The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

23.08 IBM, Google, Microsoft и Intel образовали альянс для развития открытых технологий защиты данных (97)
  Организация Linux Foundation объявила об учреждении консорциума Confidential Computing Consortium, нацеленного на разработку открытых технологий и стандаров, связанных с безопасной обработкой данных в памяти и конфиденциальными вычислениями. К совместному проекту уже присоединились такие компании, как Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent и Microsoft, которые намерены сообща на нейтральной площадке развивать технологии для изоляции данных в памяти в процессе вычислений.

Конечной целью является предоставление средств для поддержания полного цикла обработки данных в шифрованном виде, без нахождения информации в открытой форме на отдельных этапах. В область интересов консорциума прежде всего подпадают технологии, связанные с использованием зашифрованных данных в процессе вычислений, а именно, применение изолированных анклавов, протоколы для многосторонних вычислений, манипуляции с зашифрованными данными в памяти и полная изоляция данных в памяти (например, для предотвращение доступа администратора хост-системы к данным в памяти гостевых систем).

Для независимой разработки в составе Confidential Computing Consortium переданы следующие проекты:

  • Компания Intel передала для продолжения совместной разработки открытые ранее компоненты для использования технологии SGX (Software Guard Extensions) в Linux, включая SDK с набором инструментов и библиотек. SGX предлагает использовать набор специальных процессорных инструкций для выделения приложениям пользовательского уровня закрытых области памяти, содержимое которых зашифровано и не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM;
  • Microsoft передал фреймврок Open Enclav, позволяющий создавать приложения для различных архитектур TEE (Trusted Execution Environment), используя единый API и абстрактное представление анклава. Подготовленное при помощи Open Enclav приложение может запускаться на системах с различными реализациями анклавов. Из TEE в настоящее время поддерживается только Intel SGX. В разработке находится код для поддержки ARM TrustZone. О поддержке Keystone, AMD PSP (Platform Security Processor) и AMD SEV (Secure Encryption Virtualization) ничего не сообщается.
  • Компания Red Hat передала проект Enarx, предоставляющий слой абстракции для создания универсальных приложений для выполнения в анклавах, поддерживающих различные окружения TEE, независимые от аппаратных архитектур и позволяющие применять различные языки программирования (используется runtime на базе WebAssembly). В настоящее время проектом поддерживаются технологии AMD SEV и Intel SGX.

Из упущенных из виду схожих проектов можно отметить фреймворк Asylo, который развивается в основном силами инженеров Google, но не является официально поддерживаемым продуктом Google. Фреймворк позволяет легко адаптировать приложения для выноса части функциональности, требующей повышенной защиты, на сторону защищённого анклава. Из аппаратных механизмов изоляции в Asylo поддерживается только Intel SGX, но доступен и программный механизм формирования анклавов на базе применения виртуализации.

Напомним, что анклав (TEE, Trusted Execution Environment) подразумевает предоставление процессором специальной изолированной области, которая позволяет вынести часть функциональности приложений и операционной системы в отдельное окружение, содержимое памяти и выполняемый код в котором недоступны из основной системы, независимо от уровня имеющихся привилегий. Для своего выполнения в анклав могут перемещаться реализации различных алгоритмов шифрования, функции обработки закрытых ключей и паролей, процедуры аутентификации, код для работы с конфиденциальными данными.

В случае компрометации основной системы злоумышленник не сможет определить хранимую в анклаве информацию и будет ограничен лишь внешним программным интерфейсом. Применение аппаратных анклавов может рассматриваться как альтернатива применению для защиты вычислений методов на основе гомоморфного шифрования или протоколов конфиденциального вычисления, но в отличие от данных технологий анклав практически не влияет на производительность вычислений с конфиденциальными данными и существенно упрощает разработку.

  1. Главная ссылка к новости
  2. OpenNews: Google открыл систему для анализа наборов данных без нарушения конфиденциальности
  3. OpenNews: Первая открытая реализация анклава для аппаратно изолированных окружений
  4. OpenNews: Найден метод обхода механизма защиты AMD Secure Encrypted Virtualization
  5. OpenNews: Google анонсировал Asylo, универсальный фреймворк для защищённых анклавов
  6. OpenNews: Компания Intel открыла компоненты для использования технологии защиты SGX в Linux
Обсуждение (97) | Тип: К сведению |


23.08 Обновления свободных библиотек для работы с форматами Visio и AbiWord (57 +8)
  Проект Document Liberation, основанный разработчиками LibreOffice для выноса в отдельные библиотеки средств для работы с различными форматами файлов, предсатавил два новых выпуска библиотек для работы с форматами Microsoft Visio и AbiWord.

Благодаря обособленной поставке, развиваемые проектом библиотеки позволяют организовать работу с различными форматами не только в LibreOffice, но и в любом стороннем открытом проекте. Например, кроме библиотек для Microsoft Visio и AbiWord, также предоставляются библиотеки для экспорта в ODF и EPUB, генерации контента в HTML, SVG и CSV, импорта из CorelDRAW, AbiWord, iWork, Microsoft Publisher, Adobe PageMaker, QuarkXPress, Corel WordPerfect, Microsoft Works, Lotus и Quattro Pro.

В новых выпусках libabw 0.1.3 и libvisio 0.1.7 устранены ошибки, выявленные в процессе fuzzing-тестирования в системе OSS-Fuz. Для предотвращения потенциальных уязвимостей в парсере XML отключено раскрытие элементов. В libvisio дополнительно решены проблемы с преобразованием и отображением текста и расширена поддержка обрабатываемых стилей стрелок.

  1. Главная ссылка к новости
  2. OpenNews: Опубликованы библиотеки для работы с форматами EPUB3, AbiWord, MS Publisher, PageMaker и QuarkXPress
  3. OpenNews: Успехи проекта Document Liberation по созданию библиотек для работы с проприетарными форматами
  4. OpenNews: Создатели LibreOffice представили Document Liberation Project
  5. OpenNews: Обновление AbiWord 3.0.2
  6. OpenNews: Выпуск офисного пакета LibreOffice 6.3
Обсуждение (57 +8) | Тип: Программы |


23.08 Уязвимость, позволяющая выйти из изолированного окружения QEMU (26 +10)
  Раскрыты детали критической уязвимости (CVE-2019-14378) в обработчике SLIRP, по умолчанию применяемом в QEMU для организации канала связи между виртуальным сетевым адаптером в гостевой системе и сетевым бэкендом на стороне QEMU. Проблема также затрагивает системы виртуализации на базе KVM (в режиме Usermode) и Virtualbox, в которых используются бэкенд slirp из QEMU, а также приложения, применяющие сетевой стек в пространстве пользователя libSLIRP (эмулятор TCP/IP).

Уязвимость позволяет добиться выполнения кода на стороне хост-системы с правами процесса-обработчика QEMU при отправки со стороны гостевой системы специально оформленного очень большого сетевого пакета, для которого требуется проведение фрагментации. Из-за ошибки в функции ip_reass(), вызываемой при пересборке входящих пакетов, первый фрагмент может не уместиться в выделенный буфер и его хвост будет записан в следующие за буфером области памяти.

Для тестирования уже доступен рабочий прототип эксплоита, в котором предусмотрен обход ASLR и выполнение кода через перезапись памяти массива main_loop_tlg, включающий список QEMUTimerList с обработчиками, вызываемыми по таймеру. Уязвимость уже устранена в Fedora и SUSE/openSUSE, но остаётся неисправленной в Debian, Arch Linux и FreeBSD. В Ubuntu и RHEL проблема не проявляется из-за неиспользования slirp. Уязвимость остаётся неисправленной в последнем выпуске libslirp 4.0 (исправление пока доступно в виде патча).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск эмулятора QEMU 4.1
  3. OpenNews: Критическая уязвимость, позволяющая выполнить код вне гостевой системы в Xen, KVM, VirtualBox и QEMU
  4. OpenNews: Уязвимость в устройстве QEMU PCNET позволяет выполнить код вне гостевой системы
  5. OpenNews: Уязвимость в IDE-подсистеме QEMU позволяет скомпрометировать Xen, KVM и VirtualBox
  6. OpenNews: QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA
Обсуждение (26 +10) | Тип: Проблемы безопасности |


23.08 Выпуск сервера приложений NGINX Unit 1.10.0 (38 +6)
  Состоялся выпуск сервера приложений NGINX Unit 1.10, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска.

В новой версии:

  • Добавлена начальная поддержка встроенного сервера WebSocket, который пока доступен только для Node.js и скоро появится для Java. Для обработки соединений WebSocket в Node.js следует использовать серверный объект из модуля 'unit-http', например "var webSocketServer = require('unit-http/websocket').server";
  • Добавлена поддержка выделения PATH_INFO из URI в модуле PHP, что позволяет корректно обрабатывать запросы вида "/app.php/some/path?some=args";
  • Добавлена возможность маршрутизации запросов по схеме протокола в URL (HTTP или HTTPS);
  • В модуле Java добавлена поддержка multipart-запросов;
  • Улучшена совместимость модуля Node.js с выпусками Node.js 11.10+.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск nginx 1.17.2
  3. OpenNews: Выпуск nginx 1.17.1 и njs 0.3.3
  4. OpenNews: Выпуск сервера приложений NGINX Unit 1.9.0
  5. OpenNews: Сделка по покупке NGINX компанией F5 Networks успешно завершена
  6. OpenNews: Выпуск ngx_php 0.0.13, модуля с интерпретатором PHP для nginx
Обсуждение (38 +6) | Тип: Программы |


22.08 Компания Google представила инициативу Privacy Sandbox (100 –44)
  Компания Google выступила с инициативой Privacy Sandbox, в рамках которой предложила для реализации в браузерах несколько API, позволяющих достичь компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей.

