Фонд Свободного ПО объявил о сертификации беспроводной карты Libiquity Wi-Fri ND2H по программе «Respect Your Freedom«, которая подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Карта имеет форм-фактор PCI Express Half-Mini (Type H1), построена на чипсете Atheros AR9382, совместима со стандартами 802.11a/b/g/n и поддерживает работу на частотах 2.4GHz и 5GHz. Libiquity Wi-Fri может использоваться в полностью свободных дистрибутивах, так как не требует установки проприетарных прошивок и несвободных драйверов. Для получения сертификата от Фонда СПО продукт должен удовлетворять следующим требованиям: поставка свободных … Читать далее Фонд свободного ПО сертифицировал WiFi-адаптер Libiquity Wi-Fri

Компания Google представила написанную на языке Rust платформу OpenSK, позволяющую создавать прошивки для криптографических токенов, полностью соответствующих стандартам FIDO U2F и FIDO2. Подготовленные с использованием OpenSK токены могут применяться в качестве аутентификаторов для первичной и двухфакторной аутентификации, а также для подтверждения физического присутствия пользователя. Проект написан на языке Rust и распространяется под лицензией Apache 2.0. OpenSK даёт возможность создания собственного токена для двухфакторной аутентификации на сайтах, который в отличие от готовых решений, выпускаемых такими производителями, как Yubico, Feitian, Thetis и Kensington, построен на полностью открытой прошивке, доступной для расширения и аудита. OpenSK позиционируется как исследовательская платформа, которую производители токенов и … Читать далее Google представил открытый стек OpenSK для создания криптографических токенов

Сформирован выпуск прослойки DXVK 1.5.3, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Устранены существенные регрессивные изменения в реализации Direct3D 9, внесённые в прошлый выпуск; Исправлены некоторые ошибки проверки Vulkan в приложениях Direct3D 9; Повышена производительность Direct3D … Читать далее Выпуск проекта DXVK 1.5.3 с реализацией Direct3D 9/10/11 поверх API Vulkan

Состоялся релиз гипервизора Bareflank 2.0, предоставляющего инструментарий для быстрой разработки специализированных гипервизоров. Bareflank написан на языке C++, поддерживает C++ STL. Модульная архитектура Bareflank позволят легко расширять имеющиеся возможности гипервизора и создавать собственные варианты гипервизоров, как работающих поверх оборудования (как Xen), так и запускаемых в имеющемся программном окружении (как VirtualBox). Имеется возможность выполнения операционной системы хост-окружения в отдельной виртуальной машине. Код проекта распространяется под лицензией LGPL 2.1. В Bareflank реализована поддержка Linux, Windows и UEFI на 64-разрядных CPU Intel. Для аппаратного разделения ресурсов виртуальных машин применяется технология Intel VT-x. На будущее запланирована поддержка macOS и BSD-систем, а также возможность работы на … Читать далее Выпуск гипервизора Bareflank 2.0

Опубликован первый выпуск коммуникационного клиента Dino, поддерживающего участие в чатах и обмен сообщениями с использованием протокола Jabber/XMPP. Программа совместима с различными клиентами и серверами XMPP, ориентирована на обеспечение конфиденциальности переговоров и поддерживает сквозное шифрование с применением XMPP-расширения OMEMO на базе протокола Signal или шифрование при помощи OpenPGP. Код проекта написан на языке Vala с использованием тулкита GTK и распространяется под лицензией GPLv3+. В качестве причины создания нового клиента упоминается желание создать простое и интуитивно понятное свободное приложение для общения, напоминающее WhatsApp и Facebook Messenger, но в отличие от таких открытых мессенджеров, как Signal и Wire, не привязанное к централизованным сервисам … Читать далее Представлен новый коммуникационный клиент Dino

