Компания Jolla опубликовала релиз операционной системы Sailfish 3.1. Сборки подготовлены для устройств Jolla 1, Jolla C, Sony Xperia X, Gemini, и уже доступны в форме OTA-обновления. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer, который с апреля развивается как составная часть Sailfish, и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но их код планировалось открыть ещё в 2017 году. В новой версии: Переработан интерфейс многих базовых приложений, включая People, Phone, Messages и … Читать далее Выпуск мобильной ОС Sailfish 3.1

Во FreeBSD устранено шесть уязвимостей, которые позволяют повысить свои привилегии в системе или получить доступ к данным ядра. Проблемы исправлены в обновлениях 12.0-RELEASE-p8, 11.2-RELEASE-p12 и 11.3-RELEASE-p1. CVE-2019-5606 — ошибка в обработчике вызова close для файловых дескрипторов, созданных через системный вызов posix_openpt, может привести к записи в уже освобождённые области памяти ядра (write-after-free). Локальный злоумышленник может использовать уязвимость для получения привилегий root или выхода из jail-окружения; CVE-2019-0053 — отсутствие должной проверки корректности значений при обработке переменных окружения в коде клиента telnet может привести к переполнению буфера при обращении к вредоносному серверу и организации атаки по выполнению кода на стороне клиента; CVE-2019-5605 … Читать далее Во FreeBSD устранено 6 уязвимостей

Доступен выпуск среды разработки Tizen Studio 3.3, пришедшей на смену Tizen SDK и предоставляющей набор инструментов для создания, сборки, отладки и профилирования мобильных приложений при помощи Web API и Native API Tizen. Среда построена на базе свежего выпуска платформы Eclipse, имеет модульную архитектуру и на этапе установки или через специальный пакетный менеджер позволяет устанавливать только необходимую функциональность. В состав Tizen Studio входит набор эмуляторов устройств на базе Tizen (эмулятор смартфона, телевизора, умных часов), набор примеров для обучения, инструменты для разработки приложений на C/С++ и с использованием web-технологий, компоненты для обеспечения поддержки новых платформ, системных приложений и драйверов, утилиты для сборки … Читать далее Выпуск среды разработки Tizen Studio 3.3

Разработчики проекта Fedora объявили о начале тестирования первой предварительной версии новой редакции дистрибутива Fedora CoreOS, которая пришла на смену продуктам Fedora Atomic Host и CoreOS Container Linux в качестве единого решения для запуска окружений на базе изолированных контейнеров. Из CoreOS Container Linux, который перешёл в руки Red Hat после покупки компании CoreOS, в Fedora CoreOS перенесены инструментарий развёртывания (система конфигурирования на стадии начальной загрузки Ignition), механизм атомарных обновлений и общая философия продукта. Из Atomic Host перенесены технология работы с пакетами, поддержка спецификаций OCI (Open Container Initiative) и дополнительные механизмы изоляции контейнеров на базе SELinux. Начинка Fedora CoreOS формируется на основе … Читать далее Представлен первый предварительный выпуск Fedora CoreOS

Компания AMD опубликовала новый открытый фреймворк Caudron, предоставляющий средства для быстрой разработки прототипов игр и графических приложений, использующих API Vulkan или DirectX12. Фреймворк изначально применялся внутри компании для разработки демонстраций и примеров для SDK. Код проекта написан на языке C++11 и распространяется под лицензией MIT. Caudron преподносится как упрощённый игровой движок, простой для изучения и который можно модифицировать по мере разработки для проведения различных экспериментов. Движок прикрепляется к приложению в форме статически связываемой библиотеки. Компоненты движка разделен на четыре основные категории: Менеджеры и загрузчики ресурсов. Поддерживается загрузка текстур в форматах DDS, PNG, JPG и т.п. с возможностью создания представлений изображений. … Читать далее AMD открыл фреймворк Caudron для быстрого создания прототипов 3D-приложений

В медиапроигрывателе VLC выявлена уязвимость (CVE-2019-13615), которая может привести к выполнению кода злоумышленника при воспроизведении специально оформленного видео в формате MP4 (прототип эксплоита). Проблема вызвана переполнением кучи в коде распаковки медиаконтейнера MKV и проявляется в актуальном выпуске 3.0.7.1. Исправление пока недоступно, как и обновления пакетов (Debian, Ubuntu, RHEL, Fedora, SUSE, FreeBSD). Уязвимости присвоен критический уровень опасности (9.8 из 10 CVSS). Источник: http://www.opennet.ru/opennews/art.shtml?num=51161 Читать далее Уязвимость в медиапроигрывателе VLC

Девон О’Брайен (Devon O’Brien) из команды, отвечающей за безопасность браузера Chrome, объявил о намерении компании Google заблокировать промежуточные сертификаты DarkMatter в браузере Chrome и платформе Android. Также планируется отклонить заявку на включение корневого сертификата DarkMatter в хранилище сертификатов Google. Напомним, что ранее аналогичное решение было принято компанией Mozilla. Google согласился с высказанными представителями Mozilla доводами и посчитал имеющиеся претензии к DarkMatter достаточными. Напомним, что основные аргументы против DarkMatter сводятся к журналистским расследованиям (Reuters, EFF, The New York Times), сообщающим о причастности DarkMatter к операции «Project Raven», проводимой спецсужбами Объединённых Арабских Эмиратов для компрометации учётных записей журналистов, борцов за права человека … Читать далее Google заблокирует сертификаты DarkMatter в Chrome и Android

Разработчики почтового сервера Exim предупредили администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек. Детали о проблеме пока не разглашаются, всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля. В этот день скоординированно будут выпущены обновления пакетов с Exim в основных дистрибутивах. При этом риск эксплуатации уязвимости отмечен как низкий, так как уязвимость не проявляется в конфигурации по умолчанию, как в базовой поставке Exim, так и в пакете для Debian. Источник: http://www.opennet.ru/opennews/art.shtml?num=51157 Читать далее Предупреждение о критической уязвимости в Exim

Доступен выпуск основной ветки nginx 1.17.2, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. Основные изменения: Добавлена поддержка переключения именованных блоков «location» при помощи метода $r->internal_redirect(), предоставляемого встроенным интерпретатором Perl. Данный метод теперь подразумевает обработку URI с экранированными символами; Требование к минимально поддерживаемой версии zlib поднято до 1.2.0.4; Решены проблемы с обработкой ошибок во встроенном интерпретаторе Perl; Устранены проблемы в модулях ngx_http_xslt_filter_module и ngx_http_ssi_filter_module; Устранён крах в процессе запуска или переконфигураци в случае указания в настройках размера блока хэша более 64 Кб; Решена проблема с … Читать далее Выпуск nginx 1.17.2

В ftp-сервере ProFTPD выявлена опасная уязвимость (CVE-2019-12815), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд «site cpfr» и «site cpto». Проблеме присвоен уровень опасности 9.8 из 10, так как она может примеряться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP. Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов. Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной в 2015 году, для которой теперь выявлены новые векторы для … Читать далее Критическая уязвимость в ProFTPd

Опубликован релиз проекта CoreBoot 4.10, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие 198 разработчиков, которые подготовили 2538 изменений. Основные новшества: Добавлена поддержка 28 материнских плат: ASROCK H110M-DVS ASUS H61M-CS, P5G41T-M-LX, P5QPL-AM, P8Z77-M-PRO FACEBOOK FBG1701 FOXCONN G41M GIGABYTE GA-H61MA-D3V GOOGLE BLOOG, FLAPJACK, GARG, HATCH-WHL, HELIOS, KINDRED, KODAMA, KOHAKU, KRANE, MISTRAL; HP COMPAQ-8200-ELITE-SFF-PC INTEL COMETLAKE-RVP, KBLRVP11 LENOVO R500, X1 MSI MS7707 PORTWELL M107 PURISM LIBREM13-V4, LIBREM15-V4 SUPERMICRO X10SLM-PLUS-F UP SQUARED Прекращена поддержка материнских плат: GOOGLE BIP, DELAN и ROWAN, PCENGINES ALIX1C, ALIX2C, ALIX2D и ALIX6; Прекращена поддержка процессоров: AMD geode lx, Intel 69x … Читать далее Выпуск Coreboot 4.10

Состоялся выпуск минималистичного многоплатформенного web-браузера NetSurf 3.9, способного работать на системах с несколькими десятками мегабайт ОЗУ. Выпуск подготовлен для Linux, Windows, Haiku, AmigaOS, RISC OS и различных Unix-подобных систем. Код браузера написан на языке Си и распространяется под лицензией GPLv2. Новый выпуск примечателен поддержкой CSS Media Queries, улучшением обработки JavaScript и исправлением накопившихся ошибок. Браузером поддерживаются вкладки, закладки, отображение эскизов страниц, автодополнение URL в адресной строке, масштабирование страниц, HTTPS, SVG, интерфейс для управления Cookie, режим сохранения страниц с изображениями, стандарты HTML 4.01, CSS 2.1 и частично HTML5. Предоставляется ограниченная поддержка JavaScript, которая по умолчанию отключена. Страницы отображаются при помощи собственного … Читать далее Выпуск web-браузера NetSurf 3.9

В подсистеме fbdev (Framebuffer) выявлена уязвимость, которая может привести к переполнению стека ядра на 64 байта при обработке некорректно оформленных параметров EDID. Эксплуатация может быть осуществлена через подключение к компьютеру вредоносного монитора, проектора или иного устройства ввода (например, специально подготовленного устройства, симулирующего монитор). Интересно, что на уведомление об уязвимости первым откликнулся Линус Торвальдс, который предложил собственноручно написанный патч с исправлением. Источник: http://www.opennet.ru/opennews/art.shtml?num=51143 Читать далее Уязвимость в fbdev, эксплуатируемая при подключении вредоносного устройства вывода

