Представлен первый релиз новой стабильной ветки XMPP-сервера Prosody 0.11, в которой представлено более 2000 изменений. При разработке сервера основное внимание уделяется простоте установки и настройки, низкому потреблению ресурсов и лёгкости расширения функциональности. Код проекта написан на языке Lua и распространяется под лицензией MIT. Наиболее значительные улучшения в новой ветке коснулись модулей MUC и pubsub, которые реализуют одни из самых крупных расширений (XEP) стандарта XMPP. Предыдущие версии сервера уже довольно давно поддерживали MUC и pubsub, но предлагаемая реализация была довольно сильно усложнена, не отвечала актуальному состоянию спецификаций и имела проблемы с масштабированием. Основные изменения в Prosody 0.11: Улучшена работа чата. Переписан … Читать далее Релиз XMPP/Jabber сервера Prosody 0.11.0

Состоялся первый выпуск проекта Nohang, в рамках которого подготовлен демон для GNU/Linux, обрабатывающий ситуации нехватки памяти и предотвращающий исчерпание свободной памяти (OOM, Out Of Memory). Демон написан на языке Python, потребляет около 10 MiB VmRSS и настраивается с помощью файла конфигурации (/etc/nohang/nohang.conf). По сравнению с аналогичным проектом earlyoom, nohang обладает некоторыми дополнительными возможностями. Код открыт под лицензией MIT. Основные особенности: Настраиваемая интенсивность мониторинга: если на сервере не предполагаются резкие перепады потребления памяти, то можно снизить нагрузку на процессор, снизив интенсивность мониторинга; При нехватке памяти nohang сначала отправляет SIGTERM процессу с наибольшим oom_score. При дальнейшем падении уровня доступной памяти и отсутствии … Читать далее Выпуск Nohang 0.1, предотвращающего OOM в пространстве пользователя

Компания Tracktion, известный производитель цифровых звуковых рабочих станций, открыла исходные тексты пакета Tracktion Engine, включающего высокоуровневую модель данных и набор С++ классов для создания звуковых приложений, от простых плееров и секвенсоров до полноценных студийных звуковых рабочих станций (DAW). Код написан на языке С++ и открыт под лицензией GPLv3. Дополнительно предоставляется коммерческая лицензия для использования движка в проприетарных проектах. Проект был создан в результате трёхлетней работы по рефакторингу движка цифровых звуковых рабочих станций, развиваемых компанией Tracktion. Движок был упрощён, переведён на модульную основу и адаптирован для создания других звуковых приложений. Целью проведённой работы была подготовка компонентов, которые бы учитывали основные особенности … Читать далее Компания Tracktion открыла движок для создания звуковых приложений

Группа исследователей из Амстердамского свободного университета разработала (PDF) усовершенствованный вариант атаки RowHammer, позволяющей изменить содержимого отдельных битов в памяти на базе чипов DRAM, для защиты целостности в которых применяются коды коррекции ошибок (ECC). Атака может быть выполнена удалённо при наличии непривилегированного доступа к системе. Напомним, что уязвимость RowHammer позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. … Читать далее Разработан метод атаки на DRAM-память, позволяющий обойти защиту ECC

В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена уязвимость (CVE-2018-18955), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении. Уязвимость вызвана ошибкой в ядре 4.15, внесённой в октябре прошлого года. Проблема исправлена в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Уязвимость присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных … Читать далее Уязвимость в ядре Linux, позволяющая обойти ограничения user namespace

В рамках проекта eDEX-UI подготовлено консольное окружение, оформленное в стиле компьютерного интерфейса из фантастического фильма Tron Legacy. В отличие от похожих проектов, таких как DEX-UI, в eDEX-UI реализован не интерактивный макет, а пригодное для реальной работы окружение. Окружение построено с использованием платформы Electron и доступно в сборках для Linux, Windows и macOS. Код распространяется под лицензией GPLv3. Боковые панели отражают состояние параметров работы системы, такие как нагрузка на CPU, потребление памяти, сетевую активность и данные с датчиков. В нижней части размещён файловый менеджер и экранная клавиатура, позволяющая использовать интерфейс на сенсорных экранах. Центральным звеном является эмулятор терминала: в Linux используется … Читать далее Представлен eDEX-UI 1.0, консольный интерфейс в стиле фильма Трон 2

Разработчики из компании Google возобновили попытки переноса в основное ядро Linux изменений, развиваемых в варианте ядра для платформы Android. В настоящее время в устройствах с платформой Android применяются отдельные модифицированные ветки ядра, на поддержание которых тратятся большие ресурсы. Первые попытки передачи в основное ядро всех специфичных для Android исправлений были предприняты в 2010 и 2011 годах, но привели лишь к частичной передаче кода. Разработка всех развиваемых для Android дополнений в основном ядре даст возможность пользователям и авторам прошивок применять свежие выпуски обычного ядра Linux, не ограничиваясь ядрами, предлагаемыми Google. В свою очередь разработчики Android смогут существенно упростить сопровождение ядра для … Читать далее Инициатива по передаче в основное ядро Linux специфичных для Android изменений

В ночных сборках Firefox, на основе которых будет сформирован намеченный на 29 января релиз Firefox 65, переработана секция настройки блокировки контента. В Firefox 65 также планируется по умолчанию активировать блокировщик (в Friefox 63 он реализован в виде опции, но в ночных сборках уже включен по умолчанию). Пользователю будет предложено три режима блокировки (стандартный, строгий и настраиваемый): В стандартном режиме разработчики попытались предложить оптимальные настройки для производительности и защиты приватности. В данном режиме блокируются Cookie, выставляемые сторонними скриптами отслеживания, но допускается выполнение отдельных систем отслеживания, блокирование которых может нарушить нормальную работу сайтов; В строгом режиме блокируются все известные системы отслеживания перемещений … Читать далее В Firefox 65 будет переработан интерфейс настройки блокировки контента

Представлен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF — Ghostscript 9.26, в котором устранено несколько уязвимостей, которые позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов. CVE-2018-17961 — уязвимость вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения. CVE-2018-18073 — уязвимость позволяет организовать выполнение оператора «.forceput» через манипуляции с переданным в обработчик исключения доступом к исполняемому стеку. CVE-2018-18284 — уязвимость позволяет обойти механизм sandbox-изоляции через манипуляцию с векторами с использованием оператора 1Policy; Уязвимость, связанная с небезопасным созданием временных файлов … Читать далее В Ghostscript 9.26 устранена очередная порция уязвимостей

Группа исследователей из Университета имени Давида Бен-Гуриона в Негеве (Израиль), Аделаидского университета (Австралия) и Принстонского университета разработали метод атаки по сторонним каналам, позволяющий определить какой сайт открыт в соседней вкладке браузера через анализ задержек при обращении к кэшу. Проблеме подвержен в том числе Tor Browser. Атака построена c применением нейронной сети, выявляющей характерную при работе с каждым сайтом активность кэша. Подобные атаки ранее были предложены для выявления фактов открытия web-страниц на основе статистического анализа шифрованного сетевого трафика, в том числе позволяющие через пассивный анализ трафика определять отправку определённых запросов через Tor. В предложенной исследователями атаке вместо анализа сетевого трафика используется … Читать далее Представлена атака на браузеры, позволяющая определить сайт в другой вкладке

Доступен выпуск проекта PlayOnLinux 4.3, в рамках которого развивается надстройка над Wine для организации запуска популярных Windows-игр, предоставляющая графический интерфейс, автоматизирующая конфигурирование окружения Wine и упрощающая установку игр. Код проекта написан на bash и Python, и распространяется под лицензией GPLv3. Находящаяся на стадии тестирования ветка 5.0 переписана на Java и развивается в рамках проекта Phoenicis. В PlayOnLinux 4.3 улучшена поддержка экранов с высокой плотностью пикселей (HiDPI) и обеспечена совместимость с инфраструктурой автоматической сборки Wine (winebuild), развиваемой для проекта Phoenicis (PlayOnLinux 5). Новый winebuild использует Docker, написан на Pythоn и не привязан к конкретным операционным системам. Применяемый в PlayOnLinux 4 сервис … Читать далее Новая версия пакета PlayOnLinux 4.3

В популярном свободном движке для создания форумов phpBB выявлена уязвимость (CVE-2018-19274), позволяющая выполнить PHP-код на сервере и получить контроль за всей инфраструктурой форумов, имея полномочия администратора одного из форумов. Проблема устранена в выпуске phpBB 3.2.4. Уязвимость вызвана отсутствием проверки поступающих от пользователя данных, перед их использованием в функции file_exists(). Данная особенность позволяет применить для эксплуатации технику «Phar deserialization«, манипулирующую автоматической десериализацией метаданных при обработке файлов Phar (PHP Archive). Атакующий имеет возможность задать в панели управления абсолютный путь к исполняемому файлу с редактором изображений (ImageMagic). Перед применением новой настройки данный путь без проверки будет обработан функцией file_exists(), которая в случае указания … Читать далее Уязвимость в движке для создания форумов phpBB

Состоялся релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.13, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Основные улучшения: В команду cmake … Читать далее Релиз системы сборки CMake 3.13

Подготовлен новый выпуск модуля ngx_php с реализацией встраиваемого в nginx интерпретатора языка программирования PHP. Модуль позволяет создавать обработчики запросов на PHP, модифицировать запрос/ответ, фильтровать тело ответа и заголовки, создавать заглушки для блокирования уязвимостей в web-приложениях, организовывать проверку доступа. По сравнению с запуском PHP при помощи fpm модуль ngx_php обеспечивает доступ к внутренним API nginx и демонстрирует существенный прирост производительности (от 2 до 10 раз). location = /nginx_request { set $a 123; content_by_php ‘ echo ngx_request::document_uri(); echo «ngx::query_args()n»; var_dump(ngx::query_args()); $a = ngx_var::get(«a»); var_dump($a); ‘; } Дополнительно можно отметить вышедшую на днях статью о применении модуля njs (NGINX JavaScript module) для создания … Читать далее Выпуск ngx_php 0.0.13, модуля с интерпретатором PHP для nginx

Компания Mozilla развивает новую систему синтеза речи LPCNet, которая дополняет ранее запущенную инициативу по разработке системы распознавания речи. LPCNet обеспечивает более эффективный синтез речи благодаря комбинированию традиционных методов цифровой обработки сигналов (DSP) с механизмами синтеза на основе машинного обучения. Исходные тексты реализации LPCNet распространяются под лицензией BSD. Несмотря на то, что современные модели синтеза речи на основе нейронных сетей, такие как WaveNet, позволяют добиться превосходного качества синтеза, их реализация сильно усложнена и требует большой вычислительной мощности. Данная особенность затрудняет использование подобных систем для синтеза речи в режиме реального времени на таких устройствах, как телефоны. В качестве выхода в LPCNet предлагается … Читать далее Компания Mozilla представила систему синтеза речи LPCNet

Представлен релиз свободной библиотеки OpenCV 4.0 (Open Source Computer Vision Library), предоставляющей средства для обработки и анализа содержимого изображений. OpenCV предоставляет более 2500 алгоритмов, как классических, так и отражающих последние достижения в области компьютерного зрения и систем машинного обучения. Код библиотеки написан на языке С++ и распространяется под лицензией BSD. Биндинги подготовлены для различных языков программирования, включая Python, MATLAB и Java. Библиотека может применяться для распознавания объектов на фотографиях и видео (например, распознавание лиц и фигур людей, текста и т.п.), отслеживания движения объектов и камеры, классификации действий на видео, преобразования изображений, извлечения 3D-моделей, формирования 3D-пространства из изображения от стереокамер, создания … Читать далее Выпуск библиотеки компьютерного зрения OpenCV 4.0

Компания Apple представила первый стабильный релиз новой ветки открытой распределённой СУБД FoundationDB 6.0, позволяющей создавать хранилища для обработки очень больших наборов структурированных данных, распределённых на узлах кластера из типовых серверов. СУБД FoundationDB манипулирует данными в формате ключ/значение и рассчитана на создание распределённых хранилищ, в которых для всех операций с данными возможно использование полноценных транзакций, удовлетворяющих требованиям ACID (атомарность, согласованность, изолированность, надежность). Код СУБД написан на языке С++ и поставляется под лицензией Apache 2.0. Сборки подготовлены для Linux, macOS и Windows. СУБД готова для промышленного внедрения, что подтверждается активным применением в инфраструктуре Apple и ряда других крупных компаний. Распределённое хранилище основано … Читать далее Стабильный релиз СУБД FoundationDB 6.0, развиваемой компанией Apple

Линус Торвальдс предложил пересмотреть механизм активации патчей STIBP (Single Thread Indirect Branch Predictors), предлагающих дополнительную защиту от проявления уязвимостей класса Spectre v2. Данные патчи недавно были включены в находящуюся в разработке ветку 4.20 и бэкпортированы в стабильный выпуск 4.19.2. При применении STIBP в текущем виде пользователи отметили существенное снижение производительности выполнения некоторых приложений при применении технологии одновременной многопоточности (SMT или Hyper-Threading). Так как падение производительности достигает 50%, по мнению Линуса, применение STIBP в текущем виде лишено смысла, так как проще и надёжнее вообще отключить SMT/Hyper-Threading, что обычно и делают люди, озабоченные безопасностью. Возникает вопрос, нужно ли включать STIBP по умолчанию, … Читать далее Линус Торвальдс поднял вопрос целесообразности расширенной защиты от Spectre v2

Исследователи безопасности из компании Cisco выявили несколько уязвимостей в маршрутизаторах TP-Link TL-R600VPN (проблемы устранены в свежем обновлении прошивки): CVE-2018-3949 — ошибка в http-сервере, связанная с некорректной обработкой спецсимволов в путях, позволяет прочитать любой файл в системе, отправив запрос к страницам помощи, доступным без аутентификации. В ходе атаки, например, можно отправить запрос «/help/../../../../../../../../../../../../../../../../etc/shadow» для получения содержимого файла с хэшами паролей; CVE-2018-3951 — переполнение буфера при разборе HTTP-заголовков может быть использовано для выполнения кода с правами http-сервера (запускается под пользователем root) при отправке специально оформленного http-запроса к страницам «/fs/*». Для атаки требуется наличие аутентифицированного доступа (может быть получен через эксплуатацию первой уязвимости); … Читать далее Удалённо эксплуатируемые уязвимости в маршрутизаторах TP-Link TL-R600VPN

Компания Apple представила первый стабильный релиз новой ветки открытой распределённой СУБД FoundationDB 6.0, позволяющей создавать хранилища для обработки очень больших наборов структурированных данных, распределённых на узлах кластера из типовых серверов. СУБД FoundationDB манипулирует данными в формате ключ/значение и рассчитана на создание распределённых хранилищ, в которых для всех операций с данными возможно использование полноценных транзакций, удовлетворяющих требованиям ACID (атомарность, согласованность, изолированность, надежность). Код СУБД написан на языке С++ и поставляется под лицензией Apache 2.0. Сборки подготовлены для Linux, macOS и Windows. СУБД готова для промышленного внедрения, что подтверждается активным применением в инфраструктуре Apple и ряда других крупных компаний. Распределённое хранилище основано … Читать далее Выпуск распределённой СУБД FoundationDB 6.0, развиваемой компанией Apple

Спустя 10 месяцев разработки и четыре с половиной года с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.6, в котором предложено 13 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. Ключевые изменения в новом выпуске: Устранены ошибки, приводящие к краху или некорректной обработке формата MS-ODRAW (Microsoft Office Drawing Binary File); Входящая в поставку версия OpenSSL обновлена до выпуска 0.9.8zh, а библиотека curl до выпуска 7.61.1 (ранее поставлялся 7.19.7); Обеспечено корректное сохранение в формат Docbook на платформах Windows 7 и Windows 10; Исправлена ошибка, приводившая к генерации локали «en-US_uk» вместо локали «uk» для украинского языка; Обновлён … Читать далее Выпуск офисного пакета Apache OpenOffice 4.1.6