Разработчики XCP-ng, развивающие свободную и бесплатную замену проприетарной платформе управления облачной инфраструктурой XenServer (Citrix Hypervisor), объявили о присоединении к проекту Xen, разработка которого ведётся в составе организации Linux Foundation. Переход под крыло Xen Project позволит рассматривать XCP-ng как стандартный дистрибутив для развёртывания инфраструктуры виртуальных машин на базе гипервизора Xen и XAPI. Объединение с Xen Project позволит XCP-ng, как дистрибутиву для конечных потребителей, стать связующим звеном между пользователями и разработчиками, а также гарантировать для пользователей XCP-ng, что проект в будущем продолжит следовать изначально заложенным принципам (не превратится в ограниченный коммерческий продукт, как случилось с XenServer). Объединение заметно не отразится на используемых … Читать далее XCP-ng, свободный вариант Citrix XenServer, вошёл в состав проекта Xen

Во FreeBSD устранены три уязвимости, которые позволяют выполнить код при использовании libfetch, повторно отправить IPsec-пакеты или получить доступ к данным ядра. Проблемы исправлены в обновлениях 12.1-RELEASE-p2, 12.0-RELEASE-p13 и 11.3-RELEASE-p6. CVE-2020-7450 — переполнение буфера в библиотеке libfetch, используемой для загрузки файлов в команде fetch, пакетном менеджере pkg и других утилитах. Уязвимость может привести к выполнению кода при обработке специального оформленного URL. Атака может быть совершена при обращении к подконтрольному злоумышленнику сайту, который через HTTP-редирект способен инициировать обработку вредоносного URL; CVE-2019-15875 — уязвимость в механизме генерации core-дампов процессов. Из-за ошибки в core-дампы записывалось до 20 байт данных из стека ядра, в которых … Читать далее Во FreeBSD устранены три уязвимости

Линус Торвальдс принял в состав репозитория, в котором формируется будущая ветка ядра Linux 5.6, патчи с реализацией VPN-интерфейса от проекта WireGuard и начальной поддержкой расширения MPTCP (MultiPath TCP). Ранее необходимые для работы WireGuard криптографические примитивы были перенесены из библиотеки Zinc в состав штатного Crypto API и включены в состав ядра 5.5. С особенностями WireGuard можно познакомиться в прошлом анонсе включения кода WireGuard в ветку net-next. MPTCP представляет собой расширение протокола TCP, позволяющее организовать работу TCP-соединения с доставкой пакетов одновременно по нескольким маршрутам через разные сетевые интерфейсы, привязанные к разным IP-адресам. Для сетевых приложений подобное агрегированное соединение выглядит как обычное TCP-соединение, … Читать далее В ядро Linux 5.6 принят код с поддержкой VPN WireGuard и расширения MPTCP (MultiPath TCP)

Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются): CVE-2020-3716 — возможность выполнения кода атакующего при выполнении десериализации внешних данных; CVE-2020-3718 — обход механизмов защиты, приводящих к выполнению произвольного кода на стороне сервера; CVE-2020-3719 — возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД. Источник: http://www.opennet.ru/opennews/art.shtml?num=52274 Читать далее Критические уязвимости в платформе электронной коммерции Magento

Организация The Document Foundation представила релиз офисного пакета LibreOffice 6.4. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. При подготовке выпуска 75% изменений внесены сотрудниками курирующих проект компаний, таких как Collabora, Red Hat и CIB, а 25% изменений добавлены независимыми энтузиастами. Ключевые новшества: Для документов, показываемых на стартовой странице, обеспечено отображение пиктограмм с индикаторами приложений, позволяющих сразу оценить тип документа (презентация, электронная таблица, текстовый документ и т.п.); В интерфейс встроен генератор QR-кодов, позволяющий вставить в документ QR-код с указанной пользователем ссылкой или произвольным текстом, который затем можно быстро … Читать далее Выпуск офисного пакета LibreOffice 6.4

Разработчики проекта Heptapod, развивающего форк открытой платформы совместной разработки GitLab Community Edition, адаптированный для использования системы управления исходными текстами Mercurial, объявили о введении в строй публичного хостинга для Open Source проектов (foss.heptapod.net), использующих Mercurial. Код Heptapod, как и GitLab, распространяется под свободной лицензией MIT и может применяться для развёртывания аналогичных хостингов кода на своих серверах. Запущенный сервис допускает бесплатное размещение любых свободных и открытых проектов, применяющих лицензии, одобренные в OSI. При этом имеется одно условие — требуется размещение логотипов спонсоров Heptapod (Clever Cloud и Octobus) на официальной web-странице проекта (например, на странице с инструкцией для разработчиков). В связи с прекращением … Читать далее Анонсирован публичный хостинг Heptapod для открытых проектов, использующих Mercurial

Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и различном открытом ПО. Общая сумма выплаченных в 2016 году вознаграждений составила 6.5 млн долларов, из которых $2.1 млн выплачено за уязвимости в сервисах Google, $1.9 млн — в Android, $1 млн — в Chrome и $800 тысяч — в приложениях Google Play (остальные средства были выделены на пожертвования). Для сравнения в 2018 году в сумме было выплачено 3.4 млн долларов, а в 2015 — 2 млн долларов. За 9 лет суммарный размер выплат составил 21 млн долларов. Вознаграждения получили 461 исследователей. Самую большую выплату в … Читать далее В 2019 году Google выплатил 6.5 млн долларов вознаграждений за выявление уязвимостей

В развиваемом проектом OpenBSD почтовом сервере OpenSMTPD выявлена критическая уязвимость (CVE-2020-7247), позволяющая удалённо выполнить shell-команды на сервере с правами пользователя root. Уязвимость выявлена в ходе повторного аудита, проведённого компанией Qualys Security (прошлый аудит OpenSMTPD проводился в 2015 году, а новая уязвимость присутствует с мая 2018 года). Проблема устранена в выпуске OpenSMTPD 6.6.2. Всем пользователям рекомендуется срочно установить обновление (для OpenBSD исправление можно установить через syspatch). Предложено два варианта атаки. Первый вариант работает в конфигурации OpenSMTPD по умолчанию (приём запросов только с localhost) и позволяет эксплуатировать проблему локально, когда атакующий имеет возможность обратиться к локальному сетевому интерфейсу (loopback) на сервере (например, … Читать далее Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с правами root

Компания Google представила новый сервис Android Flash Tool (flash.android.com), позволяющий использовать браузер для установки прошивок на подключённые к компьютеру Android-смартфоны. Сборки формируются на основе свежих срезов master-ветки AOSP (Android Open Source Project), прошедшей проверку в системе непрерывной интеграции, и могут быть интересны разработчикам, желающим протестировать свежие изменения в коде Android или проверить работу своих приложений. Для работы Android Flash Tool требуется браузер с поддержкой API WebUSB, например, Chrome 79. Поддерживается установка прошивок на устройства Pixel и платы HiKey. Источник: http://www.opennet.ru/opennews/art.shtml?num=52266 Читать далее Google опубликовал браузерное приложение для установки Android-прошивок

Разработчики почтового клиента Thunderbird объявили о переводе разработки проекта в отдельную компанию MZLA Technologies Corporation, которая является дочерним предприятием Mozilla Foundation. До сих пор Thunderbird находился под покровительством организации Mozilla Foundation, которая курировала финансовые и юридические вопросы, но инфраструктура и разработка Thunderbird были отделены от Mozilla и проект развивался обособленно. Перевод в отдельное подразделение обусловлен желанием более явно отделить процессы, связанные с разработкой, и обработку поступающих пожертвований. Отмечается, что увеличившийся в последние годы объём пожертвований от пользователей Thunderbird теперь позволяет проекту самостоятельно успешно развиваться. Перенос в отдельную компанию увеличит гибкость процессов, например, даст возможность самостоятельно нанимать персонал, более оперативно действовать … Читать далее Разработка Thunderbird переведена в MZLA Technologies Corporation

Разработчики криптовалюты Bitcoin Gold (не путать с Bitcoin), занимающей 24 место в рейтинге криптовалют и имеющей размер капитализации 208 млн долларов, сообщили о выявлении двух атак по двойной трате средств (double spend attack). Для осуществления двойной траты средств атакующему потребовалось получить доступ к вычислительной мощности, составляющей как минимум 51% от всей имеющейся в сети Bitcoin Gold мощности расчёта хэшей. Атаки на Bitcoin Gold были совершены 23 и 24 января и привели к успешному вторичному начислению 1900 и 5267 BTG на бирже, что по сегодняшнему курсу составляет примерно 85430 долларов. Удалось ли атакующим извлечь данные средства из биржи неизвестно (предполагается, что … Читать далее Зафиксированы две атаки по двойной трате средств в криптовалюте Bitcoin Gold

Опубликована утилита TrafficToll 1.0.0, позиционируемая как Linux-аналог проприетарной программы NetLimiter для Windows. Программа упрощает установку ограничения пропускной способности в разрезе отдельных локальных приложений, а также уже запущенных процессов. Например, можно урезать пропускную способность для программы загрузки файлов и увеличить для видеочата. Настройки определяются в простом текстовом файле конфигурации. Код написан на языке Python и распространяется под лицензией GPLv3. Источник: http://www.opennet.ru/opennews/art.shtml?num=52262 Читать далее Представлена утилита TrafficToll 1.0.0 для выборочного ограничения трафика приложений

Состоялся выпуск открытого видеоплеера MPV 0.32, несколько лет назад ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного бэкпортирования новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения остающегося GPL-кода можно использовать опцию «—enable-lgpl». В новой версии: Добавлена поддержка воспроизведения из архивов RAR5; В модуле вывода cocoa-cb (macOS) добавлена поддержка отрисовки на отдельном GPU и использования жеста «щипок» для изменения размера окна; В модуле w32_common (Windows) в экранном интерфейсе … Читать далее Релиз видеоплеера MPV 0.32

Компания Intel раскрыла сведения о двух новых уязвимостях в CPU Intel, вызванных утечкой данных из кэша L1D (CVE-2020-0549, L1DES — L1D Eviction Sampling) и векторных регистров (CVE-2020-0548, VRS — Vector Register Sampling). Уязвимости относятся к классу MDS (Microarchitectural Data Sampling) и основываются на применении методов анализа по сторонним каналам к данным в микроархитектурных структурах. AMD, ARM и другие процессоры проблемам не подвержены. Наибольшую опасность представляет уязвимость L1DES, которая допускает утечку блоков прокэшированных данных (cache line), вытесняемых из кэша первого уровня (L1D), в неиспользованный буфер заполнения (L1D Fill Buffer). Для определения осевших в буфере заполнения данных применимы методы анализа по сторонним … Читать далее L1DES (CacheOut) и VRS — новые уязвимости в микроархитектурных структурах CPU Intel

Компания Qt Company объявила об изменении модели лицензирования фреймворка Qt, которое может оказать существенное влияние на сообщества и дистрибутивы, использующие Qt. Начиная с версии 5.15 LTS-ветки Qt будут доступны только пользователям коммерческой лицензии. Выпуски Qt под свободной лицензией будут поддерживаться в рамках стандартного годичного цикла поддержки (обновления для LTS-веток выпускаются три года). Предполагается, что подобный шаг позволит увеличить число компаний, пользующихся коммерческой лицензии на Qt, стоимость которой составляет $5508 в год на одного разработчика (для стартапов и малых предприятий — $499 в год). Разработчики дистрибутивов, имеющих длительные сроки поддержки (RHEL, Debian, Ubuntu, Linux Mint, SUSE) будут вынуждены либо поставлять устаревшие … Читать далее LTS-версии Qt будут доступны только под коммерческой лицензией

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.5. Среди наиболее заметных изменений: возможность назначения сетевым интерфейсам альтернативных имён, интеграция криптографических функций из библиотеки Zinc, возможность зеркалирования на более чем 2 диска в Btrfs RAID1, механизм отслеживания состояния Live-патчей, фреймворк unit-тестирования kunit, повышена производительность беспроводного стека mac80211, возможность доступа к корневому разделу через протокол SMB, реализована верификация типов для BPF. Основные новшества: Дисковая подсистема, ввод/вывод и файловые системы Для файловой системы Btrfs добавлена поддержка алгоритмов расчёта контрольных сумм xxhash64, blake2b и sha256. В реализация RAID1 обеспечена возможность зеркалирования данных на три (raid1c3) или четыре (raid1c4) устройства (ранее зеркалирование … Читать далее Релиз ядра Linux 5.5