The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.08.2018 Выпуск KDE Applications 18.08 (36 +10)
  Доступен релиз набора KDE Applications 18.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить на данной странице.

Основные новшества:

  • Расширены возможности файлового менеджера Dolphin: Модернизировано оформление конфигуратора. Устранены утечки памяти, негативно влиявшие на производительность. При просмотре корзины прекращено отображение меню 'Create New'. Интерфейс лучше адаптирован для оптимальной работы при высоких разрешениях экрана. В контекстное меню добавлены опции для выбора типа сортировки и изменения режима просмотра. Проведена оптимизация алгоритма сортировки по времени изменения файлов, который теперь работает приблизительно в 12 раз быстрее. Возобновлена поддержка запуска Dolphin в режиме суперпользователя.
  • Улучшен эмулятор терминала Konsole: Виджет поиска теперь выводится в верхней части окна и не мешает работе в терминале. Расширен диапазон поддерживаемых escape-последовательностей (например, добавлены DECSCUSR и альтернативный режим прокрутки XTerm). В горячих клавишах теперь можно использовать любые символы;
  • Значительно расширены возможности просмотрщика изображений Gwenview. В панель добавлен счётчик изображений. Добавлена возможность сортировки изображений по рейтингу и в порядке убывания. При сортировке по дате теперь отдельно выводятся каталоги и архивы. Добавлена поддержка перемещения файлов и каталогов мышью при помощи интерфейса drag-and-drop для их отображения в режиме просмотра, а также для переноса во внешние приложения. Также появилась поддержка перемещения изображений во внешние приложения через буфер обмена. Переработан диалог изменения размера изображений, в том числе появилась возможность указания масштаба в процентах. Решены проблемы с работой ползунка выбора размера и метки в фильтре устранения эффекта красных глаз. Для полупрозрачных фоновых изображений и файлов SVG добавлена возможность выбора пустого фона;

    Переработан интерфейс масштабирования изображений. При активных инструментах кадрирования и устранения эффекта красных глаз добавлена возможность изменения масштаба через прокрутку мышью с кликом и через панорамирование. Среднюю кнопку мыши можно использовать для переключением между 100% масштабом и вмещением всего изображения в текущее окно. Обеспечено использование текущей позиции курсора в качестве базовой позиции для изменения масштаба с использованием мыши или горячих клавиш.

    Расширены возможности режима сравнения изображений. Улучшено применение плавных переходов между изображениями различного размера и уровня прозрачности. При сохранении изображения под новым именем прекращен проброс на показ следующего изображения. Добавлено приглашения для установки kipi-plugins при нажатии нажатии на кнопку Share. Исключено случайное закрытие боковой панели при изменении размера и обеспечено запоминание выбранной ширины;

  • В почтовом клиенте KMail расширены возможности извлечения из писем данных о поездках - добавлена поддержка штрихкодов железнодорожных билетов в форматах UIC 918.3 и SNCF, а также определения местоположения станций Добавлена поддержка интеграции KMail с приложением KDE Itinerary;
  • Ускорена работа фреймворка управления персональной информацией. Для SMTP добавлена поддержка XOAUTH, что позволяет напрямую выполнять аутентификацию в Gmail;
  • Калькулятор KAlgebra адаптирован для управления с устройств с сенсорным экраном;
  • Переработана реализация режима выбора прямоугольных областей в утилите для создания снимков экрана. Добавлено помещение в буфер обмена ссылок на скриншоты, отправленные в сервисы обмена изображениями. Добавлена поддержка автоматического сохранения скриншотовв специально заданный каталог;
  • Повышена надёжность работы программы для работы с web-камерой Kamoso, которая также переведена на новую версию GStreamer.

  1. Главная ссылка к новости
  2. OpenNews: Релиз рабочего стола KDE Plasma 5.13
  3. OpenNews: Выпуск KDE Applications 18.04
  4. OpenNews: Разработчик KWin ушёл с поста мэнтейнера из-за несогласия с новыми веяниями в KDE
  5. OpenNews: Релиз браузера Falkon 3.0.0, развиваемого проектом KDE
  6. OpenNews: Первый выпуск музыкального проигрывателя Elisa, развиваемого сообществом KDE
Обсуждение (36 +10) | Тип: Программы |
16.08.2018 Выпуск браузера Pale Moon 28.0 (66 +15)
  Состоялся релиз web-браузера Pale Moon 28.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64).

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL, дополнений Jetpack Jetpack и NPAPI-плагинов. Сохранена возможности применения как полноценных тем оформлений, так и легковесных тем.

Новая ветка примечательна переходом на использование платформы UXP (Unified XUL Platform), в рамках которой выполнено ответвление остальных компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum. В UXP полностью сохранена поддержка классических дополнений, написанных на языке XUL.

JavaScript-движок SpiderMonkey обновлён до актуальной кодовой базы, в которой реализованы все возможности стандартов ECMAScript, предлагаемые другими современными браузерами. Движок отрисовки Goanna, форк Gecko, обновлён до четвёртой версии, в которой значительно улучшена совместимость с современными технологиями CSS, в том числе добавлена поддержка CSS Grid. Обеспечена поддержка новых элементов DOM (Document Object Model) и новых API, таких как Fetch, WebAnimations, WebCrypto и HTML Input Element Extensions. Улучшена поддержка мультимедийных возможностей, таких как потоковое вещание MSE (для MP4) и возможность воспроизведения формата FLAC.

Добавлена поддержка стандарта WebGL2. Обновлены инструменты для web-разработчиков. Обновлён менеджер паролей, обеспечивающий сохранение параметров входа на сайты. Например, добавлена возможность сохранения паролей без привязки к логину и изменена форма выбора сохранённой учётной записи для полей входа.

  1. Главная ссылка к новости
  2. OpenNews: Позиция проекта Pale Moon в отношении XUL-дополнений
  3. OpenNews: Выпуск браузера Pale Moon 27.9.0
  4. OpenNews: Выпуск браузера Pale Moon 27.0
  5. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP
Обсуждение (66 +15) | Тип: Программы |
16.08.2018 Дополнение из состава 3D-фреймворка Verge3D опубликовано под свободной лицензией (20 +6)
  Разработчики фреймворка для создания трёхмерных веб-приложений Verge3D опубликовали плагин для экспорта моделей под свободной лицензией GPLv3. Данный плагин для трёхмерного пакета Blender позволяет экспортировать модели в формате glTF 2.0 и создавать трёхмерный контент для публикации в социальной сети Facebook.

Формат трёхмерных данных glTF разрабатывается консорциумом Khronos с 2015 года и призван стать единым стандартом для экспорта и обмена 3D контентом в интернете. Поддержка стандарта уже реализована во многих движках и пакетах моделирования.

  1. Главная ссылка к новости
  2. OpenNews: Раскол среди разработчиков проекта Blend4Web привёл к созданию нового WebGL-движка
Обсуждение (20 +6) | Автор: Александр | Тип: Программы |
16.08.2018 В Firefox-дополнении Web Security выявлена отправка информации о посещениях (94 +26)
  В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем.

Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде. Более того, отправка данных производилась в привязке к идентификатору пользователя и также передавался прошлый URL, с которого был произведён переход на текущую страницу. Перед передачей данные скрывались при помощи шифрования. Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

  1. Главная ссылка к новости
  2. OpenNews: В браузерном дополнении Stylish выявлен код для отправки истории посещений
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
  5. OpenNews: В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код
  6. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
Обсуждение (94 +26) | Тип: Проблемы безопасности |
16.08.2018 Уязвимость в OpenSSH, позволяющая определить наличие пользователей (44 +14)
  В OpenSSH выявлена проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователь с данным именем в системе.

Метод базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить повреждённый пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey() завершится сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе, произойдёт сбой при вызове функции sshpkt_get_u8() и сервер просто молча закроет соединение.

Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита - для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверки атакующий может проанализировать время выполнения операции и если очередная проверка выполняется дольше обычного, сделать вывод о наличии запрошенного пользователя в системе и перейти к подбору пароля для конкретного логина.

  1. Главная ссылка к новости
  2. OpenNews: DoS-уязвимость в OpenSSH
  3. OpenNews: Обновление OpenSSH 7.2p2 с устранением уязвимости в режиме X11Forwarding
  4. OpenNews: В OpenSSH устранена критическая уязвимость
  5. OpenNews: Уязвимость, позволяющая обойти защиту от BruteForce-атак в OpenSSH
  6. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
Обсуждение (44 +14) | Тип: Проблемы безопасности |
16.08.2018 Debian GNU/Linux исполнилось 25 лет (79 +38)
  Проект Debian празднует своё двадцатипятилетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdoch) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии с духом полной открытости, свойственной Linux и GNU, а также стремление к техническому совершенству и надёжности.

За время существования Debian было выпущено 15 релизов, обеспечена поддержка 30 аппаратных архитектур, сформирован репозиторий из более чем 40 тысяч пакетов. В проект вовлечено более 1000 разработчиков, на технологиях Debian построено около 150 производных дистрибутивов, не считая многочисленных ответвлений от таких основанных на Debian дистрибутивов, как Ubuntu.

Обсуждение (79 +38) | Тип: К сведению |
16.08.2018 Выявлены следы работы Valve над инструментарием для запуска Windows игр в Linux (103 +47)
  Пользователи игрового сервиса Steam заметили среди файлов с описанием элементов интерфейса появление упоминания новой прослойки Steam Play, нацеленной на запуск Windows-игр в окружении SteamOS на базе Linux. Steam Play пока официально не анонсирован и не документирован, но, судя по описанию в GUI-файлах, обеспечит автоматическую установку инструментария для обеспечения совместимости, позволяющей запускать игры независимо от используемой операционной системы. Предполагается, что инструментарий будет основан на наработках проекта Wine.

  1. Главная ссылка к новости
  2. OpenNews: Компания Valve открыла реализацию системы TCP-подобных коммуникаций поверх UDP
  3. OpenNews: Кит Паккард поможет Valve улучшить графическую подсистему Linux
  4. OpenNews: Компания Valve выпустила SteamVR для Linux
  5. OpenNews: Компания Valve оплатила реализацию для Mesa механизма, существенно ускоряющего некоторые игры
  6. OpenNews: Компания Valve открыла код vogl, отладчика для OpenGL
Обсуждение (103 +47) | Тип: Тема для размышления |
15.08.2018 Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и FreeBSD (26 +22)
  Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов.

Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки: для полной утилизации ресурсов одного ядра CPU Intel Xeon D-1587@1.70GHz необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно 2 тысячи пакетов в секунду.

Наличие проблемы подтверждено в TCP стеках Linux и FreeBSD. В ядре Linux проблема проявляется начиная с выпуска ядра 3.9. Обновления с устранением проблемы подготовлены для Debian, Fedora, SUSE/openSUSE, Ubuntu, RHEL и FreeBSD. В качестве обходного пути защиты в Linux можно снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений.


    sysctl -w net.ipv4.ipfrag_high_thresh=262144
    sysctl -w net.ipv4.ipfrag_low_thresh=196608
    sysctl -w net.ipv6.ip6frag_high_thresh=262144
    sysctl -w net.ipv6.ip6frag_low_thresh=196608

Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов:


    sysctl net.inet.ip.maxfragpackets=0
    sysctl net.inet6.ip6.maxfrags=0

  1. Главная ссылка к новости
  2. OpenNews: В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании
  3. OpenNews: L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel
  4. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  5. OpenNews: Выпуск модуля LKRG 0.2 для защиты от эксплуатации уязвимостей в ядре Linux
  6. OpenNews: Уязвимость в генераторе случайных чисел ядра Linux
Обсуждение (26 +22) | Тип: Проблемы безопасности |
15.08.2018 Релиз системы виртуализации VirtualBox 5.2.18 (39 +10)
  Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.18, в котором отмечено 4 исправления. В новой версии внесены изменения в Virtual Machine Manager (VMM), устранена проблема с загрузкой через VMM свежих версий binutils и собственных сборок VirtualBox, решены проблемы с работой режима трансляции адресов "--nataliasmode sameports", устранена проблема с завершением процесса виртуальной машины при отсоединении клиента VRDP при включенной поддержке 3D.

  1. Главная ссылка к новости
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Релиз системы виртуализации VirtualBox 5.2.16
  4. OpenNews: Релиз системы виртуализации VirtualBox 5.2.14
  5. OpenNews: Релиз системы виртуализации VirtualBox 5.2
Обсуждение (39 +10) | Тип: Программы |
15.08.2018 Релиз эмулятора QEMU 3.0 (64 +14)
  Представлен релиз проекта QEMU 3.0.0. Значительное изменение номера версии связано с переходом проекта на новую схему нумерацию выпусков, в соответствии с которой первая цифра в номере версии будет увеличиваться раз в год. Никаких кардинальных изменений или нарушений совместимости изменение первой цифры не отражает.

В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных устройств превысило 400. При подготовке версии 3.0 внесено более 2300 изменений от 169 разработчиков.

Ключевые улучшения, добавленные в QEMU 3.0:

  • В код эмуляции блочных устройств добавлена поддержка активного зеркалирования дисков ("copy-mode active"), позволяющая избавиться от проблем с обеспечением целостности, возникающих при ранее предлагаемом фоновом копировании данных;
  • Во фронтэнде на базе библиотеки SDL обеспечена поддержка OpenGL ES. Также добавлена дополнительная опция для устройств фреймбуфера, позволяющая обеспечить вывод на экран на ранней стадии загрузки без эмуляции VGA;
  • Интегрирована дополнительная защита от уязвимости Spectre 4 (CVE-2018-3639);
  • Улучшена поддержка вложенного запуска гостевых систем KVM в окружениях на базе гипервизора Hyper-V;
  • Улучшена поддержка эмуляции контроллеров AHCI и SCSI;
  • Для устройств TPM TIS добавлена поддержка режима live-миграции;
  • Обеспечена возможность ограничения пропускной способности при копировании состояния виртуальных машин в процессе отложенной миграции (опция "max-postcopy-bandwidth"), добавлен режим восстановления в случае сбоя отложенной миграции (команда "migrate_recover") и возможность приостановки миграции (команда "migrate_pause");
  • Увеличена отзывчивость при использование сетевого стека в пространстве пользователя (SLIRP);
  • В эмулятор архитектуры x86 добавлена новая модель CPU KnightsMill и обеспечена поддержка расширений AMD TOPOEXT (предоставляет информацию о кэше для CPU семейства EPYC). В код эмуляции SVM добавлена поддержка перехвата NMI и NPT;
  • В эмулятор архитектуры ARM добавлена поддержка SMMUv3 IOMMU для виртуальных машин типа 'virt', реализованы расширения v8M (инструкции VLLDM и VLSTM для вычислений с плавающей запятой), улучшена поддержка расширений AArch64 v8.2 FP16 и добавлена поддержка расширений SVE (Scalable Vector Extensions);
  • В эмулятор архитектуры Microblaze добавлена поддержка 64-разрядных адресов;
  • В эмулятор архитектуры PowerPC для систем с типом "mac99" добавлена поддержка PMU, а для систем с типом "mac" улучшена эмуляция хостового моста PCI. Для систем "powernv" добавлена начальная поддержка эмуляции режима POWER9 hash MMU;
  • В эмуляторе архитектуры RISC-V улучшена поддержка привилегированных ISA;
  • В эмулятор архитектуры s390 добавлена поддержка модели CPU z14 ZR1 и включена по умолчанию защита от уязвимостей Spectre для z196 и более новых моделей CPU. Добавлена поддержка настройки консолей при помощи опции '-serial';
  • Разработчики напоминают, что в будущем возможно будет прекращена поддержка платформ GNU/kFreeBSD, DragonFly BSD, Solaris и Haiku, из-за отсутствия сопровождающих или инфраструктуры для тестирования.

  1. Главная ссылка к новости
  2. OpenNews: Релиз эмулятора QEMU 2.12.0
  3. OpenNews: Релиз nEMU 1.4.0, консольного интерфейса для управления QEMU
  4. OpenNews: Релиз эмулятора QEMU 2.11.0
  5. OpenNews: Основатель QEMU и FFmpeg развивает систему синхронизации файлов VFsync
  6. OpenNews: Проект QEMU Advent Calendar 2016 для быстрого знакомства с необычными ОС
Обсуждение (64 +14) | Тип: Программы |
14.08.2018 L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel (144 +22)
  Компания Intel раскрыла сведения о группе уязвимостей в механизме спекулятивного выполнения CPU, представленных под кодовым именем Foreshadow или L1 Terminal Fault (L1TF).

Уязвимости манипулируют тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице страниц памяти, процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кэше. Спекулятивное обращение выполняется до завершения перебора таблицы страниц памяти и независимо от состояния записи в таблице страниц памяти (PTE), т.е. до проверки наличия данных в физической памяти и их доступности для чтения. После завершения проверки доступности памяти, в случае отсутствия флага Present в PTE операция отбрасывается, но данные оседают в кэше и их можно извлечь при помощи методов определения содержимого кэша по сторонним каналам (через анализ изменения времени доступа к прокэшированным и не прокэшированным данным).

L1TF присвоен высокий уровень опасности, так как уязвимость позволяет определить данные по любому физическому адресу в системе, независимо от применяемых механизмов изоляции и виртуализации (например, можно атаковать систему из гостевой системы). Ограничением атаки является то, что для восстановления содержимого L1-кэша код для эксплуатации уязвимости должен выполняться на том же физическом ядре CPU, что и код, вызывающий page fault.

Всего предложено три варианта уязвимости:

  • CVE-2018-3615 - извлечение данных из памяти анклавов Intel Software Guard Extensions (Intel SGX);
  • CVE-2018-3620 - извлечение данных из SMM (System Management Mode) и областей памяти ядра ОС;
  • CVE-2018-3646 - утечка данных из виртуальных машин в системах виртуализации.

Проблемам подвержены только процессоры Intel. Отмечается, что уязвимости уже устранены в прошлом обновлении микрокода. Для исправления первой проблемы достаточно обновления микрокода. Исправление второй и третьей проблемы выпущено в виде патча для ядра Linux и исправления для гипервизора Xen. Обновления уже формируются для дистрибутивов Ubuntu, Oracle, RHEL, SUSE, Debian и FreeBSD. Суть добавленной в ядро защиты сводится к использованию в записи PTE с пустым флагом Present ссылки на некэшируемую память (инверсия PTE). Для защиты систем виртуализации задействован сброс L1-кэша при переключении контекста виртуальных машин.

По данным Intel негативное влияние исправления на производительность составляет от 0% (клиентские применения) до 7% (при симуляции нагрузки на web-сервер в виртуальной машине). По тестам Red Hat инверсия PTE не создаёт негативного влияния на производительность, а сброс L1-кэша в большинстве применений замедляет работу не более чем на 2-5%, но в отдельных нагрузках замедление достигает 14% (без обновления микрокода - 27%). Как вариант блокирования уязвимости отмечается и отключение Hyper-Threading, но в этом случае падение производительности может достигать 30-50%.

  1. Главная ссылка к новости
  2. OpenNews: Атака NetSpectre, приводящая к утечке содержимого памяти по сети
  3. OpenNews: Представлена SpectreRSB, новая уязвимость в механизме спекулятивного выполнения CPU
  4. OpenNews: Два новых варианта уязвимости Spectre. Усиление защиты Chrome
  5. OpenNews: LazyFP - новая уязвимость в процессорах Intel
  6. OpenNews: Представлена Spectre-NG, группа из 8 новых уязвимостей в процессорах
Обсуждение (144 +22) | Тип: Проблемы безопасности |
14.08.2018 47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk (114 +27)
  Компания Kryptowire представила на конференции DEF CON результаты своего исследования прошивок различных Android-смартфонов, в результате которого было выявлено 47 уязвимостей, затрагивающих 27 различных моделей смартфонов от Alcatel, ASUS, LG, ZTE, Sony, Nokia, Orbic, Oppo, MXQ и ряда других производителей.

Уязвимости достаточно разноплановые, от инициирования краха прошивки, очистки всех данных пользователя и скрытого создания скриншотов или записи видео содержимого экрана, до получения root-привилегий, установки приложений без ведома пользователя, неавторизированной отправки SMS и доступа к адресной книге.

Все выявленные уязвимости выходят за пределы штатной модели управления доступом Android и, как правило, затрагивают дополнительные надстройки и драйверы, добавленные производителями. Уязвимости выявлены в рамках программы по анализу дополняющих базовую платформу драйверов и установленных по умолчанию программ. Исследование профинансировано Министерством внутренней безопасности США.

Дополнительно можно отметить публикацию компанией Check Point описания нового вектора атак на приложения для платформы Android - "Man-in-the-Disk". В настоящее время большое число приложений при установке запрашивают полномочия на доступ к внешнему хранилищу, которое используется для хранения временных и рабочих файлов на SD-карте или дополнительном Flash с целью экономии внутренней памяти смартфона.

Суть атаки в том, что на внешних накопителях отсутствует должное разделение привилегий и любое приложение имеет доступ ко всем данным на накопителе. Например, вредоносное приложение может подменить или изменить данные любых других установленных приложений и инициировать в лучшем случае их крах или некорректное выполнение, а в худшем подменить исполняемые компоненты приложений на вредоносный код.

Отмечается, что данной проблеме подвержены многие популярные программы. Например, продемонстрирована возможность инициирования отказа в обслуживании для Google Translate, Yandex Translate, Google Voice Typing и Google Text-to-Speech, а также организация обновления Xiaomi Browser до модифицированного вредоносного варианта. Атака по подмене приложения сводится к тому, что если программа сохраняет загруженное обновление во временный файл во внешнем хранилище, атакующий может отследить момент загрузки обновления и подменить его перед началом установки. Отказы в обслуживании инициируются через модификацию данных приложения на внешнем хранилище.

Для блокирования нового класса атак рекомендуется рассматривать все данные с внешних хранилищ как не заслуживающие доверия, обеспечивая полную проверку их корректности и не перенося на внешние хранилища исполняемые файлы или Java-классы. Для всех важных и исполняемых данных, сохраняемых во внешних хранилищах, обязательно должна обеспечиваться проверка целостности по цифровой подписи.

