Компания Mozilla представила выпуск Things Gateway 0.6, который представляет собой универсальную прослойку для организации доступа к различным категориям потребительских и IoT-устройств, скрывающую за собой особенности каждой платформы и не требующую использования специфичных для каждого производителя приложений. Код проекта написан на языке JavaScript с использованием серверной платформы Node.js. Для взаимодействия шлюза с IoT-платформами можно использовать протоколы ZigBee и ZWave, WiFi или прямое подключение через GPIO. Прошивки с шлюзом подготовлены для различных моделей Raspberry Pi. Шлюз можно установить на плату Raspberry Pi и получить систему управления умным домом, объединяющую все имеющиеся в доме IoT-устройства и предоставляющую средства для мониторинга и управления ими … Читать далее Выпуск Mozilla Things Gateway 0.6, шлюза для умного дома и IoT-устройств

В операционной системе Junos, основанной на FreeBSD и используемой в различных сетевых устройствах компании Juniper, устранено 22 уязвимости. Большинство проблем позволяют удалённо инициировать отказ в обслуживании, вызвав крах как отдельных сервисов (RPD — Routing Protocols Daemon, flowd, jdhcpd, L2ALD, dcd, J-Web, telnetd ), так и ядра системы. Кроме DoS-уязвимостей можно выделить следующие проблемы: Возможность удалённого получения root-доступа на устройство без прохождения аутентификации. Проблема проявляется только при активном сервисе RSH и при отключенном PAM; Некорректная конфигурация SSHD в Juniper Device Manager (JDM) и устройствах Juniper NFX позволяет получить удалённый доступ к системе без аутентификации, в случае если в системе задан хотя … Читать далее В продуктах Juniper исправлены 22 уязвимости

Состоялся первый стабильный выпуск PeerTube, децентрализованной платформы для организации видеохостинга и видеовещания. PeerTube предлагает независимую от отдельных поставщиков альтернативу YouTube, Dailymotion и Vimeo, использующую для распределения трафика сеть распространения контента на базе P2P-коммуникаций и связывании между собой браузеров посетителей. Наработки проекта распространяются под лицензией AGPLv3. PeerTube базируется на применении распределённого BitTorrent-клиента WebTorrent, который использует технологию WebRTC для организации прямого P2P-канала связи между браузерами, и протокола ActivityPub, позволяющего объединить разрозненные серверы с видео в общую федеративную сеть, в которой посетители участвуют в доставке контента и имеют возможность подписки на каналы и получения уведомлений о новых видео. Каждый сервер с видео выполняет … Читать далее Доступна децентрализованная видеовещательная платформа PeerTube 1.0

Исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продолжено выявление критических уязвимостей в Ghostscript, позволяющих обойти ограничения sandbox-изоляции, применяемой при запуске в режиме «-dSAFER». Выявленные узявимости позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов. Исправления пока доступны только в виде патчей (1, 2, 3), в дистрибутивах пакеты с Ghostscript ещё не обновлены. Первая уязвимость (CVE-2018-17961) вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения. Вторая уязвимость (CVE-2018-18073) позволяет организовать выполнение оператора «.forceput» через манипуляции с переданным … Читать далее В Ghostscript выявлены две новые критические уязвимости

Организация Open Invention Network (OIN), ставящая перед собой цель защиты экосистемы Linux от патентных претензий, объявила о присоединении компании Microsoft к числу участников OIN, которые обязуются не выдвигать патентные претензии и безвозмездно разрешают использовать некоторые запатентованные технологии в проектах, связанных с экосистемой Linux. В качестве своего вклада в общее дело компания Miсrosoft передала участникам OIN право на использование более 60 тысяч своих патентов. В число участников OIN входит 2650 компаний, сообществ и организаций, подписавших лицензионное соглашение о совместном использовании патентов. Среди основных участников OIN, обеспечивающих формирование защищающего Linux патентного пула, такие компании, как Google, IBM, NEC, Toyota, SUSE, Philips, Red … Читать далее Компания Microsoft присоединилась к инициативе по защите Linux от патентных претензий

Компания Mozilla раскрыла результаты независимого аудита безопасности инфраструктуры, используемой для доставки обновлений к Firefox. В ходе аудита были проверены сервер отдачи обновлений, клиентские компоненты для применения обновлений и используемые проектом методы доставки. Аудит включал как изучение кода на наличие возможных уязвимостей, так и анализ надёжности протокола и стойкости применяемых криптоалгоритмов. Аудит был выполнен компанией X41 D-SEC и не выявил критических проблем, но обнаружил серию ошибок, среди которых 3 проблемы имеют высокий уровень опасности. Все опасные ошибки найдены в коде серверного бэкенда Balrog и связаны с недоработками управляющего административного web-интерфейса в области защиты от CSRF-атак (Cross-Site Request Forgery). Опасность данных проблем … Читать далее Опубликованы результаты аудита системы обновления Firefox

Мэйнтейнер пакетов с Firefox в Fedora Linux представил обновлённые сборки экспериментального пакета с Firefox, работающего поверх Wayland и использующего декорирование окон на стороне клиента (CSD, Client Side Decoration), при котором заголовок и рамки окна отрисовываются не оконным менеджером, а самим приложением. Пакет с модифицированным Firefox 62.0.3 подготовлен для Fedora 27, 28 и 29. Сборка также примечательна добавлением патча для корректной работы WebRTC через мультимедийный сервер PipeWire (замена PulseAudio) в окружениях на базе Wayland (при помощи PipeWire в sandbox-окружении с браузером реализуется функциональность, недоступная из-за того, что Wayland-приложения изолированы от остального рабочего стола и не могут обращаться к другим окнам). Кроме … Читать далее В Fedora 30 решено поставлять по умолчанию сборку Firefox на базе Wayland

Компания Proxmox, известная разработкой дистрибутива Proxmox Virtual Environment для развертывания инфраструктур виртуальных серверов, опубликовала релиз дистрибутива Proxmox Mail Gateway 5.1. Proxmox Mail Gateway преподносится как готовое решение для быстрого создания системы контроля за почтовым трафиком и защиты внутреннего почтового сервера. Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Proxmox Mail Gateway функционирует как прокси-сервер, выступающий в роли шлюза между внешней сетью и внутренним почтовым сервером на базе MS Exchange, Lotus Domino или Postfix. Имеется возможность управления … Читать далее Выпуск дистрибутива Proxmox Mail Gateway 5.1

Опубликован релиз web-браузера Min 1.8, предлагающего минималистичный интерфейс, построенный вокруг манипуляций с адресной строкой. Браузер создан с использованием платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и платформы Node.js. Интерфейс Min написан на JavaScript, CSS и HTML. Код распространяется под лицензией Apache 2.0. Сборки сформированы для Linux, macOS и Windows. Min поддерживает навигацию по открытым страницам через систему вкладок, предоставляющих такие функции как открытие новой вкладки рядом с текущей вкладкой, скрытие невостребованных вкладок (к которым пользователь не обращался определённое время), группировка вкладок и просмотр всех вкладок в виде списка. Имеются средства для построения списков отложенных задач/ссылок для чтения … Читать далее Доступен web-браузер Min 1.8

Представлен релиз новой стабильной ветки открытой коммуникационной платформы Asterisk 16, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходные тексты проекта доступны под лицензией GPLv2. Asterisk 16 отнесён к категории выпусков с расширенной поддержкой (LTS), обновления для которого будут выпускаться в течение пяти лет вместо свойственных для обычных выпусков двух лет. Поддержка прошлой LTS-ветки Asterisk 13 продлится до октября 2019 года. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание функциональности. Asterisk 16 также стал первым выпуском после поглощения проекта компанией … Читать далее Релиз коммуникационной платформы Asterisk 16 и дистрибутива FreePBX 15

Разработчики проекта GNOME объявили о предстоящем удалении поддержки глобального меню в GNOME 3.32. В качестве основного варианта меню для приложений GNOME теперь преподносится меню, доступное через кнопку в заголовке окна приложения. Данное меню будет универсальным и помимо ранее доступных первичных функций будет включать и вторичные элементы, которые ранее выносились приложениями GNOME в глобальное меню на верхней панели. Для сторонних приложений меню будет показываться в окне в традиционном виде. В качестве причины отказа от глобального меню называется недовольство пользователей данной функцией и путаница, которая создаётся из-за отделения меню от приложения (не все воспринимают верхнюю панель как интерактивное меню и люди часто … Читать далее В GNOME 3.32 будет прекращена поддержка глобального меню

В ответ на категорическое отрицание компаниями Apple, Amazon и Supermicro информации о шпионском чипе в серверных материнских платах Supermicro, издание Bloomberg раскрыло источник сведений (изначально заявлялось о получении информации из 23 источников). Данные о шпионском чипе были переданы Йосси Эплбаумом (Yossi Appleboum), ранее служившим в Разведывательном корпусе израильской армии, а ныне занимающим пост директора компании Sepio System, специализирующейся на компьютерной безопасности. Никаких фотографий чипа и доказательств его наличия по-прежнему не предоставлено. Проблемные платы также до сих пор не были переданы для изучения независимым экспертам. Более того, в новой статье приводится описание принципиально иного импланта, который по данным Эплбаума был найден … Читать далее Bloomberg раскрыл источник сведений о шпионском чипе в платах Supermicro

В пакете Net-SNMP, реализующем протоколы SNMP v1, SNMP v2c и SNMP v3, выявлены две уязвимости (CVE-2018-18066, CVE-2018-18065), позволяющие инициировать отказ в обслуживании через отправку специально оформленного запроса без прохождения аутентификации. Для эксплуатации уязвимостей достаточно знать строку с community (обычно «public»). Проблема проявляется во всех актуальных стабильных выпусках, включая последний релиз 5.7.3. Исправления пока доступны только в тестовом выпуске net-snmp 5.8 или в виде патчей (1, 2). Уязвимость CVE-2018-18066 блокируется патчем, принятым в 2015 году в SUSE, Ubuntu, RHEL и Debian для закрытия уязвимости CVE-2015-5621. Проблема CVE-2018-18065 остаётся неисправленной. Читать далее DoS-уязвимость в Net-SNMP

Брендан Грег (Brendan Gregg), один из разработчиков DTrace, объявил об открытии доступа к репозиторию проекта BPFtrace, в рамках которого развивается высокоуровневый язык для написания скриптов динамической отладки и анализа производительности приложений и ядра, продолжающий развитие системы DTrace (позиционируется как DTrace 2.0). Наработки проекта распространяются под лицензией Apache 2.0. BPFtrace реализован в виде фронтэнда, транслирующего отладочные сценарии в форму приложений eBPF, имеющих доступ к низкоуровневым примитивам ядра для анализа производительности. Для компиляции скриптов BPFtrace в байткод BPF применяется бэкенд на базе LLVM. Язык BPFtrace напоминает AWK и Си, и предоставляет возможности для упрощения трассировки, похожие на DTrace и SystemTap. eBPF представляет … Читать далее Для Linux представлена система динамической отладки BPFtrace (DTrace 2.0)

Представлен релиз пользовательской оболочки Plasma 5.14, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу нового выпуска можно через Live-сборку от проекта openSUSE и сборки от проекта KDE neon. Пакеты для различных дистрибутивов можно найти на данной странице. Ключевые улучшения: Реализован новый виджет для настройки параметров экрана, удобный при организации показа презентаций (добавлена опция для предотвращения блокировки экрана и автоматического перехода в спящий режим); В виджет управления громкостью добавлен встроенный тест громкоговорителей, который перенесён из конфигуратора мультимедийной подсистемы Phonon; В виджет управления подключением к сети возвращена поддержка создания туннелей … Читать далее Релиз рабочего стола KDE Plasma 5.14

Nadav Amit, разработчик ядра Linux из компании VMware, поделился результатом исследования особенностей оптимизации в GCC небольших функций ядра. Исследование было проведено после того, как разработчик столкнулся с непонятным феноменом — внесение несущественных изменений в код ядра, приводило к небольшому, но заметному снижению производительности в тестах. Примечательно, что подобные вносимые изменения были оптимизациями и теоретически должны были увеличить производительность, но на деле производительность падала. Дело оказалось в том, что GCC принимает решение об использовании inline-развёртывания функций в зависимости от результатов косвенной оценки размера результирующего кода (даже если функция определена с ключевым словом «inline»). Компилятор не учитывает фактический размер результирующего кода, а … Читать далее Влияние несущественных изменений кода на производительность при использовании GCC

Мэйнтейнеры пакетов с СУБД Redis в дистрибутивах Fedora и Debian создали совместный проект GoodFORM по поддержанию форков дополнительных модулей к Redis, недавно переведённых компанией Redis Labs в категорию несвободного ПО. В настоящее время форки созданы для модулей RediSearch, rejson, rebloom и rmtest. Как и изначальные варианты оригинальных модулей, форки будут распространяться под лицензией AGPLv3. Авторы инициативы планируют поддерживать на плаву созданные форки, применяя только свободные изменения и исправления. Заинтересованные участники сообщества приглашаются подключиться к развитию свободных модулей. Напомним, что компания Redis Labs перевела дополнительные модули к Redis на лицензию Apache 2.0 с дополнительной оговоркой — Commons Clause, которая вводит ограничение … Читать далее Основан проект GoodFORM, который продолжит развитие свободных модулей к СУБД Redis

Увидел свет релиз реляционной СУБД Firebird 3.0.4, продолжающей развитие кода БД InterBase 6.0, открытого в 2000 году компанией Borland. Firebird распространяется под свободной лицензией MPL и поддерживает стандарты ANSI SQL, в том числе такие возможности, как триггеры и хранимые процедуры. В новой версии устранена уязвимость в реализации типа BLOB, позволяющая получить доступ к данным в записях с типом BLOB без наличия полномочий для доступа к таблице, содержащей эти данные. Из изменений, связанных с безопасностью также отмечается добавление опции для использования SHA-256 вместо SHA-1 для идентификации клиента. Среди других изменений: В пространство имён SYSTEM добавлены переменные WIRE_COMPRESSED и WIRE_ENCRYPTED для определения, … Читать далее Выпуск СУБД Firebird 3.0.4

Компания Google объявила о решении по закрытию социальной сети Google+. Работа Google+ будет прекращена в конце августа 2019 года. В течение 10-месячного переходного периода пользователям будут предоставлены инструменты для загрузки размещённых в Google+ данных или для их миграции в другие сервисы. Отмечается, что Google+ не завоевал должного признания у пользователей и 90% всех сеансов в данном сервисе не превышает 5 секунд. Кроме того, раскрыта информация об инциденте с безопасностью Google+, выявленном инженерами компании Google. В People API, применяемом для подключения приложений к Google+, была выявлена ошибка, позволявшая прикреплённым приложениям получить доступ не только к публично доступной информации профиля, но и … Читать далее Google закрывает социальную сеть Google+

Сопровождающие пакеты с СУБД Redis в дистрибутивах Fedora и Debian создали форки для дополнительных модулей к Redis, недавно переведённых компанией Redis Labs в категорию несвободного ПО. Для продолжения разработки свободных модулей к Redis основан проект GoodFORM. В настоящее время форки созданы для модулей RediSearch, rejson, rebloom и rmtest. Как и изначальные варианты оригинальных модулей, форки будут распространяться под лицензией AGPLv3. Авторы инициативы планируют поддерживать на плаву созданные форки, применяя только свободные изменения и исправления. Заинтересованные участники сообщества приглашаются принять участие в развитии модулей. Напомним, что компания Redis Labs перевела дополнительные модули к Redis на лицензию Apache 2.0 с дополнительной оговоркой … Читать далее В рамках проекта GoodFORM основан форк модулей к СУБД Redis

В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлено несколько уязвимостей. Самая опасная из проблем потенциально позволяет получить полный доступ к системе, при наличии аутентифицированного доступа. Проблемы устранены в обновлениях прошивки RouterOS 6.40.9, 6.42.7 и 6.43. Выявленные уязвимости: CVE-2018-1156 — возможность выполнения произвольного кода на устройстве при наличии аутентифицированного доступа. Воспользовавшись заданными по умолчанию и не изменёнными пользователем параметрами входа атакующий может получить root-доступ в окружении операционной системы и организовать выполнение таких операций, как проброс трафика. Уязвимость также может использоваться в сочетании с проблемой в компоненте Winbox (CVE-2018-14847), выявленной в апреле и устранённой в августовском обновлении. CVE-2018-14847 позволяет узнать параметры … Читать далее Новые уязвимости в маршрутизаторах MikroTik и TP-Link