Опубликованы корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (CVE-2017-7494), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT. Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи для старых версий. В качестве обходного пути защиты можно добавить в параметр «nt pipe support = no» в секцию «[global]» smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD, Debian, Fedora и … Читать далее Уязвимость в Samba, позволяющая выполнить код на сервере

Компания Valve опубликовала новый выпуск операционной системы SteamOS, основанной на пакетной базе Debian GNU/Linux и предназначенной как для использования на игровых приставках, так и на обычных компьютерах. Новый выпуск синхронизирован с пакетной базой Debian 8.8 и построен на свежем ядре Linux 4.11. Наиболее примечательным изменением стала замена драйвера для графических карт AMD — вместо проприетарного драйвера AMDGPU-PRO пользователям теперь предлагается штатный открытый драйвер, предоставляемый пакетом Mesa (в зависимости для пакета steamos-packages вместо amdgpu-pro включены xserver-xorg-video-amdgpu и mesa-vulkan-drivers). Пакет Mesa обновлён до выпуска 17.0.4. Добавлена свежая версия компонентов для поддержки Wayland. Число игр и контента для Linux, доступных в каталоге Steam, … Читать далее Обновление SteamOS 2.115

Представлен релиз SQLite 3.19.0, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Большинство изменений в новой версии связаны с проведением модернизации планировщика запросов, которая позволила заметно поднять производительность сложных запросов. Оптимизировано использование индексов — если в индексе присутствует значение, фигурирующее в выражении, то теперь используется значение из индекса, вместо загрузки оригинального значения столбца и повторного вычисления выражения. Оптимизирована обработка представлений в левой части … Читать далее Релиз СУБД SQLite 3.19.0

Для пользователей GNOME подготовлен скрипт GNOME Layout Manager, автоматизирующий работу по подключению дополнений, настройке темы оформления и изменению параметров GNOME для воссоздания оформления различных видов рабочего стола. В частности, GNOME Layout Manager предоставляет опции для настройки оформления в стиле Unity, Windows 10 и macOS. Для смены оформления достаточно загрузить и запустить скрипт layoutmanager.sh, после чего выбрать через меню необходимый вариант оформления. Скрипт запускается от имени непривилегированного пользователя, настройки и дополнения сохраняются в домашней директории. Параметры старого окружения остаются в резервной копии и могут быть восстановлены. Для воссоздания внешнего вида Unity использованы дополнения Dash to dock, TopIcons Plus, AppIndicator, User Themes, … Читать далее Скрипт для стилизации GNOME под оформление Unity, Windows и macOS

Ричард Хьюз (Richard Hughes), создатель проекта PackageKit, активно участвующий в разработке Fedora и GNOME, реализовал для Linux инструмент для обновления прошивок беспроводных мышей, подверженных атаке MouseJack. Несмотря на то, что атака MouseJack была разработана более года назад, некоторые производители до сих пор не выпустили инструментарий для обновления прошивки, который можно было бы использовать в Linux. В частности Logitech не относит Linux к числу официально поддерживаемых систем и не планирует выпускать исправления. При этом MouseJack является достаточно опасной проблемой, позволяющей из-за отсутствия защиты протокола, используемого при обмене данными между компьютером и мышью, получить контроль над беспроводными мышами на расстоянии до ста … Читать далее В Linux обеспечена возможность устранения уязвимости MouseJack в устройствах Logitech

В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в сегодняшнем выпуске Kodi 17.2, Popcorn-Time 0.3.10, strem.io 3.6.5 и частично устранена в VLC 2.5.1 (полное исправление ожидается в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org. Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу, проблема вызвана отсутствием экранирования символов «..» в файловых путях zip-архива … Читать далее Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя «Yahoobleed1») в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, форке ImageMagick, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах проблема осталась неисправленной в ImageMagick. Проблема присутствует в декодировщике RLE, который использует неинициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис … Читать далее Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo

После полутора лет разработки и пяти предварительных выпусков сформирован первый стабильный релиз новой ветки СУБД MariaDB 10.2, в рамках которой развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с полностью открытым и прозрачным процессом разработки, не зависящим от отдельных вендоров. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL 7, SUSE 12, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian 9) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz. Ключевые улучшения MariaDB 10.2: Добавлена экспериментальная поддержка движка хранения … Читать далее Стабильный выпуск СУБД MariaDB 10.2

После полутора лет разработки сформирован релиз пакета sane-backends 1.0.27, в который входит набор драйверов, утилита командной строки scanimage, демон для организации сканирования по сети saned и библиотеки с реализацией SANE-API. Выпуск SANE 1.0.26 был пропущен, версия 1.0.27 вышла следом за 1.0.25. Пакетом поддерживается 1547 моделей сканеров, из которых 695 имеют статус полной поддержки всех функций, для 716 уровень поддержки оценен как хороший, для 113 — приемлемый, а для 23 — минимальный. Дополнительно, для 404 устройств имеется не до конца протестированная реализация драйверов. Не реализованной остается поддержка 487 сканеров. В новой версии представлены следующие улучшения: Добавлена поддержка 32 новых моделей сканеров … Читать далее Выпуск SANE 1.0.27 с поддержкой новых моделей сканеров

После пяти месяцев разработки представлен выпуск облачной платформы Nextcloud 12, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными. Ключевым отличием Nextcloud от ownCloud является намерение предоставить в едином открытом продукте все расширенные возможности, ранее поставляемые только в коммерческой версии ownCloud. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL. Nextcloud предоставляет средства для обеспечения совместного доступа, версионный контроль изменений, поддержку воспроизведения медиаконтента и просмотра документов прямо из web-интерфейса, возможность синхронизации данных между разными машинами, возможность просмотра и редактирования данных … Читать далее Релиз облачного хранилища Nextcloud 12, форка ownCloud

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя «Yahoobleed1») в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic. Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. … Читать далее Уязвимость в ImageMagic, позволившая получить доступ к чужим вложениям в почте Yahoo

Принято решение о закрытии проекта Parsix, в рамках которого развивался пользовательский дистрибутив, построенный на пакетной базе Debian и продолжающий развитие LiveCD-дистрибутива KANOTIX. Поддержка последнего выпуска Parsix GNU/Linux 8.15 будет обеспечена в течение шести месяцев после релиза Debian 9 «Stretch», затем проект прекратит своё существование. Пользователям предлагается обновить свои системы до Debian 9 — разработчики сделают всё, чтобы обеспечить безболезненный переход. Читать далее Дистрибутив Parsix GNU/Linux объявил о закрытии проекта

Проект GNU представил выпуск пакетного менеджера GNU Guix 0.13 и построенного на его основе дистрибутива GNU/Linux — GuixSD (Guix System Distribution). Допускается установка как в качестве обособленной ОС в системах виртуализации и на обычном оборудовании, так и запуск в уже установленных типовых окружениях GNU/Linux. Для загрузки сформированы образы для установки на USB Flash и использования в QEMU (156 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7, aarch64 и mips64el. Пакетный менеджер GNU Guix основан на наработках проекта Nix и кроме типичных функций управления пакетами поддерживает такие возможности, как выполнение транзакционных обновлений, возможность отката обновлений, работа без получения привилегий суперпользователя, поддержка … Читать далее Опубликован пакетный менеджер GNU Guix 0.13 и дистрибутив GuixSD на его основе

Доступен для тестирования кандидат в релизы дистрибутива Tails 3.0 (The Amnesic Incognito Live System), предназначенного для обеспечения анонимного выхода в сеть. Для загрузки подготовлен iso-образ, размером 1.2 Гб, который доступен только для 64-разрядных систем (поддержка архитектуры i386 прекращена). Релиз запланирован на 13 июня. Новый выпуск примечателен обновлением пакетной базы до Debian 9 «Stretch» и переходом на использование типового рабочего стола GNOME Shell, вместо ранее применяемого режима классического рабочего стола в стиле GNOME 2.32. Полностью переработан интерфейс первичной настройки после первого входа в систему (Tails Greeter). Пакет Tor обновлён до версии 0.3.0.7-1, а Tor Browser до тестового выпуска 7.0a4. В качестве … Читать далее Кандидат в релизы дистрибутива Tails 3.0

Компания Endless Mobile представила новый выпуск своего дистрибутива Endless OS, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Размер предлагаемых загрузочных образов составляет от 2 до 14 Гб. Endless OS не использует традиционные пакетные менеджеры, вместо которых предлагается минимальная атомарно обновляемая базовая система, работающая в режиме только для чтения и формируемая при помощи инструментария OSTree (системный образ атомарно обновляется из Git-подобного хранилища). Приложения распространяются в виде самодостаточных пакетов в формате Flatpak. Пользовательский интерфейс основан на значительно переработанном окружении GNOME и ориентирован на предоставлении средств для выбора и запуска приложений. О степени переработки … Читать далее Новый выпуск дистрибутива Endless OS

Группа исследователей из Университета Карнеги — Меллона, компании Seagate и Швейцарской высшей технической школы Цюриха выявила низкоуровневую уязвимость в организации хранения информации на современных NAND Flash-чипах, применяемых в SSD-накопителях. Атакующий может сформировать определённую активность со своими данными на накопителе, в результате которой будет нарушена целостность не подконтрольных ему данных, которыми манипулируют другие процессы. Уязвимость вызвана особенностями хранения данных чипами NAND Flash, поддерживающими технологию MLC (Multi-Level Cell), при которой каждая ячейка может принимать одно из четырёх пороговых напряжений (низкое — 0, два промежуточных — 01/10 и высокое — 11), т.е. MLC обеспечивает хранение в одной ячейке сразу двух битов, в отличие … Читать далее Уязвимость в NAND Flash может привести к повреждению чужих данных на SSD-накопителях

Компания AMD опубликовала первый выпуск компилятора AOCC (AMD Optimizing C/C++ Compiler), построенного на базе LLVM 4.0 и включающего дополнительные улучшения и оптимизации для 17 семейства процессоров AMD на базе микроархитектуры Zen, в частности для уже выпускаемых процессоров AMD Ryzen. В компилятор также внесены общие улучшения, связанные с векторизацией, генерацией кода, высокоуровневой оптимизацией, межпроцедурным анализом и преобразованием циклов. Компилятор доступен для 32- и 64-разрядных Linux-систем. Предлагаемые для загрузки исполняемые файлы протестированы в RHEL 7.2, SLES 12 SP1 и Ubuntu 16.04 LTS, но в общем виде пригодны для запуска на любых системах с Glibc 2.17 и более новых выпусках. AOCC пока распространяется … Читать далее Компания AMD выпустила оптимизирующий C/C++ компилятор AOCC 1.0

Компания AMD опубликовала первый выпуск компилятора AOCC (AMD Optimizing C/C++ Compiler), построенного на базе LLVM 4.0 и включающего дополнительные улучшения и оптимизации для 17 семейства процессоров AMD на базе микроархитектуры Zen, в частности для уже выпускаемых процессоров AMD Ryzen. В компилятор также внесены общие улучшения, связанные с векторизацией, генерацией кода, высокоуровневой оптимизацией, межпроцедурным анализом и преобразованием циклов. Компилятор доступен для 32- и 64-разрядных Linux-систем. Предлагаемые для загрузки исполняемые файлы протестированы в RHEL 7.2, SLES 12 SP1 и Ubuntu 16.04 LTS, но в общем виде пригодны для запуска на любых системах с Glibc 2.17 и более новых выпусках. AOCC пока распространяется … Читать далее Компания AMD выпустила оптимизирующий C/C+ компилятор AOCC 1.0

В корректирующих выпусках коммуникационной платформы Asterisk 14.4.1 и 13.15.1 устранены три уязвимости, которым присвоен наивысший уровень опасности: Переполнение буфера в обработчике PJSIP, позволяет вызвать крах или потенциально выполнить код (возможность данного вида эксплуатации пока не подтверждена) через отправку неаутентифицированного SIP-пакета со специально изменёнными заголовками CSeq и Via. Проблеме не подвержены конфигурации Asterisk с chan_sip; Ошибка в парсере комбинированных (multi-part) запросов PJSIP позволяет осуществить чтение из области вне буфера и вызвать крах через удалённую отправку специально оформленных пакетов; Ошибка в канальном драйвере chan_skinny позволяет исчерпать всю доступную Asterisk память через отправку специально оформленного SCCP-пакета из-за зацикливания, если размер пакета больше размера … Читать далее В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости

Российский разработчик свободной CRM-системы SalesPlatform Vtiger CRM опубликовал новую версию компонента SalesPlatform Vtiger Asterisk/FreePBX Connector 1.4 для интеграции с серверами IP-телефонии Asterisk и FreePBX. В релизе добавлена поддержка всех последних версий Asterisk, использующих протокол интерфейса управления AMI v2, который используется начиная с Asterisk 12. Также добавлена поддержка интеграции с CRM по защищенному HTTPS-соединению. Исходные тексты проекта распространяются под лицензией Mozilla Public License 1.0 (MPL). Читать далее Новая версия пакета интеграции SalesPlatform Vtiger CRM с Asterisk и FreePBX

Доступна для тестирования бета-версия СУБД PostgreSQL 10. Релиз ожидается в начале осени. Выбор номера версии 10.0 вместо 9.7.0 связано с переходом проекта на новую нумерацию выпусков. Вместо трёхуровневневой нумерации (Major1.Major2.Minor) отныне будет применяться схема «Major.Minor», в которой «Major» указывает номер значительной ветки, а «Minor» — номер корректирующего обновления, не требующего перезаливки БД. Таким образом, первым корректирующим релизом PostgreSQL 10 станет 10.1, а следующей значительной версией PostgreSQL 11. Как и раньше значительные версии будут формироваться раз в год. Основные улучшения: Режим логической репликации, позволяющий выборочно реплицировать только заданные таблицы или использовать репликацию в процессе обновления. Данный вид репликации манипулирует логическими изменениями … Читать далее Началось бета-тестирование СУБД PostgreSQL 10