The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.09.2018 Уязвимость в сетевых хранилищах WD MyCloud, позволяющая получить доступ без аутентификации (18 +6)
  В выпускаемых компанией Western Digital сетевых хранилищах My Cloud выявлена уязвимость (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации.

Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, установив Cookie "username=admin", и система предоставляла доступ с правами администратора не запрашивая пароль входа. Для генерации сессионного ключа для продолжения сеанса и обращения к другим скриптам с правами администратора можно отправить POST-запрос "cmd=cgi_get_ipv6&flag=1". Успешная атака позволяет полностью контролировать настройки устройства, а также читать, модифицировать и удалять любые данные в хранилище.

Компания Western Digital была информирована о проблеме ещё в апреле, но до сих пор не выпустила обновления. После пяти месяцев ожидания исследователь счёл возможным раскрыть сведения о выявленной уязвимости. Оказалось, что ещё в начале 2017 года другой исследователь безопасности уже сообщал в Western Digital о данной проблеме, но она так и не была рассмотрена. После публикации метода эксплуатации представители Western Digital сообщили, что обновление прошивки с устранением проблемы находится на финальной стадии тестирования.

Пользователям рекомендуется ограничить доступ к web-интерфейсу MyCloud только для заслуживающих доверие адресов, а также отключить функцию доступа их внешних сетей (Settings->General->Cloud Access). По умолчанию режим Dashboard Cloud Access отключен, но атака возможна и из локальной сети, например в результате компрометации других устройств.

  1. OpenNews: В сетевых хранилищах WDMyCloud выявлен бэкдор
  2. OpenNews: Центр защиты свободного ПО подал иск на 14 компаний за нарушение GPL
  3. OpenNews: Статистика надёжности жестких дисков Seagate, Western Digital и Hitachi
  4. OpenNews: Выявлено шпионское ПО, скрывающееся в прошивках жестких дисков
  5. OpenNews: Western Digital делает ставку на открытую архитектуру RISC-V
Обсуждение (18 +6) | Тип: Проблемы безопасности |
20.09.2018 Oracle передал код GlassFish организации Eclipse Foundation (9 +7)
  Компания Oracle завершила процесс передачи организации Eclipse Foundation открытого сервера приложений GlassFish c эталонной реализацией спецификации Java EE. Передача осуществлена в рамках инициативы по передаче разработки и управления проектом Java EE (Java Platform Enterprise Edition) независимому сообществу. Код GlassFish перемещён в репозиторий Eclipse и теперь будет развиваться в составе проекта Eclipse EE4J (Jakarta EE) под именем Eclipse GlassFish.

Получив контроль за эталонной реализацией Java EE организация Eclipse Foundation приступила к подготовке платформы Jakarta EE для приёма изменений от представителей сообщества. Из пока не перенесённых проектов остаётся фреймворк Krazo с реализацией Model View Controller API. Статус миграции остальных компонентов Java EE:

  1. OpenNews: Выпуск сервера приложений GlassFish 4.1 с поддержкой Java 8
  2. OpenNews: Компания Oracle передала сообществу Apache 1.5 млн строк кода NetBeans
  3. OpenNews: Сообщество и Oracle рассматривают возможность изменения модели разработки Java SE
  4. OpenNews: Компания Oracle выбрала Eclipse Foundation для передачи разработки Java EE
  5. OpenNews: Java EE переименован в Jakarta EE
Обсуждение (9 +7) | Тип: К сведению |
20.09.2018 Уязвимость в ядре Linux, потенциально позволяющая поднять привилегии (10 +4)
  В подсистеме vmacache ядра Linux обнаружена уязвимость (CVE-2018-17182), которая потенциально может быть использована для создания эксплоита для повышения привилегий локального пользователя в системе. Уязвимость вызвана отсутствием проверки переполнения 32-разрядного номера последовательности, что можно использовать для обращения к уже освобождённому блоку памяти (use-after-free). Проблема присуствует в ядрах с 3.16 по 4.18.8. Исправление пока доступно в виде патча. Обновления пакетов для дистрибутивов ещё не сформированы (Debian, Ubuntu, RHEL, SUSE, Fedora).

Также можно отметить оперативное выявление в ядре Linux уязвимости (CVE-2018-14641) в коде для обработки фрагментированных IPv4 пакетов. Уязвимость позволяет удалённо вызвать крах ядра при обработке специально оформленных фрагментированных пакетов. Проблема не вышла за пределы цикла разработки ядра 4.19 и проявляется только в экспериментальных выпусках с 4.19-rc1 по 4.19-rc3. Кроме того, для инициирования удалённого отказа в обслуживании на целевой системе должны применяться достаточно редко используемые настройки, не выставляемые по умолчанию, но иногда используемые для организации сетевого доступа виртуальных машин (должен быть настроен проброс и маскарадинг пакетов, а атака должна производиться из внутренней сети и подпасть под правила проброса и трансляции адресов).

  1. OpenNews: Выпуск модуля LKRG 0.4 для защиты от эксплуатации уязвимостей в ядре Linux
  2. OpenNews: Уязвимость в драйвере DisplayLink, позволяющая выполнить код в контексте ядра Linux
  3. OpenNews: Уязвимость в генераторе случайных чисел ядра Linux
  4. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  5. OpenNews: Уязвимость в реализации протокола DCCP в ядре Linux
Обсуждение (10 +4) | Тип: Проблемы безопасности |
19.09.2018 Компания Canonical продлевает поддержку Ubuntu 14.04 для платных подписчиков (29 +6)
  Компания Canonical предупредила о скором истечении пятилетнего срока выпуска обновлений для Ubuntu 14.04 LTS. Начиная с 30 апреля 2019 года официальная публичная поддержка дистрибутива Ubuntu 14.04 будет прекращена, но для пользователей, которые не успевают перевести свои системы на Ubuntu 16.04 или 18.04, предложена программа ESM (Extended Security Maintenance), в рамках которой будет продолжена публикация обновлений с устранением уязвимостей для ядра и наиболее важных системных пакетов. Доступ к этим обновлениям будет ограничен только для пользователей платной подписки на услуги технической поддержки.

  1. OpenNews: Для Ubuntu 14.04 доступны обновления ядра, не требующие перезагрузки
  2. OpenNews: Доступен Ubuntu 14.04.5 LTS c обновлением графического стека и ядра Linux
  3. OpenNews: Релиз Linux-дистрибутива Ubuntu 14.04
  4. OpenNews: Релиз дистрибутива Ubuntu 18.04 LTS
  5. OpenNews: Релиз Linux-дистрибутива Ubuntu 16.04
Обсуждение (29 +6) | Тип: К сведению |
19.09.2018 GnuPG признан пригодным для заверения нотариальных актов в штате Вашингтон (39 +40)
  Департамент по лицензированию в штате Вашингтон признал возможность применения свободного пакета GnuPG для заверения нотариальных актов.

В июле в ходе рассмотрения заявления о продлении сертификата на осуществление нотариальной деятельности, комиссия отвергла попытку применения GnuPG в качестве приложения для создания цифровых подписей. В качестве причины отказа было указано на несоответствие GnuPG утверждённым требованиям и правилам. Заявитель направил ответный запрос с требованием предоставить детальное обоснование и привёл свои аргументы, по пунктам разобрав соответствие GnuPG всем требованиям. Департамент по лицензированию согласился с предоставленными доводами и разрешил применение GnuPG в качестве технологической платформы для заверения нотариальных электронных записей.

  1. OpenNews: Выпуск GnuPG 2.2.10
  2. OpenNews: Уязвимость в GnuPG
  3. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
  4. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  5. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
Обсуждение (39 +40) | Тип: К сведению |
19.09.2018 Новая версия медиапроигрывателя SMPlayer 18.9 (34 +10)
  Доступен релиз мультимедиа проигрывателя SMPlayer 18.9, предоставляющего графическую надстройку над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows.

В новой версии добавлена экспериментальная функция для организации вещания на внешние мобильные устройства. В меню "Play" появилась опция "Cast to -> Smartphone/tablet", при выборе которой отображается QR-код. Отсканировав данный код на смартфоне или планшете, можно просмотреть открытое в SMPlayer видео на экране мобильного устройства. Мобильное устройство и ПК должны находится в одной локальной сети. Вещание производится через запуск на стороне SMPlayer простого http-сервера, отдающего выбранный ролик в формате MP4. Через QR-код передаётся ссылка на отдаваемый видеопоток. Кроме того, в новом выпуске решены проблемы с просмотром роликов с YouTube.

  1. OpenNews: Новая версия медиапроигрывателя SMPlayer 18.2.2
  2. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.10
  3. OpenNews: Релиз видеоплеера MPV 0.28
  4. OpenNews: Выпуск MPV 0.28.1. Инициатива по выбору официального GUI для MPV
  5. OpenNews: Выпуск мультимедийного проигрывателя MPlayer 1.3.0
Обсуждение (34 +10) | Тип: Программы |
19.09.2018 В Chrome 70 планируют прекратить отображение "file://" в адресной строке (57 –14)
  Для включения в кодовую базу, на основе которой будет сформирован релиз Chrome 70, предложено изменение, убирающие отображение схемы "file://" из адресной строки при доступе к локальным файлам текущей системы. Путь к файлу будет показан как есть, а для информирования о доступе к локальным ресурсам в начале адресной строки будет показываться специальный индикатор "File".

  1. OpenNews: Google намерен уйти от показа традиционного URL в адресной строке Chrome
  2. OpenNews: Google отменил скрытие поддоменов "www" и "m", но намерен стандартизировать их особый статус
Обсуждение (57 –14) | Тип: К сведению |
18.09.2018 Проект PostgreSQL принял кодекс поведения разработчиков (103 –11)
  Следом за ядром Linux проект PostgreSQL принял новый кодекс поведения (Code of Conduct) и сформировал комитет для разбора жалоб и разрешения конфликтных ситуаций. Комитет возглавила Стейси Хэйслер (Stacey Haysler), занимающая должность финансового и операционного директора компании PostgreSQL Experts.

Принятый кодекс поведения подчёркивает открытость проекта для любых участников, независимо от уровня их знаний и квалификации. Кодекс также задаёт требования к манере общения в сообществе и определяет способы разрешения конфликтов. Например, кодекс определяет, что дискуссии должны вестись конструктивно и без перехода на личности, сосредотачиваясь на коде, технологиях, проектах и инфраструктуре.

  1. OpenNews: Линус Торвальдс временно отстранился от разработки ядра Linux
  2. OpenNews: В знак несогласия с новым кодексом поведения LLVM покинул один из ведущих разработчиков
  3. OpenNews: Представлен Ayo, очередной форк проекта Node.js
  4. OpenNews: Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей
  5. OpenNews: Столлман уступил место лидера проекта Emacs
Обсуждение (103 –11) | Тип: К сведению |
18.09.2018 Новый сайт русскоязычного сообщества KDE (73 +18)
  Русскоязычное сообщество KDE запустило обновлённый сайт KDE.ru. На сайте размещена основная информация о сообществе, ссылки для загрузки продуктов, инструкции для новых участников и список страниц в соцсетях. Сайт построен на движке Jekyll и размещён в основной инфраструктуре KDE на одном сервере c kde.org. Новый сайт заменил собой старый форум, утративший участников в последние годы, и призван помочь всем, кто начинает свой путь в мир свободного ПО.

  1. OpenNews: Тестирование рабочего стола KDE Plasma 5.14
  2. OpenNews: Релиз десктоп-окружения Trinity R14.0.5, продолжающего развитие KDE 3.5
  3. OpenNews: Выпуск KDE Applications 18.08
  4. OpenNews: Выпуск децентрализованного коммуникационного клиента Ring-KDE 3.0.0
  5. OpenNews: Релиз рабочего стола KDE Plasma 5.13
Обсуждение (73 +18) | Автор: Илья Бизяев | Тип: К сведению |
18.09.2018 18 сентября проходит международный день против DRM (128 +46)
  18 сентября Фонд СПО в сотрудничестве с организациями Electronic Frontier Foundation, Open Rights Group, Public Knowledge, Creative Commons и Document Foundation проводит международный день против технических средств защиты авторских прав (DRM), ограничивающих свободу пользователя. По мнению сторонников акции пользователь должен иметь возможность полностью контролировать свои устройства, от автомобилей и медицинских устройств до телефонов и компьютеров. В рамках проводимой акции Фонд СПО предлагает на сутки воздержаться от использования устройств и online-сервисов, в которых поддерживается DRM.

В нынешнем году мероприятие было перенесено на 18 сентября. В этот день исполнился ровно год с момента присвоения спецификации Encrypted Media Extensions (EME) статус web-стандарта (рекомендации W3C). EME определяет средства применения DRM (Digital Rights Management) для организации защиты от копирования видео- и аудиоматериалов, встраиваемых в web-страницы через HTML5-теги video и audio.

Проведение дня против DRM координируется на сайте Defective by Design, на котором также собраны примеры негативного влияния DRM в различных областях деятельности. Например, упоминается произошедший в 2009 году случай с удалением тысяч копий книги Джорджа Оруэлла "1984" с устройств Kindle, инициированного компанией Amazon. Полученная корпорациями возможность удалённой очистки книг с устройств пользователей была воспринята противниками DRM как цифровой аналог массового сожжения книг.

