Ресурс haveibeenpwned.com, отслеживающий факты компрометации учётных записей, опубликовал сведения о взломе сайта сообщества LinuxForums.org, который произошёл 1 мая и привёл к утечке базы пользователей, включающей имена, Email, IP-адреса и хэши паролей пользователей. В руки атакующих попали сведения о 275 тысячах учётных записей. Пароли были прохэшированы при помощи ненадёжного алгоритма MD5 с использованием соли. Утверждается, что на сайте использовалась старая версия движка vBulletin, уязвимость в котором была использована для взлома (в своё время через уязвимости в vBulletin взломам подвергались форумы Ubuntu (1, 2), openSUSE и NVIDIA). Администраторы LinuxForums.org пока не опубликовали заявление о взломе, а также игнорируют все попытки связаться с … Читать далее Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей

В мае компания Oracle открыла исходные тексты инструментария Java Mission Control (JMC), который ранее поставлялся только для платных подписчиков. Код был открыт под свободной лицензией UPL 1.0 (Universal Permissive License), совместимой с GPL. Спустя несколько недель с момента открытия кода Маркус Лагергрен (Marcus Lagergren) сообщил об увольнении всего персонала, ранее занимавшегося разработкой JMC. Дальнейшая судьба проекта теперь целиком зависит от интереса сообщества. Маркус Хирт (Marcus Hirt) уточнил, что три разработчика инструмента Java Flight Recorder (JFR), включая его самого, пока остаются в Oracle. Напомним, инструментарий JMC предоставляет средства для мониторинга, диагностики, профилирования и выявления утечек памяти. JMC позволяет получить доступ к … Читать далее Oracle увольняет команду разработчиков JMC после открытия кода проекта

Сервис мгновенного обмена сообщениями Gitter, купленный GitLab и затем переведённый в разряд открытых проектов, отслеживает пользователей с помощью методов скрытой идентификации («browser fingerprinting»). В том числе применяется идентификация при помощи Canvas, намерение по использованию которой явно задекларировано в данном коммите. Идентификация выполняется при помощи популярной свободной библиотеки fingerprintjs2, которая также может учитывать для генерации идентификатора такие параметры, как разрешение экрана, специфичные HTTP-заголовки, списки установленных плагинов и шрифтов, активность определённых Web API, учёт особенностей WebGL и т.п. Техника идентификации пользователя при помощи Canvas заключается в скрытой отрисовке картинки на странице, которая затем анализируется на предмет особенностей вывода, специфичных для используемого графического … Читать далее Принадлежащий GitLab сервис Gitter использует методы скрытой идентификации пользователей

Состоялся релиз системы динамической трассировки SystemTap 3.3, предоставляющий для платформы Linux средства отладки, похожие на технологию DTrace. SystemTap позволяет организовать доскональное наблюдение за работающей Linux-системой, производить сбор статистики о работе приложений, профилирование и контроль системных вызовов. Управление производится через интерфейс командной строки и специальный Си-подобный язык сценариев. Система протестирована с ядрами Linux начиная с версии 2.6.32 и заканчивая 4.18-rc0. В развитии проекта участвуют такие компании как Red Hat, IBM, Intel, Hitachi и Oracle. В каталоге примеров представлено 163 скрипта на все случаи жизни, подходящие для слежения за распределением памяти, вводом/выводом, дисковыми операциями, сетевым трафиком (например, анализ работы NFS), работой планировщика … Читать далее Выпуск системы динамической отладки SystemTap 3.3

Увидел свет релиз дистрибутива Devuan 2.0 «ASCII», форка Debian GNU/Linux, поставляемого без системного менеджера systemd. Новая ветка примечательна переходом на пакетную базу Debian 9 «Stretch». Для загрузки подготовлены Live-сборки и установочные iso-образы для архитектур AMD64, i386 и ARM (Raspberry Pi, Banana Pi, СubieBoard, Odroid и др.). Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. Подготовлены инструменты для миграции на Devuan 2.0 с Devuan 1.0, Debian 8.x «Jessie» или Debian 9.x «Stretch». В рамках проекта созданы ответвления для 381 пакета Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) … Читать далее Релиз дистрибутива Devuan 2.0, форка Debian 9 без systemd

Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах. Проблема вызвана отсутствием должной проверки имени файла, которое может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле. В процессе расшифровки и проверки цифровой подписи данное имя выводится на экран или в лог, но из-за отсутствия … Читать далее Уязвимость в GnuPG

Подготовлен новый выпуск php-parser, библиотеки для синтаксического разбора исходного кода на языке PHP в абстрактное синтаксическое дерево. Полностью поддерживается синтаксис PHP 5 и PHP 7, включая разбор пространств имён и возможность обработки PHP-файлов с некорректным синтаксисом. Проект может использоваться для создания статических анализаторов, утилит рефакторинга и сбора метрик. Код проекта написан на языке Go c использованием библиотек goyacc и golex, и распространяется под лиценизей MIT. Читать далее Релиз php-parser 0.5, парсера кода PHP

Представлен первый экспериментальный выпуск проекта libOS (HermitCore), развивающего специализированное ядро (unikernel), предоставляющее runtime для сборки самодостаточных приложений, способных работать без дополнительных прослоек поверх гипервизора. При сборке приложение связывается с библиотекой, которая самостоятельно реализует всю необходимую функциональность, не привязываясь к ядру ОС и системным библиотекам. Код проекта распространяется под лицензией BSD. Изначально проект начал развиваться на языке Си, но затем было решено переписать ядро на языке Rust. Ожидается, что использование Rust позволит повысить безопасность работы с памятью, упростить сопровождение кодовой базы и сделать ядро более расширяемым. В настоящее время основной код уже переписан, но реализация на Rust ещё немного отстаёт по … Читать далее Выпуск libOS, unikernel на языке Rust для запуска приложений поверх гипервизора

Компания «Базальт СПО» объявила о готовности нового дистрибутива «ОС АЛЬТ», адаптированного для работы на серверах «Эльбрус-4.4» и рабочих станциях «Эльбрус 401-РС» и «Эльбрус 801-РС». Дистрибутив основан на наработках проекта Sisyphus, в рамках которого была выполнена работа по портированию на процессоры с архитектурой «Эльбрус» системного окружения Linux и прикладных пакетов. Все компоненты дистрибутива запускаются в основном режиме процессора (в двоичных кодах «Эльбрус», а не в режиме эмуляции CPU x86), что позволило добиться более высокой производительности по сравнению с режимом бинарной трансляции. Репозиторий насчитывает более 6000 портированных для архитектуры e2k исходных пакетов, в том числе доступны типовые окружения сборки (rpm-build, hasher), платформы … Читать далее Для платформы Эльбрус представлен новый дистрибутив АЛЬТ

Представлен релиз SQLite 3.24.0, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Основные изменения: Добавлена поддержка операции UPSERT (добавить-или-модифицировать), реализованной через выражение «INSERT … ON CONFLICT DO NOTHING/UPDATE». Операция позволяет игнорировать ошибку или выполнить обновление вместо вставки, в случае невозможности добавления данных через «INSERT», например, из-за нарушения условий уникальности или недопустимости значения одного из полей (т.е. если запись уже существует, вместо INSERT можно … Читать далее Релиз СУБД SQLite 3.24

Компания Google представила релиз операционной системы Chrome OS 67, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 67. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 67 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 67: Обеспечена возможность запуска приложений, работающих в режиме Progressive Web Apps … Читать далее Выпуск Chrome OS 67

Компания Cloudflare продолжила развитие своего публичного DNS-сервера 1.1.1.1 и для тех кто не хочет раскрывать свой IP-адрес при обращении к DNS ввела в строй DNS-резолвер, реализованный в виде скрытого сервиса Tor. Компания также напомнила, что для DNS-сервера 1.1.1.1, а также сопутствующих сервисов «DNS over HTTPS» и «DNS over TLS», действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа. До сих пор для пользователей Tor было доступно два метода резолвинга IP-адресов — использование DNS-сервера провайдера и использование резолвера выходного узла Tor. В первом случае DNS-резолвер получает информацию о клиентском IP, … Читать далее Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor

Доступен выпуск сервера приложений NGINX Unit 1.2, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Проект пока находится на стадии бета-тестирования и не рекомендован для промышленного использования. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе прошлого выпуска. В новой версии: Добавлена возможность настройки переменных окружения для процессов приложений, запускаемых под управлением Unit. … Читать далее Выпуск сервера приложений NGINX Unit 1.2

Facebook ввёл в строй собственный сервис для отслеживания степени внедрения IPv6 в различных странах. По данным сервиса, учитывающего статистику обращений к социальной сети Facebook, в конце мая доля IPv6 трафика в США впервые преодолела отметку в 50%. Для мобильных сетей США доля IPv6-трафика оценивается в 75%. Наибольший уровень внедрения отмечается у оператора T-Mobile, который маршрутизирует через IPv6 90% трафика. Из кабельных операторов лидирует Comcast, в котором 75% трафика проходит через IPv6. Кроме США среди лидеров по степени внедрения IPv6 выделяются Бельгия (49.51%), Индия (49.36%) и Германия (39.2%). В России доля IPv6 составляет 1.53%, Китае — 0.69%, Украине — 0.26%, Беларуси … Читать далее В Facebook доля трафика IPv6 в США превысила 50%

Подготовлен корректирующий выпуск Firefox 60.0.2, в котором устранена критическая уязвимость и исправлено несколько ошибок. Информация о критической уязвимости пока не раскрывается, в отчёте упоминается только проблема CVE-2018-6126 в библиотеке Skia, которая может привести к краху браузера из-за переполнения буфера при растеризации специально оформленных изображений в формате SVG при выключенном сглаживании. Из исправлений ошибок отмечается решение проблемы с пропаданием узлов DOM в панели инструментов для разработчиков. Кроме того, устранена ошибка, мешавшая нормальному отображению шрифтов в Mac OS X 10.11 и более ранних выпусках при использовании сторонних менеджеров шрифтов. Библиотека NSS (Network Security Services) обновлена до версии 3.36.4, в которой решена проблема … Читать далее Обновление Firefox 60.0.2 с устранением уязвимостей

В состав компилятора Clang, используемого для сборки базовой системы OpenBSD, интегрирован механизм защиты RETGUARD, нацеленный на усложнение выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming). Механизм включен только при сборке для архитектуры AMD64. Суть метода защиты RETGUARD заключается в искажении адреса возврата обработчиков функций. Перед началом обработчика функции добавляется вызов XOR, комбинирующий адрес возврата с генерируемым для каждой функции случайным значением Cookie, которое затем сохраняется в стек. Перед командой возврата управления из функции (ret) значение Cookie извлекается из стека и при помощи операции XOR повторно применяется к адресу возврата, что восстанавливает его исходное … Читать далее В состав OpenBSD-Current добавлен механизм защиты RETGUARD

После шести лет c момента релиза прошлой стабильной ветки состоялся выпуск файлового менеджера Thunar 1.8.0, развиваемого в рамках проекта Xfce. При разработке Thunar основное внимание уделяется обеспечению высокой скорости работы и отзывчивости, в сочетании с предоставлением простого в использовании, интуитивно понятного и избавленного от излишеств интерфейса. Основные новшества: Переход с GTK+2 на использование GTK+3; Полная переработка панели для отображения текущего файлового пути. На панель добавлены кнопки для перехода к ранее открытым и следующим путям, перехода в домашний каталог и родительский каталог. В правой части панели появилась пиктограмма, клик на которой открывает диалог для редактирования строки с файловым путём. На скриншоте … Читать далее Релиз файлового менеджера Thunar 1.8.0, развиваемого проектом Xfce

Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально. Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак: ssler — модуль для … Читать далее Новые сведения о вредоносном ПО VPNFilter, поражающем домашние маршрутизаторы

Полтора года назад компания Microsoft представила открытый проект «GVFS» (Git Virtual File System) с реализацией виртуальной файловой системы для Git, что вызвало недовольство части сообщества из-за использования имени, уже применяемого проектом GNOME (GVFS — Gnome Virtual File System) для своей виртуальной ФС с 2007 года. Представители сообщества много раз пытались донести до Microsoft информацию о порочности использования идентичного имени со сходным проектом, но они игнорировались компанией. Три дня назад очередной энтузиаст опять попытался обратить внимание на проблему, но созданный им тикет был закрыт с отказом. В обращении пользователь указал на пренебрежительное отношение Microsoft к сложившейся экосистеме СПО и не желание … Читать далее Microsoft пообещал переименовать GVFS из-за пересечения имени с виртуальной ФС GNOME

Facebook ввёл в строй собственный сервис для отслеживания степени внедрения IPv6 в различных странах. По данным сервиса, учитывающего статистику обращений к социальной сети Facebook, в конце мая доля IPv6 трафика в США впервые преодолела отметку в 50%. Для мобильных сетей США доля IPv6-трафика оценивается в 75%. Наибольший уровень внедрения отмечается у оператора T-Mobile, который маршрутизирует через IPv6 90% трафика. Из кабельных операторов лидирует Comcast, в котором 75% трафика проходит через IPv6. Кроме США среди лидеров по степени внедрения IPv6 выделяются Бельгия (49.51%), Индия (49.36%) и Германия (39.2%). В России доля IPv6 составляет 1.53%, Китае — 0.69%, Украине — 0.26%, Белорусии … Читать далее По данным Facebook доля трафика IPv6 в США превысила 50%

Проект TrueOS (ранее PC-BSD) объявил о превращении из надстройки над FreeBSD с графическим рабочим столом в обособленную операционную систему, которую можно рассматривать как «downstream» форк FreeBSD. Помимо ранее предлагаемых файловой системы ZFS и системы инициализации OpenRC, начинка TrueOS будет расширена дополнительными возможностями, которые позволят рассматривать проект как свежую и инновационную ОС. В итоге планируется подготовить модульную, функциональную и качественную платформу, нацеленную на удовлетворение потребностей продвинутых пользователей и любителей кастомизации. Под «downstream» форком подразумевается, что проект продолжит использовать кодовую базу FreeBSD, интегрируя в неё новые технологии, такие как OpenRC и LibreSSL. Проделанная на начальном этапе работа уже позволяет использовать TrueOS в … Читать далее Проект TrueOS трансформировался в обособленную ОС