В телевизорах Samsung Smart TV на базе ОС Tizen выявлена уязвимость, позволяющая атакующему без проведения аутентификации выдать себя за другое устройство, сопряжённое с телевизором по Wi-Fi Direct. Проблема остаётся неисправленной, так как компания Samsung после месяца переписки не признала её уязвимостью. В качестве обходного метода защиты рекомендуется удалить все устройства, помещённые в белый список, и не использовать соединения по Wi-Fi Direct. Технология Wi-Fi Direct (Wi-Fi P2P) даёт возможность организовать прямое беспроводное соединение между устройствами без применения точки доступа. При установке соединения осуществляется сопряжение устройств по PIN-коду, нажатию клавиши или через NFC. Для того чтобы не набирать каждый раз код подтверждения … Читать далее Возможность атаки на телевизоры Samsung через Wi-Fi Direct

Проект grsecurity объявил о прекращении бесплатного распространения своих патчей c реализацией надстроек для усиления безопасности ядра Linux. Если с августа 2015 года было прекращено бесплатное распространение стабильных версий патчей, то отныне полностью прекращается публикация находящихся в разработке экспериментальных веток Grsecurity и патчей PaX. Поставка стабильных версий патчей платным подписчикам будет продолжена, но доступ к экспериментальной ветке теперь ограничен и будет использоваться как внутренняя платформа для разработки платной стабильной ветки. При этом сами патчи продолжают распространяться под лицензией GPLv2, т.е. получив код от Grsecurity платные подписчики вольны распространять и модифицировать стабильные патчи, но не могут использовать торговую марку «grsec» в произвольных … Читать далее Grsecurity прекращает бесплатное распространение своих патчей

Представлен выпуск мультимедиа проигрывателя SMPlayer 17.4.2, выполненного в форме графической надстройки над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows. SMPlayer 17.4 был сформирован ещё в начале апреля, но в нём было было предложено только исправление ошибки в генераторе миниатюр. На днях вышел SMPlayer 17.4.2 с более заметными изменениями: Реализована возможность отображения времени с миллисекундной точностью … Читать далее Новая версия медиапроигрывателя SMPlayer 17.4.2

Компания OmniTI объявила о прекращении разработки открытого дистрибутива OmniOS, построенного на базе Illumos (развиваемый сообществом форк OpenSolaris), гипервизора KVM, виртуального сетевого стека Crossbow и файловой системы ZFS. Компоненты, привязанные к инфраструктуре OmniTI, будут отключены, но работа ключевых систем пока не остановлена, код останется в открытом доступе и при желании сообщество сможет продолжить разработку своими силами. В качестве причины сворачивания проекта называется провал инициативы по формированию сообщества для совместной разработки OmniOS. Изначально компания OmniTI планировала выступить локомотивом начальной разработки и предоставить инфраструктуру для становления независимого открытого проекта, управляемого сообществом. Но ряд организационных особенностей, таких как предоставление коммерческой поддержки клиентам, закрепил образ … Читать далее Компания OmniTI прекращает разработку OmniOS, дистрибутива Illumos

Представлен первый выпуск новой основной ветки nginx 1.13, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.12 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Для соединений с бэкендами разрешено повторное согласование SSL-соединения; В модулях mail_proxy и stream в директиве «listen» появились поддержка параметров «rcvbuf» и «sndbuf», позволяющих настроить размер буфера приёма и передачи (параметр SO_RCVBUF); Добавлена поддержка использования директив return и error_page для возврата перенаправлений для запросов с HTTP кодом 308; В директиву «ssl_protocols» добавлен параметр «TLSv1.3» для включения соответствующей версии протокола TLS; При отражении в логе сигналов в лог … Читать далее Выпуск nginx 1.13.0

Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется портирование платформы Android для архитектуры x86, опубликовали третий стабильный выпуск сборки на базе платформы Android 6.0, в которую включены исправления и дополнения, обеспечивающие бесшовную работу на платформах с архитектурой x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 6.0 для архитектур x86 (572 Мб) и x86_64 (677 Мб), пригодные для использования на типовых ноутбуках, нетбуках и планшетных ПК. Изменения со времени прошлого обновления: Реализовано автомонтирование CD/DVD; Решены проблемы при запуске в виртуальном окружении на базе VMware; Добавлен скрипт qemu-android для запуска Android-x86 в QEMU; Исходные тексты Android обновлены до ветки 6.0.1_r79; Ядро … Читать далее Обновление сборки Android 6.0 для платформы x86 от проекта Android-x86

Представлен дистрибутив Kali Linux 2017.1, продолжающий развитие проекта BackTrack Linux и предназначенный для проведения тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ, размером 2.6 Гб. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной … Читать далее Выпуск дистрибутива для исследования безопасности систем Kali Linux 2017.1

Разработчики проекта Debian объявили о скором прекращении доступа к репозиториям пакетов с использованием протокола FTP. Поддержка FTP будет сохранена до 1 ноября, после чего публичные FTP-серверы Debian (ftp://ftp.debian.org и ftp://security.debian.org) прекратят свою работу. При этом указанные хосты останутся доступны по HTTP, т.е. в настройках репозиториев достаточно будет поменять «ftp://» на «http://» (http://ftp.debian.org, http://security.debian.org). Изменение не коснётся внутренних ресурсов ftp://ftp.upload.debian.org и ftp://ftp.upload.debian.org, которые останутся доступны разработчикам проекта. В качестве причин отказа от использования FTP называется: Отсутствие поддержки кэширования и систем ускорения доступа. Например, при доступе по HTTP может применяется сеть доставки контента, а для FTP задействование подобной системы невозможно, что создаёт … Читать далее Debian прекращает поддержку FTP на своих серверах

Джейсон Доненфилд (Jason A. Donenfeld), выявил уязвимость в сетевом стеке ядра Linux, позволяющую удалённо инициировать переполнение буфера. Уязвимость вызвана ошибкой в коде drivers/net/macsec.c с реализацией стандарта IEEE 802.1AE (MACsec). Подробности пока не сообщаются, а CVE ID не назначен, но, судя по всему, эксплуатация возможна только в локальных сетях, в которых применяется достаточно редкая технология MACsec. Джейсон Доненфилд возглавляет компанию Edge Security и является достаточно известным исследователем безопасности и разработчиком открытого ПО. Например, в своё время он выявил такие уязвимости в ядре Linux, как CVE-2012-0056, CVE-2011-1485, CVE-2011-4594, CVE-2011-4330 и CVE-2010-4258. Джейсон также является автором cgit и WireGuard (новая реализация VPN для … Читать далее Предварительное сообщение об удалённой уязвимости в сетевом стеке ядра Linux

После года разработки вышел игровой движок INSTEAD 3.0.0 (Simple Text Adventure, The Interpreter), ориентированный на создание игр в жанре текстовых приключений, который также подходит для разработки простых аркадных или казуальных игр. Игры создаются на языке Lua. Код проекта распространяется под лицензией MIT. Основные изменения: Новый API STEAD3, благодаря которому делать игры стало ещё проще; Новый INSTEAD-JS, позволяющий запускать игры прямо в браузере; Переписана часть на языке Си, теперь INSTEAD стал модульным; В исходный код включен пример минимального интерпретатора (100 строк); Графические возможности расширены за счет подсистемы pixels; Звуковые возможности расширены за счет поддержки генерации звука из кода; Вместе с новым … Читать далее Выпуск текстового игрового движка INSTEAD 3.0.0

Организация Linux Foundation представила новый совместный проект EdgeX Foundry, нацеленный на развитие открытой платформы для упрощения создания решений на базе IoT-устройств. Целью EdgeX Foundry является предоставление универсальной модульной платформы для обеспечения взаимодействия между IoT-устройствами, приложениями и сервисами, а также создание экосистемы из компаний-производителей, выпускающих совместимые и взаимозаменяемые компоненты для интернета вещей. Платформа не привязана к оборудованию конкретных поставщиков и операционным системам, и развивается независимой рабочей группой, под эгидой Linux Foundation. Платформа позволяет создавать шлюзы, объединяющие имеющиеся IoT-устройства и собирающие данные от различных датчиков. Кроме организации взаимодействия с устройствами, шлюз выполняет задачу по первичной обработке, агрегированию и анализу информации, выступая промежуточным … Читать далее Linux Foundation развивает EdgeX, новую платформу для интернета вещей

Организация Apache Software Foundation объявила о присвоении Apache Metron статуса первичного проекта Apache. Перевод в разряд первичных проектов произведён после полутора лет нахождения в инкубаторе Apache, в котором были проверены способности следования принципам разработки и управления, принятым в сообществе Apache и основанным на идеях меритократии. Теперь Apache Metron признан готовым для самостоятельного существования, не требующего дополнительного надзора. Компоненты проекта Metron написаны на языках Си и Java. Изначально система Metron развивалась компанией Cisco в рамках проекта OpenSOC, после чего в декабре 2015 года была передана фонду Apache для привлечения других компаний к совместной разработке. Apache Metron представляет собой фремворк для анализа … Читать далее Система анализа сетевых угроз Metron получила статус первичного проекта Apache

Доступен релиз пакетного менеджера DNF 2.3. DNF используется по умолчанию в дистрибутиве Fedora Linux и является ответвлением от Yum 3.4, адаптированным для работы с Python 3 и использующим библиотеку hawkey в качестве бэкенда для разрешения зависимостей. По сравнению с Yum, DNF обладает заметно более высокой скоростью работы, низким потреблением памяти и более качественным управлением зависимостями. В новой версии добавлен метод dnf.package.Package.remote_location() для получения информации о местоположении доступного для загрузки пакета, а также расширена функциональность команды «dnf repoquery», применяемой для поиска пакетов во внешних репозиториях (аналог «rpm -q» для удалённого репозитория), в которой появилось 7 новых опций: «dnf repoquery —whatconflicts {capability}» … Читать далее Выпуск пакетного менеджера DNF 2.3

Представлена вторая стабильная сборка проекта TrueOS, обновления для которого формируются в рамках rolling-модели. В TrueOS поставляются самые свежие версии пакетов, а ядро и компоненты базовой системы синхронизируется с FreeBSD-CURRENT с заимствованием из OpenBSD некоторой функциональности, связанной с обеспечением безопасности (например, LibreSSL). В качестве рабочего стола по умолчанию используется окружение Lumina, а в качестве файловой системы — ZFS. Размер установочного iso-образа 2.2 Гб. Пакеты распространяются из одного репозитория, единого для всех выпусков. Для установки и обновления всех частей системы, включая компоненты базовой системы, применяется пакетный менеджер pkg. Кроме консольного pkg для установки дополнительных программ в TrueOS также можно использовать графический интерфейс … Читать далее Вторая стабильная сборка проекта TrueOS, пришедшего на смену PC-BSD

Доступен выпуск открытого видеоплеера MPV 0.25, несколько лет назад ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного бэкпортирования новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией GPLv2. В новой версии: Дополнительная порция компонентов переведена на лицензию LGPL: символьный шрифт для OSD, ass_mp, sd_ass, common.h, demux/packet, demux_mkv, ebml, matroska.h, sd_lavc и sub/osd; По умолчанию отключена поддержка оптических дисков (DVD/CD); Добавлена поддержка стандарта DVB-T2; Прекращена поддержка OS X 10.7 и более ранних выпусков. Для macOS добавлена поддержка сенсорной панели (Touch Bar); Добавлена возможность изменения громкости … Читать далее Релиз видеоплеера MPV 0.25

В рамках сворачивания разработки Unity 8 и Ubuntu Phone, компания Canonical планирует в июне полностью прекратить выпуск обновлений с устранением уязвимостей для смартфонов на базе платформы Ubuntu Phone. Кроме того, начиная с июня планируется отключить возможность загрузки новых программ в Ubuntu Store и остановить продажи платных приложений (для продолжения распространения платных программ разработчики могут только перевести их в категорию бесплатных). В конце года планируется полностью закрыть каталог-магазин приложений Ubuntu Store. После закрытия Ubuntu Store пользователи Ubuntu Phone не смогут устанавливать программы, а разработчики сторонних приложений будут лишены возможности распространения обновлений для своих продуктов. В качестве альтернативы для пользователей можно рассматривать … Читать далее Canonical закрывает Ubuntu Store и прекращает выпуск обновлений для Ubuntu Phone

В почтовом web-клиенте Squirrelmail выявлена критическая уязвимость (CVE-2017-7692), позволяющая выполнить код на сервере через отправку через web-интерфейс специально оформленного письма. Проблема проявляется в последнем выпуске Squirrelmail 1.4.22. Так как проект Squirrelmail уже много лет не обновлялся и разработчики не ответили на уведомление о проблеме, исследователи безопасности самостоятельно подготовили патч. Уязвимость пока остаётся неисправленной в пакете squirrelmail, поставляемом в репозиториях Debian и Ubuntu. Уязвимость связана с отсутствием должных проверок аргументов, передаваемых при вызове утилиты sendmail через PHP-функцию popen(). В частности, для чистки опасных символов перед вызовом popen использовалась функция escapeshellcmd(), которая не экранирует пробелы и символы табуляции. Так как sendmail вызывается … Читать далее Уязвимость в Squirrelmail, позволяющая удалённо выполнить код на сервере

Компания Microsoft продемонстрировала возможность запуска в Windows Server изолированных контейнеров, подготовленных для Linux. Ранее для Windows была реализована поддержка Docker, но она позволяла запускать только образы, специально подготовленные для Windows. Отныне добавлена возможность запуска и обычных Linux-контейнеров, для выполнения которых в Windows задействована технология виртуализации Hyper-V. Также отмечается прогресс в развитии прослойки WSL («Windows Subsystem for Linux»), обеспечивающей трансляцию системных вызовов Linux в системные вызовы Windows и позволяющей запускать приложения Linux в Windows. В WSL появилась возможность монтирования Windows-разделов при помощи DrvFs. Например, теперь можно запустить «sudo mount -t drvfs D: /mnt/d», «sudo mount -t drvfs ‘C:mountpoint’ /mnt/myvolume» и «sudo … Читать далее Microsoft обеспечил поддержку запуска Linux-контейнеров в Windows Server

Представлен релиз PacketFence 7.0, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL 6/7 и Debian 7/8. PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и программной начинки компьютеров в сети. … Читать далее Релиз системы управления доступом к сети PacketFence 7.0

Компания Google представила выпуск языка программирования Dart 1.23, который позиционируется как язык структурированного программирования для Web, обладает похожим на Java синтаксисом, не требует явного определения типов и может использоваться для создания серверных и клиентских приложений. Для запуска внутри браузера код на языке Dart компилируется в представление JavaScript, для выполнения серверных приложений развивается специальная виртуальная машина Dart VM. Код связанных с языком компонентов распространяется под лицензией BSD. Для упрощения разработки на языке Dart поставляется SDK, включающий в себя компилятор в JavaScript — dart2js, виртуальную машину Dart VM, пакетный менеджер pub, статический анализатор кода dart_analyzer, набор библиотек, интегрированная среда разработки DartPad и … Читать далее Выпуск языка программирования Dart 1.23

Firefox 54 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. В соответствии с новым процессом разработки, aurora-выпуски больше не формируются, для ознакомления с развиваемыми возможностями можно использовать ночные сборки. Ветка Firefox Developer Edition теперь будет формироваться из бета-выпусков (Developer Edition 54 сформирован на основе прошлой aurora-ветки, но Developer Edition 55 будет подготовлен на основе Developer Edition 55-beta). Загрузить бета-выпуск можно на данной странице, а сборку Developer Edition — здесь. Релиз Firefox 54 намечен на 13 июня. Изменения, представленные в бета-версии Firefox 54: В меню и на панель закладок … Читать далее Тестирование бета-версии Firefox 54