Компания Cisco выпустила обновление прошивки, в котором устранена критическая уязвимость (CVE-2017-3881), позволяющая получить доступ к коммутаторам на базе Cisco IOS и Cisco IOS XE, поддерживающим протокол CMP (Cluster Management Protocol). Атакующий может получить полный контроль над коммутатором, передав специфичный набор опций CMP при обращении к устройству через telnet. В том числе уязвимости подвержены популярные модели коммутаторов Cisco Catalyst 29xx, 35xx, 37xx, 45xx, 49xx. Уязвимость подтверждена в 318 моделях коммутаторов Cisco и позволяет без аутентификации выполнить любые команды в интерфейсе командной строки, при наличии у атакующего доступа к коммутатору по протоколу telnet. Проблема вызвана ошибкой в реализации протокола CMP, предназначенного для … Читать далее Устранена критическая уязвимость, затрагивающая 318 моделей коммутаторов Cisco

Доступен выпуск распределенной системы управления исходными текстами Git 2.13.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. Из проектов, разрабатываемых с использованием Git, можно отметить ядро Linux, Android, LibreOffice, Systemd, X.Org, Wayland, Mesa, GStreamer, Wine, Debian, DragonFly BSD, Perl, Eclipse, GNOME, KDE, Qt, Ruby on Rails, PostgreSQL, VideoLAN, PHP, Python, Xen, Minix. По сравнению с прошлым … Читать далее Выпуск распределенной системы управления исходными текстами Git 2.13.0

Разработчики почтового клиента Thunderbird сообщили о завершении переговоров с организацией Mozilla Foundation о дальнейшей судьбе проекта. Проект продолжит свое существование под покровительством Mozilla Foundation, но в рамках новых условий совместной работы. В частности, некоммерческая организация Mozilla Foundation продолжит юридическое сопровождение проекта и обработку поступающих пожертвований, но разработка будет выведена из инфраструктуры компании Mozilla Corporation, т.е. Thunderbird будет развиваться как обособленный проект. Так как технически проект будет разрабатываться независимо от других проектов Mozilla и разработка Thunderbird не будет замедлять работу над Firefox, разработчики не видят значительных препятствий для дальнейшего сосуществования проектов. При этом, кроме технической независимости, в условиях дальнейшего сотрудничества обозначена … Читать далее Thunderbird остаётся под покровительством Mozilla Foundation

Исполнительные комитет JCP (Java Community Process) отклонил принятие спецификации JSR 376 (Java Platform Module System), в рамках которой развивалось ключевое улучшение платформы Java 9, релиз которой запланирован на 27 июля 2017 года. JSR 376 отражает изменения, подготовленные в рамках проекта Jigsaw, и предлагает принципиально новые для Java средства разбиения программ и JDK на модули. Против добавление в Java средств для разбиения на модули проголосовало 13 из 23 активных участников комитета. Среди проголосовавших против: IBM, Red Hat, Eclipse Foundation, Hewlett Packard Enterprise, SAP и Twitter. Из участников, голосовавших за принятие JSR 376, можно отметить Intel, Fujitsu, Goldman Sachs, Oracle. В течение … Читать далее Исполнительный комитет JCP не утвердил модульную систему в Java 9

Компания NVIDIA представила первый выпуск новой стабильной ветки проприетарного драйвера NVIDIA 381.22. Драйвер доступен для Linux (ARM, x86, x86_64), FreeBSD (x86, x86_64) и Solaris (x86_64). Основные новшества: Добавлена поддержка GPU: GeForce GTX 1080 Ti, Quadro M520, TITAN Xp, GRID K520; Улучшена совместимость с новыми выпусками ядра Linux; Отключены по умолчанию многопоточные оптимизации OpenGL, из-за возможных проблем со стабильностью; Добавлена поддержка новых расширений API Vulkan: VK_EXT_acquire_xlib_display VK_EXT_display_control VK_EXT_display_surface_counter VK_EXT_direct_mode_display VK_KHX_external_memory VK_KHX_external_memory_fd VK_KHX_external_semaphore VK_KHX_external_semaphore_fd Прекращён показ логотипа драйвера при загрузке X-сервера, а также убраны опции NoLogo и LogoPath; В xorg.conf добавлена MetaMode-опция «ResamplingMethod» для включения методов бикубической интерполяции при масштабировании экрана; На … Читать далее Выпуск проприетарного драйвера NVIDIA 381.22

В репозиториях микроядерной операционной системы Fuchsia, c августа прошлого года развиваемой компанией Google в форме открытого проекта, появилась реализация пользовательской оболочки Armadillo. Оболочка написана на языке Dart с использованием фреймворка Flutter, который также позволяет создавать мобильные приложения для iOS и Android. Отрисовка осуществляется при помощи компонента Escher, работающего через графический API Vulkan. Пользовательское окружение разделено на два компонента: Armadillo и Armadillo User Shell. Armadillo является переносимым приложением, которое может запустить на любых платформах, поддерживаемых во Flutter, в том числе в Android и iOS (для android подготовлена демонстрационная сборка в форме APK-файла, позволяющая протестировать интерфейс без установки Fuchsia). Armadillo User Shell … Читать далее Для развиваемой в Google ОС Fuchsia подготовлен графический интерфейс Armadillo

Состоялся релиз проекта CoreBoot 4.6, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие более 120 разработчиков, которые подготовили 1708 изменений. Основные новшества: Продолжается работа по сокращению зависимости от бинарных прошивок и проприетарных компонентов. CoreBoot пытается заменить закрытые компоненты прошивок на свободные реализации, что не всегда возможно. Например, прошивки Intel ME, AMD PSP и микрокод верифицируются по цифровой подписи. Для Intel ME удалось найти обходной вариант, позволяющий запустить сокращённый вариант прошивки, сводящий функциональность и возможности Intel ME к минимуму, необходимому для работы системы. Для чистки прошивки использован инструментарий me_cleaner, который удаляет все разделы … Читать далее Выпуск CoreBoot 4.6

Компания Google подвела первые итоги работы проекта OSS-Fuzz, созданного для организации непрерывного fuzzing-тестирования открытого ПО с целью выявления возможных проблем с безопасностью. За пять месяцев существования проекта было организовано тестирование 47 открытых проектов, в результате которого было выявлено более тысячи ошибок, из которых 264 являются потенциальными уязвимостями. Из подтверждённых уязвимостей отмечается 10 проблем во FreeType2, 17 в FFmpeg, 33 в LibreOffice, 8 в SQLite, 10 в GnuTLS, 25 в PCRE2, 9 в gRPC и 7 в Wireshark. Благодаря организации непрерывного тестирования некоторые из ошибок удалось обнаружить спустя лишь несколько часов после внесения регрессивных изменений в кодовую базу. Кроме ошибок, которые … Читать далее Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz

Проекты OpenWrt и LEDE приступили к обсуждению повторного предложения об объединении проектов. Первая попытка объединения была предпринята в декабре, но не привела к конкретным действиям. На этот раз сторонники слияния проектов намерены провести голосование среди разработчиков обоих проектов, учтя предпочтения каждой стороны, высказанные во время прошлого обсуждения. Вынесенный на обсуждение план воссоединения проектов подразумевает продолжение разработки объединённого проекта по именем OpenWrt, но на основе репозиториев LEDE, в кодовой базе которого последнее время активно развиваются новшества и изменения, уже воплощённые в выпуске LEDE 17.01, в то время как репозиторий OpenWrt практически находится в стагнации, а последний значительный релиз OpenWRT был сформирован … Читать далее Разработчики OpenWrt и LEDE рассматривают план слияния проектов

Официально состоялся релиз пользовательского окружения Cinnamon 3.4, в рамках которого сообществом разработчиков дистрибутива Linux Mint развивается форк оболочки GNOME Shell, файлового менеджера Nautilus и оконного менеджера Mutter, нацеленный на предоставление окружения в классическом стиле GNOME 2 c поддержкой удачных элементов взаимодействия из GNOME Shell. Cinnamon основывается на компонентах GNOME, но эти компоненты поставляются как периодически синхронизируемый форк, не связанный внешними зависимостями с GNOME. Новый выпуск Cinnamon будет предложен в следующем обновлении дистрибутива Linux Mint 18.2. Не дожидаясь новой версии пользователи Linux Mint и Ubuntu Linux могут установить Cinnamon 3.4 через PPA-репозиторий. Основные новшества: Набор JavaScript-биндингов CJS переведён на использование JavaScript-движка … Читать далее Выпуск десктоп-окружения Cinnamon 3.4

Состоялся релиз компактного дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.3.4. Дистрибутив основан на кодовой базе FreeBSD 10.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно несколько образов для архитектур i386 и amd64, размером от 300 до 350 Мб, включая LiveCD и образ для установки на USB Flash. Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на … Читать далее Релиз дистрибутива для создания межсетевых экранов pfSense 2.3.4

Университет Карнеги-Меллона (CMU) объявил об отказе от использования и разработки почтовой системы Cyrus, которая развивалась последние 19 лет. Ключевым звеном почтовой инфраструктуры Cyrus являлся открытый IMAP-сервер Cyrus IMAP, который также развивался под покровительством CMU. Компания FastMail, развивающая продукты на базе Cyrus IMAP и последнее время являющаяся наиболее активным разработчиком данной системы, сообщила, что открытый проект Cyrus IMAP останется на плаву и компания предоставит все необходимые для этого ресурсы. Кроме работников FastMail уже ранее задействованных в разработке Cyrus IMAP, на следующей неделе будет нанят ещё один разработчик. Кроме того, компания также договорилась о переходе на работу в FastMail Кена Мурчисона (Ken … Читать далее FastMail продолжит развитие Cyrus IMAP после сворачивания разработки в CMU

Опубликовано корректирующее обновление дистрибутива Debian 8.8, в которое включены все выпущенные обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 69 обновлений с устранением проблем со стабильностью и 90 обновлений с устранением уязвимостей. Из изменений в Debian 8.8 можно отметить удаление пакетов cgiemail (без сопровождающего), grive (неработоспособен после изменения Google API), libapache2-authenntlm-perl (не работает с Apache 2.4), libwww-dict-leo-org-perl, live-f1, owncloud-apps и owncloud (не обеспечена поддержка выпуска обновлений). В libvirt улучшена совместимость с QEMU 2.6+. До свежих выпусков обновлены PostgreSQL, VLC и драйверы NVIDIA (340.102, 304.135). Установочные сборки Debian 8.8 будут сформированы в ближайшее время. Системы, установленные ранее и поддерживаемые в … Читать далее Выпуск Debian 8.8

Доступны корректирующие выпуски Firefox 53.0.2 и 52.1.1 в которых устранена уязвимость (CVE-2017-5031) во входящей в комплект библиотеке ANGLE, обеспечивающей работу WebGL поверх специфичных для разных систем API (транслирует вызовы OpenGL ES в OpenGL, Direct3D 9 и Direct3D 11). Проблема проявляется только на платформе Windows и связана с обращением к уже освобождённому блоку памяти в реализации API Buffer11, что можно использовать для инициирования краха (чтение из области вне границ буфера) при открытии специально оформленного контента WebGL. В выпуске Firefox 53.0.2 также устранена ошибка с выводом предупреждения о некорректном заполнении полей с датами и email (input type=»email» и type=»date»). Кроме того, изменено … Читать далее Обновление Firefox 53.0.2 и 52.1.1

Компания aTech Media открыла исходные тексты платформы Postal, предназначенной для контроля доставки и приёма сообщений по электронной почте в процессе работы сайтов и web-серверов, в том числе для организации отправки писем с кодами подтверждения регистрации и восстановления паролей. Postal сочетает функции почтового сервера и интерфейса для анализа, классификации и обработки корреспонденции. Код написан на языке Ruby и распространяется под лицензией MIT. Для хранения данных используется MySQL или MariaDB. Проект можно рассматривать как аналог пропретарных облачных продуктов Sendgrid, Mailgun и Postmark, предназначенный для развёртывания на собственном оборудовании. Предусмотрен интерфейс для работы с архивом сообщений и просмотра очередей доставки входящих и исходящих … Читать далее Открыт код Postal, платформы для управления почтовым трафиком web-серверов

Началось тестирование второго кандидата в релизы дистрибутива Devuan Jessie 1.0, форка Debian GNU/Linux 8.0 «Jessie», поставляемого без системного менеджера systemd. Если будут выполнены критерии качества, то на следующей стадии кодовая база будет переведена в состояние первого стабильного релиза, для которого будет обеспечен длительный цикл поддержки (LTS). Для загрузки подготовлены сборки (minimal 305 Мб, install 645 Мб и live 832 Мб) для архитектур AMD64 и i386, а также образы для устройств на базе архитектуры ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и др.). Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. По сравнению с первым кандидатом … Читать далее Второй кандидат в релизы Devuan, форка Debian без systemd

Компании Haivision и Wowza, развивающие платформы для организации потокового видеовещания, учредили организацию SRT Alliance, нацеленную на продвижение нового открытого транспортного протокола SRT для безопасной доставки высококачественного потокового видео с минимальными задержками. Код эталонной реализации клиентской и серврной части SRT написан на языке Си и открыт под лицензией LGPLv2. Для добавления поддержки SRT в приложения подготовлена разделяемая библиотека. В отличие от передачи видео абонентам кабельных сетей, доставка потокового видео через обычный интернет сопряжена с рядом проблем, связанных с усложнениями при построении сетевой инфраструктуры, кэшировании CDN-сетями и перекодированием видео, а также возможными сетевыми перегрузками в области «последней мили«. Протокол SRT разработан для … Читать далее Представлен SRT, открытый протокол для потоковой передачи видео

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль над аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4. Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER[‘SERVER_NAME’], значение … Читать далее Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

22-25 июня под Гродно пройдет тринадцатая международная конференция разработчиков и пользователей свободного ПО «Linux Vacation / Eastern Europe» . Мероприятие объединяет общение и отдых специалистов и энтузиастов в области свободного ПО, включая платформу GNU/Linux, но не ограничиваясь ею. Формат конференции включает доклады, краткие выступления и workshop’ы; возможны также круглые столы и код-спринты. Тематика — разработка, сопровождение, внедрение, администрирование свободного ПО, особенности свободных лицензий. Конференция охватывает широкий круг платформ – от рабочих станций и серверов до встраиваемых систем и мобильных устройств. К началу конференции планируется издание печатного сборника. Как обычно в это время, LVEE пройдёт на турбазе Химик посреди лесного заказника, … Читать далее В конце июня в Беларуси пройдёт конференция LVEE 2017

Юния Валенте (Junia Valente) обратила внимание на полное отсутствие защиты (CVE-2017-3209) в квадрокоптерах компании DBPOWER, оснащённых HD-камерой и встроенной точкой беспроводного доступа. Устройство создавало открытую WiFi-сеть, подключившись к которой можно не только перехватить снимаемый камерой видеопоток, но и получить полный доступ к SD-карте устройства, в том числе к системным файлам и сохранённым видео- и фото-материалам. Для атаки достаточно подключиться к предоставляемой устройством публичной беспроводной сети и зайти на устройство по FTP, который поддерживает анонимный вход без пароля. Предоставляемый по FTP анонимный доступ осуществляется под пользователем root и позволяет изменять системные файлы. Например, показано, как можно при помощи команды «curl -T … Читать далее Квадрокоптеры UDI предоставляют полный доступ к системе через анонимный FTP

Представлен новый стабильный выпуск кроссплатформенного тулкита wxWidgets 3.0.3, позволяющего создавать графические интерфейсы для Linux, Windows, macOS, UNIX и мобильных платформ. Выпуск полностью совместим с wxWidgets 3.0.0 на уровне API и ABI и содержит большую порцию исправлений важных недоработок и ошибок. Кроме того, в новой версии добавлена возможность компиляции при помощи MinGW 4.9 и 5, реализована поддержка платформ macOS 10.10+, обеспечена совместимость с GStreamer 1.0 (ранее поддерживались только выпуски 0.x), в wxGTK устранены недоработки в поддержке GTK+ 3, в wxGLCanvas обеспечен запрос современных версий OpenGL (3.x+). Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library Licence, одобренной Фондом … Читать далее Релиз графического тулкита wxWidgets 3.0.3