Исследователи безопасности продемонстрировали наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат для не принадлежащего им домена. Информация о проведённом эксперименте была направлена в Comodo и проблема уже устранена. Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так как серверы WHOIS для доменов .eu и .be выдают информацию не в текстовом виде, а показывая картинку, в Comodo для перевода информации в текст используется система распознавания текста (OCR). Суть проблемы в том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и цифры, например, путает «1» (один) и «l» (строчная L) или «0» (ноль) и «O» (прописная … Читать далее Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена

Представлен проект PurpleJS, в рамках которого развивается похожий на Node.js фреймворк, позволяющий создавать серверные приложения на языке JavaScript. Ключевой особенностью PurpleJS является использование виртуальной машины Java (JVM) для выполнения приложений, что позволяет добиться неплохой производительности и предоставить возможность интеграции с приложениями и библиотеками на языке Java. Код проекта написан на языке Java и распространяется под лицензией Apache 2.0. PurpleJS позволяет создавать быстрые и лёгковесные серверные приложения на языке JavaScript или комбинируя JavaScript с Java, без применения модели асинхронного программирования, свойственной Node.js. Для сборки проектов используется инструментарий Gradle. Возможности PurpleJS: Запуск проектов на JavaScript поверх JVM; Создание многопоточных приложений на JavaScript; … Читать далее В рамках проекта PurpleJS, развивается альтернатива Node.js, работающая поверх JVM

В ядре Linux выявлена опасная уязвимость CVE-2016-5195, которой присвоено кодовое имя «Dirty COW«, позволяющая непривилегированному локальному пользователю повысить свои привилегии в системе. Проблема отмечена некоторыми экспертами как одна из наиболее опасных уязвимостей в ядре, чему способствует наличие надёжно рабочего прототипа эксплоита, простота проведения атаки (экплоит не зависит от особенностей окружения) и сведения о длительном использовании данной уязвимости злоумышленниками до исправления проблемы (проблема была выявлена на основе изучения перехваченного эксплоита). Уязвимость присутствует с 2007 года и проявляется в ядрах Linux, начиная с выпуска 2.6.22. Уязвимость вызвана состоянием гонки при обработке copy-on-write (COW) операций в подсистеме управления памятью и позволяет нарушить работу … Читать далее Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками

Доступен корректирующий выпуск Firefox 49.0.2, в котором исправлена порция ошибок, внесены функциональные изменения и устранены две уязвимости, которым присвоен высокий уровень опасности. Уязвимость CVE-2016-5288 может использоваться для доступа к информации об открытых ранее URL из web-приложения, а уязвимость CVE-2016-5287 может привести к обращению к уже освобождённым блокам памяти в процессе работы Service workers. Другие изменения: Включён по умолчанию асинхронный режим отрисовки вывода Flash-плагина, что положительно отразилось на производительности и сократило число крахов при использовании Flash; Добавлен сбор диагностической информации о времени переключения вкладок; Изменены настройки работы D3D9 для избавления от артефактов во время отрисовки; Устранена ошибка, мешающая отображению интерфейса во … Читать далее Обновление Firefox 49.0.2

Доступен выпуск открытого видеоплеера MPV 0.21, несколько лет назад ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного бэкпортирования новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией GPLv2. В новой версии: Изменено оформление экранного интерфейса, который теперь выполнен в виде нижней панели; Добавлена возможность использования CUDA и cuvid/NvDecode для ускорения декодирования видео; Возможность настройки верхних и нижних отступов; В модуль вывода через OpenGL (vo_opengl) добавлена начальная поддержка фреймбуфера для GPU Mali (fbdev), включено использование средств аппаратного ускорения для Raspberry Pi и интегрированы возможности модуля … Читать далее Релиз видеоплеера MPV 0.21

Выпущен второй кандидат в релизы векторного графического редактора sK1 2.0, реализующего функциональность, схожую с Corel Draw. Несмотря на статус RC, выпуск фактически является готовым инструментом для допечатной подготовки и просто для работы с векторной графикой. Нереализованными на данный момент остались только фильтры импорта/экспорта сторонних графических форматов. На сайте проекта доступны бинарные сборки для Ubuntu, Linux Mint, Debian, Fedora, openSUSE и Windows. Наиболее значимые изменения с момента RC1: Разметка для текстовых объектов; Текст на кривой и текст на окружности; Прецезионная печать с поддержкой CMYK; Плагин Iconizer для генерации растра; Диалог настройки свойств документа; MSI-инсталлятор в версии для Windows. Читать далее Выпуск векторного графического редактора sK1 2.0RC2

Группа исследователей из Бингемтонского и Калифорнийского университетов опубликовали технику атаки, позволяющую восстановить раскладку памяти при использовании механизма защиты ASLR (Address space layout randomization) на системах с процессорами Intel. Атака успешно продемонстрирована на системе с Linux и процессором Intel Haswell для предсказания рандомизированных адресов как для ядра, так и для пространства пользователя. В результате эксперимента смещение ASLR в ядре Linux удалось восстановить за 60 мс. Исследователи считают, что атака не специфична для Linux и также может быть применена к реализациям ASLR в Windows и macOS. Метод является разновидностью атак по сторонним каналам (side-channel attacks) и основан на косвенном определении адресов, на … Читать далее Выявлен метод обхода защиты ASLR на процессорах Intel

Компания Explosion AI, специализирующаяся на разработках, связанных с искусственным интеллектом и машинным обучением, представила первый значительный выпуск свободной библиотеки spaCy, в которой воплощены в рабочий код результаты последних достижений в области распознавания текста на естественном языке (NLP, Natural Language Processing). Библиотека написана на языке Cython (расширение Python, позволяющее использовать вставки на языке Си), совместима с CPython 2.6+/3.3+ на платформах Unix/Linux, macOS и Windows, и распространяется под лицензией MIT. Языковые модели пока подготовлены только для английского и немецкого языков (размер каждой модели около 500Мб). Библиотека рассчитана на применение в конечных продуктах, снабжена исчерпывающей документацией и предоставляет целостный API, для которого гарантируется … Читать далее Выпуск spaCy 1.0, библиотеки для обработки информации на естественном языке

Разработчики проекта KDE опубликовали итоги встречи, на которой обсуждался план развития рабочего стола Plasma в будущем. В 2017 и 2018 годах будет увеличено время подготовки релизов — новые выпуски будут формироваться 3 раза в год, вместо практикуемых ныне ежеквартальных выпусков, что позволит выделить больше времени на разработку и стабилизацию новшеств. Например, выпуск Plasma 5.9 намечен на 31 января 2017 года, 5.10 выйдет в мае, 5.11 в сентябре и 5.12 в декабре. График может корректироваться в зависимости от внешних факторов, таких как график разработки Qt. Основные планы: Будет проведена работа по оттачиванию пиктограмм из набора Breeze и проработке деталей. Немного будут … Читать далее Планы разработки KDE Plasma

Facebook, продолжающий использовать распределённую систему управления версиями Mercurial в своих внутренних проектах, работает над созданием нового сервера Mercurial, для разработки которого выбран язык программирования Rust. Развиваемый сервер может работать как распределённая система и поддерживает для хранения репозитория подключаемые хранилища в формате ключ/значение. Проект Mozilla заинтересован в развитии нового сервера, который можно будет использовать для переноса репозиториев hg.mozilla.org в инфраструктуру Amazon S3 или других облачных сервисов. Для Mercurial в Facebook также разработано расширение, которое позволяет ускорить выполнение выборки в 4-10 раз, благодаря применению кэширования типовых запросов. Публикация нового расширения ожидается не раньше декабря. Кроме того, Facebook реализовал новую команду «hg absorb», … Читать далее Facebook работает над реализацией сервера Mercurial на языке Rust

Состоялся первый релиз LibreTorrent — полнофункционального торрент-клиента для Android 4 и более новых версий. Программа написана на языке Java с использованием библиотеки libtorrent и распространяется под лицензией GPLv3. Реализованные возможности: DHT, PeX, шифрование, LSD, UPnP, NAT-PMP, µTP; Фильтрация по IP (eMule dat и PeerGuardian); Возможность тонкой настройки (настройки сети, управление питанием, контроль батареи, настройки пользовательского интерфейса и т. д.); Поддержка торрентов с большим количеством файлов, поддержка больших файлов; Поддержка magnet и HTTP-ссылок; Поддержка Tor (используя Orbot); Поддержка прокси для трекеров и пиров; Возможность перемещения файлов во время загрузки; Возможность автоматического перемещения файлов в другую директорию после загрузки; Возможность задать приоритеты … Читать далее Релиз LibreTorrent, свободного торрент-клиента для Android

Представлен релиз Linux-дистрибутива Solus 1.2.1, в который включён новый выпуск рабочего стола Budgie 10.2.8, развиваемого силами проекта. Solus не использует пакеты других дистрибутивов и кроме рабочего стола также развивает собственный инсталлятор, пакетный менеджер и конфигуратор. Код наработок проекта распространяется под лицензией GPLv2, для разработки используются языки Си и Vala. Для загрузки сформирован ISO-образ, размером 971 Мб (x86_64). В репозитории предлагается около 2000 пакетов. Рабочий стол Budgie основан на технологиях GNOME, но использует собственные реализации оболочки GNOME Shell, панели, апплетов и системы вывода уведомлений. Budgie не является форком GNOME и работает поверх штатных низкоуровневых компонентов и библиотек GNOME. Для управления окнами … Читать далее Выпуск дистрибутива Solus 1.2.1 и рабочего стола Budgie 10.2.8

Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.8, в котором отмечено 24 исправления. Одновременно сформировано обновление VirtualBox 5.0.28. Кроме исправлений, направленных на увеличение стабильности и устранение регрессивных изменений, в новых версиях устранена порция уязвимостей, детальная информация о которых пока не раскрывается. Среди изменений: В компонентах для гостевых систем и хостов на базе Linux обеспечена поддержка ядер, собранных с опцией CONFIG_CPUMASK_OFFSTACK; В дополнениях для гостевых систем с Linux снято ограничение на работу всех виртуальных консолей в текстовом режиме, что позволило избавиться от проблем при загрузке систем с графической заставкой; В дополнениях для гостевых систем с Linux для depmod добавлены отдельные … Читать далее Выпуск VirtualBox 5.1.8

В OpenSSH выявлена уязвимость, которую можно использовать для инициирования отказа в обслуживании через исчерпание доступной памяти на сервере. Ошибка в коде обмена ключами позволяет любому внешнему атакующему (аутентификация не требуется) отправить серию специально оформленных запросов KEXINIT, каждый из которых приведёт к потреблению процессом до 384 Мб памяти. Например, отправив 10 одновременных запросов можно израсходовать 3.8 Гб памяти, а 100 — 38 Гб. Исправление пока доступно в виде патча. Читать далее DoS-уязвимость в OpenSSH

Компания Google объявила об открытии Nomulus, программного обеспечения для сопровождения сервисов регистратора доменов первого уровня. Код написан на языке Java и распространяется под лицензией Apache 2.0. Проект уже используется в работе регистратора Google Domains, отвечающего за домены .GOOGLE, .ZIP, .ADS, .APP, .HOW и .SOY. Код адаптирован для работы под управлением платформы Google App Engine. Работа над проектом началась в 2011 году, после того как организация ICANN начала продавать домены первого уровня. Nomulus включает в себя реализацию всех необходимых компонентов, которые упомянутых в требованиях организации ICANN к регистраторам доменов первого уровня. В том числе, предоставляется поддержка протокола EPP (Extensible Provisioning Protocol), … Читать далее Google открыл код ПО для регистраторов доменов первого уровня

Проект Mozilla опубликовал предупреждение о скором прекращении поддержки сертификатов, заверенных с использованием алгоритма хэширования SHA-1, для которого выявлен ускоренный метод подбора коллизий. По статистике Firefox Telemetry с мая 2016 года использование SHA-1 на сайтах сократилось с 3.5% до 0.8%. Напомним, что в октябре 2015 года около 25% сайтов использовали для HTTPS сертификаты, заверенные с помощью SHA-1. Начиная с выпуска Firefox 51, который намечен на 24 января, будет постепенно внедряться выборочная блокировка SHA-1 — для небольшого процента пользователей при обращении к сайтам, использующим сертификаты с SHA-1, будет выводиться ошибка и соединение будет помечаться незащищённым. Если не возникнет непредвиденных проблем, в дальнейшем … Читать далее В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1

Представлен второй выпуск основной стабильной ветки nginx 1.10.2, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.10 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Внесено изменение, улучшающее совместимость с некоторыми HTTP/2-клиентами в случае использования клиентских сертификатов. При попытке запросить виртуальный сервер, отличающийся от согласованного в процессе SSL handshake, теперь возвращается ответ «421 Misdirected Request»; HTTP/2-клиенты теперь могут сразу присылать тело запроса. Директива «http2_body_preread_size» позволяет указать размер буфера, который будет использоваться до того, как nginx начнёт читать тело; Исправлена ошибка где в рабочем процессе мог произойти segmentation fault при использовании протокола … Читать далее Обновление nginx 1.10.2

Компания Canonical представила новый сервис Canonical Livepatch Service, в рамках которого для пользователей Ubuntu началось распространение обновлений с устранением опасных уязвимостей в ядре Linux, которые применяются к работающей системе налету, позволяя избежать простоя в работе из-за перезагрузки. В настоящее время формирование live-патчей началось для 64-разрядных сборок Ubuntu 16.04. Для внесения исправлений в ядро без перезагрузки и остановки работы задействована технология livepatch, предоставляющая аналогичные возможности, что и kpatch от компании Red Hat и kGraft от компании SUSE. В livepatch также используется метод замены функций в ядре и перенаправление на новую функцию при помощи штатной подсистемы ftrace. Патч оформляется в виде модуля … Читать далее Для Ubuntu введён в строй механизм обновления ядра без перезагрузки

9 ноября в аудитории №1 Научно-исследовательского корпуса СПБГУ им. Петра Великого состоится тематическая встреча с участием технических специалистов компании «Перкона» (Percona). Требуется предварительная регистрация. Вниманию аудитории предлагаются два доклада, охватывающие различные аспекты работы с СУБД MySQL: Методы и инструменты повышения производительности в MySQL 5.6 и 5.7 (Н.Ихалайнен) Pquery — открытый бесплатный инструмент стресс-тестирования MySQL-серверов от Percona (А. Бычко). Читать далее 9 ноября в Санкт-Петербурге состоится мероприятие MySQL Meetup

Опубликован корректирующий выпуск инструментария Tor 0.2.8.9, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, которая позволяет удалённому атакующему инициировать крах скрытого сервиса, шлюза, узла авторизации или клиента Tor. Проблема вызвана некорректной обработкой данных, содержащих символы с нулевым кодом. Исправление также вошло в состав тестового выпуска 0.2.9.4-alpha. Читать далее Обновление Tor 0.2.8.9 с устранением DoS-уязвимости

Состоялся релиз i2pd 2.10 (I2P Daemon), полнофункциональной реализации клиента I2P на языке C++ Исходный код проекта распространяется под модифицированной лицензией BSD, бинарные сборки подготовлены для Debian, Ubuntu, macOS, FreeBSD, Android и Windows. I2P (Невидимый Интернет Протокол) — это универсальный анонимный сетевой уровень, все соединения в котором анонимны и используют сквозное (end-to-end) шифрование, а участники не раскрывают свои настоящие IP адреса. I2P-клиент — это программа для построения и использования анонимных I2P-сетей. Подобные сети обычно используются для анонимных peer-to-peer приложений (файлообмен, криптовалюты) и для анонимных клиент-серверных приложений (вебсайты, мессенджеры, чат-серверы). I2P позволяет людям со всего мира общаться и делиться информацией без ограничений. … Читать далее Состоялся релиз i2pd 2.10, полнофункциональной реализации I2P-клиента на языке C++