Опубликовано корректирующее обновление Firefox 69.0.2 в котором устранён крах, проявляющийся на платформе Linux в случае изменения скорости воспроизведения видео в YouTube. Кроме того, в новом выпуске решены проблемы с определением включения родительского контроля в Windows 10 и устранён крах при редактировании файлов на сайте Office 365. Источник: http://www.opennet.ru/opennews/art.shtml?num=51611 Читать далее Обновление Firefox 69.0.2 с устранением проблемы с YouTube в Linux

После года разработки опубликована новая стабильная ветка СУБД PostgreSQL 12. Обновления для новой ветки будут выходить в течение пяти лет до ноября 2024 года. Основные новшества: Добавлена поддержка «генерируемых столбцов«, значение которых вычисляется на основе выражения, охватывающего значения других столбцов в той же таблице (аналог представлений, но для отдельных столбцов). Генерируемые столбцы могут быть двух типов — хранимые и виртуальные. В первом случае значение вычисляется в момента добавления или изменения данных, а во втором — при каждом чтении на основе текущего состояния других столбцов. В настоящее время в PostgreSQL 12 поддерживаются только хранимые генерируемые столбцы; Добавлена возможность выполнения запросов данных … Читать далее Релиз СУБД PostgreSQL 12

Исследователи из университета им. Масарика раскрыли сведения о уязвимостях в различных реализациях алгоритма создания цифровой подписи ECDSA/EdDSA, позволяющих восстановить значение приватного ключа на основе анализа утечек сведений об отдельных битах, всплывающих при применении методов анализа по сторонним каналам. Уязвимости получили кодовое имя Minerva. Наиболее известными проектами, которые затрагивает предложенный метод атаки, являются OpenJDK/OracleJDK (CVE-2019-2894) и библиотека Libgcrypt (CVE-2019-13627), применяемая в GnuPG. Проблеме также подвержены MatrixSSL, Crypto++, wolfCrypt, elliptic, jsrsasign, python-ecdsa, ruby_ecdsa, fastecdsa, easy-ecc и смарт-карты Athena IDProtect. Не протестированы, но как потенциально уязвимые также заявлены карты Valid S/A IDflex V, SafeNet eToken 4300 и TecSec Armored Card, которые используют типовой … Читать далее Новая техника атаки по сторонним каналам, позволяющая восстановить ключи ECDSA

Компания Mozilla добилась в Федеральном апелляционном существенного ослабления правил в отношении сетевого нейтралитета, утверждённых Федеральным агентством по связи США (FCC). Суд постановил, что штаты могут на уровне своих локальных законодательств индивидуально устанавливать правила, касающиеся сетевого нейтралитета. Подобные изменения законодательства, сохраняющие сетевой нейтралитет, например, ожидают принятия в Калифорнии. Тем не менее, хотя отмена сетевого нейтралитета оставлена в силе (пока штаты индивидуально не примут законы, изменяющие данные правила на своём уровне), судья назвал логику, на которой она основана, «оторванной от реальности построения современных широкополосных сервисов». FCC имеет возможность обжаловать вынесенное решение в высших инстанциях, вплоть до Верховного суда. Напомним, что в прошлом … Читать далее Mozilla выиграла судебное разбирательство, связанное с сетевым нейтралитетом

На фоне проходящих массовых беспорядков, в Ираке предпринята попытка полной блокировки доступа к сети интернет. В настоящее время потеряна связность с примерно 75% иракскими провайдерами, включая всех крупных операторов связи. Доступ остаётся только в некоторых городах на севере Ирака (например, Курдском автономном районе), имеющих отдельную сетевую инфраструктуру и статус автономии. Вначале власти попытались блокировать доступ к Facebook, Twitter, WhatsApp, Instagram и другим мессенджерам и социальным сетям, но после неэффективности такого шага перешли к полной блокировке доступа для нарушения координации действий в среде протестующих. Примечательно, что это не первое отключение интернета в Ираке, например, в июле 2018 года на фоне протестного … Читать далее В Ираке отключён интернет

Торговые ассоциации NCTA, CTIA и USTelecom, отстаивающие интересы интернет-провайдеров, обратились в Конгресс США с просьбой обратить внимание на проблему с внедрением «DNS поверх HTTPS» (DoH, DNS over HTTPS) и запросить у Google детальную информацию о текущих и будущих планах по включению DoH в своих продуктах, а также получить обязательство не включать по умолчанию централизованную обработку DNS-запросов в Chrome и Android без предварительного всестороннего обсуждения с другими представителями экосистемы и учёта возможных негативных последствий. Понимая общую пользу от применения шифрования для DNS-трафика, ассоциации считают недопустимым сосредоточение контроля за преобразованием имён в одних руках и привязку данного механизма по умолчанию к централизованным … Читать далее Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS

Бенджамин Берг (Benjamin Berg), один из инженеров Rad Hat, занимающийся разработкой GNOME, обобщил результаты работы по переводу GNOME на управление сеансами исключительно средствами systemd, без применения процесса gnome-session. Для управления входом в GNOME уже достаточно давно применяется systemd-logind, который отслеживает состояния сеансов в привязке к пользователю, управляет идентификаторами сеансов, отвечает за переключение между активными сеансами, координирует многопользовательские окружения (Multi-seat), настраивает политики доступа к устройствам, предоставляет средства для завершения работы и перехода в спящий режим и т.п. При этом часть связанной с сеансами функциональности оставалась на плечах процесса gnome-session, который занимался управлением через D-Bus, запуском дисплейного менеджера и компонентов GNOME, организацией … Читать далее GNOME адаптирован для управления через systemd

Как и в Firefox в Chrome планируют скоро прекратить поддержку протоколов TLS 1.0 и TLS 1.1, которые находятся в процессе перевода в разряд устаревших и не рекомендованных организацией IETF (Internet Engineering Task Force) для использования. Поддержка TLS 1.0 и 1.1 будет отключена в Chrome 81, намеченном на 17 марта 2020 года. По данным Google в настоящее время около 0.5% загрузок web-страниц продолжается осуществляться с использованием устаревших версий TLS. До фактического прекращения поддержки начиная с выпуска Chrome 79, намеченного на 13 января, для соединений с использованием TLS 1.0 и 1.1 начнёт выводиться индикатор небезопасного соединения. После блокировки в Chrome 81 для … Читать далее План прекращения поддержки TLS 1.0 и 1.1 в Chrome

Сформированы корректирующие релизы языка программирования Ruby 2.6.5, 2.5.7 и 2.4.8 в котором устранены четыре уязвимости. Наиболее опасная уязвимость (CVE-2019-16255) в стандартной библиотеке Shell (lib/shell.rb), которая позволяет осуществить подстановку кода. В случае передачи в первом аргументе методов Shell#[] или Shell#test, используемых для проверки наличия файла, полученных от пользователя данных, атакующий может добиться вызова произвольного Ruby-метода. Другие проблемы: CVE-2019-16254 — подверженность встроенного http-сервера WEBrick атаке по разделению ответов HTTP (если программа подставляет непроверенные данные в HTTP-заголовок ответа, то через вставку символа перевода строки можно разделить заголовок); CVE-2019-15845 подстановка нулевого символа () в проверяемые через методы «File.fnmatch» и «File.fnmatch?» файловые пути, может быть … Читать далее Обновление Ruby 2.6.5, 2.5.7 и 2.4.8 с устранением уязвимостей

Разработчики GNAT, компилятора языка Ада, опубликовали на GitHub код транслятора gnat-llvm, использующий генератор кода от проекта LLVM. Разработчики надеются привлечь сообщество к развитию транслятора и экспериментам с использованием его в новых для языка направлениях, таких как интеграция с виртуальной машиной KLEE LLVM Execution Engine для тестирования программ, генерация WebAssembly, генерация SPIR-V для OpenCL и Vulkan, поддержки новых целевых платформ. В текущем состоянии транслятор способен собирать программы для архитектуры x86_64. Его поддержка интегрирована в инструментарий управления проектами GPR tools из пакета GNAT Community Edition 2019. Транслятор распространяется под лицензией GPLv3. Источник: http://www.opennet.ru/opennews/art.shtml?num=51596 Читать далее Опубликован транслятор языка Ада на базе LLVM

Представлен значительный выпуск платформы машинного обучения TensorFlow 2.0, предоставляющей готовые реализации различных алгоритмов глубокого машинного обучения, простой программный интерфейс для построения моделей на языке Python и низкоуровневый интерфейс для языка С++, позволяющий управлять построением и выполнением вычислительных графов. Код системы написан на языках С++ и Python и распространяется под лицензией Apache. Платформа изначально разработана командой Google Brain и используются в сервисах Google для распознавания речи, выделения лиц на фотографиях, определение схожести изображений, отсеивание спама в Gmail, подбора новостей в Google News и организации перевода с учётом смысла. Распределённые системы машинного обучения можно создавать на типовом оборудовании, благодаря встроенной поддержке в … Читать далее Выпуск системы машинного обучения TensorFlow 2.0

Проект KDE ввёл в строй инфраструктуру совместной разработки на базе открытой платформы GitLab, которая позволит снизить барьер вхождения новых участников, сделает участие в развитии KDE более привычным и расширит возможности инструментов для разработки, сопровождения цикла разработки, непрерывной интеграции и рецензирования изменений. Ранее проектом применялась платформа Phabricator (и cgit), которая воспринимается многими новыми разработчиками как непривычная. GitLab достаточно близок по возможностям к GitHub, является свободным ПО и уже применяется во многих смежных открытых проектах, таких как GNOME, Wayland, Debian и FreeDesktop.org. Поддержка Phabricator пока остаётся в строю, а для сторонников GitLab запущен отдельный сервис invent.kde.org. Платформа Phabricator в основном ориентирована на … Читать далее Проект KDE внедряет GitLab. Разработка GitLab EE и CE перенесена в общий репозиторий

В предоставляемом проектом pam-python PAM-модуле, позволяющем подключать модули аутентификации на языке Python, выявлена уязвимость (CVE-2019-16729), дающая возможность повысить свои привилегии в системе. При использовании уязвимой версии pam-python (по умолчанию не устанавливается), локальный пользователь может получить доступ с правами root, путём манипуляций с обрабатываемыми в Python по умолчанию переменными окружения (например, можно инициировать сохранение файла с байткодом для перезаписи системных файлов). Уязвимость присутствует в последнем стабильном выпуске 1.0.6, предлагаемом с августа 2016 года. Проблема выявлена в ходе аудита PAM-модуля pam-python, проведённого разработчиками из команды openSUSE Security Team, и уже устранена в обновлении 1.0.7. Статус обновления пакетов с pam-python можно отследить на … Читать далее Локальная root-уязвимость в pam-python

Представлен выпуск облачной платформы Nextcloud 17, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными, а также предлагающего такие сопутствующие функции, как средства для ведения видеооконференций, обмена сообщениями и, начиная с текущего выпуска, интеграцией функций для создания децентрализованной социальной сети. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL. Nextcloud предоставляет средства для обеспечения совместного доступа, версионный контроль изменений, поддержку воспроизведения медиаконтента и просмотра документов прямо из web-интерфейса, возможность синхронизации данных между разными машинами, возможность просмотра и редактирования данных с … Читать далее Выпуск облачного хранилища Nextcloud 17

Линус Торвальдс принял в состав будущего выпуска ядра Linux 5.4 набор патчей «lockdown«, предложенный Дэвидом Хоуэллсом (David Howells, работает в Red Hat) и Мэтью Гарретом (Matthew Garrett, работает в Google) для ограничения доступа пользователя root к ядру. Связанная с «lockdown» функциональность вынесена в опционально загружаемый LSM-модуль (Linux Security Module), устанавливающий барьер между UID 0 и ядром, ограничивая определённую низкоуровневую функциональность. Если злоумышленник в результате атаки добился выполнения кода с правами root, то он может выполнить свой код и на уровне ядра, напирмер, через замену ядра при помощи kexec или чтения/записи памяти через /dev/kmem. Наиболее очевидным следствием подобной активности может стать … Читать далее В ядро Linux 5.4 приняты патчи для ограничения доступа root к внутренностям ядра

Представлен выпуск strace 5.3, утилиты для диагностики и отладки программ для ОС, использующих ядро Linux. Утилита позволяет отслеживать и (начиная с версии 4.15) вмешиваться в процесс взаимодействия программы и ядра, включая происходящие системные вызовы, возникающие сигналы и изменения состояния процесса. Для своей работы strace использует механизм ptrace. Начиная с версии 4.13, формирование выпусков программы синхронизировано с выходом новых версий Linux. Код проекта распространяется под лицензией LGPLv2.1+. В новой версии: Лицензия на код изменена с BSD на LGPLv2.1+ (основной код) и GPLv2+ (тесты); Появилась поддержка фильтрования системных вызовов при помощи создания seccomp-фильтров («—seccomp-bpf»), а также по коду возврата («-e status=…»); Добавлена … Читать далее Выпуск strace 5.3

Опубликован экстренный выпуск почтового сервера Exim 4.92.3 с устранением очередной критической уязвимости (CVE-2019-16928), потенциально позволяющей организовать удалённое выполнение кода на сервере через передачу слишком большой строки в команде EHLO. Уязвимость проявляется на стадии после сброса привилегий и ограничена выполнением кода с правами непривилегированнго пользователя, под которым выполняется обработчик, принимающий сообщения . Проблема проявляется только в ветке Exim 4.92 (4.92.0, 4.92.1 и 4.92.2). Проблема не пересекается с устранённой в начале месяца уязвимостью CVE-2019-15846 и вызвана переполнением буфера в функции string_vformat(), определённой в файле string.c. Продемонстрированный эксплоит позволяет вызвать крах через передачу длинной строки (несколько килобайт) в команде EHLO, но уязвимость может … Читать далее Опубликован Exim 4.92.3 с устранением четвёртой за год критической уязвимости

В ночных сборках Firefox по умолчанию отключена поддержка протоколов TLS 1.0 и TLS 1.1 (настройка security.tls.version.min выставлена в значение 3, устанавливающее TLS 1.2 как минимальную версию). В стабильных выпусках TLS 1.0/1.1 планируют отключить в марте 2020 года. В Chrome поддержка TLS 1.0/1.1 будет прекращена в Chrome 81, который ожидается в январе 2020 года. Спецификация TLS 1.0 была опубликована в январе 1999 года. Спустя семь лет было выпущено обновление TLS 1.1 с улучшениями безопасности, связанными с генерацией векторов инициализации и добавочного заполнения. В настоящее время комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, развивает черновик спецификации, переводящей … Читать далее В ночных сборках Firefox отключена поддержка TLS 1.0 и TLS 1.1

Опубликован второй бета-выпуск FreeBSD 12.1. Выпуск FreeBSD 12.1-BETA1 доступен для архитектур amd64, i386, powerpc, powerpc64, powerpcspe, sparc64 и armv6, armv7 и aarch64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 12.1 запланирован на 4 ноября. С обзором новшеств можно познакомиться в анонсе первого бета-выпуска. По сравнению с первой бета-версией устранены ошибки в fusefs, strip, mpr, mps, ping6, jme, bhyve uart. Добавлены режимы сборки WITH_PIE и WITH_BIND_NOW. В утилите freebsd-update реализованы новые команды ‘updatesready’ и ‘showconfig’. В camcontrol налажена работа команды ‘devtype’ при работе с устройствами SATL. Источник: http://www.opennet.ru/opennews/art.shtml?num=51585 Читать далее Второй бета-выпуск FreeBSD 12.1

Несколько часов назад без объяснения причин Ричард Столлман объявил на своём личном сайте о немедленном уходе с поста руководителя проекта GNU. Примечательно, что всего два дня назад он заявил, что руководство проектом GNU остаётся за ним и он не собирается покидать этот пост. Не исключается, что указанное сообщение является вандализмом, опубликованным посторонним в результате взлома сайта stallman.org. Например, странно, что объявление было сделано не в списке рассылки GNU, а на личном сайте с заметками на полях. Ссылка на сообщение об уходе для некоторых посетителей также показывается задним числом от 27 сентября. Некоторые пользователи также упоминают появление странных заметок на сайте, … Читать далее Столлман отказался от руководства проектом GNU (вероятен взлом сайта)

Компания Google представила релиз операционной системы Chrome OS 77, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 77. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 77 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 77: Добавлен новый индикатор воспроизведения звука приложением или во вкладках браузера, … Читать далее Выпуск Chrome OS 77