The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.12.2018 Четвёртый альфа-выпуск инсталлятора Debian 10 "Buster" (7 +8)
  Доступен четвёртый альфа-выпуск инсталлятора следующего значительного релиза Debian 10 "Buster". По сравнению с третьим альфа-выпуском представлены следующие изменения:
  • Хост deb.debian.org выставлен в качестве применяемого по умолчанию HTTP-зеркала;
  • В debian-archive-keyring-udeb реализована поставка раздельных ключей (keyring) для каждого релиза Debian;
  • Версия ядра Linux обновлена с 4.16 до 4.18;
  • В debian-installer образ netboot.tar.gz для архитектуры armhf унифицирован с аналогичными образами для других архитектур;
  • Пакет ttf-freefont-udeb заменён на fonts-freefont-udeb;
  • На стадии загрузки EFI обеспечено использование экранного разрешения, выставленного в grub;
  • Налажена работа горячей клавиши F10 для показа подсказки на загрузочном экране;
  • В debootstrap по умолчанию задействована опция "--merged-usr", при которой все исполняемые файлы и библиотеки из корневых директорий переносятся в раздел /usr (каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr)
  • В partman-auto-lvm добавлена возможность ограничения размера при использовании LVM VG;
  • В partman-crypto обеспечена установка опции discard для контейнеров с LUKS;
  • В pkgsel отключена установка по умолчанию пакета unattended-upgrades, обеспечивающего автоматическую установку обновлений, связанных с устранением уязвимостей;
  • В pkgsel реализована установка новых зависимостей при выборе режима safe-upgrade (по умолчанию);
  • Из u-boot убрана поддержка ARM SoC на базе Marvell OpenRD, удалён образ Firefly-RK3288;
  • Добавлен образ для SoC Sinovoip_BPI_M3 (armhf) и pinebook (arm64);
  • Добавлена поддержка плат Raspberry PI 3 B+, Helios-4 NAS, Rockchip RK3288 Tinker Board, HummingBoard, SolidRun Cubox-i Dual/Quad;
  • Обновлена поддержка плат Firefly-RK3399, Rockchip RK3399, Marvell 8040 MACCHIATOBin, Pine64+ и Raspberry Pi 3 Model B;
  • В урезанный deb-пакет (udeb) virtio-modules добавлен модуль virtio_console.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Debian 9.6
  3. OpenNews: Debian столкнулся с лицензионными проблемами, мешающими поставке обновления микрокода Intel
  4. OpenNews: Debian GNU/Linux исполнилось 25 лет
  5. OpenNews: Третий альфа-выпуск инсталлятора Debian 10 "Buster"
  6. OpenNews: Релиз дистрибутива Devuan 2.0, форка Debian 9 без systemd
Обсуждение (7 +8) | Тип: Программы |
16.12.2018 Опубликован DHCP-сервер Kea 1.5, развиваемый консорциумом ISC (17 +6)
  Консорциум ISC представил релиз DHCP-сервера Kea 1.5.0, идущего на смену классическому ISC DHCP. Исходные тексты проекта распространяются под лицензией Mozilla Public License (MPL) 2.0, вместо ранее применяемой для ISC DHCP лицензии ISC License.

DHCP-сервер Kea основан на технологиях BIND 10 и построен с использованием модульной архитектуры, подразумевающей разбиение функциональности на разные процессы-обработчики. Продукт включает в себя полнофункциональную реализацию сервера с поддержкой протоколов DHCPv4 и DHCPv6, способную заменить собой ISC DHCP. В Kea встроены средства динамического обновления DNS-зон (Dynamic DNS), поддерживаются механизмы обнаружения серверов, назначения адресов, обновления и переподключения, обслуживания информационных запросов, резервирования адресов для хостов и PXE-загрузки. В реализации DHCPv6 дополнительно предусмотрена возможность делегирования префиксов. Для взаимодействия с внешними приложениями предоставляется специальный API. Возможно обновление конфигурации на лету без перезапуска сервера.

Информация о выделенных адресах и параметрах клиентов может храниться в разных типах хранилищ - в настоящее время предоставляются бэкенды для хранения в файлах CSV, СУБД MySQL, Apache Cassandra и PostgreSQL. Параметры резервирования хостов могут быть заданы в файле конфигурации в формате JSON или в виде таблицы в MySQL. В состав входит инструмент perfdhcp для измерения производительности сервера DHCP и компоненты для сбора статистики. Kea демонстрирует неплохую производительность, например, при использовании бэкеда MySQL сервер может выполнить 1000 присвоений адресов в секунду (около 4000 пакетов в секунду), а при использовании бэкенда memfile производительность достигает 7500 присвоений в секунду.

Ключевые улучшения в Kea 1.5:

  • Добавлена поддержка централизованного управления конфигурацией DHCP-серверов. Реализация базируется на использовании протокола управления конфигурацией NETCONF (RFC-6241) и стрктурированной модели данных YANG (Yet Another Next Generation, RFC-6020). NETCONF предоставляет основанный на XML RPC для установки, изменения и удаления блоков конфигурации, а YANG структурирует информацию о состоянии устройства и используемой конфигурации (можно рассматривать YANG как продолжение развития SNMP MIB).

    В состав Kea включены готовые модели YANG для DHCPv4 и DHCPv6, отражающие типовые элементы конфигурации DHCP-серверов, которые можно использовать в системах централизованного управления, совместно с другим сетевым оборудованием, включая коммутаторы и маршрутизаторы Juniper, Huawei и Cisco. Для хранения БД с конфигурацией Kea задействован движок Sysrepo, оптимизированный для модели данных YANG и предоставляющий дополнительные инструменты для управления настройками (например, можно использовать шаблоны для быстрого развёртывания серверов с типовыми настройками).

    Для Kea подготовлен специальный фоновый процесс kea-netconf, который при запуске читает начальную конфигурацию из Sysrepo, а затем отслеживает все изменения и на лету отражает их во внутренней конфигурации Kea (если настройки изменены локально, например, при помощи утилиты sysrepocfg, изменения по аналогии переносятся в БД Sysrepo). Для удалённого управления DHCP-сервером предлагается использовать реализацию сервера и клиента NETCONF от проекта Netopeer2;

  • Добавлена поддержка глобального резервирования хостов. Ранее резервирование хостов могло осуществляться только в привязке к определённым подсетям, что, например, при необходимости привязки к клиенту определённых параметров DHCP требовало создания отдельных настроек резервирования для каждой сети, в которой разрешено работать клиенту. Сейчас для подобных клиентов можно обойтись одной глобальной настройкой;
  • Добавлены средства контроля перегрузки (congestion control). В прошлых версиях все поступающие запросы обрабатывались в порядке их поступления в очереди ограниченного размера. В случае перегрузки возникали заметные задержки, которые приводили к инициированию повторной отправки запросов, забиванию очереди устаревшими запросами и блокированию приёма новых запросов. Для противодействия данному эффекту в Kea 1.5 в дополнение к линейной очереди реализован кольцевой буфер, в случае переполнения которого новые запросы не отбрасываютяся, а вытесняют самые старые. Кольцевой буфер пока предложен в качестве опции и требует явного включения в настройках;
  • Улучшены возможности для создания отказоустойчивых конфигураций (High Availability). Реализован новый механизм для синхронизации базы привязок IP-адресов к клиентам, передающий изменения небольшими блоками, вместо полного обновления сведений о всех привязках, что существенно ускоряет синхронизацию больших подсетей;
  • Предложен концептуальный прототип бэкенда для хранения конфигурации, который будет доведён до рабочего состояния в следующем выпуске Kea 1.6. Новый тип бэкенда позволит использовать СУБД в качестве источника для получения информации о настройках для DHCP-сервера;
  • Добавлена поддержка флага для определения является ли сервер DHCPv4 авторитетным (authoritative) или вторичным, что позволяет организовать совместную работу двух серверов на одном линке;
  • В бэкендах для хранения привязок (lease) появилась возможность хранения дополнительного контекста пользователя (user context), который может включать произвольные данные в формате JSON;
  • Добавлена новая библиотека Class_cmds, предназначенная для отображения, добавления, обновления и удаления классов клиентов, определённых для DHCPv4 и DHCPv6;
  • Инфраструктура разработки, подготовки документации и отслеживания ошибок переведена на платформу Gitlab (ранее использовалась платформа Trac).

  1. Главная ссылка к новости
  2. OpenNews: Доступен DHCP-сервер Kea 1.4, развиваемый консорциумом ISC
  3. OpenNews: Выпуск DNS-сервера BIND 10 1.2.0 ознаменовал передачу проекта сообществу
  4. OpenNews: Сайт консорциума ISC, развивающего BIND и DHCP, подвергся взлому
  5. OpenNews: Релиз ISC DHCP 4.4.0
  6. OpenNews: Удалённая root-уязвимость в DHCP-клиенте из состава RHEL и Fedora
Обсуждение (17 +6) | Тип: Программы |
16.12.2018 Выпуск GnuPG 2.2.12 (20 +10)
  Доступен релиз инструментария GnuPG 2.2.12 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.

Основные изменения:

  • В gpg-wks-client реализованы новые команды "--install-key" и "--remove-key", позволяющие сформировать Web Key Directory на локальной системе для дальнейшей загрузки на web-сервер;
  • В "gpg --list-option" добавлена новая опция "show-only-fpr-mbox", упрощающая использование команды "gpg-wks-client --install-key" в Windows;
  • Ускорена работа режима "gpg --skip-verify";
  • В выводе "gpg --card-status" теперь показывается, включены ли на карте новые KDF-функции (key derivation function);
  • В agent добавлена опция "--s2k-calibration=MSEC". В скрипт configure также добавлена сборочная опция "--with-agent-s2k-calibration=MSEC";
  • В dirmngr реализована отправка запросов к другому серверу ключей из текущего пула, если запрошенный сервер вернул коды ошибок 502, 503 или 504;
  • В dirmngr добавлена защита от возможных CSRF-атак, манипулирующих перенаправлением HTTP-запросов (HTTP-ответы с кодами редиректа 3xx на внешние хосты теперь игнорируются);
  • В dirmngr добавлена команда FLUSHCRL для сброса всех CRLS с диска и из памяти.

  1. Главная ссылка к новости
  2. OpenNews: GnuPG признан пригодным для заверения нотариальных актов в штате Вашингтон
  3. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  4. OpenNews: Уязвимость в GnuPG
  5. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
  6. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
Обсуждение (20 +10) | Тип: Программы |
16.12.2018 Выпуск криптографической библиотеки LibreSSL 2.9.0 (9 +12)
  Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.9.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.9.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.5.

Особенности LibreSSL 2.9.0:

  • Реализован криптографический хэш SM3 (GB/T 32905-2016), стандартизированный для учреждений Китая;
  • Обеспечена автоматическая инициализация CRYPTO_LOCK. Для обеспечения совместимости добавлены заглушки для callback-вызовов, ранее применяемых для инициализации;
  • Для улучшения совместимости с OpenSSL добавлены дополнительные макросы OPENSSL_NO_*. Реализованы тесты совместимости с OpenSSL 1.0 и 1.1;
  • Упрощена обработка опций алгоритмов формирования цифровых подписей (sigalg). Упрощён алгоритм подписи при согласовании соединений (handshake signing);
  • Добавлена возможность применения алгоритма RSA PSS для подписей при согласовании соединений;
  • Добавлена функция bn_rand_interval(), которая задействована в коде, использующем ограниченный диапазон случайных значений;
  • Добавлена функциональность для раннего получения, согласования и применения секретов в соответствии с требованиями RFC8446;
  • Добавлена реализация конечного автомата для согласования соединений (handshake state machine), определённого в RFC8446;
  • Из libcrypto удалён код, связанный с поддержкой ASN.1, которая не используется с начала 2000-х годов;
  • Добавлены ассемблерные оптимизация для 32-разрядных систем ARM;
  • Усилена защита от атак по сторонним каналам в коде генерации цифровых подписей ECDSA;
  • В реализацию некоторых эллиптических кривых добавлены скоординированные шумы для противодействия уязвимости PortSmash в SMT/Hyper-Threading.

Одновременно подготовлены корректирующие выпуски LibreSSL 2.8.3 и 2.7.5, в которых решены проблемы при сборке с использованием cmake, добавлена дополнительная защита от уязвимости PortSmash, добавлена защита от атак по сторонним каналам при генерации ключей DSA и ECDSA, внесены исправления в реализацию вызова getentropy.

  1. Главная ссылка к новости
  2. OpenNews: Релиз OpenBSD 6.4, OpenSSH 7.9 и LibreSSL 2.8.2
  3. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
  4. OpenNews: Google представил криптографическую библиотеку Tink
  5. OpenNews: Разработчики OpenBSD представили криптографическую библиотеку libcsi
  6. OpenNews: Выпуск криптографической библиотеки Botan 2.8.0
Обсуждение (9 +12) | Тип: Программы |
15.12.2018 Доступен дистрибутив SUSE Linux Enterprise 12 SP4 (59 +7)
  Компания SUSE представила релиз промышленного дистрибутива SUSE Linux Enterprise 12 SP4. На основе платформы SUSE Linux Enterprise также сформированы такие продукты, как SUSE Linux Enterprise Server, SUSE Linux Enterprise Desktop, SUSE Linux Enterprise High Availability Extension, SUSE Linux Enterprise Point of Service и SUSE Linux Enterprise Real Time Extension. Дистрибутив можно загрузить и использовать бесплатно, но доступ к получению обновлений и исправлений ограничен 60-дневным пробным периодом. Выпуск доступен в сборках для архитектур x86_64, ARM64, Raspberry Pi, IBM POWER8 LE и IBM System z.

Как в прошлых обновлениях ветки SUSE 12 в дистрибутиве предлагается ядро Linux 4.4, GCC 4.8, рабочий стол на базе GNOME 3.20 и прежние версии системных компонентов. Изменения в основном сосредоточены на поддержке нового оборудования и виртуализации. Напомним, что время поддержки SUSE Linux Enterprise Server 12 составляет 13 лет (до 2024 года + 3 года расширенной поддержки), а SUSE Linux Enterprise Desktop 12 - 7 лет (до 2021 года). Для желающих получить более свежие версии рекомендуется перейти к использованию недавно выпущенной новой ветки SUSE Linux Enterprise 15.

Основные изменения выпуске 12 SP4:

  • Расширена поддержка оборудования, например, добавлена поддержка энергонезависимой памяти Intel Optane DC (NVDIMM) и улучшена поддержка новых моделей процессоров Intel, AMD Zen 2, IBM Z14, IBM LinuxONE Rockhopper II и IBM POWER9 (Little Endian). Увеличен спектр поддерживаемых ARM SoC, в том числе добавлена поддержка Raspberry Pi 3 Model B и сформирована отдельная сборка SUSE Linux Enterprise Server for ARM 12 SP4 для Raspberry Pi;
  • В качестве опции предложен пакет с ядром Linux 4.12, перенесённый из SUSE Linux Enterprise 15 и позволяющий упростить подготовку к миграции на SUSE 15 (по умолчанию в SUSE 12 по-прежнему предлагается ядро на базе ветки 4.4);
  • В сборках для систем IBM Z добавлена поддержка виртуализации на базе гипервизора KVM, дающая возможность переносить окружения из IBM KVM в SUSE Linux Enterprise Server;
  • Обновлены версии программ, в том числе Samba 4.4.2, Python 2.7.9, Python 3.4.1, Perl 5.18.2, Ruby 2.1, KIWI 9.15.3;
  • Добавлена экспериментальная поддержка механизма защиты AMD Secure Encrypted Virtualization (AMD SEV), позволяющего обеспечить прозрачное шифрование памяти виртуальных машин, при которой доступ к расшифрованным данным имеет только текущая гостевая система, а остальные виртуальные машины и гипервизор при попытке обращения к этой памяти получают зашифрованные данные;
  • Добавлена поддержка шифрования отдельных страниц памяти при помощи представленной в процессорах AMD технологии SME (Secure Memory Encryption). SME позволяет пометить страницы памяти как подлежащие шифрованию, после чего данные страницы будут автоматически зашифрованы при записи в DRAM и расшифрованы при чтении из DRAM. SME поддерживается в процессорах AMD начиная с семейства 17h. Для использования новой возможности требуется установка альтернативного пакета с ядром Linux 4.12;
  • Добавлена поддержка библиотеки OpenSSL 1.1.1 и протокола TLS 1.3. По умолчанию продолжает поставляться OpenSSL 1.0, а OpenSSL 1.1.1 предложен в качестве опции;
  • Обеспечена полная поддержка Intel OPA (Omni-Path Architecture);
  • Обновлён стек TPM 2.0 (Trusted Platform Module), в котором предложена новая реализация менеджера ресурсов;
  • Поддержка брелоков YubiKey и Nitrokey теперь реализована в форме библиотек, PAM-модулей, GUI и утилит командной строки;
  • Удалён YaST-модуль для настройки SSH-сервера, который был объявлен устаревшим в SUSE 12 и предоставлял лишь ограниченный набор возможностей. Вместо данного модуля рекомендуется использовать редактор /etc/sysconfig и Services Manager;
  • Объявлен устаревшим пакет libcgroup1, функциональность которого дублируется и конфликтует с systemd;
  • В сборках для рабочего стола прекращена поставка по умолчанию приложения Planner (пакет planner по-прежнему можно установить из репозиториев);
  • По сравнению с SP3 переведены в разряд неподдерживаемых многие возможности файловой системы Btrfs, в том числе объединение нескольких накопителей, RAID 0, RAID 1, RAID 10, горячее подключение и извлечение накопителей, сжатие данных, большие блоки с метаданными (Big Metadata Blocks), режим хранения метаданных Skinny для уменьшения размера дерева распределения блоков, прямая передача (Send/Receive) и поддержка вызова fallocate для управления резервированием пустых областей.

  1. Главная ссылка к новости
  2. OpenNews: Компания EQT покупает SUSE за 2.5 миллиарда долларов
  3. OpenNews: Релиз дистрибутива SUSE Linux Enterprise 15
  4. OpenNews: Разработчики openSUSE представили Uyuni, форк платформы Spacewalk
  5. OpenNews: Релиз дистрибутива openSUSE Leap 15
  6. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 12 SP3
Обсуждение (59 +7) | Тип: Программы |
15.12.2018 Уязвимости в системе загрузки модулей для языка Go (44 +8)
  В реализации команды "go get", предоставляемой штатным интерфейсом командой строки для языка Go и используемой для загрузки пакетов и связанных с ними зависимоcтей, выявлено несколько уязвимостей, позволяющих выполнить код при обработке специально оформленных пакетов, подготовленных злоумышленниками. Проблемы устранены в корректирующих выпусках Go 1.11.3 и 1.10.6.

Первая уязвимость (CVE-2018-16873) проявляется при выполнении команды "go get -u" и прямом импорте модулей в режиме GOPATH. Атака сводится к созданию в модуле импортируемых путей, заканчивающихся на "/.git", которые воспринимаются при вызове "go get -u" как корень репозитория с последующим выполнением в нём команд git. Выполнение кода организуется через размещение вредоносных команд в прикреплённом к репозиторию файле конфигурации git;

Вторая уязвимость (CVE-2018-16874) позволяет при выполнении команды "go get" выйти за пределы определённого для модуля корневого пути, через манипуляцию с фигурными скобками в импортируемых путях. Проблема проявляется только в режиме GOPATH и не затрагивает появившийся в Go 1.11 экспериментальный режим модулей. При помощи данной уязвимости атакующий может перезаписать произвольные файл в ФС, насколько это позволяют текущие полномочия.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  3. OpenNews: Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
  4. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
  5. OpenNews: Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами
  6. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
Обсуждение (44 +8) | Тип: Проблемы безопасности |
15.12.2018 Релиз видеоредактора Kdenlive 18.12 (57 +25)
  Разработчики проекта KDE опубликовали релиз видеоредактора Kdenlive 18.12, который позиционируется для полупрофессионального использования, поддерживает работу с видеозаписями в форматах DV, HDV и AVCHD, и предоставляет все базовые операции по редактированию видео, например, позволяет используя шкалу времени произвольно смешивать видео, звук и изображения, а также применять многочисленные эффекты. При работе программы используются такие внешние компоненты, как FFmpeg, фреймворк MLT и система оформления эффектов Frei0r. Для тестирования подготовлен самодостаточный пакет в формате AppImage.

В новой версии устранён крах при импортировании последовательности изображений и налажено применение градиентной заливки при подготовке титров. Изменения в основном сведены к исправлению ошибок, так как в рамках текущего цикла разработки был проведён значительный рефакторинг кодовой базы и для окончательного оттачивания новой функциональности было решено отложить изменения до весеннего выпуска Kdenlive 19.04. В настоящее время новую функциональность, например, поддержку распараллеливания рендеринга, эффект размывания при быстром перемещении, задействование аппаратного ускорения при создании клипов, улучшенные средства управления ключевыми кадрами и обновлённую шкалу времени, можно протестировать в форме ночных сборок.

  1. Главная ссылка к новости
  2. OpenNews: Релиз видеоредактора Shotcut 18.07 и бета-выпуск Kdenlive 18.08
  3. OpenNews: Релиз системы нелинейного видеомонтажа Kdenlive 15.08
  4. OpenNews: Новые версии видеоредакторов Kdenlive 16.08 и Pitivi 0.97
  5. OpenNews: Выпуск свободных видеоредакторов OpenShot 2.4.3 и Shotcut 18.09
  6. OpenNews: Выпуск видеоредакторов Shotcut 18.11 и DaVinci Resolve 15.2
Обсуждение (57 +25) | Тип: Программы |
15.12.2018 Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая браузеры на базе Chromium (67 +16)
  Во встраиваемой СУБД SQLite выявлена критическая уязвимость, которую можно использовать для совершения удалённой атаки на приложения для выполнения кода злоумышленника. Уязвимость может быть эксплуатирована в случае если приложение допускает передачу в SQLite SQL-конструкций, поступающих извне, или когда приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite (например, когда файл с базой используется как формат для переноса данных).

Наибольшую опасность уязвимость представляет для пользователей браузера Chrome и приложений, использующих движок Chromium. Атака на Chromium возможна через манипуляцию с API WebSQL, который реализован поверх SQLite и подразумевает использование данной СУБД для обработки SQL-запросов из web-приложений. Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium.

Firefox удалённой уязвимости не подвержен так как разработчики Mozilla в своё время отказались от реализации WebSQL в пользу API IndexedDB. SQLite используется в Firefox для хранения внутренних БД на диске, которые недоступны для отправки в них произвольных SQL-запросов из Web. Эксплуатации уязвимости в Firefox можно добиться только через замену этих БД или внесения повреждений на низком уровне, но подобная атака бессмысленна, так как должна быть совершена пользователем, уже имеющим доступ на запись к локальной файловой системе.

Детали уязвимости и метод эксплуатации пока не раскрываются чтобы дать пользователям время на установку обновлений. Наличие уязвимости подтверждено компанией Google. Более того, подготовлен работающий эксплоит для атаки на смартдинамик Google Home. Проблема уже исправлена в недавно сформированных выпусках Chrome/Chromium 71.0.3578.80 и SQLite 3.26. Особенно важно проконтролировать обновление сторонних браузеров на базе движка Chromium, которые не всегда оперативно доводят исправления до пользователей. Идентификатор CVE пока не назначен, но проблеме уже присвоено кодовое имя Magellan.

Судя по недавним изменениям в SQLite предполагается (подтверждено создателем SQLite), что уязвимость вызвана устранённым в выпуске 3.25.3 целочисленным переполнением в реализации движка полнотекстового поиска FTS3, которое могло привести к переполнению буфера в случае повреждения индекса. Для повреждения индекса могли использоваться манипуляции с теневыми таблицами (shadow tables), особым видом виртуальных таблиц с возможностью записи. В SQLite 3.26.0 обеспечен запрет на запись в теневые таблицы, действующий при включении режима SQLITE_DBCONFIG_DEFENSIVE (запрещает возможности, которые могут привести к повреждению БД через SQL, и рекомендуется для включения в случае, если SQLite должен обрабатывать непроверенные внешние SQL-запросы).

  1. Главная ссылка к новости
  2. OpenNews: В Bash выявлено ещё четыре уязвимости, эксплуатируемые через переменные окружения
  3. OpenNews: Критическая уязвимость в bash, которая может привести к удалённому запуску команд (дополнено)
  4. OpenNews: Опубликованы детали критической уязвимости в MySQL и MariaDB
  5. OpenNews: Критическая root-уязвимость в MySQL
  6. OpenNews: Уязвимость в MySQL, позволяющая поднять свои привилегии
Обсуждение (67 +16) | Тип: Проблемы безопасности | Интересно
15.12.2018 Компания Oracle выпустила обновление Solaris 11.4 SRU 4 (29 +7)
  Опубликовано обновление операционной системы Solaris 11.4 SRU 4, в котором предложена серия очередных исправлений и улучшений для новой ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду 'pkg update'. Формирование сервисных обновлений для ветки Solaris 11.3 прекращено.

В новой версии в основном обновлены входящие в состав компоненты, в том числе zsh 5.6.2, rsyslog 8.38.0, Oracle JET 5.2, django 1.11.16, ImageMagick 6.9.10-1.4, curl 7.62.0, MySQL 5.7.24, libtiff, libsndfile, squid, net-snmp. В состав включен пакет с компилятором Rust 1.28.0. Добавлена поддержка сетевых плат Dell OptiPlex XE3.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива OpenIndiana 2018.10, продолжающего развитие OpenSolaris
  3. OpenNews: Релиз Solaris 11.4
  4. OpenNews: Представлен LiveDVD на базе OpenIndiana/Illumos для платформы SPARC
  5. OpenNews: Представлен v9os, минималистичный дистрибутив Illumos для систем SPARC
  6. OpenNews: Представлен OmniOS Community Edition, новый дистрибутив Illumos
Обсуждение (29 +7) | Тип: Программы |
15.12.2018 Релиз Chrome OS 71 (68 –3)
  Компания Google представила релиз операционной системы Chrome OS 71, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 71. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 71 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0.

Основные изменения в Chrome OS 71:

  • Обновлено оформление приложения для работы с камерой. Кнопка затвора и включения записи видео перемещены из центра нижней части экрана в правую сторону;
  • В OOBE (Out of the Box Experience), режиме входа для получения доступа к расширенной функциональности для разработчиков, добавлена возможность входа по отпечаткам пальцев и PIN-коду;
  • Добавлена поддержка автодополнения ввода в строке поиска программ;
  • Реализован режим адаптивного изменения при прокрутке верхней части интерфейса браузера Chrome. В режиме планшета адресная строка при прокрутке теперь скрывается;
  • Добавлена возможность соединения с Android-смартфонами, используя общие для смартфона и chromebook настройки из Google Account. После соединения со смартфоном при помощи сервиса Android Messages PWA пользователь может из Chrome OS просматривать поступающие сообщения, отправлять новые сообщения и отвечать на поступающие. Также доступно использование функции Smart Lock для разблокировки Chromebook смартфоном и возможность настройки выхода в сеть через включение на смартфоне точки доступа (instant tethering);
  • В локальной системе вывода на печать, работающей на базе CUPS, добавлена возможность вёрстки нескольких страниц для печати на одном листке бумаги;
  • Усовершенствовано появившееся в Chrome OS 71 окружение для запуска Linux-приложений. Виртуальная машина с Linux теперь отображается в списке менеджера задач и может быть закрыта через правый клик мышью на пиктограмме терминала. Добавлена функция совместного доступа к каталогам, позволяющая Linux-приложениям читать и записывать файлы в различных каталогах Chrome OS, не ограничиваясь каталогом "Linux files" (в следующем выпуске ожидается предоставление доступа Linux-приложений к Google Drive);
  • В операционную систему интегрирован голосовой помощник Google Assistant (пока включён только в устройстве Pixel Slate);
  • Добавлены функции ограничения доступа к приложениям и ограничения времени работы, полезные при использовании устройства разными членами семьи;
  • В интерфейсе запуска приложений (Launcher) добавлена возможность создания полунаполненных страниц (можно создать новый экран с приложениями без полного заполнения текущего);
  • Android-окружение ARC++ (App Runtime for Chrome, прослойка для запуска Android-приложений в Chrome OS) на устройствах Pixel Slate обновлено до выпуска Android 9;
  • На устройствах Pixel Slate обеспечена возможность аутентификации по отпечатку пальца и добавлен портретный режим работы в приложении для работы с камерой.

  1. Главная ссылка к новости
  2. OpenNews: Релиз web-браузера Chrome 71
  3. OpenNews: В Chrome развивается API для создания полноценных пользовательских приложений
  4. OpenNews: Релиз Chrome OS 70
  5. OpenNews: Релиз Chrome OS 69 с обновлённым интерфейсом и поддержкой Linux
Обсуждение (68 –3) | Тип: Программы |
14.12.2018 Выпуск hostapd и wpa_supplicant 2.7 (11 +17)
  После двух лет разработки подготовлен выпуск hostapd/wpa_supplicant 2.7, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2 и EAP, состоящего из приложения wpa_supplicant для подключения к беспроводной сети в роли клиента и фонового процесса hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.

Основные новшества:

  • Добавлена поддержка метода быстрой настройки соединения FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai), позволяющего избавиться от задержек при роуминге во время миграции от одной точки доступа к другой;
  • Добавлена поддержка метода согласования соединения OWE (Opportunistic Wireless Encryption, RFC 8110) для генерации ключей шифрования в открытых сетях. Расширение OWE задействовано в стандарте WPA3 для шифрования всех потоков данных между клиентом и точкой доступа в общедоступных публичных беспроводных сетях, не требующих аутентификации;
  • Добавлена поддержка протокола DPP (Wi-Fi Device Provisioning Protocol), определяющего метод аутентификации по открытым ключам, задействованный в стандарте WPA3 для организации упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе;
  • Устранена группа уязвимостей, связанных с атакой KRACK (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа;
  • Удалён код, связанный с поддержкой механизма PeerKey (скомпрометирован и подвержен атаке KRACK);
  • Добавлена возможность использования криптографической библиотеки wolfSSL и обеспечена совместимость с выпуском OpenSSL 1.1.1;
  • В EAP-pwd добавлена возможность использования соли при хэшировании паролей;
  • Улучшения, специфичные для hostapd:
    • Переработана реализация технологии быстрого роуминга FT (Fast Transition, IEEE 802.11r), позволяющая переключаться между точками доступа по мере перемещения. Добавлена поддержка IEEE VLAN, SHA384, локальной генерации PMK-R0/PMK-R1 для FT-PSK, масок R0KH/R1KH и возможность задания времени жизни в кэше PMK-R0 и PMK-R1;
    • Улучшен реализация протокола аутентификации и создания ключей SAE (Simultaneous Authentication of Equals), предоставляющего более защищённый метод аутентификации на основе паролей. Добавлена возможность настройки отдельного пароля для SAE, не пересекающегося с паролем WPA2. Добавлена настройка "sae_require_pmf" для обязательного применения MFP для SAE. Добавлена поддержка PI (Password Identifier);
    • В интерфейс командной строки (hostapd_cli) добавлена возможность просмотра истории введённых команд и автодополнения ввода;
    • Добавлены опции для ограничения интенсивности обновления ключей EAPOL (wpa_group_update_count и wpa_pairwise_update_count);
    • В реализацию стандарта Hotspot 2.0 добавлена возможность настройки ссылки на провайдера (venue_url), определения документа с условиями использования, подключения в режиме роуминга и установки OSEN-соединений;
  • Улучшения, специфичные для wpa_supplicant:
    • Добавлена поддержка 3072-битных ключей RSA с 192-битной криптографией NSA Suite B;
    • В реализации стандарта IEEE 802.1AE (MACsec) предложен новый драйвер macsec_linux, предоставляющий интерфейс к модулю ядра Linux macsec;
    • Добавлена возможность использования для кэша PMKSA постоянных внешних хранилищ;
    • Добавлена поддержка рандомизации локального MAC-адреса для запросов GAS (параметр gas_rand_mac_addr);
    • Добавлена опция auto_uuid для использования случайного WPS UUID;
    • Добавлена поддержка использования хэша SHA256 при сравнении сертификатов OCSP;
    • Добавлен параметр group_mgm для настройки наборов шифров, разрешённых для управления группами;
    • Для режима AP (точка доступа) добавлена настройка ap_isolate;
    • В netlink-интерфейсе nl80211 добавлена поддержка выноса обработки операций 4-стороннего согласования соединения на плечи драйвера;
    • В реализации FT (Fast Transition) добавлена поддержка SHA384 и шифров BIP-CMAC-256, BIP-GMAC-128 и BIP-GMAC-256 в дополнение к BIP-CMAC-128.

  1. Главная ссылка к новости
  2. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
  3. OpenNews: Критическая уязвимость в wpa_supplicant, компоненте для подключения к беспроводным сетям
  4. OpenNews: Опубликована технология защиты беспроводных сетей WPA3
  5. OpenNews: Новая техника атаки на беспроводные сети с WPA2
  6. OpenNews: Релиз hostapd/wpa_supplicant 2.0, отныне поставляемый только под лицензией BSD
Обсуждение (11 +17) | Тип: Программы |
14.12.2018 В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками (64 +15)
  Спустя неделю с момента выхода новой ветки системы управления web-контентом WordPress 5.0 сформирован корректирующий релиз 5.0.1, в котором устранено 7 уязвимостей:
  • Страница активации нового пользователя могла индексироваться поисковыми системами, что при определённых настройках могло привести к утечке через поисковики email-адресов и сгенерированных по умолчанию паролей;
  • Пользователи могли через манипуляции с мета-данными выполнить подстановку объектов и инициировать выполнение своего PHP-кода;
  • Авторы могли изменить метаданные для инициирования удаления файлов, не имея на это полномочий;
  • Авторы могли размещать неразрешённые им типы публикаций через манипуляции с параметрами запроса;
  • Непривилегированные участники могли редактировать новые комментарии более привилегированных пользователей (в том числе могли подставить в комментарии JavaScript-код, если автор изначального комментария имел на это полномочия);
  • Возможность организации межсайтового скриптинга через указание специально оформленных ссылок (непосредственно WordPress не подвержен проблеме, но уязвимость проявляется при использовании некоторых плагинов);
  • Возможность организации межсайтового скриптинга через загрузку авторами контента специально модифицированных файлов, которые позволяют обойти проверку MIME-типов на системах под управлением http-сервера Apache (WordPress определял MIME-тип по расширению без учёта содержимого, что, например, позволяет загрузить phar-файл в файле с расширением ".jpg" при проведении атак "Phar deserialization").

  1. Главная ссылка к новости
  2. OpenNews: Релиз системы управления web-контентом WordPress 5.0 с новым web-редактором
  3. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
  4. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
  5. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
  6. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
Обсуждение (64 +15) | Тип: Проблемы безопасности |
14.12.2018 Релиз системы проектирования трёхмерных интерфейсов Qt 3D Studio 2.2 (30 +12)
  Проект Qt опубликовал релиз Qt 3D Studio 2.2, приложения для создания трёхмерных интерфейсов пользователя. Qt 3D Studio предоставляет инструменты для быстрого создания прототипов трёхмерного интерфейса и включает в себя редактор со шкалой времени, позволяющий создавать эффекты с анимацией и по ключевым кадрам. Поддерживается импорт ресурсов из таких пакетов, как Blender, Photoshop, Autodesk Maya и The Foundry MODO (поддерживаются форматы FBX и COLLADA). В состав также входит обширная библиотека готовых материалов и эффектов. Создаваемые макеты интерфейса могут быть интегрированы с Qt Quick и другими модулями фреймворка Qt. Код распространяется под лицензией GPLv3.

В новом выпуске:

  • Переработана система управления отображением материалов на поверхностях объектов. Для изменения свойств материала у группы объектов, в которых используется один и тот же материал, теперь достаточно применить изменения к одному материалу, без внесения изменений для каждого объекта. Также существенно улучшен процесс прикрепления материалов при импортировании 3D-моделей - определения материалов теперь сохраняется как часть файлов проекта, что позволяет совместно использовать материалы между несколькими проектами;
  • Добавлен режим масштабируемого просмотра сцены (Scene Camera), позволяющий разглядеть элементы на уровне отдельных пикселей;
  • Переработан интерфейс управления субпредставлениями (Sub-Presentation), который теперь доступен как часть просмотрщика проектов (Project View). Упрощён процесс переключения между субпредставлениями и добавления субпредставлений в основное представление (файл .uia или QML).
  • В настройках редактора представлений (Editor Presentation) добавлена опция для использования сжатых текстур. Для сжатия текстур пока следует использовать внешние утилиты, такие как etcpack;
  • Реализована предварительная поддержка стереоскопичекого рендеринга. В меню View добавлена опция Stereo Mode, которая позволяет выбрать один из поддерживаемых режимов стереовывода (Top-Bottom, Left-Right и Anaglyph) и настроить расхождение изображений для правого и левого глаза;
  • Проведена работа по увеличению производительности рендеринга на встраиваемых устройствах. Для тестирования нового высокопроизводительного движка отрисовки следует установить переменную окружения Q3DS_DRAGON=1;
  • В QML API представлен новый элемент View3D, который можно использовать для отображения содержимого одного слоя Qt 3D Studio в сцене Qt Quick. Указанная возможность позволяет размещать 3D-объекты в разных местах сцены, не привязываясь к одной прямоугольной зоне обзора.

  1. Главная ссылка к новости
  2. OpenNews: Релиз фреймворка Qt 5.12 и среды разработки Qt Creator 4.8.0
  3. OpenNews: Проект Qt прекращает разработку сборочной системы Qbs в пользу CMake
  4. OpenNews: Проект Qt представил среду разработки Qt Design Studio 1.0
  5. OpenNews: Начальный план разработки Qt 6
  6. OpenNews: Первый выпуск системы проектирования трёхмерных интерфейсов Qt 3D Studio
Обсуждение (30 +12) | Тип: Программы |
14.12.2018 CentOS возобновляет поддержку репозитория Fasttrack (6 +8)
  Разработчики CentOS объявили о возвращении к жизни репозитория Fasttrack, который полтора года назад был объявлен компанией RedHat устаревшим и с тех пор не обновлялся. Fasttrack репозиторий предназначен для оперативной доставки обновлений с исправлением не связанных с безопасностью важных ошибок, до того как обновления пройдут все стадии проверки и оценки качества.

В репозитории планируют публиковать предварительные обновления для исправления серьёзных проблем, которые могут быть востребованы определённой категорией пользователей, не желающих ждать выхода официального обновления. Например, сегодня в репозиторий Fasttrack помещено обновление для DNS-сервера Bind, в котором исправлена ошибка, приводящая в некоторых конфигурациях к периодическим крахам рабочего процесса. Для активации репозитория можно использовать команду "sudo yum-config-manager --enable fasttrack".

  1. Главная ссылка к новости
Обсуждение (6 +8) | Тип: Программы |
13.12.2018 Компания Alibaba присоединилась к инициативе по защите Linux от патентных претензий (35 +17)
  Alibaba, одна из крупнейших китайских IT-компаний, и аффилированная с ней крупнейшая в мире финтех-компания Ant Financial вошли в число основных участников организации Open Invention Network (OIN), занимающейся защитой экосистемы Linux от патентных претензий. Участники OIN обязуются не выдвигать патентные претензии и безвозмездно разрешают использовать запатентованные технологии в проектах, связанных с экосистемой Linux. Alibaba и Ant Financial обладают значительным числом патентов в области электронной коммерции, облачных систем, финансовых технологий и высокопроизводительных систем.

В число участников OIN входит 2650 компаний, сообществ и организаций, подписавших лицензионное соглашение о совместном использовании патентов. Среди основных участников OIN, обеспечивающих формирование защищающего Linux патентного пула, такие компании, как Google, IBM, NEC, Toyota, SUSE, Philips, Red Hat, HP, Juniper, Facebook, Cisco, Fujitsu, Sony и Microsoft. Подписавшие соглашение компании получают доступ к имеющимся в руках OIN патентам, в обмен на обязательство не предъявлять судебных претензий за использование технологий, применяемых в экосистеме Linux.

Соглашение между участниками OIN распространяется только на компоненты дистрибутивов, подпадающих под определение системы Linux ("Linux System"). В настоящее время список включает 2728 пакетов, в том числе ядро Linux, платформу Android, KVM, Git, nginx, CMake, PHP, Python, Ruby, Go, Lua, OpenJDK, WebKit, KDE, GNOME, QEMU, Firefox, LibreOffice, Qt, systemd, X.Org, Wayland и т.д. Кроме обязательств о ненападении для дополнительной защиты в рамках OIN сформирован патентный пул, куда попадают скупаемые или безвозмездно передаваемые участниками патенты, связанные с Linux. Патентный пул OIN включает более 1300 патентов.

  1. Главная ссылка к новости
  2. OpenNews: Компания Microsoft присоединилась к инициативе по защите Linux от патентных претензий
  3. OpenNews: Компания Hitachi присоединилась к инициативе по защите Linux от патентных претензий
  4. OpenNews: Организация OIN включила 395 новых пакетов в программу защиты Linux от патентных претензий
  5. OpenNews: Компания Toyota присоединилась к инициативе по защите Linux от патентных претензий
  6. OpenNews: В программу защиты Linux от патентных претензий включено 115 новых пакетов
Обсуждение (35 +17) | Тип: К сведению |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor