The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.11.2017 Релиз языка программирования Rust 1.22 (40 +10)
  Состоялся релиз языка программирования Rust 1.22, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime.

По структуре язык Rust напоминает C++, но существенно отличается в некоторых деталях реализации синтаксиса и семантики. Автоматическое управление памятью избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для размещения библиотек поддерживается репозиторий crates.io.

В подготовке нового выпуска приняли участие 160 разработчиков. Основные новшества:

  • В разряд стабильных переведена возможность использования оператора "?" вместе с конструкцией "Option‹тип›" по аналогии с ранее обеспеченной поддержкой "?" в блоках "Result‹тип, выражение›". Оператор "?" проверяет значение и если результат отличается от заданного, осуществляется выход с возвратом кода ошибки. Например:
    
       fn try_option_none() -› Option‹u8› {
           let val = None?;
           Some(val)
       }
       assert_eq!(try_option_none(), None);
    
  • Типы с операцией Drop теперь можно применять в элементах const и static, что позволяет использовать в них значения, вычисляемые на этапе компиляции. Например:
    
       struct Foo {
          a: u32
       }
       impl Drop for Foo {
           fn drop(&mut self) {}
       }
       const F : Foo = Foo { a : 0 };
       static S : Foo = Foo { a : 0 };
    
  • Операции вида "T op= &T" теперь применимы ко встроенным числовым типам, например:
    
       let mut x = 2;
       let y = &8;
       x += y; // Ранее нужно было явно выполнять разыменование, указывая x += *y.
    
  • Увеличена скорость компиляции в отладочном режиме;
  • В Rustdoc теперь можно добавлять тесты, обрывающие компиляцию ( compile-fail);
  • Прекращена поддержка целевой платформы le32-unknown-nacl в связи с переводом PNaCl в разряд устаревших (теперь рекомендуется использовать WebAssembly);
  • Стабилизированы API From‹Cow‹str›› в Box‹Error›, Hasher в {&mut Hasher, Box‹Hasher›}, fmt::Debug в SplitWhitespace;
  • В пакетном менеджере Cargo появилась возможность определения примеров, состоящих из нескольких файлов (для подобных примеров создаётся поддиректория с main.rs). Добавлена поддержка взаимодействия с внешними Git-репозиториями вендоров.

  1. Главная ссылка к новости
  2. OpenNews: Релиз языка программирования Rust 1.21
  3. OpenNews: Релиз языка программирования Rust 1.20
  4. OpenNews: Третий выпуск операционной системы Redox OS, написанной на языке Rust
  5. OpenNews: В Firefox добавлен CSS-движок Stylo, написанный на языке Rust
  6. OpenNews: Эксперимент по разработке частей ядра Linux на языке Rust
Обсуждение (40 +10) | Тип: Программы |
24.11.2017 Обновление VirtualBox 5.2.2 (30 +4)
  Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.2, в котором отмечено 17 исправлений. В новой версии:
  • В интерфейс пользователя внесены оптимизации, нацеленные на улучшение работы на экранах с высоким разрешением;
  • В интерфейс добавлена функция дублирования образов оптических и floppy дисков;
  • Улучшена работа интерфейса управления виртуальными накопителями;
  • В звуковой подсистеме обеспечена возможность использования HDA в гостевых окружениях с экзотичными ОС, такими как Haiku;
  • Налажена сборка модулей для хост-систем и гостевых окружений с ядром Linux 4.14;
  • Улучшена обработка параметра с типом оконного менеджера (WM_CLASS) на хостах с X11;
  • Устранена порция появившихся в ветке 5.2 регрессивных изменений, проявляющихся при работе гостевых систем с Linux;
  • Исправлена проблема с дублирование записей EtherType в тегах определения приоритета и во VLAN;
  • В VMM решены проблемы, мешавшие запуску гостевых систем с Plan 9;
  • Устранены регрессивные изменения, нарушившие нормальную работу iSCSI;
  • Решены проблемы с использованием последовательного порта в Linux и Windows;
  • В EFI исправлена ошибка в драйвере HFS+, в редких случаях приводившая к сбоям при доступе к файлам;
  • Устранено зависание при попытке совместного использования буфера обмена между хостом на базе macOS и гостевой системой с Linux.

  1. Главная ссылка к новости
  2. OpenNews: Релиз системы виртуализации VirtualBox 5.2
  3. OpenNews: Выпуск VirtualBox 5.1.30
  4. OpenNews: Доступна ОС Qubes 3.2, использующей виртуализацию для изоляции приложений
  5. OpenNews: Выпуск Vagrant 2.0, инструментария для создания виртуальных окружений
  6. OpenNews: Релиз Proxmox VE 5.1, дистрибутива для организации работы виртуальных серверов
Обсуждение (30 +4) | Тип: Программы |
24.11.2017 Первый выпуск кросс-платформенного караоке плеера Spivak (10 +3)
  Представлен релиз кросс-платформенного караоке проигрывателя Spivak 1.1, который отмечен как первый выпуск, пригодный для широкого использования (до этого формировались только бета-версии). Проигрыватель предназначен для установки на медиацентры под управлением Linux, macOS и Windows. Управление производится через Web-интерфейс или при помощи пульта ДУ (используется LIRC). Основной расчёт сделан на полностью автономную работу - каждый певец может сам ставить песни себе в очередь, а проигрыватель обеспечит честную ротацию. Код написан на языке C++ и поставляется под лицензией GPLv3. Для обработки звука используется GStreamer, а для формирования интерфейса Qt5.

Поддерживается отображение текстов песен из файлов в форматах MIDI/KAR, KaraFun, CDG, LRC (v1 and v2), Encore! Lyric, KOK и Ultrastar (TXT). Автоматически определяется текст кодировки текста. Поддержка звуковых и видео форматов соответствует установленным в системе плагинам к GStreamer. По сравнению с прошлой бета-версией полностью переделан встроенный веб-интерфейс, упрощён процесс сборки из исходных текстов и исправлено множество ошибок. Автор программы принимает замечания и пожелания в этой теме.

  1. Главная ссылка к новости
  2. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.10
  3. OpenNews: Выпуск открытого медиацентра Kodi 16.0
  4. OpenNews: Релиз медиапроигрывателя aTunes 3
  5. OpenNews: Релиз медиаплеера VLC 2.0.0
  6. OpenNews: Выпуск музыкального проигрывателя Exaile 3.4.0
Обсуждение (10 +3) | Автор: gyunaev | Тип: Программы |
23.11.2017 Выпуск blists 2.0, web-интерфейса для просмотра списков рассылки (6 +4)
  Спустя шесть лет с момента прошлого выпуска проект Openwall анонсировал релиз blists 2.0, компактного web-интерфейса для организации доступа к архивам почтовых рассылок, хранимых в проиндексированном mbox-файле. В поставку входит два приложения: bindex - утилита для генерации и обновления индекса для mbox-файлов, и bit - CGI-скрипт для генерации страниц на лету. Утилиты написаны на языке Си, распространяются под лицензией BSD и отличаются низким потреблением ресурсов и высокой производительностью. Например, очень старый сервер не испытывает проблем с обработкой архива со списком рассылки разработчиков ядра Linux, размер mbox-файла с которым превысил 15 Гб.

В новой версии:

  • Добавлена возможность загрузки прикреплённых к письмам вложений (ранее отображались только вложения с MIME-типом text/*, а остальные игнорировались);
  • Обеспечено перекодирование в UTF-8 писем в национальных кодировках;
  • Реализовано отображение списка недавних сообщений на главных страницах рассылок;
  • Добавлена возможность отображения разбивки сообщений в рассылке по дням в форме наглядного календаря, оформление которого можно адаптировать к оформлению сайта при помощи CSS.

  1. Главная ссылка к новости
  2. OpenNews: Проект Openwall представил blists, web-интерфейс к спискам рассылки
  3. OpenNews: Обновление сборки Openwall GNU/*/Linux 3.1-stable
  4. OpenNews: Увидела свет система управления списками рассылки GNU Mailman 3.0
  5. OpenNews: Релиз системы управления списками рассылки GNU Mailman 3.1
  6. OpenNews: Критическая уязвимость в Majordomo
Обсуждение (6 +4) | Тип: Программы |
23.11.2017 В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов (68 –4)
  Разработчики Mozilla сообщили о начале работы по интеграции механизма вывода уведомлений об использовании потенциально скомпрометированных учётных записей. Проверка будет осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 252 сайтов.

Прототип механизма информирования пользователей о взломе пока развивается в форме дополнения BreachAlerts. В настоящее время функциональность дополнения ограничена выводом предупреждения при посещении сайтов, на которых ранее фиксировались взломы с утечкой учётных записей. Уведомление позволяет ввести свой email или имя пользователя и проверить не была ли скомпрометирована связанная с ними учётная запись. Список взломанных сайтов загружается на локальную систему через API "https://stage.haveibeenpwned.com/api/v2/breaches".

  1. Главная ссылка к новости
  2. OpenNews: Утечка учётных записей 68 млн пользователей Dropbox
  3. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  4. OpenNews: Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров
  5. OpenNews: Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
  6. OpenNews: Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии
Обсуждение (68 –4) | Тип: К сведению |
23.11.2017 Выпуск рабочего стола Lumina 1.4 (55 +22)
  После пяти месяцев разработки состоялся релиз легковесного окружения рабочего стола Lumina 1.4, развиваемого проектом TrueOS (бывший PC-BSD). Компоненты окружения написаны с использованием библиотеки Qt5 (без применения QML). Lumina придерживается классического подхода к организации пользовательского окружения. В состав входит рабочий стол, панель приложений, менеджер сеансов, меню приложений, система настройки параметров окружения, менеджер задач, системный лоток, система виртуальных рабочих столов. Код проекта написан на языке C++ и распространяется под лицензией BSD. Новый выпуск Lumina распространяется через систему портов FreeBSD и репозиторий TrueOS.

В качестве оконного менеджера применяется Fluxbox, но в одном из следующих значительных выпусков планируется заменить его на оконный менеджер собственной разработки. В рамках проекта также развивается собственный файловый менеджер Insight, обладающий такими возможностями как поддержка вкладок для одновременной работы с несколькими директориями, накопление ссылок на избранные директории в разделе закладок, наличие встроенного мультимедиа-проигрывателя и просмотрщика фотографий с поддержкой слайдшоу, средствами для управления снапшотами ZFS, поддержкой подключения внешних плагинов-обработчиков.

Основные новшества:

  • Активирован по умолчанию и включен в состав core-компонентов рабочего стола новый движок тем оформления, предоставляющий расширенные средства для оформления рабочего стола и приложений на Qt5. Движок создан как форк qt5ct, который был модернизирован и теперь поддерживает системные цветовые профили, модульную компоновку тем оформления и встроенные редакторы элементов оформления. Бэкенд для движка оформлен в виде плагина для Qt5, что позволяет унифицировать настройку внешнего вида всех Qt5-приложений. Старый движок тем объявлен устаревшим, но все связанные с ним настойки, за исключением сторонних тем оформления, будут автоматически преобразованы для нового движка при первом запуске;
  • Представлено новое приложение Lumina PDF Viewer (lumina-pdf), позволяющее просматривать и распечатывать документы в формате PDF, а также организовывать показ презентаций на другом экране или при помощи проектора. Для отрисовки документов применяется библиотека poppler-qt5. Программа примечательна использованием многопоточности для повышения отзывчивости интерфейса (отрисовка сложных страниц не влияет на интерфейс);
  • В конфигуратор lumina-config добавлена страница для изменения звукового оформления (выбор звука при входе и выходе, звуковое информирование о разряде аккумулятора), а также реализована опция для выбора оконного менеджера, отличного от fluxbox;
  • Реализовано автоопределение наличия других активных экранов X11, что позволяет избежать конфликтов при запуске сеанса Lumina. Также обеспечен перезапуск Fluxbox в случае сбоя, изменении параметров экрана или подключении/отсоединении монитора;
  • Добавлена поддержка сохранения/чтения профилей монитора, а также возможность произвольного выбора на виртуальном экране позиции области вывода на монитор;
  • Полностью переделан механизм загрузки пиктограмм на рабочий стол, обеспечено автоматическое обновление пиктограмм при изменении темы оформления. Сокращено время инициализации рабочего стола;
  • Добавлена возможность выбора каталога с изображениями, которые в случайном порядке будут показываться в качестве обоев рабочего стола;
  • В утилите lumina-fileinfo обеспечена интеграция с ZFS, в том числе для файлов на ZFS-разделе обеспечено отображение атрибутов ZFS и доступных снапшотов;
  • В файловом менеджере обеспечена многопоточная загрузка содержимого каталогов и многопоточное построение миниатюр для картинок. Представлены средства для создания архивов, добавления в них файлов и извлечения файлов. Добавлена опция для применения выбранного изображения в качестве обоев рабочего стола;
  • В медиапроигрывателе lumina-mediaplayer добавлена возможность воспроизведения локальных видеофайлов;
  • В утилиту для работы с архивами lumina-archiver добавлены опции для автоматического создания и распаковки архивов из скриптов;
  • Введён в строй репозиторий тем оформления, в котором предложены обои рабочего стола и дополнительные элементы для тем оформления;

  1. Главная ссылка к новости
  2. OpenNews: Выпуск рабочего стола Lumina 1.3
  3. OpenNews: Выпуск рабочего стола Lumina 1.2
  4. OpenNews: Выпуск рабочего стола Lumina 1.1
  5. OpenNews: Первый стабильный выпуск рабочего стола Lumina
  6. OpenNews: Выпуск десктоп-окружения Lumina 0.9, развиваемого для FreeBSD и PC-BSD
Обсуждение (55 +22) | Тип: Программы |
23.11.2017 77% из 433 тысяч изученных сайтов используют уязвимые версии JavaScript-библиотек (48 +6)
  Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP Archive и доступа для анализа при помощи интерфейса BigQuery, исследователи обнаружили, что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую известные уязвимости. 51.8% из этих сайтов содержат более одной уязвимости в библиотеках, а 9.2% более трёх уязвимостей.

Наиболее часто встречаются уязвимые копии библиотеки jQuery, которая используется на 82.4% из всех проверенных сайтов. 92.5% из сайтов, использующих jQuery, содержат необновлённые уязвимые версии. На втором месте библиотека jQuery UI, которая применяется на 19.9% сайтов и 89.7% из используемых копий уязвимы. Далее следуют Moment.js - 73.0% уязвимых версий из всех установок данной библиотеки, AngularJS - 84.8%, Handlebars - 60.7%, Mustache - 51.0%, YUI 3 - 40.3%, Knockout - 19.6%, React - 10.2%.

Обновление информации о состоянии сайтов в HTTP Archive произведено 15 октября, т.е. использованы не архивные, а актуальные данные. Данные в целом совпадают с результатами похожей проверки 323 тысяч сайтов, проведённой в марте, которая показала, что уязвимые библиотеки используются на 77.3% сайтов. При этом уязвимости в JavaScript-библиотеках в основном связаны с межсайтовым скриптингом (XSS, Cross-site Scripting) и подстановкой контента, например, могут быть использованы для определения содержимого Cookie при открытии пользователем специально оформленной ссылки.

Также можно отметить публикацию проектом OWASP (Open Web Application Security Project) очередного отчёта, в котором предпринята попытка классифицировать связанные с безопасностью риски в web-приложениях и предложить рейтинг актуальных и наиболее распространённых проблем.

Как и в прошлом выпуске рейтинга, который был сформирован в 2013 году, первое место занимают уязвимости, при которых непроверенные данные оказываются в составе исполняемых команд или запросов (SQL, NoSQL, OS, LDAP Injection). Второе место как и прежде занимают уязвимости, связанные с некорректной работой механизмов аутентификации и проверки идентификаторов сеансов, что позволяет получить неавторизированный доступ. Занимавшие третье место в прошлом рейтинге проблемы межсайтового скриптинга (XSS) переместились на 7 место.

C шестого на третье место поднялись проблемы, приводящие к утечкам конфиденциальных данных, таких как сведения о финансовых операциях и персональные данные пользователей. Четвёртое место заняла новая категория уязвимостей, связанных с некорректной обработкой внешних ссылок в XML-документах (атака XXE). На пятом месте закрепились проблемы в обработчиках списков доступа, позволяющие выполнить операции не предусмотренные текущими полномочиями. На шестом месте проблемы, вызванные ошибками в конфигурации и выводом сведений о настройках в тексте сообщений об ошибках.

Восьмое место заняли уязвимости, вызванные ошибками в коде десериализации данных, которых в последние годы было особенно много в проектах на PHP и Java. Девятое место в рейтинге рисков безопасности для web-приложений занимают проблемы, связанные с использованием в проекте сторонних библиотек, фреймворков и прочих компонентов, в которых имеются неисправленные уязвимости (в качестве примеров упоминается продолжение использования уязвимой версии Apache Struts после выхода обновления, что привело к утечке персональных данных 44% населения США). На десятом месте находятся проблемы с ведением логов и организацией мониторинга, из-за которых факты или попытки компрометации системы могут длительное время оставаться незамеченными.

В отчёте также отмечены новые риски, возникающие в связи с изменениями в архитектуре web-приложений. Например, распространением Node.js и серверного кода на JavaScript повышает риск появления проблем, связанных с десериализацией данных. Организация работы приложений в форме микросервисов часто приводит к появлению скрытых проблем из-за создания API и RESTful-обработчиков на основе переноса старого кода, не рассчитанного на прямую обработку внешних запросов (например, могут быть пропущены проверки корректности поступающих данных). Источником новых векторов атак также могут стать одностраничные приложения, создаваемые при помощи фреймворков Angular и React, в которых функциональность по формированию интерфейса вынесена на сторону клиента.

  1. Главная ссылка к новости
  2. OpenNews: 63% web-сайтов содержат опасные уязвимости
  3. OpenNews: Статистика уязвимостей web-приложений
  4. OpenNews: Анализ уязвимостей за 6 месяцев. Firefox обогнал конкурентов по числу уязвимостей
  5. OpenNews: Сравнения языков программирования с позиции безопасности написанного на них кода
  6. OpenNews: Рейтинг 25 самых опасных ошибок, приводящих к возникновению серьезных уязвимостей
Обсуждение (48 +6) | Тип: К сведению |
22.11.2017 Анализ средств отслеживания действий пользователей на сайтах (99 +25)
  Исследователи из Принстонского университета изучили 10 тысяч самых популярных сайтов по рейтингу Alexa и обнаружили, что на 1239 из них применяются сторонние скрипты для анализа поведения пользователей, которые в реальном режиме времени отслеживают нажатия клавиш, прокрутку экрана, движения мыши и клики, передавая сведения на сайт аналитики до окончания заполнения и отправки web-форм. Впоследствии, оператор подобных систем аналитики может повторно прокрутить сеанс, воссоздав все действия пользователя на странице.

Среди сайтов, на которых применяются скрипты для записи действий во время сеанса работы со страницей, такие ресурсы как yandex.ru, wordpress.com, microsoft.com, adobe.com, godaddy.com, avito.ru, spotify.com, livejournal.com, hp.com, skype.com, evernote.com, samsung.com, sberbank.ru, reuters.com, bitbucket.org, ibm.com, rbc.ru, intel.com, lenovo.com, ria.ru и digitalocean.com. Так как некоторые из рассмотренных систем аналитики в зависимости от настроек позволяют отключить детальное отслеживание действий пользователя во время сеанса, при построении списка оценивалось не просто присутствие кода счётчика, а именно определялся факт отправки меток.

При помощи фреймворка OpenWPM был подготовлен краулер, который загружал страницу, симулировал действия пользователя через подстановку уникальной метки в HTML и отслеживал попытки отправить данную метку на сервер аналитики (возможность передачи метки в составе закодированного набора данных учитывалось через подстановку достаточно большого блока и оценки изменения размера передаваемых данных). Пользователи могут определить применение систем анализа сеансов лишь при помощи встроенных в бразуеры средств для web-разработчиков, так как сайты никак не информируют посетителей о записи их действий со страницей.

Самое неприятное, что рассмотренные системы отслеживания сеансов не только передают на сторонние серверы содержимое web-форм до их отправки на основной сайт, но и транслируют поля с номерами кредитных карт, паспортными данными, адресами и другой персональной информацией. При этом все рассмотренные сервисы не передают сведения вводимые в полях для ввода паролей, а некоторые сервисы пытаются фильтровать данные кредитных карт. Сервисы Smartlook и UserReplay передают число символов в поле с паролем, а UserReplay последние 4 цифры номера кредитной карты. Сервис FullStory позволяет посимвольно восстановить ввод номеров кредитных карт на некоторых сайтах. Yandex, Hotjar и Smartlook предоставляют возможность входа в web-интерфейс аналитики по HTTP без шифрования. Опасность также представляет утечка учётных записей для входа в сервис аналитики, которые могут быть использованы злоумышленниками для организации сбора приватных данных.

Самыми навязчивыми исследователи назвали сервисы Yandex Metrika, FullStory, Hotjar и Smartlook, так как они по умолчанию обеспечивают запись ввода в полях форм. Но следует учитывать настройки конкретного сайта, например, в отчёте в общем виде указано, что Yandex Metrika передаёт на внешний сервер вводимые параметры кредитных карт и персональные данные, пропуская лишь значения в полях ввода паролей, но не для всех сайтов в списке это действует. Ручная проверка присутствующего в списке sberbank.ru показала, что отправляются только данные о кликах и прокрутке без передачи непосредственного содержимого web-форм.

  1. Главная ссылка к новости
  2. OpenNews: На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код
  3. OpenNews: Расширенный метод идентификации системы и браузера без применения cookie
  4. OpenNews: Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК
  5. OpenNews: Firefox Focus для iOS вышел с включенной отправкой статистики на серверы компании Adjust
  6. OpenNews: Mozilla использует Google Analytics в менеджере дополнений Firefox
Обсуждение (99 +25) | Тип: Проблемы безопасности |
22.11.2017 Релиз дистрибутива для исследования безопасности систем Kali Linux 2017.3 (32 +5)
  Вышел релиз дистрибутива Kali Linux 2017.3, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ, размером 2.7 Гб. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17.

Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети, до программ для считывания данных с идентификационных RFID чипов. В комплект входит коллекция эксплоитов и более 300 специализированных утилит для проверки безопасности, таких как Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap, p0f. Помимо этого, в дистрибутив включены средства для ускорения подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit) через задействование технологий CUDA и AMD Stream, позволяющих использовать GPU видеокарт NVIDIA и AMD для выполнения вычислительных операций.

В новом выпуске выполнена синхронизация пакетов с Debian Testing и обновлены специфичные для Kali приложения, такие как Reaver, PixieWPS, Burp Suite, Cuckoo и Social Engineering Toolkit. Задействовано ядро Linux 4.13, в котором появилась встроенная поддержка TLS. Объединены инструменты для сбора информации Maltego и Casefile.

В состав включена порция новых инструментов:

  • InSpy - утилита для поиска людей в LinkedIn на основании заданных признаков (например, можно выбрать работников определённой компании для целевого применения методов социальной инженерии);
  • CherryTree - приложение для ведения заметок;
  • Sublist3r - утилита для определения существующих поддоменов через перебор по словарю;
  • OSRFramework - коллекция скриптов для перебора пользователей и доменов для 290 сервисов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива для исследования безопасности систем Kali Linux 2017.2
  3. OpenNews: Выпуск дистрибутива для исследования безопасности систем Kali Linux 2017.1
  4. OpenNews: Выпуск дистрибутива для исследования безопасности систем Kali Linux 2016.2
  5. OpenNews: Доступно Android-окружение исследователя безопасности Kali NetHunter 3.0
Обсуждение (32 +5) | Тип: Программы |
22.11.2017 Выпуск web-браузера Vivaldi 1.13 (94 –16)
  Увидел свет проприетарный web-браузер Vivaldi 1.13, разрабатываемый на базе движка Chromium и продолжающий развитие идей классического браузера Opera, предоставляя широкий спектр возможностей, включая удобную систему группировки вкладок, боковую панель, конфигуратор с большим числом настроек, режим блокировки изображений и нежелательного контента, систему ведения заметок, режим горизонтального отображения вкладок. Интерфейс браузера написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. Сборки Vivaldi подготовлены для Linux, Windows и macOS. Для прошлых выпусков проект распространяет под открытой лицензией исходные тексты изменений к Chromium. Реализация интерфейса Vivaldi написана на JavaScript, доступна в исходных текстах, но под проприетарной лицензией.

Основные новшества:

  • Добавлена боковая панель Window, в которой в древовидном виде представлен список вкладок, открытых в текущем окне. В панели можно наглядно оценить заголовки открытых страниц, менять расположение вкладок, использовать различные виды сортировки, просматривать несколько страниц бок о бок, применять поиск, замораживать для просмотра в будущем неиспользуемые вкладки, закреплять элементы и группировать вкладки по тематике;


  • В системе управления загрузками добавлен вывод предупреждения при попытке закрытия браузера до окончания всех загрузок. В панели со списком активных загрузок добавлены кнопки при приостановки и возобновления загрузки. Обеспечено отображение текущей скорости загрузки;
  • Переписан код управления окнами, что позволило поднять производительность на маломощных системах;
  • В Linux обеспечена вставка ссылки в адресную строку при клике средней кнопкой мыши на экспресс-панели.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск web-браузера Vivaldi 1.12
  3. OpenNews: Выпуск web-браузера Opera 49
  4. OpenNews: Браузер QupZilla переименован в Falkon
  5. OpenNews: Выпуск web-браузера QupZilla 2.2
  6. OpenNews: Вышел второй кандидат в релизы браузера Otter
Обсуждение (94 –16) | Тип: Программы |
22.11.2017 Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров (62 +30)
  Компания Uber раскрыла информацию о произошедшем в октябре 2016 года инциденте, в результате которого злоумышленники получили доступ к данным в облаке Amazon AWS и смогли загрузить сведения о 600 тысячах водителей и 57 млн пассажиров сервиса.

Взлом был произведён путём перехвата параметров входа в приватную секцию GitHub, в которой разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3 и подключившись к ним смогли загрузить актуальные данные о пользователях и водителях. В загруженных данных фигурировали ФИО, номера водительских удостоверений (для водителей), email и номера телефонов. По заверению представителей Uber сведения о местоположении, история передвижения, параметры счетов, коды кредитных карт и номера социального страхования не пострадали.

Особенностью инцидента стало то, что Uber пошёл на поводу у атаковавших и выплатил им 100 тысяч долларов в обмен на обещание удалить полученную информацию и не сообщать о произошедшем. Гарантией исполнения обещания стало то, что удалось выяснить личности атаковавших и в случае неисполнения обязательства им грозил серьёзный срок заключения. Передача денег была оформлена как выплата вознаграждения за участие в программе по выявлению уязвимостей (Uber Engineering Bug Bounty), подразумевающей подписание соглашения о неразглашении.

Информация о взломе раскрыта после вступления на пост нового руководителя компании, который считает недопустимым сокрытие подобных инцидентов. Новый CEO также уволил курирующего оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности. Сведения о выплате и увольнениях получены изданием Bloomberg из своих источников.

  1. Главная ссылка к новости
  2. OpenNews: Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
  3. OpenNews: Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts
  4. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  5. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  6. OpenNews: Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии
Обсуждение (62 +30) | Тип: К сведению |
22.11.2017 Проблемы с BCache в ядре Linux 4.14 могут привести к повреждению данных (57 +19)
  Пользователи дистрибутива Gentoo обратили внимание на регрессивное изменение в ядре Linux 4.14, которое может привести к повреждению содержимого файловой системы при использовании механизма BCache для кэширования доступа к медленным жестким дискам на быстрых SSD-накопителях. Исправление уже предложено для ядра Linux и будет включено в выпуск 4.14.2.

Суть проблемы в том, что в ядре 4.14 в системе блочного ввода/вывода (bio) для указания информации о разделах было представлено новое поле bi_partno, вместо того чтобы использовать уже применяемый метод кодирования сведений в поле bi_bdev в структуре bdev->bd_contains. Функция __bio_clone_fast была адаптирована для копирования информации о диске, но некорректно обрабатывала информацию о разделах на нём, что могло привести к повреждению содержимого при использовании BCache.

В зависимости от настроек проблема проявляется выдачей некорректных данных при чтении из раздела BСache, но также отмечаются и случаи невосстановимых повреждений базового раздела после его монтирования в составе BCache. Не исключено, что проблема может проявляться и для других блочных подсистем ядра, использующих вызов __bio_clone_fast.

  1. Главная ссылка к новости
  2. OpenNews: В реализации программного RAID для Linux обнаружена ошибка, которая может привести к повреждению мета-данных
  3. OpenNews: Уязвимость в NAND Flash может привести к повреждению чужих данных на SSD-накопителях
  4. OpenNews: Выпущен патч для исправления ошибки в ext4, которая могла привести к повреждению ФС
  5. OpenNews: Содержимое ячеек DRAM может быть повреждено в результате цикличного чтения
  6. OpenNews: Проблема с повреждением разделов Ext4 оказалась в md-raid0
Обсуждение (57 +19) | Тип: К сведению |
22.11.2017 Обновление дистрибутива LXLE 16.04.3 (24 +8)
  Представлен выпуск дистрибутива LXLE 16.04.3, ориентированного для использования на устаревших системах. Дистрибутив LXLE основан на наработках Ubuntu MinimalCD и пытается предоставить максимально легковесное решение, сочетающее поддержку устаревшего оборудования с современным пользовательским окружением. Необходимость в создании отдельного ответвления обусловлена желанием включения в состав дополнительных драйверов для старых систем и переработкой пользовательского окружения. Размер загрузочных iso-образов 1.6 Гб (x86_64, i386).

Для навигации по Сети в дистрибутиве предлагается набор интернет-приложений SeaMonkey с дополнениями Lightning, Stylish, Bluhell firewall и FireFTP. Для обмена сообщениями поставляется uTox. Для установки обновлений применяется собственный менеджер обновлений uCareSystem, запускаемый при помощи cron с целью избавления от лишних фоновых процессов. По умолчанию предлагается файловая система Btrfs. Графическое окружение построено на базе компонентов LXDE, композитного менеджера Compton, ланчера Fehlstart и приложений от проектов LXQt, MATE и Linux Mint.

Состав нового выпуска синхронизирован с пакетной базой LTS-ветки Ubuntu 16.04.3. Из изменений отмечается замена obkey на LXhotkey, модернизация меню приложений и темы оформления, интеграция компонентов из MATE, LXQT и Linux Mint, оптимизация предлагаемых по умолчанию PPA-репозиториев, адаптация темы оформления GTK+ для поставки приложений на базе Qt, возможность включения визуальных эффектов таких как затенение и прозрачность окон, средства для воспроизведения видео без разрывов (режим TearFree).

  1. Главная ссылка к новости
  2. OpenNews: Представлен LXLE, вариант Lubuntu для устаревших систем
  3. OpenNews: Выпуск легковесного дистрибутива antiX 17
  4. OpenNews: Доступно десктоп-окружениe LXQt 0.12
  5. OpenNews: Выпуск LXDE-common 0.5.6
  6. OpenNews: Выпуск файлового менеджера PCManFM 1.2.5, развиваемого проектом LXDE
Обсуждение (24 +8) | Тип: Программы |
22.11.2017 Выпуск дистрибутива OpenMandriva Lx 3.03 (19 +6)
  Доступен выпуск дистрибутива OpenMandriva Lx 3.03. Проект развивается силами сообщества после того как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации "OpenMandriva Association". Дистрибутив примечателен использованием по умолчанию компилятора Clang, инсталлятором на базе проекта Calamares и наличием пользовательского окружения LXQt. Для загрузки предлагается Live-сборка размером 2.3 Гб (x86_64, i586).

Из изменений в OpenMandriva Lx 3.03 отмечается проведение работы по сокращению времени загрузки, как для стационарно установленных систем, так и для Live-сборок. Обновлены версии программ: KDE Plasma 5.10.5, KDE Applications 17.04.0, X.org Server 1.19.5, Wayland 1.14.0, Mesa 17.2.3, ядро Linux 4.13.12, systemd 234, LLVM/clang 5.0.0, gcc 7.2.1_2017.10, glibc 2.26, LibreOffice 5.4.3, Qupzilla 2.2.1, Firefox 57.0, SMPlayer 17.10.2, VLC 2.2.4. OpenMandriva Lx 3.03 заявлен как последний выпуск с поддержкой архитектуры i586, в дальнейшем сборки будут формироваться только для 64-разрядных систем.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива OpenMandriva Lx 3.02
  3. OpenNews: Выпуск дистрибутива OpenMandriva Lx 3.01
  4. OpenNews: Релиз дистрибутива OpenMandriva Lx 3.0
  5. OpenNews: OpenMandriva переходит на Clang и новый инсталлятор
  6. OpenNews: Проект OpenMandriva запустил собственную инфраструктуру разработки
Обсуждение (19 +6) | Тип: Программы |
21.11.2017 Релиз qBittorrent 4.0.0 (112 +44)
  Представлен релиз торрент-клиента qBittorrent 4.0.0, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности.

Среди реализованных новшеств:

  • Новый набор пиктограмм, основанный на векторных изображениях в формате SVG, который в будущем сможет масштабироваться в зависимости от плотности пикселей на экране;
  • Полностью прекращена поддержка Qt 4, в качестве минимальной версии заявлен Qt 5.5.1;
  • Добавлен интерфейс для управления локальным списком заблокированных IP;
  • Возможность определения пути для сохранения/чтения файлов конфигурации;
  • Возможность передачи опций через переменные окружения, а не только через аргументы командной строки;
  • Возможность слияния подкаталогов в многофайловых торрентах;
  • Добавлен виджет для отображения путей файловой системы в процессе набора в диалоге добавления нового торрента;
  • Возможность смены позиции столбцов в списке трекеров;
  • Модернизирован интерфейс создания торрентов;
  • Включена возможность использования drag&drop для создания торрента в основном окне;
  • Добавлена опция для показа/скрытия строки состояния;
  • В интерфейс добавлена функция привязки нескольких тегов;
  • В настройках расширено число опций для управления параметрами libtorrent.

  1. Главная ссылка к новости
  2. OpenNews: Проект Elementary OS представил BitTorrent-клиент Torrential
  3. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  4. OpenNews: Доступен торрент-клиент qBittorrent 3.3.5
  5. OpenNews: Релиз BitTorrent-клиента KTorrent 5.0
  6. OpenNews: Взлом инфраструктуры свободных проектов Deluge и qBittorrent
Обсуждение (112 +44) | Тип: Программы |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor