В Fizz, развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения. Воспользовавшись уязвимостью атакущий может исчерпать доступные ресурсы, что приведёт к недоступности сервера для пользователей. Так как Fizz активно применяется во внутренней и внешней инфраструктуре Facebook, указанная уязвимость могла привести к блокированию работы сервисов Facebook. Facebook был уведомлен о проблеме 20 февраля и устранил уязвимость до раскрытия сведений о её наличии. Читать далее Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook

Подведены итоги второго дня соревнования Pwn2Own 2019, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge, Safari, VMware Workstation и VirtualBox. Суммарный размер выплат составил 510 тысяч долларов (общий призовой фонд составлял более 2 млн долларов). Успешно продемонстрированные следующие взломы: $35 тысяч — взлом VirtualBox: целочисленное переполнение + race condition, позволившие из окружения гостевой системы выполнить код на стороне хост-системы; $35 тысяч — взлом VirtualBox: целочисленное переполнение, позволившее получить доступ к базовому системному окружению из гостевой системы; $40 тысяч — взлом Firefox: ошибка в JIT + использование логической … Читать далее На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox

Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.4. Код проекта поставляется под лицензией GPLv3. Интерфейс написан на Python и PyQt5. Ядро обработки видео (libopenshot) реализовано на C++ и использует возможности пакета FFmpeg. Интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, даёт возможность работы с многотрековыми монтажными шкалами с возможностью перемещения … Читать далее Выпуск свободного видеоредактора OpenShot 2.4.4

Группа исследователей из Университета штата Северная Каролина опубликовала результаты (PDF) анализа случайного попадания конфиденциальных данных в публично доступные репозитории на GitHub. Например, из-за недосмотра в репозитории временами попадают оставленные в рабочем каталоге или вшитые в код ключи доступа к облачным сервисам, пароли к СУБД, ключи к VPN и сертификаты для цифровых подписей. В ходе проделанной работы был исследован как статических срез, включающий 13% репозиториев на GitHub (около 4 млн репозиториев), так и проанализирована динамика появления новых утечек, для чего на протяжении 6 месяцев отслеживались все новые коммиты на GitHub. Для анализа использовались срезы содержимого GitHub, предоставляемые через хранилище BigQuery, а … Читать далее Анализ утечек конфиденциальных данных через репозитории на GitHub

Фонд Свободного ПО представил семь новых устройств компании ThinkPenguin, получивших сертификат «Respect Your Freedom«, который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Сертификат получили: Беспроводные адаптеры с интерфейсами USB и PCIe — Penguin Wireless G USB Adapter (PE-G54USB2) и Penguin Wireless N Dual-Band PCIe (TPE-N300PCIED2); Ethernet-адаптеры PCIe Gigabit Ethernet (TPE-1000MPCIE, двухпортовый), PCI Gigabit Ethernet (TPE-1000MPCI), Penguin 10/100 USB Ethernet v1 (TPE-100NET1) и Penguin 10/100 USB v2 (TPE-100NET2); Микрофон Penguin TPE-USBMIC с интерфейсом USB. Это первый микрофон, сертифицированный Фондом СПО. Для … Читать далее Фонд свободного ПО сертифицировал микрофон, 2 Wi-Fi и 4 Ethernet адаптера

Продолжают находить критические уязвимости в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Новые проблемы CVE-2019-3835 и CVE-2019-3838 позволяют обойти режим изоляции «-dSAFER» и организовать выполнение произвольного кода в системе при обработке специально оформленных документов. В дистрибутивах уязвимости устранены в RHEL, Fedora и Ubuntu и остаются неисправленными в Debian, Arch, SUSE, FreeBSD. За последние 6 месяцев в Ghostscript выявлено уже 16 подобных уязвимостей. Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на … Читать далее Очередные критические уязвимости в Ghostscript

Доступен релиз анонимной сети I2P 0.9.39 и C++-клиента i2pd 2.24.0. Ключевые изменения в I2P 0.9.39: В официальный установщик включен плагин I2PControl для управления I2P-роутером через RPC API; Добавлена поддержка LeaseSet2 на флудфилах ( floodfill, proposal 123); Добавлена опция для отключения старого транспорта NTCP1; Добавлена поддержка offline-ключей в стримах; Добавлена поддержка websocket-соединений через HTTP прокси; Обновлен набор иконок в веб-консоли, удалены темы classic и midnight; Добавлена поддержка Tomcat 8.5.38. Ключевые изменения в i2pd 2.24.0: Поддержка transient ключей для LeaseSet2; Поддержка зашифрованных LeaseSet2; Поддержка типа подписи 11 (RedDSA); Поддержка websocket-соединений через HTTP прокси; Возможность отключить сохранение адресной книги; Исправлен race condition при … Читать далее Новый релиз анонимной сети I2P 0.9.39 и C++-клиента i2pd 2.24

После более года разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.14. Поддержка ветки 9.14 будет осуществляться до 2 квартала 2020 года в рамках штатного цикла сопровождения. В следующем году будет сформирован LTS релиз 9.16, который будет поддерживаться три года. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.12 прекратиться в июне. BIND 9.14.0 стал первым стабильный выпуском, сформированным в рамках новой схемы нумерации версий. Нечётные номера релизов теперь присваиваются экспериментальным веткам, в которых развивается функциональность для будущих стабильных веток, имеющих чётный номер выпуска. Формирование отдельных альфа- и бета-веток прекращено. Таким … Читать далее Выпуск BIND 9.14.0, разрывающий совместимость с серверами, не отвечающими на запросы с EDNS

Организация The Document Foundation объявила о выходе LibreOffice 6.2.2, второго корректирующего выпуска из семейства LibreOffice 6.2 «fresh». Версия 6.2.2 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать выпуск LibreOffice 6.1.5 «still». Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows. Обновление включает исправление 55 ошибок (RC1, RC2). Читать далее Корректирующий выпуск LibreOffice 6.2.2

Доступен новый выпуск SSH-клиента PuTTY 0.71, в котором устранены восемь уязвимостей. Некоторые проблемы выявлены участниками инициативы FOSSA (Free and Open Source Software Audit), выплачивающей вознаграждение за обнаружение уязвимостей в ключевых открытых проектах, применяемых в госучреждениях Евросоюза. Первая уязвимость позволяет организатору MITM-атаки обойти проверку DSA и получить доступ сеансу пользователя (просматривать и вносить изменения в сеансы), в случае использования ключей в формате DSA («ssh-dss»). Уязвимость возникла в процессе переработки криптографического стека, но к счастью присутствовала только в экспериментальной ветке Putty и была выявлена до публикации релиза. Вторая уязвимость выявлена в реализации протокола обмена ключами RSA и может привести к целочисленному переполнению … Читать далее Выпуски libssh2 1.8.1 и Putty 0.71 с устранением уязвимостей

Компания CodeWeavers выпустила релиз пакета Crossover 18.5, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 18.5 можно загрузить на данной странице. В новой версии проведено обновление кодовой базы до Wine 4.0. Реализация звукового API XAudio2 переведена на наработки проекта FAudio. Использование FAudio позволяет добиться более высокого качества звука в играх и задействовать такие возможности как смешивание громкости и расширенные звуковые эффекты. В версии для Linux обеспечена … Читать далее Релиз CrossOver 18.5 для Linux и macOS

Состоялся стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.17. Ветка 1.17 обратно совместима на уровне API и ABI с выпусками 1.x, но дополнительно содержит порцию улучшений. Кроме устранения проблем и недоработок в Wayland 1.17 переработан код для вывода сведений о внутренних ошибках сервера, обновлён протокол wl_seat и обеспечено приоритетное использование wl_surface.damage_buffer. Ожидавшийся сегодня выпуск композитного сервера Weston 6.0 отложен до конца недели из-за выявления в последний момент ошибки в сценариях сборки meson, исправления для которых требуют дополнительного тестирования. Напомним, что в Weston развиваются технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и других пользовательских окружениях. … Читать далее Доступен Wayland 1.17

После почти года разработки состоялся релиз браузера Falkon 3.1.0, пришедшего на смену QupZilla после перехода проекта под крыло сообщества KDE и переноса разработки в инфраструктуру KDE. Ожидается, что разработка под эгидой KDE позволит привлечь к работе над браузером новых разработчиков и стимулировать развитие проекта. Код проекта распространяется под лицензией GPLv3. Основные новшества: Добавлена поддержка написания плагинов с использованием QML. Стабилизирована поддержка плагинов на языке Python; Добавлен плагин MiddleClickLoader, вставляющий текст из буфера обмена при нажатии средней кнопки мыши; Добавлен плагин для интеграции с KDE и обеспечения доступа к страницам из компонентов KDE Frameworks; Добавлена начальная поддержка клиентских сертификатов (требуется QtWebEngine … Читать далее Релиз браузера Falkon 3.1.0, развиваемого проектом KDE

После шести месяцев разработки представлен релиз проекта LLVM 8.0 (Low Level Virtual Machine) — GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Из новых возможностей LLVM 8.0 отмечается включение защиты от атак Spectre, поддержка распараллеленной компиляции в ORC JIT, стабилизация компиляции в WebAssembly, добавление в Clang опции для инициализации автоматически распределяемых переменных, улучшение предкомпиляции и поддержка флага /Zc:dllexportInlines в clang-cl, поддержка архитектуры RISC-V в компоновщике lld, расширение средств диагностики. Улучшения … Читать далее Релиз набора компиляторов LLVM 8.0

Опубликован релиз Samba 4.10.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.10: В KDC и Netlogon добавлена поддержка модели запуска процессов «pre-fork», позволяющей поддерживать пул заранее запущенных процессов-обработчиков. Значение по молчанию параметра ‘prefork children’ в smdb.conf увеличено с 1 до 4; В реализации модели pre-fork обеспечен автоматический перезапуск сбойных процессов. Задержки между попытками повторного … Читать далее Выпуск Samba 4.10.0

Доступен релиз специализированного дистрибутива Tails 3.13 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 Гб. В новом выпуске обеспечено сохранение на постоянный носитель резервной копии настроек при каждом их изменении. Обновлены версии приложений: Tor Browser 8.0.7, Thunderbird 65.1.0, Tor 0.3.5.8, ядро Linux 4.19.28. Микрокод Intel обновлён до версии … Читать далее Релиз дистрибутива Tails 3.13 и браузера Tor Browser 8.0.7

Опубликовано обновление операционной системы Solaris 11.4 SRU 7, в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: В состав включена сборочная система Ninja; Продукт Oracle VM Server for SPARC обновлён до версии 3.6.1, в которой улучшены запуск LDoms Manager, синхронизация с Hypervisor и SP, работа подкоманд ‘ldm’ , перенос окружений на новые системы и надёжность live-миграции; Обновлены версии программ GNU awk 4.2.1, FFTW 3.3.8, Nghttp2 1.35.0, tigervnc 1.9.0. Устранена проблема с отображением даты последней установки и обновления в выводе команды «pkg info». Налажена … Читать далее Обновление Solaris 11.4 SRU 7

После шести месяцев разработки компания Oracle выпустила платформу Java SE 12 (Java Platform, Standard Edition 12), в качестве эталонной реализации которой используется открытый проект OpenJDK. В Java SE 12 сохранена обратная совместимость с прошлыми выпусками платформы Java, все ранее написанные Java-проекты без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 12 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64), Solaris (SPARC), Windows и macOS. Разработанная в рамках проекта OpenJDK эталонная реализация Java 12 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими динамическое связывание с коммерческими продуктами. Java SE 12 отнесён … Читать далее Компания Oracle опубликовала Java SE 12

Представлен релиз web-браузера Firefox 66, а также мобильной версии Firefox 66 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.6.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 67, релиз которой намечен на 15 мая. Основные новшества: Добавлена поддержка механизма «Scroll Anchoring«, при котором позиция прокрутки привязывается к конкретному месту на странице и не меняется при отображении новых элементов в вышележащей области. Изменение позволит исключить ситуации, когда прокрутка сразу после открытия страницы приводит к постепенному смещению позиции и необходимости вновь и вновь прокручивать содержимое по мере загрузки изображений и внешних вставок (например, ранее возникали казусы, … Читать далее Релиз Firefox 66

Компания Google удалила из каталога Google Play развиваемое проектом KDE мобильное приложение KDE Connect, которое обеспечивает бесшовную интеграцию рабочего стола KDE со смартфоном. Установка данного приложения позволяет отобразить на рабочем столе поступающие SMS, выводить уведомления о звонках и предупреждения о пропущенном вызове, управлять воспроизведением музыки с телефона, синхронизировать буфер обмена. В качестве причины удаление называется несоответствие новым правилам Google Play, ужесточающим доступ приложений к SMS-сообщениям и спискам звонков. Об изменениях было объявлено в январе, после чего разработчикам приложений, которые запрашивают полномочия для доступа к SMS и спискам звонков, было дано два месяца на заполнение специальной формы с подробным обоснованием необходимости … Читать далее Из-за изменения правил в Google Play оставлена урезанная версия KDE Connect

Компания Google объявила от открытии проекта Sandboxed API, позволяющего автоматизировать процесс формирования sandbox-окружений для изолированного выполнения произвольных библиотек на языках C и C++. Изоляция кода библиотек позволяет защититься от потенциальных атак на предоставляемые библиотеками обработчики, создавая дополнительный барьер на случай наличия в их коде уязвимостей, которые можно эксплуатировать через манипуляции с поступающими в библиотеку внешними данными. Код открыт под лицензией Apache 2.0. Изоляция осуществляется при помощи runtime Sandbox2, в котором применяются пространства имён, cgroups и seccomp-bpf. Вынесенный в sandbox код выполняется в отдельном процессе, для которого ограничивается доступ к системным вызовам и ресурсам, таким как файлы и сетевые соединения. Процессы … Читать далее Google открыл систему для создания sandbox-окружений для библиотек C/C++