Британская вещательная корпорация (BBC) открыла код, разработанный в рамках проекта IP Studio для повышения пропускной способности систем потокового вещания через IP-сети. Разработка базируется на фреймворке Netmap и ориентирована на повышение пропускной способности в конфигурациях с 100-гигабитными каналами связи за счёт применения техники обхода штатных обработчиков пакетов сетевого стека ядра (‘kernel bypass’) и предоставления средств для прямой передачи пакетов между приложениями и сетевым оборудованием. В ходе экспериментов с разработкой программного продукта для потокового вещания инженеры BBC обратили внимание, что узким местом при обработке очень большого числа сетевых пакетов являются операции копирования пакетов в различные области памяти, которые в процессе обработки через … Читать далее Корпорация BBC открыла наработки по обработке сетевых пакетов в обход ядра Linux

GitHub инициировал процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры. Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгоритма bcrypt. Дополнение: Об аналогичной проблеме с сохранением открытых паролей в логах объявил Twitter. Читать далее GitHub и Twitter по ошибке сохраняли открытые пароли в логе

Рафаэль Авила де Эспиндола (Rafael Avila de Espindola), один из ключевых разработчиков LLVM, объявил об уходе из проекта. Рафаэль участвует в проекте с 2006 года и занимает пятое место по числу внесённых изменений (4344 коммита). В качестве причины называется несогласие с недавно принятым кодексом поведения (Code of Conduct), который на словах утверждает, что сообщество старается приветствовать людей всех политических убеждений, но ущемляет интересы тех, чьи убеждения не соответствуют принятому кодексу. Рафаэль заявил, что его этическим представлениям противоречит то, что LLVM ассоциирует себя с организацией Outreachy, которая открыто дискриминирует людей на основе их пола и происхождения (Outreachy выплачивает гранты для привлечения … Читать далее В знак несогласия с новым кодексом поведения LLVM покинул один из ведущих разработчиков

Исследователи из компании Checkpoint проанализировали использование техники маппинга областей памяти в драйверах из состава ядра Linux и выявили опасную уязвимость (CVE-2018-8781) в драйвере udl для устройств DisplayLink. Уязвимость позволяет непривилегированному пользователю, имеющему доступ к драйверу udldrmfb, организовать чтение и запись для любых областей памяти ядра Linux и может быть эксплуатирована для выполнения кода с правами ядра. Проблема проявляется в ядрах начиная с 3.4 и заканчивая 4.15. Исправление доступно в виде патча, который уже включён в состав ядер Linux 4.4.125, 4.9.90, 4.14.31 и 4.15.14. Обновления с исправлением проблемы выпущены для Debian, Ubuntu, Fedora, SUSE. Читать далее Уязвимость в драйвере DisplayLink, позволяющая выполнить код в контексте ядра Linux

Раскрыта информация об обнаружении 8 новых уязвимостей в механизме спекулятивного выполнение инструкций в процессорах Intel. По предварительным данным проблемы также затрагивают некоторые процессоры ARM и возможно процессоры AMD, но исследование в этой области пока не завершено. Уязвимости продолжают развитие идей по восстановлению данных, оставшихся в процессорном кэше в результате активности блока предсказания переходов, ставших известными под именем Spectre и позднее получивших развитие в атаках SpectrePrime, SgxPectre и BranchScope. Информация о проблемах уже передана компании Intel, которая намерена выпустить два набора исправлений — первый в мае, а второй в августе. Кроме Intel в это же время ожидается публикация исправлений от Microsoft … Читать далее Представлена Spectre-NG, группа из 8 новых уязвимостей в процессорах

Администраторы репозитория NPM предупредили пользователей о выявлении бэкдора в популярном JavaScript-пакете mailparser, который используется как зависимость в 213 пакетах и насчитывает около 64 тысяч еженедельных загрузок. Бэкдор был интегрирован в связанный зависимостями пакет getcookies и был закомуфлирован под видом библиотеки для работы с браузерными Cookie. На деле в пакете getcookies присутствовал код для получения управляющих команд от удалённого атакующего через передачу специально оформленных данных в HTTP-заголовках. Бэкдор позволял загрузить и выполнить произвольный код на сервере, на котором выполняются web-приложения, использующие mailparser в качестве зависимости. Примечательно, что пакет mailparser помечен как устаревший и не поддерживаемый автором. Getcookies использовался в mailparser через … Читать далее Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser

Компания NVIDIA представила первый выпуск новой стабильной ветки проприетарного драйвера NVIDIA 396.24. Драйвер доступен для Linux (ARM, x86_64), FreeBSD (x86_64) и Solaris (x86_64). Начиная с ветки 396.x выпуск 32-разрядных драйверов прекращён и поддержка новых GPU теперь осуществляться только в 64-разрядных драйверах. Основные новшества: Добавлена поддержка GPU GeForce GTX 1050 с Max-Q Design, Quadro GV100, Quadro P3200, Quadro P4200, Tesla V100-SXM2-32GB, Tesla V100-PCIE-32GB, Tesla V100-DGXS-32GB и Tesla V100-FHHL-16GB; Добавлена поддержка X.Org xserver ABI 24 (xorg-server 1.20); Для API Vulkan добавлен новый оптимизированный компилятор промежуточного представления шейдеров SPIR-V, примечательный уменьшением потребления памяти и сокращением времени компиляции шейдеров. Новый компилятор включен по умолчанию, … Читать далее Выпуск проприетарного драйвера NVIDIA 396.24

Представлен релиз платформы Electron 2.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Выпуск 2.0.0 ознаменовал переход к новой схеме нумерации версий, соответствующей принципу семантического версионирования. Значительные выпуски теперь будут выпускаться чаще и будут связываться с обновлениями движка Chromium. В промежутке между значительными обновлениями будут формироваться корректирующие выпуски, в которые будут включаться только исправления ошибок. Для более качественной стабилизации значительных выпусков разработчики скооперировались с некоторыми крупными проектами на базе Electron, которые теперь используются для предварительной обкатки бета-выпусков. Напомним, что Electron позволяет создавать любые графические приложения с использованием браузерных технологий, логика … Читать далее Релиз Electron 2.0.0, платформы создания приложений на базе движка Chromium

Компания Google представила проект gVisor, в рамках которого подготовлен новый открытый runtime для обеспечения изолированного запуска контейнеров, соответствующих требованиям спецификации Open Container Initiative (OCI). gVisor может применяться в качестве слоя в Docker и Kubernetes, заменяя предлагаемый в них штатный runtime. Код gVisor написан на языке Go и поставляется под лицензией Apache 2.0. При разработке gVisor была поставлена задача создания решения для выполнения контейнеров более легковесного чем системы виртуализации, но обеспечивающего сходный с ними уровень изоляции. Ключевым компонентом gVisor является собственное ядро, которое написано на языке Go и реализует большинство системных вызовов ядра Linux. Язык Go выбран для обеспечения дополнительной защиты, … Читать далее Google открыл gVisor, гибрид системы виртуализации и контейнеров

После года разработки опубликован релиз свободного набора компиляторов GCC 8.1, первый значительный выпуск в новой ветке GCC 8.x. В соответствии с новой схемой нумерации выпусков, версия 8.0 использовалась в процессе разработки, а незадолго до выхода GCC 8.1 уже ответвилась ветка GCC 9.0, на базе которой будет сформирован следующий значительный релиз GCC 9.1. GCC 8.1 примечателен реализацией некоторых возможностей будущего стандарта C++20 (кодовое название C++2a), существенным расширением средств диагностики, значительным улучшением PGO-оптимизаций (Profile-guided optimization), включением в режиме «-O3» новых оптимизаций выполнения циклов, обеспечением поддержки SVE (Scalable Vector Extension) для архитектуры AArch64. Основные изменения: Добавлена экспериментальная поддержка части будущего стандарта C++2a. Для … Читать далее Релиз набора компиляторов GCC 8

GitHub инициировал процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры. Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгортима bcrypt. Читать далее GitHub по ошибке сохранял открытые пароли в логе

Представлены новые выпуски стабильной и экспериментальной веток свободного пакета для верстки документов Scribus — 1.4.7 и 1.5.4. Scribus предоставляет средства для профессиональной верстки печатных материалов, включая гибкие инструменты для генерации PDF и поддержку работы с раздельными цветовыми профилями, CMYK, плашечными цветами и ICC. Система написана с использованием тулкита Qt и поставляется под лицензией GPLv2+. Готовые бинарные сборки подготовлены (1.5.4, 1.4.7) для Linux (AppImage), macOS и Windows. Выпуск Scribus 1.4.7 продолжает развитие серии стабильных выпусков 1.4.x и развивается параллельно с экспериментальной веткой 1.5, бэкпортируя из неё некоторые исправления. В экспериментальной ветке развиваются такие возможности как новый интерфейс пользователя на базе Qt5, … Читать далее Новые версии свободного издательского пакета Scribus 1.4.7 и 1.5.4

Разработчики платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и системы Node.js, объявили о реализации web-сервиса, позволяющего снабдить открытые приложения возможностью автоматической установки обновлений. Код серверных компонентов сервиса размещён на GitHub. Для разработчиков приложений подготовлен NPM-пакет с реализацией API для интеграции в программы средств для автоматической доставки обновлений. При появлении обновления пользователю выводится диалог с предложением перезагрузить программу для активации обновления или отложить применение обновления на потом. В отличие от уже доступного API autoUpdater, новый сервис не требует запуска своего web-сервера для размещения обновлений и метаданных, а позволяет загружать обновления напрямую из репозитория на GitHub. Читать далее Для платформы Electron представлен сервис автоматической доставки обновлений

Компания Google запустила общедоступную регистрацию доменов в новом домене первого уровня «.app«, ориентированном на размещение сайтов приложений и разработчиков программ. TLD «.app» станет первым публичным доменом первого уровня в котором допускается использование только защищённых соединений. В браузер Chrome встроена функция подстановки заголовка HSTS (Strict Transport Security) для открытия по умолчанию HTTPS на всех сайтах, использующих домены первого уровня .app. Кроме TLD «.app» принудительный проброс на HTTPS также выполняется для доменов «.google», «.dev», «.foo» и «.page», которые принадлежат компании Google и пока недоступны для общедоступной регистрации поддоменов (для «.dev» регистрацию планируется открыть в этом году). Читать далее Google представил домен первого уровня .app, на котором доступен только HTTPS

Раскрыты сведения об уязвимости (CVE-2018-1108) в реализации генератора случайных чисел, предлагаемого в ядре Linux. Уязвимость охватывает несколько проблем, выявленных в процессе аудита, проведённого инженерами компании Google. Найденные проблемы снижают уровень энтропии при инициализации и приводят к ужудшению качества генерации случайных чисел через /dev/urandom в процессе загрузки системы и спустя короткое время после загрузки (от нескольких секунд до минуты). Уязвимость проявляется только для ключей, создаваемых на раннем этапе загрузки (до стадии инициализации RNG crng_init=2), так как на данной стадии параметры случайных чисел не отвечают требованиям, предъявляемым для криптографических операций. Из проблем отмечается игнорирование некоторых источников энтропии на ранней стадии загрузки, ненадлежащее … Читать далее Уязвимость в генераторе случайных чисел ядра Linux

Компания Mozilla сообщила о намерении включить в выпуске Firefox 60, намеченном на 9 мая, отображения оплаченных спонсорами блоков на стартовой странице, показываемой при открытии новой вкладки. Ссылки на рекламные статьи будут показываться в разделе рекомендованного сервисом Pocket контента и будут явно помечены как реклама. На текущем этапе реклама станет показываться только для пользователей в США. Рекламные блоки можно будет отключить через настройки стартовой страницы. Интересно, что несколько лет назад в Firefox уже включался показ рекламы на стартовой странице. Показ рекламы был организован в ходе эксперимента по организации доступа к различным видам контента и изучения возможности ненавязчивой рекламы, уважающей интересы пользователей … Читать далее В Firefox 60 появится реклама на стартовой странице

Доступен корректирующий выпуск Python 2.7.15, в котором отражены внесённые с сентября прошлого года исправления ошибок. Во входящем в комплект модуле expat устранено 8 уязвимостей. Модуль ssl адаптирован для сборки с LibreSSL 2.7. Поддержка ветки Python 2.7 будет осуществляться до 2020 года. Выпуск следующей значительной ветки Python 3.7 ожидается 15 июня. Читать далее Выпуск Python 2.7.15

Состоялся релиз Linux-дистрибутива Fedora 28. Для загрузки подготовлены продукты Fedora Workstation, Fedora Server и Fedora Atomic Host, а также набор «спинов» c Live-сборками десктоп-окружений KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки сформированы для архитектур x86, x86_64, Power64, ARM64 (AArch64) и различных устройств с 32-разрядными процессорами ARM. Формирование сборки RFRemix 28, адаптированной для отечественных пользователей, задерживается. Наиболее заметные улучшения в Fedora 28: В рамках пересмотра концепции по созданию модульной серверной редакции Fedora представлен новый модульный репозиторий пакетов. Вместо построения отдельной модульной операционной системы пользователям предложен отдельный репозиторий с модулями, реализованный поверх традиционного репозитория пакетов Fedora, который может сосуществовать … Читать далее Релиз Linux-дистрибутива Fedora 28

Организация Software Freedom Conservancy (SFC) сообщила о том, что Комитет по рассмотрению споров и апелляций в связи с регистрацией товарных знаков (TTAB) отклонил выдвинутое организацией Software Freedom Law Center (SFLC) обвинение в получении торговой марки мошенническим путём. Рассмотрение изначально выдвинутых претензий пока не завершено, поэтому разбирательство о нарушении торговой марки продолжается в обычном для таких дел темпе. После отклонения претензий в мошенничестве организация Software Freedom Conservancy перешла к следующему процедурному шагу, в рамках которого в TTAB направлен запрос на обновление ответа на изначально выдвинутые претензии. Позиция Software Freedom Conservancy остаётся неизменной — разбирательство является напрасной тратой ресурсов обеих организаций и … Читать далее Прогресс в разбирательстве между Software Freedom Conservancy и Software Freedom Law Center

Состоялся релиз дистрибутива Kali Linux 2018.2, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ (2.8 Гб) и сокращённый образ (865 Мб). Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от … Читать далее Релиз дистрибутива для исследования безопасности систем Kali Linux 2018.2

Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD и выпускающий защищённые сборки FreeBSD, сообщил о возвращении к использованию OpenSSL, спустя более года после миграции на LibreSSL. Как следствие возвращения на OpenSSL, в качестве NTP-сервера по умолчанию будет возвращён ISC NTP вместо OpenNTPd. В качестве причины называется сложность сопровождения решения на базе LibreSSL и существенные трудозатраты при переходе на новые выпуски LibreSSL. В частности, при обновлении LibreSSL с версии 2.6.4 до 2.7.2 всплыло большое число несовместимостей в портах, которые требуют индивидуальных внесений исправлений в порты. При расширении команды разработчиков HardenedBSD проект намерен вернуться на LibreSSL, но в данный момент продолжение использования LibreSSL … Читать далее Проект HardenedBSD возвращается с LibreSSL на OpenSSL