The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

16.01 Systemd в Debian остался без мэйнтейнера из-за разногласий с разработчиками systemd (540 +85)
  Майкл Библь (Michael Biebl), участвующий в разработке Debian с 2004 года и один из основных участников перевода дистрибутива на системный менеджер systemd, демонстративно ушёл на некоторое время с поста мэйнтейрнера пакетов systemd в Debian, назвав сложившуюся ситуацию с исправлением ошибок в systemd глупостью и безумством, а также пообещав больше не отправлять разработчикам systemd отчёты об ошибках.

Конфликт возник из-за появления в выпуске systemd 240 регрессивного изменения, приводящего к изменению поведения при обработке существующих правил udev и проблемам у пользователей Debian с изменением логики переименования сетевых интерфейсов - несмотря на использование опции NAME для привязки имени сетевого интерфейса к MAC-адресу после перехода на udev из состава systemd 240 сетевые интерфейсы адаптеров Ethernet поменяли свои имена с фиксированных на автоматически сгенерированные (ранее замена производилась только один раз, а начиная с версии 240 может применяться несколько замен).

Майкл Библь попросил разработчиков systemd вернуть прежнее поведение, когда заданная в настройках ручная привязка имени является более приоритетной, но разработчики systemd не посчитали данное регрессивное изменение проблемой, так как внесённые в systemd 240 изменения не нарушали документированное поведение, а в скриптах, в которых проявлялась проблема, использовались недокументированные особенности udev, работа которых не гарантировалась.

Тем не менее, позднее были найдены свидетельства, что старое поведение описано в документации. После этого разработчики systemd предложили выборочно отключать новое поведение в случае если правила udev созданы для старых версий systemd (если схема наименования определена для версий меньше 240 по умолчанию выставлять опцию RenameOnce=yes, а иначе RenameOnce=no).

В списке рассылки разработчиков systemd также разгорелась дискуссия, связанная с предложением дополнительно по горячим следам выпускать корректирующие версии systemd c исправлением серьёзных ошибок, всплывающих в значительных выпусках. Леннарт Поттеринг отказался от данной идеи, сославшись на нехватку ресурсов. Подобное мнение было воспринято некоторыми разработчиками как фундаментальное заблуждение, так как сосредоточение приоритета на развитии функциональности в ущерб стабильности негативно отражается на пользователях.

В ответ Леннарт сослался на то, что конечные пользователи не применяют самые свежие выпуски systemd, а используют пакеты, стабилизированные дистрибутивами, например, перед помещением системных компонентов в RHEL проводится их проверка в Fedora и службой контроля качества. В случае изменения приоритетов в разработке и исправлении ошибок по мнению Леннарта возникнет лишь расслоение, при котором чаще станут игнорироваться и отдаваться на откуп сообществу ошибки, связанные с экзотичными архитектурами, отличными от RHEL дистрибутивами, нетипичными графическими окружениями, библиотеками и драйверами.

  1. Главная ссылка к новости
  2. OpenNews: В systemd-journald выявлены три уязвимости, позволяющие получить права root
  3. OpenNews: Выпуск системного менеджера systemd 240
  4. OpenNews: Удалённая уязвимость в systemd-networkd
  5. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
  6. OpenNews: Архитектурные проблемы systemd, негативно влияющие на стабильность и безопасность
Обсуждение (540 +85) | Тип: Тема для размышления |


16.01 Ethereum отложил обновление платформы из-за выявления критической уязвимости (19 +8)
  Разработчики криптовалюты Ethereum отложили на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы ("Constantinople"). Решение принято в связи с выявлением критической уязвимости в реализации умных контрактов, позволяющей похитить средства.

Выявившие проблему исследователи утверждают, что проблема специфична для ветки "Constantinople", которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth до выпуска 1.8.21, откатиться на версию 1.8.19 или запускать приложение с опцией "--override.constantinople=9999999". При использовании клиента Parity необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании сети и обслуживающим узлы обновлять приложения не обязательно.

Владельцам умных контрактов рекомендуется проверить свои контракты на предмет подверженности уязвимости. Проблема вызвана снижением стоимости внутренних транзакций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность (re-entrancy, состояние контракта может измениться в процессе его выполнения в условиях когда новое обращение к контракту возможно до завершения обработки предыдущего).

В ходе аудита изменения блокчейна после форка "Constantinople" исследователи безопасности пришли к выводу, что вероятность проведения re-entrancy атаки полностью не исключается для некоторых видов контрактов, в которых перед операторами изменения состояния используются методы transfer() и send(). Например, проблема может затрагивать контракты, в которых несколько участников совместно получают средства, решают как разделить полученные средства и инициируют выплату этих средств.

В случае успешной атаки злоумышленник может похитить средства у пользователей, заключивших с ним умный контракт, в обход условий контракта и без получения согласия пользователя. До введения в строй ветки "Constantinople" контракты не подвержены уязвимости, т.е. пользователям Ethereum ничего не угрожает. Анализ существующих умных контрактов пока не выявил экземпляров, которые могли бы использоваться для совершения подобных атак.

  1. Главная ссылка к новости
  2. OpenNews: В результате двойной траты средств в Ethereum Classic похищен 1.1 млн долларов
  3. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  4. OpenNews: Критическая уязвимость в Bitcoin Core
  5. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
  6. OpenNews: Linux Foundation представил платформу Hyperledger Sawtooth 1.0 на базе технологий блокчейн
Обсуждение (19 +8) | Тип: Проблемы безопасности |


16.01 Используемая проектом MongoDB лицензия SSPL признана недопустимой в Fedora Linux (68 +19)
  Проект Fedora поместил лицензию SSPL (Server Side Public License), на которую в прошлом году была переведена СУБД MongoDB, в список несвободных лицензий. Таким образом, MongoDB и другие проекты на базе данной лицензии не смогут входить в состав официальных репозиториев Fedora, EPEL и COPRs.

В качестве причины неприятия отмечается, что применение SSPL приводит к дискриминации отдельных категорий пользователей (провайдеров облачных сервисов). Кроме того, указано, что лицензия явно создана с целью нагнетания неуверенности (FUD, "страх, неуверенность и сомнение") среди пользователей коммерческих продуктов, построенных на основе кода под данной лицензией. Лицензия SSPL сформулирована так, что на практике приложения под данной лицензией невозможно использовать в облачных сервисах без покупки коммерческой лицензии, так как иначе придётся перелицензировать под SSPL код всех компонентов ОС, включая ядро.

Организация OSI (Open Source Initiative), занимающаяся проверкой соответствия лицензий критериям Open Source, пока не завершила анализ SSPL и не вынесла своего решения по этому поводу. Напомним, что лицензия SSPL основана на тексте AGPLv3, в котором внесены изменения в раздел 13. Изменения сводятся к добавлению требования поставки под лицензией SSPL не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса. По мнению некоторых представителей сообщества данное требование нарушает совместимость с GPL и другими копилефт лицензиями, которые запрещают перелицензирование чужого кода.

  1. Главная ссылка к новости
  2. OpenNews: СУБД MongoDB переведена на новую лицензию, которая пока не проверена на открытость
  3. OpenNews: Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения
  4. OpenNews: В DNF предлагают встроить UUID для идентификации установок Fedora
  5. OpenNews: Изменение лицензионной политики проекта Redis
  6. OpenNews: Основан проект GoodFORM, который продолжит развитие свободных модулей к СУБД Redis
Обсуждение (68 +19) | Тип: Программы |


16.01 Языку Tcl исполнилось 30 лет (108 +21)
  Динамический язык программирования Tcl (Tool Command Language) празднует своё тридцатилетие. В январе 1989 года был опубликован первый экспериментальный выпуск языка Tcl, предложенный для тестирования сторонним разработчикам. Tcl представляет собой динамический язык программирования, распространяемый совместно с кроссплатформенной библиотекой базовых элементов графического интерфейса Tk. Несмотря на то, что основное распространение Tcl получил для создания интерфейсов пользователя и как встраиваемый язык, Tcl также подходит для других задач, таких как web-разработка, создание сетевых приложений, администрирование систем и тестирование.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Tcl/Tk 8.6.8
  3. OpenNews: Релиз Tcl/Tk 8.6.6
  4. OpenNews: Релиз Tcl/Tk 8.6.4
  5. OpenNews: Увидел свет Tcl/Tk 8.6.3
  6. OpenNews: Релиз Tcl/Tk 8.6.0
Обсуждение (108 +21) | Тип: К сведению |


16.01 Mozilla сворачивает программу Test Pilot и сервис Firefox Screenshots (46 –2)
  Разработчики Mozilla решили свернуть программу Test Pilot, в рамках которой пользователям давалась возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Начиная с 22 января Test Pilot прекратит свою работу, но все уже установленные экспериментальные возможности продолжат функционировать на системах пользователей.

Предлагавшаяся для тестирования функциональность частично останется доступной в форме отдельных дополнений, доступных для установки из каталога addons.mozilla.org. Экспериментальные возможности, реализованные не в форме дополнений, такие как Firefox Lockbox (предоставляет доступ к сохранённым в Firefox логинам и паролям) и Firefox Send (инструмент для обмена файлами), продолжат своё развитие в виде отдельных продуктов, не привязанных к Firefox.

Напомним, что для участия в программе требовалась установка специального дополнения Test Pilot, которое позволяло активировать и протестировать прототипы с реализацией новых возможностей. В процессе работы Test Pilot осуществлялись сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями. Перед своим основным внедрением в основной состав браузера тестирование в Test Pilot прошли такие функции, как Activity Stream, Firefox Screenshots и средства для блокирования отслеживания перемещений.

Отмечается, что программа Test Pilot оказалась успешной, но требующей вложения значительных инженерных ресурсов. В конечном счёте, поддержание отдельной платформы для создания экспериментов признано нецелесообразным. Вместо Test Pilot для оценки новых возможностей и сервисов предложена новая модель, ориентированная на применении индивидуальных циклов тестирования с более широким охватом пользователей, но с коротким периодом тестирования (в отличие от Test Pilot подобный эксперимент не потребует постоянного сопровождения).

В качестве примера альтернативной схемы тестирования приводится сервис Firefox Monitor, экспериментальный прототип которого был предложен для тестирования ограниченному числу пользователей штатных выпусков Firefox, не прибегая к программе Test Pilot.

Модель на основе контрольной выборки реальных пользователей оказалась более эффективной, чем использование небольшой отдельной группы тестировщиков. В дальнейшем экспериментальные возможности будут предлагаться для тестирования обычным пользователям (тесты не навязываются и пользователь волен согласиться или отказаться), вместо привлечения для этой задачи узкого круга пользователей, явно присоединившихся к тестированию и установивших дополнение Test Pilot.

Кроме того, можно упомянуть решение о закрытии online-сервиса Firefox Screenshots, позволявшего загружать созданные в браузере снимки страниц и обмениваться ими с другими пользователями. Загруженные снимки в течение 14 дней оставались доступны по прямой ссылке для других пользователей, знающих специальный идентификатор. Одноимённое системное дополнение, поставляемое начиная с выпуска Firefox 59, будет сохранено, но ограничено сохранением скриншотов web-страниц только в локальной системе, без возможности загрузки в облако.

  1. Главная ссылка к новости
  2. OpenNews: Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
  3. OpenNews: В Firefox тестируют поддержку сохранения в облачные хранилища
  4. OpenNews: В Firefox началось тестирование системы рекомендации контента на основе активности пользователя
  5. OpenNews: Разработчики Mozilla представили две тестовые возможности: Lockbox и Notes
  6. OpenNews: В Firefox тестируется возможность одновременного просмотра разных вкладок
Обсуждение (46 –2) | Тип: К сведению |


16.01 Обновление Java SE, MySQL, VirtualBox и Solaris с устранением уязвимостей (10 +11)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранены 284 уязвимости.
  • В выпусках Java SE 8u202 и 11.0.2 устранено 4 проблемы с безопасностью (плюс одна в Java Advanced Management Console). Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации, но имеют незначительный уровень опасности (5.3 и ниже).
  • 26 уязвимостей в MySQL. Наиболее опасная проблема имеет уровень опасности 7.1 и затрагивает систему репликации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.14, 5.7.25, 5.6.43 и 5.5.63, которые пока недоступны для загрузки.
  • 28 уязвимостей в VirtualBox, из которых 3 имеют критическую степень опасности (CVSS Score 8.8, подробности не разглашаются). Уязвимости устранены в обновлениях VirtualBox 6.0.2 и 5.2.24примечании к релизу факт устранения проблем с безопасностью не был афиширован).
  • 7 проблем в Solaris (максимальная степень опасности 7.5) - проблемы в DHCP Client и ядре. Проблемы устранены в выпуске Solaris 11.4 SRU5, в котором также обновлены версии пакетов Ruby 2.5, ISC DHCP 4.4.1, HMP 2.4.4.2, ghostscript 9.26, memcached 1.5.11, Apache httpd 2.4.37, OpenSSL 1.0.2, MySQL 5.6.42, PHP 7.1.25 и poppler 0.70.1.

  1. Главная ссылка к новости
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Доступен дистрибутив Oracle Linux 7.6
  4. OpenNews: Компания Oracle опубликовала Java SE 11
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  6. OpenNews: Oracle планирует убрать из Java встроенную поддержку сериализации
Обсуждение (10 +11) | Тип: Проблемы безопасности |


15.01 Выпуск браузера Pale Moon 28.3 (57 +27)
  Доступен релиз web-браузера Pale Moon 28.3, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64).

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum.

В новой версии:

  • Добавлена поддержка кодека AV1 в мультимедийных контейнерах MP4 и MSE (для включения в about:config следует активировать опцию media.av1.enabled);
  • Улучшена поддержка HiDPI. Пиктограммы в основной панели инструментов и в строке состояния заменены на изображения в векторном формате SVG;
  • Добавлены индикаторы для пометки вкладок, в которых воспроизводится звук, а также реализована возможность приглушения звука во вкладке одним кликом;
  • Удалён код, связанный с поддержкой шлемов виртуальной реальности, DirectShow и сервиса Firefox Accounts;
  • Функции синхронизации настроек между разными экземплярами браузера теперь включаются в качестве опции на этапе сборки и основаны на варианте клиента синхронизации, развиваемого для следующей ветки Pale Moon;
  • В about:config добавлена настройка browser.chrome.favicons.process для нормализации favicon-изображений в зависимости от параметров экрана;
  • Библиотеки NSS обновлены до выпуска 3.41 с поддержкой TLS 1.3;
  • Обновлена реализация API Intersection Observer и свойства location.protocol;
  • СУБД SQLite обновлена до версии 3.26.0.

  1. Главная ссылка к новости
  2. OpenNews: Создатели Pale Moon ввели в строй портал проектов на базе XUL
  3. OpenNews: Выпуск браузера Pale Moon 28.0
  4. OpenNews: Позиция проекта Pale Moon в отношении XUL-дополнений
  5. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP
  6. OpenNews: Pale Moon на пути создания нового браузерного продукта
Обсуждение (57 +27) | Тип: Программы |


15.01 В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla (42 –20)
  Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов.

В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.

При этом в состав будущего соревнования добавлена новая категория премий за взлом информационных систем автомобиля Tesla Model 3, общий размер призовых выплат в которой составляет более 900 тысяч долларов. Связанные с Tesla номинации затрагивают получение контроля за шиной CAN Bus, оставление вредоносного ПО активным после перезапуска, проведение атак на модем, тюнер, Wi-Fi, Bluetooth, информационно-развлекательную систему, автопилот и функцию использования смартфона в роли ключа.

Наибольший приз, размером 250 тысяч долларов, предусмотрен за управляемое выполнение кода в контексте подсистем Gateway (связывает все информационные системы автомобиля), Autopilot или VCSEC (подсистема обеспечения безопасности). За инициирование сбоя в работе автопилота предлагается премия в 50 тысяч долларов, за разблокировку замков, запуск двигателя без ключа и получения контроля за шиной CAN - 100 тысяч, за получение root-доступа к информационно-развлекательной системе - 85 тысяч долларов.

Номинации связанные с серверными технологиями ограничились призом за взлом Microsoft Windows RDP (приз 150 тысяч долларов). Награды за эксплуатацию уязвимость в пользовательских приложениях предусмотрены для Adobe Reader (40 тысяч), Microsoft Office 365 ProPlus (60 тысяч) и Microsoft Outlook (100 тысяч). Номинации атак на браузеры заявлены для Google Chrome (80 тысяч), Microsoft Edge (50, 60 и 80 тысяч), Apple Safari (55 и 65 тысяч) и Mozilla Firefox (40 и 50 тысяч). Из участвующих в соревновании систем виртуализации отмечены VirtualBox (35 тысяч), VMware Workstation (70 тысяч), VMware ESXi (150 тысяч) и Microsoft Hyper-V Client (250 тысяч). Отдельно предусмотрена номинация за повышение привилегий через эксплуатацию уязвимости в ядре Windows (30 тысяч).

  1. Главная ссылка к новости
  2. OpenNews: На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
  3. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  4. OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
  5. OpenNews: На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox
  6. OpenNews: На соревновании Pwn2Own 2017 появились номинации за взлом Linux и Apache httpd
Обсуждение (42 –20) | Тип: К сведению |


15.01 Обновление VirtualBox 6.0.2 (32 +14)
  Компания Oracle сформировала корректирующие релизы системы виртуализации VirtualBox 6.0.2 и 5.2.24, в которых отмечено 13 исправлений.

Основные изменения в выпуске 6.0.2:

  • В интерфейс пользователя добавлено новое окно для создания виртуального оптического диска;
  • На стартовую страницу добавлена опция для выбора накопителей хост-системы;
  • В интерфейсе решены проблемы с созданием ярлыков для запуска виртуальных машин и прикреплением пустых накопителей оптических дисков;
  • В дополнениях для гостевых систем на базе Linux решены проблемы со сборкой драйверов в окружении SLES 12.4 и налажена сборка драйвера для совместно используемых каталогов на системах со старыми ядрами Linux;
  • В Linux-бэкенды добавлена поддержка сброса USB-устройств (ранее поступающие из гостевых систем запросы на сброс USB-устройств игнорировались);
  • В PCnet устранено регрессивное изменение, приводящее к проблемам с определением эмулируемого оборудования драйверами для гостевых систем;
  • В компонентах для хостов на базе Linux устранён конфликт между desktop-файлами, предлагаемыми Oracle и поставляемыми в составе дистрибутива Debian;
  • Устранена ошибка, приводящая к недоступности команды VirtualBoxVM в хостах на базе Linux и macOS;
  • В дополнения для гостевых систем на базе Windows внесены исправления, решающие проблемы с драйвером VBoxSVGA, возникающие при использовании нескольких мониторов или отключении поддержки ускорения 3D-операций;
  • Устранена проблема с записью в совместные каталоги из гостевых систем с OS/2.

Дополнение: Стало известно об исправлении в новых выпусках 28 уязвимостей, из которых 3 имеют критическую степень опасности (CVSS Score 8.8). Подробности не разглашаются. В примечании к релизу факт устранения проблем с безопасностью не афиширован.

  1. Главная ссылка к новости
  2. OpenNews: Релиз системы виртуализации VirtualBox 6.0
  3. OpenNews: Обновление VirtualBox 5.2.22
  4. OpenNews: Уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы
Обсуждение (32 +14) | Тип: Программы |


15.01 Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP (27 +25)
  В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены четыре уязвимости, позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику.
  • CVE-2019-6111 - возможность перезаписать произвольные файлы в целевом каталоге на стороне клиента. В SCP как и в RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Проверка на стороне клиента ограничена лишь блокированием выхода за границы текущего каталога ("../"), но не учитывает передачу файлов с именами, отличающимися от изначально запрошенных. В случае рекурсивного копирования (-r) кроме имён файлов подобным способом можно манипулировать и именами подкаталогов. Например, в случае копирования пользователем в домашний каталог файлов, подконтрольный атакующим сервер может выдать вместо запрошенных файлов файлы с именами .bash_aliases или .ssh/authorized_keys, и они будут сохранены утилитой scp в домашнем каталоге пользователя;
  • CVE-2018-20685 - возможность изменения прав доступа на целевой каталог при отдаче сервером каталога с пустыми именем или точкой. При получении от сервера команды "D0777 0 \n" или "D0777 0 .\n" клиент применит изменение прав доступа к текущему каталогу;
  • CVE-2019-6109, CVE-2019-6110 - возможность искажения вывода в терминал через подстановку управляющих ASCII символов в передаваемые строковые данные и отображаемый на стороне клиента поток STDERR. Уязвимость может применяться для скрытия сведений о загрузке незапрошенных файлов.

Проблемы проявляются во всех версиях OpenSSH (включая 7.9), PuTTY и WinSCP (включая 5.13). Для OpenSSH предложено исправление в виде патча. Пакет Tectia SSH scpg3 проблемам не подвержен, так как базируется только на использовании SFTP и не поддерживает протокол SCP. В качестве обходного варианта защиты рекомендуется использовать sftp вместо scp. В дистрибутивах проблема пока остаётся неисправленной (Debian, Ubuntu, Arch, RHEL, SUSE).

  1. Главная ссылка к новости
  2. OpenNews: Использование JavaScript для атаки через манипуляцию с содержимым буфера обмена
  3. OpenNews: Концепция атаки по подмене копируемого в терминал текста с сайта
  4. OpenNews: Уязвимость в Gnome-terminal, xfce4-terminal, Terminator и других эмуляторах терминалов на базе libVTE
  5. OpenNews: Метод подстановки троянского кода, невидимого при просмотре в git diff
  6. OpenNews: Уязвимость в GnuPG
Обсуждение (27 +25) | Тип: Проблемы безопасности |


15.01 Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN (29 +11)
  Разработчики проекта LLVM объявили о достижении важного рубежа на пути к миграции с Subversion на Git и GitHub. В строй введено официальное Git-зеркало основного репозитория проекта, построенного с использованием централизованной системы управления исходными текстами Subversion. Git-репозиторий теперь признан стабильным и может применяться для участия в разработке компонентов LLVM (ранее Git-зеркало носило неофициальный статус и поддерживалось энтузиастами со стороны).

Синхронизация с SVN осуществляется раз в минуту, а время отставания появления в Git коммитов оценивается в 20-90 секунд. Для приёма коммитов продолжает применяться SVN, поэтому при использовании Git для отправки изменений следует использовать git-svn или специально подготовленный скрипт.

Следующим шагом миграции станет перевод Git в разряд первичных репозиториев. От Phabricator для рецензирования изменений, приёма сообщений об ошибках и обработки pull-запросов пока отказываться не собираются, но данная платформа будет перенастроена на получение коммитов из репозитория на GitHub. Ожидается, что использование Git и GitHub позволит повысить эффективность работы, упростит передачу изменений, снизит барьер входа и сделает проект более дружественным для новых разработчиков.

Миграция с SVN на Git началась ещё в 2016 году, после того как в результате голосования стало ясно, что подавляющее большинство участников предпочли бы использовать Git. GitHub в качестве платформы для хостинга выбран так как он привычен многим пользователям и в отличие от GitLab и BitBucket предоставляет интерфейс для интеграции с SVN, работающий в режиме чтения и записи, что упростит переход на Git разработчиков, привыкших к SVN (например, пользователи SVN могут выполнить "svn checkout http://svn.github.com/schacon/simplegit.git").

  1. Главная ссылка к новости
  2. OpenNews: Проект LLVM планирует сменить лицензию
  3. OpenNews: Создатель LLVM и Swift уходит из компании Apple
  4. OpenNews: В знак несогласия с новым кодексом поведения LLVM покинул один из ведущих разработчиков
  5. OpenNews: Релиз набора компиляторов LLVM 7.0
  6. OpenNews: Разработчики LLVM при голосовании отдали предпочтение GIT
Обсуждение (29 +11) | Тип: К сведению |


15.01 Выпуск дистрибутива Netrunner 2019.01 (66 +13)
  Компания Blue Systems, предоставляющая финансирование разработки KWin и Kubuntu, опубликовала выпуск дистрибутива Netrunner 2019.01, предлагающего рабочий стол KDE. От развиваемых той же компанией дистрибутивов Netrunner Rolling и Maui представленная редакций отличается использованием классического подхода к формированию сборок и пакетной базы Debian Testing, без применения модели rolling-обновлений на базе Arch/Kubuntu. От Kubuntu дистрибутив Netrunner отличается иным подходом к организации интерфейса пользователя и развитием в направлении бесшовной интеграции Wine и GTK-программ в окружение KDE. Размер загрузочного iso-образа составляет 2.8 Гб (x86_64).

В новой версии:

  • Обновлены версии программ, в том числе KDE Plasma 5.14.3, KDE Frameworks 5.51, KDE Applications 18.08, Qt 5.11.3, ядро Linux 4.19, Firefox 64.0, Thunderbird 60.3, Krita 4.1.1;
  • Вместо ранее применявшегося оформления в стиле Material Design предложена новая тема оформления "Netrunner Black", подготовленная в тёмных тонах, не слишком контрастирующая визуально и предлагающая более объёмное представление элементов интерфейса (используется движок тем Kvantum и наработки из темы оформления Alpha-Black). Для приверженцев классической темы оформления предоставлена возможность быстрого возврата к прошлой теме.
  • При перемещении курсора мыши в область нижнего правого угла теперь вызывается функция сворачивания всех открытых окон для отображения чистого рабочего стола;
  • Расширено число web-ярлыков (webapps) для быстрого обращения к популярным сайтам и online-сервисам. Добавлена возможность поиска данных web-ярлыков через интерфейс "Alt+Пробел" или через поисковую строку в меню;
  • Добавлен новый пакет ocs-url, позволяющий при помощи URL "ocs://" в Firefox обращаться к каталогу store.kde.org и инициировать установку приложений через кнопку "Install" на сайтах без необходимости предварительной ручной загрузки пакета;
  • В Firefox по умолчанию включено дополнение Plasma-Integration, обеспечивающее отображение результатов загрузки на панели KDE и позволяющее управлять воспроизведением мультимедийного контента через KDE Plasma;
  • При выполнении GTK-приложений отображение рамок окна приближено к стилю штатных программ KDE Plasma;
  • Внутри одной унифицированной секции настроек "Plasma Tweaks" собраны все KCM-модули, связанные с интерфейсом пользователя.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск независимого от дистрибутивов инсталлятора Calamares 3.2
  3. OpenNews: Выпуск дистрибутива Netrunner Rolling 2018.01
  4. OpenNews: Выпуск дистрибутива Netrunner Desktop 17.01
  5. OpenNews: Выпуск дистрибутива Maui 2.1
  6. OpenNews: Выпуск дистрибутива Nitrux 1.1.2 с рабочим столом Nomad
Обсуждение (66 +13) | Тип: Программы |


14.01 Разработчики GTK+ 3 тестируют обновлённую тему оформления (161 +10)
  Маттиас Класен (Matthias Clasen), лидер Fedora Desktop Team и участник GNOME Release Team, сообщил о тестировании улучшенной темы оформления "Adwaita", используемой по умолчанию в GTK+ 3. Перед включением изменений в состав выпуска GTK 3.24.4, в течение трёх недель пользователям даётся возможность протестировать новую тему и высказать свои замечания. Модернизированная тема поставляется в виде отдельного архива, опубликованного параллельно с выпуском GTK 3.24.3.

Прошлая значительная модернизация темы оформления была проведена в 2014 году. Нынешнее изменение не столь кардинально и в основном сосредоточено на оттачивании мелочей и корректировке цветовой схемы. Тема приведена к более современному виду, но без нарушения совместимости с оформлением виджетов приложений. Изменение касается только темы оформления Adwaita, не затрагивает другие темы, а также CSS-селекторы и классы GTK, которые не менялись с момента выпуска GTK 3.22.

Основные изменения в теме оформления Adwaita:

  • Немного откорректированы цвета, которые стали более яркими. Предложенное цветовое оформления развивается как часть унифицированной палитры, используемой также для пиктограмм приложений;
  • Предпринята попытка сделать панели и кнопки более элегантными и лёгкими, чего удалось добиться при помощи инвертирования яркости, избавления от выделяющихся рамок и чуть большего скругления углов. В светлом варианте темы оформления вместо тёмных кнопок с рамкой на светлом фоне теперь предложены светлые кнопки на тёмном фоне с эффектом отбрасывания небольшой тени. Активные режимы и вкладки выделены тёмным оттенком. Более заметным сделано отличие заголовков активных и неактивных окон;
  • Изменён виджет с реализацией переключателей режимов. Если раньше переключатели явно снабжались метками "ON" и "OFF", то теперь, когда данные переключатели стали привычными пользователям, решено использовать вместо текстовых меток более компактные значки, а форму переключателя сделать более округлой;
  • В остальных виджетах изменения почти не заметны, за исключением небольшой корректировки цветов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск графического тулкита GTK+ 3.24
  3. OpenNews: Релиз браузерного движка WebKitGTK+ 2.22.0
  4. OpenNews: Доступен GTK+ 3.94, экспериментальный выпуск GTK+ 4
  5. OpenNews: Перед GTK+ 4 планируется сформировать внеплановый выпуск GTK+ 3.24
  6. OpenNews: GTK+ переходит на новую тему оформления, унифицированную для всех платформ
Обсуждение (161 +10) | Тип: К сведению |


14.01 Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения (59 +2)
  Разработчики Fedora опубликовали список из 86 пакетов, оставшихся без сопровождения и запланированных для удаления из репозитория после 6 недель неактивности, если для них в ближайшее время не найдётся мэйнтейнер.

Среди находящихся в списке пакетов: autotrash, bouml, dnsyo, fasd, hdapsd, jmake, lzma, parprouted, pcapfix, pg_journal, php-ZendFramework, python-ansible-tower-cli, python-cookies, python-kafka, ratproxy, ripe-atlas-tools, scite, tinyca2, tristripper, unp и wifi-radar.

  1. Главная ссылка к новости
  2. OpenNews: В Fedora 21 предстоит большая чистка устаревших пакетов
  3. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
  4. OpenNews: Удалённая root-уязвимость в DHCP-клиенте из состава RHEL и Fedora
  5. OpenNews: Из Fedora будут исключать пакеты с неисправленными уязвимостями
  6. OpenNews: Релиз Linux-дистрибутива Fedora 29
Обсуждение (59 +2) | Тип: К сведению |


14.01 Релиз платформы для анализа уязвимостей Metasploit Framework 5.0 (6 +14)
  Спустя восемь лет с момента формирования прошлой значительной ветки представлен релиз платформы для анализа уязвимостей - Metasploit Framework 5.0. В настоящий момент в пакет входит 3795 модулей с реализацией различных эксплоитов и методов выполнения атак. Проектом также ведётся информационная база, содержащая сведения о 136710 уязвимостях. Код Metasploit написан на языке Ruby и распространяется под лицензией BSD. Модули могут разрабатываться на языках Ruby, Python и Go.

Фреймворк предоставляет специалистам в области компьютерной безопасности набор средств для быстрой разработки и отладки эксплоитов, а также для проверки систем на наличие уязвимостей и выполнения действий (payload) в случае успеха проведения атаки. Для сканирования сети и тестирования систем на наличие уязвимостей, в том числе с проверкой применимости реальных эксплоитов, предлагается базовый интерфейс командной строки. В рамках редакций Community и Pro дополнительно поставляется наглядный web-интерфейс.

Основные улучшения:

  • Добавлен модуль "evasion", позволяющий создавать исполняемые payload-файлы, уклоняющиеся от срабатываний антивирусов. Модуль даёт возможность воспроизвести более реалистичные условия при проверке системы, реализуя типовые для вредоносного ПО техники обхода антивирусов. Например, для уклонения от антивирусов применяются такие техники, как шифрование shell-кода, рандомизация кода и блокирование выполнения под эмулятором;
  • Помимо языка Ruby для разработки внешних модулей теперь могут использоваться языки Python и Go;
  • Добавлен базовый фреймворк для web-сервисов, реализующий REST API для автоматизации выполнения заданий и работы с БД, поддерживающий различные схемы аутентификации и предлагающий возможности для параллельного выполнения операций;
  • Реализован API на базе JSON-RPC, упрощающий интеграцию Metasploit с различными инструментариями и языками программирования;
  • Пользователи теперь могут запустить собственный RESTful-сервис на базе СУБД PostgreSQL для подключения нескольких консолей Metasploit и внешних инструментариев;
  • Обеспечена возможность параллельной обработки операций с БД и консолью (msfconsole), что позволяет вынести выполнение некоторых пакетных операций на плечи сервиса, обслуживающего БД;
  • Для payload реализована концепция metashell и мета-команда "background", позволяющая после эксплуатации на удалённой стороне запускать фоновые shell-сеансы и загрузки, и управлять ими без применения сеанса на базе Meterpreter;
  • Добавлена возможность проверки одним модулем сразу нескольких хостов через задание в опции RHOSTS диапазона IP-адресов или указание через URL "file://" ссылки на файл с адресами в формате /etc/hosts;
  • Переработан механизм поиска, что позволило сократить время запуска и убрать БД из зависимостей.

  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива для исследования безопасности систем Kali Linux 2018.2
  3. OpenNews: Выпуск дистрибутива Parrot 3.10 с подборкой программ для проверки безопасности
  4. OpenNews: Представлен релиз платформы для анализа уязвимостей Metasploit Framework 4.0
  5. OpenNews: Представлен новый вариант платформы для анализа уязвимостей - Metasploit Community
  6. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
Обсуждение (6 +14) | Тип: Программы |


<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor