZER BLADE-STEALTH KBL; SIEMENS MC-APL6; SUPERMICRO X11SSH-TF и X11SSM-F. Продолжена чистка кодовой базы. Убрано подключение лишних заголовочных файлов. Унифицирован код, связанный с поддержкой чипсетов Intel, типовые функции вынесены в общие драйверы; Проведена большая работа по … Читать далее Выпуск Coreboot 4.11

Организация Open Invention Network (OIN), занимающаяся защитой экосистемы Linux от патентных претензий объявила о формировании совместно с IBM, Linux Foundation и Microsoft группы для защиты открытого ПО от нападок патентных троллей, не обладающих активами и живущими только за счёт исков с использованием сомнительных патентов. Созданная группа окажет поддержку организации Unified Patents в области поиска фактов более раннего использования или признаниях недействительными патентов, фигурирующих в разбирательствах, затрагивающих Linux и открытое ПО. По данным организации Unified Patents в 2018 году патентными троллями было инициировано 49 разбирательств, ответчики в которых имеют отношение к разработке открытого ПО. Всего с 2012 года зафиксировано 260 подобных … Читать далее OIN скооперировался с IBM, Linux Foundation и Microsoft для защиты открытого ПО от патентых троллей

Facebook опубликовал результаты экспериментов с новым алгоритмом контроля перегрузки (congestion control) — COPA, оптимизированным для передачи видеоконтента. Алгоритм предложен исследователями из Массачусетского технологического института. Предложенный для тестирования прототип COPA написан на С++, открыт под лицензий MIT и включён в состав mvfst, развиваемой в Facebook реализации протокола QUIC. Алгоритм COPA ориентирован на решение проблем, возникающих при передаче видео по сети. В зависимости от типа видео к алгоритмам контроля перегрузки предъявляются практически противоположные требования — для интерактивного видео требуется обеспечить минимальные задержки, даже в ущерб качества, а при трансляции заранее подготовленного высококачественного видео приоритет отдаётся сохранению качества. Ранее разработчики приложений были ограничены … Читать далее Facebook протестировал новый алгоритм контроля перегрузки COPA в сравнении с BBR и CUBIC

Анонсирован релиз звуковой подсистемы ALSA 1.2.1. Это первый выпуск ветки 1.2.x (ветка 1.1 была сформирована в 2015 году). Новая версия затрагивает обновление библиотек, утилит и плагинов, работающих на уровне пользователя. Драйверы развиваются синхронно с ядром Linux. Из значительных изменений отмечается вынос в отдельную библиотеку libatopology функций, связанных с топологией (метод загрузки драйверами обработчиков из пространства пользователя). Файлы конфигурации для топологий перемещены в пакет alsa-topology-conf. Расширен синтаксис UCM (Use Case Manager). Связанные с UCM конфигурационные файлы перемещены в пакет alsa-ucm-conf, распространяемый под лицензией BSD. Источник: http://www.opennet.ru/opennews/art.shtml?num=51885 Читать далее Релиз звуковой подсистемы Linux — ALSA 1.2.1

Представлен выпуск системы управления проектами Calligra Plan 3.2 (ранее KPlato), входящей в состав офисного пакета Calligra, развиваемого разработчиками KDE. Calligra Plan позволяет координировать выполнение задач, определять зависимости между проводимыми работами, планировать время выполнения, отслеживать состояние разных этапов разработки и управлять распределением ресурсов при разработке крупных проектов. Из новшеств отмечается: Возможность перемещения в режиме drag&drop и копирования через буфер обмена задач, а также текстовых и HTML-данных из большинства таблиц и диаграмм; Поддержка шаблонов проектов, которые могут формироваться на основе существующих проектов для создания типовых альтернатив; Настройки проекта вынесены в отдельное меню. В меню View добавлены опции для управления отображением информации; Улучшен … Читать далее Выпуск системы управления проектами Calligra Plan 3.2

Опубликован корректирующий выпуск Chrome 78.0.3904.108, в котором устранены 0-day уязвимости, использованные для организации двух успешных взломов, продемонстрированных на соревновании Tianfu Cup. Проблемы (CVE-2019-13723, CVE-2019-13724) присутствовали в коде для взаимодействия с устройствами Bluetooth, и позволяли обратиться к уже освобождённой области памяти (use-after-free) или к данным за границей выделенного буфера. В новой версии в контекстное меню также была возвращена функция закрытия всех вкладок, кроме текущей («Close other Tabs»). Напомним, что проанализировав полученную в результате сбора телеметрии статистику о методах работы пользователей, разработчики пришли к выводу, что функцию «Close other Tabs» можно удалить, так как она востребована лишь 2% пользователей. После того как … Читать далее Обновление Chrome 78.0.3904.108 с устранением уязвимостей

