Доступны внеплановые обновления Git 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 и 2.19.1, в которых устранена уязвимость (CVE-2018-17456), позволяющая атакующему выполнить свой код через подстановку специально оформленного файла .gitmodules в составе проекта, клонируемого с рекурсивным включением субмодулей (проблема проявляется только при выполнении операции «git clone —recurse-submodules»). Уязвимость вызвана тем, что извлекаемое из файла .gitmodules поле URL без проверки корректности значения передаётся в качестве аргумента в процесс «git clone». Если значение URL начинается с символа «-«, то «git clone» обрабатывает его как опцию командной строки. Соответственно, злоумышленник имеет возможность через манипуляцию значением URL организовать выполнение произвольного скрипта в системе разработчика, выполняющего операцию клонирования. … Читать далее В Git устранена уязвимость, которая может привести к выполнению кода атакующего

Представлен релиз анонимной сети I2P 0.9.37 (эталонная реализация на Java) и клиента I2P на языке C++ — i2pd 2.21 (I2P Daemon). Новый выпуск I2P ознаменовал включение по умолчанию транспортного протокола NTCP2. Протокол NTCP2 создан на основе Noise Protocol Framework и дополнительно использует хэш HMAC-SHA256 и систему обмена ключами x25519 на основе эллиптических кривых. NTCP2 позволяет эффективно противостоять системам распознавания трафика (DPI) и обеспечивает снижение нагрузки на CPU в процессе работы. Из-за применения более быстрых алгоритмов шифрования NTCP2 подходит для применения на маломощных встраиваемых устройствах, смартфонах и домашних маршрутизаторах. По сравнению с ранее предлагаемым протоколом NTCP в NTCP2 требуется определение не … Читать далее Релиз анонимной сети I2P 0.9.37 и C++-клиента i2pd 2.21

Компания Microsoft объявила о присоединении к организации LOT Network, которая занимается борьбой с патентными троллями и защитой разработчиков от патентных исков. Организация была основана в 2014 году компанией Google, кроме которой к инициативе также присоединились Wikimedia Foundation, Red Hat, Dropbox, Netflix, Uber, Ford, Mazda, GM, Honda и ещё около 300 участников. Метод защиты LOT Network основан на кросс-лицензировании патентов каждого участника для всех остальных участников, если эти патенты попадают в руки патентного тролля. Присоединившись к LOT Network компания Microsoft обязалась бесплатно лицензировать свои патенты для других членов LOT Network, если эти патенты будут проданы другим компаниям. Отмечается, что в сумме … Читать далее Microsoft присоединился к организации LOT Network, защищающей от патентных троллей

Агентство национальной кибербезопасности Франции опубликовало исходные тексты проекта CLIP OS, в рамках которого развивается защищённый дистрибутив, основанный на ядре Linux и открытом ПО. Для обеспечения безопасности дистрибутива задействованы наработки Gentoo Hardened с заимствованием некоторых идей от проектов Chromium OS и Yocto. Наработки и сборочный инструментарий открыты в основном под свободной лицензией LGPLv2.1+. В качестве причины создания нового дистрибутива называется желание сформировать надёжную ОС, отвечающую требованиям к безопасности, предъявляемым в госучреждениях Франции. Проект разрабатывается с 2005 года и первые выпуски использовались только за закрытыми дверями. Версию CLIP OS 5 решено развивать как общедоступный открытый продукт, продвигающий свои патчи в upstream-проекты. В … Читать далее Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS

Издание Bloomberg опубликовало данные о выявлении на платах Supermicro миниатюрного шпионского чипа, внедрённого для организации утечки госсекретов и коммерческой тайны. Сообщается, что серверное оборудование с шпионскими чипами было продано и успешно внедрено в инфраструктуре 30 компаний из США, среди которых Amazon, Apple и нескольких исполнителей госконтрактов. Bloomberg утверждает, что информация подтверждена шестью неназываемыми источниками из госслужб и 17 анонимными источниками из корпораций. Отмечается, что чипы были внедрены на этапе производства на заводах Supermicro после оказания давления военным ведомством КНР. Чипы включали бэкдор, позволяющий после активации скомпрометировать сетевую инфраструктуру. Утверждается, что проблема была выявлена в 2015 году после изучения оборудования компании … Читать далее Противоречивые сведения о выявлении шпионского чипа на платах Supermicro

Люк Лейтон (Luke Kenneth Casson Leighton), руководитель проекта Libre RISC-V и создатель портативной аппаратной платформы EOMA68, приступил к разработке свободного GPU, построенного с использованием процессора на базе архитектуры RISC-V. Проект уже собрал 250 тысяч долларов на финансирование разработки. Функциональность развиваемого GPU построена на основе программной реализации, основанной на наработках проекта LLVM и программной системе отрисовки, предоставляющей API Vulkan. Программная начинка с реализацией GPU выполняется на процессоре с архитектурой RISC-V. Архитектура RISC-V предоставляет открытую и гибкую систему машинных инструкций, позволяющую создавать микропроцессоры для произвольных областей применения, не требуя при этом отчислений и не налагая условий на использование. Код с реализацией API … Читать далее Проект Libre RISC-V развивает свободный GPU

Для плат Raspberry Pi создана новая операционная система CirnOS, предлагающая процесс взаимодействия в стиле работы с платой Arduino. Разработчикам предоставляется компактное окружение, ограниченное возможностью выполнения Lua-скриптов на Raspberry Pi. CirnOS не имеет отдельного ядра, но предоставляет поддержку многопоточности через выполнение сопрограмм. Код проекта написан на языке Си и распространяется под лицензией GPLv3. В CirnOS поддерживаются платы Raspberry Pi Zero, Raspberry Pi Zero W и оригинальные 32-разрядные Raspberry Pi. В разработке находится поддержка Raspberry Pi 3. Из области применения CirnOS отмечается создание решений для выполнения отдельных узкоспециализированных задач, для которых использование Raspbian является слишком громоздким и нет необходимости в системе разделения … Читать далее В рамках проекта CirnOS развивается минималистичная ОС для Raspberry Pi

В рамках проекта MicroMDM развивается открытая реализация протокола MDM (Mobile Device Management), совместимая с устройствами Apple. Конечной целью проекта является развитие полноценной платформы, пригодной для централизованного управления устройствами сотрудников в образовательных учреждениях и на предприятиях. Код проекта написан на языке Go и распространяется под лицензией MIT. Поддерживается развёртывание в окружениях на базе Linux и macOS. На текущем этапе развития разработка сосредоточена на автоматизации управления начинкой и конфигурацией устройств на базе macOS. Возможна как привязка к DEP (Apple Device Enrollment Program), так и самодостаточная работа, без обращения к сервисам DEP. Поддерживается привязка профилей конфигурации к устройствам сотрудников, установка определённого набора приложений, … Читать далее MicroMDM — открытый MDM

Сформирован релиз свободного антивирусного пакета ClamAV 0.100.2, в котором устранены уязвимости: CVE-2018-15378 — уязвимость в распаковщике данных в формате MEW, позволяет удалённо инициировать отказ в обслуживании; Уязвимость в коде разбора файлов в формате PDF, которая может привести к чтению 2 байт из области вне границ буфера; CVE-2018-14680 — уязвимость в библиотеке libmspack, позволяет обойти блокировку через указание пустого имени CHM-файла; CVE-2018-14681 — уязвимость в библиотеке libmspack, позволяет осуществить переполнение буфера на два байта через подстановку файла KWAJ с некорректным заголовком; CVE-2018-14682 — уязвимость в библиотеке libmspack, позволяет выйти за пределы буфера при распаковке файлов CHM. Читать далее Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устранением уязвимостей

Подготовлен выпуск десктоп-движка Arcan 0.5.5, который объединяет в себе дисплейный сервер, мультимедийный фреймворк и игровой движок для обработки 3D-графики. Arcan может использоваться для создания широкого спектра графических систем, от пользовательских интерфейсов для встраиваемых приложений до самодостаточных десктоп-окружений. В том числе на базе Arcan развивается трёхмерный рабочий стол Safespaces для систем виртуальной реальности и десктоп-окружение Durden. Код проекта написан на языке Си распространяется под лицензией BSD (некоторые компоненты под GPLv2+ и LGPL). Arcan не привязан к определённой графической подсистеме и может работать непосредственно поверх различных системных окружений (BSD, Linux, macOS, Windows), используя подключаемые бэкенды. Например, имеется возможность запуска поверх Xorg, egl-dri, … Читать далее Выпуск десктоп-движка Arcan 0.5.5 и пользовательского окружения Durden 0.5

Опубликован корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости. Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox 60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя. Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента. Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых … Читать далее Обновление Firefox 62.0.3 с устранением критических уязвимостей

Компания Mozilla представила переработанный выпуск web-браузера Firefox Focus, поставляемого в сборках для Android и iOS. Исходные тексты Firefox Focus распространяются под лицензией MPL 2.0. Браузер ориентирован на обеспечения приватности и предоставление пользователю полного контроля за своими данными. В Firefox Focus встроены инструменты для блокировки нежелательного контента, включая рекламу, виджеты социальных сетей и внешний JavaScript-код для отслеживания перемещений. Блокировка стороннего кода существенно сокращает объём загружаемых материалов и положительно сказывается на скорости загрузки страниц. Например, по сравнению с мобильной версией Firefox для Android в Focus страницы загружаются в среднем на 20% быстрее. В браузере также имеется кнопка для быстрого закрытия вкладки с … Читать далее Представлен переработанный web-браузер Firefox Focus

Увидел свет выпуск криптографической библиотека Botan 2.8.0, применяемой в проекте NeoPG (форк GnuPG 2). Библиотека предоставляет большую коллекцию готовых примитивов, применяемых в протоколе TLS, сертификатах X.509, шифрах AEAD, модулях TPM, PKCS#11, хэшировании паролей и постквантовой криптографии. Библиотека написана на языке C++11 и поставляется под лицензией BSD. Среди изменений в новом выпуске: Отключены по умолчанию TLS 1.0 и 1.1; Добавлено применение теста простоты натурального числа Люка в дополнение к тесту Миллера — Рабина; Добавлены алгоритмы XChaCha и XChaCha20Poly1305; Добавлены новые реализации алгоритмов ChaCha и Serpent, использующие инструкции AVX2; Добавлена оптимизированная для процессоров ARMv8 реализация шифра SM4; Добавлена поддержка системного вызова getrandom … Читать далее Выпуск криптографической библиотеки Botan 2.8.0

После двух лет разработки состоялся первый стабильный выпуск проекта Stratis, развиваемого компанией Red Hat и сообществом Fedora с целью унификации и упрощения средств для настройки и управления пулом из одного или нескольких локальных накопителей. Stratis предоставляет такие возможности как динамическое выделение места в хранилище, снапшоты, обеспечение целостности и создание слоёв для кэширования. Код проекта написан на языке Rust и распространяется под лицензией MPL 2.0. Система во многом повторяет по своим возможностям расширенные средства управления разделами ZFS и Btrfs, но делает это на базе существующих штатных технологий и не требует для администрирования квалификации эксперта по системам хранения. Для управления предоставляется D-Bus … Читать далее Выпуск Stratis 1.0, инструментария для управления локальными хранилищами

Платформа Sourcegraph переведена в разряд открытых проектов. Sourcegraph предоставляет движок для навигации по исходным текстам и поиска определённых конструкций в коде. Проект состоит из серверной части и web-интерфейса, а также браузерного дополнения для интеграции с GitHub.com. Код написан на языках Go и JavaScript (Node.js). Для хранения данных используется PostgreSQL, а для хранения сеансов Redis. Код открыт под лицензией Apache 2.0. Sourcegraph может применяться как самодостаточная платформа для рецензирования и навигации по исходным текстам, размещённым в Git-репозиториях. Например, имеется возможность анализа произвольного вызова функции и перехода к месту её определения, просмотра других вызовов этой функции в коде, истории изменений, связанных с … Читать далее Открыты исходные тексты Sourcegraph

Представлен выпуск системы мониторинга Zabbix 4.0, который отнесён к LTS-релизам c пятилетним сроком поддержки. Вышедшая версия содержит новые ad-hoc-графики для дешбордов, возможность сбора данных напрямую через новый HTTP/HTTPS агент, реализацию кнопки «Check now» для сбора данных или обнаружения по требованию, поддержку определения интервалов обслуживание на основе тегов, возможность изменить важность проблемы после ее возникновения и многое другое. Напомним, что Zabbix состоит из трёх базовых компонентов: сервера для координации выполнения проверок, формирования проверочных запросов и накопления статистики; агентов для осуществления проверок на стороне внешних хостов; фронтэнда для организации управления системой. Для снятия нагрузки с центрального сервера и формирования распределённой сети мониторинга … Читать далее Выпуск системы мониторинга Zabbix 4.0

Разработчики из проектов VideoLAN и FFmpeg представили библиотеку dav1d с реализацией нового свободного декодировщика формата кодирования видео AV1. Код проекта написан на языке Си (C99) с ассемблерными вставками (NASM/GAS) и распространяется под лицензией BSD. Для сборки применяется инструментарий meson. Ключевыми целями проекта является обеспечение переносимости кода для большинства существующих платформ и достижение максимально возможной производительности декодирования. По замыслу разработчиков высокая производительность программного декодировщика позволит сгладить отсутствие аппаратных механизмов ускорения, наблюдаемое на начальном этапе внедрения видеокодека AV1. Среди задач также упоминается сохранение компактности кода и корректная поддержка работы в многопоточных приложениях. В библиотеке dav1d планируют реализовать все расширенные возможности AV1, включая … Читать далее VideoLAN и FFmpeg разработали новый декодировщик для видеокодека AV1

Консорциум ISC (Internet Systems Consortium), развивающий такие проекты как bind, kea и dhcpd, опубликовал новую утилиту ethq, предназначенную для отслеживания активности сетевых карт. Код написан на C++11 с применением библиотеки NCurses и распространяется под лицензией MPL. Поддерживается мониторинг сетевых карт Intel ntel X540 и X710 (ixgbe и i40e), а также виртуальных сетевых адаптеров VMware (vmxnet3). В отличие от утилиты ethtool, ethq позволяет получить более детальную информацию в разрезе отдельных очередей обработки пакетов и предоставляет наглядный интерфейс в стиле утилиты top. Например, ethq даёт возможность сразу заметить разбалансировку нагрузки между очередями, которая приводит к неравномерной загрузке ядер CPU. Читать далее Консорциум ISC представил ethq, утилиту для мониторинга активности сетевых карт

Доступен релиз свободного редактора звука Audacity 2.3.0, предоставляющего средства для редактирования звуковых файлов (Ogg Vorbis, FLAC, MP3 и WAV), записи и оцифровки звука, изменения параметров звукового файла, наложения треков и применения эффектов (например, подавление шума, изменение темпа и тона). Код Audacity распространяется под лицензией GPL, бинарные сборки доступны для Linux, Windows и macOS. В новой версии: Добавлен режим записи «Punch and Roll«, позволяющий корректировать ошибки в процессе сеанса записи. Например, можно в любой момент приостановить запись, откатить состояние на определённое время назад и продолжить запись не разрывая трека и не прибегая вырезанию или перемещению частей в результирующем треке; Добавлена возможность … Читать далее Выпуск звукового редактора Audacity 2.3.0

Компания Google раскрыла планы по дальнейшему повышению защиты дополнений к Chrome и снижению числа вредоносных дополнений в каталоге Chrome Web Store. В последнее время участились случаи захвата контроля за популярными дополнениями в целях подстановки вредоносного кода. Также периодически всплывают факты скрытого добавления авторами дополнений кода для сбора персональных данных или передачи во внешние сервисы данных о посещениях. Для защиты пользователей Chrome и предотвращения появления в Chrome Web Store вредоносных дополнений запланированы следующие изменения: В Chrome 70 пользователь сможет ограничить действие дополнения определённым списком сайтов или включить режим активации дополнения на каждой странице только после явного клика на значке дополнения в … Читать далее Google внедряет меры для противодействия вредоносным дополнениям к Chrome

Разработчики криптовалюты Monero, которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи, раскрыли сведения о наличии критической уязвимости, которая может привести к обработке на биржах обмена криптовалюты повторяющихся транзакций с тратой одних и тех же средств. Эксплуатации уязвимости на практике не зафиксировано. Проблема представляет опасностьдля бирж и платформ автоматической обработки платежей. Проблема была выявлена разработчиками Monero в ходе обсуждения вопроса о логике обработки нескольких расходных транзакций, направленных на один и тот же одноразовый адрес (промежуточный одноразовый адрес, создаваемый получателем для перенаправления поступающего платежа без раскрытия сведений о реальном адресе). По задумке одноразовый адрес должен быть ограничен одной транзакцией, но … Читать далее В реализации криптовалюты Monero выявлены две критические уязвимости