Проект CentOS представил выпуск минималистичной операционной системы CentOS Atomic Host 7.1910, которая поставляется в форме монолитного целиком обновляемого образа и предоставляет базовое окружение, которое содержит только минимальный набор компонентов (systemd, journald, docker, rpm-OSTree, geard и т.п.), необходимых для запуска и управления изолированными контейнерами Docker. Все пакеты, обеспечивающие работу конечных приложений, поставляются непосредственно в составе контейнеров, а хост-система не содержит ничего лишнего. CentOS Atomic Host является пересборкой продукта Red Hat Enterprise Linux Atomic Host RHEL 7.7, в свою очередь базирующегося на наработках свободного проекта Atomic. Об особенностях проекта можно прочитать в тексте прошлого анонса. Сборки CentOS Atomic Host доступны в форме … Читать далее Выпуск CentOS Atomic Host 7.1910, специализированной ОС для запуска контейнеров Docker

Компания Cloudflare сообщила об открытии исходных текстов проекта Flan Scan, обеспечивающего сканирования хостов в сети на предмет наличия неисправленных уязвимостей. Flan Scan является надстройкой над сканером сетевой безопасности Nmap, превращающей последний в полнофункциональный инструмент для выявления уязвимых хостов в крупных сетях. Код проекта написан на языке Python и распространяется под лицензией BSD. Flan Scan позволяет легко найти открытые сетевые порты в исследуемой сети, определить связанные с ними сервисы и версии используемых программ, а также сформировать список уязвимостей, затрагивающих выявленные сервисы. После завершения работы формируется отчёт, обобщающий выявленные проблемы и приводящий связанные с обнаруженными уязвимостями CVE-идентификаторы, отсортированные по степени опасности. Для … Читать далее Cloudflare представил открытый сканер сетевой безопасности Flan Scan

Кес Кук (Kees Cook), бывший главный сисадмин kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS, подготовил экспериментальный репозиторий с патчами, позволяющими собрать ядро для архитектуры x86_64 с использованием компилятора Clang и активацией механизма защиты CFI (Control Flow Integrity). CFI обеспечивает выявление некоторых форм неопределённого поведения, которые потенциально могут привести к нарушению нормального потока управления (control flow) в результате выполнения эксплоитов. Напомним, что в LLVM 9 были включены изменения, необходимые для сборки ядра Linux с использованием Clang для систем с архитектурой x86_64. Проекты Android и ChromeOS уже применяют Clang для сборки ядра … Читать далее Экспериментальная поддержка пересборки ядра Linux в Clang с механизмом защиты CFI

Подготовлен легковесный вариант Linux-дистрибутива Zorin OS 15, построенный с использованием рабочего стола Xfce 4.14 и пакетной базы Ubuntu 18.04.2. Целевой аудиторией дистрибутива являются пользователи устаревших систем, на которых используется ОС Windows 7, поддержка которой истекает в январе 2020 года. Оформление рабочего стола стилизовано под Windows, а в состав включена подборка программ, близких к программам к которым привыкли пользователи Windows. Размер загрузочного iso-образа составляет 2.4 Гб (поддерживается работа в Live-режиме). Особенности Zorin OS 15 Lite: Предложена нова тема оформления рабочего стола, сфокусированная на снижении визуальной нагрузки и концентрирующая внимание на контенте. Тема доступна в шести цветовых представлениях, а также в тёмном … Читать далее Выпуск дистрибутива Zorin OS 15 Lite

Компания Oracle опубликовала выпуск универсальной виртуальной машины GraalVM 19.3.0, поддерживающей запуск приложений на JavaScript (Node.js), Python, Ruby, R, любых языках для JVM (Java, Scala, Clojure, Kotlin) и языках, для которых может формироваться биткод LLVM (C, C++, Rust). Ветка 19.3 отнесена к категории выпусков с длительным сроком поддержки (LTS) и примечательна поддержкой JDK 11, в том числе с возможностью компиляции Java-кода в исполняемые файлы (GraalVM Native Image). Код проекта распространяется под лицензией GPLv2. Одновременно выпущены новые версии использующих GraalVM реализаций языков Python, JavaScript, Ruby и R — GraalPython, GraalJS, TruffleRuby и FastR. GraalVM предоставляет JIT-компилятор, который может на лету выполнять в … Читать далее Релиз 19.3.0 виртуальной машины GraalVM и реализаций Python, JavaScript, Ruby и R на её основе

На прошедшей конференции Linux Plumbers 2019 компания Google рассказала о развитии инициативы по переносу в основное ядро Linux изменений, развиваемых в варианте ядра для платформы Android. Конечной целью является предоставление возможности использования в Android одного общего ядра, вместо подготовки для каждого устройства отдельных сборок на основе специфичной для Android ветки Android Common Kernel. Данная цель уже частично достигнута и на конференции был продемонстрирован Android-смартфон Xiaomi Poco F1 с прошивкой на базе обычного немодифицированного ядра Linux. После готовности проекта поставщикам будет предложено поставлять базовое ядро на основе основного ядра Linux. Компоненты для поддержки оборудования будут поставляться поставщиками только в виде дополнительных … Читать далее Google работает над использованием обычного ядра Linux в Android

Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов. За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с … Читать далее Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей

Опубликовано обновление операционной системы Solaris 11.4 SRU 15/a> (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: До версии 19.4 обновлён Oracle Explorer, инструментарий для построения детального профиля конфигурации и состояния системы; Добавлены новые модули для Python 3.7: pybonjour и pygobject3; В состав включён пакет cbindgen 0.8.7 (генератор Си-биндингов на основе кода на языке Rust); В RAD, интерфейс для автоматической установки, добавлена поддержка Python 3.7; Авторизация при помощи zlogin ограничена доступом только с консоли; Обновлены версии программ: net-snmp 5.8, ruby … Читать далее Обновление Oracle Solaris 11.4 SRU15

В DNS-сервере Unbound выявлена уязвимость (CVE-2019-18934), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем ipsec («—enable-ipsecmod») и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске Unbound 1.9.5. Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды ipsecmod-hook, в случае получения запроса для домена, для которого присутствуют записи A/AAAA и IPSECKEY. Подстановка кода осуществляется через указание специально оформленного доменного имени в полях qname и gateway, привязанных к записи IPSECKEY. Источник: http://www.opennet.ru/opennews/art.shtml?num=51900 Читать далее Уязвимость в DNS-сервере Unbound, допускающее удалённое выполнение кода

Сформирован выпуск основной ветки nginx 1.17.6, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Добавлены новые переменные $proxy_protocol_server_addr и $proxy_protocol_server_port, включающие сведения об адресе и номере порта из заголовка протокола PROXY; Добавлена директива limit_conn_dry_run, переводящая модуль ngx_http_limit_conn_module в режим пробного запуска, при котором число соединений не ограничивается, но учитывается. Добавлены переменные $limit_req_status и $limit_conn_status, в которых сохраняется результат ограничения интенсивности запросов или числа соединений. Переменная может принимать значения PASSED, DELAYED, REJECTED, DELAYED_DRY_RUN и REJECTED_DRY_RUN. Дополнительно можно отметить выпуск njs 0.3.7, интерпретатора языка JavaScript … Читать далее Выпуск nginx 1.17.6 и njs 0.3.7

Разработчики криптовалюты Monero, которая позиционируется как обеспечивающая полную анонимность и защиту от отслеживания платежей, предупредили пользователей о компрометации официального сайта проекта (GetMonero.com). В результате взлома 18 ноября с 5:30 до 21:30 (MSK) в разделе загрузки распространялись подменённые злоумышленниками исполняемые файлы консольной редакции кошелька Мonero для Linux, macOS и Windows. В исполняемые файлы был интегрирован вредоносный код для кражи средств с кошельков. При открытии кошелька вредоносный код осуществлял отправку на внешний сервер node.hashmonero.com криптографических ключей, позволяющих контролировать средства в кошельке. Через какое-то время после передачи сведений, атакующие переводили себе средства, имеющиеся на кошельке жертвы. В настоящее время приложения пересбораны из отдельной … Читать далее Взлом сайта криптовалюты Мonero с подменой предлагаемого для загрузки кошелька

