The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.06.2017 Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак (7 +5)
  Компания Cloudflare предупредила об увеличении интенсивности применения протокола SSDP (Simple Service Discovery Protocol), используемого в системах с поддержкой UPnP, в качестве усилителя трафика при проведении DDoS-атак. Cloudflare обращает внимание на практику оставления доступа к 1900 UDP-порту, который позволяет при обработке некоторых запросов, формировать ответы, по размеру многократно превышающие запрос, чем пользуются организаторы DDoS-атак.

Смысл атаки с использованием усилителя трафика сводится к тому, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг). SSDP позволяет в 7 раз приумножить число используемых в атаке пакетов и в 20 раз приумножить трафик. Для сравнения коэффициент усиления для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6. Имея современный сервер с подключением 10 Gbps и используя SSDP как усилитель, c учётом необходимости проведения спуфинга, можно сформировать поток на уровне 43 миллионов пакетов в секунду с трафиком в 112 гигабит в секунду.

Сетевой UDP-порт 1900 применяется протоколами SSDP и UPnP для обнаружения новых устройств в локальной сети. В качестве одного из методов обнаружения поддерживается M-SEARCH, подразумевающий отправку multicast-запросов по адресу 239.255.255.250. Все устройства, принимающие соединения на данном multicast-IP, получив запрос M-SEARCH с заголовком "ssdp:all", в ответ сообщают информацию о себе, uuid, тип сервера и URL Web API. Проблема заключается в том, что подобные запросы не ограничиваются локальной сетью, обрабатываются при поступлении на обычный (unicast) IP и используют протокол UDP, позволяющий выполнить спуфинг (указать фиктивный обратный IP-адрес). В итоге, в ответ на один пакет с запросом, UPnP-устройство отправляет 8 пакетов с информацией.

Пользователям и администраторам рекомендуется обеспечить блокировку доступа к сетевому UDP-порту 1900 из внешних сетей. Наибольшее число участвовавших в атаках систем с открытым портом 1900 отмечается в Китае (439126), России (135783, в top10 операторов через которые выполняется усиление трафика фигурируют Вымпелком/Билайн и ЭР Телеком/Дом.ru), Аргентине (74825), США (51222) и республике Тайвань (41353). Сетевым операторам рекомендуется настроить фильтры для блокирования спуфинга. Проверить свою систему на предмет возможности её применения в качестве усилителя трафика можно через web-сервис Bad UPnP.

Рейтинг идентификаторов устройств, участвовавших в атаке в качестве усилителей трафика:

  • 12863 Ubuntu/7.10 UPnP/1.0 miniupnpd/1.0
  • 11544 ASUSTeK UPnP/1.0 MiniUPnPd/1.4
  • 10827 miniupnpd/1.0 UPnP/1.0
  • 8070 Linux UPnP/1.0 Huawei-ATP-IGD
  • 7941 TBS/R2 UPnP/1.0 MiniUPnPd/1.4
  • 7546 Net-OS 5.xx UPnP/1.0
  • 6043 LINUX-2.6 UPnP/1.0 MiniUPnPd/1.5
  • 5482 Ubuntu/lucid UPnP/1.0 MiniUPnPd/1.4
  • 4720 AirTies/ASP 1.0 UPnP/1.0 miniupnpd/1.0
  • 4667 Linux/2.6.30.9, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
  • 3334 Fedora/10 UPnP/1.0 MiniUPnPd/1.4
  • 2044 miniupnpd/1.5 UPnP/1.0
  • 1325 Linux/2.6.21.5, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
  • 843 Allegro-Software-RomUpnp/4.07 UPnP/1.0 IGD/1.00
  • 776 Upnp/1.0 UPnP/1.0 IGD/1.00
  • 675 Unspecified, UPnP/1.0, Unspecified
  • 648 WNR2000v5 UPnP/1.0 miniupnpd/1.0
  • 562 MIPS LINUX/2.4 UPnP/1.0 miniupnpd/1.0
  • 518 Fedora/8 UPnP/1.0 miniupnpd/1.0
  • 372 Tenda UPnP/1.0 miniupnpd/1.0
  • 346 Ubuntu/10.10 UPnP/1.0 miniupnpd/1.0
  • 330 MF60/1.0 UPnP/1.0 miniupnpd/1.0

  1. Главная ссылка к новости
  2. OpenNews: Открыт код Syncookied, системы защиты от DDoS-атак
  3. OpenNews: Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак
  4. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
  5. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  6. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с
Обсуждение (7 +5) | Тип: Проблемы безопасности |
29.06.2017 Релиз гипервизора Xen 4.9 (7 +8)
  После семи месяцев разработки состоялся релиз свободного гипервизора Xen 4.9. По сравнению с прошлым выпуском в Xen 4.8 внесено 1549 изменений, что на 20% больше, чем в прошлом выпуске. В создании нового выпуска приняло участие 86 разработчиков, представляющих 30 компаний (для сравнения прошлый выпуск создан силами 68 разработчиков из 25 компаний).

Ключевые изменения в Xen 4.9:

  • Добавлена поддержка загрузки Xen c использованием протокола multiboot2, что позволяет организовать загрузку на платформах BIOS и EFI с использованием загрузчка GRUB2. Частично поддержка multiboot2 также реализована для загружаемых по сети прошивок (iPXE). Из достоинств применения multiboot2 отмечается возможность изменения настроек непосредственно из загрузчика и переносимость загрузочной конфигурации между разными платформами;
  • Представлен новый планировщик "null", обеспечивающий минимальные накладные расходы от работы планировщика, предсказуемую производительность и уровень задержек близкий к системам, работающим без использования виртуализации, в условиях когда каждый виртуальный CPU закреплён за физическим CPU. В качестве наиболее перспективных областей применения нового планировщика отмечаются встраиваемые и автомобильные окружения;
  • Полностью переработан и консолидирован интерфейс для взаимодействия между Xen и QEMU, который переведён на один универсальный гипервызов (hypercall) DMOP (Device Model Operation Hypercall), который позволяет использовать драйвер privcmd для аудита любых областей памяти QEMU и параметров, переданных в Xen через DMOP. Аудит включен в Linux-драйвере privcmd, что позволяет существенно ограничить возможности по проведению атак на гипервизор через компрометацию компонентов QEMU. Кроме того, продолжается работа над проектом по обеспечению непривилегированного запуска QEMU в Dom0;
  • Для систем на базе процессоров ARM представлен новый параметр vwfi (virtual Wait For Interrupt), позволяющий выбрать метод обработки инструкций WFI. Например, указав в vwfi значение "native" можно примерно на 60% сократить задержки в обработке прерываний. Тесты на плате Xilinx Zynq Ultrascale+ MPSoC подтвердили, что уровень задержек при обработке прерывания не превышает 2 микросекунд, что очень близко к аппаратным ограничениям и достаточно для большинства встраиваемых решений;
  • Реализован новый ABI для совместного использования устройств в виртуальных машинах, который хорошо подходит для некоторых применений, специфичных для встраиваемых, автомобильных и облачных систем;
  • Для применения на встраиваемых и автомобильных системах добавлен виртуальный звуковой ABI, через который можно реализовать воспроизведение и запись звука, а также управление громкостью и включение/отключение источников звука.
  • Добавлен виртуальный экранный ABI для сложных устройств отображения, включающих несколько фреймбуферов и дисплеев;
  • Для использования сенсорных экранов в протокол работы с виртуальной клавиатурой/мышью добавлена поддержка мультитач;
  • Представлен Xen-транспорт для протокола 9pfs, обеспечивающего работу с сетевой файловой системой Plan 9. Фронтэнд для 9pfs передан для включение в состав ядра Linux, а бэкенд добавлен в QEMU. 9pfs позволяет предоставить доступ к ФС из одной виртуальной машины к другой;
  • Реализован PV Calls ABI, позволяющий перенаправлять POSIX-вызовы между гостевыми системами. При помощи данного ABI вызов POSIX-функции, инициированный из приложения в DomU, может быть перенаправлен и обработан на стороне Dom0. Например, обращение к сетевому стокету может быть выполнено на стороне Dom0, позволяя реализовать новую сетевую модель, естественно вписывающуюся в концепцию cloud-native приложений;
  • Проведена работа по оптимизации и увеличению масштабируемости демонов Xenstored, позволяющих Dom0 и гостевым системам получить доступ к информации о конфигурации системы. Cxenstored теперь может эффективно работать на очень крупных хостах, насчитывающих более тысячи гостевых систем. Увеличена производительность обработки транзакций, снижено потребление памяти и сокращено число конфликтов транзакций. Добавлены средства для динамической отладки;
  • Для систем ARM32 реализована возможность применения патчей на лету (Live Patching) без необходимости перезапуска гипервизора, а также добавлена поддержка GIC-v3 (Generic Interrupt Controller version 3);
  • Для систем x86 добавлена поддержка инстркций AVX512_4VNNIW (Neural Network Instructions) и AVX512_4FMAPS (Multiply Accumulation Single Precision), которые позволяют задействовать в HVM- и PV-окружениях средства аппаратного ускорения для систем машинного обучения. В новом выпуске также внесены оптимизации в код поддержки VT-d Posted Interrupt (PI) и обработки MCE (Machine Check Exception);
  • Для платформ ARM реализованы средства определения системных ошибок (System Error Detection), применяемые при построении отказоусточнивых систем;
  • Старая реализация GCOV замена на обновлённую версию, которая поддерживает большее число форматов и предоставляет унифицированный интерфейс;
  • С целью повышения защиты переработан код эмуляции x86, в том числе проведён аудит безопасности на предмет наличия возможных уязвимостей, добавлена поддержка новых инструкций и создан тестовый набор для проведения fuzzing-тестирования на базе AFL;
  • Обеспечена поддержка спецификации Microsoft Hyper-V Hypervisor TLFS (Top-Level Functional Specification) 5.0, что позволило организовать запуск в Xen гостевых систем Windows с производительностью на уровне Hyper-V. В разработке находится реализация запуска Hyper-V в Xen с использованием вложенной виртуализации.

  1. Главная ссылка к новости
  2. OpenNews: Серия критических уязвимостей в гипервизоре Xen
  3. OpenNews: Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения
  4. OpenNews: Уязвимость в Xen, позволяющая выйти за пределы гостевой системы
  5. OpenNews: Релиз гипервизора Xen 4.8
  6. OpenNews: Релиз гипервизора Xen 4.7.0
Обсуждение (7 +8) | Тип: Программы |
29.06.2017 Фонд свободного ПО сертифицировал 15 устройств компании Technoethical (25 +11)
  Фонд Свободного ПО представил серию новых устройств, получивших сертификат "Respect Your Freedom", который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством.

Сертификат получили сразу 15 устройств от компании Technoethical, в том числе ноутбуки TET-X200, TET-X200T, TET-X200s, TET-T400, TET-T400s и TET-T500 (восстановленные варианты Lenovo ThinkPad X200, T400 и T500), док-станции TET-X200DOCK и TET-T400DOCK для серий ноутбуков X200, T400 и T500, материнская плата TET-D16 (ASUS KGPE-D16 с прошивкой Coreboot), набор беспроводных адаптеров TET-N150HGA, TET-N300, TET-N300HGA, TET-N300DB, TET-N450DB, а также Bluetooth-адаптер TET-BT4 USB.

Из ранее сертифицированных устройств можно отметить Gluglug X60 (Lenovo ThinkPad X60), Libreboot X200 (Lenovo ThinkPad X200), Taurinus X200 (Lenovo ThinkPad X200), Libreboot T400 (Lenovo ThinkPad T400), беспроводные маршрутизаторы ThinkPenguin TPE-NWIFIROUTER и TPE-R1100, 3D-принтеры LulzBot AO-101 и LulzBot TAZ 6, WiFi-маршрутизатор ThinkPenguin, беспроводной USB-адаптер Tehnoetic TET-N150, материнскую плату Vikings D16, внешнюю звуковую карту Vikings и ноутбук Vikings X200.

Для получения сертификата от Фонда СПО продукт должен удовлетворять следующим требованиям:

  • поставка свободных драйверов и прошивок;
  • всё поставляемое с устройством программное обеспечение должно быть свободным;
  • отсутствие ограничений DRM;
  • возможность полного контроля за работой устройства;
  • поддержка замены прошивок;
  • поддержка работы полностью свободных GNU/Linux дистрибутивов;
  • использование не ограниченных патентами форматов и программных компонентов;
  • наличие свободной документации.

  1. Главная ссылка к новости
  2. OpenNews: Фонд свободного ПО сертифицировал материнскую плату Vikings D16
  3. OpenNews: Фонд СПО признал ноутбук Libreboot X200 соответствующим требованиям обеспечения свободы пользователей
  4. OpenNews: Фонд СПО вручил сертификат беспроводному маршрутизатору ThinkPenguin
  5. OpenNews: Представлен первый ноутбук, сертифицированный Фондом СПО
  6. OpenNews: Инициатива по созданию свободного NAS GnuBee Personal Cloud 1
Обсуждение (25 +11) | Тип: К сведению |
29.06.2017 Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов (24 +12)
  Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о достижении рубежа в 100 млн сертификатов. Также отмечается прогресс в продвижении HTTPS - доля запросов страниц по HTTPS приближается к 60%, судя по статистике, полученной в рамках работы сервиса Firefox Telemetry. Для сравнения, 19 месяцев назад при запуске проекта Let’s Encrypt этот показатель составлял 40%, а в начале 2017 года достиг значения в 50%.

По статистике Google доля страниц, открытых по HTTPS, составляет от 56% до 70% (ChromeOS - 70%, macOS - 69%, Windows - 59%, Linux - 58%, Android - 56%). При этом на просмотра контента по HTTPS пользователи тратят от 75% до 81% времени (исключение составляет Android с показателем 56%).

  1. Главная ссылка к новости
  2. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  3. OpenNews: Фонд СПО пересмотрел список приоритетных свободных проектов
  4. OpenNews: Корневой сертификат Let's Encrypt принят в список доверия Mozilla
  5. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
  6. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt вышел из стадии бета-тестирования
Обсуждение (24 +12) | Тип: К сведению |
29.06.2017 Уязвимость в Node.js, которая может привести к отказу в обслуживании (2 +4)
  Разработчики серверной JavaScript-платформы Node.js предупредили о намерении выпустить 11-12 июля корректирующие выпуски для веток 4.x, 6.x, 7.x и 8.x, в которых будет устранена уязвимость, позволяющая удалённо вызвать отказ в обслуживании. Уязвимости присвоен высокий уровень опасности. Пользователям рекомендовано заранее запланировать обновление и установить корректирующие выпуски сразу после их появления. Детали об уязвимости не приводятся.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск серверной JavaScript-платформы Node.js 8.0
  3. OpenNews: Выпуск серверной JavaScript-платформы Node.js 7.0
  4. OpenNews: В рамках проекта PurpleJS развивается альтернатива Node.js, работающая поверх JVM
  5. OpenNews: Выпуск серверной JavaScript-платформы Node.js 6.0
  6. OpenNews: NodeOS, операционная система с пользовательским окружением на JavaScript и Node.js
Обсуждение (2 +4) | Тип: Проблемы безопасности |
29.06.2017 GitHub выступил с инициативой "Открытая пятница" (41 +16)
  GitHub представил инициативу Открытая пятница, в рамках которой попытался простимулировать компании и индивидуальных разработчиков на участие в разработке открытых проектов. GitHub призывает последовать его примеру и предоставить возможность сотрудникам тратить два часа рабочего времени по пятницам для работы над открытыми проектами, которые так или иначе используются в повседневной деятельности. Например, это время может быть потрачено на исправление имеющихся проблем и создание недостающей функциональности.

Для координации работы GitHub запустил специальный сайт opensourcefriday.com, на котором можно делиться информацией о проделанной работе, отслеживать своё пятничное участие в разработке открытого ПО и планировать задачи на будущее. На сайте также представлен календарь-планировщик для организации регулярной работы над открытыми проектами и подборка материалов, которые помогут убедить работодателей присоединиться к инициативе. Код сайта опубликован на GitHub под лицензией MIT.

  1. Главная ссылка к новости
Обсуждение (41 +16) | Тип: К сведению |
29.06.2017 Релиз консольного оконного менеджера GNU screen 4.6.0 (2 +13)
  Доступен релиз полноэкранного консольного оконного менеджера GNU screen 4.6.0, позволяющего использовать один физический терминал для работы с несколькими приложениями, которым выделяются отдельные виртуальные терминалы, остающиеся активными между разными сеансами связи пользователя.

Из изменений отмечается:

  • Просмотр истории прокрутки теперь начинается с первой строки вывода (ранее курсор оставался на последней строке, что требовало его перевода через весь экран для начала листания истории прокрутки);
  • Обновление таблиц Unicode до версии 9.0;
  • Расширение диапазона поддерживаемых скоростей для последовательных портов;
  • Улучшение поддержки пространств имён;
  • Переход от использования fifo-каналов на сокеты.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск консольного оконного менеджера tmux 2.3
  3. OpenNews: Первый выпуск abduco, легковесной альтернативы tmux и screen
  4. OpenNews: Для tmux реализована поддержка сохранения сеанса между перезагрузками
  5. OpenNews: Релиз консольного оконного менеджера GNU screen 4.5.0
  6. OpenNews: Уязвимость в GNU Screen 4.5.0
Обсуждение (2 +13) | Тип: Программы |
28.06.2017 Леннарт Поттеринг представил mkosi, инструмент для генерации образов ОС (91 –9)
  Следом за Casync Леннарт Поттеринг (Lennart Poettering) представил ещё один свой проект - mkosi (Make Operating System Image), в рамках которого подготовлен инструментарий для генерации загрузочных образов операционных систем. Проект написан на языке Python, распространяется под лицензией LGPL 2.1 и представляет собой обвязку над такими утилитами, как dnf (режим "--installroot"), debootstrap, pacstrap и zypper, предоставляющую унифицированный интерфейс для создания образов, независимый от используемого дистрибутива.

Mkosi позиционируется как legacy-free, т.е. поддерживает только актуальные в современных реалиях технологии. Например, образы могут генерироваться только с таблицами разделов GPT (MBR не поддерживает), только на основе systemd и только для загрузки на системах с EFI (системы с BIOS не поддерживаются). Для корневого раздела могут применяться ФС ext4, btrfs и squashfs. Дополнительно в образ могут включаться раздел подкачки, /srv и /home. Для данных в разделах может быть включено шифрование через LUKS, верификация целостности при помощи dm-verity и проверка по цифровой подписи для UEFI SecureBoot. Также возможна генерация системного образа в виде каталога в текущей ФС (OS tree), tar-архива или подразделов Btrfs.

Поддерживается создание образов на базе дистрибутивов Fedora, Debian, Ubuntu, Arch Linux и openSUSE. В качестве хост-системы для сборки образов может применяться любой дистрибутив, в котором может выполняться debootstrap (Debian), dnf (Fedora ), pacstrap (Arch) или zypper (openSUSE). Для ускорения повторных сборок может применяться кэш пакетов RPM и DEB. Созданный образ может быть запущен в виде контейнера командой "systemd-nspawn -bi image.raw". Системная начинка определяется через файл конфигурации mkosi.default, в котором можно выбрать тип дистрибутива для построения образа и список устанавливаемых пакетов.

Подразумевается, что разработчики приложений смогут включить в состав своего проекта файл mkosi.default, который позволит быстро сгенерировать системный образ для запуска данного приложения в локальном контейнере, развёртывания в облаке или на IoT-устройстве при помощи casync. При этом для создания образа не требуется изучение специфики сборочных инструментов для разных дистрибутивов.

Подготовленный образ может быть запущен напрямую на оборудовании, использован внутри виртуальной машины, запущен как контейнер при помощи systemd-nspawn или вызыван как сервис systemd (unit с "RootImage="). Для разработчиков встраиваемой техники mkosi даёт возможность легко организовать генерацию системных образов прошивки, защищённых от модификации посторонними лицами, благодаря применению dm-verity и UEFI SecureBoot.

  1. Главная ссылка к новости
  2. OpenNews: Леннарт Поттеринг представил свой новый проект Casync
  3. OpenNews: Разработчики Systemd намерены внедрить кардинально новые методы построения дистрибутивов Linux
  4. OpenNews: Docker и CoreOS объединили усилия в разработке единого формата контейнеров
Обсуждение (91 –9) | Тип: Программы |
28.06.2017 Компания Sony открыла свои наработки в области нейронных сетей (14 +11)
  Компания Sony представила проект NNabla (Neural Network Libraries), в рамках которого открыла наработки в области построения нейронных сетей для решения задач глубинного машинного обучения. Система универсальная и изначально рассчитана на использование как на настольных ПК и встраиваемых устройствах, так и в кластерах и крупных серверах для решения исследовательских задач и практического применения. Код ядра NNabla написан на языке C++ и распространяется под лицензией Apache 2.0.

Для конечных приложений предлагается программный интерфейс для языка Python, отличающийся простотой использования и высокой гибкостью. Например, для создания двухуровневой нейронной сети для классификации потерь (loss) достаточно пяти строк кода. При этом предоставляется единый API для работы со статическими и динамическими графами вычислений (статические графы вычислений более эффективны с точки зрения потребления памяти и скорости работы, а динамические обладают большей гибкостью в построении моделей). Допускается подключение модулей с реализацией новых функций, методов оптимизации и операторов для нейронной сети.

Поддерживается работа в Linux и Windows. Благодаря ядру на C++ система достаточно компактна и может работать на встраиваемых системах с ограниченными ресурсами. Для ускорения вычислений предоставлены средства для организации выполнения с привлечением специфичных реализаций, например на базе FPGA. Из готовых оптимизирующих модулей отмечается бэкенд для задействования CUDA для выноса вычислений на сторону GPU. Также поддерживается специальный движок для оптимизации работы с памятью, позволяющий организовать совместное использование памяти.

Из областей, в которых Sony уже применяет NNabla, отмечены оценка стоимости недвижимости в Sony Real Estate Corporation, распознавание действий пользователя в системе "Xperia Ear" (например, подтверждение операции или приём звонка кивком головы) и распознавание рукописного ввода в электронной книге Sony DPT-RP1. По своему назначению NNabla близок к такими существующим фреймворкам, как TensorFlow, Torch и Theano.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системы машинного обучения TensorFlow 1.0 и классификатора изображений ResNeXt
  3. OpenNews: Первый выпуск Gneural Network, программируемой нейронной сети от проекта GNU
  4. OpenNews: Проект OpenNMT развивает систему машинного перевода на основе нейронной сети
  5. OpenNews: Анонсировано открытие кода платформы искусственного интеллекта DeepMind Lab
  6. OpenNews: Baidu открыл наработки в области машинного обучения
Обсуждение (14 +11) | Тип: К сведению |
28.06.2017 Уязвимость в systemd-resolved (79 +17)
  В systemd-resolved, поставляемом в составе systemd кэширующем DNS-резолвере, выявлена уязвимость (CVE-2017-9445), которая потенциально может привести к выполнению кода при обработке специально оформленного ответа от DNS-сервера, подконтрольного злоумышленнику. Проблема вызвана ошибкой в расчёте размера памяти для обработки запроса, которая может привести к тому, что TCP-ответ не уместится в выделенный буфер.

Проблеме подвержены версии systemd с 223 по 233 включительно. Обновление с устранением проблемы выпущено для Fedora Linux и Ubuntu, но пока недоступно для Debian Stretch. Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.

  1. Главная ссылка к новости
  2. OpenNews: В systemd 228 обнаружена локальная root-уязвимость
  3. OpenNews: Локальная DoS-уязвимость в systemd
  4. OpenNews: Релиз systemd 231
  5. OpenNews: Релиз systemd 232
  6. OpenNews: Релиз systemd 233
Обсуждение (79 +17) | Тип: Проблемы безопасности |
28.06.2017 В Ubuntu Core обеспечена официальная поддержка портативного варианта Raspberry Pi 3 (16 +7)
  Компания Canonical объявила об обеспечении официальной поддержки в платформе Ubuntu Core платы Raspberry Pi 3 Compute Module, портативного варианта модели Raspberry Pi 3, оформленного в форм-факторе планки памяти для ноутбука. Для установки подготовлен системный образ размером 360 Мб.

Ubuntu Core представляет собой компактный вариант дистрибутива Ubuntu, адаптированный для применения на устройствах интернета вещей (IoT), контейнерах, потребительском и промышленном оборудовании. Вместо традиционных deb-пакетов в дистрибутиве используется модель монолитного построения образа базовой системы, поверх которого запускаются самодостаточные надстройки в формате snap.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Ubuntu Core 16
  3. OpenNews: Представлен вариант Ubuntu Core для умных устройств
  4. OpenNews: Canonical развивает универсальные пакеты snap, работающие в различных дистрибутивах Linux
  5. OpenNews: Обновление инструментов Snapd 2.22 и Snapcraft 2.26 для самодостаточных пакетов Snap
  6. OpenNews: Начались поставки варианта Raspberry Pi 3 в форм-факторе планки памяти
Обсуждение (16 +7) | Тип: Программы |
28.06.2017 Выпуск nginx 1.13.2 (8 +11)
  Доступен новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.13.2, в котором реализованы следующие изменения:
  • В модуле ngx_http_headers реализована директива "add_trailer", через которую можно определить дополнительное поле, которое будет добавлено в конец ответа, если код ответа равен 200, 201, 206, 301, 302, 303, 307 или 308;
  • Nginx теперь возвращает код ответа 200 вместо 416, если для пустого файла запрошена передача диапазона, начинающегося с нуля;
  • Решены проблемы со сборкой в окружениях Cygwin и NetBSD, а также при использовании 64-разрядного инструментария MSYS2 / MinGW;
  • Устранён крах рабочего процесса, который мог произойти при использовании SSI с большим числом включений и переменными proxy_pass;
  • Исправлены ошибки в модуле ngx_http_v2.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск nginx 1.13.1
  3. OpenNews: Yandex опубликовал статический анализатор файлов конфигурации nginx
  4. OpenNews: Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx
  5. OpenNews: Выпуск nginx 1.13.0
  6. OpenNews: Релиз HTTP-сервера nginx 1.12.0
Обсуждение (8 +11) | Тип: Программы |
27.06.2017 Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа (98 +27)
  Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456". Среди подобных учётных записей есть и популярные модули, которые находятся в зависимостях у других пакетов. С учётом загрузки других модулей по цепочке зависимостей, компрометация ненадёжных учётных записей может поразить в сумме до 52% от всех модулей в NPM.

Всего удалось получить доступ к 15495 учётным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учётным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакеты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Компания NPM Inc приняла исследование во внимание и инициировала процесс смены паролей для ненадёжных учётных записей. Для усиления защиты NPM запрещено использование словарных и коротких паролей, скоро будет ограничена поддержка "HTTP Basic auth", в более отдалённых планах внедрение двухфакторной аутентификации.

Контроль над 2545 учётными записями (5470 пакетов) был получен в ходе проведения Bruteforce-атаки по подбору типовых паролей. Данные об 12150 учётных записях (57112 пакетов) были получены путём сопоставления сведений из крупных публичных утечек баз паролей (когда пользователь использовал идентичные пароли на NPM и взломанных сайтах, базы паролей которых были выложены в открытый доступ). Допуск к 732 учётным записям (4786 пакетов) удалось получить путём варьирования пароля из публичных утечек (например, добавление цифр, замена имени на npm и т.п.). Контроль над оставшимися 120 проблемными учётными записями (582 пакета) был получен через поиск утечек параметров входа в файлах, опубликованных на GitHub (например, вместе с другими файлами загружены .npmrc, config.json, .gitconfig и т.п.).

Некоторые интересные факты:

  • В учётной записи для доступа к модулю koa, который в прошлом месяце был загружен 300 тысяч раз, использовался пароль "password";
  • Один из пользователей, контролирующий более 20 млн загрузок в месяц, в ответ на отзыв скомпрометированного пароля, установил в качестве нового пароля содержимое старого, добавив к нему символ "!";
  • Пользователь, входящий в top-20, после сброса скомпрометированного пароля опять вернул свой старый пароль через некоторое время;
  • У 662 пользователей был установлен пароль "123456", у 168 - "123", у 115 - "password";
  • 1409 пользователей (1%) указали в качестве пароля свой логин;
  • 10% пользователей повторно использовали свой заведомо скомпрометированный пароль: 9.7% в изначальном виде, а 0.6% внеся в него незначительное изменение;
  • Трафик всех пакетов, к которым был получен доступ в ходе исследования, составляет почти два миллиарда (1 946 302 172) загрузок в месяц, что примерно 20% от общего объёма загрузок.

  1. Главная ссылка к новости
  2. OpenNews: Небезопасное хранение данных в менеджерах паролей для платформы Android
  3. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  4. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  5. OpenNews: Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
  6. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
Обсуждение (98 +27) | Тип: Проблемы безопасности |
27.06.2017 Разработчик языка XL опубликовал новую сборочную систему build (24 +9)
  Christophe de Dinechin, автор языка программирования XL, участник разработки спецификаций C++, создатель системы виртуализации для HP-UX и разработчик ряда известных компьютерных игр, в настоящее время работающий в компании Red Hat над технологией удалённого рабочего стола SPICE, опубликовал новую сборочную систему "build". Сборочная система ранее была задействована для сборки кодовой базы проектов ELFE и XL, а теперь может применяться в качестве универсального продукта, не привязанного к конкретным системам. Код открыт под лицензией GPLv3.

Build представляет собой серию надстроек над утилитой make для упрощения сборки проектов на С/С++, которая оформлена в виде набора make-сценариев. Ключевой особенностью Build является предоставление встроенных средств для автоматической настройки сборочного окружения, которые в отличие от Automake не требуют запуска отдельной фазы генерации сборочных файлов. Build также поддерживает ведение сборочного лога, подсветку вывода, обработку стадий тестирования и установки приложения. Отмечается, что Build не так богат возможностями как Autoconf, но вполне подходит для несложных проектов. При этом Build очень прост в использовании и не требует написания длинных make-файлов или определения правил для automake и cmake.

Особенности Build:

  • Очень короткие и хорошо читаемые сборочные сценарии, предоставляющие все наиболее полезные возможности сборочной системы;
  • Компактный размер: для типовой сборки достаточно поставки кода makefile, размером около 500 строк;
  • Высокая скорость работы, так как короткие makefile с небольшим числом правил разбираются очень быстро;
  • Автоматическая инкрементальная конфигурация проекта, генерация файла config.h;
  • Автоматическое ведение лога с деталями процесса сборки;
  • Автоматическая однопроходная генерация зависимостей для заголовочных файлов;
  • Поддержка команд "make test" и "make install";
  • Компактный отчёт о ходе сборки с подсветкой важных элементов;
  • Вывод после завершения сборки сводного отчёта об ошибках и предупреждениях;
  • Подсветка ошибок и предупреждений в выводе;
  • Правила для сборки в различных режимах (оптимизация, отладка, формирование релиза, профилирование);
  • Наличие правил-модификаторов для типовых сборочных опций, таких как v-debug для подробной отладки;
  • Возможность определения персональных настроек через переменные окружения;
  • Встроенная система подсказки ("make help");
  • Полная поддержка стандартного синтаксиса Makefile и всех возможностей утилиты make;
  • Поддержка распараллеливания процесса сборки на несколько потоков;
  • Возможность разделения библиотек для ускорения сборки (библиотеки собираются только при первой сборке или при инициировании глубокой сборки);
  • Хорошая переносимость. Система протестирована в Linux, macOS и Windows.

Пример сборочного сценария:


    BUILD=./
    SOURCES=hello.cpp
    PRODUCTS=hello.exe
    CONFIG= ‹stdio.h› ‹iostream› clearenv libm
    TESTS=product
    include $(BUILD)rules.mk 

  1. Главная ссылка к новости
  2. OpenNews: Первый публичный выпуск сборочного инструментария build2
  3. OpenNews: Компания Google представила первый выпуск открытой системы сборки Bazel
  4. OpenNews: Twitter представил первый значительный выпуск системы сборки Pants
  5. OpenNews: Выпуск сборочного инструментария qbs 1.8, развиваемого проектом Qt
  6. OpenNews: Для GNOME-приложений представлена новая экспериментальная система сборки BuilDj
Обсуждение (24 +9) | Тип: Программы |
26.06.2017 Выпуск рабочего стола Lumina 1.3 (44 +13)
  Сформирован релиз легковесного окружения рабочего стола Lumina 1.3, развиваемого проектом TrueOS (бывший PC-BSD). Компоненты окружения написаны с использованием библиотеки Qt5 (без применения QML). Lumina придерживается классического подхода к организации пользовательского окружения. В состав входит рабочий стол, панель приложений, менеджер сеансов, меню приложений, система настройки параметров окружения, менеджер задач, системный лоток, система виртуальных рабочих столов. Код проекта написан на языке C++ и распространяется под лицензией BSD. Новый выпуск Lumina распространяется через систему портов FreeBSD и репозиторий TrueOS.

В качестве оконного менеджера применяется Fluxbox, но в одном из следующих значительных выпусков планируется заменить его на оконный менеджер собственной разработки. В рамках проекта также развивается собственный файловый менеджер Insight, обладающий такими возможностями как поддержка вкладок для одновременной работы с несколькими директориями, накопление ссылок на избранные директории в разделе закладок, наличие встроенного мультимедиа-проигрывателя и просмотрщика фотографий с поддержкой слайдшоу, средствами для управления снапшотами ZFS, поддержкой подключения внешних плагинов-обработчиков.

Основные новшества:

  • В состав включён и задействован по умолчанию новый набор пиктограмм в стиле Material Design, доступный как в светлом, так и в тёмном представлениях. Ранее предлагаемый набор пиктограмм oxygen, заимствованный из проекта KDE, может быть установлен в качестве опции;
  • Представлено новое приложение Lumina Media Player, предоставляющее средства для воспроизведения музыки и видео с локального диска, а также для прослушивания интернет-радио (пока поддерживается только сервис Pandora). Интерфейс отличается минимализмом и ориентирован на быстрое создание списка воспроизведения и работу в фоне, не отвлекая пользователя (сворачивается в системный лоток и отображает изменение состояния на пиктограмме). Для воспроизведения контента задействован Qt-класс QMediaPlayer и Gstreamer;
  • Обновлено оформление файлового менеджера Insight, в котором добавлен режим древовидной навигации по всем каталогам в системе. В новой версии также проведена оптимизация производительности, обеспечено кэширование пиктограмм и реализована полная интеграция с менеджером архивов lumina-archiver;
  • Добавлена новая утилита lumina-xdg-entry, предназначенная для упрощения создания ярлыков и файлов .desktop.
  • Обеспечена возможность размещения папок на рабочем столе и навигации по их содержимому непосредственно с рабочего стола;
  • Добавлены средства для автоматического переноса настроек монитора от других пользовательских окружений (пока поддерживаются только одномониторные конфигурации);
  • Проведена оптимизация методов работы с пиктограммами на рабочем столе и взаимодействия с системой;
  • В текстовом редакторе lumina-texteditor добавлена возможность использования файлов-манифестов в формате JSON для определения правил подсветки синтаксиса. Число поддерживаемых форматов файлов расширено до 10. Добавлена возможность привязки настроек к отдельным типам файлов, таких как выбор метода разбивки слов, ограничение числа символов в строке, параметры выбора шрифтов и число отступов для табуляции. Добавлена опция для отображения диалога с обзором несохранённых изменений перед выходом.
  • В инструменте для создания скриншотов модернизирован интерфейс, добавлена возможность выбора области экрана для скриншота и обеспечен показ предупреждения о выходе без сохранения изображения;
  • Продолжена работа по обеспечению комфортной работы на мониторах с высокой плотностью пикселей (high-DPI);
  • По умолчанию отключен композитный менеджер Compton (может быть активирован вручную);
  • Добавлена поддержка дистрибутива Slackware;
  • Началась работа над системой вывода уведомлений lumina-notify, функциональность которой ещё не доведена до должного вида;
  • Утилиты Lumina, работа над которыми ещё не завершена, перемещены к каталог "experimental";
  • Порт для FreeBSD разделён на 12 частей: x11/lumina (общий метапорт для установки всех компонентов), x11/lumina-core (базовый рабочий стол), x11/lumina-coreutils (основные утилиты, такие как lumina-config, lumina-xconfig, lumina-search) и развиваемые проектом приложения (например, deskutils/lumina-fm, deskutils/lumina-mediaplayer, deskutils/lumina-calculator и т.п.);

  1. Главная ссылка к новости
  2. OpenNews: Третья стабильная сборка проекта TrueOS, пришедшего на смену PC-BSD
  3. OpenNews: Вторая стабильная сборка проекта TrueOS, пришедшего на смену PC-BSD
  4. OpenNews: Выпуск рабочего стола Lumina 1.2
  5. OpenNews: Выпуск рабочего стола Lumina 1.1
  6. OpenNews: Первый стабильный выпуск рабочего стола Lumina
Обсуждение (44 +13) | Тип: Программы |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList