В браузерном дополнении, устанавливаемом при использовании платформы для проведения web-конференций Cisco WebEx, выявлена показательная уязвимость, позволяющая при открытии в браузере специально оформленной страницы выполнить код на уровне операционной системы с правами текущего пользователя. Платформа WebEx получила большое распространение в корпоративной среде и насчитывает более 20 млн пользователей. Уязвимость вызвана наличием предопределённого идентификатора, позволяющего передать дополнению команды. В частности, команды можно передать через запрос специально оформленно страницы, обращение к которой может быть скрыто от пользователя путем применения блоков iframe. Так как дополнение реализовано в виде надстройки над нативным кодом, вызываемым при помощи API nativeMessaging, атакущие могут добиться выполнения вызовов nativeMessaging от … Читать далее В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе

После шести месяцев разработки состоялся релиз кроссплатформенного фреймворка Qt 5.8, продолжившего развитие ветки Qt 5.x. Исходные тексты компонентов Qt поставляются под лицензиями LGPLv3 и GPLv2, инструменты Qt для разработчиков, такие как Qt Creator и qmake, а также некоторые модули поставляются под лицензией GPLv3. Выпуск примечателен началом реализации идей, предложенных в рамках инициативы Qt Lite, нацеленной на предоставление возможности формирования сборок Qt, содержащих только необходимые компоненты. Основные изменения: Включены наработки по обеспечению гранулированной сборки, позволяющие собирать модули, выборочно активируя только необходимую функциональность. Отныне Qt позволяет не только манипулировать подключением отдельных модулей, но и управлять составом модулей. Отключенная функциональность не включается в … Читать далее Релиз фреймворка Qt 5.8

Исследователи безопасности, изучающие поражение вредоносным ПО незащищённых систем с СУБД MongoDB, опубликовали обновление статистики. За неделю вымогатели довели до 40 тысяч число захваченных систем c СУБД MongoDB, на которых под видом применения шифровальщика удаляются все данные и публикуется требование заплатить выкуп за восстановление. Также зафиксированы атаки и на другие хранилища, доступ к которым оставлен открытым без аутентификации. В частности, похожим способом поражено более 5 тысяч серверов с Elastic Search и около 500 серверов с СУБД Apache CouchDB. Число уязвимых систем, потенциально доступных для атаки, оценивается в 33000 и 4600 серверов Elastic Search и CouchDB, соответственно. Также начинается волна атак на … Читать далее Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch

Проект CoreOS, развивающий основанное на идеях контейнерной изоляции серверное окружение, представил релиз etcd 3.1, высоконадёжного распределённого хранилища параметров конфигурации, задаваемых в форме ключ/значение. Основным назначением etcd является предоставление унифицированного механизма хранения конфигурации и информации о работающих сервисах для изолированных контейнеров с типовой начинкой. Код etcd написан на языке Go и распространяется под лицензией Apache 2.0. Etcd позволяет организовать единое хранилище конфигурации для группы серверов, которое реплицируются на все узлы и поддерживается в синхронизированном состоянии с использованием протокола Raft. Наличие копии данных на всех хостах позволяет исключить потерю конфигурации при выходе из строя отдельного узла. В etcd также могут сохраняться временные … Читать далее Релиз распределенной системы хранения конфигурации etcd 3.1

Джонатан Риддел (Jonathan Riddell), развивающий дистрибутив KDE Neon, предупредил пользователей о проблемах с безопасностью на одном из зеркал, на которые организован автоматический проброс запросов со страницы загрузки iso-образов проекта. В частности, FTP-сервер ftp.icm.edu.pl, на котором в том числе размещено зеркало iso-образов проекта KDE neon, отнесён сервисом Google Safebrowsing к категории опасных из-за выявления в загрузках вредоносного ПО. В настоящее время в iso-образах KDE neon на проблемном зеркале изменений не замечено, а администрация зеркала не подтвердила инцидент. Пользователям рекомендуется обязательно проверять загружаемые сборки KDE neon по цифровой подписи. gpg2 —recv-key ‘348C 8651 2066 33FD 983A 8FC4 DEAC EA00 075E 1D76’ wget … Читать далее Возможно, скомпрометировано одно из зеркал проекта KDE neon

Корпорация TrendMicro после поглощения компании TippingPoint, основателя инициативы Zero Day Initiative (ZDI), взяла на себя организацию ежегодного мероприятия Pwn2Own, участники которого демонстрируют рабочие техники эксплуатации ранее неизвестных уязвимостей и получают за это вознаграждение. В 2017 году соревнованиям Pwn2Own исполняется 10 лет, в честь чего добавлено несколько новых номинаций, касающихся Linux (ранее соревнования обходили Linux стороной). Мероприятие состоится с 15 по 17 марта, размер призового фонда составит более миллиона долларов. Наиболее интересным нововведением является появление номинации за демонстрацию успешного взлома HTTP-сервера на базе Apache httpd. Участнику, который успешно продемонстрирует удалённую эксплуатацию Apache httpd в окружении Ubuntu Server 16.10, в котором установлены … Читать далее На соревновании Pwn2Own 2017 появились номинации за взлом Linux и Apache httpd

Состоялся первый выпуск дистрибутива BitKey (14.1.0), предоставляющего автономное Live-окружение для безопасного проведения транзакций с использованием платёжной системы Bitcoin. Дистрибутив основан на пакетной базе Debian Jessie, для создания самодостаточного Live-образа использован сборочный инструментарий Turnkey Linux (номер выпуска BitKey 14.1.0 отражает версию инструментария Turnkey Linux). Дистрибутив может целиком загружаться в оперативную память и ориентирован на предоставление высокого уровня безопасности, например, большинство приложений лишены сетевого доступа, используется шифрование и верификация компонентов, применяются средства для удаления из памяти остаточной информации. Размер iso-образа 445 Мб. BitKey может применяться для выполнения сохраняемых в облачном хранилище транзакций при хранении кошелька на отдельной системе, физически изолированной от интернета. … Читать далее Выпуск BitKey, Live-дистрибутива для безопасной работы с Bitcoin

Состоялся релиз инструментария для построения инсталляторов Calamares 3.0, не зависящего от конкретных дистрибутивов Linux. Разработчикам дистрибутивов предоставлено несколько десятков готовых модулей c реализацией различных возможностей, востребованных в инсталляторах. Код написан на языке С++, графический интерфейс основан на библиотеке Qt 5 (используется QML), для разработки модулей могут применяться языки C++ и Python. Calamares уже используется для организации установки дистрибутивов Manjaro, Sabayon, Chakra, NetRunner, KaOS, BBQLinux, Tanglu, OpenMandriva и KDE neon. Проект развивается при участии сообществ KDE, Fedora, Kubuntu и Maui. Calamares предоставляет такие возможности, как ручной и автоматический режимы разбиения дисковых разделов, гибкая система адаптации внешнего вида, модульная архитектура, большой выбор … Читать далее Выпуск независимого от дистрибутивов инсталлятора Calamares 3.0

Джонатан Риддел (Jonathan Riddell), развивающий дистрибутив KDE Neon, предупредил пользователей о проблемах с безопасностью на одном из зеркал, на которые организован автоматический проброс запросов со страницы загрузки iso-образов проекта. В частности, зеркало ftp.icm.edu.pl отнесено сервисом Google Safebrowsing к категории опасных из-за выявления в загрузках вредоносного ПО. В настоящее время в iso-образах KDE neon на проблемном зеркале изменений не замечено, а администрация зеркала не подтвердила инцидент. Пользователям рекомендуется обязательно проверять загружаемые сборки KDE neon по цифровой подписи. gpg2 —recv-key ‘348C 8651 2066 33FD 983A 8FC4 DEAC EA00 075E 1D76’ wget http://files.kde.org/neon/images/neon-useredition/current/neon-useredition-current.iso.sig gpg2 —verify neon-useredition-current.iso.sig gpg: Signature made Thu 19 Jan 2017 … Читать далее Возможно скомпрометировано одно из зеркал проекта KDE neon

После шести месяцев разработки подготовлен релиз инструментария для управления изолированными Linux-контейнерами Docker 1.13, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Код Docker написан на языке Go и распространяется под лицензией Apache 2.0. Основные изменения: Расширены возможности режима Swarm, … Читать далее Выпуск cистемы управления контейнерной виртуализацией Docker 1.13

В состав фреймворка Qt 5.8, релиз которого ожидается на следующей неделе, будет включена экспериментальная поддержка модуля Qt Speech, предоставляющего средства для синтеза речи. В Linux преобразование текста в речь осуществляется при помощи библиотеки Speech Dispatcher (libspeechd), а на других платформах через штатный API операционной системы. m_speech = new QTextToSpeech(this); connect(m_speech, QTextToSpeech::stateChanged, this, Window::stateChanged); m_speech-say(«Hello World!»); Речевое сопровождение может применяться для повышения доступности приложений для людей с ограниченными возможностями или для реализации новых средств фонового информирования пользователя, что особенно востребовано для вывода уведомлений в приложениях для автомобильных информационно-развлекательных систем. Например, клиент мгновенного обмена сообщениями может зачитать текст поступившего сообщения, не отвлекая … Читать далее В Qt появится поддержка синтезатора речи

Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, объявил об официальном придании ядру 4.9 статуса ветки с длительным сроком поддержки. Обновления для ветки 4.9 будут выпускаться до января 2019 года. Напомним, что для обычных выпусков ядра обновления выпускаются только до выхода следующей стабильной ветки (например, обновления для ветки 4.8 выпускались до выхода 4.9.1). Кроме 4.9 также продолжается сопровождение longterm-веток 4.4, 4.1, 3.18, 3.16, 3.14, 3.12, 3.10 и 3.2. Поддержка веток 4.9 и 4.4 (до февраля 2018) осуществляется самим Грегом Кроа-Хартманом (трудоустроен в Linux Foundation). Ветки 3.18 (поддержка истекает в этом месяце) и 4.1 (до сентября 2018) сопровождает … Читать далее Ядро Linux 4.9 отнесено к категории выпусков с длительным сроком поддержки

Опубликованы корректирующие выпуски языка программирования PHP 7.1.1, 7.0.15 и 5.6.30, в которых внесено 35 изменений, в том числе устранено несколько уязвимостей. Из связанных с безопасностью исправлений выделяются проблемы с использованием вызова unserialize(), а также уязвимости в расширениях GD и mbstring. Возможно исправлены и другие проблемы с безопасностью, так как уязвимости явно не отделяются от ошибок и не выделены в публикуемом на сайте PHP списке изменений. Читать далее Выпуск PHP 7.1.1, 7.0.15 и 5.6.30 с устранением уязвимостей

Опубликованы корректирующие выпуски языка программирования PHP 7.1.1 и 7.0.15, в которых внесено 35 изменений, в том числе устранено несколько уязвимостей. Из связанных с безопасностью исправлений выделяются проблемы с использованием вызова unserialize(), а также уязвимости в расширениях GD и mbstring. Возможно исправлены и другие проблемы с безопасностью, так как уязвимости явно не отделяются от ошибок и не выделены в публикуемом на сайте PHP списке изменений. Читать далее Выпуск PHP 7.1.1 и 7.0.15 с устранением уязвимостей

Компания Mozilla представила новый логотип и набор графических элементов бренда. Логотип выбран из 7 концептуальных прототипов нового дизайна, подготовленных британской дизайнерской компанией Johnson Banks. Используемое в логотипе и фирменном стиле начертание символов воплощено в открытом шрифте Zilla, разработанном компанией Typotheque по заказу Mozilla. Новый логотип обыгрывает комбинацию символов «://», используемую в URL. Примечательно, что данный набор символов также обыгрывается в утверждённом в прошлом году логотипе проекта Curl. Создатель Curl, который трудоустроен в Mozilla, заявил, что ничего не имеет против такого заимствования. Более того, он даже рад, что выбрали именно этот вариант логотипа Mozilla, а обыгрывание символов интернет протокола «://» воспринимает … Читать далее Проект Mozilla представил новый логотип

Компания Oracle раскрыла информацию о планах по дальнейшей разработке серверных платформ SPARC и операционной системы Solaris. В соответствии с представленным планом, который охватывает период до 2021 года, компания намерена продолжить выпуск обновлений в рамках ветки Solaris 11.x. Вместо выпуска значительного релиза Solaris 12 функциональность Solaris будет развиваться постепенно в рамках промежуточных релизов ветки 11.x. По мнению Oracle, поэтапное наращивание функциональности вместо концентрации изменений в одном значительном релизе позволит упростить тестирование, сохранить высокое качество и избежать необходимости повторной сертификации. Ветка Solaris 11 будет развиваться в направлении улучшения применения облачных технологий и усиления интеграции с новым оборудованием. Разработка серверных систем на базе … Читать далее Компания Oracle опубликовала план разработки Solaris и SPARC

Доступен релиз звукового сервера PulseAudio 10.0, который выступает в роли посредника между приложениями и различными низкоуровневыми звуковыми подсистемами, абстрагируя работу с оборудованием. PulseAudio позволяет управлять громкостью и смешиванием звука на уровне отдельных приложений, организовывать поступление, смешивание и вывод звука при наличии нескольких входных и выходных каналов или звуковых карт, позволяет на лету менять формат звукового потока и использовать плагины, дает возможность прозрачно перенаправлять звуковой поток на другую машину. Код PulseAudio распространяется в рамках лицензии LGPL 2.1+. Поддерживается работа в Linux, Solaris, FreeBSD, OpenBSD, DragonFlyBSD, NetBSD, macOS и Windows. Ключевые улучшения PulseAudio 10.0: Реализовано автоматическое переключение профиля Bluetooth при использовании приложений … Читать далее Выпуск звукового сервера PulseAudio 10.0

Состоялся релиз полноэкранного консольного оконного менеджера GNU screen 4.5.0, позволяющего использовать один физический терминал для работы с несколькими приложениями, которым выделяются отдельные виртуальные терминалы, остающиеся активными между разными сеансами связи пользователя. Из изменений отмечается возможность определения имени файла с логом при помощи опции ‘-L’ (по умолчанию «screenlog.0»). Обеспечена поддержка сборки для платформы AIX. Исправлено несколько ошибок, в том числе приводивших к краху. Читать далее Релиз консольного оконного менеджера GNU screen 4.5.0

Компания Google опубликовала обзор мер, предпринимаемых для обеспечения безопасности серверной инфраструктуры. Некоторые интересные особенности: Во всех серверах используются собственные материнские платы и компоненты, разработанные инженерами Google и произведённые под контролем представителем компании. Оборудование, включая периферийные устройства, оснащены специальным чипом, отвечающим за безопасную идентификацию и аутентификацию устройства на низком уровне. Программные компоненты, включая прошивки, загрузчики, ядро и базовые образы систем проверяются по цифровой подписи. Таким образом в инфраструктуре могут применяться только проверенные аппаратные и программные элементы, содержащие корректную цифровую подпись. В ситуациях, когда серверное оборудование приходится размещать в чужих датацентрах, оборудование Google отгораживается в собственный периметр физической безопасности, в котором для … Читать далее Google раскрыл подробности обеспечения безопасности в своей инфраструктуре

Состоялся релиз легковесного Live-дистрибутива AntiX 16, построенного на пакетной базе Debian и ориентированного для установки на устаревшее оборудование. Пользовательское окружение по умолчанию сформировано при помощи оконного менеджера IceWM, но на выбор также предлагается fluxbox, jwm и herbstluftwm. Для работы с файлами предлагаются spacefm и rox-filer. Размер iso-образа 695 Мб. Новый выпуск основан на пакетной базе Debian 8.7 (Jessie), но поставляется без системного менеджера systemd. В состав включены два новых специализированных приложения: live-kernel-updater и live-usb-maker для обновления ядра в Live-образе и создания USB-носителей. Ядро обновлено до выпуска 4.4.10 LTS с заставкой fbcondecor. Читать далее Выпуск легковесного дистрибутива antiX 16.1

Разработчики Firefox рассматривают вопрос перевода средств для разработчиков (Developer Tools) из встроенной функциональности в форму системного дополнения, предлагаемого по умолчанию в Firefox и не отображаемого в менеджере дополнений (для просмотра следует использовать about:support). Поставка в виде системного дополнения позволит организовать независимый от браузера цикл разработки и более часто выпускать обновления с предложением новых возможностей, проводя новшества без необходимости длительной обкатки в тестовых ветках Firefox. Кроме того, системные дополнения могут быть отключены по желанию пользователя (в том числе обсуждается возможность отключения по умолчанию системного дополнения с Developer Tools). Читать далее Рассматривается возможность выноса Firefox Developer Tools в системное дополнение