За последнюю неделю раскрыта информация о нескольких крупных инцидентах, связанных с утечкой персональных данных: Компания Dell опубликовала сведения о произошедшей 9 ноября атаке на внутреннюю сеть компании, в результате которой злоумышленники получили доступ к инфраструктуре, обеспечивающей работу сайта dell.com. В том числе зафиксирована попытка выгрузки базы пользователей Dell, включающей персональные данные (ФИО, email) и хэши паролей (информация о степени надёжности применяемого метода хэширования не приводится). БД с номерами кредитных карт не пострадала. В качестве ответной меры компанией Dell инициирован процесс смены паролей. Всем пользователям, имеющим учётную запись на dell.com, рекомендуется убедиться, что используемый пароль не применялся для авторизации на других … Читать далее Взлом инфраструктуры компании Dell. Ряд массовых утечек персональных данных

Состоялся выпуск Polemarch 0.2.3, web-интерфейса для управления серверной инфраструктурой на базе Ansible. Код проекта написан на языках Python и JavaScript с использованием фреймворков Django и Celery. Проект распространяется под лицензией AGPL. Готовые сборки сформированы и протестированы для CentOS 7 и Ubuntu 18.04. Для запуска системы достаточно установить пакет и запустить 1 сервис. Так же поддерживается ручная установка из PyPI для более тонкой настройки пакетов и управления окружением. Для промышленного применения рекомендуется дополнительно использовать MariaDB и Redis (кэш и брокер MQ). Главной особенностью данного релиза является обновление библиотек AdminLTE до версии 3.0 и Bootstrap 4.1, что позволило реализовать гибкую настройку интерфейса … Читать далее Релиз Polemarch 0.2.3, web-интерфейса для Ansible

Разработчики проекта OpenSSL объявили об изменении нумерации версий библиотеки. Вместо специфичных номеров, помечающих каждое обновление буквой (например, 1.0.2q), начиная со следующего значительного релиза решено применить традиционную нумерацию «Major.Minor.Patch». Первая цифра (Major) в версии будет меняться только при нарушении совместимости на уровне API/ABI. Для выпусков, наращивающих функциональность без изменения API/ABI будет увеличиваться вторая цифра (Minor). Будущий значительный релиз будет выпущен под номером 3.0.0, а корректирующие обновления будут именоваться 3.0.1, 3.0.2 и т.д. Версия 2.0 будет пропущена для избежания пересечений с находящимся в разработке FIPS-модулем к OpenSSL. Существующие выпуски 1.1.1 и 1.0.2 продолжат обновляться в соответствии со старой схемой нумерации. Выпуск 3.0.0 … Читать далее Проект OpenSSL переходит на лицензию Apache и меняет схему нумерации выпусков

Команды FreeBSD Core Team, Release Engineering, Security Team и Port Manager предложили пересмотреть модель поддержки релизов FreeBSD. Новую модель поддержки FreeBSD планируется выработать до 31 марта 2019 года, после обсуждения возможных вариантов с сообществом. Разработчики намерены сократить жизненный цикл значительных стабильных веток и ускорить формирование новых веток. В качестве причины упоминается изменение обстановки в области обеспечения безопасности, увеличение скорости развития инструментов и сокращение циклов поддержки upstream-компонентов. Независимо от результатов обсуждения для ветки FreeBSD 12-STABLE будет гарантирована поддержка на протяжении как минимум 18 месяцев или 6 месяцев с момента первого выпуска ветки FreeBSD 13-STABLE, в зависимости от того, какой срок истекает … Читать далее Пересмотр сроков поддержки релизов FreeBSD

В декабре в Москве пройдут две конференции, затрагивающие тематику свободного ПО: 15-16 декабря в отеле Новотель Москва Сити пройдёт RustRush 2018 — международная конференция для разработчиков на языке Rust. Заявлено 12 докладчиков из разных стран, среди них 4 докладчика из Rust Team: Стив Клабник, Эшли Уильямс, Паскаль Хертляйф и Катарина Фей. Основные темы конференции — веб, блокчейн, системное программирование и высокая производительность. Будет 2 семинара: Стив Клабник и Эшли Уильямс проведут семинар об использовании связки Rust и WebAssembly, а Артём Павлов (основатель проекта RustCrypto) — о криптографии на чистом Rust. Посещение платное, но предусмотрена 50% скидка для студентов (промокод STUDENT … Читать далее В декабре в Москве состоятся конференции по языку Rust и компьютерной графике

В выдаче поисковой системы Bing появилась пометка о наличии опасного для пользователей контента на сайте проекта VideoLan, развивающего свободный мультимедийный проигрыватель VLC. Попытки прямого перехода со страницы Bing на сайт VideoLan уже несколько дней блокируются (для перехода в блоке с предупреждением требуется явно согласиться с намерением перейти на потенциально опасный сайт). В качестве причины появления метки указано выявление вредоносной активности. Примечательно, что службы «Google Safe browsing» и VirusTotal не находят на сайте ничего подозрительного и опасного. На сайте Microsoft Secure Team упоминается атака, используемая для установки бэкдора при помощи вредоносного InPage-документа и устаревшей версии VLC с неисправленной уязвимостью. Каким образом … Читать далее Microsoft Bing начал предупреждать о вредоносной активности на сайте VideoLan

В четвертую годовщину проекта команда разработчиков дистрибутива Devuan (Debian без systemd) анонсировала первую конференцию, которая будет проведена в Амстердаме 5-7 апреля 2019 года. В настоящий момент проводится предварительный этап подготовки, на котором принимаются заявки от желающих принять участие и выступить с докладами, приглашаются спонсоры и принимаются пожертвования. Конференция носит некоммерческий характер и организаторы намерены лишь покрыть затраты на её проведение. Если взносов и пожертвований хватит на покрытие всех расходов, то запись на конференцию будет бесплатной. Организаторы заявляют о том, что будет производиться прямая трансляция всего мероприятия, а позже все записи будут свободно доступны всем желающим. Все предложения, вопросы необходимо направлять … Читать далее Первая конференция Devuan

Некоммерческие организации Linux Foundation и RISC-V Foundation подписали соглашение об объединении усилий в продвижении решений на базе архитектуры RISC-V и усилению её поддержки в открытом ПО. Совместная инициатива позволит расширить экосистему, связанную с RISC-V, привлечь к разработке новых участников, стимулировать создание открытых приложений и аппаратных компонентов, обеспечить поддержку RISC-V в различных операционных системах и средствах разработки. Напомним, что RISC-V предоставляет открытую и гибкую систему машинных инструкций, позволяющую создавать микропроцессоры для произвольных областей применения, не требуя при этом отчислений и не налагая условий на использование. RISC-V позволяет создавать полностью открытые SoC и процессоры. В настоящее время на базе спецификации RISC-V разными … Читать далее Linux Foundation и RISC-V Foundation объединили усилия по продвижению архитектуры RISC-V

Разработчики Mozilla анонсировали третий этап тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), на котором небольшой части пользователей Firefox из США будет предложено активировать DoH и принять участие в тестировании (при нежелании пользователь сможет отказаться). Если первые два этапа тестирования проводились на пользователях ночных сборок и бета-выпусков, то на третьем этапа DoH будет предложен пользователям релизов. Отмечается, что первые два этапа тестирования продемонстрировали неплохие показатели ускорения при работе через медленные каналы связи. У пользователей с высокоскоростным доступом к сети отмечалось замедление на уровне 6 миллисекунд, которое признано несущественным и незаметным в процессе работы. Если первые два этапа … Читать далее Новый этап тестирования DNS поверх HTTPS в Firefox

Компания Mozilla опубликовала финансовый отчет за 2017 год. В 2017 году доходы Mozilla выросли на 42 млн долларов и составили 562 млн долларов, в то время как в 2016 году компания Mozilla заработала 520 млн долларов, в 2015 году 421 млн долларов, в 2014 году — 329 млн долларов, в 2013 — 314 млн, 2012 — 311 млн. 539 млн из 562 млн получены благодаря отчислениям за использование поисковых систем (Baidu, DuckDuckGo, Google, Yahoo, Bing, Yandex), сотрудничеству с различными сервисами (Cliqz, Amazon, eBay) и размещению контекстных рекламных блоков на стартовой странице. 6.4 млн долларов составили пожертвования, что на миллион больше, … Читать далее Компания Mozilla опубликовала финансовый отчёт за 2017 год

Подготовлены корректирующие выпуски пакета Samba 4.9.3, 4.8.7 и 4.7.12, в которых устранено несколько уязвимостей: CVE-2018-14629 — непривилегированный пользователь может инициировать зацикливание встроенного DNS-сервера через создание определённым образом оформленной CNAME-записи при помощи утилиты ldbadd; CVE-2018-16841 — двойное освобождение блока памяти (double-free) при выполнении аутентификации с использованием смарт-карты может привести к краху процесса KDC в случае использования корректного сертификата, не соответствующего ожидаемому значению принципала в AS-REQ; CVE-2018-16851 — разыменование нулевого указателя в коде LDAP-сервера Samba AD DC может привести к завершению работы сервиса LDAP при обработке определённым образом оформленных поисковых LDAP-запросов, результат которых превышает 256MB; CVE-2018-16852 — разыменование нулевого указателя в коде … Читать далее Обновление Samba 4.9.3, 4.8.7 и 4.7.12 с устранением 6 уязвимостей

Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи криптовалюты и проведения целевой атаки на связанные с криптовалютой сервисы. Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе … Читать далее Бэкдор в зависимости к event-stream, популярной библиотеке для Node.js

Доступны новый выпуски почтового сервера Postfix — 3.3.2, 3.2.7, 3.1.10 и 3.0.14. В предложенных обновлениях добавлена поддержка OpenSSL 1.1.1 и реализованы возможности, необходимые для использования протокола TLS 1.3. В том числе в логи и заголовки «Received:» добавлена поддержка специфичных для TLS 1.3 атрибутов «key exchange», «server signature» и «client signature». Реализованы опции для выборочного отключения TLS 1.3 в настройках *_tls_protocols Читать далее Обновление Postfix 3.3.2, 3.2.7, 3.1.10 и 3.0.14 с поддержкой TLS 1.3

Компания Amazon представила новую технологию виртуализации Firecracker, обеспечивающую работу виртуальных машин с минимальными накладными расходами. Платформа предоставляет средства для создания и управления изолированными окружениями и сервисами, построенными с использованием бессерверной модели разработки. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0. Firecracker предлагает легковесные виртуальные машины, именуемые microVM, для полноценной изоляции которых применяются технологии аппаратной виртуализации, но при этом обеспечивается производительность и гибкость на уровне обычных контейнеров. Основу Firecracker составляет монитор виртуальных машин (VMM), использующий встроенный в ядро Linux гипервизор KVM. VMM основан на наработках написанного на языке Rust проекта crosvm, развиваемого компанией Google для запуска Linux … Читать далее Amazon открыл код легковесной платформы виртуализации Firecracker

Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи крипотвалюты и проведения целевой атаки на связанные с криптовалютой сервисы. Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе … Читать далее Бэкдор в зависимости к event-stream, популярной библиотеке к Node.js

Подготовлен первый экспериментальный выпуск СУБД EuclidesDB, предоставляющей средства для использования моделей машинного обучения при индексировании и выборки данных. СУБД позволяет привязывать к различным классам информации отдельные модели машинного обучения, например, можно подключить модель для классификации изображений и применять СУБД для поиска похожих фотографий или выборки изображений, на которых присутствует определённый объект. Проект написан на языке С++ и распространяется под лицензией Apache 2.0. Модели машинного обучения обрабатываются при помощи библиотеки PyTorch (используется C++-интерфейс libtorch). СУБД EuclidesDB предоставляет универсальное решение для создания систем обработки данных с использованием моделей машинного обучения, образующее готовый каркас для подключения необходимых моделей и их применения для поиска … Читать далее Доступна СУБД EuclidesDB, использующая элементы машинного обучения

Разработчики из компании Mozilla включили в кодовую базу, на основе которой формируется релиз Firefox 64, новую реализацию интерфейса для отслеживания потребления ресурсов. Новый интерфейс заменит собой служебную страницу «about:performance» и будет напоминать менеджер задач, упрощающий оценку потребления ресурсов отдельными страницами и дополнениями. Для вызова страницы «about:performance» в основное меню будет добавлена отдельная кнопка. В Firefox 65 планируют добавить дополнительный столбец, отражающий затраты памяти на каждую страницу и дополнение. В разработке также находится прототип, продолжающий модернизацию интерфейса отслеживания потребления ресурсов. Кроме более наглядного отображения информации в будущих выпусках появится возможность раздельного учёта нагрузки, создаваемой внешним кодом, который загружен с другого сайта, … Читать далее В Firefox 64 появится встроенный менеджер задач

Гаэль Дюваль (Gaël Duval), создатель дистрибутива Mandrake Linux, сообщил о доступности второй бета-версии мобильной платформы «/e/» (ранее Eelo), сосредоточенной на обеспечении конфиденциальности пользовательских данных. Второй бета-выпуск примечателен переходом на компоненты Android 8 «Oreo» и существенным расширением числа поддерживаемых устройств, для которых подготовлены сборки платформы. Общее число поддерживаемых устройств доведено до 49. В том числе переход на использование драйверов от Android 8 позволил обеспечить поддержку таких смартфонов, как Xiaomi Redmi Note 5 pro, Xiaomi Mi A1, Xiaomi Mi 6, Xiaomi Pocophone F1, OnePlus 5T и Google Pixel XL. Для поддержания прошивки в актуальном виде предлагается система OTA-обновлений и интерфейс, позволяющий контролировать … Читать далее Второй бета-выпуск мобильной платформы /e/ доступен для 49 устройств

Подготовлен полностью переработанный выпуск GNU OrgaDoc 1.0, переписанный с языка Eiffel на Си (C89). OrgaDoc позволяет автоматизировать работу по генерации документов и организации работы с ними на разных компьютерах. OrgaDoc даёт возможность сформировать индекс имеющихся документов и работать с ними как с единой коллекцией, например, разом копировать на другую систему, синхронизировать состояние коллекции между компьютерами и преобразовывать из одного формата в другой. В состав пакета входит две утилиты: orgadoc-init-readme для поиска имеющихся документов и генерации индекса (readme.xml), и orgadoc для манипуляций с коллекцией и форматирования документов (преобразования из одного формата в другой) на основе информации из readme.xml. Для синхронизации данных … Читать далее Выпуск GNU OrgaDoc 1.0, инструмента для организации работы с коллекцией документов

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 3.21. С момента выпуска версии 3.20 было закрыто 62 отчёта об ошибках и внесено 316 изменений. Наиболее важные изменения: Система маршалинга в Typelib переписана с использованием функций NDR; Решены проблемы с выводом графики в Android 8+. В wineandroid добавлена поддержка gralloc; В DirectWrite добавлена поддержка хранения ресурсов шрифтов в памяти; Улучшена поддержка джойстика; Закрыты отчёты об ошибках, связанные с работой игр и приложений: World of Tanks, RoughDraft 3, 3DMark Vantage, NFS Porsche, CC Tiberian Sun and Red Alert 2, Guild Wars 2, Jupiter, Alan Wake, SWAT 3, Rogue Squadron 3D 1.3, … Читать далее Выпуск Wine 3.21

Увидел свет релиз классической системы инициализации sysvinit 2.92, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart. Изначально релиз планировалось отложить до конца года, но благодаря помощи некоторых разработчиков из проектов Debian и Devuan удалось оперативно устранить остававшиеся нерешёнными проблемы. В новом выпуске: Добавлена поддержка сборки и запуска в окружении Debian GNU/Hurd; Унифицированы задержки отправки сигналов SIGTERM и SIGKILL в командах shutdown и init (задержка теперь составляет 3 секунды); В команду last добавлен флаг «-l», при указании которого полнотью отображаются логины пользователей длиннее 8 символов; В команду shutdown добавлены опции «-q» и «-Q» для снижения частоты вывода … Читать далее Выпуск системы инициализации sysvinit 2.92