Опубликован метод, позволяющий в любом дополнении к Chrome добиться выполнения внешнего JavaScript-кода без предоставления дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить только код, входящий в локальную поставку, но предложенный метод даёт возможность обойти данное ограничение и выполнить в контексте дополнения любой JavaScript, загруженный с внешнего сайта. В настоящее время компания Google закрыла публичный доступ к отчёту о проблеме, но в архиве сохранился пример кода для эксплуатации проблемы. Способ аналогичен методу обхода ограничения script-src ‘self’ в CSP и сводится к подстановке тега script через document.createElement(‘script’) и включения в него … Читать далее Уязвимость, позволяющая дополнениям Chrome выполнять внешний код несмотря на права доступа

Компания Dropbox выпустила бета-версию новой ветки (77.3.127) десктоп-клиента для работы с облачным сервисом Dropbox, в которой для Linux добавлена поддержка XFS, ZFS, Btrfs и eCryptFS. Поддержка ZFS и XFS заявлена только для 64-разрядных систем. Кроме того в новой версии обеспечено отображение размера данных, сохранённых через функцию Smarter Smart Sync, и устранена ошибка, приводившая к нерабоспособности кнопки «Open Dropbox Folder» в Ubuntu 19.04. Напомним, что в прошлом году Dropbox прекратил поддержку синхронизации данных с облаком в случае использования файловых систем, отличных от Ext4. В качестве причины упоминались проблемы с поддержкой расширенных атрибутов/Xattrs. Источник: http://www.opennet.ru/opennews/art.shtml?num=51140 Читать далее Dropbox возобновил поддержку XFS, ZFS, Btrfs и eCryptFS в Linux-клиенте

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.7 (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Об особенностях LKRG можно прочитать в первом анонсе проекта. Среди изменений в новой версии: Проведён рефакторинг кода для обеспечения поддержки различных архитектур CPU. Добавлена начальная поддержка архитектуры ARM64; Обеспечена совместимость с ядрами Linux 5.1 и 5.2, а также … Читать далее Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимостей в ядре Linux

Представлен выпуск дистрибутива Slackel 7.2, построенного на наработках проектов Slackware и Salix, и полностью совместимого с предлагаемыми в них репозиториями. Ключевой особенностью Slackel является использование постоянно обновляемой ветки Slackware-Current. Графическое окружение основано на оконном менеджере Openbox. Размер загрузочного образа, способного работать в Live-режиме, 1.5 Гб (32 и 64 бит). Дистрибутив может использоваться на системах с 512 МБ ОЗУ. Основные новшества: Добавлен графический интерфейс instonusb для установки Live-образов Slackel и Salix на USB-накопитель, в том числе с возможностью создания шифрованного файла с изменённым в процессе работы состоянием; Добавлена графическая утилита multibootusb для создания Live USB редакций Slackel и Salix, позволяющих на … Читать далее Выпуск дистрибутива Slackel 7.2

Состоялся релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.15, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Основные улучшения: В генератор сборочных … Читать далее Релиз системы сборки CMake 3.15

Представлен релиз дистрибутива Deepin 15.11, основанного на пакетной базе Debian, но развивающего собственный рабочий стол Deepin Desktop Environment и около 30 пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект основан группой разработчиков из Китая, но трансформировался в международный проект. Дистрибутив поддерживает русский язык. Все наработки распространяются под лицензией GPLv3. Размер загрузочного iso-образа 2.3 Гб (amd64). Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ (Qt5) и Go. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов работы. В классическом режиме осуществляется более явное … Читать далее Выпуск дистрибутива Deepin 15.11, развивающего собственное графическое окружение

Компания Google включила компилятор для языка программирования Rust в состав исходных текстов платформы Android, что позволяет использовать данный язык для сборки компонентов Android или для проведения тестов. В состав также добавлены репозиторий android_rust со скриптами для сборки Rust для Android и crate-пакеты byteorder, remain и libc. Следует отметить, что аналогичным образом в состав репозитория с кодом Android входят языки Go, Python, Perl, M4, Java (JDK11), а также GCC и LLVM. Источник: http://www.opennet.ru/opennews/art.shtml?num=51133 Читать далее Компилятор Rust добавлен в состав дерева исходных текстов Android

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.14.4 и 9.11.9, а также находящейся в разработке экспериментальной ветки 9.15.2. В новых выпусках устранена уязвимость (CVE-2019-6471), вызванная состоянием гонки и способная привести к отказу в обслуживании (завершение процесса при срабатывании assert) при блокировании большого числа входящих пакетов. Кроме того в новой версии 9.14.4 добавлена поддержка API GeoIP2 для подключения базы определения местоположения по IP-адресам от компании MaxMind (включается через сборку с опцией «—with-geoip2»). Для GeoIP2 прекращена поддержка некоторых ACL (например, проверка по параметрам скорости сети, организации и коду страны), ранее поддерживаемых для старого API GeoIP, сопровождение которого больше не производится компанией MaxMind. … Читать далее Обновление DNS-серверов BIND 9.14.4 и Knot 2.8.3