Опубликован релиз X.Org Server 1.20.3, в котором устранена опасная уязвимость (CVE-2018-14665), позволяющая повысить свои привилегии или перезаписать любой файл в системе. Проблема проявляется только при запуске X-сервера в режиме запуска с повышенными привилегиями (когда исполняемый файл x-сервера поставляется с установленным битом setuid root и любой непривилегированный пользователь может запустить x-сервер). Суть уязвимости в том, что при запуске X-сервера пользователь может поменять путь к модулям при помощи опции «-modulepath» и добиться загрузки своего модуля, который будет запущен на этапе до сброса привилегий с правами root. Второй вариант атаки связан с использованием опции «-logfile», при помощи которой локальный злоумышленник может направить вывод … Читать далее Выпуск X.Org Server 1.20.3 с устранением локальной root-уязвимости

Подготовлен релиз СУБД Redis 5.0, относящейся к классу NoSQL-систем. Redis предоставляет похожие на Memcached функции для хранения данных в формате ключ/значение, расширенные поддержкой структурированных форматов данных, таких как списки, хэши и множества, а также возможностью выполнения на стороне сервера скриптов-обработчиков на языке Lua. Код проекта поставляется под лицензией BSD. В отличие от Memcached, Redis обеспечивает постоянное хранение данных на диске и гарантирует сохранность БД в случае аварийного завершения работы. Исходные тексты проекта распространяются в рамках лицензии BSD. Клиентские библиотеки доступны для большинства популярных языков, включая Perl, Python, PHP, Java, Ruby и Tcl. Redis поддерживает транзакции, позволяющие выполнить за один шаг … Читать далее Выпуск СУБД Redis 5.0

Доступен релиз специализированного дистрибутива Tails 3.10.1 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 Гб. В новом выпуске при разблокировании шифрованных разделов VeraCrypt скрыта опция PIM, поддержка которой появится только в Tails 4.0. В диалоге подтверждения начала установки добавлены привычные кнопки Install, Upgrade и Cancel. Ядро Linux обновлено … Читать далее Релиз дистрибутива Tails 3.10.1 и браузера Tor Browser 8.0.3

Состоялся релиз PipelineDB 1.0, дополнения к СУБД PostgreSQL с реализацией средств для непрерывной обработки потока данных в формате временного ряда (срезы значений параметров через заданные промежутки времени). PipelineDB позволяет при помощи непрерывно выполняемых SQL-запросов обрабатывать и агрегировать постоянно поступающий поток данных, таких как показания датчиков, метрики системы мониторинга или статистика рекламных сетей. Код проекта распространяется под лицензией Apache 2.0. PipelineDB может на лету агрегировать, фильтровать и вычищать поступающий поток данных, суммируя входящие данные в разрезе фиксированных временных промежутков (1 сек, 2 мин, 1 день, 30 дней и т.п.). Результат первичной обработки сохраняются в таблицы или отбрасывается (PipelineDB не сохраняет все … Читать далее Выпуск PipelineDB 1.0.0, надстройки к PostgreSQL для непрерывной обработки потоков

Компания AMD опубликовала выпуск набора драйверов AMD Radeon 18.40 для Linux, основанного на свободном модуле ядра AMDGPU, развиваемого в рамках инициативы по унификации графического стека AMD для проприетарных и открытых видеодрайверов. В AMD Radeon в одном наборе интегрированы открытый и проприетарный стеки драйверов — драйверы amdgpu-pro и amdgpu-all-open (vulkan-драйвер RADV и OpenGL-драйвер RadeonSI, основанные на коде из Mesa) предлагаются в одном пакете и пользователь на своё усмотрение может выбрать открытые или закрытые драйверы. Драйвер поддерживает API OpenGL 4.5, GLX 1.4, OpenCL 1.2, Vulkan 1.1 и VDPAU/VAAPI, включает базовые средства для управления экраном и питанием, поддерживает интерфейсы KMS (Kernel Mode Setting) … Читать далее Выпуск набора видеодрайверов AMD Radeon 18.40

В каталоге Python-пакетов PyPI обнаружен вредоносный пакет «colourama», который маскировался под популярную библиотеку «colorama» и включал копию её кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносный пакет также включал код для загрузки и установки в систему скрипта на Visual Basic, активировавшийся в момент установки пакета на платформе Windows. После установки в систему скрипт вызывался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. … Читать далее В каталоге PyPI выявлены вредоносные пакеты

Состоялся релиз свободного дистрибутива OpenIndiana 2018.10, пришедшего на смену бинарному дистрибутиву OpenSolaris, развитие которого было прекращено компанией Oracle. OpenIndiana предоставляет пользователю рабочее окружение, построенное на базе свежего среза кодовой базы проекта Illumos. Непосредственно разработка технологий OpenSolaris продолжается проектом Illumos, в котором развивается ядро, сетевой стек, файловые системы, драйверы, а также базовый набор пользовательских системных утилит и библиотек. Для загрузки сформировано три вида iso-образов — серверная редакция с консольными приложениями (670 Мб), минимальная сборка (486 Мб) и сборка с графическим окружением MATE (1.5 Гб). Основные изменения в OpenIndiana 2018.10: Рабочий стол MATE обновлён до выпуска 1.20; В поставку добавлен Python 3.5 … Читать далее Выпуск дистрибутива OpenIndiana 2018.10, продолжающего развитие OpenSolaris

Разработчики Fedora Linux объявили о начале тестирования инструментария Fedora Toolbox, призванного упростить жизнь разработчикам, которым необходимо часто устанавливать различные дополнительные библиотеки и приложения, в условиях применения сборок Fedora Silverblue, которые в недалёком будущем могут заменить классический Fedora Workstation (поставка Fedora Silverblue в качестве приоритетной сборки для рабочих столов рассматривается уже в Fedora 30). Напомним, что редакция Fedora Silverblue отличается от Fedora Workstation поставкой в монолитном виде, без разделения базовой системы на отдельные пакеты, с применением атомарного механизма обновления. Все дополнительные приложения устанавливаются в виде flatpak-пакетов, запускаемых в изолированных контейнерах. Системный образ неделим и формируется с использованием технологии OSTree (отдельные пакеты … Читать далее Началось тестирование инструментария Fedora Toolbox

Опубликован релиз HTTP-сервера Apache 2.4.37 (выпуск 2.4.36 был пропущен), в котором представлено 17 изменений. Наиболее заметные изменения: В mod_ssl добавлена поддержка OpenSSL 1.1.1 и протокола TLSv1.3; Устранены проблемы с работой HTTP/2 при сборке с OpenSSL 1.1.1; Устранён крах mod_ssl при повторном согласовании SSL-соединения при выставленной опции OptRenegotiate, в случае если клиентский сертификат тот же, что в изначальном соединении, но требует верификации; В mod_brotli и mod_deflate восстановлена раздельная обработка ответов «304 Not Modified»; Улучшена обработка ошибок в mod_proxy_scgi и mod_proxy_uwsgi; В mod_http2 в обработчик конца потока добавлен код для защиты от ситуации пропуска сигнала окончания потока (eos buckets) от обработчика запроса; … Читать далее Релиз http-сервера Apache 2.4.37 с поддержкой TLSv1.3

В системе управления контентом Drupal выявлены две критические уязвимости, позволяющие выполнить код на сервере. Проблемы устранены в выпусках Drupal 7.60, 8.5.8 и 8.6.2. Первая уязвимость затрагивает Drupal 7 и Drupal 8 и связана с отсутствием должного экранирования спецсимволов в функции DefaultMailSystem::mail(). При отправке сообщения на email не все переменные проверяются, что позволяет передать утилите sendmail произвольные аргументы командной строки и инициировать выполнение своего кода. Вторая уязвимость присутствует только в Drupal 8 и вызвана отсутствием необходимой чистки контекстных ссылок в модуле Contextual Links. Через передачу специально оформленной контекстной ссылки атакующий может добиться выполнения своего кода в системе. Для атаки необходим доступ … Читать далее Уязвимости в Drupal

Представлен релиз Node.js 11.0.0, платформы для выполнения высокопроизводительных сетевых приложений на языке JavaScript. Одновременно завершена стабилизация прошлой ветки Node.js 10.x, которая переведена в категорию выпусков с длительным сроком поддержки, обновления для которых выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 8.0 продлится до 2021 года, а позапрошлой LTS-ветки 6.0 до 2020 года. Среди улучшений в Node.js 11.0: JavaScript-движок V8 обновлён до версии 7.0. Прекращена поддержка FreeBSD 10. Для дочерних процессов по умолчанию включена опция windowsHide для скрытия окна с консолью субпроцессов. В методе fs.read() теперь обязательно указание callback-обработчика. Модули http, https и tls переведены на использование нового парсера URL, … Читать далее Выпуск серверной JavaScript-платформы Node.js 11.0

Состоялся релиз web-браузера Firefox 63, а также мобильной версии Firefox 63 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 64, релиз которой намечен на 11 декабря. Основные новшества: Предложен набор настроек для управления блокированием контента. Пользователь может включить блокировку любых сторонних Cookie и скриптов, применяемых для отслеживания перемещений (блокировка по базе disconnect.me). Блокировщик пока предлагается опционально, но запланирован для включения по умолчанию в Firfox 65. Для каждого сайта в адресной строке показывается специальный значок, отображающий статус блокировки скриптов и Cookie. Предоставляется возможность добавления исключений для выбранных … Читать далее Релиз Firefox 63

В плагине jQuery-File-Upload выявлена поучительная уязвимость CVE-2018-9206, показавшая беспечность web-разработчиков и web-администраторов. jQuery-плагин jQuery-File-Upload предоставляет функциональный web-виджет для организации загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Основная функциональность jQuery-File-Upload реализована на JavaScript и выполняется на стороне браузера, при этом в состав также входит набор примеров серверных обработчиков для сохранения отправляемых файлов. Суть уязвимости в том, что в предлагаемых серверных обработчиках полностью отсутствовали фильтры для блокирования загрузки потенциально опасных типов контента и загружаемые файлы сохранялись на сервере под исходными именами, которые определял пользователь на сайте. Данные загружались в каталог «./files», находящийся в рабочей иерархии каталогов … Читать далее Неосмотрительное использование плагина jQuery-File-Upload делает многие сайты уязвимыми

Спустя год с момента формирования прошлой значительной ветки компания Oracle представила первый бета-выпуск системы виртуализации VirtualBox 6.0. Основные улучшения: Добавлена возможность экспорта виртуальных машин в OCI (Oracle Cloud Infrastructure); Модернизировано оформление интерфейса пользователя; Добавлена возможность подключения и отключения звуковых драйверов VRDE без остановки работы виртуальной машины; Расширен API управления гостевыми системами; Добавлен обходной путь для обеспечения сетевого взаимодействия в старых гостевых системах, в которых для virtio PCI-устройств не включается Bus mastering. Читать далее Бета-выпуск VirtualBox 6.0

Латиноамериканский Фонд свободного ПО опубликовал полностью свободный вариант ядра 4.19 — Linux-libre 4.19-gnu, очищенный от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. Кроме того, Linux-libre отключает функции ядра по загрузке несвободных компонентов, не входящих в поставку ядра, и удаляет упоминание об использовании несвободных компонентов из документации. Для очистки ядра от несвободных частей, в рамках проекта Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих … Читать далее Доступен полностью свободный вариант ядра Linux-libre 4.19

Сообщество RISC OS Open Ltd (ROOL), созданное в 2006 году для координации постепенного открытия кода RISC OS, объявило о сотрудничестве с компанией RISC OS Developments (ROD), которая после покупки компании Castle Technology Ltd (Castle) получила контроль за всей интеллектуальной собственностью, связанной с операционной системой RISC OS (ранее ОС развивалась разными компаниями, что приводило к большим спорам и конфликтам при лицензировании кода). Компания RISC OS Developments согласилась опубликовать исходные тексты RISC OS под лицензией Apache 2.0, что позволит привлечь к участию в проекте сторонников открытой модели разработки и позволит бесплатно использовать код RISC OS в сторонних коммерческих продуктах, без необходимости покупки … Читать далее Код RISC OS будет открыт под лицензией Apache 2.0

Ричард Столлман подготовил рекомендации по благожелательному общению в проекте GNU — «GNU Kind Communications Guidelines«. Популярные в различных сообществах кодексы поведения оформлены в виде правил, нарушение которых подразумевает наказание. Столлману не хотелось бы навязывать какие-то рамки, поэтому вместо жесткого указания что можно, а что нет, он разработал общие рекомендации, которые показывают, что доброжелательный стиль общения является предпочтительным в сообществе. При помощи таких рекомендаций можно сразу дать понять в каком русле должно быть поведение и помочь участнику сделать своё общение более дружественным, не дожидаясь пока дело дойдёт то серьёзных перепалок или оскорблений, на основании которых участника можно будет обвинить в нарушении … Читать далее Ричард Столлман опубликовал рекомендации по ведению дискуссий в сообществе GNU

После двух месяцев разработки Грег Кроа-Хартман представил релиз ядра Linux 4.19. Напомним, что в середине сентября Линус ненадолго отстранился от разработки ядра Linux и доведением ветки до финального вида занимался Грег Кроа-Хартман, отвечающий за поддержку стабильной ветки ядра. Среди наиболее заметных изменений в ядре 4.19: файловая система EROFS, алгоритм управления сетевыми очередями CAKE, поддержка Wi-Fi 6 (802.11ax), дополнительная защита для sticky-каталогов, контроллер задержек при вводе/выводе, повышение минимальной версии GCC с 3.2 до 4.6. В новую версию принято 15214 исправлений от 1879 разработчиков, размер патча — 44 Мб (изменения затронули 11694 файлов, добавлено 552510 строк кода, удалено 244696 строк). Около 43% … Читать далее Релиз ядра Linux 4.19

Сегодня ночью в инфраструктуре GitHub произошёл серьёзный сбой, который привёл к нарушению связанности между сегментами сети и последующему сбою базы данных. В итоге часть информации на сайте могла быть искажена. Для восстановления целости данных временно были отключены или приостановлены некоторые обработчики, что может привести к отображению устаревшей информации. Данные репозиториев пользователей не потеряны и после восстановления после сбоя информация будет актуализирована. Тем не менее сообщается, что пострадали хранимые в MySQL метаданные сайта, такие как issue и pull-запросы. Прогнозируемое время полного возврата GitHub в строй не сообщается, утверждается лишь, что работа по восстановлению продлится дольше, чем ожидалось. Читать далее GitHub предупредил о сбое СУБД

Подготовлен выпуск дистрибутива Elementary OS 5 «Juno», позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (1.4 Гб), доступные для архитектуры amd64 (при загрузки с сайта, для бесплатной загрузки в поле с суммой пожертвования необходимо ввести 0). При разработке оригинальных компонентов Еlementary OS используется GTK3+, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu и ядро Linux 4.15. … Читать далее Релиз дистрибутива Elementary OS 5 "Juno"

Компания Mozilla намерена начать эксперимент по поставке в Firefox встроенной возможности работы через VPN. Эксперимент стартует в понедельник 22 октября и затронет лишь небольшое число пользователей англоязычной сборки Firefox 62 из США. Случайно выбранным участникам эксперимента будет установлен системное дополнение, позволяющее подключаться к сайтам через шифрованный VPN. Доступ будет только платным (около $10 в месяц) и эти средства Mozilla планирует использовать как один из источников монетизации. Работа будет организована через коммерческий VPN-сервис ProtonVPN. Решение в пользу ProtonVPN было принято, так как данный сервис обеспечивает достаточно высокий уровень защиты канала связи ( поток шифруется при помощи AES-256, обмен ключами осуществляется на … Читать далее Mozilla экспериментирует с добавлением платного VPN в Firefox