Практика показывает, что конфронтация лишь усугубляет ситуацию. Например, внедрение блокировки используемых для отслеживания Cookie привело к более интенсивному использованию альтернативных техник, таких как методы косвенной идентификации (browser fingerprinting), пытающихся выделить пользователя из общей массы, полагаясь на применяемые им специфичные настройки (установленные шрифты, MIME-типы, режимы шифрования и т.п.) и особенности оборудования (экранное разрешение, специфичные артефакты при отрисовке и т.п.).

Google предлагает предоставить штатный Floc API, который даст возможность рекламным сетям определить категорию интересов пользователя, но не позволит провести индивидуальную идентификацию. API будет оперировать общими группами интересов, охватывающих большие обезличенные массы пользователей (например, "любители классической музыки"), но не позволит манипулировать данными на уровне истории посещения конкретных сайтов. Для измерения эффективности рекламы и оценки конверсии кликов развивается Conversion Measurement API, дающий возможность получить обобщённые сведения об активности пользователей на сайте, после перехода через клик на рекламу.

Для выделения из общего потока активности мошенников и спамеров (например, накрутка кликов или проведение ложных транзакций для обмана рекламодателей и владельцев сайтов) подготовлен Trust Token API, основанный на использовании протокола Privacy Pass, который уже применяется CloudFlare для классификации пользователей Tor. API даёт возможность разделить пользователей на заслуживающих доверия и не заслуживающих доверия, без использования межсайтовых идентификаторов.

Для предотвращения косвенной идентификации предлагается техника Privacy Budget. Суть метода в том, что браузер отдаёт информацию, которую потенциально можно использовать для идентификации, только в определённом объёме. Если лимит на число обращений к API превышен и выдача дальнейшей информации может привести к нарушению анонимности, то дальнейший доступ к определённым API блокируется.

  1. Главная ссылка к новости
  2. OpenNews: В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации
  3. OpenNews: В Firefox Beta добавлен блокировщик скриптов майнинга и скрытой идентификации
  4. OpenNews: 0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей
  5. OpenNews: Принадлежащий GitLab сервис Gitter использует методы скрытой идентификации пользователей
  6. OpenNews: Представлена новая техника скрытой идентификации системы и браузера
Обсуждение (100 –44) | Тип: Тема для размышления |


22.08 Организация Linux Foundation опубликовала автомобильный дистрибутив AGL UCB 8.0 (25 +3)
  Организация Linux Foundation представила восьмой выпуск дистрибутива AGL UCB (Automotive Grade Linux Unified Code Base), в рамках которого развивается универсальная платформа для использования в различных автомобильных подсистемах, от приборных панелей до автомобильных информационно-развлекательных систем.

Дистрибутив основан на наработках проектов Tizen, GENIVI и Yocto. Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы для QEMU, плат Renesas M3, Intel Minnowboard Max (Atom E38xx), TI Vayu и Raspberry Pi 3. При участии сообщества развиваются сборки для плат NXP i.MX6, DragonBoard 410c и Raspberry Pi 4. Исходные тексты наработок проекта доступны через Git. В разработке проекта участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Особенности новой версии:

  • Добавлены профили устройств для приборного щитка и телематики (навигационных систем), а также демонстрационная реализация интерфейса телематики;
  • Системные компоненты обновлены до платформы Yocto 2.6;
  • Во фреймворк для разработки приложений добавлена поддержка запуска программ под непривилегированными пользователями и разделения полномочий на уровне пользователей (ранее приложения и системные сервисы запускались под root). В пакет afm-util добавлена функция принудительного завершения приложений;
  • Графический стек обновлён до Wayland 1.17 и композитного сервера Weston 6.0;
  • В профилях приборной панели и интерфейсе для информационно-развлекательных систем добавлены компоненты для приёмников и передатчиков Waltham;
  • Менеджер приложений (Web App Manager) обновлён до кодовой базы Chromium 68 и избавлен от зависимостей Qt;
  • Реализован и задействован по умолчанию звуковой бэкенд на базе мультимедийного сервера PipeWire, идущего на смену PulseAudio;
  • Менеджер задач трансформирован в отдельно устанавливаемый виджет;
  • Добавлена начальная реализация системы управления сеансами (wireplumber);
  • Представлена новая реализация микшера звука. Временно убрана поддержка ввода/вывода звука через Bluetooth (будет возвращена в обновлении 8.0.1);
  • Добавлена поддержка стандарта коммуникационной и диагностической автомобильной шины J1939. Обеспечена поддержка защищённого режима записи для шины CAN;
  • Добавлен BSP-пакет (Board Support Package) для плат SanCloud BeagleBone Enhanced + Automotive Cape. Обновлены BSP-пакеты для Renesas RCar3 BSPs. Пакет i.MX6 переведён на использование открытого графического драйвера etnaviv для GPU Vivante. Добавлена начальная поддержка платы Raspberry Pi 4 (agl-image-minimal).
  • Обеспечена интеграция системы синтеза речи с Alexa Voice Agent.

    1. Главная ссылка к новости
    2. OpenNews: Организация Linux Foundation опубликовала автомобильный дистрибутив AGL UCB 7.0
    3. OpenNews: Доступен Wayland 1.17
    4. OpenNews: Проект Qt представил новую платформу для автомобильных систем
    5. OpenNews: Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили
    6. OpenNews: Форд, Мазда, Мицубиси и Субару подключились к разработке открытой автомобильной Linux-платформы
Обсуждение (25 +3) | Тип: Программы |


22.08 Представлены варианты Qt5 для микроконтроллеров и OS/2 (78 +24)
  Проект Qt представил редакцию фреймворка для микроконтроллеров и маломощных устройств - Qt for MCUs. Из достоинств проекта отмечается возможность создания графических приложений для микроконтроллеров, используя привычный API и инструменты разработчика, применяемые также для создания полноценных GUI для настольных систем. Интерфейс для микроконтроллеров создаётся с использованием не только C++ API, но и применяя QML c виджетами Qt Quick Controls, переработанными для небольших экранов, обычно применяемых в бытовой электронике, носимых устройствах, промышленном оборудовании и системах умного дома.

Для достижения высокой производительности сценарии QML транслируются в код на C++, а отрисовка осуществляется при помощи отдельного графического движка, оптимизированного для создания графических интерфейсов в условиях небольшого объёма оперативной памяти и процессорных ресурсов. Движок разработан с оглядкой на микроконтроллеры ARM Cortex-M и поддерживает ускорители 2D-графики, такие как PxP на чипах NXP i.MX RT, Chrom-Art на чипах STM32 и RGL на чипах Renesas RH850. Для тестирования пока доступна только демонстрационная сборка.

Дополнительно можно отметить создание независимыми энтузиастами порта Qt5 для операционной системы OS/2. Порт включает все основные части модуля QtBase и уже пригоден для компиляции и запуска в OS/2 большого числа существующих Qt5-приложений. Из ограничений отмечается отсутствие поддержки OpenGL, IPv6 и Drag&drop, невозможность изменения изображения курсора мыши, недостаточная интеграция с рабочим столом.

  1. Главная ссылка к новости
  2. OpenNews: Опубликован план развития функциональности Qt 6
  3. OpenNews: Релиз фреймворка Qt 5.13
  4. OpenNews: Выпуск среды разработки Qt Design Studio 1.2
  5. OpenNews: Опубликован финальный выпуск сборочного инструментария Qbs
  6. OpenNews: Разработчики Qt представили модуль QtLottie для встраивания анимации
Обсуждение (78 +24) | Тип: К сведению |


22.08 Выпуск Solaris 11.4 SRU12 (57 +2)
  Опубликовано обновление операционной системы Solaris 11.4 SRU 12, в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду 'pkg update'.

В новом выпуске:

  • Набор компиляторов GCC обновлён до версии 9.1;
  • В состав включена новая ветка Python 3.7 (3.7.3). Ранее поставлялся Python 3.5. Добавлены новые Python-модули atomicwrites, attrs, hypothesis, pathlib2, pluggy и scandir;
  • Обновлена база идентификаторов PCI- и USB-устройств;
  • Добавлены новые библиотеки XMLSec (реализация шифрования и цифровых подписей для LibXML2) и Lasso (реализация стандарта Free Liberty Alliance на базе XMLSec);
  • Для http-сервера apache добавлен модуль mod_auth_mellon для аутентификации на базе SAML 2.0;
  • Добавлена поддержка накопителей SSD BearCove Plus и HDD LEO-B 14TB;
  • Обновлены версии программ bash 5.0.3, Node.js 8.16.0, cryptography to 2.5, Jsonrpclib 0.4.0, Coverage 4.5.2, Markupsafe 1.1.0, pygments 2.3.1, pyOpenssl 19.0.0, hg-git 0.8.12, py 1.8.0, pytest 4.4.0, zope.interface 4.6.0, setuptools_scm 3.3.3, boto 2.49.0, mock 3.0.5, psutil 5.6.2, astroid 2.2.5, lazy-object-proxy 1.4.1, pylint 2.3.1, sqlparse 0.3.0, pluggy 0.9.0, graphviz 2.40.1, less 551;
  • Обновлены версии с устранением уязвимостей: MySQL 5.6.44 и 5.7.26, BIND 9.11.8, vim 8.1.1561, irssi 1.1.3, Apache Tomcat8.5.42, Thunderbird 60.8.0, python 2.7.16, 3.4.10, 3.5.7, Firefox 60.8.0esr, Wireshark 2.6.10, glib, xscreensaver;
  • В утилиту ps добавлены новые опции: "-W" для ограничения размера строки шириной экрана и "-o" для выбора сервисов ("ps -e -o pid,user,fmri");
  • В pstat добавлены опции "-x" для отображения связанных с процессами SMF-сервисов и "-Z" для раздельного вывода информации о процессах и зонах;
  • В truss добавлена опция "-N" для вывода только системных вызовов, возвративших код ошибки;
  • Улучшена совместимость libc с Linux. Реализованы новые функции madvise() с MADV_DONTDUMP, explicit_bzero(), explicit_memset(), reallocf() и qsort_r().

    1. Главная ссылка к новости
    2. OpenNews: Обновление Solaris 11.4 SRU 10
    3. OpenNews: Обновление Solaris 11.4 SRU 9
    4. OpenNews: OpenIndiana 2019.04 и OmniOS CE r151030, продолжающие развитие OpenSolaris
    5. OpenNews: Релиз Solaris 11.4
  • Обсуждение (57 +2) | Тип: Программы |


    22.08 Обновление свободного антивирусного пакета ClamAV 0.101.4 с устранением уязвимостей (17 +5)
      Сформирован релиз свободного антивирусного пакета ClamAV 0.101.4, в котором устранена уязвимость (CVE-2019-12900) в реализации распаковщика архивов bzip2, которая может привести к перезаписи областей памяти вне выделенного буфера при обработке слишком большого числа селекторов.

    В новой версии также заблокирован обходной путь для создания нерекурсивных "zip-бомб", защита от которых была предложена в прошлом выпуске. Добавленная ранее защита была сосредоточена на ограничении потребления ресурсов, но не учитывала возможность создания "zip-бомб", манипулирующих длительностью процесса обработки файла. Время на сканирование файла теперь ограничено двумя минутами. Для изменения установленного лимита предложена опция "clamscan --max-scantime" и директива MaxScanTime для файла конфигурации clamd.

    1. Главная ссылка к новости
    2. OpenNews: Обновление свободного антивирусного пакета ClamAV 0.101.3
    3. OpenNews: Обновление свободного антивирусного пакета ClamAV 0.100.3 и 0.101.2 с устранением уязвимостей
    4. OpenNews: Компания Cisco выпустила свободный антивирусный пакет ClamAV 0.101
    5. OpenNews: Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устранением уязвимостей
    6. OpenNews: Выпуск свободного антивирусного пакета ClamAV 0.100.1 с устранением уязвимостей
    Обсуждение (17 +5) | Тип: Проблемы безопасности |


    22.08 В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11 (22 +1)
      Администраторы репозитория NPM блокировали пакет bb-builder, в котором выявлена вредоносная вставка. Вредоносный пакет оставался незамеченным с августа прошлого года. За год злоумышленники успели выпустить 7 новых версий, которые загрузили около 200 раз.

    При установке пакета осуществлялся запуск исполняемого файла для Windows, передающего конфиденциальную информацию на внешний хост. Установившим пакет пользователям рекомендуется срочно поменять все находящиеся в системе ключи шифрования и учётные записи, а также провести проверку системы на предмет наличия оставленных злоумышленниками бэкдоров (удаление пакета из системы не гарантирует удаление связанного с ним вредоносного ПО).

    Дополнительно можно отметить выход обновления пакетного менеджера NPM 6.11, начиная с которого файлы, принадлежащие пользователю root, могут создаваться только в каталогах, принадлежащих root (размещение подобных файлов в каталогах обычных пользователей запрещено). В новой версии также исправлена проблема, приводящая к краху если опция "--user" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker). В "npm ci" предоставлен полный доступ ко всем значениям настроек npm.

    1. Главная ссылка к новости
    2. OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
    3. OpenNews: Бывший техдиректор NPM развивает распределённый репозиторий пакетов Entropic
    4. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
    5. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
    6. OpenNews: Критическая проблема в NPM 5.7, приводящая к смене прав доступа на системные каталоги
    Обсуждение (22 +1) | Тип: Проблемы безопасности |


    22.08 Десятое обновление прошивки UBports, пришедшей на смену Ubuntu Touch (14 +13)
      Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-10 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04.

    Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на Ubuntu 15.04, а начиная с OTA-4 осуществлён переход на Ubuntu 16.04). Как и в прошлом выпуске при подготовке OTA-10 основное внимание было уделено исправлению ошибок и повышению стабильности. Переход на новые выпуски Mir и оболочки Unity 8 в очередной раз отложены. Тестирование сборки с Mir 1.1, qtcontacts-sqlite (из Sailfish) и нового Unity 8 производится в отдельной экспериментальной ветке "edge". Переход на новый Unity 8 приведёт к прекращению поддержки умных областей (Scope) и интеграции нового интерфейса запуска приложений App Launcher. В дальнейшем также ожидается появление полнофункциональной поддержки окружения для запуска Android-приложений, основанного на наработках проекта Anbox.

    Основные изменения:

    • В приложение для отправки SMS и MMS добавлена поддержка подготовки черновиков сообщений - теперь в процессе написания текста можно покинуть чат, а после возвращения дописать и отправить сообщение. Налажена вставка номеров телефонов в поле получателя. Решена проблема со случайным переключением отображения имени пользователя и номера телефона в заголовке. В настройки добавлена опция для выбора тёмной или светлой тем оформления;
    • В менеджер приложений Libertine добавлена функция поиска пакетов в архиве repo.ubports.com (ранее поиск ограничивался PPA stable-phone-overlay) и перехода к установке выбранных пакетов из списка с результатами поиска;
    • Реализованы модули PulseAudio, обеспечивающие базовую поддержку звука для устройств на базе Android 7.1;
    • Добавлена урезанная реализация композитного менеджера SurfaceFlinger для использования камеры на некоторых устройствах с Android 7.1;
    • Добавлены новые заставки для устройств Fairphone 2 и Nexus 5;
    • Улучшена совместимость со смартфонами Nexus 5, Fairphone 2 и Oneplus One. Для Fairphone 2 реализовано корректное определение ориентации камеры и назначения звуковых каналов (проблемы с перевёрнутым селфи и перемены местами правого и левого звуковых каналов остались в прошлом);
    • В адресной книге добавлено поле "Label", упрощающее сортировку контактов по первой букве имени;
    • Реализовано отображение пиктограмм 4G и 5G для сетей, поддерживающих данные технологии;
    • Во встроенный браузер morph добавлена кнопка "Back to safety", выводимая при ошибках с сертификатами;
    • Из поставки удалены бэкенды "espoo" и "wolfpack", применяемые для приблизительного определения местоположения по базе адресов точек доступа Wi-Fi от сервисов HERE и Geoclue2. Бэкенды работали нестабильно, что приводило к выдаче ошибочных сведений о местоположении. После удаления бэкендов определение местоположения ограничено GPS и информацией от мобильной сети, но сервис стал работать точно и предсказуемо. В качестве замены wolfpack рассматривается возможность применения в будущем Mozilla Location Service.

    1. Главная ссылка к новости
    2. OpenNews: Девятое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
    3. OpenNews: Опубликована финальная спецификация смартфона Librem 5
    4. OpenNews: Восьмое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
    5. OpenNews: Седьмое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
    6. OpenNews: Шестое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
    Обсуждение (14 +13) | Тип: Программы |


    22.08 Девятая платформа ALT (269)
      Представлен выпуск Девятой платформы (p9) - новой стабильной ветки репозиториев ALT, основанных на репозитории свободных программ Сизиф (Sisyphus). Платформа предназначена для разработки, тестирования, распространения, обновления и поддержки комплексных решений широкого спектра - от встроенных устройств до серверов предприятий и датацентров; создана и развивается командой ALT Linux Team, поддерживается компанией "Базальт СПО".

    ALT p9 содержит репозитории пакетов и инфраструктуру для работы с восемью архитектурами:

  • четырьмя основными (синхронная сборка, открытые репозитории): x86_64, i586, aarch64 (ARMv8), ppc64le (Power8/9);
  • двумя дополнительными (догоняющая сборка, открытые репозитории): mipsel (32-битный MIPS), armh (ARMv7);
  • двумя закрытыми (отдельная сборка, образы и репозитории доступны владельцам оборудования по запросу): e2k (Эльбрус-4С), e2kv4 (Эльбрус-8С/1С+).

    Сборка для всех архитектур производится исключительно нативно; образы для ARM/MIPS включают в себя и варианты для запуска в QEMU. Список архитектурнозависимых пакетов для e2k доступен вместе с информацией по обычным веткам. С 2018 года в нестабильном репозитории Sisyphus поддерживается архитектура rv64gc (riscv64), которая будет добавлена в p9 после появления пользовательских систем на ней.

    Девятая платформа предоставляет пользователям и разработчикам возможность использования российских систем «Эльбрус», «Таволга», Yadro, «Элвис» и совместимых, широкого спектра оборудования мировых производителей, в том числе мощных серверов ARMv8 Huawei и разнообразных одноплатных систем ARMv7 и ARMv8 (например, nVidia Jetson Nano, Raspberry Pi 2/3 и основанные на Allwinner вроде Orange Pi Prime; работы по RPi4 ведутся).

    Основной версией ядра Linux (std-def) на момент выпуска является 4.19.66; также доступно более новое ядро (un-def) 5.2.9. Существенным отличием от p8 является переход менеджера пакетов RPM на версию 4.13 в качестве основы (ранее применялся глубокий форк версии 4.0.4); среди прочего это даёт поддержку rpmlib(FileDigests), чего ранее недоставало многим сторонним пакетам вроде Chrome, и центра приложений GNOME для страждущих магазина.

    Добавлена поддержка отечественных криптоалгоритмов при помощи openssl-gost-engine; также появился новый пакет gostsum, позволяющий вычислить контрольную сумму по алгоритму ГОСТ Р 34.11-2012.

    Значительное внимание уделено инфраструктурным свободным решениям, включая унифицированную сборку Samba, пригодную для развёртывания как файловых сервисов, так и контроллера домена Active Directory.

    Образы Docker для архитектур aarch64, i586, ppc64le и x86_64 доступны на hub.docker.com; образы для LXC/LXD - на images.linuxcontainers.org.

    Для быстрого начала работы с Девятой платформой «Базальт СПО» предлагает пользователям, предпочитающим самостоятельно определять состав и оформление системы, загрузочные образы комплектов входа (starterkits) для поддерживаемых архитектур.

    Доступны также бета-версии дистрибутивов Альт на Девятой платформе - Рабочая станция (обычная и К), Сервер, Образование; выпуск 9.0 запланирован на осень 2019 года. Также ведутся работы над Simply Linux 9 и новым дистрибутивом - Альт Сервер виртуализации. "Базальт СПО" приглашает всех разработчиков к совместному тестированию для обеспечения совместимости с Девятой платформой ALT.

    1. Главная ссылка к новости
    2. OpenNews: Первый выпуск ALT p9 starterkits
    3. OpenNews: Для платформы Эльбрус представлен новый дистрибутив АЛЬТ
    4. OpenNews: Выпуск дистрибутивов Альт Сервер, Альт Рабочая станция и Альт Образование 8.2
    5. OpenNews: Выпуск дистрибутива Альт Рабочая станция 8.2 c KDE
    6. OpenNews: Выпущена Восьмая платформа BaseALT (p8)
  • Обсуждение (269) | Автор: Michael Shigorin | Тип: Программы |


    22.08 27 августа в Московском Политехе выступит Ричард Столлман (57 +19)
      Определено время и место выступления Ричарда Столлмана в Москве. 27 августа с 18-00 до 20-00 каждый желающий сможет абсолютно бесплатно посетить выступление Столлмана, которое состоится по адресу ул. Большая Семеновская, 38. Аудитория А202 (Факультет информационных технологий Московского политехнического университета). Посещение бесплатное, но рекомендуется предварительная регистрация (регистрация нужна для оформления пропуска в здание, те у кого есть пропуск в Политех могут не регистрироваться). Тема доклада - "Авторское право и общество — противостояние в век компьютерных сетей".

    1. Главная ссылка к новости
    2. OpenNews: Перевод книги про Ричарда Столлмана
    3. OpenNews: Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО
    4. OpenNews: Фонд СПО признал Hyperbola полностью свободным дистрибутивом
    5. OpenNews: Проекту GNU исполнилось 35 лет
    6. OpenNews: Оценка возможности отзыва разработчиками своего кода из ядра Linux
    Обсуждение (57 +19) | Тип: К сведению |


    21.08 В USB-драйверах из состава ядра Linux выявлено 15 уязвимостей (70 +14)
      Андрей Коновалов из компании Google обнаружил 15 уязвимостей в USB-драйверах, предлагаемых в ядре Linux. Это вторая порция проблем, найденных при проведении fuzzing-тестирования - в 2017 году данный исследователь нашёл в USB-стеке ещё 14 уязвимостей. Проблемы потенциально могут быть эксплуатируемы при подключении к компьютеру специально подготовленных USB-устройств. Атака возможна при наличии физического доступа к оборудованию и может привести как минимум к краху ядра, но не исключаются и другие проявления (например, для выявленной в 2016 году похожей уязвимости в USB-драйвере snd-usbmidi удалось подготовить эксплоит для выполнения кода на уровне ядра).

    Из 15 проблем 13 уже устранены в актуальных обновлениях ядра Linux, но две уязвимости (CVE-2019-15290, CVE-2019-15291) остаются неисправленными в последнем выпуске 5.2.9. Неисправленные уязвимости могут привести к разыменованию указателя NULL в драйверах ath6kl и b2c2 при получении некорректных данных от устройства. Из других уязвимостей можно отметить:

    • Обращения к уже освобождённым областям памяти (use-after-free) в драйверах v4l2-dev/radio-raremono, dvb-usb, sound/core, cpia2 и p54usb;
    • Двойное освобождение памяти (double-free) в драйвере rio500;
    • Разыменования указателя NULL в драйверах yurex, zr364xx, siano/smsusb, sisusbvga, line6/pcm, motu_microbookii и line6.

    1. Главная ссылка к новости
    2. OpenNews: В USB-стеке ядра Linux выявлено 14 уязвимостей
    3. OpenNews: Представлена техника атаки, позволяющая шпионить за соседними USB-устройствами
    4. OpenNews: Атака на заблокированный ПК через USB
    5. OpenNews: Уязвимость в ядре Linux, позволяющая запустить код при подключении USB-устройства злоумышленника
    6. OpenNews: Новый вид атак с использованием перепрограммированных USB-устройств
    Обсуждение (70 +14) | Тип: Проблемы безопасности |


    21.08 Удалённая DoS-уязвимость в IPv6-стеке FreeBSD (76 +6)
      Во FreeBSD устранена уязвимость (CVE-2019-5611), позволяющая вызвать крах ядра (packet-of-death) через отправку специально фрагментированных пакетов ICMPv6 MLD (Multicast Listener Discovery). Проблема вызвана отсутствием необходимой проверки в вызове m_pulldown(), что может привести к возврату не непрерывных цепочек mbufs, вопреки ожидания вызывающей стороны.

    Уязвимость устранена в обновлениях 12.0-RELEASE-p10, 11.3-RELEASE-p3 и 11.2-RELEASE-p14. В качестве обходного пути защиты можно отключить поддержку фрагментации для IPv6 или фильтровать на межсетевом экране опции в заголовке HBH (Hop-by-Hop). Интересно, что приводящая к уязвимости ошибка была выявлена ещё в 2006 году и устранена в OpenBSD, NetBSD и macOS, но осталась неисправленной во FreeBSD, несмотря на то, что разработчики FreeBSD были уведомлены о проблеме.

    Также можно отметить устранение во FreeBSD ещё двух уязвимостей:

    • CVE-2019-5603 - переполнение счётчика ссылок на структуры данных в mqueuefs при использовании 32-разрядных библиотек в 64-разрядном окружении (32-bit compat). Проблема проявляется при включении mqueuefs, которая не активна по умолчанию, и может привести к доступу к файлам, каталогам и сокетам, открытым процессами, принадлежащими другим пользователям, или для организации доступа к внешним файлам из jail-окружения. При наличии у пользователя root-доступа в jail, уязвимость позволяет получить root-доступ на стороне хост-окружения.
    • CVE-2019-5612 - проблема при многопоточном доступе к устройству /dev/midistat при возникновении состояния гонки может привести к чтению областей памяти ядра вне границ выделенного для midistat буфера. На 32-разрядных системах попытка эксплуатации уязвимости приводит к краху ядра, а на 64-разрядных позволяет узнать содержимое произвольных областей памяти ядра.

    1. Главная ссылка к новости
    2. OpenNews: Уязвимости в TCP-стеках Linux и FreeBSD, приводящие к удалённому отказу в обслуживании
    3. OpenNews: Уязвимость в ядре Linux, позволяющая вызвать крах через отправку UDP-пакета
    4. OpenNews: Уязвимости в драйвере ozwpan, позволяющие удалённо вызвать крах ядра Linux
    Обсуждение (76 +6) | Тип: Проблемы безопасности |


    Следующая страница (раньше) >>



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру