В выдаче поисковой системы Bing появилась пометка о наличии опасного для пользователей контента на сайте проекта VideoLan, развивающего свободный мультимедийный проигрыватель VLC. Попытки прямого перехода со страницы Bing на сайт VideoLan уже несколько дней блокируются (для перехода в блоке с предупреждением требуется явно согласиться с намерением перейти на потенциально опасный сайт). В качестве причины появления метки указано выявление вредоносной активности. Примечательно, что службы «Google Safe browsing» и VirusTotal не находят на сайте ничего подозрительного и опасного. На сайте Microsoft Secure Team упоминается атака, используемая для установки бэкдора при помощи вредоносного InPage-документа и устаревшей версии VLC с неисправленной уязвимостью. Каким образом … Читать далее Microsoft Bing начал предупреждать о вредоносной активности на сайте VideoLan

В четвертую годовщину проекта команда разработчиков дистрибутива Devuan (Debian без systemd) анонсировала первую конференцию, которая будет проведена в Амстердаме 5-7 апреля 2019 года. В настоящий момент проводится предварительный этап подготовки, на котором принимаются заявки от желающих принять участие и выступить с докладами, приглашаются спонсоры и принимаются пожертвования. Конференция носит некоммерческий характер и организаторы намерены лишь покрыть затраты на её проведение. Если взносов и пожертвований хватит на покрытие всех расходов, то запись на конференцию будет бесплатной. Организаторы заявляют о том, что будет производиться прямая трансляция всего мероприятия, а позже все записи будут свободно доступны всем желающим. Все предложения, вопросы необходимо направлять … Читать далее Первая конференция Devuan

Некоммерческие организации Linux Foundation и RISC-V Foundation подписали соглашение об объединении усилий в продвижении решений на базе архитектуры RISC-V и усилению её поддержки в открытом ПО. Совместная инициатива позволит расширить экосистему, связанную с RISC-V, привлечь к разработке новых участников, стимулировать создание открытых приложений и аппаратных компонентов, обеспечить поддержку RISC-V в различных операционных системах и средствах разработки. Напомним, что RISC-V предоставляет открытую и гибкую систему машинных инструкций, позволяющую создавать микропроцессоры для произвольных областей применения, не требуя при этом отчислений и не налагая условий на использование. RISC-V позволяет создавать полностью открытые SoC и процессоры. В настоящее время на базе спецификации RISC-V разными … Читать далее Linux Foundation и RISC-V Foundation объединили усилия по продвижению архитектуры RISC-V

Разработчики Mozilla анонсировали третий этап тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), на котором небольшой части пользователей Firefox из США будет предложено активировать DoH и принять участие в тестировании (при нежелании пользователь сможет отказаться). Если первые два этапа тестирования проводились на пользователях ночных сборок и бета-выпусков, то на третьем этапа DoH будет предложен пользователям релизов. Отмечается, что первые два этапа тестирования продемонстрировали неплохие показатели ускорения при работе через медленные каналы связи. У пользователей с высокоскоростным доступом к сети отмечалось замедление на уровне 6 миллисекунд, которое признано несущественным и незаметным в процессе работы. Если первые два этапа … Читать далее Новый этап тестирования DNS поверх HTTPS в Firefox

Компания Mozilla опубликовала финансовый отчет за 2017 год. В 2017 году доходы Mozilla выросли на 42 млн долларов и составили 562 млн долларов, в то время как в 2016 году компания Mozilla заработала 520 млн долларов, в 2015 году 421 млн долларов, в 2014 году — 329 млн долларов, в 2013 — 314 млн, 2012 — 311 млн. 539 млн из 562 млн получены благодаря отчислениям за использование поисковых систем (Baidu, DuckDuckGo, Google, Yahoo, Bing, Yandex), сотрудничеству с различными сервисами (Cliqz, Amazon, eBay) и размещению контекстных рекламных блоков на стартовой странице. 6.4 млн долларов составили пожертвования, что на миллион больше, … Читать далее Компания Mozilla опубликовала финансовый отчёт за 2017 год

Подготовлены корректирующие выпуски пакета Samba 4.9.3, 4.8.7 и 4.7.12, в которых устранено несколько уязвимостей: CVE-2018-14629 — непривилегированный пользователь может инициировать зацикливание встроенного DNS-сервера через создание определённым образом оформленной CNAME-записи при помощи утилиты ldbadd; CVE-2018-16841 — двойное освобождение блока памяти (double-free) при выполнении аутентификации с использованием смарт-карты может привести к краху процесса KDC в случае использования корректного сертификата, не соответствующего ожидаемому значению принципала в AS-REQ; CVE-2018-16851 — разыменование нулевого указателя в коде LDAP-сервера Samba AD DC может привести к завершению работы сервиса LDAP при обработке определённым образом оформленных поисковых LDAP-запросов, результат которых превышает 256MB; CVE-2018-16852 — разыменование нулевого указателя в коде … Читать далее Обновление Samba 4.9.3, 4.8.7 и 4.7.12 с устранением 6 уязвимостей

Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи криптовалюты и проведения целевой атаки на связанные с криптовалютой сервисы. Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе … Читать далее Бэкдор в зависимости к event-stream, популярной библиотеке для Node.js

Доступны новый выпуски почтового сервера Postfix — 3.3.2, 3.2.7, 3.1.10 и 3.0.14. В предложенных обновлениях добавлена поддержка OpenSSL 1.1.1 и реализованы возможности, необходимые для использования протокола TLS 1.3. В том числе в логи и заголовки «Received:» добавлена поддержка специфичных для TLS 1.3 атрибутов «key exchange», «server signature» и «client signature». Реализованы опции для выборочного отключения TLS 1.3 в настройках *_tls_protocols Читать далее Обновление Postfix 3.3.2, 3.2.7, 3.1.10 и 3.0.14 с поддержкой TLS 1.3

Компания Amazon представила новую технологию виртуализации Firecracker, обеспечивающую работу виртуальных машин с минимальными накладными расходами. Платформа предоставляет средства для создания и управления изолированными окружениями и сервисами, построенными с использованием бессерверной модели разработки. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0. Firecracker предлагает легковесные виртуальные машины, именуемые microVM, для полноценной изоляции которых применяются технологии аппаратной виртуализации, но при этом обеспечивается производительность и гибкость на уровне обычных контейнеров. Основу Firecracker составляет монитор виртуальных машин (VMM), использующий встроенный в ядро Linux гипервизор KVM. VMM основан на наработках написанного на языке Rust проекта crosvm, развиваемого компанией Google для запуска Linux … Читать далее Amazon открыл код легковесной платформы виртуализации Firecracker

Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи крипотвалюты и проведения целевой атаки на связанные с криптовалютой сервисы. Вредоносный код использовался для кражи закрытых ключей от криптокошельков Copay. Во вредоносном коде также выполнялись манипуляции с файлами, используемыми в библиотеке bitcore-wallet-client. Не исключено, что атака может охватывать и другие связанные с криптовалютой приложения на Node.js, которые так или иначе … Читать далее Бэкдор в зависимости к event-stream, популярной библиотеке к Node.js

Подготовлен первый экспериментальный выпуск СУБД EuclidesDB, предоставляющей средства для использования моделей машинного обучения при индексировании и выборки данных. СУБД позволяет привязывать к различным классам информации отдельные модели машинного обучения, например, можно подключить модель для классификации изображений и применять СУБД для поиска похожих фотографий или выборки изображений, на которых присутствует определённый объект. Проект написан на языке С++ и распространяется под лицензией Apache 2.0. Модели машинного обучения обрабатываются при помощи библиотеки PyTorch (используется C++-интерфейс libtorch). СУБД EuclidesDB предоставляет универсальное решение для создания систем обработки данных с использованием моделей машинного обучения, образующее готовый каркас для подключения необходимых моделей и их применения для поиска … Читать далее Доступна СУБД EuclidesDB, использующая элементы машинного обучения

Разработчики из компании Mozilla включили в кодовую базу, на основе которой формируется релиз Firefox 64, новую реализацию интерфейса для отслеживания потребления ресурсов. Новый интерфейс заменит собой служебную страницу «about:performance» и будет напоминать менеджер задач, упрощающий оценку потребления ресурсов отдельными страницами и дополнениями. Для вызова страницы «about:performance» в основное меню будет добавлена отдельная кнопка. В Firefox 65 планируют добавить дополнительный столбец, отражающий затраты памяти на каждую страницу и дополнение. В разработке также находится прототип, продолжающий модернизацию интерфейса отслеживания потребления ресурсов. Кроме более наглядного отображения информации в будущих выпусках появится возможность раздельного учёта нагрузки, создаваемой внешним кодом, который загружен с другого сайта, … Читать далее В Firefox 64 появится встроенный менеджер задач

Гаэль Дюваль (Gaël Duval), создатель дистрибутива Mandrake Linux, сообщил о доступности второй бета-версии мобильной платформы «/e/» (ранее Eelo), сосредоточенной на обеспечении конфиденциальности пользовательских данных. Второй бета-выпуск примечателен переходом на компоненты Android 8 «Oreo» и существенным расширением числа поддерживаемых устройств, для которых подготовлены сборки платформы. Общее число поддерживаемых устройств доведено до 49. В том числе переход на использование драйверов от Android 8 позволил обеспечить поддержку таких смартфонов, как Xiaomi Redmi Note 5 pro, Xiaomi Mi A1, Xiaomi Mi 6, Xiaomi Pocophone F1, OnePlus 5T и Google Pixel XL. Для поддержания прошивки в актуальном виде предлагается система OTA-обновлений и интерфейс, позволяющий контролировать … Читать далее Второй бета-выпуск мобильной платформы /e/ доступен для 49 устройств

Подготовлен полностью переработанный выпуск GNU OrgaDoc 1.0, переписанный с языка Eiffel на Си (C89). OrgaDoc позволяет автоматизировать работу по генерации документов и организации работы с ними на разных компьютерах. OrgaDoc даёт возможность сформировать индекс имеющихся документов и работать с ними как с единой коллекцией, например, разом копировать на другую систему, синхронизировать состояние коллекции между компьютерами и преобразовывать из одного формата в другой. В состав пакета входит две утилиты: orgadoc-init-readme для поиска имеющихся документов и генерации индекса (readme.xml), и orgadoc для манипуляций с коллекцией и форматирования документов (преобразования из одного формата в другой) на основе информации из readme.xml. Для синхронизации данных … Читать далее Выпуск GNU OrgaDoc 1.0, инструмента для организации работы с коллекцией документов

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 3.21. С момента выпуска версии 3.20 было закрыто 62 отчёта об ошибках и внесено 316 изменений. Наиболее важные изменения: Система маршалинга в Typelib переписана с использованием функций NDR; Решены проблемы с выводом графики в Android 8+. В wineandroid добавлена поддержка gralloc; В DirectWrite добавлена поддержка хранения ресурсов шрифтов в памяти; Улучшена поддержка джойстика; Закрыты отчёты об ошибках, связанные с работой игр и приложений: World of Tanks, RoughDraft 3, 3DMark Vantage, NFS Porsche, CC Tiberian Sun and Red Alert 2, Guild Wars 2, Jupiter, Alan Wake, SWAT 3, Rogue Squadron 3D 1.3, … Читать далее Выпуск Wine 3.21

Увидел свет релиз классической системы инициализации sysvinit 2.92, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart. Изначально релиз планировалось отложить до конца года, но благодаря помощи некоторых разработчиков из проектов Debian и Devuan удалось оперативно устранить остававшиеся нерешёнными проблемы. В новом выпуске: Добавлена поддержка сборки и запуска в окружении Debian GNU/Hurd; Унифицированы задержки отправки сигналов SIGTERM и SIGKILL в командах shutdown и init (задержка теперь составляет 3 секунды); В команду last добавлен флаг «-l», при указании которого полнотью отображаются логины пользователей длиннее 8 символов; В команду shutdown добавлены опции «-q» и «-Q» для снижения частоты вывода … Читать далее Выпуск системы инициализации sysvinit 2.92

Представлен первый релиз новой стабильной ветки XMPP-сервера Prosody 0.11, в которой представлено более 2000 изменений. При разработке сервера основное внимание уделяется простоте установки и настройки, низкому потреблению ресурсов и лёгкости расширения функциональности. Код проекта написан на языке Lua и распространяется под лицензией MIT. Наиболее значительные улучшения в новой ветке коснулись модулей MUC и pubsub, которые реализуют одни из самых крупных расширений (XEP) стандарта XMPP. Предыдущие версии сервера уже довольно давно поддерживали MUC и pubsub, но предлагаемая реализация была довольно сильно усложнена, не отвечала актуальному состоянию спецификаций и имела проблемы с масштабированием. Основные изменения в Prosody 0.11: Улучшена работа чата. Переписан … Читать далее Релиз XMPP/Jabber сервера Prosody 0.11.0

Состоялся первый выпуск проекта Nohang, в рамках которого подготовлен демон для GNU/Linux, обрабатывающий ситуации нехватки памяти и предотвращающий исчерпание свободной памяти (OOM, Out Of Memory). Демон написан на языке Python, потребляет около 10 MiB VmRSS и настраивается с помощью файла конфигурации (/etc/nohang/nohang.conf). По сравнению с аналогичным проектом earlyoom, nohang обладает некоторыми дополнительными возможностями. Код открыт под лицензией MIT. Основные особенности: Настраиваемая интенсивность мониторинга: если на сервере не предполагаются резкие перепады потребления памяти, то можно снизить нагрузку на процессор, снизив интенсивность мониторинга; При нехватке памяти nohang сначала отправляет SIGTERM процессу с наибольшим oom_score. При дальнейшем падении уровня доступной памяти и отсутствии … Читать далее Выпуск Nohang 0.1, предотвращающего OOM в пространстве пользователя

Компания Tracktion, известный производитель цифровых звуковых рабочих станций, открыла исходные тексты пакета Tracktion Engine, включающего высокоуровневую модель данных и набор С++ классов для создания звуковых приложений, от простых плееров и секвенсоров до полноценных студийных звуковых рабочих станций (DAW). Код написан на языке С++ и открыт под лицензией GPLv3. Дополнительно предоставляется коммерческая лицензия для использования движка в проприетарных проектах. Проект был создан в результате трёхлетней работы по рефакторингу движка цифровых звуковых рабочих станций, развиваемых компанией Tracktion. Движок был упрощён, переведён на модульную основу и адаптирован для создания других звуковых приложений. Целью проведённой работы была подготовка компонентов, которые бы учитывали основные особенности … Читать далее Компания Tracktion открыла движок для создания звуковых приложений

Группа исследователей из Амстердамского свободного университета разработала (PDF) усовершенствованный вариант атаки RowHammer, позволяющей изменить содержимого отдельных битов в памяти на базе чипов DRAM, для защиты целостности в которых применяются коды коррекции ошибок (ECC). Атака может быть выполнена удалённо при наличии непривилегированного доступа к системе. Напомним, что уязвимость RowHammer позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. … Читать далее Разработан метод атаки на DRAM-память, позволяющий обойти защиту ECC

В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена уязвимость (CVE-2018-18955), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении. Уязвимость вызвана ошибкой в ядре 4.15, внесённой в октябре прошлого года. Проблема исправлена в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Уязвимость присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных … Читать далее Уязвимость в ядре Linux, позволяющая обойти ограничения user namespace