The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.02.2018 Facebook сменил лицензию на React Native и Yoga (12)
  Следом за React, Jest, Flow, Immutable.js и GraphQL компания Facebook выполнила перелицензирование кодовых баз проектов React Native и Yoga, которые переведены с лицензии BSD с дополнительным соглашением об использовании патентов ("BSD+Patent") на лицензию MIT. Изменение лицензии позволит добиться совместимости кода React Native и Yoga с проектами фонда Apache.

Напомним, что в июле 2017 года Фонд Apache добавил "BSD+Patent" в список несовместимых лицензий, код под которыми не разрешается использовать в проектах Apache. Проектам Apache было предписано избавиться от зависимостей под лицензией "BSD+Patent". Вначале Facebook отказался сменить лицензию, указав, что патентное дополнение, в котором фонд Apache усмотрел несбалансированное перекладывание рисков на потребителей продуктов, является ценой текущей политики открытости и дополнительным рубежом защиты от возможных патентных исков. Но в сентябре Facebook уступил пожеланиям фонда Apache и перевёл ряд своих проектов на лицензию MIT, не желая создавать препятствия для развития экосистемы открытого ПО для Web, завязанного на применении фреймворка React.

  1. Главная ссылка к новости
  2. OpenNews: Facebook представил фреймворк React Native и среду разработки Nuclide
  3. OpenNews: Facebook объявил о перелицензировании React, Jest, Flow и Immutable.js
  4. OpenNews: Facebook сменил лицензию на GraphQL и выпустил React 16
  5. OpenNews: Red Hat, Facebook, Google и IBM изменили условия расторжения лицензии для GPLv2-кода
Обсуждение (12) | Тип: К сведению |
17.02.2018 В RubyGems устранено 7 уязвимостей (1 +2)
  В Rubygems, системе управления пакетами для приложений на языке Ruby, устранено семь уязвимостей. Проблемы исправлены в выпуске RubyGems 2.7.6 . Всем пользователям рекомендуется обновить RubyGems (gem update --system) или установить патчи. Среди выявленных проблем: возможность выхода за корневой каталог с содержимым пакета, небезопасная десериализация объектов, некорректная интепретация полей в заголовках, возможность размещения дубликатов файлов в пакете, подстановка некорректных URL и проведение XSS-атаки через атрибут homepage.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск языка программирования Ruby 2.5.0
  3. OpenNews: В RubyGems выявлена удалённо эксплуатируемая уязвимость
  4. OpenNews: Несколько уязвимостей в RubyGems
  5. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  6. OpenNews: Rubygems.org подвергся взлому
Обсуждение (1 +2) | Тип: Проблемы безопасности |
17.02.2018 Проект Wine Staging прекращает подготовку релизов (13 +2)
  Себастьян Лакнер (Sebastian Lackner) и Майкл Мюллер (Michael Müller) сообщили, что они больше не имеют возможности выпускать новые версии проекта Wine Staging, в рамках которого формировались расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, перед их интеграцией в основное дерево исходных текстов Wine.

Себастьян и Майкл, занимавшие пост мэйнтейнеров Wine Staging, пояснили, что работают над проектом исключительно в своё свободное время, которого последнее время сильно не хватает в связи с окончанием обучения и трудоустройством в режиме полного рабочего дня. Для тех кому необходима дополнительная функциональность, такая как поддержка Windows ACL, CUDA/PhysX/NVENC для видеокарт NVIDIA, EAX 1, API Vulkan, тем оформления GTK3+ и декодирования DXVA2 на стороне GPU, могут продолжить использование выпуска 2.21 или срезов кодовой базы из репозиториев.

Формирование сборок для экспериментальной и стабильных веток будет продолжено, но отдельных выпусков больше не будет, как не будет и рецензирования новых патчей, переноса патчей на новые ветки Wine и тестирования приложений для Wine Staging. Для отправки новых патчей рекомендуется использовать список рассылки проекта WineHQ. Интерес также может представлять форк wine-staging, созданный другими разработчиками Wine для самостоятельного поддержания на плаву ветки Wine Staging.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск проекта Wine Staging 2.0, дополняющего Wine 2.0
  3. OpenNews: Выпуск Wine Staging 1.8, экспериментального варианта Wine
  4. OpenNews: Wine переходит на фиксированный цикл подготовки стабильных релизов и интегрируется с Wine-staging
  5. OpenNews: Стабильный релиз Wine 3.0
Обсуждение (13 +2) | Тип: К сведению |
17.02.2018 Представлены новые виды атак MeltdownPrime и SpectrePrime (78 +30)
  Группа исследователей из Принстонского университета и компании NVIDIA опубликовали новые варианты атак Meltdown и Spectre, получившие названия MeltdownPrime и SpectrePrime, которые отличаются иным способом воссоздания информации из процессорного кэша. Ключевым отличием новых методов является задействование двух ядер CPU для проведения атаки с применением в качестве канала утечки данных особенностей работы протокола согласования содержимого кэша для разных ядер CPU (Invalidation-Based Coherence Protocol).

Для организации атаки по сторонним каналам в классических Meltdown и Spectre применяется восстановление содержимого кэша на основе техники FLUSH+RELOAD, в то время как в новых вариантах применён метод "Prime and Probe". Суть метода в том, что перед выполнением операции с кэшем, содержимое которого требуется восстановить, атакующие заполняют кэш эталонным набором значений на отдельном ядре CPU. В ходе спекулятивного выполнения доступа к памяти, связанные с ним значения могут быть аннулированы во всех когерентных кэшах, даже если спекулятивный запрос был отменён. После попытки доступа к сторонней памяти, выполненной и отклонённой в ходе спекулятивного выполнения, осуществляется перебор ранее прокэшированных эталонных значений и измерение времени доступа к ним, что позволяет судить о том были они аннулированы или нет.

Утверждается, что MeltdownPrime и SpectrePrime позволяют добиться большей точности воссоздания информации. Для демонстрации метода опубликован прототип эксплоита SpectrePrime, который при 100 тестовых запусках продемонстрировал точность работы 99.95%, в то время как точность классического эксплоита для уязвимости Spectre составляет 97.9%.

Новый прототип эксплоита отличается проведением атаки в два параллельных потока: первый поток "primeProbe" осуществляет эталонное заполнение кэша CPU, после чего ожидает завершения выполнения функциональности, контролируемой вторым потоком "primeTest", который инициирует штатные для атаки Spectre операции спекулятивного чтения вне границ дозволенных блоков памяти. Затем "primeProbe" выполняет измерение времени доступа к набору данных и определяет, какие байты вероятно были прочитаны на этапе выполнения кода жертвы. В ходе многократных запусков операции накапливается статистика, позволяющая судить о характере данных процесса-жертвы.

Авторы MeltdownPrime и SpectrePrime считают, что текущие программные методы защиты от Meltdown и Spectre будут эффективны и для новых вариантов атак, поэтому выпускать дополнительные патчи не придётся - уже защищённые от Meltdown и Spectre системы будут защищены и от MeltdownPrime и SpectrePrime. Сложнее обстоит дело в области разработки методов аппаратной защиты.

Исследователи полагают, что блокирование новых атак на уровне оборудования потребует принципиально иного подхода и развиваемые ныне новые модели CPU с защитой от классических Meltdown и Spectre могут оказаться незащищёнными от новых вариантов атак. Представители компании Intel опровергли данные предположения и заявили, что, изучив сведения о MeltdownPrime и SpectrePrime, инженеры компании пришли к выводу, что подготовленные ныне аппаратные методы защиты от Meltdown и Spectre будут эффективны и для новых вариантов атак.

Также можно отметить, что против компании Intel было подано 32 судебных иска, связанных с Meltdown и Spectre. В 30 исках потребители пытаются возместить ущерб, например, из-за существенной потери производительности после применения методов защиты. В двух других исках компания Intel была обвинена в ложных публичных заявлениях, которые публиковались в течение 6 месяцев до публичного обнародования информации об уязвимостях, но после уведомления о проблемах по закрытым каналам. В процессе рассмотрения также находятся три иска от акционеров, в которых совет директоров и сотрудники Intel обвиняются в злоупотреблении инсайдерской информацией о проблемах с безопасностью, которые могли повлиять на стоимость акций (в ноябре директор Intel продал все свои акции, которые смог выставить на продажу).

