Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.16, в котором отмечено 28 исправлений. Среди изменений: В компонентах для гостевых систем и хостов обеспечена совместимость с ядром Linux 4.11; В установщике для Linux исключена пересборка неиспользуемых модулей ядра; В состав хост-компонентов включён .desktop-файл для открытия окна менеджера виртуальных машин; В дополнениях для гостевых систем на базе Linux решены проблемы с компиляцией модуля ядра для совместного доступа к каталогам в окружении с ядром Linux 4.10; В дополнениях для гостевых систем на базе Linux налажена установка правил загрузки модулей ядра в системах без /etc/depmod.d; Устранён крах, проявляющийся в свежих сборках Windows 10 … Читать далее Выпуск VirtualBox 5.1.16

Доступен дистрибутив Parrot 3.5, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены полный iso-образ (3.5 Гб) и несколько специализированных сборок, размером от 1.2 до 3.5 Гб. Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks. В качестве рабочего стола применяется … Читать далее Выпуск дистрибутива Parrot 3.5 с подборкой программ для проверки безопасности

Опубликовано экстренное обновление web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена критическая 0-day уязвимость (CVE-2017-5638), которая уже несколько дней используется злоумышленниками для получения контроля за сайтами, работающими под управлением Apache Struts. Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально оформленным содержимым HTTP-заголовка «Content-Type». Проблема проявляется в выпусках Struts с 2.3.5 по 2.3.31 и с 2.5.0 по 2.5.10, и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Content-Type содержит некорректное значение, срабатывает исключение для … Читать далее Волна взломов сайтов через неисправленную уязвимость в Apache Struts

Опубликован релиз дистрибутива Manjaro Linux 17.0, построенного на основе Arch Linux и ориентированного на начинающих пользователей. Дистрибутив примечателен наличием упрощённого и дружественного пользователю процесса установки, поддержкой автоматического определения оборудования и установки необходимых для его работы драйверов. Manjaro поставляется в виде live-сборок с графическими окружениями KDE (2 Гб) и Xfce (1.4 Гб). В дальнейшем ожидается публикация редакций с рабочими столами на основе GNOME 3, MATE, Enlightenment, LXDE, Cinnamon, Fluxbox, AwesomeWM, PekWM и LXQt, развиваемых при участии сообщества. Для управления репозиториями в Manjaro используется собственный инструментарий BoxIt, спроектированный по образу Git. Репозиторий поддерживается по принципу непрерывного включения обновлений (rolling), но новые версии … Читать далее Релиз дистрибутива Manjaro Linux 17.0

В драйвере n_hdlc, поставляемом в составе ядра Linux, выявлена уязвимость (CVE-2017-2636), позволяющая локальному пользователю повысить свои привилегии в системе. Вызывающая уязвимость ошибка присутствует в ядре с 22 июня 2009 года. Подготовлен рабочий прототип эксплоита, который будет опубликован через несколько дней, чтобы дать пользователям время на обновление системы. Уязвимость вызвана состоянием гонки (race condition) при доступе к указателю n_hdlc.tbuf, которое может привести к двойному освобождению памяти и перезаписи не связанных с буфером данных через манипуляцию с параметрами протокола HDLC (High-Level Data Link Control). В случае ошибки передачи данных, одновременный вызов функций flush_tx_queue() и n_hdlc_send_frames() может привести к дублированию записи указателя n_hdlc.tbuf … Читать далее Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе

Федеральный ядерный центр в Сарове (РФЯЦ-ВНИИЭФ) совместно с компанией Postgres Professional завершили проект по созданию защищенной системы управления базами данных «Синергия-БД», основанной на кодовой базе СУБД PostgreSQL. «Синергия-БД» предназначена для использования в качестве хранилища данных на предприятиях, предъявляющих повышенные требования к надежности и безопасности информационных систем. В первую очередь, это контур ядерно-оружейного и оборонно-промышленного комплекса страны, а также органы исполнительной власти федерального и регионального уровня. СУБД «Синергия-БД» обеспечивает многопользовательский доступ к данным с разным уровнем конфиденциальности. Она способна взаимодействовать с двумя ОС отечественной разработки — ОС «Синергия-ОС v.1.0» и ОС Astra Linux Special Edition — для получения информации о мандатных … Читать далее Завершена разработка защищенной отечественной СУБД Синергия-БД, основанной на PostgreSQL

Состоялся релиз специализированного дистрибутива Tails (The Amnesic Incognito Live System) 2.11 основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 Гб. Анонимный выход в Tails обеспечивается системой Tor, в качестве опции может использоваться I2P. Tails 2.11 является последним выпуском с поддержкой альтернативной анонимной сети I2P, в следующей версии останется только поддержка Tor. В случае появления добровольца, готового поддерживать I2P в Tails, поддержка I2P будет возобновлена. Одновременно с Tails 2.11 подготовлен релиз специализированного браузера Tor Browser 6.5.1, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на … Читать далее Выпуск дистрибутива Tails 2.11 и web-браузера Tor Browser 6.5.1

Состоялся релиз почтового сервера Exim 4.89, в который внесены накопившиеся исправления, в основном связанные с исправлением ошибок. В соответствии с данными, полученными в результате автоматизированного опроса около двух миллионов почтовых серверов, Exim используется на 56.02% почтовых серверов (год назад 53.62%), доля Postfix составляет 33.07% (год назад 32.80%), Sendmail — 5.06% (6.38%), Microsoft Exchange — 1.14% (1.90%). Кроме исправления ошибок, в Exim 4.89 обеспечена возможность использования относительных путей к файлам конфигурации, подключаемых через директиву «.include». В основную секцию настроек добавлена опция «debug_store», позволяющая включить проверку размещения переменных при сбросе хранилища (дополнительная защита от проблем, вызванных повреждением памяти). Добавлена поддержка спецификации IDNA2008, … Читать далее Обновление почтового сервера Exim 4.89

Компания НТЦ ИТ РОСА опубликовала обновление дистрибутива ROSA Desktop Fresh R8.1. Для свободной загрузки подготовлены DVD-сборки для платформ i586 и x86_64 с рабочим столом на основе KDE 4 (2 Гб). Выпуск предназначен в основном для пользователей, которым нужно установить стабильное LTS-окружение ROSA Desktop на новом оборудовании. В новой версии поставляется ядро Linux 4.9, Mesa 13.0.2 с поддержкой OpenGL 4.5. Расширена поддержка оборудования, в том числе, благодаря обновлению ядра Linux, добавлена поддержка систем на базе процессоров Intel Skylake. Добавлена поддержка последних моделей принтеров и модемов. В modemmanager реализован показ трафика. Для видеоредакторов на базе MLT включена поддержка аппаратного ускорения на стороне … Читать далее Обновление Linux-дистрибутив ROSA Desktop Fresh R8.1

После шести месяцев разработки состоялся релиз Samba 4.6.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.6: Добавлена возможность настройки типа шифрования для клиента Kerberos. Через параметр «kerberos encryption types» можно определить какие настройки шифрования указать в генерируемом Samba файле krb5.conf. Выставляемое по умолчанию значение «all» определяет старое поведение и разрешает использовать все доступные алгоритмы … Читать далее Выпуск Samba 4.6.0

Разработчики операционной системы DragonFly BSD провели тестирование производительности сетевого стека в сравнении с сетевыми стеками FreeBSD и ядра Linux (3.10 из CentOS 7 и 4.9 из Debian). Тестирование производилось через симуляцию нагрузки на web-сервер и организацию двунаправленного перенаправления (forwarding) UDP-пакетов между сетевыми интерфейсами. Для отдачи статических файлов на сервере использовался nginx, а на генерации трафика на нескольких клиентских системах была запущена утилита wrk. В тесте на перенаправление пакетов для генерации пакетов использовались pktget и sink. В тесте на обработку запросов в nginx DragonFly BSD опередил FreeBSD и показал производительность близкую к ядру Linux, а при оценке уровня задержек (latency) заметно … Читать далее Сравнение производительности сетевых подсистем DragonFly BSD, FreeBSD и ядра Linux

Состоялся релиз web-браузера Firefox 52, а также мобильной версии Firefox 52 для платформы Android. Выпуск отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. В ближайшие часы ожидается обновление прошлой ветки с длительным сроком поддержки 45.8. Выпуск SeaMonkey 2.48 планировалось сформировать в феврале, но от так и не был выпущен. В скором времени на стадию бета-тестирования перейдёт ветка Firefox 53 и будет отделён Firefox Developer Edition 54. В соответствии с шестинедельным циклом разработки релиз Firefox 53 намечен на 18 апреля, а Firefox 54 на 13 июня. Основные новшества: В состав браузера добавлена технология … Читать далее Релиз Firefox 52

Ресурс WikiLeaks опубликовал первую серию документов, полученных из закрытой сети ЦРУ. Всего опубликовано 8761 файл, в основном скопированных из внутреннего wiki-сайта ЦРУ и описывающих различные инструменты и техники проведения атак. Особый интерес представляет описание метода доступа к сообщениям, отправленным через мобильные приложения WhatsApp, Signal, Telegram, Weibo, Confide и Cloackman. Для получения контроля за сообщениями в ЦРУ не пытаются перехватывать транзитный трафик и дешифровывать сообщения. Вместо этого осуществляется атака непосредственно на смартфон, пользуясь неисправленными уязвимостями в iOS и Android. После атаки на телефон, владельца которого нужно контролировать, устанавливается руткит, который записывает звук и перехватывает сообщения во время ввода, на стадии до … Читать далее WikiLeaks опубликовал 8 тысяч документов ЦРУ с описанием инструментов и методов атак

Некоммерческая организация Linux Foundation, курирующая широкий спектр работ, связанных с развитием Linux, объявила о вступлении в свои ряды компании VMware, которая получила статус золотого участника. Статус золотого участника позволит наладить более активное сотрудничество с сообществом, а также повысить эффективность участия в открытых проектах и использования открытых технологий. Компания VMware уже имеет опыт участия в совместной работе над такими проектами Linux Foundation, как Open Network Automation Platform (ONAP), Cloud Foundry и Open vSwitch. Размер взноса золотого участника составляет $100 тыс. в год, платинового — $500 тыс. в год, серебряного — $5-20 тыс. в год. Из других золотых участников можно отметить Accenture, … Читать далее Компания VMware присоединилась к Linux Foundation

Представлен выпуск мультимедиа проигрывателя SMPlayer 17.3, выполненного в форме графической надстройки над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows. В новой версии добавлена поддержка отображения субтитров при отправке видео на телевизор при помощи устройства Chromecast. При использовании Chromecast возможно отображение только внешних субтитров, сохранённых в отдельном файле в формате vtt, в том же каталоге, что … Читать далее Новая версия медиапроигрывателя SMPlayer 17.3

Подготовлен релиз набора системных утилит GNU Binutils 2.28, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, strings, strip. В новой версии: Добавлена возможность размещения отладочной информации в отдельном файле, с привязкой через прошитый в исполняемый файл идентификатор сборки (build-id), совпадающий с именем отладочного файла; В утилиту nm добавлена опция «—with-version-strings», позволяющая просмотреть информацию о версиях символов из объектного файла; В утилитах objcopy и strip добавлена возможность указания в опции «—remove-section» шаблонов секций, начинающихся с восклицательного знака, для исключения данных секций из списка совпадений по ранее указанному в командной строке шаблону «—remove-section»; В утилиты objcopy и … Читать далее Выпуск GNU Binutils 2.28

Проект Tor сформировал четвёртый бета-выпуск собственного клиента для мгновенного обмена сообщениями Tor Messenger, нацеленного на обеспечение анонимности и защиты от прослушивания. Весь применяемый для обмена сообщениями трафик передаётся только через сеть Tor. Для шифрования сообщений, защиты имеющейся переписки и аутентификации собеседников применяется протокол OTR (Off-the-Record). Готовые сборки подготовлены для Linux, Windows и macOS Для обмена сообщениями применяется традиционная клиент-серверная модель, подразумевающая наличие сервера для координации обмена сообщениями. Tor Messenger позволяет соединиться с обычными IM-серверами, поддерживающими такие протоколы, как Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter и Yahoo, при этом соединение с ними осуществляется только через сеть Tor. Также возможно … Читать далее Четвёртый тестовый выпуск системы мгновенного обмена сообщениями от проекта Tor

Разработчики операционной системы DragonFly BSD провели тестирование производительности сетевого стека в сравнении с сетевыми стеками FreeBSD и ядра Linux (3.10 из CentOS 7 и 4.9 из Debian). Тестирование производилось через симуляцию нагрузки на web-сервер и организацию двунаправленного перенаправления (forwarding) UDP-пакетов между сетевыми интерфейсами. Для отдачи статических файлов на сервере использовался nginx, а на генерации трафика на нескольких клиентских системах была запущена утилита wrk. В тесте на перенаправление пакетов для генерации пакетов использовались pktget и sink. В тесте на обработку запросов в nginx DragonFly BSD опередил FreeBSD и показал производительность близкую к ядру Linux, а при оценке уровня задержек (latency) заметно … Читать далее Сравнение производительности сетевой подсистемы DragonFly BSD, FreeBSD и ядра Linux

Подготовлен выпуск NoScript 5.0, популярного дополнения для блокирования нежелательного JavaScript-кода, в котором сделан первый шаг на пути к переходу дополнения с XUL на WebExtension. Новый выпуск NoScript оформлен с применением обёртки Embedded WebExtension, позволяющей встроить компоненты на базе WebExtension в состав классического дополнения. Механизм Embedded WebExtension появился в Firefox 51 и нацелен на упрощения перевода классических дополнений на API WebExtensions, позволяя разработчикам постепенно заменять различные части дополнения на новые реализации, основанные на WebExtensions. Напомним, что в Firefox 57, который выйдет 28 ноября, намечен полный переход на WebExtensions и прекращение поддержки XUL-дополнений. В NoScript 5.0 также значительно увеличена производительность синхронизации интерфейса … Читать далее В Firefox-дополнении NoScript 5.0 начался переход на технологию WebExtension

Фонд Свободного ПО представил первую материнскую плату, получившую сертификат «Respect Your Freedom«, который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Сертификат получила материнская плата Vikings D16 (ASUS KGPE-D16), ориентированная на использование с выпускаемыми с конца 2011 года процессорами AMD Opteron 6200 на базе микроархитектуры Bulldozer. Плата рассчитана как для серверного применения, так и для установки на рабочих станциях, имеет два слота для процессоров, 16 слотов для памяти (DDR3 1600/1333/1066/800 UDIMM и RDIMM), 6 разъёмов SATA2 300MB/s (AMD SP5100) и 8 … Читать далее Фонд свободного ПО сертифицировал материнскую плату Vikings D16

Увидел свет выпуск видеоредактора VidCutter 3.0, специализирующегося на выполнении таких задач, как удаление лишних фрагментов из видеоролика (видео триммер), вставка частей из других видео, разделение видео на части, объединение различных видеофайлов и перекодирование из одного формата в другой. Программа написана на языке Python, интерфейс построен на базе PyQt5. Обработка видео осуществляется при помощи библиотек FFmpeg и mediainfo, для отображения видео применяется MPV (libmpv). Сборки доступны для Linux (PPA, RPM, AppImage), Windows и macOS. Новый выпуск примечателен полной переработкой мультимедийного бэкенда с переходом на libmpv для организации показа видео в интерфейсе приложения. Переход на libmpv позволил сократить число зависимостей, задействовать аппаратное … Читать далее Выпуск программы для нарезки видео VidCutter 3.0