The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

27.04.2017 Libreboot возвращается в проект GNU (90 +31)
  Разработчики проекта Libreboot, в рамках которого развивается полностью свободное ответвление от CoreBoot, предоставляющее очищенную от бинарных вставок замену проприетарным прошивкам UEFI и BIOS, выступили с инициативой воссоединения с проектом GNU, отношения с которым были разорваны в результате конфликта в конце прошлого года. Одновременно Лия Роу (Leah Rowe), основной разработчик и основатель дистрибутива Libreboot, из-за решения которой были разорваны отношения с GNU, объявила об уходе с поста лидера проекта в пользу новой коллективной модели управления, принимающей решения на основе мнения сообщества.

Первым совместным решением стал возврат в проект GNU, за что проголосовало большинство разработчиков и представителей сообщества Libreboot. В поддержку вынесенного решения Лия заявила о готовности передать Фонду свободного ПО права на домен libreboot.org и предоставить SSH-доступ на сервер. Запрос на вступление уже отправлен в проект GNU, лидеры которого не против возвращения Libreboot, но официальное решение пока не принято.

Новая система управления Libreboot построена на принципах демократии и включает совет из 4 ключевых разработчиков, которые принимают решения коллегиально, учитывая мнение сообщества. В настоящий момент в совет вошли Лия Роу (Leah Rowe, бывший лидер), Свифт Гик (Swift Geek, активный разработчик), Paul Kocialkowski (активный разработчик) и Алиса Розенцвейг (Alyssa Rosenzweig, сисадмин и ответственная за взаимодействие с сообществом).

Дополнение: Кто-то из разработчиков Libreboot не согласился передавать домен libreboot.org Фонду СПО и теперь сообщество рассматривает передачу прав организации Software Freedom Conservancy (SFC).

  1. Главная ссылка к новости
  2. OpenNews: Ричард Столлман сообщил о выходе Libreboot из проекта GNU
  3. OpenNews: Проект GNU не даст Libreboot уйти в свободное плавание
  4. OpenNews: Libreboot вышел из состава GNU (новые подробности)
  5. OpenNews: Первый выпуск Libreboot, после перехода под крыло проекта GNU
  6. OpenNews: Libreboot вошел в число проектов GNU
Обсуждение (90 +31) | Тип: К сведению |
26.04.2017 Возможность атаки на телевизоры Samsung через Wi-Fi Direct (49 +13)
  В телевизорах Samsung Smart TV на базе ОС Tizen выявлена уязвимость, позволяющая атакующему без проведения аутентификации выдать себя за другое устройство, сопряжённое с телевизором по Wi-Fi Direct. Проблема остаётся неисправленной, так как компания Samsung после месяца переписки не признала её уязвимостью. В качестве обходного метода защиты рекомендуется удалить все устройства, помещённые в белый список, и не использовать соединения по Wi-Fi Direct.

Технология Wi-Fi Direct (Wi-Fi P2P) даёт возможность организовать прямое беспроводное соединение между устройствами без применения точки доступа. При установке соединения осуществляется сопряжение устройств по PIN-коду, нажатию клавиши или через NFC. Для того чтобы не набирать каждый раз код подтверждения в Samsung Smart TV применяются белые списки, в которых сохраняются MAC-адреса подключавшихся устройств. Повторное подключение производится без аутентификации.

Атакующий может перехватить MAC-адрес сопряжённого устройства и использовать его для подсоединения к телевизору без аутентификации. Злоумышленник может воспользоваться сервисом удалённого управления, зеркалированием экрана по DNLA и любыми другими доступными сервисами. В качестве примера приводится возможная атака на телевизоры в комнатах ожидания различных компаний. Подключившись к такому телевизору атакующий может использовать его как начальную точку для проведения атаки на корпоративную сеть, узнав в настройках телевизора пароль подключения к локальной беспроводной сети.

  1. Главная ссылка к новости
  2. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
  3. OpenNews: Офисная техника может стать причиной утечки информации
  4. OpenNews: Открыт код инструментария для проведения атак через модификацию прошивок USB-накопителей
  5. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
  6. OpenNews: Представлена атака, использующая уязвимость в 4G-чипе смартфонов Huawei
Обсуждение (49 +13) | Тип: Проблемы безопасности |
26.04.2017 Доступна операционная система Redox 0.2, написанная на языке Rust (155 +48)
  Спустя два года с момента основания проекта состоялся выпуск операционной системы Redox 0.2, разработанной с использованием языка Rust и концепции микроядра. Наработки проекта распространяются под свободной лицензией MIT. После сборки систему можно опробовать при помощи VirtualBox или QEMU.

Пользовательское окружение в Redox построено на базе графической оболочки Orbital. Операционная система использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях. Для совместимости с существующими приложениями предоставляется специальная POSIX-прослойка, позволяющая запускать многие программы без портирования.

Redox развивается в соответствии с философией Unix c заимствованием некоторых идей из SeL4, Minix и Plan 9. В системе применяется принцип "все есть URL". Например, для записи в лог может использоваться URL "log://", для взаимодействия между процессами "bus://", для сетевого взаимодействия "tcp://" и т.п. Модули, которые могут быть реализованы в форме драйверов, расширений ядра и пользовательских приложений, могут регистрировать свои обработчики URL, например, можно написать модуль обращения к портам ввода/вывода и привязать его к URL "port_io://", после чего можно использовать его для доступа к 60 порту через открытие URL "port_io://60".

Проектом также развивается собственный пакетный менеджер, набор стандартных утилит (binutils, coreutils, netutils, extrautils), командная оболочка ion, vim-подобный текстовый редактор sodium и файловая система TFS, развиваемая на основе идей ZFS (модульный вариант ZFS на языке Rust). Конфигурация задаётся на языке Toml. Система поддерживает запуск на процессорах с архитектурой x86_64 c VBE-совместимой графической картой (nvidia, intel, amd), AHCI-дисками и сетевыми картами на базе чипов E1000 или RTL8168.

Из новшеств, добавленных в выпуске Redox 0.2, можно отметить:

  • Проведение оптимизации производительности;
  • Новый системный вызов sys:iostat для инспектирования открытых файлов;
  • Поддержка изменения размера и прокрутки в редакторе;
  • Расширение возможностей командной оболочки;
  • Возможность установки пакетов;
  • В графическом окружении выполнен рефакторинг панели программ.

  1. Главная ссылка к новости
  2. OpenNews: Первый выпуск пользовательской оболочки Orbital, работающей поверх Wayland и Weston
  3. OpenNews: Представлена операционная система Redox, написанная на языке Rust
  4. OpenNews: Доступен язык программирования Rust 1.16
Обсуждение (155 +48) | Тип: Программы |
26.04.2017 Релиз менеджера загрузки GNU GRUB 2.02 (34 +36)
  После почти пяти лет разработки официально представлен стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB 2.02 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, оборудование на основе MIPS-совместимого процессора Loongson 2E, системы Itanium, ARM, ARM64 и ARCS (SGI), устройства, использующие свободный пакет CoreBoot.

Основные новшества:

  • Добавлена поддержка новых платформ: ARM (U-Boot и EFI), ARM64 (EFI), Xen PV и Hyper-V Gen2 . Добавлена поддержка процессоров Loongson 2E, ноутбука Yeeloong 3A, отладочных USB-брелоков, little-endian powerpc, систем Oracle sun4v с vnet-устройствами. Добавлена новая платформа "none", при выборе которой собираются только пользовательские утилиты;
  • Добавлен режим проверки корректности цифровой подписи для всех файлов, загружаемых базовым образом c диска (в случае несоответствия подписи загрузка блокируется);
  • Добавлена поддержка файловых систем и разделов: CBFS (coreboot), LVM RAID1, XFS V5, поддержка LZ4 и флагов подключаемой функциональности в ZFS, сжатого HFS+, GPT PReP, ext2 64-bit, Big-endian UFS1, разделов DragonFly BSD. Налажена работа с разделами DM-RAID и LVM. Добавлен фреймворк с ФС /proc для LUKS;
  • Реализована команда "nativedisk" для использования своих драйверов вместо драйверов, предоставляемых прошивкой;
  • Добавлен модуль "progress" для отображения информации о прогрессе выполнения операции при чтении файлов;
  • Обеспечена возможность вывода информации через системный динамик с использованием азбуки морзе или используя специальный софтмодемный протокол ("spkmodem");
  • Добавлен режим монохромного вывода, соответствующий режиму "hercules" в старом GRUB;
  • Добавлена поддержка вывода с использованием coreboot framebuffer;
  • Обеспечена встроенная поддержка терминала vt100 для grub-emu, не привязанная к библиотеке curses;
  • В GUI gfxmenu добавлены новые опции для позиционирования окна терминала, выбора оформления фона, размещения изображений, прокрутки, подсветки и выбора стиля;
  • Добавлена поддержка новых загрузочных протоколов: ISO-загрузчик TrueCrypt, Apple FAT, FreeDOS, linux16. Добавлена поддержка спецификаций multiboot2 boot-services EFI, multiboot2 EFI memory map, multiboot2 full-file;
  • Улучшены сетевые возможности: обеспечена автозагрузка модулей http и tftp, повышена надёжность работы TFTP, добавлены переменные net_default_* с настройками сетевого интерфейса, улучшена поддержка IPv6;
  • Расширена поддержка Coreboot: возможность использования ФС CBFS для дисковых образов и flash, возможность запуска другого обработчика (payload), поддержка фреймбуфера, поддержка средств ведения и инспектирования логов CBMEMC, добавлены команды coreboot_boottime иlscoreboot для установки проверки времени и таблиц Coreboot;
  • В grub-mkrescue добавлена поддержка PowerPC, i386-ieee1275, sparc64, и систем с bootinfo, таких как pSeries и mips-arc. Улучшена поддержка Mac-систем Apple с CPU Intel;
  • Добавлены новые команды "efifwsetup" и "lsefi" для EFI, "cmosdump" и "cmosset" для CMOS, "pcidump" для PCI;
  • Для EFI добавлена поддержка разбора файлов конфигурации классического GRUB (Legacy);
  • В утилитах добавлена поддержка ОС AROS и Haiku;
  • Добавлена утилита grub-macbless для улучшения интеграции с прошивками компьютеров Apple в grub-install;
  • Добавлена поддержка "*-emu" для Windows и всех платформ (ранее поддерживались только i386 и x86_64);
  • Представлен новый фреймворк для анализа времени загрузки ("./configure --enable-boot-time");
  • Проведена оптимизация производительности, обеспечена инициализация LVM/mdraid и USB в асинхронном режиме без блокирования другой работы;
  • Добавлена команда "testspeed" для тестирования скорости чтения файла;
  • В средства для разработки скриптов добавлены новые команды "eval" и "tr";
  • Добавлена опция для сжатия файлов при инсталляции или создании образа;
  • Обеспечено определение системных разделов EFI (требуется os-prober 1.58);
  • В grub-mount добавлена поддержка символических ссылок на директории;
  • Утилиты grub-install, grub-mknetdir, grub-mkrescue и grub-mkstandalone переписаны на языке Си (ранее были shell-скрипты);
  • Добавлена поддержка инструментария mingw;
  • Добавлена возможность установки на EFI из ОС Windows. В grub-mkpasswd добавлена поддержка Windows;
  • Добавлена команда "file" и утилита "grub-file" для проверки типов файлов;
  • Реализован парсер файлов конфигурации syslinux;
  • Реализована экспериментальная поддержка сборки с использованием Clang;
  • Добавлена поддержка сборки и работы утилит в окружении OpenBSD.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в GRUB2, позволяющая обойти блокировку загрузки паролем
  3. OpenNews: Релиз менеджера загрузки GNU GRUB 2.00
  4. OpenNews: Новая версия менеджера загрузки GNU GRUB - 1.99
Обсуждение (34 +36) | Тип: Программы | Интересно
26.04.2017 Grsecurity прекращает бесплатное распространение своих патчей (173 –13)
  Проект grsecurity объявил о прекращении бесплатного распространения своих патчей c реализацией надстроек для усиления безопасности ядра Linux. Если с августа 2015 года было прекращено бесплатное распространение стабильных версий патчей, то отныне полностью прекращается публикация находящихся в разработке экспериментальных веток Grsecurity и патчей PaX. Поставка стабильных версий патчей платным подписчикам будет продолжена, но доступ к экспериментальной ветке теперь ограничен и будет использоваться как внутренняя платформа для разработки платной стабильной ветки. При этом сами патчи продолжают распространяться под лицензией GPLv2, т.е. получив код от Grsecurity платные подписчики вольны распространять и модифицировать стабильные патчи, но не могут использовать торговую марку "grsec" в произвольных продуктах.

Последним общедоступным выпуском стал набор патчей для ядра 4.9. Патчи для более свежих выпусков теперь будут развиваться за закрытыми дверями в рамках внутренней ветки, доступ к которой будет ограничен, но платным подписчикам, возможно, будут предоставлены бета-версии со срезами из закрытого репозитория. Сообщается, что проект продолжит ежедневное отслеживание коммитов в ядре Linux, будет адаптировать свой набор патчей для свежих выпусков ядра, ускорит процесс интеграции новых технологий защиты в Grsecurity и сфокусируется на разработке новых методов защиты. Например, планируется адаптировать патчи для архитектуры ARM64, развивать средства защиты для мобильных устройств и платформы Android, адаптировать технологию RAP стабильных ядер, реализовать проекты KERNSEAL и STRUCTGUARD.

