На прошедшем в Китае состязании Tianfu Cup PWN Contest (аналог Pwn2Own для китайских исследователей безопасности) продемонстрировано два успешных взлома Chrome и один взлом qemu-kvm в окружении Ubuntu, позволивший выйти из изолированного окружения и выполнить код на стороне хост-системы. Взломы были выполнены с использованием ещё не исправленных 0-day уязвимостей. Кроме того, на соревновании были успешно эксплуатированы новые уязвимости в Edge, Safari, Office 365, Adobe PDF Reader, VMWare Workstation и беспроводном маршрутизаторе D-Link DIR-878. За два дня состязаний было предпринято 28 попыток демонстрации взломов c использованием 0-day уязвимостей, из которых 20 оказались успешными. Наиболее успешной оказалась группа 360Vulcan, которая за дни соревнования … Читать далее На соревновании Tianfu Cup продемонстрированы 0-day уязвимости в Chrome и qemu-kvm

После полутора лет разработки состоялся выпуск проекта F-Stack 1.13, развивающего работающий в пространстве пользователя высокопроизводительный сетевой стек, основанный на фреймворке DPDK и TCP/IP стеке FreeBSD (F-Stack не привязан к FreeBSD и в качестве первичной платформы для применения рассматривает Linux). Проект используется в различных продуктах и сервисах Tencent, крупнейшей в Китае телекоммуникационной компании. Код распространяется под лицензией BSD. Поддерживается работа в Linux и FreeBSD. F-Stack даёт возможность организовать сетевое взаимодействие в приложениях, применяя вместо сетевого стека операционной системы собственный сетевой стек, функционирующий в пространстве пользователя и напрямую работающий с сетевым оборудованием. Предоставляются специализированные редакции Nginx и Redis, переведённые на использование F-Stack. … Читать далее Выпуск сетевого стека F-Stack 1.13, выполняемого в пространстве пользователя

В состав системы инициализации sysvinit включена вспомогательная утилита sysd2v, позволяющая конвертировать unit-файлы сервисов systemd в формат классических скриптов инициализации SysV с заголовками LSB. Утилита будет поставляться начиная с выпуска sysvinit 2.97 в каталоге «contrib». Источник: http://www.opennet.ru/opennews/art.shtml?num=51883 Читать далее В sysvinit добавлена утилита для преобразования unit-файлов systemd

В графическом драйвере Intel i915 выявлены две уязвимости. Первая уязвимость (CVE-2019-0155) затрагивает системы c GPU Intel Gen9 (Skylake) и позволяет из пространства пользователя изменить записи в таблице страниц памяти через манипуляции с MMIO (Memory Mapped Input Output). Проблема позволяет атакующему получить доступ к информации, хранящейся в памяти ядра, и потенциально повысить свои привилегии в системе. Вторая проблема (CVE-2019-0154) проявляется на системах с GPU Intel Gen8 и Gen9 (Broadwell и Skylake), и может использоваться для инициировании отказа в обслуживании (зависание системы) через обращение к определённым регистрам GPU через MMIO, приводящее к переводу GPU в некорректное состояние. Проблемы устранены в обновлениях ядра … Читать далее Уязвимости в видеодрайвере Intel i915

Представлен релиз пользовательского дистрибутива PCLinuxOS 2019.11. Дистрибутив был основан в 2003 году на базе Mandrake Linux (будущей Mandriva), но позднее ответвился в самостоятельный проект. Пик популярности PCLinuxOS пришёлся на 2010 год, в котором, по результатам опроса читателей журнала Linux Journal, PCLinuxOS уступал по популярности лишь Ubuntu (в рейтинге 2013 года PCLinuxOS уже занимал 10 место). Дистрибутив нацелен на использование в Live-режиме, но поддерживает и установку на жесткий диск. Для загрузки подготовлены полный (2 Гб) и сокращённый (1.1 Мб) варианты дистрибутива на базе десктоп-окружения KDE. Отдельно сообществом развиваются сборки на базе рабочих столов Xfce, MATE, LXQt, LXDE и Trinity. PCLinuxOS отличается … Читать далее Выпуск Linux-дистрибутива PCLinuxOS 2019.11

Опубликовано второй корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 67 обновлений с устранением проблем со стабильностью и 49 обновлений с устранением уязвимостей. Из изменений в Debian 10.1 можно отметить обновление до свежих стабильных версий пакетов flatpak, gnome-shell, mariadb-10.3, mutter, postfix, spf-engine, ublock-origin и vanguards. Из репозитория для платформы armel удалён пакет «firefox-esr» из-за наличия сборочных зависимостях неподдерживаемого nodejs. Для загрузки и установки «с нуля» в ближайшие часы будут подготовлены установочные сборки, а также live iso-hybrid c Debian 10.2. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие … Читать далее Выпуск Debian 10.2

Кит Паккард (Keith Packard), активный разработчик Debian, лидер проекта X.Org и создатель множества X-расширений, включая XRender, XComposite и XRandR, представил выпуск новой стандартной Си-библиотеки PicoLibc 1.1, развиваемой для применения на встраиваемых устройствах с ограниченным размером постоянного хранилища и оперативной памяти. При разработке часть кода заимствована из библиотеки newlib от проекта Сygwin и AVR Libc, развивавшейся для микроконтроллеров Atmel AVR. Код PicoLibc распространяется под лицензией BSD. Поддерживается сборка библиотеки для архитектур ARM (32-bit), i386, RISC-V, x86_64 и PowerPC. Кит Паккард приступил к разработке после того, как не смог найти достойного варианта Libc, который можно было использовать на встраиваемых устройствах с небольшим … Читать далее Доступна стандартная Си-библиотека PicoLibc 1.1

Верховный суд США удовлетворил ходатайство компании Google о переводе рассмотрения тянущегося с 2010 года судебного разбирательсва «Oracle против Google» в высшую инстанцию. В прошлом году Федеральный апелляционный суд США удовлетворил апелляцию компании Oracle и пересмотрел вынесенное в пользу Google решение 2016 года, связанное с использованием Java API в платформе Android. В ответ на прошение Google Верховный суд США согласился изучить материалы дела и вернуться к рассмотрению вопроса о принадлежности программных интерфейсов (API) к интеллектуальной собственности. Напомним, что в 2012 году судья, имеющий опыт программирования, согласился с позицией Google и признал, что формирующее API дерево имён является частью структуры команд — … Читать далее Верховный суд согласился возобновить связанное с Java и Android разбирательство между Google и Oracle

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 4.20. С момента выпуска версии 4.19 был закрыт 37 отчётов об ошибках и внесено 341 изменение. Наиболее важные изменения: Задействован новый выпуск движка Mono 4.9.4 c обновлением поддержки FNA (проект по созданию альтернативной реализации Microsoft XNA Game Studio 4.0 для упрощения портирования Windows-игр); Обеспечено сохранение состояния кода в VBScript и JScript (script persistence); Реализация графического API Vulkan приведена в соответствие с новой спецификацией Vulkan 1.1.126; Улучшена поддержка LLVM MinGW; Закрыты отчёты об ошибках, связанные с работой игр и приложений LEGO Island, The Odyssey: Winds Of Athena, SimGolf v1.03, Password Safe, TSDoctor … Читать далее Новые версии Wine 4.20 и Wine Staging 4.20

Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется развитие порта платформы Android для архитектуры x86, опубликовали выпуск предварительной сборки на базе платформы Android 9, в которую включены исправления и дополнения, улучшающих работу на архитектуре x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 8.1 для архитектур x86 32-bit (719 Мб) и x86_64 (909 Мб), пригодные для использования на типовых ноутбуках и планшетных ПК. Дополнительно подготовлены rpm-пакеты для установки Android-окружения в дистрибутивах Linux. Из новшеств, специфичных для сборки Android-x86, отмечается: Поддержка как 64-разрядных, так и 32-разрядных сборок ядра Linux 4.19 и компонентов пространства пользователя; Применение Mesa 19.0.8 для поддержки OpenGL ES … Читать далее Доступна тестовая сборка Android 9 для платформы x86 от проекта Android-x86

Компания Oracle опубликовала релиз промышленного дистрибутива Oracle Linux 8.1, созданного на основе пакетной базы Red Hat Enterprise Linux 8.1. Для загрузки без ограничений, но после бесплатной регистрации, распространяется установочный iso-образ, размером 6.6 Гб, подготовленный для архитектуры x86_64 (дополнительно доступна экспериментальная сборка для ARM64). Для Oracle Linux открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Для загрузки также доступны отдельно поддерживаемые модули Application Stream. Сборка поставляется по умолчанию на основе штатного пакета с ядром из Red Hat Enterprise Linux (на базе ядра 4.18). Собственное ядро Unbreakable Enterprise Kernel для Oracle Linux … Читать далее Доступен дистрибутив Oracle Linux 8.1

Состоялся релиз Node-to-Node copy (NNCP), набора утилит для безопасной передачи файлов, электронной почты и команд для исполнения в режиме store-and-forward. Поддерживается работа на POSIX-совместимых операционных системах. Утилиты написаны на языке Go и распространяются под лицензией GPLv3. Утилиты ориентированы на помощь в построении небольших одноранговых friend-to-friend сетей (дюжины узлов) со статической маршрутизацией для безопасной передачи файлов в режиме fire-and-forget, запросов на файлы, электронной почты и запросов на выполнение команд. Все передаваемые пакеты зашифрованы (end-to-end) и явно аутентифицируются по известным публичным ключам знакомых. Луковое (как в Tor) шифрование применяется для всех промежуточных пакетов. Каждый узел может выступать как в роли клиента, так … Читать далее Релиз NNCP 5.0.0, утилит для передачи файлов/почты в режиме store-and-forward

GitHub выступил с инициативой GitHub Security Lab, нацеленной на организацию совместной работы экспертов по безопасности из различных компаний и организаций для выявления уязвимостей и содействию по их устранению в коде открытых проектов. Для подключения к инициативе приглашаются все заинтересованные компании и индивидуальные специалисты по компьютерной безопасности. За выявление уязвимости предусмотрена выплата вознаграждения размером до 3000 долларов, в зависимости от опасности проблемы и качества подготовки отчёта. Для отправки сведений о проблемах предлагается использовать инструментарий CodeQL, позволяющий сформировать шаблон уязвимого кода для выявления наличия подобной уязвимости в коде других проектов (CodeQL даёт возможность проводить сементический анализ кода и формировать запросы для поиска … Читать далее GitHub запустил совместный проект для выявления уязвимостей в открытом ПО

Опубликован выпуск web-браузера Firefox Lite 2.0, который позиционируется как легковесный вариант Firefox Focus, адаптированный для работы на системах с ограниченными ресурсами и на низкоскоростных каналах связи. Проект развивается командой разработчиков Mozilla из Тайваня и нацелен прежде всего на поставку в Индии, Индонезии, Тайланде, Филиппинах, Китае и развивающихся странах. Ключевым отличием Firefox Lite от Firefox Focus является использование встроенного в Android движка WebView вместо Gecko, что позволяет уменьшить размер APK-пакета с 38 до 4.9 МБ, а также даёт возможность использовать браузер на маломощных смартфонах на базе платформы Android Go. Как и в Firefox Focus в Firefox Lite встроен блокировщик нежелательного контента, … Читать далее Выпуск Firefox Lite 2.0, компактного браузера для Android

Сформирован выпуск сервера приложений NGINX Unit 1.13, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии обеспечена совместимость с новой веткой Python 3.8, решены проблемы при использовании Ruby 2.6 и реализована поддержка работы в режиме простого обратного прокси … Читать далее Выпуск сервера приложений NGINX Unit 1.13.0

Компания Mozilla опубликовала новый выпуск продукта WebThings Gateway 0.10, который в сочетании с библиотеками WebThings Framework образует платформу WebThings для обеспечения доступа к различным категориям потребительских устройств и использования универсального Web Things API для организации взаимодействия с ними. Код проекта написан на языке JavaScript с использованием серверной платформы Node.js и распространяется под лицензией MPL 2.0. Прошивки с шлюзом подготовлены для различных моделей Raspberry Pi. Также доступны пакеты для OpenWrt и Debian, а на базе OpenWrt развивается готовый дистрибутив с интегрированной поддержкой Things Gateway, предоставляющий унифицированный интерфейс для настройки умного дома и беспроводной точки доступа. В новом выпуске: Добавлена поддержка умных … Читать далее Доступен Mozilla WebThings Gateway 0.10, шлюз для умного дома и IoT-устройств

Группа исследователей из Вустерского политехнического института, Любекского университета и Калифорнийского университета в Сан-Диего разработала метод атаки по сторонним каналам, позволяющий восстановить значение закрытых ключей, хранимых в TPM (Trusted Platform Module). Атака получила кодовое имя TPM-Fail и затрагивает fTPM (программная реализация на базе прошивки, работающая на отдельном микропроцессоре внутри CPU) от компании Intel (CVE-2019-11090) и аппаратные TPM на чипах STMicroelectronics ST33 (CVE-2019-16863). Исследователи опубликовали прототип инструментария для совершения атаки и продемонстрировали возможность восстановления 256-разрядного закрытого ключа, применяемого для формирования цифровых подписей с использованием алгоритмов на базе эллиптических кривых ECDSA и EC-Schnorr. В зависимости от прав доступа общее время атаки на системы … Читать далее Уязвимость TPM-Fail, позволяющая восстановить ключи, хранимые в TPM-модулях

После четырёх с половиной лет разработки и тестирования представлен первый стабильный релиз web-браузера Brave, развиваемого под руководством Брендена Айка (Brendan Eich), создателя языка JavaScript и бывшего руководителя Mozilla. Браузер построен на базе движка Chromium и сосредоточен на оберегании приватности пользователей. Сборки подготовлены для Linux, Windows, macOS, Android и iOS. Код проекта доступен на GitHub, специфичные для Brave компоненты распространяются под свободной лицензией MPLv2. В Brave встроен и активирован по умолчанию движок для вырезания рекламы, кода для отслеживания перемещения между сайтами, кнопок социальных сетей, блоков с автовоспроизводимым видео и вставок для майнинга. Движок фильтрации написан на языке Rust и использует алгоритмы, … Читать далее Выпуск браузера Brave 1.0, развиваемого при участии создателя JavaScript

Компания Mirantis, предлагающая облачные решения на базе OpenStack и Kubernetes, выкупила у Docker Inc часть бизнеса, связанного с платформой Docker Enterprise (коммерческий вариант инструментария и движка Docker для предприятий, включающий также Docker Enterprise Container Engine, Docker Trusted Registry и Docker Universal Control Plane). После разделения бизнеса Docker Inc продолжит существование в форме независимой компании и сосредоточит свою деятельность вокруг каталога Docker Hub и интегрированной среды разработки микросервисов и запускаемых в контейнерах приложений Docker Desktop. Финансовые условия сделки не разглашаются. Развивавшая платформу Docker Enterprise команда разработчиков, менеджеров и специалистов поддержки перейдёт в Mirantis. Mirantis также получит контракты с 750 клиентами. Развитие … Читать далее Docker продал компании Mirantis часть бизнеса, связанного с платформой Docker Enterprise

Прошли очередные полгода и проект Repology, в рамках которого собирается и сравнивается информация о версиях пакетов из множества репозиториев, публикует очередной отчёт. Целью проекта является улучшение взаимодействия мантейнеров пакетов из различных дистрибутивов как между собой, так и с авторами ПО — в частности, проект помогает быстрее обнаруживать выпуски новых версий ПО, следить за актуальностью пакетов, унифицировать схемы именования и версионирования, поддерживать метаинформацию в актуальном состоянии, делиться патчами и решениями проблем и улучшать переносимость ПО. Число поддерживаемых репозиториев превысило 250. Добавлена поддержка Cygwin, distri, Homebrew Casks, just-install, KISS Linux, Kwort, LuaRocks, Npackd, OS4Depot, RPM Sphere. Удалён прекративший развитие репозиторий Antergos. Поддержка … Читать далее Итоги полугода работы проекта Repology, анализирующего информацию о версиях пакетов

Компания Red Hat объявила о формировании нового открытого проекта Quay, который продолжит развитие ранее разрабатываемого за закрытыми дверями одноимённого реестра образов контейнеров, лежащего в основе сервисов Red Hat Quay и Quay.io. Проект попал в руки Red Hat после покупки компании CoreOS и открыт в рамках инициативы по переводу в разряд СПО проприетарных продуктов поглощаемых компаний. Код написан на языке Python и открыт под лицензией Apache 2.0. Проект предоставляет инструментарий для сборки, хранения и распространения образов контейнеров и приложений, а также web-интерфейс для управления реестром. При помощи Quay можно в подконтрольной инфраструктуре развернуть собственный реестр образов контейнеров или приложений, для запуска … Читать далее Red Hat открыл код Quay, реестра для сборки и распространения образов контейнеров