The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

11.12 Обновление Git с устранением 8 уязвимостей
  Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.24.1, 2.23.1, 2.22.2, 2.21.1, 2.20.2, 2.19.3, 2.18.2, 2.17.3, 2.16.6, 2.15.4 и 2.14.62.24.1, в которых устранены уязвимости, позволяющие атакующему переписать произвольные пути в файловой системе, организовать удалённый запуск кода или перезаписать файлы в каталоге ".git/". Большинство проблем выявлены сотрудниками Microsoft Security Response Center, пять из восьми уязвимостей специфичны для платформы Windows.
  • CVE-2019-1348 - потоковая команда "feature export-marks=path"позволяет записать метки в произвольные каталоги, что может использоваться для перезаписи произвольных путей в ФС при выполнении операции "git fast-import" с непроверенными входными данными.
  • CVE-2019-1350 - некорректное экранирование аргументов командной строки могло привести к удалённому выполнению кода атакующего при рекурсивном клонировании с использованием URL ssh://. В частности, некорректно обрабатывалось экранирование аргументов, оканчивающихся на обратный слеш (например, "test \"). В этом случае при обрамлении аргумента двойными кавычками, последняя кавычка оказывалась экранированной, что позволяло организовать подстановку своих опций в командной строке.
  • CVE-2019-1349 - при рекурсивном клонировании субмодулей ("clone --recurse-submodules") в окружении Windows при определённых условиях можно было инициировать использование одного git-каталога дважды (.git, git~1, git~2 и git~N в NTFS распознаётся как один каталог, но эта ситуация проверялась только для git~1), что могло применяться для организации записи в каталог ".git". Для организации выполнения своего кода атакующий, например, может подставить свой скрипт через обработчик post-checkout в файле .git/config.
  • CVE-2019-1351 - обработчик буквенных имён дисков в путях Windows при трансляции путей типа "C:\" был рассчитан только на замену однобуквенных латинских идентификаторов, но не учитывал возможность создания виртуальных дисков, назначаемых через "subst буква:путь". Такие пути обрабатывались не как абсолютные, а как относительные пути, что позволяло при клонировании вредоносного репозитория организовать запись в произвольный каталог за пределами рабочего дерева каталогов (например, при использовании цифр или unicode-символов в названии диска - "1:\what\the\hex.txt" или "ä:\tschibät.sch").
  • CVE-2019-1352 - при работе на платформе Windows применение альтернативных потоков данных в NTFS, создаваемых через добавление признака ":stream-name:stream-type" к имени файла, позволяло перезаписать файлы в каталоге ".git/" при клонировании вредоносного репозитория. Например, имя ".git::$INDEX_ALLOCATION" в NTFS обрабатывалось как корректная ссылка на каталог ".git".
  • CVE-2019-1353 - при использовании Git в окружении WSL (Windows Subsystem for Linux) при обращении к рабочему каталогу не применялась защита от манипуляции именами в NTFS (были возможны атаки через трансляцию имён FAT, например, к ".git" можно было обратиться через каталог "git~1").
  • CVE-2019-1354 - возможность записи в каталог ".git/" на платформе Windows при клонировании вредоносных репозиториев, содержащих файлы с обратным слешем в имени (например, "a\b"), который допустим в Unix/Linux, но воспринимается как часть пути в Windows.
  • CVE-2019-1387 - недостаточная проверка имён субмодулей могла использоваться для организации целевых атак, которые при рекурсивном клонировании потенциально могли привести к выполнению кода атакующего. Git не запрещал создавать каталог субмодуля в каталоге другого субмодуля, что в большинстве случаях лишь может привести к замешательству, но потенциально не исключает перезаписи содержимого другого модуля в процессе рекурсивного клонирования (например, каталоги субмодулей "hippo" и "hippo/hooks" размещаются как ".git/modules/hippo/" и ".git/modules/hippo/hooks/", а каталог hooks в hippo может отдельно использоваться для размещения запускаемых обработчиков.

Пользователям Windows рекомендуется срочно обновить версию Git, а до обновления воздержаться от клонирования непроверенных репозиториев. Если возможности срочно обновить версию Git пока нет, то для снижения риска атаки рекомендуется не запускать "git clone --recurse-submodules" и "git submodule update" с непроверенными репозиториями, не использовать "git fast-import" с непроверенными входными потоками и не клонировать репозитории в разделы на базе NTFS.

Для дополнительной защиты в новых выпусках также запрещено использование в .gitmodules конструкций в форме "submodule.{name}.update=!command". Для дистрибутивов проследить за выпуском обновлений пакетов можно на страницах Debian,Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

  1. Главная ссылка к новости
  2. OpenNews: GitHub запустил совместный проект для выявления уязвимостей в открытом ПО
  3. OpenNews: Выпуск распределенной системы управления исходными текстами Git 2.24
  4. OpenNews: Уязвимость в Git, Subversion и Mercurial, допускающая подстановку команд через URL ssh://
  5. OpenNews: Обновление Git с устранением уязвимостей
  6. OpenNews: В Git устранена уязвимость, которая может привести к выполнению кода атакующего
Обсуждение | Тип: Проблемы безопасности |


11.12 Платформа совместной работы Microsoft Teams доступна для Linux (42 –1)
  Компания Microsoft представила Linux-версию платформы Microsoft Teams, предоставляющей инструменты для организации совместной работы над документами, ведения заметок, планирования встреч, обмена файлами, общения сотрудников компании в чате и проведения видеоконференций. Microsoft Teams стал первым компонентом пакета Office 365, адаптированным для рабочих столов на основе Linux. Сборки Microsoft Teams для Linux доступны для тестирования в форматах deb и rpm.

Linux-версия находится на стадии предварительного тестирования и не обеспечивает полный паритет по функциональности с версией для Windows. Например, при работе в Linux пока не поддерживаются возможности связанные с офисными приложениями и предоставление совместного доступа к экрану во время общения. Портирование произведено для упрощения взаимодействия персонала в компаниях, некоторые сотрудники которых используют Linux на рабочем столе и для взаимодействия с остальной инфраструктурой ранее были вынуждены использовать неофициальные клиенты Skype for Business. После того, как Microsoft Teams заменил собой Skype for Business, компания решила выпустить официальный Linux-порт нового продукта.

  1. Главная ссылка к новости
  2. OpenNews: Microsoft развивает новый язык программирования на основе Rust
  3. OpenNews: Пакет Microsoft Defender ATP будет выпущен для Linux
  4. OpenNews: Браузер Microsoft Edge позиционируется кросс-платформенным и будет поддерживать Linux
  5. OpenNews: Microsoft присоединяется к разработке OpenJDK
  6. OpenNews: Компания Microsoft опубликовала открытую платформу .NET Core 3.0
Обсуждение (42 –1) | Тип: К сведению |


11.12 Опубликованы сборки Ubuntu Server 19.10.1 для Raspberry Pi (10 +7)
  Компания Canonical сформировала сборки серверной редакции дистрибутива Ubuntu 19.10.1 для плат Raspberry Pi. 32-разрядные сборки доступны для Raspberry Pi 2, 3 и 4, а 64-разрядные для Raspberry Pi 3 и 4. В предложенных сборках доведена до рабочего состояния поддержка USB на платах Raspberry Pi 4 c 4GB ОЗУ (ранее из-за ошибки в ядре поддерживались только платы с 1 и 2 GB ОЗУ).

Отмечается, что Canonical относит платы Raspberry Pi к категории первичных платформ для Ubuntu и активно работает с организаций Raspberry Pi foundation над обеспечением качественной поддержки новых плат в своём дистрибутиве. Из дальнейших планов упоминается формирование специализированных сборок Ubuntu Server 18.04 LTS и Ubuntu Core для Raspberry Pi.

  1. Главная ссылка к новости
  2. OpenNews: Обновлены планы по поставке 32-разрядных библиотек в Ubuntu 20.04
  3. OpenNews: Выпуск дистрибутива Ubuntu 19.10
  4. OpenNews: Выпуск Ubuntu 18.04.3 LTS c обновлением графического стека и ядра Linux
  5. OpenNews: Canonical пересмотрела планы по прекращению поддержки архитектуры i386 в Ubuntu
  6. OpenNews: Представлена плата Raspberry Pi 4
Обсуждение (10 +7) | Тип: Программы |


11.12 Google подготовил систему поиска и навигации по коду Android (1 –1)
  Компания Google ввела в строй сервис cs.android.com, предназначенный для поиска по коду в git-репозиториях, связанных с платформой Android. При поиске учитываются различные классы элементов, встречающихся в коде, а результат выводится в наглядном виде с подсветкой синтаксиса, возможностью межссылочной навигации и просмотра истории изменений. Например, можно кликнуть на названии функции в коде и перейти к месту её определения или посмотреть где ещё она вызывается. Также можно переключаться между разными ветками и оценивать изменения между ними.

  1. Главная ссылка к новости
  2. OpenNews: GitHub открыл наработки по применению машинного обучения для поиска и анализа кода
  3. OpenNews: Microsoft открыл код библиотеки векторного поиска, используемой в Bing
  4. OpenNews: Открыт исходный код поискового движка Gigablast
  5. OpenNews: LinkedIn открыл код поисковых технологий IndexTank
  6. OpenNews: Представлен Sourcegraph, сервис поиска по исходным текстам
Обсуждение (1 –1) | Тип: К сведению |


11.12 Релиз CrossOver 19.0 для Linux и macOS (10 +4)
  Компания CodeWeavers выпустила релиз пакета Crossover 19.0, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 19.0 можно загрузить на данной странице.

В новой версии предоставлена возможность запуска 32-разрядных Windows-программ в 64-разрядном окружении macOS Catalina, в котором прекращена поддержка 32-разрядных приложений (для Linux возможность сборки wine32 для 64-разрядных систем пока носит экспериментальный характер). Кодовая база обновлена до Wine 4.12 и FAudio 19.10 (реализация звукового API XAudio2). Улучшена совместимость с новыми выпусками дистрибутивов Linux. Обеспечена поддержка Python 3.

  1. Главная ссылка к новости
  2. OpenNews: Релиз CrossOver 18.5 для Linux и macOS
  3. OpenNews: CrossOver адаптирован для работы в Chrome OS
  4. OpenNews: В Wine Staging добавлены патчи для повышения производительности многопоточных игр
  5. OpenNews: Представлено ответвление Proton-i, переведённое на более свежие версии Wine
  6. OpenNews: Выпуск Wine 4.21 и пакета для запуска Windows-игр Proton 4.11-9
Обсуждение (10 +4) | Тип: Программы |


10.12 Выпуск браузера Pale Moon 28.8.0 (61 +15)
  Представлен релиз web-браузера Pale Moon 28.8, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License).

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum.

В новой версии:

  • Добавлена поддержка вариантов ОС Solaris, таких как Illumos;
  • Для таблиц реализовано CSS-свойство "position: sticky" для закрепления позиции таблиц независимо от прокрутки;
  • Добавлена базовая поддержка JavaScript-модулей;
  • Реализованы методы Promise.prototype.finally() и String.prototype.matchAll, а также расширена поддержка регулярных выражений (поддержка разбора в обратном направлении и флага /s);
  • Обновлены версии cairo, SQLite 3.30.1, Brotli 1.0.7, woff2 1.0.2, OpenType Sanitizer 8.0.0;
  • Обновлён встроенный шрифт для Emoji (twemoji 0.5.0);
  • Улучшена отрисовка CSS grid;
  • Для сжатия поставляемых пакетов задействованы 7z/xz вместо zip/bz2;
  • Добавлена настройка для отключения запроса подтверждения аутентификации (для защиты от DoS-атак через зацикливания диалога);
  • По умолчанию отключена поддержка привязки открытых ключей (HPKP, HTTP Public Key Pinning).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск браузера Pale Moon 28.7.0
  3. OpenNews: Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков
  4. OpenNews: Создатели Pale Moon ввели в строй портал проектов на базе XUL
  5. OpenNews: Позиция проекта Pale Moon в отношении XUL-дополнений
  6. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP
Обсуждение (61 +15) | Тип: Программы |


10.12 Выпуск дистрибутива NomadBSD 1.3 (34 +9)
  Доступен выпуск Live-дистрибутива NomadBSD 1.3, представляющего собой редакцию FreeBSD, адаптированную для использования в качестве переносного рабочего стола, загружаемого с USB-накопителя. Графическое окружение основано на оконном менеджере Openbox. Для монтирования накопителей применяется DSBMD (поддерживается монтирование CD9660, FAT, HFS+, NTFS, Ext2/3/4), для настройки беспроводной сети - wifimgr, а для управления громкостью - DSBMixer. Размер загрузочного образа 2.3 Гб (x86_64, i386).

В новом выпуске:

  • Осуществлён переход на кодовую базу FreeBSD 12.1;
  • Из-за проблем с возникновением взаимной блокировки вместо встроенной реализации unionfs задействован модуль unionfs-fuse;
  • Таблица разделов на базе GPT заменена на MBR для решения проблем с загрузкой на ноутбуках Lenovo;
  • В установщик добавлена поддержка ZFS;
  • Добавлена возможность установки кода страны для беспроводного адаптера;
  • Добавлена автоконфигурация для запуска VirtualBox;
  • Добавлена проверка экрана по умолчанию для решения проблем на системах с Optimus, на которых отключена видеокарта NVIDIA;
  • В состав включён проприетарный драйвер NVIDIA 440.x;
  • Добавлена утилита nomadbsd-dmconfig для выбора пользователя по умолчанию и активации автоматического входа без пароля;
  • Добавлена утилита nomadbsd-adduser для добавления новых пользователей;
  • В ~/.xinitrc добавлены шаблоны для запуска других рабочих столов;
  • Для новых GPU Intel задействован драйвер "modesetting";
  • Добавлен DSBBg, интерфейс для управления обоями рабочего стола;
  • Реализована поддержка автообновления меню Openbox;
  • Из поставки удалены palemoon и thunderbird;
  • Добавлены simplescreenrecorder, audacity и orage;
  • Менеджер паролей fpm2 заменён на KeePassXC, почтовый клиент sylpheed на claws-mail, а утилита для монтирования накопителей DSBMC заменена на DSBMC-Qt;
  • Добавлена поддержка нескольких раскладок клавиатуры.

    1. Главная ссылка к новости
    2. OpenNews: Дистрибутив Nitrux уходит от использования systemd
    3. OpenNews: Выпуск дистрибутива Nitrux 1.1.7 с рабочим столом Nomad
    4. OpenNews: Выпуск дистрибутива NomadBSD 1.2
    5. OpenNews: FuryBSD - новая Live-сборка FreeBSD с рабочим столом Xfce
    6. OpenNews: Отчёт о развитии FreeBSD за третий квартал 2019 года
Обсуждение (34 +9) | Тип: Программы |


10.12 Выпуск Qt for MCUs 1.0, редакции Qt5 для микроконтроллеров (16 +13)
  Проект Qt опубликовал первый стабильный релиз Qt for MCUs 1.0, редакции фреймворка Qt 5 для микроконтроллеров и маломощных устройств. Пакет позволяет создавать графические приложения, взаимодействующие с пользователем в стиле интерфейсов для смартфонов, для различной бытовой электроники, носимых устройств, промышленного оборудования и систем умного дома.

Разработка осуществляется с использованием привычного API и штатных инструментов разработчика, применяемых для создания полноценных GUI для настольных систем. Интерфейс для микроконтроллеров создаётся с использованием не только C++ API, но и применяя QML c виджетами Qt Quick Controls, переработанными для небольших экранов.

Для достижения высокой производительности сценарии QML транслируются в код на C++, а отрисовка осуществляется при помощи отдельного графического движка Qt Quick Ultralite (QUL), оптимизированного для создания графических интерфейсов в условиях небольшого объёма оперативной памяти и процессорных ресурсов. Движок разработан с оглядкой на микроконтроллеры ARM Cortex-M и поддерживает ускорители 2D-графики, такие как PxP на чипах NXP i.MX RT1050, Chrom-Art на чипах STM32F769i и RGL на чипах Renesas RH850.

  1. Главная ссылка к новости
  2. OpenNews: Введён в строй Qt Marketplace, каталог-магазин модулей и дополнений для Qt
  3. OpenNews: Изменение лицензии на Qt Wayland Compositor и включение сбора телеметрии в Qt Creator
  4. OpenNews: Выпуск среды разработки Qt Design Studio 1.3
  5. OpenNews: Выпуск интегрированной среды разработки Qt Creator 4.10.0
  6. OpenNews: Опубликован план развития функциональности Qt 6
Обсуждение (16 +13) | Тип: Программы |


10.12 Выпуск среды разработки Tizen Studio 3.6 (13 +2)
  Доступен выпуск среды разработки Tizen Studio 3.6, пришедшей на смену Tizen SDK и предоставляющей набор инструментов для создания, сборки, отладки и профилирования мобильных приложений при помощи Web API и Native API Tizen. Среда построена на базе свежего выпуска платформы Eclipse, имеет модульную архитектуру и на этапе установки или через специальный пакетный менеджер позволяет устанавливать только необходимую функциональность.

В состав Tizen Studio входит набор эмуляторов устройств на базе Tizen (эмулятор смартфона, телевизора, умных часов), набор примеров для обучения, инструменты для разработки приложений на C/С++ и с использованием web-технологий, компоненты для обеспечения поддержки новых платформ, системных приложений и драйверов, утилиты для сборки приложений к Tizen RT (вариант Tizen на базе RTOS-ядра), средства для создания приложений для умных часов и телевизоров.

В новой версии:

  • Обновлены образы с мобильной платформой Tizen 5.5;
  • Добавлена поддержка свойства "type" для приложений на базе фреймворка WRT (Web Runtime);
  • Переведена в разряд устаревших поддержка 32-разрядных систем, а также пакетов Java 9, OpenJDK 10, и Log Viewer.

  1. Главная ссылка к новости
  2. OpenNews: Второй тестовый выпуск мобильной платформы Tizen 5.5
  3. OpenNews: Выпуск среды разработки Tizen Studio 3.3
  4. OpenNews: Первый тестовый выпуск мобильной платформы Tizen 5.5
  5. OpenNews: Второй тестовый выпуск мобильной платформы Tizen 5.0
  6. OpenNews: Первый тестовый выпуск мобильной платформы Tizen 5.0
Обсуждение (13 +2) | Тип: Программы |


10.12 Выпуск новой стабильной ветки Tor 0.4.2 (157 +13)
  Представлен выпуск инструментария Tor 0.4.2.5, используемого для организации работы анонимной сети Tor. Tor 0.4.2.5 признан первым стабильным выпуском ветки 0.4.2, которая развивалась последние четыре месяца. Одновременно предложены обновления для старых веток 0.4.1.7, 0.4.0.6 и 0.3.5.9. Ветка 0.4.2 будет сопровождаться в рамках штатного цикла сопровождения - выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.3.x. Длительный цикл поддержки (LTS) обеспечен для ветки 0.3.5, обновления для которой будут выпускаться до 1 февраля 2022 года. Поддержка веток 0.4.0.x и 0.2.9.x будет прекращена в начале следующего года.

Основные новшества:

  • На серверах каталогов включена блокировка подключения узлов, на которых используются устаревшие выпуски Tor, поддержка которых прекращена (будут заблокированы все узлы, на которых не используются актуальные ветки 0.2.9, 0.3.5, 0.4.0, 0.4.1 и 0.4.2). Блокировка позволит по мере прекращения поддержки очередных веток автоматически исключать из сети узлы, вовремя не перешедшие на актуальное программное обеспечение.

    Наличие в сети узлов с устаревшим программным обеспечением негативно отражается на стабильности и создаёт дополнительные риски нарушения безопасности. Если администратор не следит за обновлением Tor, то, вероятно, он халатно относится к обновлению системы и других серверных приложений, что повышает риск захвата контроля над узлом в результате целевых атак. Наличие узлов с уже неподдерживаемыми выпусками также мешает исправлению важных ошибок, препятствует распространению новых возможностей протокола и снижает эффективность работы сети. Операторы устаревших систем были уведомлены о планируемой блокировке ещё в сентябре.

  • Для скрытых сервисов предоставлены средства для защиты от DoS-атак. Точки выбора соединения (intro points) теперь могут ограничивать интенсивность запросов от клиента, используя параметры, отправленные скрытым сервисом в ячейке ESTABLISH_INTRO. Если новое расширение не используется скрытым сервисом, то точка выбора соединения будет руководствоваться параметрами достижения консенсуса.
  • В точках выбора соединения запрещено подключение клиентов прямого проброса (single-hop), которые использовались для работы сервиса Tor2web, поддержка которого давно прекращена. Блокировка позволит снизить нагрузку на сеть от клиентов-спамеров.
  • Для скрытых сервисов реализован общий набор токенов (generic token bucket), использующий единый счётчик, который может применяться для борьбы с DoS-атаками.
  • Режим "BEST" в команде ADD_ONION теперь по умолчанию применяет сервисы ED25519-V3 (v3) вместо RSA1024 (v2).
  • В код настройки добавлена возможность разделения данных конфигурации между несколькими объектами.
  • Проведена значительная чистка кода.

  1. Главная ссылка к новости
  2. OpenNews: Возобновление работы по интеграции поддержки Tor в Firefox
  3. OpenNews: Доступен Tor Browser 9.0
  4. OpenNews: Проект Tor опубликовал OnionShare 2.2
  5. OpenNews: В Tor отключены 800 из 6000 узлов из-за применения устаревшего ПО
  6. OpenNews: Выпуск новой стабильной ветки Tor 0.4.1
Обсуждение (157 +13) | Тип: Программы |


10.12 Доступен браузер Firefox Preview 3.0 для Android (64 +24)
  Компания Mozilla опубликовала третий значительный выпуск экспериментального браузера Firefox Preview, развиваемого под кодовым именем Fenix. В ближайшее время выпуск будет опубликован в каталоге Google Play (для работы необходим Android 5 или новее). Код доступен на GitHub. Первый стабильный выпуск ожидается в первой половине 2020 года. После стабилизации проекта и реализации всей задуманной функциональности браузер заменит собой редакцию Firefox для Android, выпуск новых релизов которой прекращён, начиная с Firefox 69.

Firefox Preview использует движок GeckoView, построенный на базе технологий Firefox Quantum, и набор библиотек Mozilla Android Components, которые уже применяются для построения браузеров Firefox Focus и Firefox Lite. GeckoView является вариантом движка Gecko, оформленном в виде отдельной библиотеки, которую можно обновлять независимо, а Android Components включает библиотеки с типовыми компонентами, обеспечивающими работу вкладок, автодополнения ввода, поисковых подсказок и других возможностей браузера.

В новом выпуске:

  • Добавлены расширенные средства для защиты от отслеживания перемещений, позволяющие по аналогии с настольной версией Firefox блокировать рекламу с кодом для отслеживания перемещений, счётчики web-аналитики, виджеты социальных сетей, скрытые методы идентификации пользователя и код для майнинга криптовалют. По умолчанию активен режим жёсткой блокировки (Strict). По оценке разработчиков включение блокировки приводит к ускорению загрузки страниц в среднем на 20%. При касании к пиктограмме с изображением щита отрывается окно с информацией о заблокированных элементах c возможностью детального просмотра списка блокировки для текущего сайта.
  • По умолчанию активирована опция для открытия внешних ссылок (переходы по ссылке из сторонних приложений) в приватном режиме.
  • Добавлена опция для автоматической очистки истории открытия страниц при выходе из браузера.
  • Добавлена возможность выбора типов информации, которая будет синхронизироваться между устройствами. Из информации для синхронизации пока предложены только закладки и история открытия страниц.
  • Добавлены настройки поведения автоматического и фонового воспроизведения видео и звука.
  • Реализован интерфейс для просмотра и управления загрузками. Состояние загрузки отображается через виджет в области уведомлений, через который также можно приостановить, продолжить или отменить загрузку. После завершения загрузки всплывает диалог, через который можно открыть загруженный файл.
  • Вместо панели Quick Action предложена новая реализация браузерного меню.
  • Добавлена возможность добавления новых движков для обращения к поисковым системам.
  • Предложена опция для перемещения навигационной панели в нижнюю или верхнюю часть экрана.
  • Добавлена настройка для установки глобального уровня масштабирования, применяемого для всех сайтов.



Основные особенности Firefox Preview:

  • Высокая производительность. Заявлено, что Firefox Preview до двух раз быстрее классического Firefox для Android, что достигается благодаря применению на этапе компиляции оптимизаций на основе результатов профилирования кода (PGO - Profile-guided optimization) и за счёт включения JIT-компилятора IonMonkey для 64-разрядных систем ARM. Кроме ARM сборки GeckoView также теперь формируются и для систем x86_64.
  • Включение по умолчанию защиты от отслеживания перемещений и различной паразитной активности.
  • Универсальное меню, через которое можно получить доступ к настройкам, библиотеке (избранные страницы, история, загрузки, недавно закрытые вкладки), выбору режима отображения сайта (показ десктоп-версии сайта), поиску текста на странице, переходу в приватный режим, открытию новой вкладки и навигации между страницами.
  • Многофункциональная адресная строка, в которой имеется универсальная кнопка для быстрого выполнения операций, таких как отправка ссылки на другое устройство и добавление сайта в список избранных страниц. При нажатии на адресной строке запускается полноэкранный режим подсказки, предлагающий релевантные варианты ввода на основе истории посещений и рекомендаций от поисковых систем.
  • Применение вместо вкладок концепции коллекций, позволяющих сохранять, группировать и обмениваться избранными сайтами. После закрытия браузера остающиеся открытыми вкладки автоматически группируются в коллекцию, которую затем можно просмотреть и восстановить.
  • На стартовой странице выводится адресная строка, совмещённая с функцией глобального поиска, и показывается список открытых вкладок или, если страницы не открыты, отображается список сеансов, в которых сгруппированы ранее открытые сайты в привязке к сеансам работы с браузером.
  • Присутствует функция отправки вкладки или коллекции на другое устройство.

  1. Главная ссылка к новости
  2. OpenNews: Релиз Firefox 71
  3. OpenNews: В мобильном браузере Firefox Preview появится поддержка дополнений
  4. OpenNews: Доступен браузер Firefox Preview 2.0 для Android
  5. OpenNews: Первый выпуск нового браузера Firefox Preview для Android
  6. OpenNews: Mozilla разрабатывает новый мобильный браузер Fenix
Обсуждение (64 +24) | Тип: Программы |


09.12 VPN WireGuard принят в ветку net-next и намечен для включения в ядро Linux 5.6 (169 +34)
  Дэвид Миллер (David S. Miller), отвечающий за сетевую подсистему ядра Linux, принял в состав ветки net-next патчи с реализацией VPN-интерфейса от проекта WireGuard. В начале следующего года изменения, накапливаемые в ветке net-next, лягут в основу выпуска ядра Linux 5.6.

Попытки продвижения кода WireGuard в основной состав ядра предпринимались последние несколько лет, но оставались без результата из-за привязки к собственным реализациям криптографических функций, которые применялись для повышения производительности. Вначале данные функции были предложены для ядра в качестве дополнительного низкоуровневого API Zinc, который со временем смог бы заменить штатный Crypto API.

После переговоров на конференции Kernel Recipes, создатели WireGuard в сентябре приняли компромиссное решение перевести свои патчи на использование имеющегося в ядре Crypto API, к которому у разработчиков WireGuard имеются претензии в области производительности и общей безопасности. API Zinc было решено продолжать развивать, но как отдельный проект.

В ноябре разработчики ядра пошли на ответный компромисс и согласились перенести в основное ядро часть кода из Zinc. По сути, некоторые компоненты Zinc будут перенесены в ядро, но не как отдельный API, а как часть подсистемы Crypto API. Например, в Crypto API уже включены подготовленные в WireGuard быстрые реализации алгоритмов ChaCha20 и Poly1305.

В связи с предстоящей поставкой WireGuard в основном составе ядра, основатель проекта объявил о реструктуризации репозитория. Для упрощения разработки на смену монолитному репозиторию "WireGuard.git", который был рассчитан на обособленное существование, придут три отдельных репозитория, лучше подходящие для организации работы с кодом в основном ядре:

  • wireguard-linux.git - полное дерево ядра с изменениями от проекта Wireguard, патчи из которого будут рецензироваться для включения в ядро и регулярно переноситься в ветки net/net-next.
  • wireguard-tools.git - репозиторий для запускаемых в пространстве пользователя утилит и скриптов, таких как wg и wg-quick. Репозиторий можно использовать для создания пакетов в дистрибутивах.
  • wireguard-linux-compat.git - репозиторий с вариантом модуля, поставляемым отдельной от ядра и включающим слой compat.h для обеспечения совместимости со старыми ядрами. Основная разработка будет вестись в репозитории wireguard-linux.git, но пока есть возможность и потребность у пользователей обособленный вариант патчей также будет поддерживаться в рабочем виде.

Напомним, что VPN WireGuard реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, прост в использовании, лишён усложнений и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Проект развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. Поддержка WireGuard уже интегрирована в NetworkManager и systemd, а патчи для ядра входят в базовый состав дистрибутивов Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph и ALT.

В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента.

Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хеширования используются алгоритм BLAKE2s (RFC7693).

При тестировании производительности WireGuard продемонстрировал в 3.9 раза более высокую пропускную способность и в 3.8 раз более высокую отзывчивость, по сравнению с OpenVPN (256-bit AES c HMAC-SHA2-256). По сравнению с IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128) в WireGuard наблюдается небольшое опережение по производительности (13-18%) и снижение задержек (21-23%). Тесты выполнены при использовании развиваемых проектом быстрых реализаций алгоритмов шифрования - перевод на штатный Crypto API ядра возможно приведёт к ухудшению показателей.

  1. Главная ссылка к новости
  2. OpenNews: Для включения в состав ядра Linux предложен VPN WireGuard
  3. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
  4. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
  5. OpenNews: Cloudflare опубликовал реализацию VPN WireGuard на языке Rust
  6. OpenNews: Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели
Обсуждение (169 +34) | Тип: К сведению | Интересно


09.12 Новая версия почтового сервера Exim 4.93 (32 +8)
  После 10 месяцев разработки состоялся релиз почтового сервера Exim 4.93, в который внесены накопившиеся исправления и добавлены новые возможности. В соответствии с ноябрьским автоматизированным опросом около миллиона почтовых серверов, доля Exim составляет 56.90% (год назад 56.56%), Postfix используется на 34.98% (33.79%) почтовых серверов, Sendmail - 3.90% (5.59%), Microsoft Exchange - 0.51% (0.85%).

Основные изменения:

  • Поддержка внешних аутентификаторов (RFC 4422). При помощи команды "SASL EXTERNAL" клиент может информировать сервер об использовании для аутентификации учётных данных, переданных через внешние сервисы, такие как IP Security (RFC4301) и TLS;
  • Добавлена возможность использования формата JSON для lookup-проверок. Также добавлены варианты условных масок "forall" и "any", использующие JSON.
  • Добавлены переменные $tls_in_cipher_std и $tls_out_cipher_std, содержащие названия наборов шифров, соответствующие наименованию из RFC.
  • Добавлены новые флаги для управления отражением идентификатора сообщений в логе (задаются через настройку log_selector): "msg_id" (включён по умолчанию) с идентификатором сообщения и "msg_id_created" со сгенерированным для нового сообщения идентификатором.
  • В режим "verify=not_blind" добавлена поддержка опции "case_insensitive" для игнорирования регистра символов при проверке.
  • Добавлена экспериментальная опция EXPERIMENTAL_TLS_RESUME, обеспечивающая возможность возобновления ранее прерванного TLS-соединения.
  • Добавлена опция exim_version для переопределения строки с номером версии Exim, выводимой в различных местах и передаваемой через переменные $exim_version и $version_number.
  • Добавлены варианты оператора ${sha2_N:} для N=256, 384, 512.
  • Реализованы переменные "$r_...", устанавливаемые из опций маршрутизации и доступные для использования при принятии решений о маршрутизации и выборе транспорта.
  • В lookup-запросах SPF добавлены поддержка IPv6.
  • При выполнении проверок через DKIM добавлена возможность фильтрации по типам ключей и хэшей.
  • При использовании TLS 1.3 обеспечена поддержка расширения протокола OCSP (Online Certificate Status Protocol) для проверки статуса отзыва сертификата.
  • Добавлено событие "smtp:ehlo" для наблюдения за предоставленным удалённой стороной списком функциональных возможностей.
  • Добавлена опция командной строки для перемещения сообщений из одной именованной очереди в другую.
  • Добавлены переменные с версиями TLS для входящих и исходящих запросов - $tls_in_ver и $tls_out_ver.
  • При использовании OpenSSL добавлена функция записи файлов с ключами в формате NSS для декодирования перехваченных сетевых пакетов. Имя файла задаётся через переменную окружения SSLKEYLOGFILE. При сборке с GnuTLS аналогичная функциональность предоставляется средствами GnuTLS, но требует работы с правами root.

  1. Главная ссылка к новости
  2. OpenNews: Представлен notqmail, форк почтового сервера qmail
  3. OpenNews: Релиз почтового сервера Postfix 3.4.0
  4. OpenNews: Новая версия почтового сервера Exim 4.92
  5. OpenNews: Раскрыты подробности критической уязвимости в Exim
  6. OpenNews: Опубликован Exim 4.92.3 с устранением четвёртой за год критической уязвимости
Обсуждение (32 +8) | Тип: Программы |


09.12 Выпуск кластерной ФС Lustre 2.13 (44 +11)
  Опубликован релиз кластерной файловой системы Lustre 2.13, используемой в большей части (~60%) крупнейших Linux-кластеров, содержащих десятки тысяч узлов. Масштабируемость на столь крупных системах достигается благодаря многокомпонентной архитектуре. Ключевыми компонентами Lustre являются серверы обработки и хранения метаданных (MDS), управляющие серверы (MGS), серверы хранения объектов (OSS), хранилище объектов (OST, поддерживается работа поверх ext4 и ZFS) и клиенты.

Основные новшества:

  • Реализован постоянный кэш на стороне клиента (Persistent Client Cache), позволяющий задействовать локальное хранилище, такое как NVMe или NVRAM, как часть глобального пространства имён ФС. Клиенты могут кэшировать данные, связанные с создаваемыми или существующими файлами, в локально примонтированной ФС с кэшем (например, в ext4). В процессе работы текущего клиента эти файлы обрабатываются локально со скоростью локальной ФС, но, в случае попытки обращения другого клиента, автоматически мигрируют в глобальную ФС.
  • В маршрутизаторах LNet реализовано автоматическое обнаружение маршрутов при использовании маршрутизации по нескольким путям через разные сетевые интерфейсы (Multi-Rail Routing) и повышена надёжность работы конфигураций с узлами, имеющими несколько сетевых интерфейсов.
  • Добавлен режим "overstriping", при котором в одном хранилище объектов (OST) может содержаться несколько копий stripe-блоков для одного файла, что позволяет нескольким клиентам одновременно производить операции совместной записи в файл без ожидания освобождения блокировки.
  • Появилась поддержка саморасширяющихся схем размещения файлов (Self-Extending Layouts), увеличивающих гибкость применения режима PFL (Progressive File Layouts) в разнородных ФС. Например, когда ФС включает небольшие пулы хранилищ на базе быстрых Flash-накопителей и большие дисковые пулы, предложенная возможность позволяет в первую очередь осуществлять запись в быстрые хранилища, а после того как место закончится автоматически переключиться на медленные дисковые пулы.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск кластерной ФС Lustre 2.12
  3. OpenNews: Исключение файловой системы Lustre из ядра Linux
  4. OpenNews: Выпуск распределенной файловой системы GlusterFS 3.7
  5. OpenNews: Обновление кластерной файловой системы LizardFS 3.13.0-rc2
  6. OpenNews: Опубликована 54 редакция списка самых высокопроизводительных суперкомпьютеров
Обсуждение (44 +11) | Тип: Программы |


08.12 Организация EFF выпустила релиз Certbot 1.0, пакета для получения сертификатов Let's Encrypt (97 +24)
  Организация Electronic Frontier Foundation (EFF), являющаяся одним из учредителей некоммерческого удостоверяющего центра Let's Encrypt, представила выпуск инструментария Certbot 1.0, подготовленного для упрощения получения сертификатов TLS/SSL и автоматизации настройки HTTPS на web-серверах. Certbot также может выступать в качестве клиентского ПО для обращения к различным удостоверяющим центрам, использующим протокол ACME. Код проекта написан на языке Python и распространяется под лицензией Apache 2.0.

Certbot позволяет не только автоматизировать получение и обновление сертификатов, но и сгенерировать готовые настройки для организации работы HTTPS в Apache httpd, nginx и haproxy в окружениях различных дистрибутивов Linux и BSD-системах, а также для организации проброса обращений c HTTP на HTTPS. Закрытый ключ для сертификата генерируется на стороне пользователя. Имеется возможность отзыва полученных сертификатов в случае компрометации системы.

  1. Главная ссылка к новости
  2. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
  3. OpenNews: Проект Let's Encrypt опубликовал планы на 2019 год
  4. OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
  5. OpenNews: Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок
  6. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
Обсуждение (97 +24) | Тип: Программы |


Следующая страница (раньше) >>



Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру