После двух лет разработки состоялся релиз Debian GNU/Linux 10.0 (Buster), доступный для десяти официально поддерживаемых архитектур: Intel IA-32/x86 (i686), AMD64 / x86-64, ARM EABI (armel), 64-bit ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) и IBM System z (s390x). Обновления для Debian 10 будут выпускаться в течение 5 лет. В репозитории представлено 57703 бинарных пакетов, что примерно на 6 тысяч больше, чем было предложено в Debian 9. По сравнению с Debian 9 добавлено 13370 новых бинарных пакетов, удалено 7278 (13%) устаревших или заброшенных пакетов, обновлено 35532 (62%) пакетов. Для 91.5% пакетов обеспечена поддержка повторяемых сборок, позволяющих подтвердить, … Читать далее Релиз Debian 10 «Buster»

Компания Mozilla не намерена включать по умолчанию поддержку DNS-over-HTTPS для пользователей из Великобритании из-за давления со стороны Ассоциации провайдеров Великобритании (UK ISPA) и организации Internet Watch Foundation (IWF). Несколько дней назад организация UK ISPA номинировала Mozilla на звание «Злодей Интернета» в связи с работой по внедрению DNS-over-HTTPS. Mozilla рассматривает DNS-over-HTTPS (DoH) как инструмент для обеспечения приватности и безопасности пользователей, который исключает утечки сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, позволяет бороться с MITM-атаками и подменой DNS-трафика, противостоит блокировкам на уровне DNS и позволят работать в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной … Читать далее В Великобритании Firefox не будет использовать DNS-over-HTTPS из-за претензий в обходе блокировок

На официальной странице компании Canonical на GitHub зафиксировано появление десяти пустых репозиториев с именами «CAN_GOT_HAXXD_N». В настоящее время данные репозитории уже удалены, но их следы осели в web-архиве. Никакой информации о компрометации учётной записи или вандализме со стороны сотрудников пока нет. Также пока не ясно затронул ли инцидент целостность существующих репозиториев. Источник: http://www.opennet.ru/opennews/art.shtml?num=51045 Читать далее Взлом репозиториев Canonical на GitHub

Сформирован релиз платформы Open Build Service 2.10, предназначенной для организации процесса разработки дистрибутивов и программных продуктов, включая подготовку и сопровождение релизов и обновлений. Система даёт возможность выполнить кросс-компиляцию пакетов для большинства основных дистрибутивов Linux или собрать собственный дистрибутив на основе заданной пакетной базы. Поддерживается сборка для 21 целевой платформы (дистрибутива), включая CentOS, Debian, Fedora, OpenMandriva, openSUSE, SUSE Enterprise Linux, Red Hat Enterprise Linux (RHEL) и Ubuntu. Сборка возможна для 6 архитектур, в том числе i386, x86_64 и ARM. OBS охватывает более 140 тысяч пакетов и используется в качестве первичной системы для сборки проектов openSUSE, Tizen, Sailfish/Mer, NextCloud и VideoLAN, а … Читать далее Выпуск системы сборки пакетов Open Build Service 2.10

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 4.12. С момента выпуска версии 4.11 было закрыто 27 отчётов об ошибках и внесено 336 изменений. Наиболее важные изменения: Добавлена поддержка драйверов для PnP-устройств (Plug & Play); Улучшена поддержка удалённой отладки под управлением Visual Studio; Реализация вызова EnumDisplayDevicesW(), применяемого для получения информации об используемых в текущем сеансе экранах, доведена до состояния, пригодного для запуска в многомониторных окружениях различных игр и приложений, включая редактор VS Code; Многие функции и структуры (mutex, семафоры, работа с токенами и реестром, ACL, хэши и т.п.) библиотек advapi32 и kernel32 переведены на использование реализаций из ntdll и … Читать далее Выпуск Wine 4.12

В каталоге Google Play выявлено жульническое приложение Updates for Samsung, которое успешно продаёт доступ к обновлениям Android для смартфонов Samsung, которые изначально распространяются компаний Samsung бесплатно. Несмотря на то, что приложение размещено никак не связанной с Samsung и никому не известной компанией Updato, оно уже набрало более 10 млн установок, что лишний раз подтверждает предположение, что огромный пласт пользователей готовы установить на свой смартфон всё что угодно, не задумываясь о возможных вредоносных последствиях и не проверяя то, что они устанавливают. Приложение «Updates for Samsung» включает браузерный компонент WebView, который транслирует содержимое сайта updato.com, на котором предлагаются ссылки на имеющиеся обновления … Читать далее 10 млн пользователей установили жульническое приложение для продажи обновлений прошивок Samsung

После двух лет разработки представлен стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB 2.04 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, RISC-V, оборудование на основе MIPS-совместимого процессора Loongson 2E, системы Itanium, ARM, ARM64 и ARCS (SGI), устройства, использующие свободный пакет CoreBoot. Основные новшества: Поддержка архитектуры RISC-V; Поддержка режима виртуализации Xen PVH (комбинация паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти); Встроенная поддержка UEFI Secure Boot; Включение … Читать далее Релиз менеджера загрузки GNU GRUB 2.04

Для web-браузера Chrome развивается новый режим блокирования рекламы, потребляющей слишком много системных и сетевых ресурсов. Предлагается автоматически выгружать iframe-блоки с рекламой, если выполняемый в них код потребляет более 0.1% имеющейся пропускной способности и 0.1% времени CPU (общего и в минутном разрезе). В абсолютных значениях лимит задан в 4 Мб трафика и 60 секунд процессорного времени. При превышении указанных ресуов планируется заменять iframe на страницу с текстом ошибки. В случае одобрения предложенный режим сможет дополнить штатный механизм блокировки неприемлимой рекламы, активация которого намечена на 9 июля. В соответствии с ранее озвученным планом на следующей неделе в Chrome начнёт действовать блокировка рекламных … Читать далее Для Chrome разрабатывают режим блокировки ресурсоёмкой рекламы

Компания Mozilla в рамках инициативы по созданию платных сервисов начала тестирование нового продукта для Firefox, позволяющего просматривать сайты без рекламы и продвигающего альтернативный способ финансирования создания контента. Стоимость использования сервиса составляет $4.99 в месяц. Основная идея заключается в том, что пользователям сервиса не показывается реклама на сайтах, а финансирование создания контента осуществляется благодаря платной подписке. Полученные средства распределяются между участвующими в инициативе сайтами партнёров, в зависимости от их востребованности пользователями. Дополнительно подписчикам также предоставляются аудиоверсии статей, синхронизируемые между устройствами закладки, система рекомендаций и приложение для поиска интересного контента. Например, пользователь может начать читать статью дома на ПК, после чего продолжить … Читать далее Mozilla тестирует платный прокси-серверс для просмотра сайтов без рекламы

Опубликован релиз языка системного программирования Rust 1.36, основанного проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Выпуск языка программирования Rust 1.36

Подготовлено обновление дистрибутива OpenWrt 18.06.4, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 34 целевых платформ. Выпуск OpenWrt 18.06.3 был пропущен в пользу 18.06.4 из-за мелкого обновления для ядра Linux 4.14, исправляющего проблемы с подключением TCP, которые были добавлены в первой итерации исправлений уязвимости Linux SACK. Основные изменения в OpenWrt 18.06.04: … Читать далее Выпуск OpenWrt 18.06.04

В рамках проекта Snuffleupagus развивается модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и распространяется под лицензией LGPL 3.0. Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля … Читать далее Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей

Компания Mozilla представила сервис Track THIS, позволяющий наглядно оценить методы работы рекламных сетей, отслеживающих предпочтения посетителей. Сервис позволяет через автоматизированное открытие около 100 вкладок симулировать четыре типовых профиля поведения в сети, после чего рекламные сети на несколько дней начинают предлагать контент, соответствующий выбранному профилю. Например, если выбрать профиль очень богатого человека, в рекламе начнут фигурировать дорогие отели, люксовые автомобили, премиальные бренды и эксклюзивные клубы. При выборе профиля поведения хипстера в выдаче будут преобладать новейшие тенденции, эксклюзивные предложения, удобная одежда и последние музыкальные новинки. Для профиля параноика будут показываться ссылки на различные теории заговоров, сведения о создании бункеров и информацию о … Читать далее Компания Mozilla запустила сайт, демонстрирующий методы отслеживания пользователей

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью. Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора. Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране … Читать далее В платформе электронной коммерции Magento устранено 75 уязвимостей

Компания Valve предложила в списке рассылки разработчиков Mesa новый компилятор шейдеров ACO для Vulkan-драйвера RADV, позиционируемый в качестве альтернативы компилятору шейдеров из AMDGPU, используемому в OpenGL- и Vulkan-драйверах RadeonSI и RADV для графических чипов AMD. После завершения тестирования и доработки функциональности, ACO планируется предложить для включения в основной состав Mesa. Предложенный Valve код нацелен на обеспечение генерации кода, насколько это возможно оптимального для шейдеров игровых приложений, а также на достижение очень высокой скорости компиляции. Имеющийся в Mesa компилятор шейдеров использует компоненты LLVM, которые не позволяют добиться желаемой скорости компиляции и не позволяют полностью контролировать управляющий поток, что в прошлом уже … Читать далее Компания Valve открыла новый компилятор шейдеров для GPU AMD

Компания Amazon представила первый выпуск продукта Open Distro for Elasticsearch, в рамках которого подготовлена полностью открытая редакция платформы поиска, анализа и хранения данных Elasticsearch. Опубликованная редакция пригодна для применения на предприятиях и включает расширенные возможности, доступные только в коммерческой версии оригинального Elasticsearch. Все компоненты проекта распространяются под лицензией Apache 2.0. Готовые сборки подготовлены в форматах DEB и RPM, а также в виде образов Docker и набора отдельных плагинов. Выпуск примечателен синхронизацией компонентов платформы с ветками Elasticsearch 7.0 и Kibana UI 7.0, и обеспечением полной совместимости с ними. В том числе доступны такие возможности, как подержка SQL, генерация уведомлений, механизмы диагностики … Читать далее Amazon опубликовал Open Distro for Elasticsearch 1.0.0

Аксель Ритчен (Axel Rietschin), инженер компании Microsoft, занимающийся разработкой ядра Windows, поставил под сомнение возможность разработки операционной системы ReactOS без заимствования кода из Windows. По его мнению разработчики ReactOS воспользовались кодом из ядра Windows Research, исходные тексты которого лицензировались для университетов. Утечки данного кода публиковались в различных местах, в том числе на GitHub. Ритчен уверен, что физически невозможно с чистого листа написать ядро ReactOS в том виде, как написано оно сейчас, пользуясь только имеющейся публичной документацией. В частности, имена внутренних структур и функций в ядре ReactOS совпадают с аналогичными именами в ядре Windows Research, в то время как эти имена … Читать далее Один из разработчиков Microsoft считает, что ReactOS не мог обойтись без заимствования кода Windows

В наборе библиотек SDL (Simple Direct Layer), предоставляющем средства для аппаратно ускоренного вывода 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES и множество иных сопутствующих операций, выявлено 6 уязвимостей. В том числе в библиотеке SDL2_image обнаружены две проблемы, позволяющие организовать удалённое выполнение кода в системе. Атака может быть совершена на приложения, использующие SDL для загрузки изображений. Обе уязвимости (CVE-2019-5051, СVE-2019-5051) присутствует в функции IMG_LoadPCX_RW и вызваны отсутствием необходимого обработчика ошибок и целочисленным переполнением, которые можно эксплуатировать через передачу специально оформленного файла в формате PCX. Проблемы уже устранены в выпуске SDL_image 2.0.5. Информация об остальных 4 уязвимостях … Читать далее Уязвимость в библиотеке SDL, приводящая к выполнению кода при обработке изображений

Во FreeBSD устранены три уязвимости, которые позволяют повысить свои привилегии в системе или получить доступ к данным ядра. Проблемы исправлены в обновлениях 11.2-RELEASE-p11 и 12.0-RELEASE-p7. CVE-2019-5602 — в драйвере «cd», применяемом для доступа к CD-ROM, выявлена уязвимость, которая позволяет через отправку определённых ioctls добиться перезаписи областей памяти ядра и организовать выполнение своего кода с правами ядра. Для доступа к проблемным ioctls пользователь должен входить в группу operator. Для успешного совершения атаки необходимо, чтобы в накопителе находился определённый диск. Для зашиты можно ограничить доступ к устройствам CD через удаление соответствующих правил в файлах devfs.conf и devfs.rules; CVE-2019-5600 — в реализации API … Читать далее Уязвимости во FreeBSD, затрагивающие UFS, iconv и драйвер cd

Разработчики дистрибутива Linux Mint сообщили о работе над новой моделью мини-компьютера MintBox 3, поставляемого под бредном проекта с предустановленным дистрибутивом Linux Mint. Устройство построено на базе платформы Airtop 3 компании Compulab. Устройство снабжено полностью бесшумной пассивной системой охлаждения, которая допускает эксплуатацию в диапазоне температур от -40°C до 70°C. Размер устройства 10 x 30 x 25.5 см. Планируется выпустить две редакции устройства, отличающиеся процессором, размером памяти и GPU: CPU Core i5 (6 ядер), 16 GB ОЗУ, SSD-накопитель 256 GB EVO 970, Wi-Fi, передняя панель FM-AT3 FACE (USB type C, 2x USB type A, micro-SD и mini-PCIe). Стоимость модели $1543. CPU Core … Читать далее Проект Linux Mint анонсировал мини-компьютер MintBox 3

Представлен релиз специализированной командной оболочки GNU Rush 2.0 (Restricted User Shell), рассчитанной на использование в системах с урезанным удалённым доступом, в которых требуется ограничение действий пользователя. Rush даёт возможность определить какие функции командной строки пользователь может использовать и какие ресурсы ему при этом предоставляются (размер памяти, процессорное время и т.п.). Например, Rush можно использовать для удалённого запуска программ в chroot-окружении, что помогает увеличить безопасность при предоставлении доступа через такие программы, как sftp-server или scp, которые по умолчанию имеют доступ ко всей файловой системе. Другой полезной возможностью Rush является поддержка отправки уведомления другому процессу о завершении пользовательского сеанса через сетевой или … Читать далее Выпуск командной оболочки GNU Rush 2.0