  1. Главная ссылка к новости
Обсуждение (114 +27) | Тип: Проблемы безопасности |
14.08.2018 Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей (19 +4)
  Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей:
  • CVE-2018-1139 - позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках;
  • CVE-2018-1140 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через DNS или LDAP;
  • CVE-2018-10858 - при обращении клиента к серверу, подконтрольному злоумышленнику, возможно повреждение областей памяти libsmbclient;
  • CVE-2018-10918 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через DRSUAPI RPC;
  • CVE-2018-10919 - отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через формирование поискового запроса в LDAP.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Samba 4.8.0
  3. OpenNews: Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя
  4. OpenNews: Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением уязвимостей
  5. OpenNews: Обновление Samba 4.6.8, 4.5.14 и 4.4.16 с устранением уязвимостей
  6. OpenNews: Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4
Обсуждение (19 +4) | Тип: Проблемы безопасности |
14.08.2018 Новый стабильный релиз открытой биллинговой системы Ubilling 0.9.1 (38 +4)
  После нескольких месяцев затишья произошел релиз открытой биллинговой системы Ubilling, выступающий надстройкой над ядром Stargazer, свободной системы учёта и авторизации в локальных, домашних и офисных сетях, написанной на C. Код веб-интерфейса Ubilling написан на PHP и распространяется под лицензией GPLv2. Для предварительного ознакомления с системой запущен демонстрационный web-интерфейс.

Среди основных изменений:

  • Модуль «Печать документов»: при создании документов на основе публичных шаблонов, чекбокс публичности теперь по умолчанию установлен.
  • Модуль «Печать документов»: добавлена возможность редактировать имя и публичность существующих шаблонов docx.
  • Модуль «Помощник прокрастинации»: сильно переработан, теперь прокрастинировать можно намного эффективнее.
  • Модуль «Живи с этим»: изменен процесс логирования выполненных задач. Теперь в логе запись не дублируется, а обновляется оригинальная.
  • Модуль «Живи с этим»: для операции «добавить денег» добавлена возможность выбора типа оплат для внесения денег на счет.
  • Модуль «Живи с этим»: для операции «добавить денег» исправлена функция установки типа оплат при массовом создании задач.
  • Модуль «Понизатор»: добавлена опциональная статистика по заполнению OLT зарегистрированными на портах ONUшками.
  • Модуль «SMSZilla»: добавлена возможность фоновой рассылки при помощи RemoteAPI.
  • Модуль «Учет зарплат»: все отчеты вынесены в отдельный раздел «Отчеты».
  • Модуль «Учет зарплат»: добавлен годичный отчет по зарплатам всех сотрудников.
  • Модуль «Настройки системы»: добавлена возможность редактировать случайные файлы конфигурации.
  • Модуль «Планирование работ»: все редко используемые элементы, унесены в отдельный раздел «Инструменты».
  • Новый модуль «Сроки выполнения задач»: работает отчетом, при помощи которого можно оценить время реакции и выполнения запланированных задач.
  • Модуль «КучаГен»: добавлено нормальное определение изменения состояния пользователей, CoA теперь работает.
  • Модуль «КучаГен»: добавлен тип сервисов «CoA + POD».
  • Модуль «КучаГен»: полностью переработана работа с атрибутами
  • Модуль «КучаГен»: для шаблонов атрибутов, добавлены модификаторы «Пользователь» для NAS с не только активными пользователями.
  • Модуль «КучаГен»: добавлена пачка новых макросов, предназначенных для использования в сервисах PoD и CoA.
  • Модуль «КучаГен»: добавлены новые уровни логирования для отладки сервисов.
  • Модуль «КучаГен»: в настройки NAS добавлен порт который можно получить из макроса {NASPORT}
  • Модуль «КучаГен»: исправлено редактирование значения шаблонов атрибутов содержащих двойные кавычки
  • Модуль «КучаГен»: для шаблонов атрибутов теперь доступен сценарий groupreply.
  • Модуль «КучаГен»: решены проблемы кластеризации и производительности, при использовании табличек сценариев в innodb.
  • Модуль «КучаГен»: добавлены преднастройки для работы с FreeRadius3.
  • Модуль «КучаГен»: добавлена возможность полного клонирования конфигурации ранее настроенного NAS.
  • Модуль «Удаление пользователя»: теперь запускает быструю регенерацию атрибутов после деактивации пользователя, перед его удалением.
  • Модуль «Склад»: в список приходных операций добавлен показ примечаний.
  • Модуль «Планирование работ»: добавлен режим печати не разрезными табличками с группировкой по сотрудникам.
  • Модуль «Консоль разработчика»: теперь чуть менее страшная.
  • Модуль «Редактирование мобильного»: теперь умеет отключать фильтры номеров для основной и дополнительных мобильных систем.
  • Модуль «Записи разговоров Askozia»: теперь также показывает навешенные на пользователя теги.
  • Модуль «Планирование работ»: в отсылаемых сотрудникам SMS теперь фигурирует тип задачи. Они должны знать, что они будут делать по адресу.
  • Модуль «Экзистенциальный конь»: добавлена отдельная колонка с динамикой изменения пользовательской базы.
  • Модуль «Свитчи»: топ упокоившихся свитчей вынесен в отдельный раздел, теперь он показывает топ только за текущий месяц.
  • Модуль «Свитчи»: в топе упокоившихся свитчей налажена сортировка.
  • Модуль «Сервера доступа (NAS)»: теперь при удалении NAS также удаляется и вся его конфигурация относящаяся к КучаГен-у.
  • Модуль «Редактирование электропочты»: добавлена принудительная проверка шаблона.
  • Модуль «Движение средств»: добавлена подсветка виртуальных сервисов и бонусов а также других типов дополнительных платежей.
  • Модуль «Поиск оплат»: добавлен дополнительный фильтр по содержимому примечаний платежей.
  • Модуль «Персональные заметки и напоминания»: косметика, улучшено юзабилити.
  • Модуль «Отчет по пунктам продаж»: исправлено несоответствие колонок с количеством активированных карточек и суммой.
  • Модуль «Динамический шейпер»: dnswitch теперь должен нормально работать с PHP7.
  • Кабинет пользователя: исправлена проблема, при которой пользователи ранее не могли скачать документы, сгенерированные по не публичным шаблонам.
  • OpenPayz: в бекенд liqpay добавлена возможность оплачивать на разные магазины по установленному тегу в профиле пользователя (как работает читаем комментарии в конфигурационном файле бекенда).
  • OpenPayz: в бекенд liqpay добавлена возможность вручную вводить сумму платежа, регулируется параметром CUSTOM_PRICE. Значение CUSTOM_PRICE так-же указывает на минимально допустимое значение ввода суммы. Также произведена небольшая косметика кода.
  • OpenPayz: добавлена возможность указывать для каждой платежной системы свой тип платежей посредством опций CASHTYPEID_СИСТЕМА.
  • RemoteAPI: добавлен вызов smszilla производящий рассылку в фоновом режиме.
  • RemoteAPI: добавлен вызов multigentotal для сброса всех сценариев с последующей регенерацией атрибутов и отработкой сервисов.
  • RemoteAPI: добавлен вызов onepunch предназначенный для вызова One-Punch скриптов.
  • Собака-посылака: добавлен новый СМС-сервис SkyRiver (SkySms)
  • Новый модуль «История СМС сообщений». Позволяет собирать и хранить статусы отправленных СМС.
  • Модуль «Профиль пользователя»: отныне данные о БС не загружаются автоматически при открытии профиля пользователя и для их получения нужно нажать соответствующую кнопку.
  • Модуль «Планирование работ»: добавлена возможность включить дополнительные поля фильтрации задач. Регулируется опцией TASKMAN_ADV_FILTERS в alter.ini.
  • UBinstaller: собраны бинарные пакеты для FreeBSD 11.2 amd64.
  • UBinstaller: добавлена возможность выбора экспериментального Stargazer 2.409-rc5 при установке.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск открытой биллинговой системы ABillS Base 0.78.30
  3. OpenNews: Релиз открытой биллинговой системы Ubilling 0.8.5
Обсуждение (38 +4) | Автор: ivan34 | Тип: Программы |
13.08.2018 Релиз профессионального видеоредактора DaVinci Resolve 15 (79 +13)
  Компания Blackmagic Design, специализирующаяся на производстве профессиональных видеокамер и систем обработки видео, опубликовала выпуск проприетарной системы цветокоррекции и нелинейного монтажа DaVinci Resolve 15, используемой многими известными голливудскими киностудиями в процессе производства фильмов, сериалов, рекламных роликов, телепрограмм и видеоклипов. DaVinci Resolve объединяет в одном приложении средства для монтажа, цветоустановки, наложения звука, финальной обработки и создания конечного продукта.

Сборки DaVinci Resolve подготовлены для Linux, Windows и macOS. Для загрузки требуется регистрация. Бесплатная версия имеет ограничения, связанные с выпуском продукции для коммерческого кинопоказа в кинотеатрах (монтаж и цветокоррекция 3D-кино, сверхвысокие разрешения и т.п.), но не ограничивает базовые возможности пакета, поддержку профессиональных форматов для импорта и экспорта, сторонних плагинов.

Новые возможности:

  • Интегрированные средства для наложение визуальных эффектов;
  • Страница Fusion, содержащая более 250 инструментов для композитинга;
  • Значительно расширены возможности редактора и колориста, а также функциональность Fairlight;
  • Оптимизация производительности при рендеринге клипов в H.264.
  • Сохранение имен клипов и дополнительной информации при работе с окном просмотра.
  • Форматирование текста субтитров в HTML.
  • Поддержка шаблонов для 2D- и 3D-титров.
  • Изменение длительности фрагмента на монтажной линейке страницы Edit.
  • Добавление значка Dynamic Trim на панель инструментов, содержащую индикацию режима Slip или Slide.
  • Редактирование параметров автоматизации звука на странице Fairlight.
  • Наличие заданных конфигураций параметров для плагина FairlightFX и возможность создания пользовательских.
  • Создание звуковых библиотек с помощью базы данных DaVinci Resolve.
  • Поддержка плагинов ResolveFX и OpenFX на странице Fusion.
  • На все страницы добавлена кнопка для пропуска настройки цветов и эффектов Fusion.
  • Возможность копировать композиции, созданные во Fusion, и их добавление к другим клипам.
  • Изменение свойств видео и подгонки в узлах MediaIn.
  • На страницу Fusion добавлены узлы Saver.
  • Регулировка области черного при выводе клипа на странице Color.
  • Назначение пользовательских цветов для узлов на странице Color.
  • Улучшено создание изображений с прозрачностью.
  • Значительно улучшен анализ оптического потока.
  • Расширена поддержка скриптов DCTL и их совместимость с ResolveFX.
  • Сокращено время отклика при работе с плагинами OpenFX и ResolveFX.
  • Поддержка кодирования скрытых субтитров CEA-708 в клипах MXF OP1a.
  • Поддержка кодирования клипов EXR с альфа-каналами.
  • Сохранение уровня звука при импорте AAF-клипов.
  • Расширен список кодеков и форматов на странице Deliver.
  • Одновременный мониторинг SDR- и HDR-видео в форматах Dolby Vision™ и HDR10+.
  • Импорт AAF-клипов только со звуком.
  • Поддержка XML 1.8 с Final Cut Pro X.



Основные особенности DaVinci Resolve:

  • Широкие возможности для цветоустановки;
  • Высокая производительность с возможностью использования до восьми графических процессоров, что позволяет получать результат в реальном времени. Для быстрого рендеринга и формирования конечного продукта можно использовать кластерные конфигурации;
  • Профессиональные средства монтажа разных типов материала - от телесериалов и рекламных роликов до контента, снятого с помощью нескольких камер;
  • Инструменты редактирования учитывают контекст выполняемой операции и автоматически определяют параметры обрезки по местоположению курсора мыши;
  • Средства синхронизации и микширования звука;
  • Гибкие возможности по управлению медиаматериалами - файлы, временные шкалы и целые проекты легко перемещать, объединять и архивировать;
  • Функция Clone, позволяющая копировать полученное с камер видео одновременно в несколько каталогов с проверкой по контрольной сумме;
  • Возможность импортировать и экспортировать метаданные с помощью CSV-файлов, создавать на их основе пользовательские окна, автоматические каталоги и списки;
  • Мощная функциональность для обработки и создания конечного продукта в любом разрешении, будь то мастер-копия для телевидения, цифровой пакет для кинотеатров или для распространения в интернете;
  • Поддержка экспорта в разных форматах, в том числе с дополнительной информацией, формирование файлов EXR и DPX для наложения визуальных эффектов, а также вывод несжатого 10-битного видео и в ProRes для редактирования в таких приложениях, как Final Cut Pro X;
  • Поддержка плагинов ResolveFX и OpenFX;
  • Средства для стабилизации и трекинга изображений на экране, не требующие создания опорных кадров;
  • Вся обработка изображений осуществляется в цветовом пространстве YRGB с точностью 32-разрядных чисел с плавающей запятой, что позволяет корректировать параметры яркости без повторной цветобалансировки в областях тени, полутона и света;
  • Шумоподавление в реальном времени;
  • Полное управление цветом на всех этапах процесса с поддержкой стандарта ACES 1.0 (Academy Color Encoding Specification). Возможность использования различных цветовых пространств для исходного и конечного материала, а также для временной шкалы;
  • Возможность обработки видео с широким динамическим диапазоном (HDR);
  • Цветоустановка на основе файлов RAW;
  • Автоматическая первичная цветокоррекция и автоматическое согласование кадров.

  1. Главная ссылка к новости
  2. OpenNews: Релиз видеоредактора Shotcut 18.08
  3. OpenNews: Выпуск свободного видеоредактора OpenShot 2.4.2
  4. OpenNews: Релиз профессионального видеоредактора DaVinci Resolve 14
  5. OpenNews: Релиз видеоредактора Lightworks 14 для Linux
Обсуждение (79 +13) | Тип: Программы |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor