Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи криптовалюты и проведения целевой атаки на связанные с криптовалютой сервисы. Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе … Читать далее Бэкдор в зависимости к event-stream, популярной библиотеке для Node.js

Доступны новый выпуски почтового сервера Postfix — 3.3.2, 3.2.7, 3.1.10 и 3.0.14. В предложенных обновлениях добавлена поддержка OpenSSL 1.1.1 и реализованы возможности, необходимые для использования протокола TLS 1.3. В том числе в логи и заголовки «Received:» добавлена поддержка специфичных для TLS 1.3 атрибутов «key exchange», «server signature» и «client signature». Реализованы опции для выборочного отключения TLS 1.3 в настройках *_tls_protocols Читать далее Обновление Postfix 3.3.2, 3.2.7, 3.1.10 и 3.0.14 с поддержкой TLS 1.3

Компания Amazon представила новую технологию виртуализации Firecracker, обеспечивающую работу виртуальных машин с минимальными накладными расходами. Платформа предоставляет средства для создания и управления изолированными окружениями и сервисами, построенными с использованием бессерверной модели разработки. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0. Firecracker предлагает легковесные виртуальные машины, именуемые microVM, для полноценной изоляции которых применяются технологии аппаратной виртуализации, но при этом обеспечивается производительность и гибкость на уровне обычных контейнеров. Основу Firecracker составляет монитор виртуальных машин (VMM), использующий встроенный в ядро Linux гипервизор KVM. VMM основан на наработках написанного на языке Rust проекта crosvm, развиваемого компанией Google для запуска Linux … Читать далее Amazon открыл код легковесной платформы виртуализации Firecracker

Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи крипотвалюты и проведения целевой атаки на связанные с криптовалютой сервисы. Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе … Читать далее Бэкдор в зависимости к event-stream, популярной библиотеке к Node.js

Подготовлен первый экспериментальный выпуск СУБД EuclidesDB, предоставляющей средства для использования моделей машинного обучения при индексировании и выборки данных. СУБД позволяет привязывать к различным классам информации отдельные модели машинного обучения, например, можно подключить модель для классификации изображений и применять СУБД для поиска похожих фотографий или выборки изображений, на которых присутствует определённый объект. Проект написан на языке С++ и распространяется под лицензией Apache 2.0. Модели машинного обучения обрабатываются при помощи библиотеки PyTorch (используется C++-интерфейс libtorch). СУБД EuclidesDB предоставляет универсальное решение для создания систем обработки данных с использованием моделей машинного обучения, образующее готовый каркас для подключения необходимых моделей и их применения для поиска … Читать далее Доступна СУБД EuclidesDB, использующая элементы машинного обучения

Разработчики из компании Mozilla включили в кодовую базу, на основе которой формируется релиз Firefox 64, новую реализацию интерфейса для отслеживания потребления ресурсов. Новый интерфейс заменит собой служебную страницу «about:performance» и будет напоминать менеджер задач, упрощающий оценку потребления ресурсов отдельными страницами и дополнениями. Для вызова страницы «about:performance» в основное меню будет добавлена отдельная кнопка. В Firefox 65 планируют добавить дополнительный столбец, отражающий затраты памяти на каждую страницу и дополнение. В разработке также находится прототип, продолжающий модернизацию интерфейса отслеживания потребления ресурсов. Кроме более наглядного отображения информации в будущих выпусках появится возможность раздельного учёта нагрузки, создаваемой внешним кодом, который загружен с другого сайта, … Читать далее В Firefox 64 появится встроенный менеджер задач

Гаэль Дюваль (Gaël Duval), создатель дистрибутива Mandrake Linux, сообщил о доступности второй бета-версии мобильной платформы «/e/» (ранее Eelo), сосредоточенной на обеспечении конфиденциальности пользовательских данных. Второй бета-выпуск примечателен переходом на компоненты Android 8 «Oreo» и существенным расширением числа поддерживаемых устройств, для которых подготовлены сборки платформы. Общее число поддерживаемых устройств доведено до 49. В том числе переход на использование драйверов от Android 8 позволил обеспечить поддержку таких смартфонов, как Xiaomi Redmi Note 5 pro, Xiaomi Mi A1, Xiaomi Mi 6, Xiaomi Pocophone F1, OnePlus 5T и Google Pixel XL. Для поддержания прошивки в актуальном виде предлагается система OTA-обновлений и интерфейс, позволяющий контролировать … Читать далее Второй бета-выпуск мобильной платформы /e/ доступен для 49 устройств

Подготовлен полностью переработанный выпуск GNU OrgaDoc 1.0, переписанный с языка Eiffel на Си (C89). OrgaDoc позволяет автоматизировать работу по генерации документов и организации работы с ними на разных компьютерах. OrgaDoc даёт возможность сформировать индекс имеющихся документов и работать с ними как с единой коллекцией, например, разом копировать на другую систему, синхронизировать состояние коллекции между компьютерами и преобразовывать из одного формата в другой. В состав пакета входит две утилиты: orgadoc-init-readme для поиска имеющихся документов и генерации индекса (readme.xml), и orgadoc для манипуляций с коллекцией и форматирования документов (преобразования из одного формата в другой) на основе информации из readme.xml. Для синхронизации данных … Читать далее Выпуск GNU OrgaDoc 1.0, инструмента для организации работы с коллекцией документов

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 3.21. С момента выпуска версии 3.20 было закрыто 62 отчёта об ошибках и внесено 316 изменений. Наиболее важные изменения: Система маршалинга в Typelib переписана с использованием функций NDR; Решены проблемы с выводом графики в Android 8+. В wineandroid добавлена поддержка gralloc; В DirectWrite добавлена поддержка хранения ресурсов шрифтов в памяти; Улучшена поддержка джойстика; Закрыты отчёты об ошибках, связанные с работой игр и приложений: World of Tanks, RoughDraft 3, 3DMark Vantage, NFS Porsche, CC Tiberian Sun and Red Alert 2, Guild Wars 2, Jupiter, Alan Wake, SWAT 3, Rogue Squadron 3D 1.3, … Читать далее Выпуск Wine 3.21

Увидел свет релиз классической системы инициализации sysvinit 2.92, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart. Изначально релиз планировалось отложить до конца года, но благодаря помощи некоторых разработчиков из проектов Debian и Devuan удалось оперативно устранить остававшиеся нерешёнными проблемы. В новом выпуске: Добавлена поддержка сборки и запуска в окружении Debian GNU/Hurd; Унифицированы задержки отправки сигналов SIGTERM и SIGKILL в командах shutdown и init (задержка теперь составляет 3 секунды); В команду last добавлен флаг «-l», при указании которого полнотью отображаются логины пользователей длиннее 8 символов; В команду shutdown добавлены опции «-q» и «-Q» для снижения частоты вывода … Читать далее Выпуск системы инициализации sysvinit 2.92

Представлен первый релиз новой стабильной ветки XMPP-сервера Prosody 0.11, в которой представлено более 2000 изменений. При разработке сервера основное внимание уделяется простоте установки и настройки, низкому потреблению ресурсов и лёгкости расширения функциональности. Код проекта написан на языке Lua и распространяется под лицензией MIT. Наиболее значительные улучшения в новой ветке коснулись модулей MUC и pubsub, которые реализуют одни из самых крупных расширений (XEP) стандарта XMPP. Предыдущие версии сервера уже довольно давно поддерживали MUC и pubsub, но предлагаемая реализация была довольно сильно усложнена, не отвечала актуальному состоянию спецификаций и имела проблемы с масштабированием. Основные изменения в Prosody 0.11: Улучшена работа чата. Переписан … Читать далее Релиз XMPP/Jabber сервера Prosody 0.11.0

Состоялся первый выпуск проекта Nohang, в рамках которого подготовлен демон для GNU/Linux, обрабатывающий ситуации нехватки памяти и предотвращающий исчерпание свободной памяти (OOM, Out Of Memory). Демон написан на языке Python, потребляет около 10 MiB VmRSS и настраивается с помощью файла конфигурации (/etc/nohang/nohang.conf). По сравнению с аналогичным проектом earlyoom, nohang обладает некоторыми дополнительными возможностями. Код открыт под лицензией MIT. Основные особенности: Настраиваемая интенсивность мониторинга: если на сервере не предполагаются резкие перепады потребления памяти, то можно снизить нагрузку на процессор, снизив интенсивность мониторинга; При нехватке памяти nohang сначала отправляет SIGTERM процессу с наибольшим oom_score. При дальнейшем падении уровня доступной памяти и отсутствии … Читать далее Выпуск Nohang 0.1, предотвращающего OOM в пространстве пользователя

Компания Tracktion, известный производитель цифровых звуковых рабочих станций, открыла исходные тексты пакета Tracktion Engine, включающего высокоуровневую модель данных и набор С++ классов для создания звуковых приложений, от простых плееров и секвенсоров до полноценных студийных звуковых рабочих станций (DAW). Код написан на языке С++ и открыт под лицензией GPLv3. Дополнительно предоставляется коммерческая лицензия для использования движка в проприетарных проектах. Проект был создан в результате трёхлетней работы по рефакторингу движка цифровых звуковых рабочих станций, развиваемых компанией Tracktion. Движок был упрощён, переведён на модульную основу и адаптирован для создания других звуковых приложений. Целью проведённой работы была подготовка компонентов, которые бы учитывали основные особенности … Читать далее Компания Tracktion открыла движок для создания звуковых приложений

Группа исследователей из Амстердамского свободного университета разработала (PDF) усовершенствованный вариант атаки RowHammer, позволяющей изменить содержимого отдельных битов в памяти на базе чипов DRAM, для защиты целостности в которых применяются коды коррекции ошибок (ECC). Атака может быть выполнена удалённо при наличии непривилегированного доступа к системе. Напомним, что уязвимость RowHammer позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. … Читать далее Разработан метод атаки на DRAM-память, позволяющий обойти защиту ECC

В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена уязвимость (CVE-2018-18955), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении. Уязвимость вызвана ошибкой в ядре 4.15, внесённой в октябре прошлого года. Проблема исправлена в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Уязвимость присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных … Читать далее Уязвимость в ядре Linux, позволяющая обойти ограничения user namespace

В рамках проекта eDEX-UI подготовлено консольное окружение, оформленное в стиле компьютерного интерфейса из фантастического фильма Tron Legacy. В отличие от похожих проектов, таких как DEX-UI, в eDEX-UI реализован не интерактивный макет, а пригодное для реальной работы окружение. Окружение построено с использованием платформы Electron и доступно в сборках для Linux, Windows и macOS. Код распространяется под лицензией GPLv3. Боковые панели отражают состояние параметров работы системы, такие как нагрузка на CPU, потребление памяти, сетевую активность и данные с датчиков. В нижней части размещён файловый менеджер и экранная клавиатура, позволяющая использовать интерфейс на сенсорных экранах. Центральным звеном является эмулятор терминала: в Linux используется … Читать далее Представлен eDEX-UI 1.0, консольный интерфейс в стиле фильма Трон 2

Разработчики из компании Google возобновили попытки переноса в основное ядро Linux изменений, развиваемых в варианте ядра для платформы Android. В настоящее время в устройствах с платформой Android применяются отдельные модифицированные ветки ядра, на поддержание которых тратятся большие ресурсы. Первые попытки передачи в основное ядро всех специфичных для Android исправлений были предприняты в 2010 и 2011 годах, но привели лишь к частичной передаче кода. Разработка всех развиваемых для Android дополнений в основном ядре даст возможность пользователям и авторам прошивок применять свежие выпуски обычного ядра Linux, не ограничиваясь ядрами, предлагаемыми Google. В свою очередь разработчики Android смогут существенно упростить сопровождение ядра для … Читать далее Инициатива по передаче в основное ядро Linux специфичных для Android изменений

В ночных сборках Firefox, на основе которых будет сформирован намеченный на 29 января релиз Firefox 65, переработана секция настройки блокировки контента. В Firefox 65 также планируется по умолчанию активировать блокировщик (в Friefox 63 он реализован в виде опции, но в ночных сборках уже включен по умолчанию). Пользователю будет предложено три режима блокировки (стандартный, строгий и настраиваемый): В стандартном режиме разработчики попытались предложить оптимальные настройки для производительности и защиты приватности. В данном режиме блокируются Cookie, выставляемые сторонними скриптами отслеживания, но допускается выполнение отдельных систем отслеживания, блокирование которых может нарушить нормальную работу сайтов; В строгом режиме блокируются все известные системы отслеживания перемещений … Читать далее В Firefox 65 будет переработан интерфейс настройки блокировки контента

Представлен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF — Ghostscript 9.26, в котором устранено несколько уязвимостей, которые позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов. CVE-2018-17961 — уязвимость вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения. CVE-2018-18073 — уязвимость позволяет организовать выполнение оператора «.forceput» через манипуляции с переданным в обработчик исключения доступом к исполняемому стеку. CVE-2018-18284 — уязвимость позволяет обойти механизм sandbox-изоляции через манипуляцию с векторами с использованием оператора 1Policy; Уязвимость, связанная с небезопасным созданием временных файлов … Читать далее В Ghostscript 9.26 устранена очередная порция уязвимостей

Группа исследователей из Университета имени Давида Бен-Гуриона в Негеве (Израиль), Аделаидского университета (Австралия) и Принстонского университета разработали метод атаки по сторонним каналам, позволяющий определить какой сайт открыт в соседней вкладке браузера через анализ задержек при обращении к кэшу. Проблеме подвержен в том числе Tor Browser. Атака построена c применением нейронной сети, выявляющей характерную при работе с каждым сайтом активность кэша. Подобные атаки ранее были предложены для выявления фактов открытия web-страниц на основе статистического анализа шифрованного сетевого трафика, в том числе позволяющие через пассивный анализ трафика определять отправку определённых запросов через Tor. В предложенной исследователями атаке вместо анализа сетевого трафика используется … Читать далее Представлена атака на браузеры, позволяющая определить сайт в другой вкладке

Доступен выпуск проекта PlayOnLinux 4.3, в рамках которого развивается надстройка над Wine для организации запуска популярных Windows-игр, предоставляющая графический интерфейс, автоматизирующая конфигурирование окружения Wine и упрощающая установку игр. Код проекта написан на bash и Python, и распространяется под лицензией GPLv3. Находящаяся на стадии тестирования ветка 5.0 переписана на Java и развивается в рамках проекта Phoenicis. В PlayOnLinux 4.3 улучшена поддержка экранов с высокой плотностью пикселей (HiDPI) и обеспечена совместимость с инфраструктурой автоматической сборки Wine (winebuild), развиваемой для проекта Phoenicis (PlayOnLinux 5). Новый winebuild использует Docker, написан на Pythоn и не привязан к конкретным операционным системам. Применяемый в PlayOnLinux 4 сервис … Читать далее Новая версия пакета PlayOnLinux 4.3