Исследователи безопасности из компании Cybereason предупредили администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют. В соответствии с июньским автоматизированным опросом доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail — 4.05% (4.59%), Microsoft Exchange — 0.57% (0.85%). По данным сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн … Читать далее Массовая атака на уязвимые почтовые серверы на основе Exim

Разработчики браузера Chrome попытались обосновать прекращение поддержки блокирующего режима работы API webRequest, позволяющего менять принимаемый контент на лету и активно применяемого в дополнениях для блокирования рекламы, защиты от вредоносного ПО, фишинга, шпионящей за пользователями активности, родительского контроля и обеспечения приватности. Мотивы Google: Блокирующий режим работы API webRequest приводит к большому потреблению ресурсов. При использовании данного API браузер вначале отправляет дополнению все содержащиеся в сетевом запросе данные, дополнение анализирует их и возвращает для дальнейшей обработки в браузере изменённый вариант или выдаёт инструкции по блокировке. При этом основные задержки возникают не на стадии обработки трафика дополнением, а из-за накладных расходов на координацию … Читать далее Google обосновал ограничение API webRequest, используемого блокировщиками рекламы

Издание Коммерсантъ сообщило о планах компании Mobile Inform Group в сентябре выпустить в продажу смартфоны и планшеты, оснащённые операционной системой Astra Linux и относящиеся к классу промышленных устройств, предназначенных для работы в суровых условиях. Никаких подробностей о программной начинке пока не сообщается, кроме её сертификации в Минобороны, ФСТЭК и ФСБ для обработки информации до степени секретности «особой важности». Astra Linux для настольных систем является сборкой дистрибутива Debian. Непонятно, будет ли версия для смартфонов основана на окружении Debian с адаптированной для небольших сенсорных экранов оболочкой Fly или под брендом Astra Linux будет преложена пересборка платформ Android, Tizen или webOS. Оболочка Fly … Читать далее Готовится версия Astra Linux для смартфонов

Компания Microsoft объявила о формировании новых экспериментальных сборок Windows Insider (build 18917), в состав которых включена ранее анонсированная прослойка WSL2 (Windows Subsystem for Linux), обеспечивающая запуск исполняемых файлов Linux в Windows. Вторая редакция WSL отличается поставкой полноценного ядра Linux, вместо эмулятора на лету транслирующего системные вызовы Linux в системные вызовы Windows. Использование штатного ядра позволяет добиться полной совместимости c Linux на уровне системных вызовов и обеспечить возможность бесшовного запуска в Windows контейнеров Docker, а также реализовать поддержку файловых систем на базе механизма FUSE. По сравнению с WSL1 в WSL2 существенно увеличена производительность ввода/вывода и операций с файловой системой. Например, при … Читать далее Опубликованы сборки Windows Insider с подсистемой WSL2 (Windows Subsystem for Linux)

Европейский Центр ядерных исследований (CERN) представил проект MAlt (Microsoft Alternatives), в рамках которого ведётся работа по уходу от применения продуктов Microsoft в пользу альтернативных решений на основе открытого ПО. Из ближайших планов отмечена замена «Skype for Business» на решение на базе открытого стека VoIP и запуск локального почтового сервиса для ухода от использования Outlook. Окончательный выбор открытых альтернатив пока не завершён, миграцию планируется завершить в течение следующих нескольких лет. Среди основных требований к новому ПО называется отсутствие привязки к вендору, полный контроль за своими данными и применение типовых решений. Подробности о проекте планируется огласить 10 сентября. Решение по переходу на … Читать далее CERN отказывается от продуктов Microsoft в пользу открытого ПО

Представлен выпуск графического редактора GIMP 2.10.12, в котором продолжено оттачивание функциональности и повышение стабильности ветки 2.10. Кроме исправления ошибок в GIMP 2.10.12 представлены следующие улучшения: Значительно улучшен инструмент цветокоррекции при помощи кривых (Цвет / Кривые), а также другие компоненты, в которых для задания параметров используется корректировка кривых (например, при задании динамики раскрашивания и настройке устройств ввода). При перемещении существующей опорной точки, она теперь не перескакивает сразу в позицию курсора в момент нажатия кнопки, а смещается относительно текущей позиции при перемещении курсора при удерживании нажатой кнопки мыши. Данное поведение позволяет быстро выбирать точки кликом без их смещения и затем уже корректировать … Читать далее Выпуск графического редактора GIMP 2.10.12

После перехода CentOS под крыло компании Red Hat анонсировалась всяческая помощь проекту, но текущий статус работы над CentOS 8 отстаёт от плана. Несмотря на то, что заявленные обновления статуса, сделаны только страница загрузки и сборочный сервер, на котором, судя по статистке koji, что-то собирается раз в неделю. До сих пор не закончен нулевой сборочный цикл — хотя по плану он должен был завершиться еще в мае. На нулевом цикле формируется набор пакетов, минимально необходимый для дальнейшей сборки других пакетов. Затем этот набор постепенно расширяется в рамках последующих сборочных циклов. Сборки ядра пока выполняются без исправлений уязвимостей MDS (Microarchitectural Data Sampling), … Читать далее Подготовка CentOS 8 отстаёт от графика

В текстовых редакторах Vim и Neovim найдена уязвимость (CVE-2019-12735), позволяющая выполнить произвольный код при открытии специально оформленного файла. Проблема проявляется при активности включенного по умолчанию режима modeline («:set modeline»), который позволяет определить в обрабатываемом файле опции редактирования. Уязвимость устранена в выпусках Vim 8.1.1365 и Neovim 0.3.6. Через modeline допускается установка только ограниченного числа опций. Если в качестве значения опции указывается выражение, то оно выполняется в режиме sandbox, допускающем применение только простейших безопасных операций. При этом в число допустимых входит команда «:source», в которой можно использовать модификатор «!» для запуска произвольных команд из указанного файла. Таким образом для выполнения кода достаточно … Читать далее Уязвимость в Vim, приводящая к выполнению кода при открытии вредоносного файла

В движке для создания web-форумов MyBB выявлено несколько уязвимостей, позволяющих организовать многоступенчатую атаку для выполнения произвольного PHP-кода на сервере. Проблемы устранены в выпуске MyBB 1.8.21. Первая уязвимость присутствует в модулях публикации и отправки приватных сообщений, и позволяет осуществить подстановку JavaScript-кода (XSS), который будет выполнен в браузере при просмотре публикации или полученного сообщения. Подстановка JavaScript возможна из-за некорректного преобразования в HTML вложенных BBCode. В частности, тег » и она при обработке BBCode «» будет преобразована в тег ‹iframe src=»youtube.com/xyz[url]http://onload=evilCode()[/url]»›‹/iframe› , а после обработки остальных BBCode в ‹iframe src=»youtube.com/xyz‹a href=»http://onload=evilCode()»›..»›‹/iframe› Соответственно двойная кавычка в ‘href=»‘ закрывает атрибут «src» и onLoad обрабатывается в … Читать далее Уязвимости в MyBB, позволяющие захватить контроль над форумом

Представлен первый стабильный релиз протокола для организации децентрализованных коммуникаций Matrix 1.0 и связанных с ним библиотек, API (Server-Server) и спецификаций. Сообщается, что не все задуманные возможности Matrix описаны и реализованы, но основной протокол полностью стабилизирован и достиг состояния, пригодного для использования в качестве основы для разработки независимых реализаций клиентов, серверов, ботов и шлюзов. Наработки проекта распространяются под лицензией Apache 2.0. Одновременно, опубликован сервер для обмена сообщениями Synapse 1.0.0 с эталонной реализацией протокола Matrix 1.0. Отмечается, что основное внимание при подготовке Synapse 1.0 было уделено корректности реализации протокола, безопасности и надёжности. Synapse теперь вышел из стадии бета-тестирования и готов для повсеместного … Читать далее Выпуск децентрализованной коммуникационной платформы Matrix 1.0

Компания Mozilla представила новое оформление логотипа Firefox и связанных с ним элементов брендинга, а также логотипы для сопутствующих проектов. Основной целью ребрендинга является создание общего узнаваемого бренда для всего семейства продуктов Firefox. В рамках проделанной работы также подготовлено базовое цветовое оформление бренда и отдельные логотипы для разных сервисов. Общий логотип не содержит изображения лисы, но абстрактно напоминает свёрнутый хвост и сохраняет узнаваемость бренда. На логотипе браузера Firefox лиса сохранена и по сравнению со старым логотипом в изображение внесены минимальные косметические изменения. Логотипы Firefox Sand, Firefox Lockwise и Firefox Monitor не включают отсылок к лисе, но привязаны к общему бренду на … Читать далее Представлены новые логотипы Firefox и связанных с ним сервисов