Опубликован релиз проекта CoreBoot 4.11, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие 130 разработчиков, которые подготовили 1630 изменений. Основные новшества: Добавлена поддержка 25 материнских плат: AMD PADMELON; ASUS P5QL-EM; QEMU-AARCH64 (эмуляция); Google AKEMI, ARCADA CML, DAMU, DOOD, DRALLION, DRATINI, JACUZZI, JUNIPER, KAKADU, KAPPA, PUFF, SARIEN CML, TREEYA и TROGDOR; Lenovo R60, T410, THINKPAD T440P и X301; RAZER BLADE-STEALTH KBL; SIEMENS MC-APL6; SUPERMICRO X11SSH-TF и X11SSM-F. Продолжена чистка кодовой базы. Убрано подключение лишних заголовочных файлов. Унифицирован код, связанный с поддержкой чипсетов Intel, типовые функции вынесены в общие драйверы; Проведена большая работа по … Читать далее Выпуск Coreboot 4.11

Организация Open Invention Network (OIN), занимающаяся защитой экосистемы Linux от патентных претензий объявила о формировании совместно с IBM, Linux Foundation и Microsoft группы для защиты открытого ПО от нападок патентных троллей, не обладающих активами и живущими только за счёт исков с использованием сомнительных патентов. Созданная группа окажет поддержку организации Unified Patents в области поиска фактов более раннего использования или признаниях недействительными патентов, фигурирующих в разбирательствах, затрагивающих Linux и открытое ПО. По данным организации Unified Patents в 2018 году патентными троллями было инициировано 49 разбирательств, ответчики в которых имеют отношение к разработке открытого ПО. Всего с 2012 года зафиксировано 260 подобных … Читать далее OIN скооперировался с IBM, Linux Foundation и Microsoft для защиты открытого ПО от патентых троллей

Facebook опубликовал результаты экспериментов с новым алгоритмом контроля перегрузки (congestion control) — COPA, оптимизированным для передачи видеоконтента. Алгоритм предложен исследователями из Массачусетского технологического института. Предложенный для тестирования прототип COPA написан на С++, открыт под лицензий MIT и включён в состав mvfst, развиваемой в Facebook реализации протокола QUIC. Алгоритм COPA ориентирован на решение проблем, возникающих при передаче видео по сети. В зависимости от типа видео к алгоритмам контроля перегрузки предъявляются практически противоположные требования — для интерактивного видео требуется обеспечить минимальные задержки, даже в ущерб качества, а при трансляции заранее подготовленного высококачественного видео приоритет отдаётся сохранению качества. Ранее разработчики приложений были ограничены … Читать далее Facebook протестировал новый алгоритм контроля перегрузки COPA в сравнении с BBR и CUBIC

Анонсирован релиз звуковой подсистемы ALSA 1.2.1. Это первый выпуск ветки 1.2.x (ветка 1.1 была сформирована в 2015 году). Новая версия затрагивает обновление библиотек, утилит и плагинов, работающих на уровне пользователя. Драйверы развиваются синхронно с ядром Linux. Из значительных изменений отмечается вынос в отдельную библиотеку libatopology функций, связанных с топологией (метод загрузки драйверами обработчиков из пространства пользователя). Файлы конфигурации для топологий перемещены в пакет alsa-topology-conf. Расширен синтаксис UCM (Use Case Manager). Связанные с UCM конфигурационные файлы перемещены в пакет alsa-ucm-conf, распространяемый под лицензией BSD. Источник: http://www.opennet.ru/opennews/art.shtml?num=51885 Читать далее Релиз звуковой подсистемы Linux — ALSA 1.2.1

Представлен выпуск системы управления проектами Calligra Plan 3.2 (ранее KPlato), входящей в состав офисного пакета Calligra, развиваемого разработчиками KDE. Calligra Plan позволяет координировать выполнение задач, определять зависимости между проводимыми работами, планировать время выполнения, отслеживать состояние разных этапов разработки и управлять распределением ресурсов при разработке крупных проектов. Из новшеств отмечается: Возможность перемещения в режиме drag&drop и копирования через буфер обмена задач, а также текстовых и HTML-данных из большинства таблиц и диаграмм; Поддержка шаблонов проектов, которые могут формироваться на основе существующих проектов для создания типовых альтернатив; Настройки проекта вынесены в отдельное меню. В меню View добавлены опции для управления отображением информации; Улучшен … Читать далее Выпуск системы управления проектами Calligra Plan 3.2

Опубликован корректирующий выпуск Chrome 78.0.3904.108, в котором устранены 0-day уязвимости, использованные для организации двух успешных взломов, продемонстрированных на соревновании Tianfu Cup. Проблемы (CVE-2019-13723, CVE-2019-13724) присутствовали в коде для взаимодействия с устройствами Bluetooth, и позволяли обратиться к уже освобождённой области памяти (use-after-free) или к данным за границей выделенного буфера. В новой версии в контекстное меню также была возвращена функция закрытия всех вкладок, кроме текущей («Close other Tabs»). Напомним, что проанализировав полученную в результате сбора телеметрии статистику о методах работы пользователей, разработчики пришли к выводу, что функцию «Close other Tabs» можно удалить, так как она востребована лишь 2% пользователей. После того как … Читать далее Обновление Chrome 78.0.3904.108 с устранением уязвимостей

В Firefox для OpenBSD реализована поддержка изоляции файловой системы при помощи системного вызова unveil(). Необходимые патчи уже приняты в апстрим firefox и войдут в состав Firefox 72. Firefox в OpenBSD был и ранее защищён, используя pledge для ограничения доступа каждого типа процессов (main, content и GPU) к системным вызовам, теперь для них также будет ограничен доступ к файловой системе при помощи unveil(). По умолчанию, доступ ограничен директориями ~/Downloads и /tmp; и при загрузке файлов из сети, и при просмотре файлов с диска. Настройки pledge() и unveil() хранятся в файлах в /usr/local/lib/firefox/browser/defaults/preferences/, содержимое которых может переопределяться в файлах из /etc/firefox/. Преимущество … Читать далее В Firefox для OpenBSD реализована поддержка unveil

Опубликован 54-й выпуск рейтинга 500 самых высокопроизводительных компьютеров мира. В новом выпуске десятка лидеров не изменилась. На первом месте в рейтинге кластер Summit развёрнут компанией IBM в Национальной лаборатории Оук-Ридж (США). Кластер работает под управлением Red Hat Enterprise Linux, включает 2.4 млн процессорных ядер (используются 22-ядерные CPU IBM Power9 22C 3.07GHz и ускорители NVIDIA Tesla V100), которые обеспечивают производительность 148 петафлопс. Второе место занимает американский кластер Sierra, установленный в Ливерморской национальной лаборатории компанией IBM на базе аналогичной с Summit платформы и демонстрирующий производительность на уровне 94 петафлопс (около 1.5 млн ядер). На третьем месте китайский кластер Sunway TaihuLight, работающий в … Читать далее Опубликована 54 редакция списка самых высокопроизводительных суперкомпьютеров

Представлен новый выпуск QuiteRSS 0.19, программы для чтения новостных лент в форматах RSS и Atom. QuiteRSS обладает такими возможностями, как встроенный браузер на движке WebKit, гибкая система фильтров, поддержка меток и категорий, несколькими режимами просмотра, блокировщик рекламы, менеджер загрузки файлов, импорт и экспорт в формате OPML. Код проекта поставляется под лицензией GPLv3. Релиз приурочен к восьмилетию проекта. Прошлая ветка 0.18 была выпущена в 2015 году. В новой версии осуществлён переход на Qt 5.13, WebKit 602.1, SQLite 3.30.1, OpenSSL 1.1.1d. Добавлен календарь, чтобы избегать загрузки старых новостей. Прекращена поддержка публикации в Google+. Источник: http://www.opennet.ru/opennews/art.shtml?num=51887 Читать далее Выпуск программы для чтения RSS — QuiteRSS 0.19

На прошедшем в Китае состязании Tianfu Cup PWN Contest (аналог Pwn2Own для китайских исследователей безопасности) продемонстрировано два успешных взлома Chrome и один взлом qemu-kvm в окружении Ubuntu, позволивший выйти из изолированного окружения и выполнить код на стороне хост-системы. Взломы были выполнены с использованием ещё не исправленных 0-day уязвимостей. Кроме того, на соревновании были успешно эксплуатированы новые уязвимости в Edge, Safari, Office 365, Adobe PDF Reader, VMWare Workstation и беспроводном маршрутизаторе D-Link DIR-878. За два дня состязаний было предпринято 28 попыток демонстрации взломов c использованием 0-day уязвимостей, из которых 20 оказались успешными. Наиболее успешной оказалась группа 360Vulcan, которая за дни соревнования … Читать далее На соревновании Tianfu Cup продемонстрированы 0-day уязвимости в Chrome и qemu-kvm