Опубликован достаточно реалистичный сценарий, показывающий, как при помощи сети доставки контента CloudFlare можно осуществить деанонимизацию пользователей Tor. CloudFlare обеспечивает трансляцию трафика для примерно 2 млн сайтов и может анализировать трафик к данным сайтам, поступающий из сети Tor, контролируя этап обращения к сайтам после выхода из цепочки анонимизации в сети Tor. В свою очередь, интернет-провайдеры могут контролировать отправку трафика в Tor, что позволяет спецслужбам при желании получить доступ к информации о трафике перед и после анонимизации в Tor. Ключевой проблемой, которую необходимо решить для деанонимизации, является связывание одного и того же запроса на входе и выходе Tor. Проходящий через Tor трафик … Читать далее Капча CloudFlare может применяться для деанонимизации пользователей Tor

Доступен релиз системы Syncthing 0.14, позволяющей организовать автоматическую синхронизацию файлов пользователя на нескольких устройствах, решая задачи сходные с проприетарной системой BitTorrent Sync. Синхронизированные данные не загружаются в облачные хранилища, а напрямую реплицируются между системами пользователя при их одновременном появлении в online, используя развиваемый проектом протокол BEP (Block Exchange Protocol). С особенностями проекта можно познакомиться в анонсе прошлого выпуска. Код Syncthing написан на языке Go и распространяется под свободной лицензией MPL. Новый выпуск примечателен реализацией нового расширяемого протокола синхронизации, который несовместим с прошлыми выпусками проекта, и теперь основан на языке Protocol buffers. Изменение протокола также привело к модификации протокола, отвечающего за … Читать далее Выпуск открытой P2P-системы синхронизации файлов Syncthing 0.14

Началось тестирование кандидата в релизы дистрибутива OpenMandriva Lx 3.0, примечательного переходом по умолчанию на компилятор Clang, новым инсталлятором на базе проекта Calamares, поддержкой загрузки на системах с UEFI и наличием пользовательского окружения LXQt. Проект развивается силами сообщества после того как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации «OpenMandriva Association». Для загрузки предлагается Live-сборка размером 2 Гб (x86_64, i586). Из улучшений, добавленных по сравнению со второй бета-версией отмечается формирование сборки для архитектуры i586, доведения инсталлятора до рабочего состояния (без необходимости применения Live-сборки для установки). В состав входят следующие версии основных пакетов: KDE Plasma 5.6.5, KDE Frameworks 5.23.0, KDE … Читать далее Кандидат в релизы дистрибутива OpenMandriva Lx 3.0

Французский Национальный Синдикат Звукозаписи (SNEP), занимающийся сбором отчислений за трансляцию и исполнение музыкальных произведений, попытался через суд добиться у поисковых систем Google и Bing автоматической фильтрации запросов, в которых фигурирует поиск торрентов. SNEP утверждает, что контент, который содержит имена музыкантов в сочетании со словом «torrent» является пиратским, поэтому просит обязать поисковые системы фильтровать подобные запросы со словом «torrent» и сайты, содержащие «torrent» в названии. Парижский верховный суд встал на сторону поисковых систем и отклонил требование SNEP, приняв во внимание, что Torrent является нейтральной технологией передачи данных, которая непосредственно не связана с тем, какой контент загружается и применяемая в том числе … Читать далее Французский суд отклонил попытку обязать Google и Bing фильтровать торренты

Опубликована информация об уязвимости под кодовым названием Httpoxy, которая охватывает достаточно большой пласт http-серверов, но может применяться для ограниченного набора web-приложений. Уязвимость вызвана дублированием назначения переменной окружения HTTP_PROXY, которая может быть выставлена как для определения системных настроек прокси-сервера, так и на основе трансляции переданного клиентом HTTP-заголовка «Proxy:» в соответствии с требованиями RFC 3875. Создание системной переменной окружения HTTP_PROXY является достаточно простым способ для организации работы http-клиентов через прокси. Суть проблемы в том, что существует пласт полагающихся на переменную окружения HTTP_PROXY библиотек, которые могут использоваться в работающих на стороне сервера web-приложениях для обращения к внешним ресурсам, например, для отправки запросов к … Читать далее Уязвимость, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy

Компания Google опубликовала пятый, заключительный, предварительный выпуск открытой мобильной платформы Android 7.0, а также объявила кодовое имя новой ветки — «Nougat». Релиз Android Nougat ожидается в третьем квартале 2016 года. Установить новый тестовый выпуск можно, присоединившись к программе бета-тестирования, сборки будут сформированы для устройств Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Pixel C и Android One. По сравнению с четвёртым предварительным выпуском в Android 7.0 Developer Preview 5 представлен финальный вариант API (API level 24), позволяющий разработчикам окончательно протестировать готовность своих приложений для использования новых возможностей платформы, таких как многооконный режим, графический API Vulkan, поддержка прямой отправки ответов из … Читать далее Пятый предварительный выпуск Android 7.0 "Nougat"

Норвежская компания Opera Software продала часть своего бизнеса консорциуму из нескольких китайских компаний. Сумма сделки составила 600 млн долларов. Изначально планировалась продажа всей компании Opera Software за 1.2 млрд долларов, но сделка не состоялась из-за запрета регулирующих органов, после чего участники договорились о продаже лишь части бизнеса. В руки новых владельцев из Китая перейдёт бренд Opera, подразделение по разработке web-браузера и приложения для обеспечения производительности и приватности. В руках Opera Software останутся продукты Opera TV, Opera Apps, Opera Games и Opera Mediaworks. Из 1669 сотрудников в Opera Software остается только 560. В дальнейшем компания Opera Software планирует выбрать себе новое … Читать далее Opera и ARM проданы китайским и японским компаниям

Представлен первый выпуск web-браузера Qt WebBrowser, развиваемого разработчиками Qt для мобильных устройств с сенсорными экранами. Браузер построен на основе компонента Qt WebEngine, использующего движок Blink/Chromium. Интерфейс написан с использованием Qt Quick. Изначально браузер поставлялся в составе коммерческого продукта for Device Creation, но теперь выделен в отдельный открытый проект. Исходные тексты распространяются под лицензией GPLv3. Поддерживаются все основные функции мобильных браузеров, в том числе поиск, закладки, навигация по истории посещений, одновременная работа с несколькими открытыми страницами, полноэкранный режим, воспроизведение звука и видео (в том числе просмотр видео на полном экране), конфиденциальный режим просмотра с удалением следов работы после завершения сеанса, возможность … Читать далее Разработчики Qt представили мобильный web-браузер Qt WebBrowser

Представлен выпуск игры-платформера ReTux 1.0, ознаменовавший готовность всей запланированной базовой функциональности. Игра разработана по мотивам известного платформера Super Mario и поддерживает использование ресурсов от другого аналогичного открытого проекта SuperTux. При это код ReTux не пересекается с SuperTux и написан полностью с нуля на языке Python с задействованием игрового движка SGE. Исходные тексты распространяются под лицензией GPLv3, но сборки, а также сам архив с кодом, доступны только на платной основе. Особенности игры: Пользователю предлагается 41 игровой уровень с элементами, требующими решения головоломок; Предоставлено несколько жизней, восстанавливать которые можно через сбор монет. Наличие артефактов повышающих силу и дающих дополнительные возможности, например, огненные … Читать далее Выпуск свободной игры-платформера ReTux 1.0

Проект Sandstorm, развивает новую открытую платформу для обеспечения работы персональных серверов, позволяющую обычным пользователям без лишних усложнений запускать web-приложения на собственном оборудовании или во внешнем облаке. Код написан на языке С++ и доступен под лицензией Apache 2.0. Для создания инфраструктуры достаточно запустить один скрипт и зайти в web-интерфейс, после чего можно в один клик запустить приложения из специального каталога, в котором представлены такие программы, как WordPress, MediaWiki, MediaGoblin, GitWeb, Apache Wave, EtherCalc, GitLab, Etherpad и Wekan. Т.е. неспециалист может легко без наличия каких-то особых технических навыков создавать решения для совместной работы, редактирования документов в стиле Google Docs, запускать чаты, создавать … Читать далее В рамках проекта Sandstorm развивается платформа для персональных web-серверов

В OpenSSH выявлена уязвимость (CVE-2016-6210), позволяющая на основе ответа сервера определить существует или нет пользователь в системе. Исправление с устранением уязвимости пока не выпущено, прямой опасности проблема не представляет, а лишь снижает трудоёмкость атак по подбору параметров входа в систему. Для противодействия попыткам перебора пользователей в OpenSSH присутствует защита — для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверки атакующий может проанализировать время выполнения операции и если очередная проверка выполняется доьше обычного, сделать вывод о наличии запрошенного пользователя в системе и перейти к подбору … Читать далее Обход защиты OpenSSH, препятствующей определению наличия пользователя

Компания EnterpriseDB, осуществляющая коммерческую поддержку PostgreSQL и финансирующая большое число разработчиков данной свободной СУБД, сообщила о публикации министерством обороны США STIG-рекомендаций для продукта EDB Postgres Advanced Server, основанного на кодовой базе PostgreSQL. Представленная рекомендация является первым STIG-документом для СУБД на базе открытого ПО, ранее подобные рекомендации выпускались только для продуктов Oracle и MS SQL Server. Рекомендации STIG (Security Technical Implementation Guides) представляют собой стандарт конфигурации для информационных систем, допущенных для использования в армии и госструктурах США и соответствующих требованиям к безопасности в государственных системах. В процессе формирования рекомендаций STIG продукт проходит рецензирования на предмет обеспечения должного уровня безопасности и соответствие … Читать далее Министерство обороны США выпустило STIG-рекомендации для решения на базе СУБД PostgreSQL

Представлен выпуск проекта OpenLTE 0.20, в рамках которого с 2011 года развивается открытая реализация стека протоколов, соответствующая спецификациям мобильной телефонии 3GPP LTE (4G LTE). Рабочая конфигурация для тестирования и симуляции приёма и передачи данных в сетях LTE (downlink и uplink PRACH), а также для создания простых базовых станций eNodeB, может быть подготовлена при помощи универсальных программируемых приёмопередатчиков USRP B2X0, RTL-SDR или HackRF с формированием сигналов при помощи свободного пакета GNU Radio. В новом выпуске увеличен максимальный размер сообщений, добавлена поддержка окружений classmark 3, добавлен возможность отслеживания и обновления запросов, поддержка сегментов AMD PDU, расширена библиотека LTE. Работа программной базовой станции … Читать далее Доступен пакет OpenLTE 0.20 с реализацией стека 3GPP LTE

Доступен выпуск операционной системы LibertyBSD 5.9, в рамках которого развивается ответвление от OpenBSD, избавленное от элементов загрузки прошивок и драйверов, содержащих несвободные бинарные компоненты. По мнению разработчиков LibertyBSD, поставка бинарных прошивок несёт скрытую угрозу для безопасности системы из-за возможного наличия в бинарных прошивках закладок и непредвиденной функциональности. Участниками проекта также ведётся работа по созданию очищенного от блобов варианта коллекции портов и пакетов. Сборки подготовлены для архитектур i386 и AMD64. Новый выпуск примечателен обновлением кодовой базы до OpenBSD 5.9 и появлением сборки для 32-разрядных систем. Читать далее Выпуск LibertyBSD 5.9

Представлен первый выпуск нового гипервизора prplHypervisor, специально разработанного для повышения безопасности встраиваемых устройств, относящихся к категории «Интернет вещей» (IoT). PrplHypervisor позиционируется как первый открытый гипервизор для процессоров на базе архитектуры MIPS. Код доступен под лицензией MIT. По мнению разработчиков, изоляция компонентов прошивки и приложений позволит решить проблемы с безопасностью, наблюдаемые ныне в устройствах IoT. Например, запуск прошивки и приложений, работающих с персональными данными и финансовой информацией, в отдельных виртуальных машинах, позволит снизить потери при успешной атаке один из компонентов устройства. Практическим примером пользы виртуализации для устройств на базе архитектуры MIPS является возможность приведения беспроводных марштутизаторов в соответствие с требованиями FCC, … Читать далее Для процессоров MIPS представлен первый открытый гипервизор

Доступен релиз легковесного http-сервера lighttpd 1.4.40, в котором закрыто 157 отчётов об ошибках и представлено несколько улучшений. Одновременно сообщается о переходе проекта с централизованной системы управления версиями Subversion на Git. Основные изменения: Улучшено управление ресурсами: ограничено потребление памяти при обработке больших запросов, в динамических бэкендах реализована поддержка асинхронных двунаправленных потоков и определения разрыва соединения клиентом; Реализован откат на традиционные средства ввода/вывода при отсутствии поддержи mmap и sendfile; Обновлена поддержка lua 5.2, 5.3; memcached; libressl; openssl 1.1.0; Улучшена поддержка cygwin; Расширена поддержка webdav; При запуске «lighttpd -tt» теперь выполняется проверка корректности файла конфигурации; Добавлена опция «-1» при которой lighttpd выполняет один … Читать далее Релиз http-сервера lighttpd 1.4.40. Переход проекта с SVN на Git

Компания NVIDIA представила новый выпуск LTS-ветки проприетарного драйвера NVIDIA 367.35. Драйвер доступен для Linux (ARM, x86, x86_64), FreeBSD (x86, x86_64) и Solaris (x86_64). В новой версии устранены ошибки, который могли приводить к некорректному отображению консоли после перехода из спящего режима и краху X-сервера при применении настройки RandR CscMatrix в момент нахождения в консоли. Кроме того, в новом выпуске увеличена производительность записи в буфер в DRM KMS драйвере nvidia-drm и добавлена поддержка запроса параметров частоты для GPU Pascal. Читать далее Обновление проприетарного драйвера NVIDIA 367.35

Под впечатлением от серии уязвимостей, о которых сообщалось утром, разработчики OpenBSD приняли решение об удалении функции монтирования файловых систем непривилегированным пользователем (sysctl kern.usermount=1). Из соображений безопасности начиная со следующего выпуска OpenBSD 6.0 монтировать разделы можно будет только с правами root, а sysctl-параметр kern.usermount будет игнорироваться. В общем виде озвученные в вышеупомянутых уязвимостях проблемы в системном вызове mount названы вершиной айсберга, так как слишком много кода вовлечено в его работу, поэтому пользователям рекомендуется отключить поддержку режима монтирования обычными пользователями в своих системах (sysctl kern.usermount=0). Читать далее В OpenBSD прекращена поддержка монтирования непривилегированным пользователем

Компания Canonical сообщила о взломе официального форума дистрибутива Ubuntu — ubuntuforums.org. В результате инцидента атакующие смогли получить доступ к СУБД и выполнить произвольные SQL-запросы к БД форума. 14 июля в компанию Canonical поступило уведомление от участников форума о том, что один из пользователей небездоказательно заявил о наличии копии БД сайта. Проверка подтвердила, что имела место утечка данных. Атака была совершена через неисправленную уязвимость в вовремя необновлённом дополнении Forumrunner к используемому на форуме движку vBulletin. Уязвимость позволяла выполнить произвольный SQL-код, чем и воспользовался атакующий для загрузки содержимого таблиц с параметрами пользователей и логами, включающими IP-адреса участников обсуждений. Всего утечка затронула персональные … Читать далее Взломан официальный форум проекта Ubuntu

Автомобилестроительная корпорация Toyota вошла в число основных участников организация Open Invention Network (OIN), ставящей перед собой цель защиты экосистемы Linux от патентных претензий. Участники OIN обязуются не выдвигать патентные претензии и безвозмездно разрешают использовать некоторые запатентованные технологии в проектах, связанных с экосистемой Linux. Кроме Toyota в число основных участников OIN входят компании Google, IBM, NEC, SUSE, Philips, Red Hat и Sony. Кроме того, организация OIN объявила о преодолении рубежа в 2000 компаний, подписавших лицензионное соглашение о совместном использовании патентов. Подписавшие соглашение компании получают доступ к имеющимся в руках OIN патентам, в обмен на обязательство не предъявлять судебных претензий за использование … Читать далее Компания Toyota присоединилась к инициативе по защите Linux от патентных претензий

Доступно обновление проекта Pyston 0.5.1, в рамках которого компанией Dropbox развивается высокопроизводительная реализация языка Python, созданная с использованием наработок проекта LLVM и использующая JIT-компиляцию для достижения высокой производительности. Код Pyston написан на языке C++ и распространяется под лицензией Apache. Кроме исправления ошибок и устранения несовместимостей в новой версии в основном представлены только оптимизации производительности. В частности, внесена достаточно большая порция улучшений, связанных с кэшированием inline-кода и работой JIT, ускорен алгоритм подсчёта ссылок в генераторе кода на базе LLVM. Pyston 0.5.1 успешно проходит все тесты из пакета SciPy и в среднем работает на 15% быстрее прошлого выпуска. Читать далее Выпуск Pyston 0.5.1, реализации языка Python с JIT-компилятором