После года разработки подготовлен релиз независимого легковесного Linux-дистрибутива CRUX 3.5, развиваемого с 2001 года в соответствии с концепцией KISS (Keep It Simple, Stupid) и ориентированного на опытных пользователей. Целью проекта является создание простого и прозрачного для пользователей дистрибутива, основанного на BSD-подобных скриптах инициализации, имеющего максимально упрощённую структуру и содержащего относительно небольшое число готовых бинарных пакетов. CRUX поддерживает систему портов, позволяющую легко устанавливать и обновлять приложения в стиле FreeBSD/Gentoo. Размер iso-образа, подготовленного для архитектуры x86-64, составляет 644 Мб. В новом выпуске в основной состав включён пакет Linux-PAM и обеспечено использование механизма PAM (Pluggable Authentication Modules) для организации аутентификации в системе. Использование … Читать далее Выпуск Linux-дистрибутива CRUX 3.5

Доступен релиз Linux-дистрибутива BackBox Linux 6, базирующегося на Ubuntu 18.04 и поставляемого с коллекцией инструментов для проверки безопасности системы, тестирования эксплоитов, обратного инжиниринга, анализа сетевого трафика и беспроводных сетей, изучения вредоносного ПО, стресс-тестирования, выявления скрытых или потерянных данных. Пользовательское окружение основано на Xfce. Размер iso-образа 2.5 Гб (i386, x86_64). В новой версии произведено обновление системных компонентов с Ubuntu 16.04 до ветки 18.04. Ядро Linux обновлено до выпуска 4.18. Обновлены версии входящих в состав инструментов для тестирования безопасности. ISO-образ собран в гибридном формате и адаптирован для загрузки на системах с UEFI. Источник: http://www.opennet.ru/opennews/art.shtml?num=50854 Читать далее Выпуск BackBox Linux 6, дистрибутива для тестирования безопасности

Разработчики проекта Debian объявили о намерении выпустить релиз Debian 10 «Buster» 6 июля. В настоящее время незакрытыми остаются 98 критических ошибок, блокирующих релиз (месяц назад было 132, три месяца назад — 316, четыре месяца назад — 577). Остающиеся ошибки планируется закрыть до 25 июня. Проблемы которые не удастся устранить до этого дня будут помечены флагами buster-ignore или buster-will-remove. Все пакеты, помеченные флагом buster-will-remove, будут удалены из репозитория, если в ветке Testing для них не будут предложены исправления критических проблем. Начиная с 25 июня ветка Testing будет полностью заморожена от внесения изменений (исключение делается только для экстренных вмешательств). Источник: http://www.opennet.ru/opennews/art.shtml?num=50852 Читать далее Выпуск Debian 10 запланирован на 6 июля

Представлен промежуточный выпуск Firefox 67.0.2, в котором устранена уязвимость (CVE-2019-11702), специфичная для платформы Windows и позволяющая открыть локальный файл в Internet Explorer через манипуляции со ссылками, в которых указан протокол «IE.HTTP:». Кроме уязвимости в новом выпуске также устранено несколько не связанных с безопасностью проблем: Устранён вывод в консоли JavaScript-ошибки «TypeError: data is null in PrivacyFilter.jsm», которая могла негативно отразиться на надёжности и производительности; Решена проблема c выводом всплывающего диалога аутентификации подключения через прокси; Решена проблема входа в сервис Pearson MyCloud при использовании FIDO U2F; Налажен запуск браузера в безопасном режиме (safe mode), который в Linux и macOS начиная с Firefox … Читать далее Обновление Firefox 67.0.2

Опубликован релиз свободной реализации API OpenGL и Vulkan — Mesa 19.1.0. Первый выпуск ветки Mesa 19.1.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 19.1.1. В Mesa 19.1 предоставляется полная поддержка OpenGL 4.5 для драйверов i965, radeonsi и nvc0, поддержка Vulkan 1.1 для карт Intel и AMD, а также частичная поддержка стандарта OpenGL 4.6. Наиболее заметные изменения: В состав включён разработанный в компании Intel новый драйвер Iris. В отличие от i965 новый драйвер основан на архитектуре Gallium3D, выносящей задачи управления памятью на сторону DRI-драйвера в ядре Linux и предоставляющей готовый трекер состояний с поддержкой кэша … Читать далее Выпуск Mesa 19.1.0, свободной реализации OpenGL и Vulkan

Доступен релиз пользовательской оболочки KDE Plasma 5.16, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу новой версии можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Ключевые улучшения: Управление рабочим столом, оформление и виджеты Полностью переписана система вывода уведомлений. Добавлен режим «Не беспокоить» для временного отключения уведомлений, улучшена группировка записей в истории поступления уведомлений, обеспечена возможность отображения критических уведомлений при работе приложений в полноэкранном режиме, улучшено информирование о завершении работ копирования и перемещения файлов, расширена секция … Читать далее Релиз рабочего стола KDE Plasma 5.16

Openclipart.org, крупнейшее хранилище векторных изображений в общественном достоянии (public domain), с конца апреля непрерывно находится под сильной распределённой DDoS-атакой. Неизвестно, ни кто стоит за этой атакой, ни её причины. Сайт проекта уже больше месяца остаётся недоступен, но несколько часов назад разработчики объявили о тестировании средств для защиты от атаки, которые удалось получить благодаря полученным от сообщества пожертвованиям. Источник: http://www.opennet.ru/opennews/art.shtml?num=50845 Читать далее Непрекращающаяся DDoS-атака на OpenClipArt

Издание The Bell получило сведения от нескольких неназванных источников об обсуждении возможности использования на некоторых типах устройств Huawei проприетарной мобильной операционной системы «Аврора», в рамках которой на основе полученной от компании Jolla лицензии Ростелеком поставляет под своим брендом локализованный вариант ОС Sailfish. Движение в сторону «Аврора» пока ограничилось лишь обсуждением возможности использования данной ОС, никаких планов не представлено. В обсуждении приняли участие министр цифрового развития и связи Константин Носков и исполнительный директор Huawei. На встрече также был поднят вопрос о создании в России совместного производства чипов и программного обеспечения. Информацию не подтвердили в «Ростелекоме», но выразили готовность к сотрудничеству, а … Читать далее Huawei обсудил возможность использования Авроры/Sailfish, в качестве альтернативы Android

Группа исследователей из компании Ledger выявила несколько уязвимостей в устройствах HSM (Hardware Security Modules), которые могут быть использованы для извлечения ключей или совершения удалённой атаки для подмены прошивки HSM-устройства. В настоящий момент доклад о проблеме доступен только на французском языке, англоязычный доклад планируется опубликовать в августе во время конференции Blackhat USA 2019. HSM представляет собой специализированное внешнее устройство, предназначенное для хранения открытых и закрытых ключей, используемых для формирования цифровых подписей и для шифрования данных. HSM позволяет существенно повысить защиту, так как полностью изолирует ключи от системы и приложений, лишь предоставляя API для выполнения базовых криптографических примитивов, реализованных на стороне устройства. … Читать далее Уязвимости в HSM-модулях, которые могут привести к атаке на ключи шифрования

После четырёх с половиной лет разработки опубликован релиз свободного проекта LMMS 1.2, в рамках которого развивается кросс-платформенная альтернатива коммерческим программам для создания музыкальных произведений, подобных FL Studio и GarageBand. Код проекта написан на языке C++ (интерфейс на Qt) и распространяется под лицензией GPLv2. Готовые сборки подготовлены для Linux (в формате AppImage), macOS и Windows. Программа сочетает в себе функции цифровой звуковой рабочей станции (DAW) с набором редакторов для создания музыкальных материалов, таких как редактор ритма (биения), трековый редактор, клавишный редактор для записи с MIDI-клавиатуры, редактор песен для компоновки материалов в комплексный вид. В комплекте имеется 64-канальный микшер звуковых эффектов с … Читать далее Выпуск пакета для создания музыки LMMS 1.2