  1. OpenNews: Консорциум W3С утвердил средства DRM для Web в качестве стандарта
  2. OpenNews: Вице-президент Red Hat столкнулся с ложным обвинением в нарушении авторских прав при размещении видео на YouTube
  3. OpenNews: Операторам хотят навязать учёт загрузки авторского контента через анализ содержимого пакетов
  4. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
  5. OpenNews: Европарламент утвердил новые правила авторского права, вводящие упреждающую фильтрацию контента
Обсуждение (128 +46) | Тип: К сведению |
17.09.2018 Доступен менеджер фотографий Shotwell 0.30 с поддержкой распознавания лиц (24 +5)
  Представлен релиз программы для управления коллекцией фотографий Shotwell 0.30.0, которая предоставляет удобные возможности каталогизации и навигации по коллекции, поддерживает группировку по времени и тегам, предоставляет инструменты для импорта и конвертации новых фотографий, поддерживает выполнение типовых операций по обработке изображений (вращение, устранение эффекта красных глаз, корректировка экспозиции, оптимизация цветности и т.п.), содержит средства для публикации в социальных сетях, таких как Facebook, Flickr и Picasa (для MediaGoblin существует экспериментальный плагин).

В новом выпуске:

  • Добавлена возможность распознавания лиц на фотографиях. В Shotwell теперь можно устанавливать метки в привязки к лицам и использовать подобные метки для группировки, сортировки и поиска людей на других фотографиях. Код распознавания основан на библиотеке OpenCV;
  • Все пиктограммы заменены на варианты в символьном представлении;
  • Добавлена поддержка формата GIF (без анимации);
  • Добавлена возможность переопределения пути для поиска плагинов;
  • Реализована возможность прокрутки группы изображений, привязанных к событию, при наведении мышью;
  • Обеспечено свёртывание по умолчанию панели импорта;
  • Добавлена поддержка flatpak;
  • На боковую панель добавлен блок с расширенными свойствами;
  • По умолчанию активирована тёмная тема оформления;
  • Код отрисовки переведён на использование GTK+ API вместо Cairo;
  • До 3.22 повышены требования к минимальной версии библиотеки GTK;
  • Из списка плагинов по умолчанию удалён плагин для публикации фотографий в Facebook;
  • Удалена возможность установки своего цвета для фона в библиотеке изображений;
  • Прекращена поддержка сборки с autotools.

  1. OpenNews: Новая версия менеджера фотографий Shotwell 0.28
  2. OpenNews: Выпуск менеджера фотографий Shotwell 0.27
  3. OpenNews: Выпуск менеджера фотографий Shotwell 0.26
  4. OpenNews: Выход digiKam 3.3.0 с новым движком распознавания лиц на фотографиях
  5. OpenNews: В рамках проекта uWho развивается программа для распознавания лиц на видео
Обсуждение (24 +5) | Тип: Программы |
17.09.2018 Обновлён дистрибутив Homeros для людей с нарушениями зрения (27 +11)
  Опубликованы новые сборки дистрибутива Homeros для людей с нарушениями зрения. Дистрибутив основан на пакетной базе Ubuntu 16.04.5 и поставляется с речевым окружением Emacspeak в качестве основной рабочей среды. Система предназначена для опытных русскоязычных пользователей GNU/Linux.

Emacspeak запускается внутри легковесного оконного менеджера DWM. Установка системы на жёсткий диск осуществляется при помощи скрипта клонирования образа live CD. Основным нововведением Homeros является возможность простого применения собственных патчей на код Emacspeak и сборка модифицированной версии системы.

Дистрибутив опубликован в двух вариантах: полностью свободном и в варианте для некоммерческого и невоенного использования. Во второй вариант системы включён синтезатор английской речи Mbrola.

  1. OpenNews: Адаптация ALT Linux для людей, имеющих проблемы со зрением
  2. OpenNews: Релиз дистрибутива для людей с ослабленным зрением - Vinux 5.0
  3. OpenNews: Релиз полностью свободного дистрибутива Parabola GNU/Linux 2016.07.27
Обсуждение (27 +11) | Автор: MSP | Тип: Программы |
17.09.2018 Создатели Pale Moon ввели в строй портал проектов на базе XUL (99 +40)
  Разработчики web-браузера Pale Moon, ответвившегося от кодовой базы Firefox для сохранения поддержки XUL и классического интерфейса пользователя, объявили о создании собственного сайта-каталога thereisonlyxul.org. Сайт позиционируется как сводная площадка с информацией о проектах и дополнениях, использующих технологию XUL.

В настоящее время каталог находится на стадии формирования и на сайте пока представлен только список приложений, построенных с использованием платформы Unified XUL Platform (UXP). Кроме Pale Moon, в списке упомянуты браузеры Basilisk и Iceweasel-UXP, irc-клиент Ambassador, почтовый клиент Icedove-UXP.

  1. OpenNews: Выпуск браузера Pale Moon 28.0
  2. OpenNews: Позиция проекта Pale Moon в отношении XUL-дополнений
  3. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP
Обсуждение (99 +40) | Тип: К сведению |
15.09.2018 Релиз свободных видеодрайверов xf86-video-ati 18.1.0 и xf86-video-amdgpu 18.1.0 (25 +24)
  Вышел релиз X.org-драйвера xf86-video-amdgpu 18.1.0, который является форком драйвера xf86-video-ati, адаптированным для работы поверх интегрированного в состав ядра Linux модуля AMDGPU, который также служит основой для нового гибридного драйвера AMDGPU-PRO. Драйвер xf86-video-amdgpu ориентирован на использование с такими семействами GPU, как Tonga, Carrizo, Iceland, Fiji и Stoney. Код для поддержки старых GPU, которые не могут работать с модулем amdgpu исключён из кодовой базы драйвера.

Одновременно выпущена новая версия свободного X.Org-драйвера xf86-video-ati 18.1.0, который остаётся актуален в свете отсутствия обновлений для legacy-веток проприетарного драйвера Catalyst, что мешает использованию устаревших карт AMD с новыми выпусками X-сервера. Для взаимодействия с оборудованием используется DRM-модуль ядра radeon.

В новых выпусках добавлена возможность передачи ресурсов RandR для эксклюзивного использования клиентом (Output Leases), что необходимо при использовании шлемов виртуальной реальности. При помощи Output Leases клиент может получить прямой доступ к устройствам вывода, в обход X.Org Server (например, система композитинга виртуальной реальности может получить прямой доступ к шлему без какого-либо обращения к X.Org Server).

Внесено множество исправлений, нацеленных на увеличение надёжности работы режима "TearFree", который защищает от появления разрывов (tearing). В том числе устранён крах при отключении TearFree во время работы. Решены проблемы со сборкой при использовании старых версий autotools.

В xf86-video-amdgpu дополнительно задействованы новые возможности DRM-модуля amdgpu ядра Linux 4.17: при использовании прослойки DC (Display Core) реализована поддержка расширенных функций управления цветностью, добавлена поддержка гаммакоррекции и X11 colormap для X-сервера, запущенного с глубиной цвета 30 бит в выше.

В xf86-video-ati решена проблема с повреждением содержимого экрана и крахами при использовании архитектуры GLAMOR для ускорения 2D-операций в Xorg.

  1. OpenNews: Релиз свободного видеодрайвера xf86-video-amdgpu 18.0.0
  2. OpenNews: Доступен драйвер AMDGPU-PRO 17.40
  3. OpenNews: Релиз свободных видеодрайверов xf86-video-ati 7.10.0 и xf86-video-amdgpu 1.4.0
  4. OpenNews: Доступен драйвер AMDGPU-PRO 17.30
  5. OpenNews: Доступен драйвер AMDGPU-PRO 17.10
Обсуждение (25 +24) | Тип: Программы |
15.09.2018 Выпуск Wine 3.16 (21 +17)
  Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.16. С момента выпуска версии 3.15 было закрыто 43 отчёта об ошибках и внесено 205 изменений.

Наиболее важные изменения:

  • Начальная реализация сервисов OPC;
  • Поддержка отрисовки кнопок для класса ImageList;
  • Улучшена поддержка CSS-свойств в MSHTML;
  • Налажена обработка пространств имён в XML Writer;
  • Закрыты отчёты об ошибках, связанные с работой игр и приложений: Total Commander, Windows Live Essentials 2011, Atmel Studio 6, Symantec Norton 360, Call of Duty 2, Xeon 1.0, Atmel Studio 7, WinSCP, foobar2000, Far, Wechat, Ragnarok Online, Bluestacks, Resident Evil 7, Just Dance 2017, Quik 7, Neo Manager, Office 2010, Metasploit Console.

  1. OpenNews: Выпуск Wine 3.15
  2. OpenNews: Выпуск Wine 3.14
  3. OpenNews: Выпуск Wine 3.13
  4. OpenNews: Выпуск Wine 3.12
  5. OpenNews: Выпуск Wine 3.11
Обсуждение (21 +17) | Тип: Программы |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor