Правозащитная организация Software Freedom Conservancy опубликовала пояснение, анализирующее возможность отзыва кода, уже переданного какому-либо проекту под лицензией GPLv2. Юристы SFC пришли к выводу, что автор не может отозвать свой GPL-код и применение GPLv2 предоставляет использующим данный код проектам не отзываемую автором лицензию. Тем не менее, создатель кода может попытаться потребовать отозвать свой вклад и в случае отказа через суд заявить о нарушении авторских прав. Наиболее вероятно, что суд встанет на сторону ответчика, так как передача кода произведена под лицензией GPL. В отличие от проектов, которые изначально развиваются определённым автором и он в любой момент может изменить модель лицензирования (изменение будет … Читать далее Оценка возможности отзыва разработчиками своего кода из ядра Linux

Проект Wasmjit развивает не привязанный к браузеру небольшой встраиваемый WebAssembly runtime для запуска WebAssembly-модулей, сгенерированных компилятором Emscripten. Помимо средств для выполнения в пространстве пользователя на базе Wasmjit также развивается модуль ядра Linux, позволяющий выполнять промежуточный код WebAssembly на уровне ядра (ring 0). При выполнении на уровне ядра модуль позволяет обращаться к системным вызовам в форме вызова обычных функций. Код написан на языке C (C90), что позволяет легко портировать Wasmjit на различные платформы. Наработки проекта распространяются под лицензией MIT. Запуск WebAssembly-приложений на уровне ядра даёт возможность избавиться от накладных расходов, связанных с вытеснением таблиц страниц памяти и трансляцией вызовов между ядром … Читать далее Запуск WebAssembly runtime как модуля ядра Linux

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал результаты аудита обновлённого генератора псевдослучайных чисел, предложенного в ветке OpenSSL 1.1.1. Аудит выявил 10 проблем, негативно влияющих на качество случайных чисел, безопасность и производительность. Так как аудит проводился скоординировано с разработчиками OpenSSL, проблемы были устранены на этапе разработки и исправления вошли в финальный релиз. Читать далее Результаты аудита обновлённого генератора псевдослучайных чисел OpenSSL 1.1.1

Опубликован релиз HTTP-сервера Apache 2.4.35, в котором представлено 12 изменений и устранена одна уязвимость (CVE-2018-11763). Уязвимость присутствует в модуле mod_http2, проявляется при включении поддержки протокола HTTP/2 и позволяет вызвать отказ в обслуживании через исчерпание лимита на число одновременно открытых соединений. Атака производится через непрерывную отправку кадров максимального размера с типом SETTINGS. Улучшения в новой версии в основном связаны с модулем mod_status. В mod_status обеспечено накопление статистики по загрузке CPU в параметрах «cu» и «cs» для завершившихся дочерних процессов, а также в параметрах «c» и «s» для основного процесса. Добавлен учёт задержек получения ответа. Расширены сведения об участниках балансировки нагрузки для … Читать далее Релиз http-сервера Apache 2.4.35

В открытом доступе оказались образы контейнеров Аэрофлота, содержащие исходные тексты, настройки и прочую служебную информацию. Данные пользователей не пострадали. Утечка сведений коснулась только начинки контейнеров, применяемых в качестве шаблонов для развёртывания сервисов для сайта aeroflot.ru. Проблема возникла из-за ненадлежащей настройки доступа к серверу с реестром контейнеров Docker, находящегося в инфраструктуре Аэрофлота и не отгороженного от остальной сети межсетевым экраном. Любой желающий без аутентификации мог загрузить с данного сервера служебные образы контейнеров Аэрофлота, включающие код на языке Python, обеспечивающий работу сайта компании. В том числе доступен код, определяющий логику обработки подарочных сертификатов и генерации бонусов. Читать далее Аэрофлот по ошибке оставил код своих сервисов в открытом доступе

