Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (вариант OpenVPN с усиленной защитой), раскрыла информацию о произошедшей в сентябре компрометации инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS. В результате инцидента атакующие смогли получить доступ к учётной записи Fox-IT на сайте регистратора доменов и перевести обслуживание домена fox-it.com на свой DNS-сервер. Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору. При этом они согласились, что по недосмотру на сайте регистратора не была включена … Читать далее Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен

Доступен дистрибутив Parrot 3.10, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены полный iso-образ (3.9 Гб). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks. В качестве рабочего стола применяется MATE. В новой версии доведена до полноценного состояния система изолированного … Читать далее Выпуск дистрибутива Parrot 3.10 с подборкой программ для проверки безопасности

Опубликован метод скрытия частей кода при выводе изменений при помощи команды «git diff», которая часто используется для изучения присылаемых патчей. Добавив в код escape-последовательность «[8m» атакующий может сделать невидимой часть при выводе на экран с использованием терминала, поддерживающего команды VT100. Проблемы также выявлены в команде «git rm», которая выводит имя удаляемого файла с обработкой escape-последовательностей в нём. Например, можно создать файл при помощи команды touch `echo -e «e[45mTeste[0m»` и добавить его в git-репозиторий. Escape-последовательность будет обработана при удаления данного файла через «git rm». Аналогично можно добиться обработки escape-последовательностей в git-branch при их подстановке в имена файлов в каталоге .git/refs/heads (touch … Читать далее Метод подстановки троянского кода, невидимого при просмотре в git diff

Представлен релиз документ-ориентированной СУБД PouchDB 6.4, реализующей вариант СУБД Apache CouchDB, написанный на языке JavaScript и работающий внутри браузера или под управлением Node.js. PouchDB совместим с CouchDB на уровне API для хранения и выборки данных. Модель хранения повторяет CouchDB и обеспечивает средства разрешения конфликтов. Код распространяется под лицензией Apache 2.0. Размер сжатого архива с PouchDB занимает 46 Кб. PouchDB позволяет создавать web-приложения, способные полноценно функционировать в offline-режиме и реплицировать данные из стационарных БД на базе CouchDB. При отсутствии сетевого соединения web-приложение может накапливать изменения в локальном хранилище на базе PouchDB, а после выхода в сеть синхронизировать изменения с внешним сервером, … Читать далее Выпуск СУБД PouchDB 6.4, реализации CouchDB на JavaScript

Состоялся релиз интегрированной среды разработки Lazarus 1.8, основанной на компиляторе FreePascal и выполняющей задачи, сходные с Delphi. При подготовке новой версии внесено 3980 изменения. Готовые установочные пакеты с Lazarus подготовлены для Linux, macOS и Windows. Одновременно выпущен корректирующий релиз компилятора FreePascal 3.0.4, в котором исправлены накопившиеся ошибки. Ключевыми улучшениями в Lazarus 1.8.0 стали новый набор виджетов, основанных на Qt 5, которые можно использовать для построения интерфейса разрабатываемых приложений, и реализация масштабируемых свойств для использования на экранах с высокой плотностью пикселей (High DPI). Интерфейс среды разработки также адаптирован для экранов High DPI. В компонент ClipBoard добавлена возможность помещения и вставки контента … Читать далее Новая версия среды разработки для FreePascal

Сообщество разработчиков языка программирования Perl празднует тридцатилетие проекта. 18 декабря 1987 года, увлекающийся программированием лингвист Ларри Уолл (Larry Wall), уже известный в то время созданием программы patch, представил первый публичный релиз интерпретатора Perl. Язык Perl унаследовал некоторые черты языков Си и AWK, был ориентирован изначально на эффективную обработку текстов и списков, и отличался интегрированной в язык поддержкой регулярных выражений и удобных в использовании хэшей. Позднее Perl вышел за рамки специализированного решения для обработки текстовых данных и был превращён в язык общего назначения, оказавший впоследствии значительное влияние на развитие многих популярных ныне скриптовых языков программирования. Читать далее Языку Perl исполнилось 30 лет

Спустя полтора года с момента прошлого выпуска представлен новый стабильный релиз архиватора GNU Tar 1.30. Основные новшества: При извлечении теперь пропускаются компоненты с ‘..’ в именах, что нарушает сложившееся поведение, но повышает безопасность при извлечении данных из архивов, не заслуживающих доверия, поверх имеющихся файлов; Добавлен вывод ошибки при выполнении создания или обновления архива с некорректным указанием опций, для которых важен порядок следования в командой строке. Например, выполнение «tar -cf a.tar . —exclude ‘*.o’» приведёт к выводу ошибки из-за указания блока —exclude после пути для архивирования (—exclude должен указываться до обязательного параметра к которому применяется ограничение); Опция «—numeric-owner» теперь приводит к … Читать далее Релиз GNU tar 1.30

После шести месяцев разработки состоялся релиз свободного гипервизора Xen 4.10. По сравнению с прошлым выпуском в Xen 4.10 внесено 1250 изменений, что на 20% меньше, чем в прошлом выпуске. В разработке нового выпуска приняли участие такие компании, как Amazon, AMD, Arm, Cavium, Citrix, EPAM, Huawei Technologies, Intel, Linaro, Nokia, Oracle, Red Hat и SUSE. Ключевые изменения в Xen 4.10: В планировщик Credit2, рассчитанный на нагрузки, чувствительные к задержкам, добавлена поддержка «мягкой» привязки к ядрам CPU (Soft-affinity), позволяющей выделить определённый CPU для предпочтительной обработки виртуальной машины (не жесткое закрепление, а привязка на уровне приоритетов, позволяющая поднять эффективность использования процессорного кэша). Кроме … Читать далее Релиз гипервизора Xen 4.10

Серия новых уязвимостей, информация о которых раскрыта в последние несколько дней: Уязвимость (CVE-2017-17670) в мультимедийном проигрывателе VLC, вызванная некорректным приведением типов и потенциально способная привести к выполнению кода при распаковке специально оформленных файлов в формате MP4. Проблема пока исправлена только в ветке HEAD; Уязвимость в PowerDNS Recursor, позволяющая инициировать крах процесса при обработке ответа DNS-сервера, содержащего некорректное значение поля CNAME. Проблема проявляется только в ветке 4.0.x и устранена в обновлении 4.0.8; Уязвимость в системе непрерывной интеграции Jenkins, вызванная состоянием гонки в процессе выполнения команд инициализации при запуске, из-за чего могут быть не выставлены некоторые важные ограничения, необходимые для обеспечения безопасности, … Читать далее Уязвимости в VLC, PowerDNS, Jenkins, Xen, Ruby, Asterisk, GraphicsMagick и Apache Synapse

Компания Google сформировала релиз операционной системы Chrome OS 63, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 63. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 63 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 63: Представлен интерфейс для отслеживания нагрузки на CPU, потребления памяти и … Читать далее Выпуск операционной системы Chrome OS 63

Доступны редакция дистрибутива Linux Mint 18.3 с рабочими столами Xfce и KDE. Редакция с Xfce (1.7 Гб) основана на пакетной базе Xubuntu 16.04 и поставляется с десктоп-окружением Xfce 4.12, дополненном серией оригинальных приложений, упрощающих настройку и работу в системе. Редакция с KDE (2 Гб) основана на пакетной базе Kubuntu 16.04, использует PPA-репозиторий с бэкпортами приложений из новых версий Kubuntu и поставляется с рабочим столом KDE Plasma 5.8. Ключевые новшества редакций с Xfce и KDE идентичны новшествам, ранее представленным для редакций Linux Mint 18.3 на базе оболочек MATE и Cinnamon. Читать далее Выпуск редакций дистрибутива Linux Mint 18.3 с рабочими столами Xfce и KDE

Производитель антивирусного ПО Avast открыл исходные тексты декомпилятора машинного кода RetDec, на протяжении семи лет применяемого для анализа исполняемых файлов. Код открыт под лицензией MIT. Поддерживается сборка для Linux и Windows. Среди областей применения можно отметить проведение обратного инжиниринга закрытого ПО и разбор поражённых вредоносным ПО приложений, с целью понять, что именно делает имеющийся машинный код без наличия исходных текстов и без запуска этого кода. Также декомпиляция может оказаться полезной для оценки различий между двумя разными сборками одной программы или для определения в предоставляемых сборках возможных скрытых подстановок кода, отсутствующих в заявленных исходных текстах. Продукт позволяет выполнять декомпиляцию независимо от … Читать далее Компания Avast открыла исходные тексты декомпилятора машинного кода

Многие пользователи Firefox обратили внимание на появление в списке дополнений нового дополнения «Looking Glass 1.0.3», которое они не устанавливали. Данное дополнение без лишних предупреждений появилось несколько дней назад и подписано сертификатом Mozilla, но в сети не никаких данных о нем и причинах автоматической установки в браузер. По умолчанию дополнение деактивировано. В самом дополнении имеется ссылка на страницу c непонятной акцией, связанной с сериалом Mr Robot. Читать далее Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass

Леннарт Поттеринг представил релиз системного менеджера systemd 236. Из новшеств можно отметить поддержку формата дискового шифрования LUKS2, новые опции /etc/fstab (x-systemd.makefs, x-systemd.growfs), возможность использования Tmpfiles.d в пользовательском каталоге, поддержку привязки не только каталогов через «machinectl bind», серию новых настроек для unit-файлов. Основные изменения: Добавлена поддержка формата шифрования дисков LUKS2, примечательного упрощённой системой управления ключами, возможностью использования секторов большого размера (4096 вместо 512, снижает нагрузку при расшифровке), символьными идентификаторами разделов (label) и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения. Для использования LUKS2 требуется сборка с библиотекой libcryptsetup2; В /etc/fstab добавлена обработка опций монтирования x-systemd.makefs … Читать далее Релиз systemd 236

Федеральное агентство по связи США (FCC) проголосовало за отмену установленных два года назад правил в отношении соблюдения сетевого нейтралитета, запрещавших платное повышение приоритета, блокирование доступа и ограничение скорости обращения к контенту и сервисам, распространяемым на законных основаниях. Из 5 имеющих право голоса членов комиссии FCC, два, представляющих демократическую партию, выступали за сохранение сетевого нейтралитета, а другие два участника, выдвинутые республиканской партией, настаивали на отмене сетевого нейтралитета. Итоговым стал голос руководителя FCC, который проголосовал за отмену правил, устанавливающих сетевой нейтралитет. Представители Mozilla, EFF и других правозащитных организаций намерены добиться отмены принятого решения в Конгрессе США (Конгресс должен утвердить решение FCC) и … Читать далее Федеральное агентство по связи США отменяет правила сетевого нейтралитета

Состоялся релиз набора KDE Applications 17.12, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить на данной странице. Основные новшества: С kdelibs4 на использование KDE Frameworks 5 переведены музыкальный проигрыватель JuK, менеджер загрузки KGet, интерфейс микширования звука KMix, утилиты Sweeper и KMouth, редактор раскладки картинок KImageMapEditor и компонент Zeroconf-ioslave; Добавлен новый пакет ksmtp с реализацией библиотеки для отправки … Читать далее Выпуск KDE Applications 17.12

Организация Apache Software Foundation опубликовала релиз Apache Hadoop 3.0, свободной платформы для организации распределённой обработки больших объёмов данных с использованием парадигмы map/reduce, при которой задача делится на множество более мелких обособленных фрагментов, каждый из которых может быть запущен на отдельном узле кластера. Хранилище на базе Hadoop может охватывать тысячи узлов и содержать эксабайты данных. В состав Hadoop входит реализация распределенной файловой системы Hadoop Distributed Filesystem (HDFS), автоматически обеспечивающей резервирование данных и оптимизированной для работы MapReduce-приложений. Для упрощения доступа к данным в Hadoop хранилище разработана БД HBase и SQL-подобный язык Pig, который является своего рода SQL для MapReduce, запросы которого могут … Читать далее Релиз платформы для распределённой обработки данных Apache Hadoop 3.0

Компания Red Hat объявила о получении для дистрибутива Red Hat Enterprise Linux 7.1 сертификата соответствия требованиям международного стандарта безопасности Common Criteria EAL4+ (Evaluation Assurance Level) по профилю OSPP 3.9 (General-Purpose Operating System Protection Profile), включая сертификацию предоставляемых средств для контейнерной изоляции (Linux Container Framework) и виртуализации (Red Hat Virtualization). EAL4+ является наивысшим уровнем сертификации для стандартных коммерческих операционных систем, который можно достигнуть без внесения специальных модификаций. Соответствие стандарту подтверждено на различных серверах Dell EMC, Hewlett Packard Enterprise и IBM, укомплектованных 64-разрядными процессорами Intel, AMD, Power 8 и z/Architecture. Проведение подобной сертификации призвано подчеркнуть высокий уровень надежности и безопасности продукта. Кроме … Читать далее Red Hat Enterprise Linux 7 сертифицирован на соответствие уровню безопасности EAL4+

Подготовлен релиз дисплейного сервера Mir 0.29, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical для встраиваемых устройств и интернета вещей (IoT). Пакеты для установки в Ubuntu 16.04, 17.04 и 17.10 размещены в PPA-репозитории проекта. Пакет с Mir 0.29 также одобрен для включения в репозиторий Ubuntu 18.04 (будет перенесён из proposed в main в течение недели). Основные изменения: Продолжена реализация поддержки средств для обеспечения запуска Wayland-приложений в окружении Mir, используя Mir в качестве композитного сервера для Wayland. Улучшен охват тестами кода, связанного с Wayland. Устранены проблемы, … Читать далее Выпуск дисплейного сервера Mir 0.29

Консорциум W3C объявил о придании набору спецификаций HTML 5.2 статуса рекомендованного стандарта, а также опубликовал первый черновой вариант следующей версии стандарта — HTML 5.3. Ранее действующая спецификация HTML 5.1 объявлена устаревшей. Спецификации HTML5 не ограничиваются только разметкой и включают в себя целый набор web-технологий, в совокупности формирующих открытую web-платформу — программное окружение для работы кросс-платформенных приложений, способных взаимодействовать с оборудованием, поддерживающие средства для работы с видео, графикой и анимацией, предоставляющей расширенные сетевые возможности. Ключевые изменения: Добавлена поддержка API Payment Request, который позволяет организовать быстрое совершение платежей при помощи кредитной карты, без необходимости повторного ручного ввода типовой информации, такой как данные … Читать далее HTML 5.2 получил статус рекомендованного стандарта

Состоялся третий стабильный выпуск проекта TrueOS, в котором используется окружение рабочего стола Lumina, файловая система ZFS и система инициализации OpenRC. Размер установочного iso-образа 2.8 Гб. При разработке TrueOS используется rolling-модель и FreeBSD Current в качестве основы. При этом проектом поддерживаются две ветки: UNSTABLE с самыми свежими версиями программ и STABLE с отстающими по времени, но полностью протестированными выпусками программ. После прохождения дополнительного тестирование в STABLE ветку переносятся исправления, связанные с устранением серьёзных ошибок. Исключение сделано для рабочего стола Lumina и конфигуратора SysAdm, которые переносятся в STABLE ветку сразу после формирования новых выпусков, не дожидаясь общего шестимесячного цикла переноса обновлений. Для … Читать далее Выпуск проекта TrueOS 17.12, пришедшего на смену PC-BSD