Компания Microsoft открыла исходные тексты проекта Pyright, в рамках которого развивается система для применения статической типизации в приложениях на языке Python. Для разработчиков предлагается утилита командной строки для проверки типов и плагин для интегрированных сред разработки, поддерживающих протокол LSP (Language Server Protocol), таких как Visual Studio Code, Nuclide и Atom. Код написан на языке Typescript (диалект JavaScript со статической типизацией), использует Node.js и открыт под лицензией MIT. Информация о типах может определяться в коде через добавление дополнительных аннотаций к переменным (PEP 526, например «# type: List[int]»), TypeVar-подсказок в стиле mypy (PEP 484, например «def greeting(name: str) — str:») или применения … Читать далее Microsoft опубликовал Pyright, систему проверки типов для языка Python

Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8, в которых устранены две критические уязвимости, позволяющие выполнить код при обработке специально оформленных web-страниц. Рабочие эксплоиты для данных уязвимостей были продемонстрированы вчера на соревновании Pwn2Own 2019 командой Fluoroacetate и исследователем Niklas Baumstark. За демонстрацию эксплоитов было выплачено 90 тысяч долларов. Обе уязвимости выявлены в коде JIT-компилятора. Первая проблема (CVE-2019-9810) вызвана некорректной проверкой границ из-за передачи в JIT неверной информации об алиасах при выполнении метода Array.prototype.slice, что можно использовать для инициирования переполнения буфера. Вторая уязвимость (CVE-2019-9813) связана с неверным выводом типов при обработке изменения объектов при помощи конструкции «__proto__», … Читать далее Обновление Firefox 66.0.1 и Tor Browser 8.0.8 с устранением уязвимостей

Представлен проект Endlessh, в рамках которого подготовлен простой фиктивный SSH-сервер, который пытается максимально долго удерживать установленные соединения открытыми на начальной стадии подключения к SSH-серверу. Endlessh может использоваться для затруднения работы различных вредоносных систем, постоянно перебирающих пароли и сканирующих хосты на наличие определённых сетевых сервисов. Суть борьбы с данными системами в удержании одного соединения, не позволяя ему завершиться по таймайту, и, соответственно, временно блокируя проведения перебора для текущего хоста. Приложение обрабатывает лишь начальную стадию обмена данными, на этапе до аутентификации, поэтому очень просто в реализации и потребляет минимальные ресурсы в процессе работы. Endlessh можно запустить на 22 сетевом порту, а реальный … Читать далее Endlessh — фиктивный SSH

В Fizz, развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения. Воспользовавшись уязвимостью атакущий может исчерпать доступные ресурсы, что приведёт к недоступности сервера для пользователей. Так как Fizz активно применяется во внутренней и внешней инфраструктуре Facebook, указанная уязвимость могла привести к блокированию работы сервисов Facebook. Facebook был уведомлен о проблеме 20 февраля и устранил уязвимость до раскрытия сведений о её наличии. Читать далее Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook

Подведены итоги второго дня соревнования Pwn2Own 2019, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge, Safari, VMware Workstation и VirtualBox. Суммарный размер выплат составил 510 тысяч долларов (общий призовой фонд составлял более 2 млн долларов). Успешно продемонстрированные следующие взломы: $35 тысяч — взлом VirtualBox: целочисленное переполнение + race condition, позволившие из окружения гостевой системы выполнить код на стороне хост-системы; $35 тысяч — взлом VirtualBox: целочисленное переполнение, позволившее получить доступ к базовому системному окружению из гостевой системы; $40 тысяч — взлом Firefox: ошибка в JIT + использование логической … Читать далее На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox

Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.4. Код проекта поставляется под лицензией GPLv3. Интерфейс написан на Python и PyQt5. Ядро обработки видео (libopenshot) реализовано на C++ и использует возможности пакета FFmpeg. Интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, даёт возможность работы с многотрековыми монтажными шкалами с возможностью перемещения … Читать далее Выпуск свободного видеоредактора OpenShot 2.4.4

Группа исследователей из Университета штата Северная Каролина опубликовала результаты (PDF) анализа случайного попадания конфиденциальных данных в публично доступные репозитории на GitHub. Например, из-за недосмотра в репозитории временами попадают оставленные в рабочем каталоге или вшитые в код ключи доступа к облачным сервисам, пароли к СУБД, ключи к VPN и сертификаты для цифровых подписей. В ходе проделанной работы был исследован как статических срез, включающий 13% репозиториев на GitHub (около 4 млн репозиториев), так и проанализирована динамика появления новых утечек, для чего на протяжении 6 месяцев отслеживались все новые коммиты на GitHub. Для анализа использовались срезы содержимого GitHub, предоставляемые через хранилище BigQuery, а … Читать далее Анализ утечек конфиденциальных данных через репозитории на GitHub

Фонд Свободного ПО представил семь новых устройств компании ThinkPenguin, получивших сертификат «Respect Your Freedom«, который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Сертификат получили: Беспроводные адаптеры с интерфейсами USB и PCIe — Penguin Wireless G USB Adapter (PE-G54USB2) и Penguin Wireless N Dual-Band PCIe (TPE-N300PCIED2); Ethernet-адаптеры PCIe Gigabit Ethernet (TPE-1000MPCIE, двухпортовый), PCI Gigabit Ethernet (TPE-1000MPCI), Penguin 10/100 USB Ethernet v1 (TPE-100NET1) и Penguin 10/100 USB v2 (TPE-100NET2); Микрофон Penguin TPE-USBMIC с интерфейсом USB. Это первый микрофон, сертифицированный Фондом СПО. Для … Читать далее Фонд свободного ПО сертифицировал микрофон, 2 Wi-Fi и 4 Ethernet адаптера

Продолжают находить критические уязвимости в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Новые проблемы CVE-2019-3835 и CVE-2019-3838 позволяют обойти режим изоляции «-dSAFER» и организовать выполнение произвольного кода в системе при обработке специально оформленных документов. В дистрибутивах уязвимости устранены в RHEL, Fedora и Ubuntu и остаются неисправленными в Debian, Arch, SUSE, FreeBSD. За последние 6 месяцев в Ghostscript выявлено уже 16 подобных уязвимостей. Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на … Читать далее Очередные критические уязвимости в Ghostscript

Доступен релиз анонимной сети I2P 0.9.39 и C++-клиента i2pd 2.24.0. Ключевые изменения в I2P 0.9.39: В официальный установщик включен плагин I2PControl для управления I2P-роутером через RPC API; Добавлена поддержка LeaseSet2 на флудфилах ( floodfill, proposal 123); Добавлена опция для отключения старого транспорта NTCP1; Добавлена поддержка offline-ключей в стримах; Добавлена поддержка websocket-соединений через HTTP прокси; Обновлен набор иконок в веб-консоли, удалены темы classic и midnight; Добавлена поддержка Tomcat 8.5.38. Ключевые изменения в i2pd 2.24.0: Поддержка transient ключей для LeaseSet2; Поддержка зашифрованных LeaseSet2; Поддержка типа подписи 11 (RedDSA); Поддержка websocket-соединений через HTTP прокси; Возможность отключить сохранение адресной книги; Исправлен race condition при … Читать далее Новый релиз анонимной сети I2P 0.9.39 и C++-клиента i2pd 2.24

После более года разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.14. Поддержка ветки 9.14 будет осуществляться до 2 квартала 2020 года в рамках штатного цикла сопровождения. В следующем году будет сформирован LTS релиз 9.16, который будет поддерживаться три года. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.12 прекратиться в июне. BIND 9.14.0 стал первым стабильный выпуском, сформированным в рамках новой схемы нумерации версий. Нечётные номера релизов теперь присваиваются экспериментальным веткам, в которых развивается функциональность для будущих стабильных веток, имеющих чётный номер выпуска. Формирование отдельных альфа- и бета-веток прекращено. Таким … Читать далее Выпуск BIND 9.14.0, разрывающий совместимость с серверами, не отвечающими на запросы с EDNS

Организация The Document Foundation объявила о выходе LibreOffice 6.2.2, второго корректирующего выпуска из семейства LibreOffice 6.2 «fresh». Версия 6.2.2 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать выпуск LibreOffice 6.1.5 «still». Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows. Обновление включает исправление 55 ошибок (RC1, RC2). Читать далее Корректирующий выпуск LibreOffice 6.2.2

Доступен новый выпуск SSH-клиента PuTTY 0.71, в котором устранены восемь уязвимостей. Некоторые проблемы выявлены участниками инициативы FOSSA (Free and Open Source Software Audit), выплачивающей вознаграждение за обнаружение уязвимостей в ключевых открытых проектах, применяемых в госучреждениях Евросоюза. Первая уязвимость позволяет организатору MITM-атаки обойти проверку DSA и получить доступ сеансу пользователя (просматривать и вносить изменения в сеансы), в случае использования ключей в формате DSA («ssh-dss»). Уязвимость возникла в процессе переработки криптографического стека, но к счастью присутствовала только в экспериментальной ветке Putty и была выявлена до публикации релиза. Вторая уязвимость выявлена в реализации протокола обмена ключами RSA и может привести к целочисленному переполнению … Читать далее Выпуски libssh2 1.8.1 и Putty 0.71 с устранением уязвимостей

Компания CodeWeavers выпустила релиз пакета Crossover 18.5, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 18.5 можно загрузить на данной странице. В новой версии проведено обновление кодовой базы до Wine 4.0. Реализация звукового API XAudio2 переведена на наработки проекта FAudio. Использование FAudio позволяет добиться более высокого качества звука в играх и задействовать такие возможности как смешивание громкости и расширенные звуковые эффекты. В версии для Linux обеспечена … Читать далее Релиз CrossOver 18.5 для Linux и macOS

Состоялся стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.17. Ветка 1.17 обратно совместима на уровне API и ABI с выпусками 1.x, но дополнительно содержит порцию улучшений. Кроме устранения проблем и недоработок в Wayland 1.17 переработан код для вывода сведений о внутренних ошибках сервера, обновлён протокол wl_seat и обеспечено приоритетное использование wl_surface.damage_buffer. Ожидавшийся сегодня выпуск композитного сервера Weston 6.0 отложен до конца недели из-за выявления в последний момент ошибки в сценариях сборки meson, исправления для которых требуют дополнительного тестирования. Напомним, что в Weston развиваются технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и других пользовательских окружениях. … Читать далее Доступен Wayland 1.17

После почти года разработки состоялся релиз браузера Falkon 3.1.0, пришедшего на смену QupZilla после перехода проекта под крыло сообщества KDE и переноса разработки в инфраструктуру KDE. Ожидается, что разработка под эгидой KDE позволит привлечь к работе над браузером новых разработчиков и стимулировать развитие проекта. Код проекта распространяется под лицензией GPLv3. Основные новшества: Добавлена поддержка написания плагинов с использованием QML. Стабилизирована поддержка плагинов на языке Python; Добавлен плагин MiddleClickLoader, вставляющий текст из буфера обмена при нажатии средней кнопки мыши; Добавлен плагин для интеграции с KDE и обеспечения доступа к страницам из компонентов KDE Frameworks; Добавлена начальная поддержка клиентских сертификатов (требуется QtWebEngine … Читать далее Релиз браузера Falkon 3.1.0, развиваемого проектом KDE

После шести месяцев разработки представлен релиз проекта LLVM 8.0 (Low Level Virtual Machine) — GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Из новых возможностей LLVM 8.0 отмечается включение защиты от атак Spectre, поддержка распараллеленной компиляции в ORC JIT, стабилизация компиляции в WebAssembly, добавление в Clang опции для инициализации автоматически распределяемых переменных, улучшение предкомпиляции и поддержка флага /Zc:dllexportInlines в clang-cl, поддержка архитектуры RISC-V в компоновщике lld, расширение средств диагностики. Улучшения … Читать далее Релиз набора компиляторов LLVM 8.0

Опубликован релиз Samba 4.10.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.10: В KDC и Netlogon добавлена поддержка модели запуска процессов «pre-fork», позволяющей поддерживать пул заранее запущенных процессов-обработчиков. Значение по молчанию параметра ‘prefork children’ в smdb.conf увеличено с 1 до 4; В реализации модели pre-fork обеспечен автоматический перезапуск сбойных процессов. Задержки между попытками повторного … Читать далее Выпуск Samba 4.10.0

Доступен релиз специализированного дистрибутива Tails 3.13 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 Гб. В новом выпуске обеспечено сохранение на постоянный носитель резервной копии настроек при каждом их изменении. Обновлены версии приложений: Tor Browser 8.0.7, Thunderbird 65.1.0, Tor 0.3.5.8, ядро Linux 4.19.28. Микрокод Intel обновлён до версии … Читать далее Релиз дистрибутива Tails 3.13 и браузера Tor Browser 8.0.7

Опубликовано обновление операционной системы Solaris 11.4 SRU 7, в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: В состав включена сборочная система Ninja; Продукт Oracle VM Server for SPARC обновлён до версии 3.6.1, в которой улучшены запуск LDoms Manager, синхронизация с Hypervisor и SP, работа подкоманд ‘ldm’ , перенос окружений на новые системы и надёжность live-миграции; Обновлены версии программ GNU awk 4.2.1, FFTW 3.3.8, Nghttp2 1.35.0, tigervnc 1.9.0. Устранена проблема с отображением даты последней установки и обновления в выводе команды «pkg info». Налажена … Читать далее Обновление Solaris 11.4 SRU 7

После шести месяцев разработки компания Oracle выпустила платформу Java SE 12 (Java Platform, Standard Edition 12), в качестве эталонной реализации которой используется открытый проект OpenJDK. В Java SE 12 сохранена обратная совместимость с прошлыми выпусками платформы Java, все ранее написанные Java-проекты без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 12 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64), Solaris (SPARC), Windows и macOS. Разработанная в рамках проекта OpenJDK эталонная реализация Java 12 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими динамическое связывание с коммерческими продуктами. Java SE 12 отнесён … Читать далее Компания Oracle опубликовала Java SE 12