В Firefox для OpenBSD реализована поддержка изоляции файловой системы при помощи системного вызова unveil(). Необходимые патчи уже приняты в апстрим firefox и войдут в состав Firefox 72. Firefox в OpenBSD был и ранее защищён, используя pledge для ограничения доступа каждого типа процессов (main, content и GPU) к системным вызовам, теперь для них также будет ограничен доступ к файловой системе при помощи unveil(). По умолчанию, доступ ограничен директориями ~/Downloads и /tmp; и при загрузке файлов из сети, и при просмотре файлов с диска. Настройки pledge() и unveil() хранятся в файлах в /usr/local/lib/firefox/browser/defaults/preferences/, содержимое которых может переопределяться в файлах из /etc/firefox/. Преимущество … Читать далее В Firefox для OpenBSD реализована поддержка unveil

Опубликован 54-й выпуск рейтинга 500 самых высокопроизводительных компьютеров мира. В новом выпуске десятка лидеров не изменилась. На первом месте в рейтинге кластер Summit развёрнут компанией IBM в Национальной лаборатории Оук-Ридж (США). Кластер работает под управлением Red Hat Enterprise Linux, включает 2.4 млн процессорных ядер (используются 22-ядерные CPU IBM Power9 22C 3.07GHz и ускорители NVIDIA Tesla V100), которые обеспечивают производительность 148 петафлопс. Второе место занимает американский кластер Sierra, установленный в Ливерморской национальной лаборатории компанией IBM на базе аналогичной с Summit платформы и демонстрирующий производительность на уровне 94 петафлопс (около 1.5 млн ядер). На третьем месте китайский кластер Sunway TaihuLight, работающий в … Читать далее Опубликована 54 редакция списка самых высокопроизводительных суперкомпьютеров

Представлен новый выпуск QuiteRSS 0.19, программы для чтения новостных лент в форматах RSS и Atom. QuiteRSS обладает такими возможностями, как встроенный браузер на движке WebKit, гибкая система фильтров, поддержка меток и категорий, несколькими режимами просмотра, блокировщик рекламы, менеджер загрузки файлов, импорт и экспорт в формате OPML. Код проекта поставляется под лицензией GPLv3. Релиз приурочен к восьмилетию проекта. Прошлая ветка 0.18 была выпущена в 2015 году. В новой версии осуществлён переход на Qt 5.13, WebKit 602.1, SQLite 3.30.1, OpenSSL 1.1.1d. Добавлен календарь, чтобы избегать загрузки старых новостей. Прекращена поддержка публикации в Google+. Источник: http://www.opennet.ru/opennews/art.shtml?num=51887 Читать далее Выпуск программы для чтения RSS — QuiteRSS 0.19

На прошедшем в Китае состязании Tianfu Cup PWN Contest (аналог Pwn2Own для китайских исследователей безопасности) продемонстрировано два успешных взлома Chrome и один взлом qemu-kvm в окружении Ubuntu, позволивший выйти из изолированного окружения и выполнить код на стороне хост-системы. Взломы были выполнены с использованием ещё не исправленных 0-day уязвимостей. Кроме того, на соревновании были успешно эксплуатированы новые уязвимости в Edge, Safari, Office 365, Adobe PDF Reader, VMWare Workstation и беспроводном маршрутизаторе D-Link DIR-878. За два дня состязаний было предпринято 28 попыток демонстрации взломов c использованием 0-day уязвимостей, из которых 20 оказались успешными. Наиболее успешной оказалась группа 360Vulcan, которая за дни соревнования … Читать далее На соревновании Tianfu Cup продемонстрированы 0-day уязвимости в Chrome и qemu-kvm

После полутора лет разработки состоялся выпуск проекта F-Stack 1.13, развивающего работающий в пространстве пользователя высокопроизводительный сетевой стек, основанный на фреймворке DPDK и TCP/IP стеке FreeBSD (F-Stack не привязан к FreeBSD и в качестве первичной платформы для применения рассматривает Linux). Проект используется в различных продуктах и сервисах Tencent, крупнейшей в Китае телекоммуникационной компании. Код распространяется под лицензией BSD. Поддерживается работа в Linux и FreeBSD. F-Stack даёт возможность организовать сетевое взаимодействие в приложениях, применяя вместо сетевого стека операционной системы собственный сетевой стек, функционирующий в пространстве пользователя и напрямую работающий с сетевым оборудованием. Предоставляются специализированные редакции Nginx и Redis, переведённые на использование F-Stack. … Читать далее Выпуск сетевого стека F-Stack 1.13, выполняемого в пространстве пользователя

В состав системы инициализации sysvinit включена вспомогательная утилита sysd2v, позволяющая конвертировать unit-файлы сервисов systemd в формат классических скриптов инициализации SysV с заголовками LSB. Утилита будет поставляться начиная с выпуска sysvinit 2.97 в каталоге «contrib». Источник: http://www.opennet.ru/opennews/art.shtml?num=51883 Читать далее В sysvinit добавлена утилита для преобразования unit-файлов systemd

В графическом драйвере Intel i915 выявлены две уязвимости. Первая уязвимость (CVE-2019-0155) затрагивает системы c GPU Intel Gen9 (Skylake) и позволяет из пространства пользователя изменить записи в таблице страниц памяти через манипуляции с MMIO (Memory Mapped Input Output). Проблема позволяет атакующему получить доступ к информации, хранящейся в памяти ядра, и потенциально повысить свои привилегии в системе. Вторая проблема (CVE-2019-0154) проявляется на системах с GPU Intel Gen8 и Gen9 (Broadwell и Skylake), и может использоваться для инициировании отказа в обслуживании (зависание системы) через обращение к определённым регистрам GPU через MMIO, приводящее к переводу GPU в некорректное состояние. Проблемы устранены в обновлениях ядра … Читать далее Уязвимости в видеодрайвере Intel i915

Представлен релиз пользовательского дистрибутива PCLinuxOS 2019.11. Дистрибутив был основан в 2003 году на базе Mandrake Linux (будущей Mandriva), но позднее ответвился в самостоятельный проект. Пик популярности PCLinuxOS пришёлся на 2010 год, в котором, по результатам опроса читателей журнала Linux Journal, PCLinuxOS уступал по популярности лишь Ubuntu (в рейтинге 2013 года PCLinuxOS уже занимал 10 место). Дистрибутив нацелен на использование в Live-режиме, но поддерживает и установку на жесткий диск. Для загрузки подготовлены полный (2 Гб) и сокращённый (1.1 Мб) варианты дистрибутива на базе десктоп-окружения KDE. Отдельно сообществом развиваются сборки на базе рабочих столов Xfce, MATE, LXQt, LXDE и Trinity. PCLinuxOS отличается … Читать далее Выпуск Linux-дистрибутива PCLinuxOS 2019.11

Опубликовано второй корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 67 обновлений с устранением проблем со стабильностью и 49 обновлений с устранением уязвимостей. Из изменений в Debian 10.1 можно отметить обновление до свежих стабильных версий пакетов flatpak, gnome-shell, mariadb-10.3, mutter, postfix, spf-engine, ublock-origin и vanguards. Из репозитория для платформы armel удалён пакет «firefox-esr» из-за наличия сборочных зависимостях неподдерживаемого nodejs. Для загрузки и установки «с нуля» в ближайшие часы будут подготовлены установочные сборки, а также live iso-hybrid c Debian 10.2. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие … Читать далее Выпуск Debian 10.2

Кит Паккард (Keith Packard), активный разработчик Debian, лидер проекта X.Org и создатель множества X-расширений, включая XRender, XComposite и XRandR, представил выпуск новой стандартной Си-библиотеки PicoLibc 1.1, развиваемой для применения на встраиваемых устройствах с ограниченным размером постоянного хранилища и оперативной памяти. При разработке часть кода заимствована из библиотеки newlib от проекта Сygwin и AVR Libc, развивавшейся для микроконтроллеров Atmel AVR. Код PicoLibc распространяется под лицензией BSD. Поддерживается сборка библиотеки для архитектур ARM (32-bit), i386, RISC-V, x86_64 и PowerPC. Кит Паккард приступил к разработке после того, как не смог найти достойного варианта Libc, который можно было использовать на встраиваемых устройствах с небольшим … Читать далее Доступна стандартная Си-библиотека PicoLibc 1.1