Правозащитная организация Software Freedom Conservancy опубликовала пояснение, анализирующее возможность отзыва кода, уже переданного какому-либо проекту под лицензией GPLv2. Юристы SFC пришли к выводу, что автор не может отозвать свой GPL-код и применение GPLv2 предоставляет использующим данный код проектам не отзываемую автором лицензию. Тем не менее, создатель кода может попытаться потребовать отозвать свой вклад и в случае отказа через суд заявить о нарушении авторских прав. Наиболее вероятно, что суд встанет на сторону ответчика, так как передача кода произведена под лицензией GPL. В отличие от проектов, которые изначально развиваются определённым автором и он в любой момент может изменить модель лицензирования (изменение будет … Читать далее Организация SFC опровергла возможность отзыва своего кода из ядра Linux

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали детали эксплуатации уязвимости (CVE-2018-17182) в подсистеме vmacache ядра Linux, о которой сообщалось на прошлой неделе. Продемонстрирован процесс создания рабочего эксплоита при наличии возможности обращения к уже освобождённому блоку памяти (use-after-free), вызванной отсутствием проверки переполнения 32-разрядного номера последовательности в vmacache. Уязвимость может быть эксплуатирована для повышения привилегий любым локальным процессом, который может выполняться достаточно долго для переполнения счётчика ссылок (около часа, если доступен MAP_FIXED) и способного выполнять маппинг областей памяти при помощи системных вызовов mmap()/munmap() и создавать потоки через вызов clone(). Отдельно отмечается, … Читать далее Опубликован эксплоит для уязвимости в подсистеме vmacache ядра Linux

Спустя 10 лет с момента выхода предыдущего релиза доступна новая версия USBSnoop, системы для отслеживания URB-пакетов (USB Request Block), передаваемых между системой и устройством USB. Основное применение данной утилиты — анализ поведения проприетарных драйверов USB-устройств в Windows для написания свободных аналогов. Код проекта распространяется под лицензией GPLv2. USBSnoop предоставляет набор драйверов и приложение для настройки мониторнига USB-устройств, чтения записанных логов и связанный набор драйверов USB-фильтра. Разработка USBSnoop активно велась в 2000-х годах. С тех пор, последней поддерживаемой версией ОС долгое время оставалась Windows XP. Новая версия поддерживает работу со всеми актуальными версиями Windows. Система сборки переведена на CMake и Visual … Читать далее Новая версия свободного USB-логгера USBSnoop

Разработчики проекта KDE Neon, в рамках которого формируются Live-сборки с актуальными версиями программ и компонентов KDE, опубликовали стабильную сборку на базе LTS-выпуска Ubuntu 18.04. Предложено несколько вариантов сборок KDE Neon: User Edition на базе последних стабильных релизов KDE, Developer Edition Git Stable на базе кода из beta- и stable- веток Git-репозитория KDE и Developer Edition Git Unstable на базе находящихся в разработке веток из Git. Напомним, что проект KDE neon создан Джонатаном Ридделом (Jonathan Riddell), смещённым с поста лидера дистрибутива Kubuntu, с целью предоставления возможности установки свежих версий программ и компонентов KDE. Сборки и связанные с ними репозитории обновляются сразу … Читать далее Выпуск KDE Neon на базе Ubuntu 18.04

Увидел свет сервисный менеджер GNU Shepherd 0.5 (бывший dmd), который развивается разработчиками дистрибутива GuixSD GNU/Linux в качестве поддерживающей зависимости альтернативы системе инициализации SysV-init. Управляющий демон и утилиты Shepherd написаны на языке Guile (одна из реализаций языка Scheme), который также используется для определения настроек и параметров запуска сервисов. Shepherd может использоваться как в роли основной системы инициализации (init c PID 1), так и в обособленном виде для управления фоновыми процессами отдельных пользователей (например, для запуска tor, privoxy, mcron и т.п.) с выполнением с правами данных пользователей. Shepherd выполняет работу по запуску и остановке сервисов, учитывая взаимосвязь между сервисами, динамически определяя и … Читать далее Выпуск системы инициализации GNU Shepherd 0.5

Компания Google учла недовольство пользователей, связанное с автоподключением к учётной записи и оставлением Cookie Google после применения функции удаления всех Cookie. В выпуске Chrome 70 решено добавить настройку «Allow Chrome sign-in», позволяющую выключить привязку входа в Chrome с входом в сервисы Google. Настройка будет присутствовать в штатном конфигураторе и не потребует манипуляций с «about:flags». Также решено изменить индикатор входа. Новый индикатор позволит сразу понять подключен пользователь или нет и включена ли в настройках синхронизация данных. Кроме того, в Chrome 70 будет возвращено старое поведение функции удаления всех Cookie — все без исключения Cookie будут очищаться, включая сессионные Cookie от Google. … Читать далее Google устранит в Chrome 70 замечания, связанные с привязкой учётной записи и удалением всех Cookie

Доступен корректирующий выпуск GNOME 3.30.1, в который включены исправления ошибок, обновлена документация, улучшены переводы и внесены незначительные улучшения, направленные на увеличение стабильности. Из изменений выделяется удаление из базовой поставки модулей NetworkManager (network-manager-applet оставлен) и graphene. Причиной удаления стала разработка данных модулей вне инфраструктуры GNOME. В новой версии также проведена стабилизация модулей gnome-documents, gnome-initial-setup и gnome-photos, которые в момент выпуска 3.30 оставались на стадии бета-версий (3.29.9x). GNOME Shell пока не обновлён до версии 3.30.1, так как в нём остаются нерешёнными некоторые регрессивные изменения и проблемы, приводящие к крахам. Дистрибутивам рекомендовано поставлять GNOME Shell 3.30.0, применив 12 патчей. Читать далее Выпуск GNOME 3.30.1

После шести месяцев разработки компания Oracle выпустила платформу Java SE 11 (Java Platform, Standard Edition 11), в качестве эталонной реализации которой используется открытый проект OpenJDK. В Java SE 11 сохранена обратная совместимость с прошлыми выпусками платформы Java, все ранее написанные Java-проекты без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 11 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64), Solaris (SPARC), Windows и macOS. Разработанная в рамках проекта OpenJDK эталонная реализация Java 11 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими динамическое связывание с коммерческими продуктами. Java SE 11 отнесён … Читать далее Компания Oracle опубликовала Java SE 11

Началось тестирование бета-версии дистрибутива Fedora 29. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 30 октября. Выпуск охватывает Fedora Workstation, Atomic Host, Fedora Server, Fedora Silverblue и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки подготовлены для архитектур x86_64, ARM (Raspberry Pi 2 и 3), ARM64 (AArch64) и Power. Наиболее заметные улучшения в Fedora 29: Модульный репозиторий пакетов, который в Fedora 28 был предложен для пользователей Fedora Server, теперь по умолчанию включён для всех редакций Fedora. Репозиторий предлагает сгруппированные в модули наборы … Читать далее Дистрибутив Fedora 29 перешёл на стадию бета-тестирования

Компания Mozilla объявила о публичной доступности сервиса Firefox Monitor, который позволяет проверить свой email на предмет возможной компрометации связанных с ним учётных записей. Кроме того, сервис позволяет подписаться на отправку уведомлений в случае если указанный email будет фигурировать в новых утечках паролей. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о более чем 5.4 миллиардах учётных записей, похищенных в результате взломов более 300 сайтов. Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей … Читать далее Компания Mozilla ввела в строй сервис Firefox Monitor

Вышла версия 2.0 набора DocBook-оформления для создания электронных и печатных документов по стандарту ГОСТ 19 (ЕСПД). В новую версию вошли многочисленные улучшения и исправления соответствия стандарту ГОСТ 19, а также некоторые элементы стандарта ЕСКД (ГОСТ 2): Оформления длинных таблиц (более одной страницы); Подписи к рисункам и таблицам; Оформление примечаний; Оформление приложений. Помимо стилей, в версии 2.0 обновлены шаблоны документов. Проект предлагает следующие стандарты оформления: ЕСКД, ЕСКД (частично) и «современный» стиль. Все варианты используют общие принципы и параметры и могут совместно применяться для исходной документации. Материалы проекта распространяется на условиях лицензии GPLv3. Читать далее Версия 2.0 стиля оформления ЕСПД для DocBook 5

Доступен выпуск основной ветки nginx 1.15.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Директива «ssl_early_data«, применяемая для включения режима 0-RTT при использовании TLSv1.3, теперь может применяться совместно с OpenSSL (ранее поддерживался лишь BoringSSL); Устранены ошибки в модуле ngx_http_uwsgi_module; Решены проблемы с применением кэширования соединений к некоторым бэкендам gRPC при использовании директивы «keepalive»; Устранена утечка сокетов при использовании директивы «error_page» для перенаправления ошибок, возникающих на ранних этапах обработки запроса (в основном ошибки с кодом 400); Налажено изменение кода ответа директивой «return», в случае … Читать далее Выпуск nginx 1.15.4

Помимо скрытия тривиальных поддоменов и автоподключения к учётной записи в Chrome 69 всплыло ещё одно спорное изменение. После нажатия в настройках кнопки для очистки всех Cookie в браузере теперь остаются сеансовые Cookie для сервисов Google, если активна привязка Chrome к учётной записи. Проблема в том, что привязка браузера к учётной записи производится автоматически при аутентификации в любом сервисе Google, т.е. для очистки всех Cookie отныне вначале нужно отсоединиться от учётной записи Google, иначе Cookie Google останутся на месте. Формально заявленная функциональность не нарушается, так как Cookie Google удаляются вместе с остальными Cookie, но сразу же пересоздаются в том же виде. … Читать далее Chrome 69 оставляет Cookie Google после выполнения функции чистки всех Cookie

Состоялся релиз системы фильтрации спама Rspamd 1.8, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки, на основе которых формируется итоговый вес сообщения, используемый для принятия решения о необходимости блокировки. Rspamd поддерживает практически все возможности, реализованные в SpamAssassin, и имеет ряд особенностей, позволяющих фильтровать почту в среднем в 10 раз быстрее, чем SpamAssassin, а также обеспечивать лучшее качество фильтрации. Код системы написан на языке Си и распространяется под лицензией BSD. Rspamd построен с использованием событийно-ориентированной архитектуры (Event-driven) и изначально рассчитан на применение в высоконагруженных системах, позволяя обрабатывать сотни сообщений в секунду. Правила для выявления … Читать далее Доступна система фильтрации спама Rspamd 1.8

Компания Cloudflare сообщила о реализации в своей сети доставки контента поддержки TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения. До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS. ESNI устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе … Читать далее В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике

Опубликовано обновление операционной системы Solaris 11.4 SRU 1, в котором предложена первая серия исправлений и улучшений для недавно выпущенной ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. Формирование сервисных обновлений для ветки Solairs 11.3 прекращено. Основные изменения в Solaris 11.4 SRU 1: Добавлена поддержка резервирования блоков памяти для изолированных зон (Memory Reservation Pools for Kernel Zones), позволяющая исключить ситуации невозможности выделения памяти в Kernel Zone в условиях большой фрагментации памяти на высоконагруженных системах. Обновлены версии программ: vim 8.1.0209, mailman 2.1.29, Samba 4.8.4, Kerberos 5 1.16.1, webkitgtk+ 2.18.6, curl 7.61.0, sqlite 3.24.0, Apache Tomcat 8.5.32, … Читать далее Компания Oracle выпустила обновление Solaris 11.4 SRU 1