Автор дополнения Particle, насчитывающего более 30 тысяч установок и предлагающего расширенные настройки для YouTube, обнаружил, что новый владелец проекта интегрировал в дополнение вредоносный код. Автор Particle начал работать над новым проектом Iridium, нацеленным на создание с нуля нового варианта дополнения для адаптации функциональности к новому оформлению YouTube, поэтому продал уже не развивающееся дополнение компании, которая ранее предлагала сотрудничество в размещении рекламы. Отмечается, что перед продажей автор дополнения наводил справки на компанию, но не обнаружил ничего подозрительного. К сожалению автор не может указать название компании и какие-либо иные детали сделки, так как перед продажей он подписал соглашение о неразглашении информации. Через … Читать далее Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО

Компания OmniTI представила проект OmniOS Community Edition, в рамках которого сформирован новый дистрибутив Illumos (форк OpenSolaris), воплотивший идею по передаче контроля над разработкой OmniOS независимому сообществу, которое отныне продолжит сопровождение и управление проектом. Инфраструктура и репозитории для нового проекта запущены на благодаря совместному участию ряда организаций и компаний, выразивших интерес к независимому продолжению разработки OmniOS. Для управления проектом в Швейцарии учреждена некоммерческая ассоциация OmniOSce (OmniOS Community Edition Association). В состав управляющего комитета вошли Tobias Oetiker (президент, oetiker.ch), Andy Fiddaman (ответственный за разработку, citrus-it.net) и Dominik Hassler (финансовые вопросы). OmniOS Community Edition предоставляет полноценную поддержку гипервизора KVM, виртуального сетевого стека Crossbow … Читать далее Представлен OmniOS Community Edition, новый дистрибутив Illumos

Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 3.3.0, который примечателен устранением 11 уязвимостей, пяти из которых присвоен высокий уровень опасности. Всем пользователям продукта рекомендуется срочно установить обновление. В частности устранена уязвимость, позволяющая совершить подстановку SQL-кода аутентифицированным пользователем (CVE-2017-7681), осущестивить вставку JavaScript-кода в чат (CVE-2017-7663), провести CSRF- и XSS-атаки (CVE-2017-7666). Система аутентификации оказалась незащищена от перебора паролей и ботов (отсутствует капча), пароли хранились с использованием ненадёжных криптографических методов (CVE-2017-7673). Отсутствовала проверка загружаемых документов XML (CVE-2017-7664). Из не связанных с безопасностью изменений можно отметить поддержку импорта/экспорта событий календаря-планировщика при помощи протоколов ical и caldav, поддержку загрузки видеофайлов на сервер, … Читать далее Выпуск сервера web-конференций Apache OpenMeetings 3.3 с устранением 11 уязвимостей

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.6.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Одновременно доступно корректирующее обновление прошлой ветки — 2.5.5, которая позиционируется как стабильная и формирует функциональность, которая включена в OpenBSD 6.1. Выпуск LibreSSL 2.6.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.2. Особенности LibreSSL 2.6.0: Добавлены средства предоставления списков отозванных сертификатов (CRL) для libtls. Как только CRL будет предоставлен … Читать далее Выпуск LibreSSL 2.6.0

Компания «НТЦ ИТ РОСА» выпустила серверный дистрибутив ROSA Enterprise Linux Server 6.9 (RELS). Новая версия построена на пакетной базе CentOS 6.9 (прошлый выпуск был основан на пакетах RHEL 6.7). 32- и 64-разрядные сборки дистрибутива доступны для свободной загрузки. Для прошлого выпуска был публично доступен репозиторий с пакетами и обновлениями с устранением проблем безопасности, для выпуска 6.9 бинарные сборки публично не поставляются, размещены только пакеты с исходными текстами, а доступ к репозиторию можно получить отправив специальный запрос в отдел продаж или техническую поддержку. Кроме штатных пакетов из CentOS в состав ROSA Enterprise Linux Server включены дополненные инструменты для развёртывания частных облаков, … Читать далее Доступен дистрибутив ROSA Enterprise Linux Server 6.9

Представлен релиз переносимой редакции системы синхронизации точного времени OpenNTPD 6.1p1, развиваемой проектом OpenBSD. Версия OpenNTPD 6.1 позиционируется как стабильная и будет включена в состав осеннего релиза OpenBSD 6.1. Одновременно сформирован выпуск OpenNTPD 6.2p1, который рассматривается как экспериментальная база для развития новых возможностей. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации ntpd.conf. Работа OpenNTPD проверена … Читать далее Проект OpenBSD опубликовал выпуски NTP-сервера OpenNTPD 6.1 и 6.2

На сайте государственных услуг Российской Федерации (gosuslugi.ru) наблюдается наличие вредоносных iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл «f.html». Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение о проблеме и вредоносный код находится на сайте до сих пор. В настоящее время через данную вредоносную вставку производится DDoS-атака на один из украинских сайтов: при запросе /f.html выдаётся редирект на атакуемый сайт, который наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц на gosuslugi.ru. Судя по … Читать далее На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код

После четырёх месяцев разработки состоялся релиз системного менеджера systemd 234. Из новшеств можно отметить переход с Automake на сборочную систему Meson, обеспечение перезапуска systemd-logind без потери состояния, возможность ограничить время выполнения unit-а, добавление в systemd-networkd реализации IPv6 Router Advertisment и появление возможности обработки диапазонов адресов IPv6. Основные изменения: Обеспечена поддержка сборки при помощи сборочной системы Meson, использующей инструментарий Ninja. Поддержка ранее применяемой сборки на основе Automake пока сохранена, но в будущих выпусках запланирована к удалению. Для сборки systemd вместо «./autogen.sh ./configure make sudo make install» теперь можно использовать «meson build ninja -C build sudo ninja -C build install»; В менеджере … Читать далее Релиз systemd 234

14 июля в 5:40 по московскому времени счётчик эпохального времени Unix, который исчисляет число секунд с 1 января 1970 года, достигнет отметки в 1500000000 секунд. Значение в 1 млрд секунд было достигнуто 9 сентября 2001 года и привело к проявлению ошибки S1G в некоторых приложениях, в том числе в CVSup. 14 февраля 2009 года состоялся «парад цифр» при котором значение счётчика составило 1234567890. Читать далее 14 июля эпохальное время Unix достигнет отметки в полтора миллиарда секунд

Компания Базальт СПО объявила о выходе дистрибутива Simply Linux 8.0, построенного на основе восьмой платформы BaseALT. Продукт распространяется в рамках лицензионного договора, не передающего право на распространение дистрибутива, но позволяющего без ограничений использовать систему физическим и юридическим лицам. Дистрибутив поставляется в сборках для архитектур i586 и x86_64, и может работать на системах с 512 Мб ОЗУ. Simply Linux представляет собой простую в работе систему с классическим рабочим столом на основе Xfce 4.12, предоставляющую полную русификацию интерфейса и большинства приложений. Дистрибутив предназначен для корпоративных рабочих станций и домашних систем. В состав входит входит набор приложений, специально подобранный с учетом предпочтений российских … Читать далее Компания Базальт СПО представила дистрибутив Simply Linux 8

Состоялся релиз web-браузера Pale Moon 27.4, построенного на ответвлении от кодовой базы Firefox, модифицированного для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. На уровне поддержки базовых web-технологий и тем оформления браузер совместим с Firefox. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, интерфейс группировки вкладок Panorama, средства для родительского контроля и людей с ограниченными возможностями. Из улучшений … Читать далее Выпуск браузера Pale Moon 27.4

Пользователи Firefox обратили внимание на отслеживание активности через сервис Google Analytics на основной странице менеджера дополнений Firefox (about:addons). Примечательно, что счётчик используется независимо от согласия на передачу телеметрии Mozilla и без учёта режима «Do Not Track», более того, на страницу about:addons не распространяется действие дополнений для блокирования рекламы/трекеров и данные передаются даже в обход встроенной системы защиты от отслеживания (Tracking Protection) в приватном режиме. Содержимое списка предлагаемых дополнений, который отображается в разделе about:addons, загружается с хоста discovery.addons.mozilla.org, поэтому в качестве обходного пути отключения предлагается заблокировать доступ к данному хосту. Недовольство вызывает то, что информация о пользователе по умолчанию напрямую передаётся … Читать далее Mozilla использует Google Analytics в менеджере дополнений Firefox

На собрании Генеральной Ассамблеи ECMA официально утверждён стандарт ECMAScript 2017 (ECMAScript 8 или «ECMA-262 8th edition»), определяющий базовые функциональные возможности JavaScript. ECMAScript 8 был подготовлен в соответствии с представленным в прошлом году непрерывным процессом формирования стандартов ECMAScript, которые теперь выпускаются ежегодно и развиваются в рамках непрерывно обновляемого варианта спецификации ECMAScript Next. В ECMAScript 8 вошли изменения, связанные с устранением недоработок и внесением уточнений к прошлым выпускам ECMAScript, а также добавлено несколько новшеств. В стандарт перенесены уже поддерживаемые браузерами возможности, поэтому ECMAScript 8 сразу доступен во всех основных браузерах и не требует дополнительного времени на реализацию. Основные новшества: Добавлены методы Object.values() … Читать далее Утверждён стандарт ECMAScript 8 (2017)

Представлен релиз HTTP-сервера Apache 2.4.27, в котором представлено 8 изменения, из которых половина связана с решением проблем с нарушением совместимости. В частности, отключена поддержка HTTP/2 при использовании Prefork MPM, обеспечена совместимость FastCGI c PHP-FPM (возобновлено поведение версии 2.4.20), отключен экспорт недокументированной переменной ‘apr_table’ в mod_lua, улучшена совместимость mod_lua с Lua 5.1, 5.2 и 5.3. Кроме того, увеличена производительность и снижено потребление памяти в mod_http2, возобновлена поддержка полей из одного символа, устранено дублирование метода HEAD в заголовке Allow. Также доступны новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx — 1.12.1 и 1.13.3, в которых устранена уязвимость CVE-2017-7529. При помощи отправки … Читать далее Выпуск http-серверов Apache 2.4.27, nginx 1.13.3 и 1.12.1

Мэтью Брайант (Matthew Bryant), специализирующийся на безопасности DNS-серверов, опубликовал оригинальный метод атаки на всю систему доменов первого уровня, который позволил получить полный контроль над всеми доменами в зоне «.io«. Исследователю удалось получить контроль над 4 из 7 первичных DNS-серверов зоны «.io», пользуясь тем, что DNS-серверы, отвечающие за обслуживание домена первого уровня, имеют имена в той же зоне и рассматриваются некоторыми регистраторами на общих основаниях. Атака сводится к поиску просроченных в базе регистратора имён первичных DNS-серверов и регистрации домена с тем же именем, после чего атакующий получает контроль над первичным DNS-сервером зоны первого уровня. Для автоматизации атаки написан инструментарий, который осуществляет … Читать далее Техника атаки, позволившая получить контроль над всеми доменами в зоне .io

Состоялся релиз Linux-дистрибутива Fedora 26. Для загрузки подготовлены продукты Fedora Workstation, Fedora Server и Fedora Atomic Host, а также набор «спинов» c Live-сборками десктоп-окружений KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки сформированы для архитектур x86, x86_64, Power64 и ARM64 (AArch64). Дополнительно поставляется образ для Docker и сборки для различных устройств с 32-разрядными процессорами ARM. Наиболее заметные изменения в Fedora 26: Рабочий стол В состав включён выпуск рабочего стола GNOME 3.24 с поддержкой режима ночной подсветки, новым приложением для просмотра кулинарных рецептов, улучшением области уведомлений и расширением поддержки самодостаточных пакетов Flatpak. Проведена большая работа по увеличению производительности GNOME … Читать далее Релиз Linux-дистрибутива Fedora 26

Доступен релиз проекта VeraCrypt 1.21, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Код VeraCrypt поставляется под лицензией Apache 2.0. Выпуск VeraCrypt 1.21 примечателен реализацией поддержки платформы FreeBSD. Кроме того, несколько дней назад был сформирован выпуск 1.20, в котором представлена новая ассемблерная реализация блочных шифров … Читать далее Релиз VeraCrypt 1.21, форка TrueCrypt

Компания Microsoft сообщила о добавлении сборок Ubuntu (16.04) в каталог-магазин Windows Store и предоставлении возможности быстрой установки данного дистрибутива в тестовых сборках Windows 10 Insider, начиная со сборки 16215. Для обычных пользователей Windows 10 средства для установки Ubuntu будут предложены в осеннем обновлении. Установка осуществляется одним кликом по аналогии с установкой обычных программ из Windows Store. Ubuntu запускается внутри окружения Windows при помощи прослойки WSL («Windows Subsystem for Linux»), обеспечивающей трансляцию системных вызовов Linux в системные вызовы Windows. Предложенная сборка Ubuntu включает только утилиты командной строки и поставляется без графических приложений. Отмечается, что реализация не привязана к конкретным дистрибутивам и … Читать далее Дистрибутив Ubuntu теперь доступен для установки из Windows Store

24-26 августа в Томске на территории Томского государственного университета пройдёт конференция C++ Siberia 2017. Нулевой день конференции (24 августа) отведен для мастер-классов. В первый день (25 августа) состоится регистрация участников и открытие конференции. Открывать конференцию будет Ivan Cukic: аспирант кафедры Comuter Science университета Белграда, активный участник проекта KDE и автор книги Functional Programming in C++. Завершает первый день общение в неформальной обстановке. Второй день конференции (26 августа) будет открывать Александр Фокин: председатель российской рабочей группы по стандартизации С++, руководитель службы разработки поисковых компонент компании Яндекс. Подать заявку на доклад можно до 15 августа 2017 года, отправив запрос по адресу talks@cpp-russia.ru. … Читать далее В Томске состоится конференция C++ Siberia 2017

Некоммерческая организация SPI (Software in the Public Interest), курирующей приём пожертвований и юридические вопросы (торговые марки, владение активами и т.п.) для таких проектов, как Debian, Arch Linux, X.Org, 0.A.D, FFmpeg, freedesktop.org, OpenWrt и OpenEmbedded, опубликовала отчёт (PDF) с финансовыми показателями за 2016 год. Общий размер собранных средств составил 427 744 долларов, которые получены следующими проектами: 0 A.D. 1 432 Arch Linux 8 256 ArduPilot 54 849 Chakra 130 DebConf16 69 650 DebConf17 32 546 Debian 26 940 FFmpeg 13 806 FFmpeg (OPW) 190 freedesktop.org 1 272 FreedomBox Foundation 38 Gallery 0.33 GNU TeXmacs 42 GNUstep 142 haskell.org 13569 Jenkins 11219 … Читать далее Организация SPI опубликовала сведения о финансовых поступлениях курируемым открытым проектам

Мэтью Брайант (Matthew Bryant), специализирующийся на безопасности DNS-серверов, опубликовал оригинальный метод атаки на всю систему доменов первого уровня, который позволил получить полный контроль за всеми доменами в зоне «.io«. Исследователю удалось получить контроль за 4 из 7 первичных DNS-серверов зоны «.io», пользуясь тем, что DNS-серверы, отвечающие за обслуживание домена первого уровня, имеют имена в той же зоне и рассматриваются некоторыми регистраторами на общих основаниях. Атака сводится к поиску просроченных в базе регистратора имён первичных DNS-серверов и регистрации домена с тем же именем, после чего атакующий получает контроль за первичным DNS-сервером зоны первого уровня. Для автоматизации атаки написан инструментарий, который осуществляет … Читать далее Техника атаки, позволившая получить контроль за всеми доменами в зоне .io