  1. Главная ссылка к новости
  2. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  3. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
  4. OpenNews: Линус Торвальдс жестко раскритиковал связанные с микрокодом патчи Intel
  5. OpenNews: Компания Intel подготовила новый вариант микрокода для противостояния уязвимости Spectre
  6. OpenNews: Red Hat отменил обновление микрокода с устранением уязвимости Spectre
Обсуждение (78 +30) | Тип: Проблемы безопасности |
16.02.2018 Выпуск Wine 3.2 (37 +17)
  Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.2. С момента выпуска версии 3.1 было закрыто 34 отчётов об ошибках и внесено 340 изменений.

Наиболее важные изменения:

  • Отдельная реализация пользовательских управляющих элементов интерфейса для ComCtl32 v6 (Common Control library). В том числе добавлены классы ComboBox, ListBox, Button и Static;
  • Поддержка мультисэмплинга текстур (Multisample texture) в реализации Direct3D;
  • Поддержка геймпадов в HID-драйвере;
  • Поддержка дополнительных событий в MSHTML;
  • Удалён устаревший код DOS;
  • Закрыты отчёты об ошибках, связанные с работой игр и приложений: Tages Protection v5.x, notepad++, Visual C++ 2010 Express, Mindjet MindManager 14.x/15.x, MS Office Pro Plus 2010, B4A (Basic 4 Android), Civilization V, ShareHolder Finder 0.9.3.0, Microsoft SQL Server 2008 Express Edition.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 3.1
  3. OpenNews: Доступен WineD3D для Windows, предоставляющий поддержку DirectX 11 через OpenGL
  4. OpenNews: Стабильный релиз Wine 3.0
Обсуждение (37 +17) | Тип: Программы |
16.02.2018 Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей (20 +10)
  Компания Intel представила новую инициативу по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия - $500). Для атак на оборудование по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов.

Размер выплаты сильно зависит от уровня опасности уязвимости (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 - 10.0) в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых проектов) максимальная премия составляет $10000, в прошивках (UEFI BIOS, Intel ME, BMC, прошивки SSD-накопителей) - $30000, в оборудовании (CPU, сетевые карты, материнские платы, SSD, FPGA и т.п.) - $100000, в оборудовании при атаке через ПО по сторонним каналам - $250000.

Для опасных уязвимостей (CVSS 7.0 - 8.9) размер выплат может доходить до $5000, $15000, $30000 и $100000 соответственно. Для уязвимостей средней опасности (CVSS 4.0 - 6.9) выплаты могут доходить до $1500, $3000, $5000 и $20000, а для неопасных проблем (CVSS 0.1 - 3.9) до $500, $1000, $2000 и $5000. Например, для Meltdown и Spectre уровень опасности был определён в 5.6, что соответствует выплате в 20 тысяч долларов.

  1. Главная ссылка к новости
  2. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  3. OpenNews: Компания Google увеличила размер вознаграждения за усиление безопасности свободного ПО
  4. OpenNews: Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)
  5. OpenNews: Серия критических уязвимостей в Intel Management Engine
  6. OpenNews: Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla
Обсуждение (20 +10) | Тип: К сведению |
16.02.2018 Релиз языка программирования Rust 1.24 (161 +20)
  Состоялся релиз языка программирования Rust 1.24, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime.

По структуре язык Rust напоминает C++, но существенно отличается в некоторых деталях реализации синтаксиса и семантики. Автоматическое управление памятью избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для размещения библиотек поддерживается репозиторий crates.io.

В подготовке нового выпуска приняли участие 152 разработчика. Основные новшества:

  • Реализована утилита rustfmt для автоматического формирования исходных текстов в соответствии с рекомендациями по оформлению кода на языке Rust. Для установки утилиты следует использовать команду "rustup component add rustfmt-preview";
  • Включена по умолчанию инкрементальная компиляция, позволяющая пересобирать только изменившиеся части кода. Данный режим позволяет значительно сократить время сборки проекта при повторной компиляции после внесения мелких правок. Кроме того, в новом выпуске параметр codegen-units по умолчанию увеличен до 16, что позволило существенно ускорить процесс сборки за счёт распараллеливания операций, ценой незначительного снижения производительности результирующего исполняемого файла (для обеспечения максимальной производительности можно указать codegen-units=1);
  • Устранено неопределённое поведение обработчиков краха в контексте функций FFI (Foreign Function Interface), работа которых могла отличаться в зависимости от ABI. Например, до сих пор оставался непредсказуемым код на базе "C" ABI:
    
       extern "C" fn panic_in_ffi() {
           panic!("Test");
       }
    
    В Rust 1.24 такой код теперь всегда приводит к прерыванию выполнения, вместо неопределённого поведения;
  • До 10 раз ускорено выполнение операции поиска символов внутри строки при помощи функции str::find, которая переписана с использованием memchr. На memchr также переведена реализация [u8]::contains, но ускорение её работы не столь внушительно (ускорение примерно в 3 раза). С использованием ассемблерных инструкций проведена оптимизация f32::min и f32::max;
  • В разряд стабильных переведена новая порция API, в том числе RefCell::replace, RefCell::swap и std::sync::atomic::spin_loop_hint;
  • Обеспечена возможность использования внутри неизменных выражений (constant, static) функций Cell, RefCell, UnsafeCell, {integer}::min_value, max_value, mem’s size_of, align_of, ptr::null, null_mut, а также функции работы с различными целыми типами Atomic (AtomicBool::new, AtomicPtr::new, AtomicIsize::new и т.п.). Например, теперь можно указать "static COUNTER: AtomicUsize = AtomicUsize::new(1);"
  • Добавлена поддержка новых целевых платформ armv4t-unknown-linux-gnueabi и aarch64-unknown-openbsd.

  1. Главная ссылка к новости
  2. OpenNews: Релиз языка программирования Rust 1.23
  3. OpenNews: Facebook работает над реализацией сервера Mercurial на языке Rust
  4. OpenNews: Эксперимент по разработке частей ядра Linux на языке Rust
  5. OpenNews: Третий выпуск операционной системы Redox OS, написанной на языке Rust
  6. OpenNews: В Firefox добавлен CSS-движок Stylo, написанный на языке Rust
Обсуждение (161 +20) | Тип: Программы |
16.02.2018 Релиз nEMU 1.4.0, консольного интерфейса для управления QEMU (23 +7)
  Состоялся релиз nEMU 1.4.0, консольного интерфейса к QEMU на базе библиотеки ncurses, упрощающего создание, настройку и управление виртуальными машинами. Код написан на языке C и распространяется под лицензией BSD-2. Пакеты подготовлены для Debian и Ubuntu, для Gentoo Linux доступен portage (app-emulation/nemu).

Изменения:

  • Импорт OVA/OVF;
  • Полноценные снапшоты (необходима версия qemu-2.11.0 с патчем, который можно найти в составе исходных текстов nEMU (patches/qemu-qmp-savevm-2.11.0.patch);
  • Новое меню действий над гостевой системой;
  • Возможность поставить гостевую систему на паузу;
  • Тильда в путях теперь раскрывается в $HOME;
  • Добавлен поиск гостевой системы в списке;
  • Полностью переделана работа с USB-устройствами;
  • Исправлена возможность пересечения имён TAP интерфейсов.

  1. Главная ссылка к новости
  2. OpenNews: Релиз эмулятора QEMU 2.11.0
  3. OpenNews: Выпуск эмулятора QEMU 2.10.0
  4. OpenNews: Основатель QEMU и FFmpeg развивает систему синхронизации файлов VFsync
  5. OpenNews: Продолжение разработки AQEMU, графической оболочки для QEMU и KVM
  6. OpenNews: QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA
Обсуждение (23 +7) | Автор: 0x501D | Тип: Программы |
16.02.2018 Обновление Quagga 1.2.3 с устранением уязвимостей в реализации BGP (8 +8)
  Опубликован релиз пакета Quagga 1.2.3, предоставляющего реализации протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 для Unix-подобных систем. В новой версии устранено 4 уязвимости в bgpd, в том числе проблема (CVE-2018-5379) с двойным освобождением области памяти (double-free) при обработке сообщений UPDATE, в том числе отправленных не напрямую и доставленных через легитимного пира. Не исключается, что уязвимость может быть эксплуатирована для удалённого выполнения кода атакующего при использовании определённых реализаций malloc. Остальные проблемы могут быть использованы для инициирования краха (CVE-2018-5378, CVE-2018-5380) или зацикливания (CVE-2018-5381).

  1. Главная ссылка к новости
  2. OpenNews: Релиз Quagga 1.1.0, пакета с реализацией протоколов маршрутизации
  3. OpenNews: В рамках проекта GoBGP развивается реализация протокола BGP на языке Go
  4. OpenNews: BGPsec получил статус предложенного стандарта
  5. OpenNews: Операционная система OpenSwitch перешла под крыло Linux Foundation
  6. OpenNews: Стек протоколов маршрутизации FRRouting и проект DPDK перешли под крыло Linux Foundation
Обсуждение (8 +8) | Тип: Проблемы безопасности |
16.02.2018 За две недели загружено около миллиона копий LibreOffice 6.0 (152 +26)
  Организация The Document Foundation опубликовала статистику загрузок за две недели после релиза LibreOffice 6.0. Сообщается, что LibreOffice 6.0.0 и вышедший спустя неделю корректирующий выпуск LibreOffice 6.0.1 с устранением опасной уязвимости были загружены почти миллион раз. При этом не уточняется учтено ли то, что существенная часть пользователей загрузила как версию 6.0.0, так и 6.0.1 (т.е. не показано сколько из миллиона приходится на дублирующиеся загрузки).

Примечательно, что практически не развивающийся последние годы проект Apache OpenOffice для опубликованного в конце декабря выпуска 4.1.5, включающего всего несколько исправлений, за месяц набрал 3.2 млн загрузок (за первые две недели 1.57 млн загрузок).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск LibreOffice 6.0.1 с устранением уязвимости
  3. OpenNews: Apache OpenOffice 4.1.5 за месяц достиг 3.2 миллиона загрузок
  4. OpenNews: Выпуск офисного пакета LibreOffice 6.0
  5. OpenNews: Выпуск офисного пакета Apache OpenOffice 4.1.5
  6. OpenNews: Отчёт об оборудовании пользователей Firefox
Обсуждение (152 +26) | Тип: К сведению |
16.02.2018 Выпуск интегрированного набора интернет-приложений SeaMonkey 2.49.2 (16 +13)
  Доступно второе обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.2 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого.

Новый выпуск синхронизирован с кодовой базой Firefox 52.6 и включает все доступные в ней исправления. В Composer решены проблемы с невозможностью редактировать и добавлять свойства изображений. Устранены проблемы с исчезновением кнопок в области прокрутки, а также пропаданием меню и выпадающих блоков при использовании некоторых тем оформления в Linux (проблемы всплыли после перехода на GTK3+ в прошлом выпуске). По умолчанию отключен WebRTC (для выборочного включения WebRTC в привязке к сайтам теперь требуется специальное дополнение). Из соображений безопасности ограничен доступ к свойству "@-moz-document" (может применяться для передачи конфиденциальных данных из URL (session id, oauth token) при помощи только CSS, без JavaScript), для включения предусмотрена настройка "layout.css.moz-document.content.enabled".

  1. Главная ссылка к новости
  2. OpenNews: Выпуск интегрированного набора интернет-приложений SeaMonkey 2.49
  3. OpenNews: Выпуск интегрированного набора интернет-приложений SeaMonkey 2.48
  4. OpenNews: Существование SeaMonkey в условиях прекращения поддержки XUL в Firefox
  5. OpenNews: Релиз Firefox 58
  6. OpenNews: Релиз Firefox 52
Обсуждение (16 +13) | Тип: Программы |
15.02.2018 Доступен компилятор Kotlin/Native 0.6 (28 +3)
  Представлен выпуск инструментария Kotlin/Native 0.6, предоставляющего возможность компиляции проектов на языке Kotlin в самодостаточные исполняемые файлы, для выполнения которых не требуется виртуальная машина. Kotlin/Native реализован в виде бэкенда на базе LLVM, интегрируемого со штатным компилятором Kotlin, и сопутствующих реализаций runtime и генератора кода. Kotlin/Native может применяться для сборки приложений для платформ, в которых применение виртуальной машины неоправдано или невозможно, например, для встраиваемых систем.

В новом выпуске добавлена возможность использования Kotlin/Native в многоплатформенных проектах, например, теперь можно применять один сборочный сценарий Gradle для формирования сборок в виде байткода JVM, машинного кода и JavaScript. Добавлена поддержка Kotlin 1.2.20, Java 9 и Gradle 4.5, представлена возможность сборки для микроконтроллеров STM32, обеспечена совместимость с классами Objective-C, улучшен API для передачи объектов между потоками и обработчиками, добавлена возможность экспорта первичных функций на Си, реализована возможность сборки в псевдокод WebAssembly.

Напомним, что разработчики языка Kotlin попытались сохранить максимальную совместимость и похожесть на Java, при этом избавившись от имеющихся в Java ограничений и недостатков. Язык обеспечивает неплохую переносимость с Java - из программ на Java можно вызывать компоненты, написанные на Kotlin, и, наоборот, из программ Kotlin можно вызывать Java-классы. Среди отличий Kotlin выделяется ориентация на обеспечение более высокой безопасности за счет реализации статических проверок, отсутствия raw-типов, полного сохранения информации о типах в процессе выполнения и реализации массивов в виде инварианта. Язык обеспечивает поддержку функций высшего порядка, вывода типов значений, уточняющих "примесей" (mixin) и делегирования.

  1. Главная ссылка к новости
  2. OpenNews: В Android обеспечена официальная поддержка разработки на языке Kotlin
  3. OpenNews: Релиз Kotlin 1.0, языка программирования для JVM и Android
  4. OpenNews: Открыт код реализации языка программирования Kotlin
Обсуждение (28 +3) | Тип: Программы |
15.02.2018 Выпуск дисплейного сервера Mir 0.30 (21 +13)
  Опубликован релиз дисплейного сервера Mir 0.30, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical для встраиваемых устройств и интернета вещей (IoT). Пакеты для установки в Ubuntu 16.04, 17.04, 17.10 и 18.04 размещены в PPA-репозитории проекта.

Основные изменения:

  • Первоначальное внедрение тестового набора WCTS (Wayland Conformance Test Suite);
  • Большая порция исправлений, направленных на улучшение поддержки протокола Wayland: добавлена экспериментальная поддержка xdg-shell (v6), устранена серия крахов, реализована передача состояния клавиатуры при смене фокуса, добавлена проверка допустимости соединения Wayland-клиента (SessionAuthorizer::connection_is_allowed), необходимая для работы Wayland-клиентов в Unity8;
  • Обеспечена отправка событий перемещения указателя в окно, над которым находится данный указатель;
  • Для Fedora 27 включена проверка в системе непрерывной интеграции;
  • Добавлена поддержка генератора сборочных файлов Ninja из CMake.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дисплейного сервера Mir 0.29
  3. OpenNews: Дисплейный сервер Mir добавлен в репозитории Fedora
  4. OpenNews: Разработка дисплейного сервера Mir перенесена на Git и GitHub
  5. OpenNews: Выпуск дисплейного сервера Mir 0.28 c начальной поддержкой Wayland
Обсуждение (21 +13) | Тип: Проблемы безопасности |
15.02.2018 Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage (106 +17)
  В PyBitmessage, эталонной реализации клиента для пересылки сообщений в децентрализованной p2p-сети Bitmessage, выявлена критическая уязвимость, позволяющая удалённо выполнить сторонний Python-код на стороне пользователя. Проблема устранена в выпуске 0.6.3.2, но имеются сведения об организации атаки по похищению файлов с кошельками Electrum, которая началась ещё до публичного раскрытия сведений об уязвимости. Уязвимости подвержены только ветки 0.6.2 и 0.6.3, в 0.6.1 проблема отсутствует. Всем пользователям уязвимых версий PyBitmessage рекомендуется срочно перегенерировать ключи и сменить пароли.

Проблема вызвана применением в коде функции eval(), в которой выполнялось содержимое, составленное на основе внешних данных. Злоумышленник мог отправить сообщение, приводящее к выполнению произвольного Python-кода. Уязвимость активно использовалась для копирования файлов с кошельками ("~/.electrum/wallets/") с системы пользователей. В ходе атаки также зафиксирован запуск бэкдора для организации доступа извне, позволяющего получить содержимое любых файлов в системе.

Атаке подвергся в том числе Peter Šurda, создатель Bitmessage, ключи которого были скомпрометированы. Тем не менее, судя по всему, основной целью атаки стали распространители вредоносных шифровальщиков, которые в последнее время активно используют Bitmessage для организации каналов связи с жертвами.

Децентрализованная p2p-сеть Bitmessage использует похожие на Bitcoin принципы построения распределённой шифрованной цепочки блоков, но вместо хранения информации о денежных транзакциях, ориентирована на пересылку сообщений. Сообщения в Bitmessage рассылаются широковещательно, но только получатель может расшифровать адресованное ему сообщение. Адресат не указывается, поэтому каждый участник получает все сообщения в сети и пытается расшифровать каждое сообщение и если сообщение адресовано ему, то расшифровка удаётся и в хранилище сообщений добавляется подтверждение получения. Если сообщение не было расшифровано в течение двух дней, оно удаляется из распределённого хранилища.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск bitmessage-клиента Pechkin 0.3
  3. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  4. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  5. OpenNews: Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями
  6. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
Обсуждение (106 +17) | Тип: Проблемы безопасности |
15.02.2018 В Ubuntu 18.04 ожидается отправка сведений о системе и режим минимальной установки (137 +14)
  Вил Кук (Will Cooke), менеджер по разработке десктоп-систем в компании Canonical, рассказал о намерении включить в Ubuntu 18.04 систему отправки на серверы Canonical сведений о конфигурации системы пользователя и используемых приложениях. Отправку статистики планируется включить по умолчанию, но предусмотреть опции для отключения.

По мнению разработчиков, наличие данных о конфигурации позволит оптимизировать состав дистрибутива и сосредоточить внимание на возможностях, востребованных большинством пользователей. Информация будет собрана в процессе установки и сохранена в файл, который будет отправлен по HTTPS на сервер Canonical после установки сетевого соединения при первой загрузке. Данные обещают хранить обезличенными - сведения об IP-адресе, с которого получена статистика, будут удаляться. Файл будет оставлен на локальной системе, что позволит пользователю проанализировать, какие данные были переданы.

Среди информации, которую планируется собирать: версия и редакция Ubuntu, наличие сетевого соединения, семейство CPU, размер ОЗУ и дисков, разрешение экрана, модель GPU, производитель оборудования, местоположение (выбранное пользователем при установке), время, затраченное на установку, выбор автоматического или парольного входа, выбранный вариант разметки диска, выбранные в процессе установки сторонние приложения, включение LivePatch, сведения о загрузке обновлений в процессе установки.

В систему также будет установлен пакет Popcon для передачи сведений о загрузке, установке, обновлении и удалении пакетов. Механизм формирования отчётов о крахах приложений Apport будет переработан для автоматической отправки анонимизированных отчётов без запроса подтверждения у пользователя. Опции для отключения отправки статистики планируется добавить в инсталлятор и конфигуратор GNOME Settings. Также будет предусмотрена загрузочная опция "diagnostics=false".

Кроме того, можно отметить включение в инсталлятор Ubuntu 18.04 режима минимальной установки (Minimal Install), при выборе которого после инсталляции будет оставлен только минимальный набор приложений. Так как инсталлятор Ubiquity выполняет установку через клонирование готового Live-окружения, вместо отдельной установки пакетов, то режим минимальной установки будет реализован путём удаления около 80 пакетов после завершения штатной установки. В том числе будут удалены такие приложения, как Thunderbird, Transmission, Rhythmbox, LibreOffice, Cheese и Shotwell. В итоге, в режиме Minimal Install будет предложено чистое графическое окружение для пользователей, которые предпочитают сами выбрать интересующий их набор приложений, не полагаясь на чужой вкус.

  1. Главная ссылка к новости
  2. OpenNews: Критическая уязвимость в обработчике крахов приложений, применяемом в Ubuntu
  3. OpenNews: Один из серверов проекта Debian GNU/Linux был взломан. Причина устранена
  4. OpenNews: Результаты оценки популярности пакетов из состава Debian GNU/Linux
  5. OpenNews: Сравнение пользовательской аудитории проектов Debian и Ubuntu
  6. OpenNews: Исследование эффективности моделей управления открытыми проектами
Обсуждение (137 +14) | Тип: Тема для размышления |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor