Представлен релиз СУБД ScyllaDB, позиционируемой как полностью совместимый аналог СУБД Apache Cassandra, переписанный с Java на C++ и демонстрирующий существенное увеличение производительности. Код проекта распространяется под лицензией AGPLv3. По сравнению с оригинальной СУБД Apache Cassandra проект ScyllaDB обеспечивает увеличение скорости обработки запросов на каждом узле в 10 раз, в 99% случаев успевая обработать запрос менее чем за миллисекунду. Обработка большего числа запросов на одном узле позволяет существенно снизить затраты на кластер (при использовании AWS EC2 в 2.5 раз), в котором для достижения заданных характеристик потребуется на порядок меньше узлов, чем при создании кластера на основе классической СУБД Cassandra. Например, 4-узловой … Читать далее Выпуск СУБД ScyllaDB 3.0, совместимой с Apache Cassandra

Исследователь безопасности Willem de Groot обратил внимание на недоработку, напоминающую недавно выявленную уязвимость в реализации SCP. Подконтрольный злоумышленнику сервер MySQL может получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды «LOAD DATA LOCAL» файлов сервер может загрузить произвольные файлы с системы клиента, например, SSH-ключи или параметры криптокошельков. Как и в случае SCP, проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотека лишь выполняет переданную сервером команду без проверки её соответствия исходному запросу. Подразумевается, что имя файла, указанное в отправленной пользователем конструкции «LOAD DATA…LOCAL», совпадает с именем файла, указанным … Читать далее Скомпрометированный MySQL-сервер может получать произвольные локальные файлы клиентов

Состоялся релиз дистрибутива Parrot 4.5, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены три варианта iso-образов: с окружением MATE (полный 3.7 Гб и сокращённый 1.8 Гб) и с рабочим столом KDE (2 Гб). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt … Читать далее Выпуск дистрибутива Parrot 4.5 с подборкой программ для проверки безопасности

Подготовлен релиз дистрибутива Porteus Kiosk 4.8.0, основанного на Gentoo и предназначенного оснащения автономно работающих интернет-киосков, демонстрационных стендов и терминалов самообслуживания. Загрузочный образ дистрибутива занимает 93 Мб. Базовая сборка включает только минимальный набор компонентов, необходимых для запуска web-браузера (поддерживаются Firefox и Chrome), который урезан в своих возможностях для предотвращения нежелательной активности в системе (например, недопускается изменение настроек, заблокирована загрузка/установка приложений, открыт только доступ к выбранным страницам). Дополнительно предлагаются специализированные сборки Cloud для комфортной работы с web-приложениями (Google Apps, Jolicloud, OwnCloud, Dropbox) и ThinClient для работы в роли тонкого клиента (Citrix, RDP, NX, VNC и SSH) и Server для управления сетью киосков. … Читать далее Выпуск Porteus Kiosk 4.8.0, дистрибутива для оснащения интернет-киосков

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита ветки OpenSSL 1.1.1, сосредоточенного на анализе безопасности алгоритмов и кода, связанных с реализацией TLS 1.3, новых протоколов и переработанного генератора псевдослучайных чисел. Работа выполнена французской компанией QuarksLab, которая находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки, и уже привлекалась для аудита проектов OpenVPN и VeraCrypt. Проведение аудита было профинансировано компанией Private Internet Access и проектом DuckDuckGo. Аудит не выявил серьёзных проблем с безопасностью в OpenSSL 1.1.1 и реализации TLS 1.3. Код отмечен в целом как безопасный, быстрый и функциональный, но … Читать далее Завершён аудит реализации TLS 1.3 в OpenSSL 1.1.1

Доступен релиз Python-библиотеки для научных вычислений NumPy 1.16, ориентированной на работу с многомерными массивами и матрицами, а также предоставляющей большую коллекцию функций с реализацией различных алгоритмов, связанных с использованием матриц. NumPy является одной из наиболее востребованных библиотек, применяемых для научных расчётов. Код проекта написан на языке Python с применением оптимизаций на языке Си и распространяется под лицензией BSD. NumPy 1.16 объявлен как последний выпуск, в котором сохраняется поддержка Python 2.7. Новые возможности отныне будут добавляться только в ветку для Python 3, а поддержка Python 2 ограничится исправлением ошибок. Сопровождение ветки 1.16 будет обеспечено до 31 декабря 2019 года, после чего … Читать далее Доступен NumPy 1.16, последний релиз с поддержкой Python 2

Исследователь безопасности Willem de Groot обратил внимание на недоработку, напоминающую недавно выявленную уязвимость в реализацией SCP. Подконтрольный злоумышленнику сервер MySQL может получить доступ к файлам на локальной системе клиента (в рамках его прав доступа). Вместо отправляемых при помощи команды «LOAD DATA LOCAL» файлов, сервер может загрузить произвольные файлы с системы клиента, например, SSH-ключи или параметры криптокошельков. Как и в случае SCP проблема вызвана тем, что имена загружаемых файлов формирует сервер, а клиентская библиотеке лишь выполняет переданную сервером команду без проверки соответствия исходному запросу. Подразумевается, что имя файла указанное в отправленной пользователем конструкции «LOAD DATA…LOCAL» совпадает с именем файла, указанным в … Читать далее Получение контроля за MySQL-сервером позволяет получить локальные файлы клиентов

1 февраля ряд DNS-сервисов и производителей DNS-серверов решили провести день корректной обработки запросов EDNS (DNS flag day). В этот же день организация ISC планирует выпустить новый значительный релиз DNS-сервера BIND 9.14, в который будут внесены изменения, нарушающие совместимость резолвера с некоторыми DNS-серверами, на которых используется старое ПО с некорректно реализованной обработкой запросов с расширенными флагами EDNS. EDNS определяет механизм расширения размера параметров DNS и позволяет добавлять в протокол новые флаги. Расширенные флаги кодируются в специальных RR-записях, что позволят сохранить обратную совместимость с классическим протоколом DNS (не поддерживающий EDNS сервер может ответить на запрос без учёта дополнительных флагов). EDNS был стандартизирован … Читать далее Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS

Разработчики Debian сообщили о достижении первой стадии заморозки пакетной базы Debian 10, в рамках которой прекращено выполнение «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing). 12 февраля 2019 года состоится мягкая заморозка пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. 12 марта будет применена полная заморозка перед релизом, при которой процесс переноса пакетов из unstable в testing будет полностью остановлен и начнётся этап интенсивного тестирования и исправления блокирующих релиз проблем. В настоящее время насчитывается 577 критических ошибок, блокирующих релиз (в момент … Читать далее Debian 10 "Buster" перешёл на первую стадию заморозки перед релизом

Сообщается об обнаружении следов взлома официального репозитория пакетов PEAR (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл «go-pear.phar», в котором содержится установочный комплект с пакетным менеджером «go-pear». Модификация была осуществлена 6 месяцев назад. Потенциально могут быть скомпрометированы системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера «go-pear» из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле рекомендуется сравнить хэши имеющегося у пользователя архива «go-pear.phar» с аналогичной версией архива, поставляемой через … Читать далее Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.15, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 февраля. Ключевые улучшения: Виджеты В виджете контроля заряда аккумулятора реализовано отображение состояния аккумулятора внешних Bluetooth-устройств (функция работоспособна только при установке свежих версий upower и bluez); В диалог настройки обоев рабочего стола встроены функции для загрузки и установки новых плагинов с реализацией динамических обоев; Улучшена читаемость имён файлов … Читать далее Тестирование рабочего стола KDE Plasma 5.15

В четвертую годовщину проекта, 28 ноября 2018 года, команда Devuan анонсировала свою первую конференцию, которая будет проведена в Амстердаме 5-7 апреля 2019 года. 18 января 2019, как и обещалось, стали известны подробности: Начало: пятница, 5 апреля 13:00 CEST Окончание: воскресенье, 7 апреля 16:00 CEST Место проведения: Амстердам Хаутхейвенс, Хапарандадам 7, 1013АК, Нидерланды (на карте) Презентации: PID1: приветствие и вступление Важность минимализма и модульности CI Galore: Devuan SDK и Docker Toaster Создание своего собственного дистрибутива Конкуренция с гигантами: как продать Devuan вашей компании ОС Maemo-Leste для мобильных телефонов N900 ОС DECODE для P2P Micro-Services через Tor Dowse: прозрачный прокси для контроля … Читать далее Определён график проведения и список докладов первой конференции Devuan

Доступен выпуск приложения Entangle 2.0, предоставляющего графический интерфейс для съёмки с привязкой (tethered shooting). Код программы написан на языке Си с использованием библиотеки GTK3+ и поставляется под лицензией GPLv3. Программа позволяет подключить цифровую фотокамеру к компьютеру посредством кабеля или беспроводного интерфейса и не трогая камеру полностью удалённо управлять процессом съёмки, сразу просматривая результат на экране компьютера и выбирая оптимальные параметры снимка для получения наилучшего качества (светочувствительность ISO, баланс белого, выдержка). Программа также предоставляет доступ к настройкам камеры (разрешение, формат изображения и т.д.) и поддерживает расширение функциональности через плагины (например, поддержка сервиса Photo Box, режим автоматической съёмки Eclipse Totality и пакетный … Читать далее Выпуск Entangle 2.0, программы для управления цифровыми камерами

Представлен релиз дистрибутива Endless OS 3.5.4, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Приложения распространяются в виде самодостаточных пакетов в формате Flatpak. Размер предлагаемых загрузочных образов составляет от 1.7 до 16 ГБ. Endless OS можно отнести к числу дистрибутивов, которые являются локомотивами для продвижения инноваций среди пользовательских Linux-систем. Пользовательский интерфейс Endless OS основан на значительно переработанном форке окружения GNOME. При этом разработчики Endless активно участвуют в разработке upstream-проектов и передают им свои наработки. Например, в выпуске GTK+ 3.22 около 9.8% всех изменений было подготовлено разработчиками Endless, а курирующая проект компания Endless … Читать далее Выпуск дистрибутива Endless OS 3.5.4

Facebook представил первый стабильный релиз проекта Spectrum, в рамках которого развивается кроссплатформенная библиотека для перекодирования и обработки изображений. Код проекта написан на языке С++ и распространяется под лицензией MIT. Для Android и iOS предоставляются надстройки на Java и Objective-C, позволяющие в мобильных приложениях эффективно выполнять различные операции с изображениями. Библиотека предоставляет простой декларативный API, дающий возможность определить характеристики выходного изображения и Spectrum сам вычислит и выполнит все необходимые преобразования, включая разбор и изменение метаданных EXIF. Обработчики форматов изображений определены в виде плагинов. Например, для формата JPEG по умолчанию применяется кодировщик Mozjpeg, обеспечивающий более высокую степень сжатия. Для обработки PNG применяется … Читать далее Facebook опубликовал Spectrum 1.0.0, библиотеку для работы с изображениями

Исследователи безопасности из компании Embedi раскрыли информацию об уязвимостях в платформе ThreadX RTOS, активно применяемой для обеспечения работы прошивок различных специализированных одночиповых систем, в том числе чипов для организации беспроводных коммуникаций. Прошивки на базе ThreadX используются в более чем 6 миллиардах различных промышленных и потребительских устройств. На примере беспроводного чипсета Marvell Avastar 88w8897 продемонстрирована возможность совершения реальной удалённой атаки, позволяющей выполнить код с привилегиями ядра операционной системы через отправку специально оформленного WiFi-пакета. Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка (современные WiFi чипы реализуются на базе архитектуры FullMAC, подразумевающей наличие специализированного процессора, на … Читать далее Уязвимость в прошивках на базе ThreadX, позволяющая атаковать различные устройства через WiFi

Состоялся релиз языка системного программирования Rust 1.32, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Релиз языка программирования Rust 1.32

Опубликован релиз свободного векторного графического редактора Inkscape 0.92.4 и одновременно альфа-выпуск новой значительной ветки 1.0. Редактор предоставляет гибкие инструменты для рисования и обеспечивает поддержку чтения и сохранения изображений в форматах SVG, OpenDocument Drawing, DXF, WMF, EMF, sk1, PDF, EPS, PostScript и PNG. Готовые сборки Inkscape 0.92.4 подготовлены для Linux (универсальный AppImage, Snap и PPA для Ubuntu) и Windows. Альфа-выпуск 1.0 доступен в форматах AppImage и Snap. Основные новшества Inkscape 0.92.4: Возможность выравнивания нескольких объектов, манипулируя ими как целостной группой, перемещаемой относительно одного отдельного объекта; Возможность пошагового изменения значений при выборе цвета через удерживание клавиши «Ctrl» во время перемещения ползунка (по … Читать далее Выпуск редактора векторной графики Inkscape 0.92.4 и начало тестирования ветки 1.0

На состоявшемся на днях заседании акционеров компании Red Hat были согласованы условия сделки о продаже бизнеса Red Hat компании IBM. Владельцы 141 млн акций Red Hat проголосовали за проведение сделки, против высказались владельцы 181 тысячи акций, а обладатели 462 тысяч акций воздержались. Ранее в октябре сделка была согласована на уровне советов директоров Red Hat и IBM. До завершения сделки остаётся получить разрешение антимонопольных служб стран, в которых зарегистрированы компании. Сделку планируется завершить во втором квартале 2019 года. Сумма сделки составит приблизительно 34 миллиарда долларов, в расчёте 190 долларов за акцию (сейчас стоимость акции Red Hat составляет 175 долларов, а на … Читать далее Акционеры Red Hat одобрили сделку по продаже бизнеса компании IBM

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 3.0.1. Сборки подготовлены для устройств Jolla 1, Jolla C, Sony Xperia X, Xperia XA2, Xperia XA2 Ultra и Xperia XA2 Plus, и уже доступны в форме OTA-обновления. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но их код планировалось открыть ещё … Читать далее Выпуск мобильной ОС Sailfish 3.0.1

Разработчик сервиса проверки скомпрометированных паролей haveibeenpwned.com, выполняющего проверку по базе в 6.4 миллиардах учётных записей, похищенных в результате взломов более 340 сайтов, сообщил о получении одного из крупнейших списков взломанных учётных данных, который был размещён на файлообменнике mega.nz и анонсирован на одном из хакерских форумов. Полученная база включает 2.69 миллиарда записей и охватывает около 773 млн email-адресов и связанных с ними паролей. 110 млн email-адресов ранее не присутствовали в базе haveibeenpwned.com и информация по их компрометации получена впервые. Всего в базе содержится 1.16 млрд уникальных комбинаций из email и паролей. Пароли приведены в открытом виде. После распаковки БД занимает на … Читать далее Выявлена база скомпрометированных учётных записей, охватывающая 773 млн пользователей