Президент организации Linux Australia (linux.org.au), курирующей Linux-сообщество в Австралии и занимающейся проведением конференций linux.conf.au и PyCon Australia, сообщил о выявлении следов злоумышленников в инфраструктуре проекта. Атакующим удалось получить доступ к серверу управления конференциями и базе данных, содержащей персональные данные пользователей и хэши их паролей. Взлом был совершён 22 марта и зафиксирован 24 марта после попыток разобраться в аномальном большом потоке уведомлений об ошибках со стороны системы управления конференциями Zookeepеr. Сообщается, что для проникновения на сервер была использована неизвестная уязвимость, которая привела к удалённому переполнению буфера и получению root-привилегий. После взлома злоумышленниками на сервер было установлено ПО для удалённого управления сервером … Читать далее Инфраструктура австралийского Linux-сообщества подверглась взлому

Доступен релиз функционального языка программирования Erlang 17.5, ориентированного для разработки распределённых отказоустойчивых приложений, обеспечивающих параллельную обработку запросов в режиме реального времени. Язык получил распространение в таких областях, как телекоммуникации, банковские системы, электронная коммерция, компьютерная телефония и организация мгновенного обмена сообщениями. Одновременно выпущен релиз OTP 17.5 (Open Telecom Platform) — сопутствующего набора библиотек и компонентов для разработки распределённых систем на языке Erlang. Код проекта распространяется под модифицированной свободной лицензией MPL. Новая версия отличается от предыдущей, в основном, исправлением ошибок и незначительными изменениями в функциональности. Читать далее Выпуск Erlang/OTP 17.5

Firefox 38 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. Firefox 38 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Одновременно сформирован выпуск Firefox Developer Edition 39, который заменил собой aurora-ветку, в рамках которой проводится оценка готовности тех или иных новшеств для последующего бета-выпуска. В отличие от выпусков aurora, Developer Edition адаптирован для обособленного использования, запускается с использованием отдельного профиля и отличается изменением оформления — задействована отдельная тёмная тема оформления, в панель вынесены кнопки для быстрого доступа к инструментам для … Читать далее Выход Firefox 38-beta и Firefox Developer Edition 39

Доступно корректирующее обновление web-браузера Firefox 37.0.1, в котором устранены две уязвимости. Первая уязвимость отнесена к категории критических проблем и позволяет обойти проверку SSL-сертификатов при установке защищённого HTTPS-соединения, открывая двери для MITM-атак. Атака производится через манипуляции с заголовком Alt-Svc, позволяющим задействовать для HTTP/2 режим шифрования без аутентификации, при котором поток данных шифруется без выполнения операций подтверждения достоверности сервера. До момента окончательной проверки технологии поддержка HTTP/2 Alt-Svc в Firefox отключена. Вторая уязвимость позволяет в режиме читателя (Reader Mode) осуществить обращения к привилегированным браузерным ресурсам. Проблема проявляется в Firefox для Android и в экспериментальных сборках для разработчиков. В новой версии также устранены проблемы, … Читать далее Обновление Firefox 37.0.1 с устранением критической уязвимости

После полутора лет разработки представлен выпуск библиотеки libvpx 1.4.0, в рамках которой развиваются эталонные реализации свободных видеокодеков VP8 и VP9. Код libvpx распространяется под лицензией BSD. Компания Google делегировала неограниченному кругу лиц возможность безвозмездного использования всех патентов, касающихся заложенных в VP8 и VP9 технологий, и отказалась от сбора каких либо отчислений (royalty-free). По результатам внутреннего тестирования кодек VP9 кодирует видео значительно эффективнее (при аналогичном уровне сжатия удаётся упаковать видео с более высоким качеством картинки), чем VP8 или лучшие реализации H.264 high profile, и даже немного обгоняет H.265 (HEVC). Особенностью VP9 также является адаптация декодера для работы на маломощных встраиваемых устройствах … Читать далее Google выпустил библиотеку libvpx 1.4.0 с улучшенной реализацией кодека VP9

Представлена бета-версия следующего значительного выпуска почтового клиента Thunderbird 38, развиваемого силами сообщества и основанного на технологиях Mozilla. Новый выпуск будет отнесён к категории версий с длительным сроком поддержки, обновления для которого будут выпускаться в течение года. Основные новшества: Поддержка установки фильтров, срабатывающих при отправке и архивировании сообщений; Доведение до финального вида и задействование для новых учётных записей хранилища maildir, при котором каждое сообщение хранится в отдельном файле; Возможность работы с почтовыми ящиками (mbox), размером более 4 Гб. Поддержка поиска контактов в нескольких адресных книгах; Поддержка интернационализованных доменных имён (например, тест.рф) в RSS-лентах; В список папок возвращена возможность отображения расширенных столбцов, … Читать далее Началось бета-тестирование почтового клиента Thunderbird 38

Подготовка первого стабильного выпуска языка программирования Rust, развиваемого проектом Mozilla, выходит на финишную прямую — бета-выпуск Rust 1.0 ознаменовал полную стабилизацию программных интерфейсов всех библиотек и языковых конструкций. Обращение ко всем компонентам API, которые признаны нестабильными, в бета выпуске и релизе будет приводить к выводу ошибки, для использования экспериментальных возможностей отныне следует использовать ночные сборки или явно разрешить данные возможности на этапе сборки. Релиз запланирован на 15 мая. Основной причиной подготовки Rust 1.0 является желание стабилизировать язык и сделать его пригодным для использования в реальных проектах. В процессе подготовки ветки Rust 1.0 программные интерфейсы и возможности языка подверглись значительной ревизии, … Читать далее Бета-выпуск языка программирования Rust 1.0

Марк Руссинович, главный технический директор облачного подразделения Azure, заявил во время проведения круглого стола по технологиям в Кремниевой долине, что компания Microsoft сделала то, что долгое время было невозможным — превратилась в защитника и апологета открытого программного обеспечения. Он сказал, что данная тема больше не является запретной для обсуждения внутри компании. Однако он выразил сомнения, что весь исходный код Windows будет открыт — скорее всего, это коснётся только определённого круга компонентов. Марк Руссинович подчеркнул, что компания только начинает делать первые шаги в этом направлении и сравнил этот процесс с крещением в новую идеологию. «Как я говорил ранее, это новая Microsoft», … Читать далее Microsoft не исключает открытие части исходного кода Windows

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила релиз HTTPS Everywhere 5.0 — дополнения к Firefox и Chrome, позволяющего на всех сайтах, где это возможно, использовать шифрование трафика. Дополнение призвано решить проблему с сайтами, по умолчанию предоставляющими доступ без шифрования, но, тем не менее, поддерживающими HTTPS, а также ресурсами, использующими ссылки из безопасной области на незашифрованные страницы. Для таких сайтов HTTPS Everywhere обеспечивает автоматическое перенаправление запросов на HTTPS-области сайтов. Среди добавленных улучшений можно отметить значительное расширение базы правил перенаправления (добавлено несколько тысяч новых правил), поддержку многопроцессных сборок Firefox (electrolysis), добавление перевода на украинский язык, реализацию автоматизированной системы тестирования правил, появление … Читать далее Организация EFF представила HTTPS Everywhere 5.0

Под видом первоапрельской шутки разработчики Magic Lantern, расширяющего функциональность дополнения для фотоаппаратов Canon, объявили об обеспечении загрузки Linux на цифровых зеркальных фотоаппаратах Canon EOS. Но шутка состояла в том, что это не шутка и пользователям действительно была предоставлена возможность загрузки Linux. В качестве мотива портирования Linux для камеры названо желание более глубоко разобраться с работой аппаратной начинки, добиться полного низкоуровневого доступа к сенсорам и привлечь новых участников в сообщество. Для установки подготовлен специальный загрузчик и минимальный системный образ, который пока включает ядро Linux 3.19, систему инициализации и простейшее консольное приложение, выводящее отладочную информацию. Система запускается с SD-карты, без замены штатной … Читать далее Энтузиасты загрузили Linux на цифровых зеркальных фотоаппаратах Canon

Доступен очередной экспериментальный выпуск открытой реализации Win32 API — Wine 1.7.40. С момента выпуска версии 1.7.39 было закрыто 29 отчётов об ошибках. Наиболее важные изменения: Поддержка Kernel Job Objects (API *JobObject), позволяющих сгруппировать процессы и обеспечить их выполнение в изолированном sandbox-окружении; Налажена работа элемента управления ListView; Улучшена поддержка использования данных OOB (out-of-band) в Windows Sockets; Поддержка DIB-изображений в кэше данных OLE; Улучшена поддержка патчей MSI; Решены проблемы с определением прав доступа к файлу через ACL; Закрыты отчёты об ошибках, связанные с работой игр и приложений: InqScribe, CDBurnerXP 3.0.x, World Series of Poker, SEGA Genesis, Microsoft Visio 2007-2010, Air Video Server … Читать далее Выпуск Wine 1.7.40

Проект Open Crypto Audit Project (OCAP), объявил о завершении второй стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt. Несмотря на то, что проект Truecrypt был закрыт разработчиками (ему на смену пришел форк CipherShed), его независимый аудит был доведён до конца, чтобы развеять сомнения в наличии бэкдоров, позволяющих спецслужбам получить доступ к зашифрованным данным. Первая стадия аудита, выполненная в апреле прошлого года и не выявившая существенных проблем, была посвящена изучению исходных текстов проекта. На второй стадии выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Судя по опубликованному отчёту, на второй стадии также не было выявлено критических проблем … Читать далее Аудит алгоритмов TrueCrypt не выявил значительных проблем

Роберт Грэм (Robert Graham) из команды Errata Security, получивший известность как разработчик сверхпроизводительного DNS-сервера robdns и системы masscan, способной за пять минут просканировать порты всех хостов в Сети, опубликовал результаты исследования источника подстановки вредоносных JavaScript-блоков, применяемых для DDoS-атаки на GitHub. Исследование подтвердило, что модификация трафика производится на оборудовании «Великого китайского файрвола» или в непосредственной близости от него, в частности в инфраструктуре магистральной опорной сети крупнейшего китайского провайдера China Unicom. Пока непонятно санкционирована ли атака китайскими властями или она стала возможной в результате взлома инфраструктуры сети China Unicom третьими лицами. Для определения точки подстановки трафика был использован довольно интересный метод, основанный … Читать далее Анализ TTL помог выявить источник DDoS-атаки на GitHub

Компания Google развернула борьбу с сомнительными браузерными дополнениями, выполняющими подстановку своей рекламы в просматриваемые пользователем страницы. Ситуация с такими дополнениями оказалась гораздо серьёзнее, чем казалось на первый взгляд. Проведённое исследование показало, что подстановщики рекламы установлены примерно у 5% пользователей, посещающих сайты Google. При этом у половины из данных пользователей установлено два подстановщика рекламы, а у трети пользователей — четыре подстановщика. Основным источником данных дополнений является установка программ с непроверенных сайтов, на которых в комплекте с целевым приложением прикрепляется несколько рекламных дополнений. Например, набрав «download firefox», в верхней части выдачи Google можно найти несколько подобных сайтов-каталогов для загрузки программ. Подобные дополнения, … Читать далее Каждый двадцатый браузер посетителя сайтов Google поражён подстановщиками рекламы

В СУБД Apache Cassandra выявлена уязвимость (CVE-2015-0225), допускающая выполнение произвольного кода на сервере. Атака может быть осуществлена удалённо без выполнения аутентификации. Проблема обусловлена тем, что интерфейс JMX/RMI, предназначенный для передачи и удалённого выполнения сериализованного Java-кода, привязывается ко всем сетевым интерфейсам без какой-либо аутентификации. Пользователям веток 2.0.x и 2.1.x рекомендуется обновить свои системы до версий 2.0.14 и 2.1.4, пользователям ветки 1.2.x рекомендовано перейти на поддерживаемую ветку. При невозможности обновления пользователям рекомендовано вручную настроить шифрование и аутентификацию для JMX/RMI в соответствии с рекомендациями. Читать далее Опасная уязвимость в Apache Cassandra

Организация The Document Foundation объявила о выходе LibreOffice 4.4.2, второго корректирующего выпуска из семейства LibreOffice 4.4 «fresh». Обновление включает более 50 исправлений. Версия 4.4.2 отмечена как стабильная и пригодная для всех категорий пользователей. Читать далее Обновление LibreOffice 4.4.2

После семи месяцев разработки вышла стабильная версия популярного фреймворка Django 1.8, написанного на языке Python и предназначенного для разработки веб-приложений. Django 1.8 отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которых выпускаются как минимум в течение трёх лет. Поддержка Django 1.7 и Django 1.4 LTS продлится до октября 2015 года, выпуск обновлений для ветки Django 1.6 прекращён. В новой версии: Обеспечена встроенная поддержка подключения различных шаблонизаторов. Из коробки доступен базовый язык шаблонов Django и шаблонизатор Jinja2. В одном проекте можно использовать одновременно несколько разных шаблонизаторов; Предоставлены средства для выполнения сложных SQL запросов через ORM; Формализован API для Model._meta; … Читать далее Релиз web-фреймворка Django 1.8

Проект Open Crypto Audit Project (OCAP), объявил о завершении второй стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt. Несмотря на то, что проект Truecrypt был закрыт разработчиками (ему на смену пришел форк CipherShed), его независимый аудит был доведён до конца, чтобы развеять сомнения в отсутствии бэкдоров, позволяющих спецслужбам получить доступ к зашифрованным данным. Первая стадия аудита, выполненная в апреле прошлого года и не выявившая существенных проблем, была посвящена изучению исходных текстов проекта. На второй стадии выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Судя по опубликованному отчёту, на второй стадии также не было выявлено критических проблем … Читать далее Криптоанализ TrueCrypt не выявил значительных проблем

Компания Oracle начала тестирование новой значительной ветки системы виртуализации VirtualBox 5.0, ключевым улучшением в которой является реализация работы в режиме паравиртуализации, подразумевающем использование гостевой системы, модифицированной для более тесного взаимодействия с гипервизором и использующей специальные драйверы вместо эмуляции оборудования. Работа в режиме паравиртуализации даёт возможность существенно поднять производительность гостевой системы. Другие улучшения: Новая модульная архитектура звуковой подсистемы, обеспечивающая более высокий уровень абстракции относительно звуковых бэкендов хост-системы; Предоставление гостевым системам, выполняемым с привлечением механизмов аппаратной виртуализации, возможности использования расширенных наборов инструкций, таких как SSE 4.1, SSE4.2, AES-NI, POPCNT, RDRAND и RDSEED; В виртуальном контроллере xHCI добавлена поддержка устройств с интерфейсом USB … Читать далее Бета-выпуск VirtualBox 5.0 с поддержкой паравиртуализации

В порты FreeBSD добавлены компоненты гипервизора Xen, позволяющие использовать FreeBSD в качестве хост-системы (dom0) для запуска гостевых окружений. Для работы требуется процессор Intel с поддержкой EPT и IOMMU, а также сборка FreeBSD 11-Current с ревизией новее 1100055. В состав порта входит ядро Xen, прошивка seabios и инструментарий xl, позволяющий управлять работой гостевых систем. Информацию о настройке можно найти в специально подготовленной инструкции. Из недоработок можно отметить отсутствие возможности проброса PCI-устройств и заморозки/миграции гостевых систем. Работа Xen осуществляется в режиме PVH, который комбинирует элементы режимов паравиртуализации (PV) и полной виртуализации (HVM). С одной стороны в данном режиме применяется полная виртуализация на … Читать далее Во FreeBSD Current реализована работа Xen dom0

Компания Google приняла решение исключить из списка заслуживающих доверия корневых сертификатов удостоверяющий центр CNNIC, который был уличен в передаче промежуточного корневого сертификата сторонней компании для организации перехвата HTTPS-трафика сотрудников. По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов, приводящих к ненадлежащему использованию сертификатов. Для сглаживания данного решения, на ограниченное время сертификаты клиентов CNNIC будут помещены в белый список и продолжат помечаться заслуживающими доверия в Chrome. Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов. В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих … Читать далее В Chrome будет прекращено доверие к сертификатам удостоверяющего центра CNNIC