Представителям сообщества, заинтересованным в использовании Grsecurity в своих проектах, предлагается взять на себя сопровождение патчей Grsecurity для свежих ядер Linux. Пока непонятно как повлияет прекращение публичного распространение патчей на разработку таких проектов, как Gentoo Hardened, Alpine Linux и Arch Linux, которые используют экспериментальные выпуски Grsecurity на базе свежих ядер Linux.

Напомним, что коммерциализация стабильных патчей Grsecurity в 2015 году начала развиваться в ответ на массовые злоупотребления представителями индустрии встраиваемых устройств, которые используют разработки grsecurity в своих продуктах, нарушая GPL и не соблюдая требования торговой марки, не возвращая изменения в основной проект и создавая сомнительные с точки зрения безопасности комбинированные решения. Например, применяются устаревшие ядра Linux и устаревшие патчи grsecurity, в которые внесены собственные проприетарные изменения. Подобные проблемные связки позиционируется как безопасное решение на базе Grsecurity, что негативно влияет на репутацию проекта. Кроме того, фонд Core Infrastructure Initiative (CII), отказался предоставить грант на продолжение разработки Grsecurity в текущем виде, несмотря на то, что созданные в grsecurity технологии служат основой для многих механизмов защиты в современных операционных системах и программных продуктах. Про причины ограничения доступа к экспериментальным патчам ничего не сообщается (дополнение: неофициальное пояснение причин).

  1. Главная ссылка к новости
  2. OpenNews: Проект grsecurity опубликовал реализацию механизма защиты RAP для ядра Linux
  3. OpenNews: Проект grsecurity представил защиту от атак с использованием заимствования кусков кода
  4. OpenNews: Проект grsecurity ограничивает доступ к стабильным веткам
  5. OpenNews: Сформирован рейтинг СПО, требующего первоочередного аудита безопасности
  6. OpenNews: Проект по продвижению в ядро Linux новых технологий активной защиты
Обсуждение (173 –13) | Тип: Тема для размышления |
26.04.2017 Компания OmniTI прекращает разработку OmniOS, дистрибутива Illumos (103 +9)
  Компания OmniTI объявила о прекращении разработки открытого дистрибутива OmniOS, построенного на базе Illumos (развиваемый сообществом форк OpenSolaris), гипервизора KVM, виртуального сетевого стека Crossbow и файловой системы ZFS. Компоненты, привязанные к инфраструктуре OmniTI, будут отключены, но работа ключевых систем пока не остановлена, код останется в открытом доступе и при желании сообщество сможет продолжить разработку своими силами.

В качестве причины сворачивания проекта называется провал инициативы по формированию сообщества для совместной разработки OmniOS. Изначально компания OmniTI планировала выступить локомотивом начальной разработки и предоставить инфраструктуру для становления независимого открытого проекта, управляемого сообществом. Но ряд организационных особенностей, таких как предоставление коммерческой поддержки клиентам, закрепил образ OmniOS в глазах сообщества как открытого проекта, подконтрольного одной коммерческой компании.

Подобное положение дел не устраивает компанию OmniTI, которая решилась на последний кардинальный шаг в попытке образовать сообщество - отстраниться от разработки. Расчёт делается на то, что если проект действительно интересен и важен для текущих пользователей, то они смогут подхватить разработку, к которой затем вернётся и OmniTI, но уже на правах обычного участника. Сообщество сможет само выбрать дальнейшее направление развития проекта, например, компания OmniTI развивала OmniOS прежде всего как платформу для высокомасштабируемых web-систем, но большинство пользователей дистрибутива применяли его для создания систем хранения. Если сообщество не удастся образовать, то оставшиеся элементы инфраструктуры будут отключены и проект окончательно прекратит своё существование.

  1. Главная ссылка к новости
  2. OpenNews: Доступен OpenIndiana 2016.10, продолжающий развитие OpenSolaris
  3. OpenNews: Представлен v9os, минималистичный дистрибутив Illumos для систем SPARC
  4. OpenNews: Представлен Govisor 1.0, пакет для управления сервисами, созданный по мотивам Solaris SMF
  5. OpenNews: Прекращение разработки KDE для Solaris
  6. OpenNews: Проект Dyson, комбинирующий окружение Debian с ядром OpenSolaris, представил новую Live-сборку
Обсуждение (103 +9) | Тип: К сведению |
26.04.2017 Новая версия медиапроигрывателя SMPlayer 17.4.2 (39 +10)
  Представлен выпуск мультимедиа проигрывателя SMPlayer 17.4.2, выполненного в форме графической надстройки над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows.

SMPlayer 17.4 был сформирован ещё в начале апреля, но в нём было предложено только исправление ошибки в генераторе миниатюр. На днях вышел SMPlayer 17.4.2 с более заметными изменениями: Реализована возможность отображения времени с миллисекундной точностью (включается через меню View / OSD). Добавлена опция для использования декодировщика ffhevcvdpau в Linux. Устранены ошибки, приводившие к краху при работе через mpv, налажено сохранение позиции для видео, открытого методом drag & drop. Прекращена поддержка Windows XP.

  1. Главная ссылка к новости
  2. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.3
  3. OpenNews: Новая версия медиапроигрывателя SMPlayer 17.1
  4. OpenNews: Новая версия медиапроигрывателя SMPlayer 16.11
  5. OpenNews: Релиз видеоплеера MPV 0.25
  6. OpenNews: Выпуск мультимедийного проигрывателя MPlayer 1.3.0
Обсуждение (39 +10) | Тип: Программы |
25.04.2017 Выпуск дистрибутива для исследования безопасности систем Kali Linux 2017.1 (20 +2)
  Представлен дистрибутив Kali Linux 2017.1, продолжающий развитие проекта BackTrack Linux и предназначенный для проведения тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ, размером 2.6 Гб. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17.

Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети, до программ для считывания данных с идентификационных RFID чипов. В комплект входит коллекция эксплоитов и более 300 специализированных утилит для проверки безопасности, таких как Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap, p0f. Помимо этого, в дистрибутив включены средства для ускорения подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit) через задействование технологий CUDA и AMD Stream, позволяющих использовать GPU видеокарт NVIDIA и AMD для выполнения вычислительных операций.

Основные новшества:

  • В состав включены модифицированные драйверы для беспроводных карт на базе чипа RTL8812AU (пакет realtek-rtl88xxau-dkms), в которые добавлена возможность проведения атак через подстановку пакетов в беспроводной трафик;
  • Добавлена полноценная поддержка CUDA для выполнения операций подбора хэшей паролей на стороне GPU. Ускорение при помощи CUDA поддерживается в Hashcat и Pyrit при установке проприетарных драйверов NVIDIA;
  • Подготовлены специализированные сборки для подбора хэшей паролей в облачных окружениях Amazon AWS P2 и Microsoft Azure NC, предоставляющих доступ к GPU;
  • В репозиторий добавлен сканер безопасности OpenVAS 9, предназначенный для сканирования хостов в сети на предмет наличия неисправленных уязвимостей. Для установки достаточно выполнить "apt install openvas" (в базовый состав не включён из-за большого размера).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива для исследования безопасности систем Kali Linux 2016.2
  3. OpenNews: Выпуск BackBox Linux 4.6, дистрибутива для тестирования безопасности
  4. OpenNews: Доступно Android-окружение исследователя безопасности Kali NetHunter 3.0
  5. OpenNews: Новый выпуск BlackArch, дистрибутива для тестирования безопасности
  6. OpenNews: Выпуск дистрибутива Parrot 3.5 с подборкой программ для проверки безопасности
Обсуждение (20 +2) | Тип: Программы |
25.04.2017 Обновление сборки Android 6.0 для платформы x86 от проекта Android-x86 (19 +9)
  Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется портирование платформы Android для архитектуры x86, опубликовали третий стабильный выпуск сборки на базе платформы Android 6.0, в которую включены исправления и дополнения, обеспечивающие бесшовную работу на платформах с архитектурой x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 6.0 для архитектур x86 (572 Мб) и x86_64 (677 Мб), пригодные для использования на типовых ноутбуках, нетбуках и планшетных ПК.

Изменения со времени прошлого обновления:

  • Реализовано автомонтирование CD/DVD;
  • Решены проблемы при запуске в виртуальном окружении на базе VMware;
  • Добавлен скрипт qemu-android для запуска Android-x86 в QEMU;
  • Исходные тексты Android обновлены до ветки 6.0.1_r79;
  • Ядро Linux обновлено до версии 4.4.62, импортированы дополнительные патчи из AOSP;
  • Mesa обновлён до версии 17.0.4;
  • Обновлены версии различных системных компонентов (libdrm, ntfs-3g, exfat, bluez).

  1. Главная ссылка к новости
  2. OpenNews: Проект Android-x86 может остаться без основного разработчика
  3. OpenNews: Проект Android-x86 выпустил сборку Android 6.0 для платформы x86
  4. OpenNews: Проекты Android-x86 и Remix OS заключили соглашение о совместной работе
  5. OpenNews: Обновление сборки Android 4.4 для платформы x86 от проекта Android-x86
Обсуждение (19 +9) | Тип: Программы |
25.04.2017 Выпуск nginx 1.13.0 (16 +6)
  Представлен первый выпуск новой основной ветки nginx 1.13, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.12 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).

Основные изменения:

  • Добавлена поддержка протокола TLSv1.3. Для включения в директиве "ssl_protocols" следует указать параметр "TLSv1.3". Протокол поддерживается только в предстоящей версии OpenSSL 1.1.1;
  • Для соединений с бэкендами разрешено повторное согласование SSL-соединения;
  • В модулях mail_proxy и stream в директиве "listen" появились поддержка параметров "rcvbuf" и "sndbuf", позволяющих настроить размер буфера приёма (параметр SO_RCVBUF) и передачи (параметр SO_SNDBUF);
  • Добавлена поддержка использования директив return и error_page для возврата перенаправлений для запросов с HTTP кодом 308;
  • При отражении в логе сигналов в лог теперь записывается и PID процесса, отправившего сигнал;
  • Исправлены ошибки в коде обработки выделения памяти;
  • Исправлена ошибка в модуле stream из-за которой исходящий адрес ответного UDP-пакета мог отличаться от адреса назначения исходного пакета при использовании wildcard-адреса в директиве listen.

  1. Главная ссылка к новости
  2. OpenNews: Релиз HTTP-сервера nginx 1.12.0
  3. OpenNews: Увидел свет HTTP-сервер nginx 1.10.0
Обсуждение (16 +6) | Автор: eRIC | Тип: Программы |
25.04.2017 Debian прекращает поддержку FTP на своих серверах (127 +22)
  Разработчики проекта Debian объявили о скором прекращении доступа к репозиториям пакетов с использованием протокола FTP. Поддержка FTP будет сохранена до 1 ноября, после чего публичные FTP-серверы Debian (ftp://ftp.debian.org и ftp://security.debian.org) прекратят свою работу. При этом указанные хосты останутся доступны по HTTP, т.е. в настройках репозиториев достаточно будет поменять "ftp://" на "http://" (http://ftp.debian.org, http://security.debian.org). Изменение не коснётся внутренних ресурсов ftp://ftp.upload.debian.org и ftp://security-master.debian.org/, которые останутся доступны разработчикам проекта.

В качестве причин отказа от использования FTP называется:

  • Отсутствие поддержки кэширования и систем ускорения доступа. Например, при доступе по HTTP может применяться сеть доставки контента, а для FTP задействование подобной системы невозможно, что создаёт перекосы в нагрузке на инфраструктуру;
  • Серверное ПО для FTP находится в заброшенном состоянии, неудобно в использовании и настройке. Отказ от FTP позволит сократить число публично доступных сервисов, что положительно скажется на безопасности инфраструктуры;
  • В инсталляторе FTP-серверы убраны из списка зеркал более 10 лет назад, а число Debian-пользователей FTP невелико;
  • Протокол FTP не эффективен и требует применения обходных путей при настройке межсетевых экранов и балансировщиков нагрузки.

Дополнение: Следом о прекращении поддержки FTP объявила компания NVIDIA, которая 28 апреля закроет возможность загрузки драйверов по протоколу FTP (ftp://download.nvidia.com прекратит своё существование).

  1. Главная ссылка к новости
  2. OpenNews: Kernel.org прекращает поддержку FTP
  3. OpenNews: В Debian из компонентов KDE по ошибке удалена поддержка sftp
  4. OpenNews: Опасная уязвимость в ProFTPD, проявляющаяся без аутентификации
  5. OpenNews: Выпуск vsftpd 3.0.3
Обсуждение (127 +22) | Тип: К сведению |
25.04.2017 Система анализа сетевых угроз Metron получила статус первичного проекта Apache (23 +3)
  Организация Apache Software Foundation объявила о присвоении Apache Metron статуса первичного проекта Apache. Перевод в разряд первичных проектов произведён после полутора лет нахождения в инкубаторе Apache, в котором были проверены способности следования принципам разработки и управления, принятым в сообществе Apache и основанным на идеях меритократии. Теперь Apache Metron признан готовым для самостоятельного существования, не требующего дополнительного надзора. Компоненты проекта Metron написаны на языках Си и Java.

Изначально система Metron развивалась компанией Cisco в рамках проекта OpenSOC, после чего в декабре 2015 года была передана фонду Apache для привлечения других компаний к совместной разработке. Apache Metron представляет собой фремворк для анализа больших объёмов трафика для выявления возможных атак, обнаружения утечек закрытых данных и проведения расследования инцидентов, связанных с безопасностью. Система позволяет в режиме реального времени анализировать трафик, выявлять аномалии и генерировать предупреждения для инфраструктур уровня дата-центров и крупных сетевых операторов. Для организации хранения и обработки данных задействованы Apache Hadoop, Apache Storm, Apache HBase, Apache Kafka и Apache Solr.

Основные компоненты фреймворка:

  • Механизм для захвата, хранения и нормализации любых типов данных о трафике (телеметрия), поступающих c экстремально высокой интенсивностью (миллионы пакетов в секунду);
  • Система для передачи полученных потоков данных в различные блоки обработки для анализа, расширенных вычислений и принятия решений;
  • Обработчики данных в реальном режиме времени, выполняющие обработку и привязку дополнительных сведений к полученной телеметрии, таких как местоположение и информация из DNS. В результате телеметрия снабжается данными о контексте, текущей ситуации и важности для последующего исследования;
  • Бэкенд для хранения данных о трафике в хранилище на основе Hadoop, предоставляющий удобные механизмы для извлечения данных и реконструкции сведений о принадлежности пакетов. Данные могут храниться произвольное время и использоваться для последующего анализа инцидента или выявления источника утечек. Например, можно получить сведения о том, от кого была атака, какие данные могли попасть в руки атакующих и когда были отправлены данные;
  • Автоматизированная система индексации потоков телеметрии (перехваченных пакетов) в режиме реального времени. Для индексации могут использоваться движки Elasticsearch HDFS или Apache Solr;
  • Возможность использования SQL для обращения к данным в хранилище Hadoop;
  • Механизмы для выявления корреляции между данными телеметрии, через применение расширенных методов анализа и средств машинного обучения;
  • Набор интерфейсов ODBC/JDBC для обеспечения интеграции с внешними аналитическими инструментами;
  • Пользовательский web-интерфейс, дающий возможность исследователю безопасности централизованно оценить потоки данных и проследить за выявленными предупреждениями о возможных проблемах. Предоставляется возможность расширенного поиска информации и извлечения данных о содержимом пакетов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системы обнаружения атак Suricata 3.2
  3. OpenNews: Первый выпуск системы выявления аномалий Sysdig Falco
  4. OpenNews: В рамках сообщества wasp-guard началось формирование распределенной системы обнаружения вторжений
  5. OpenNews: Twitter открыл код библиотеки для выявления аномалий в наборах данных
  6. OpenNews: Компания Cisco представила Snort 3.0, систему предотвращения атак нового поколения
Обсуждение (23 +3) | Тип: Программы |
25.04.2017 Linux Foundation развивает EdgeX, новую платформу для интернета вещей (46 +10)
  Организация Linux Foundation представила новый совместный проект EdgeX Foundry, нацеленный на развитие открытой платформы для упрощения создания решений на базе IoT-устройств. Целью EdgeX Foundry является предоставление универсальной модульной платформы для обеспечения взаимодействия между IoT-устройствами, приложениями и сервисами, а также создание экосистемы из компаний-производителей, выпускающих совместимые и взаимозаменяемые компоненты для интернета вещей. Платформа не привязана к оборудованию конкретных поставщиков и операционным системам, и развивается независимой рабочей группой, под эгидой Linux Foundation.

Платформа позволяет создавать шлюзы, объединяющие имеющиеся IoT-устройства и собирающие данные от различных датчиков. Кроме организации взаимодействия с устройствами, шлюз выполняет задачу по первичной обработке, агрегированию и анализу информации, выступая промежуточным звеном между сетью из IoT-устройств и локальным управляющим центром или облачной инфраструктурой управления. На шлюзах также могут выполняться обработчики, оформленные в виде микросервисов. Взаимодействие с IoT устройствами может быть организовано по проводной или беспроводной сети с использованием TCP/IP-сетей и специфичных (не-IP) протоколов.

Шлюзы разного назначения могут объединяться в цепочки, например, шлюз первого звена может решать задачи по управлению устройствами (system management ) и обеспечению безопасности, а шлюз второго звена (fog-сервер) сохранять поступающие данные, выполнять аналитику и предоставлять сервисы. Система модульная, поэтому деление функциональности на отдельные узлы выполняется в зависимости от нагрузки, в простых случаях достаточно одного шлюза, а для крупных IoT-сетей может быть развёрнут целый кластер.

В качестве основы EdgeX выступает IoT-стек Fuse, который применяется в шлюзах для IoT-устройств Dell Edge Gateway. Компания Dell открыла все связанные с Fuse наработки под лицензией Apache 2.0 и передала права на проект под попечительство Linux Foundation. Консорциум Linaro вошёл в число участников проекта и считает, что EdgeX дополняет инициативу LITE (Linaro IoT and Embedded), сосредоточенную на низкоуровневых компонентах для IoT-устройств. Упоминается также работа по интеграции EdgeX с ОС реального времени Zephyr, развиваемой Linux Foundation для интернета вещей.

Проект EdgeX насчитывает более 125 тысяч строк кода и включает в себя подборку готовых микросервисов для анализа данных, обеспечения безопасности, управления и решения различных задач. Платформа может быть установлена на любое оборудование, включая серверы на базе CPU x86 и ARM, работающие под управлением Linux, Windows или macOS. Для разработки микросервисов могут использоваться языки Java, Javascript, Python, Go и C/C++. Для разработки драйверов для IoT-устройств и датчиков предлагается SDK.

  1. Главная ссылка к новости
  2. OpenNews: Крупные производители начали продвижение открытой платформы для объединения в сеть потребительских устройств
  3. OpenNews: Третий предварительный выпуск платформы Android Things
  4. OpenNews: Новый проект Linux Foundation (Zephyr) по созданию ОС реального времени для интернета вещей
  5. OpenNews: Компания ARM открыла исходные тексты встраиваемой операционной системы mbed OS
  6. OpenNews: Linux Foundation представил предварительный выпуск фреймворка IoTivity
Обсуждение (46 +10) | Тип: К сведению |
25.04.2017 Выпуск текстового игрового движка INSTEAD 3.0.0 (36 +13)
  После года разработки вышел игровой движок INSTEAD 3.0.0 (Simple Text Adventure, The Interpreter), ориентированный на создание игр в жанре текстовых приключений, который также подходит для разработки простых аркадных или казуальных игр. Игры создаются на языке Lua. Код проекта распространяется под лицензией MIT.

Основные изменения:

  • Новый API STEAD3, благодаря которому делать игры стало ещё проще;
  • Новый INSTEAD-JS, позволяющий запускать игры прямо в браузере;
  • Переписана часть на языке Си, теперь INSTEAD стал модульным;
  • В исходный код включен пример минимального интерпретатора (100 строк);
  • Графические возможности расширены за счет подсистемы pixels;
  • Звуковые возможности расширены за счет поддержки генерации звука из кода;

Вместе с новым выпуском движка представлены три новые игры:

  1. Главная ссылка к новости
  2. OpenNews: Вышел игровой движок INSTEAD 1.5.0 и игра Особняк на его основе
Обсуждение (36 +13) | Автор: бедный буратино | Тип: Программы |
25.04.2017 Предварительное сообщение об удалённой уязвимости в сетевом стеке ядра Linux (29 +9)
  Джейсон Доненфилд (Jason A. Donenfeld), выявил уязвимость в сетевом стеке ядра Linux, позволяющую удалённо инициировать переполнение буфера. Уязвимость вызвана ошибкой в коде drivers/net/macsec.c с реализацией стандарта IEEE 802.1AE (MACsec). Подробности пока не сообщаются, а CVE ID не назначен, но, судя по всему, эксплуатация возможна только в локальных сетях, в которых применяется достаточно редкая технология MACsec.

Джейсон Доненфилд возглавляет компанию Edge Security и является достаточно известным исследователем безопасности и разработчиком открытого ПО. Например, в своё время он выявил такие уязвимости в ядре Linux, как CVE-2012-0056, CVE-2011-1485, CVE-2011-4594, CVE-2011-4330 и CVE-2010-4258. Джейсон также является автором cgit и WireGuard (новая реализация VPN для ядра Linux).

Дополнение: Проблеме назначен идентификатор CVE-2017-7477. Уязвимость проявляется начиная с выпуска ядра 4.6, в которое была добавлена поддержка MACsec. Проблема не затрагивает Red Hat Enterprise Linux 5 и 6, но проявляется в ядре из RHEL 7, начиная с обновления kernel-3.10.0-514.el7.

  1. Главная ссылка к новости
  2. OpenNews: В Android и старых ядрах Linux устранена уязвимость, эксплуатируемая через отправку UDP-пакетов
  3. OpenNews: Раскрыты подробности о root-уязвимости в ядре Linux, атакованной на Pwn2Own
  4. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе
  5. OpenNews: Уязвимость в ядре Linux, позволяющая получить права root
  6. OpenNews: Локальная root-уязвимость в ядре Linux
Обсуждение (29 +9) | Тип: Проблемы безопасности |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList