Представлен выпуск свободной загрузочной прошивки Libreboot 20231021. Обновлению присвоен статус тестовоого выпуска (стабильные релизы публикуются примерно раз в год, прошлый стабильный релиз был в июне). Проект развивает готовую сборку проекта coreboot, предоставляющую замену проприетарным прошивкам UEFI и BIOS, отвечающим за инициализации CPU, памяти, периферийных устройств и других компонентов оборудования, с минимизацией бинарных вставок. Libreboot нацелен на формирование системного окружения, позволяющего обойтись без проприетарного ПО настолько, насколько это возможно, не только на уровне операционной системы, но и прошивки, обеспечивающей загрузку. Libreboot дополняет Coreboot средствами для упрощения применения конечными пользователями, формируя готовый дистрибутив, которым может воспользоваться любой пользователь, не имеющий специальных навыков. … Читать далее Выпуск загрузочной прошивки Libreboot 20231021

Опубликован релиз HTTP-сервера Apache 2.4.58, в котором представлено 33 изменения и устранены три уязвимости, две из которых связаны с возможностью осуществления DoS-атаки на системы, использующие протокол HTTP/2. CVE-2023-45802 — создание условий для исчерпания свободной памяти из-за отложенного освобождения памяти после сброса потока HTTP/2 пакетом с флагом RST. Так как память освобождается не сразу после обработки флага RST, а только после закрытия соединения, атакующий может значительно повысить потребление памяти, отправляя новые запросы и сбрасывая их RST-пакетом, но при этом не закрывая соединение. CVE-2023-43622 — бесконечная блокировка обработки соединения HTTP/2, если оно было открыто с выставлением в 0 начального размера скользящего окна. … Читать далее Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2

Состоялся релиз Node.js 21.0, платформы для выполнения сетевых приложений на языке JavaScript. Поддержка ветки Node.js 21.0 будет осуществляться в течение 6 месяцев. В ближайшие дни будет завершена стабилизация ветки Node.js 20, которая получит статус LTS и будет поддерживаться до апреля 2026 года. Сопровождение прошлой LTS-ветки Node.js 18.0 продлится до сентября 2025 года, а позапрошлой LTS-ветки 16.0 до апреля 2024 года. Основные улучшения: Объявлен стабильным API Fetch, предназначенный для загрузки ресурсов по сети и упрощающий написание универсального JavaScript-кода, пригодного для работы на стороне сервера и клиента. Реализация основана на коде из HTTP/1.1 клиента undici и максимально приближена к аналогичному API, предоставляемому … Читать далее Доступна серверная JavaScript-платформа Node.js 21.0

Исследователи из компании Malwarebytes Labs выявили продвижение через рекламную сеть Google подставного сайта свободного менеджера паролей KeePass, распространяющего вредоносное ПО. Особенностью атаки стало использование злоумышленниками домента «ķeepass.info», на первый взгляд неотличимого по написанию от официального домена проекта «keepass.info«. При поиске по ключевому слову «keepass» в Google реклама подставного сайта размещалась на первом месте, раньше чем ссылка на официальный сайт. Для обмана пользователей была применена давно известная техника фишинга, основанная на регистрации интернационализированных доменов (IDN), содержащих омоглифы — символы, внешне похожие на латинские буквы, но имеющие другое значение и имеющие свой unicode-код. В частности, домен «ķeepass.info» на деле зарегистрирован как «xn--eepass-vbb.info» … Читать далее Распространение вредоносного ПО через рекламу домена, неотличимого от домена проекта KeePass

Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS. Атака была замечена из-за ошибки её организаторов, которые не успели продлить TLS-сертификат, используемый для подмены. 16 октября администратор jabber.ru при попытке подключения к сервису получил сообщение об ошибке из-за истечения срока действия сертификата, но размещённый на сервере сертификат не был просрочен. В итоге выяснилось, что получаемый клиентом сертификат … Читать далее Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru

Исследователи безопасности из компании Outpost24 опубликовали результаты анализа надёжности паролей, используемых администраторами IT-систем. В ходе исследования были изучены учётные записи, присутствующие в базе сервиса Threat Compass, собирающего сведения об утечках паролей, произошедших в результате активности вредоносного ПО и взломов. Всего удалось собрать коллекцию из более 1.8 млн восстановленных из хэшей паролей, связанных с интерфейсами администрирования (Admin portal). Исследование показало, что не только обычные пользователи, но администраторы склонны выбирать предсказуемые пароли. Например, наиболее популярным паролем, который упоминался в собранной базе более 40 тысяч раз, стал пароль «admin». Популярность данного пароля также объясняется использованием его в качестве пароля по умолчанию на некоторых … Читать далее Рейтинг ненадёжных паролей, используемых администраторами

После года разработки состоялся релиз новой стабильной ветки открытой коммуникационной платформы Asterisk 21, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходные тексты проекта доступны под лицензией GPLv2. Asterisk 21 отнесён к категории выпусков с обычной поддержкой, обновления для которых формируются в течение двух лет. Поддержка LTS-ветки Asterisk 20 продлится до октября 2027 года, а Asterisk 18 — до октября 2025 года. Поддержка LTS-ветки 17.x прекращена. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание функциональности. Среди изменений в Asterisk 21: … Читать далее Релиз коммуникационной платформы Asterisk 21

Компания Google представила серию улучшений в адресной строке Chrome: При автодополнении URL будет учитываться любое ключевое слово, ранее использованное для поиска сайта, а не только слова совпадающие с началом адреса. Например, автодополнение адреса «https://www.google.com/travel/flights» сработает не только при вводе слова «google», но и при вводе «flights». Реализовано автоматическое исправление опечаток при вводе адреса сайта и обеспечен вывод релевантных подсказок, при формировании которых учитываются сайты, ранее открытые текущим пользователем. Например, при вводе «youutube» будет предложено открыть YouTube.com. Изменение включено у пользователей Chrome начиная с сегодняшнего дня. Предоставлена возможность поиска в разделах закладок через адресную строку. Например, можно добавить при вводе имя … Читать далее Google провёл работу по улучшению адресной строки в Chrome

Опубликован выпуск ONLYOFFICE DocumentServer 7.5.0 с реализацией сервера для online-редакторов ONLYOFFICE и организации совместной работы. Редакторы можно использовать для работы с текстовыми документами, таблицами и презентациями. Код проекта распространяется под свободной лицензией AGPLv3. Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 7.5, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная … Читать далее Опубликован офисный пакет ONLYOFFICE 7.5.0

Разработчики дистрибутива Kubuntu объявили о предоставлении возможности перехода на свежую стабильную версию пользовательского окружения KDE в LTS-ветке дистрибутива Kubuntu 22.04. Для установки предложены пакеты с KDE Plasma 5.27, KDE Frameworks 5.110 и KDE Gear 23.08, которые бэкпортированы из Kubuntu 23.10. В штатной поставке Kubuntu 22.04 LTS предлагались выпуски KDE Plasma 5.24 и KDE Gear 21.12. Для установки новой версии KDE необходимо подключить PPA-репозиторий backports-extra: sudo add-apt-repository ppa:kubuntu-ppa/backports-extra sudo apt full-upgrade -y Источник: http://www.opennet.ru/opennews/art.shtml?num=59956 Читать далее Для Kubuntu 22.04 предложены пакеты с KDE Plasma 5.27

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 387 уязвимостей. Некоторые проблемы: 3 проблемы с безопасностью в Java SE и 4 проблемы в GraalVM for JDK. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Проблемы имеют умеренный уровень опасности — наиболее опасные уязвимости в Java SE имеют уровень опасности 5.3 (в CORBA и JSSE), а в GraalVM — 7.5 (Node.js). Уязвимости устранены в выпусках Java SE 21.0.1 и 17.0.9. 26 уязвимостей в сервере MySQL, … Читать далее Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей

Доступен релиз операционной системы Chrome OS 118, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 118. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 118 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex. Основные изменения в Chrome OS 118: Предоставлена возможность восстановления забытого пароля и возвращения доступа к данным, привязанным к учётной записи. Добавлен … Читать далее Выпуск Chrome OS 118

Компания «Базальт СПО» выпустила новую версию операционной системы для образовательных организаций — «Альт Образование» 10.2, построенную на основе Деcятой платформы ALT (p10). Сборки подготовлены для платформ x86_64, AArch64 (Байкал-М), i586. ОС предназначена для повседневного использования дошкольными организациями, школами, вузами, средними специальными учебными заведениями. Продукт поставляется в рамках Лицензионного договора, который предоставляет возможность свободного использования физическими лицами, но юридическим лицам допускается только тестирование, а для использования требуется приобрести коммерческую лицензию или заключить лицензионный договор в письменной форме. «Альт Образование» позволяет создавать и интегрировать рабочие места для учеников, студентов, преподавателей. Необходимый комплект программ можно выбрать на этапе установки ОС либо скачать в … Читать далее Новая версия операционной системы Альт Образование 10.2

Компания Google объявила об открытии технологии передачи данных Falcon (hardware transport, аппаратно ускоренный транспортный уровень) и перевода её дальнейшей разработки в проект Open Compute, нацеленный на совместное развитие открытых спецификаций оборудования для оснащения датацентров. Falcon преподносится как Ethernet следующего поколения, способный повысить пропускную способность и увеличить эффективность передачи данных в существующих стандартных сетях на базе Ethernet и TCP/IP, критичных к пропускной способности и задержкам, таких как сети для систем высокопроизводительных вычислений и искусственного интеллекта. Протокол масштабируется до сетей датацентров и спроектирован для обеспечения предсказуемой высокой производительности, низких задержек, гибкости и расширяемости. Поддержка Falcon первой будет обеспечена в сетевых ускорителях серии … Читать далее Google открыл технологию передачи данных Falcon

В реализации web-интерфейса, используемого на физических и виртуальных устройствах Cisco, оснащённых операционной системой Cisco IOS XE, выявлена критическая уязвимость (CVE-2023-20198), позволяющая без прохождения аутентификации получить полный доступ к системе с максимальным уровнем привилегий, при наличии доступа к сетевому порту, через который функционирует web-интерфейс. Опасность проблемы усугубляет то, что злоумышленники уже в течение месяца используют неисправленную уязвимость для создания дополнительных учётных записей «cisco_tac_admin» и «cisco_support» с правами администратора, и для автоматизированного размещения на устройствах импланта, предоставляющего удалённый доступ для выполнения команд на устройстве. Несмотря на то, что для обеспечения должного уровня безопасности рекомендуется открывать доступ к web-интерфейсу только для избранных хостов … Читать далее Уязвимость в Cisco IOS XE, применяемая для установки бэкдора

Организация GNOME Foundation, курирующая разработку пользовательского окружения GNOME, объявила о назначении Холли Миллион (Holly Million) на пост исполнительного директора, который оставался с вакантным с августа прошлого года после ухода Нила МакГоверна (Neil McGovern). Исполнительный директор отвечает за управление и развитие GNOME Foundation как организацией, а также за взаимодействие с советом директоров, консультативным советом (Advisory Board) и членами организации. Холли Миллион имеет обширный опыт управления некоммерческими организациями и является разносторонней и увлечённой личностью, проявившей себя в роли продюсера документальных фильмов, писателя, шамана, художника и педагога. Холли прошла путь от консультанта в некоммерческой организации до директора по разработке, члена совета директоров различных … Читать далее Назначен новый исполнительный директор GNOME Foundation

Сопровождающие официальные редакции дистрибутива Fedora Linux, в которых применяется атомарное обновление системы, выступили с инициативой использования единого имени Fedora Atomic Desktop для сборок, начинка которых не разделяется на отдельные пакеты и обновляется атомарно. Для наименования атомарных редакций предлагается использовать имя «Fedora название_рабочего_стола Atomic», например, в случае появления атомарной сборки с Xfce, она будет распространяться как Fedora Xfce Atomic. В настоящее время атомарные редакции Fedora представлены на сайте, как неизменяемые («immutable»), что сбивает пользователей с толку. Кроме того, подобные сборки распространяются под произвольными именами, не привязанными к архитектурным особенностям, что создаёт у пользователей сложности при выборе той или ной редакции Fedora. … Читать далее Инициатива Fedora Atomic Desktop

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.0.12, в котором отмечено 24 исправления. Одновременно сформировано обновление прошлой ветки VirtualBox 6.1.48 с 9 изменениями, в числе которых поддержка ядер Linux 6.5 и 6.6-rc, поддержка пакета с ядром из OpenSUSE 15.5, улучшение поддержки ядра Linux 6.4 и исправления для пакетов с ядром из RHEL 8.9 и 9.3. Основные изменения в VirtualBox 7.0.12: В дополнениях для гостевых систем на базе Linux добавлена поддержка ядра Linux 6.5, находящейся в разработке ветки ядра 6.6 и пакета с ядром из дистрибутива OpenSUSE 15.5. Внесены исправления, направленные на улучшение работы в системах с ядром Linux 6.4 … Читать далее Выпуск VirtualBox 7.0.12

Компания Sonatype, специализирующаяся на защите от атак, манипулирующих подменой программных компонентов и зависимостей (supply chain), опубликовала результаты исследования (PDF, 62 стр.) проблем с зависимостями и сопровождением открытых проектов на языках Java, JavaScript, Python и .NET, представленных в репозиториях Maven Central, NPM, PyPl и Nuget. За год отмечено увеличение числа проектов в отслеживаемых открытых экосистемах в среднем на 29%. Число загрузок пакетов из рассматриваемых репозиториев в 2023 году выросло на 33%, но для сравнения в 2021 году число загрузок увеличилось на 73%. Существенно выросла вредоносная активность в репозиториях — с начала года выявлено 245 тысяч вредоносных пакетов и в два раза … Читать далее Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей

Представлен выпуск свободной UNIX-подобной операционной системы OpenBSD 7.4. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается 13 аппаратных платформ), стандартизация, корректная работа, проактивная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 7.4 составляет 630 МБ. Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в … Читать далее Выпуск OpenBSD 7.4

Представлен выпуск проекта OpenSilver 2.0, продолжающего развитие платформы Silverlight и позволяющего создавать интерактивные web-приложения при помощи технологий C#, XAML и .NET. Скомпилированные при помощи OpenSilver приложения Silverlight могут работать в любых настольных и мобильных браузерах с поддержкой WebAssembly, но компиляция пока возможна только в Windows с использованием среды Visual Studio. Код проекта написан на языке C# и распространяется под лицензией MIT. В 2021 компания Microsoft прекратила разработку и сопровождение платформы Silverlight в пользу применения стандартных Web-технологий. Изначально проект OpenSilver был нацелен на предоставление инструментария для продления жизни существующих Silverlight-приложений в условиях отказа от сопровождения платформы компанией Microsoft и прекращения поддержки … Читать далее Выпуск платформы OpenSilver 2.0, продолжающей развитие технологии Silverlight