Исследователи из компании vpnMentor выявили возможность открытого доступа к БД, в которой хранилось более 27.8 млн записей (23 Гб данных), связанных с работой системы биометрического контроля доступа Biostar 2, которая насчитывает около 1.5 млн установок по всему миру и интегрирована в платформу AEOS, применяемую более чем 5700 организациями в 83 странах, включая как крупные корпарации и банки, так и правительственные учреждения и полицейские участки. Утечка вызвана некорректной настройкой хранилища Elasticsearch, которое оказалось доступно на чтение всем желающим. Утечку усугубляет то, что большая часть БД не была зашифрована и, помимо персональных данных (ФИО, телефон, email, домашний адрес, должность, время приёма на … Читать далее Утечка 28 млн записей, используемых в платформе биометрической идентификации BioStar 2

Не прекращается череда уязвимостей (1, 2, 3, 4, 5, 6) в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Как и прошлые уязвимости новая проблема (CVE-2019-10216) позволяет при обработке специально оформленных документов обойти режим изоляции «-dSAFER» (через манипуляции с «.buildfont1») и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патча. За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian, Fedora, Ubuntu, SUSE/openSUSE, RHEL, Arch, FreeBSD. Напомним, что уязвимости в Ghostscript … Читать далее Новая уязвимость в Ghostscript

Компания Oracle сообщила о работе по передаче связанных с DTrace изменений в upstream и планах по реализации технологии динамической отладки DTrace поверх штатной инфрастуруктуры ядра Linux, а именно с использованием таких подсистем, как eBPF. Изначально основной проблемой с использованием DTrace в Linux была несовместимость на уровне лицензий, но в 2018 году компания Oracle перелицензировала код DTrace под GPLv2. DTrace уже длительное время предлагается в составе расширенного ядра для дистрибутива Oracle Linux, но для своего использования в других дистрибитувах требует применения дополнительных патчей для ядра, что ограничивает использование указанной технологии. В качестве примера, компания Oracle подготовила детальную инструкцию по установке и … Читать далее Компания Oracle намерена переработать DTrace для Linux с использованием eBPF

Разработчики FreeBSD представили план удаления GCC 4.2.1 из исходных текстов базовой системы FreeBSD. Компоненты GCC будут удалены до ответвления ветки FreeBSD 13, в состав которой будет входить только компилятор Clang. GCC при желании можно будет поставить из портов, в которых предлагается GCC 9, 7 и 8, а также уже переведённые в разряд устаревших выпуски GCC 4.8, 5, 6 и 7. Архитектурам, которые завязаны на GCC и не могут перейти на Clang, будет предложено перейти на внешний инструментарий, устанавливаемый из портов. В рамках подготовки к удалению GCC из базовой системы планируется провести работу по улучшению интеграции системы сборки базовой системы с … Читать далее GCC будет удалён из основного состава FreeBSD

Проект EPEL (Extra Packages for Enterprise Linux), занимающийся поддержанием репозитория дополнительных пакетов для RHEL и CentOS, объявил о готовности репозитория EPEL 8 к релизу. Репозиторий был сформирован две недели назад и теперь признан готовым для внедрения. Через EPEL пользователям дистрибутивов, совместимых с Red Hat Enterprise Linux, предлагается дополнительный набор пакетов из Fedora Linux, поддерживаемых сообществами Fedora и CentOS. Бинарные сборки производятся для архитектур x86_64, aarch64, ppc64le и s390x. В текущем виде для загрузки доступно 310 бинарных пакетов (179 srpm). Из новшеств отмечается создание дополнительного канала epel8-playground, выступающего аналогом Rawhide в Fedora и предлагающего наиболее свежие версии активно обновляемых пакетов, без … Читать далее Релиз EPEL 8 с пакетами из Fedora для RHEL 8

Опубликовано корректирующее обновление Firefox 68.0.2 в котором устранено несколько проблем: Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins (‘Page Info/ Security/ View Saved Password)’ предложенной в контекстном меню опции ‘copy password’, копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля); Решена проблема с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в Google Maps); Исправлена ошибка, приводившая к обрезанию некоторых спецсимволов в конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ «#»); … Читать далее Обновление Firefox 68.0.2

Анонсирована публикация обновлений пакетов для стабильной ветки OpenBSD. Ранее при использовании ветки «-stable» можно было получать только бинарные обновления к базовой системе через syspatch. Пакеты собирались один раз для релизной ветки и более не обновлялись. Теперь же планируется поддерживать три ветки: «-release»: замороженная ветка, пакеты из которой собираются один раз для релиза и более не обновляются (6.3, 6.4, 6.5, …). «-stable»: только консервативные обновления. Собранные из портов пакеты обновляются только для последнего релиза (в настоящее время 6.5). «-current»: находящаяся в разработке основная ветка, в неё попадают самые значительные изменения. Пакеты собираются только для ветки «-current». В «-stable» планируется добавлять, главным … Читать далее Проект OpenBSD начинает публиковать обновления пакетов для стабильной ветки

Исследователи из Бостонского университета разработали метод атаки (CVE-2019-11728), позволяющий осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети межсетевым экраном, или определить открытые порты на текущей системе (localhost). Атака может быть совершена при открытии жертвой в браузере специально оформленной страницы. Предложенная техника основана на применении HTTP-заголовка Alt-Svc (HTTP Alternate Services, RFC-7838). Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Brower и Brave. Заголовок позволяет серверу определить альтернативный способ обращения к сайту и перенаравить обращение на новый хост, например, для балансировки нагрузки. В том числе возможно указание сетевого порта для … Читать далее HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети

В намеченном на 22 октября выпуске Firefox 70 решено запретить вывод запросов на подтверждение полномочий, инициированных из iframe-блоков, загруженных с другого домена (cross-origin). Изменение позволит блокировать некоторые злоупотребления и перейти к модели, при которой полномочия запрашиваются только из первичного для документа домена, который показывается в адресной строке. Другим заслуживающим внимания изменением в Firefox 70 станет прекращение отрисовки содержимого файлов, загружаемых через ftp. При открытии ресурсов по FTP теперь принудительно будет инициироваться загрузка файла на диск, без учёта типа файла (например, при открытии через ftp перестанут отображаться изображения, README и html-файлы). Кроме того, в новой версии в адресной строке появится индикатор … Читать далее В Firefox 70 будет ужесточён вывод уведомлений и внесены ограничения для ftp

Фонд Apache представил отчёт за 2019 финансовый год (c 30 апреля 2018 по 30 апреля 2019 года). Объём активов за отчётный период составил 3.8 млн долларов, что на 1.1 млн больше, чем за 2018 финансовый год. Размер собственного капитала за год увеличился на 645 тысяч долларов и составил 2.87 млн долларов. Большая часть средств получена от спонсоров — в настоящее время насчитывается 10 платиновых спонсоров, 9 золотых, 11 серебряных и 25 бронзовых, а также 24 спонсора целевых проектов и 766 индивидуальных участника. Некоторая статистика: Совокупная стоимость разработки с нуля всех проектов Apache оценивается в 20 млрд долларов при расчёте с … Читать далее Фонд Apache опубликовал отчёт за 2019 финансовый год

Исследователи из компаний Netflix и Google выявили в различных реализациях протокола HTTP/2 восемь уязвимостей, которые позволяют вызвать отказ в обслуживании через отправку определённым образом оформленного потока сетевых запросов. Проблемы в той или иной мере затрагивают большинство HTTP-серверов с поддержкой HTTP/2 и приводят к исчерпанию доступной для рабочего процесса памяти или созданию слишком высокой нагрузки на CPU. Обновления с устранением уязвимостей уже представлены в nginx 1.16.1/1.17.3 и H2O 2.2.6, но пока недоступны для Apache httpd и других продуктов. Проблемы стали следствием внесённых в протокол HTTP/2 усложнений, связанных с применением бинарных структур, системой лимитирования потоков данных внутри соединений, механизмом приоритезации потоков и … Читать далее В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязвимостей

Опубликован релиз дисплейного сервера Mir 1.4, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10/19.04 (PPA) и Fedora 29/30. Код проекта распространяется под лицензией GPLv2. В новом выпуске в средствах для обеспечения запуска Wayland-приложений в оболочках на основе Mir … Читать далее Выпуск дисплейного сервера Mir 1.4

Компания Google представила релиз операционной системы Chrome OS 76, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 76. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 76 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 76: Добавлены новые элементы управления воспроизведением, позволяющие быстро остановить или возобновить … Читать далее Выпуск Chrome OS 76

В выпуске Firefox 70, намеченном на 22 октября, решено прекратить отображение протоколов HTTPS и HTTP в адресной строке, а также больше не показывать информацию о компании при использовании на сайте EV-сертификата. Страницы, открытые по HTTP, будут снабжены значком небезопасного подключения, который также будет выводиться для HTTPS, в случае проблем с сертификатами. Вместо кнопки «(i)» будет показан индикатор уровня безопасности соединения, который также позволит оценить состояние режимов блокировки кода для отслеживания перемещений. Цвет символа замка для HTTPS будет заменён с зелёного на серый (вернуть зелёный цвет можно будет через настройку security.secure_connection_icon_color_gray). Смысл отдельного выделения HTTPS теряется так как в современных реалиях … Читать далее В Firefox 70 планируют прекратить отображение HTTPS и HTTP в адресной строке

Компания Google приняла решение отказаться от отдельной пометки сертификатов уровня EV (Extended Validation) в Chrome. Если раньше для сайтов с подобными сертификатами в адресной строке выводилось название проверенной удостоверяющим центром компании, то теперь для данных сайтов будет отображаться тот же индикатор защищённого соединения, что и для сертификатов с верификацией доступа к домену. Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14. Напомним, что EV-сертификаты подтверждают заявленные параметры … Читать далее В Chrome 77 будет прекращена маркировка сертификатов с расширенной верификацией

Компания Canonical сообщила о предоставлении в Ubuntu 19.10 возможности установки дистрибутива с использованием файловой системы ZFS на корневом разделе. Реализация основана на использовании проекта ZFS on Linux, поставляемого в виде модуля для ядра Linux, который начиная с Ubuntu 16.04 входит в штатную поставку пакета с ядром. В Ubuntu 19.10 поддержка ZFS будет обновлена до версии 0.8.1, а в инсталлятор десктоп-редакции добавлена экспериментальная опция для применения ZFS для всех разделов, включая корневой. Соответствующие изменения будут внесены в GRUB, в том числе в загрузочном меню появится опция для отката изменений с использованием снапшотов ZFS. Для управления ZFS в разработке находится новый демон … Читать далее В Ubuntu 19.10 появится экспериментальная поддержка ZFS для корневого раздела

Доступен корректирующий релиз набора компиляторов GCC 9.2, в котором проведена работа по исправлению ошибок, регрессивных изменений и проблем с совместимостью. По сравнению с версией GCC 9.1 в GCC 9.2 отмечено 69 исправлений, в основном связанных с устранением регрессивных изменений. Напомним, что начиная с ветки GCC 5.x в проекте внедрена новая схема нумерации выпусков: версия x.0 используется в процессе разработки, корректирующие выпуски формируются с номерами x.2.0, x.3.0 и т.д. Новые возможности развиваются в экспериментальной ветке GCC 10.0, на базе которой будет сформирован следующий значительный релиз GCC 10.1. Источник: http://www.opennet.ru/opennews/art.shtml?num=51269 Читать далее Обновление набора компиляторов GCC 9.2

На прошедшей в Лас Вегасе конференции Black Hat USA состоялась церемония вручения премии Pwnie Awards 2019, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года. Основные победители и номинации: Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победителями признаны исследователи, выявившие уязвимость у VPN-провайдера Pulse Secure, VPN-сервис которого используется в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Военно-морских силах США, Министерстве национальной безопасности (МНБ) США … Читать далее Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности

После более четырёх лет разработки подготовлен релиз десктоп-окружения Xfce 4.14, нацеленного на предоставление классического рабочего стола, требующего для своей работы минимальных системных ресурсов. Xfce состоит из ряда взаимосвязанных компонентов, которые при желании можно использовать в других проектах. Среди таких компонентов: оконный менеджер, панель для запуска приложений, дисплейный менеджер, менеджер управления пользовательскими сессиями и контроля за энергопотреблением, файловый менеджер Thunar, web-браузер Midori, медиапроигрыватель Parole, текстовый редактор mousepad и система настройки параметров окружения. Основные новшества: Переход c GTK 2 на библиотеку GTK 3; В композитном менеджере xfwm4 добавлен vsync через OpenGL, появилась поддержка libepoxy и DRI3/Present, вместо Xrender задействован GLX. Улучшена обработка … Читать далее Релиз пользовательского окружения Xfce 4.14

Стефан Сперлинг (stsp@), участник проекта OpenBSD с десятилетним стажем, а также один из главных разработчиков Apache Subversion, разрабатывает новую систему контроля версий «Game of Trees» (got). При создании новой системы приоритет отдаётся простоте устройстрова и простоте использования, а не гибкости. Сейчас Got ещё находится в разработке; он разрабатывается исключительно на OpenBSD и его целевой аудиторией являются разработчики OpenBSD. Код распространяется под свободной лицензией ISC (эквивалент упрощённой лицензии BSD и MIT). Для хранения версионированных данных в Got используются git-репозитории. В настоящее время поддерживаются только локальные операции управления версиями. При этом, git может использоваться для любой функциональности, которая ещё не реализована в … Читать далее Для OpenBSD развивается новая git-совместимая система контроля версий Got

В ночные сборки Firefox, которые лягут в основу выпуска Firefox 70, добавлена поддержка режима строгой изоляции страниц, развиваемого под кодовым именем Fission. При активации нового режима страницы разных сайтов всегда будут размещаться в памяти разных процессов, в каждом из которых применяется свой sandbox. При этом разделение по процессам будет осуществляться не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков. Для включения режима строгой изоляции следует запустить firefox с опцией «—enable-fission» или установить в about:config переменную «fission.autostart=true». В Firefox 70 также отмечается переход на использование обновлённого логотипа и смена названия с Firefox Quantum на Firefox … Читать далее В ночные сборки Firefox добавлен режим строгой изоляции страниц