The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

20.01.2019 Тестирование рабочего стола KDE Plasma 5.15 (2)
  Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.15, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 февраля.

Ключевые улучшения:

  • Виджеты
    • В виджете контроля заряда аккумулятора реализовано отображение состояния аккумулятора внешних Bluetooth-устройств (функция работоспособна только при установке свежих версий upower и bluez);
    • В диалог настройки обоев рабочего стола встроены функции для загрузки и установки новых плагинов с реализацией динамических обоев;
    • Улучшена читаемость имён файлов под пиктограммами на рабочем столе: предоставлено достаточное горизонтальное пространство для текста, независимо от размера пиктограммы, и обеспечен должный контраст, необходимый для лёгкой читаемости текста, выводимого поверх очень светлых или замысловатых обоев рабочего стола. Для незрячих пользователей добавлена поддержка озвучивания пиктограмм через экранные ридеры;
    • В виджете для ведения заметок (Notes) появилась новая тема оформления, показывающая светлый текст на прозрачном фоне;
    • Добавлена возможность включения цикличной прокрутки при достижении конца списка виртуальных рабочих столов;
    • Улучшен внешний вид всплывающих предупреждений от системы уведомлений;
    • Повышено удобство работы в интерфейсе поиска программ (KRunner). Реализована корректная обработка дубликатов в выводе (теперь не показываются дубликаты закладок Firefox и повторяющиеся элементы при попадании найденного файла в несколько категорий). Оформление виджета отдельного поиска приведено в соответствии к оформлению KRunner;
    • Виджет для уведомления о подключении новых носителей теперь корректно обрабатывает попытки выполнения опасных для системы операций (например, отмонтирование корневой ФС);
  • Интерфейс для настройки системы
    • Изменено оформление и переписан код конфигуратора виртуальных рабочих столов. Новая реализация корректно работает в окружениях на базе Wayland, более удобна в работе и визуально соответствует остальным конфигураторам KDE;
    • Унифицировано оформление интерфейсов настройки часов и оболочки Folder View, которое приведено общему с остальными конфигураторами виду;
    • Проведена работа по унификации пиктограмм, отступов и кнопок на разных страницах Интерфейса для настройки системы;
    • На странице "Desktop Effects" в конфигураторе теперь отображаются и сторонние эффекты рабочего стола, установленные через каталог store.kde.org. Реализация конфигуратора "Desktop Effects" переведена на использование QtQuickControls 2;
    • В интерфейсе для настройки параметров экрана родное экранное разрешение теперь помечается звёздочкой;
    • Улучшено оформление страницы для настройки экрана входа в систему и обновлён эскиз внешнего вида для предлагаемой по умолчанию темы оформления Breeze;
  • Интеграция с GTK и GNOME
    • В Firefox 64 появилась поддержка использования в родных диалогов KDE для открытия и сохранения файлов. Для включения данной возможности требуется установить пакеты xdg-desktop-portal и xdg-desktop-portal-kde, после чего запустить Firefox с выставленной переменной окружения GTK_USE_PORTAL=1;
    • В интеграционные модули xdg-desktop-portal-kde и plasma-integration добавлена поддержка портала для доступа к настройкам, позволяющего обращаться к параметрам конфигурации Plasma (шрифты, пиктограммы, темы виджетов и цветовые схемы) из изолированных приложений Flatpak и Snap, без необходимости предоставления прямого доступа к глобальному файлу конфигурации KDE;
    • Глобальный коэффициент масштабирования для экранов с высокой плотностью пикселей (high-DPI) теперь учитывается и для вывода приложений GTK и GNOME, если он является целым числом;
    • Решены разнообразные проблемы, возникавшие при использовании темы оформления Breeze-GTK, в том числе устранены несоответствия между тёмным и светлым вариантами данной темы;
  • Центр установки приложений и дополнений (Discover):
    • В виджет для информирования о наличии обновлений добавлены сведения о появлении возможности обновления до новой версии дистрибутива, а также обеспечен показ кнопки "Restart" в ситуациях, когда после применения обновлений рекомендуется выполнить перезагрузку;
    • На странице со списком доступных обновлений появились опции для снятия метки и повторной отметки всех элементов списка, упрощающие выборочную установку обновлений;
    • Страница с настройками переименована в "Sources" и преобразована в боковую секцию;
    • Средства управления репозиториями модифицированы для практического применения в дистрибутивах на пакетной базе Ubuntu;
    • Добавлена поддержка дополнений, распространяемых в пакетах Flatpak;
    • Улучшена поддержка обработки локальных пакетов, для которых теперь определяются зависимости и показывается кнопка "Launch" для запуска приложения после установки;
    • При поиске в разделе избранных приложений в результатах теперь показываются только приложения. Дополнения к Plasma теперь фигурируют в результатах поиска только в случае явного поиска в категории "Дополнения";
    • Обеспечен корректный поиск установленных приложений, в случае наличия в системе приложений в формате Snap;
    • На странице со списком обновлений разделены на отдельные категории приложения и дополнения к Plasma;
  • Улучшения в оконном менеджере: В интерфейсе переключения между окнами по Alt+Tab добавлена поддержка управления с использованием экранного ридера и возможность переключения между элементами при помощи клавиатуры. Устранён крах при инициировании скриптом операции сворачивая окна. Эффекты закрытия окна теперь применяются и для диалогов с активным родительским окном. Окна конфигуратора теперь самостоятельно выдвигаются на передний плат в случае получения фокуса ввода;
  • Улучшена поддержка Wayland. Полностью реализованы протоколы XdgStable, XdgPopups и XdgDecoration. В окружениях на базе Wayland обеспечена поддержка виртуальных рабочих столов, в том числе добавлена возможность выборочного размещения окна на заданных виртуальных рабочих столах (при использовании X11 подобной возможности нет и окно можно поместить либо на один виртуальный рабочий стол, либо на все). Добавлена поддержка перемещения элементов в режиме drag&drop при помощи жеста на сенсорном экране или тачпаде;
  • В интерфейс для управления сетевыми подключениями добавлена поддержка настойки VPN-туннелей WireGuard при наличии в системе соответствующего плагина к Network Manager. Добавлена возможность пометки сетевых соединений флагом флагом "Metered" (тарификация по трафику);
  • Внесены улучшения в набор пиктограмм Breeze. Улучшены пиктограммы для устройств и настроек, полностью переработаны пиктограммы для эмблем и пакетов, задействованы более качественные пиктограммы для сетевых операций, добавлены отдельные пиктограммы для файлов с байткодом Python;
  • В KSysGuard реализована возможность скрытия строки меню с оставлением подсказки для его возвращения по аналогии с тем, как это сделано в Kate и Gwenview.

  1. OpenNews: Разработчик KWin ушёл с поста мэнтейнера из-за несогласия с новыми веяниями в KDE
  2. OpenNews: Выпуск KDE Applications 18.12
  3. OpenNews: Релиз среды разработки приложений KDevelop 5.3
  4. OpenNews: Релиз рабочего стола KDE Plasma 5.14
Обсуждение (2) | Тип: Программы |
19.01.2019 Уязвимость в прошивках на базе ThreadX, позволяющая атаковать различные устройства через WiFi (28 +15)
  Исследователи безопасности из компании Embedi раскрыли информацию об уязвимостях в платформе ThreadX RTOS, активно применяемой для обеспечения работы прошивок различных специализированных одночиповых систем, в том числе чипов для организации беспроводных коммуникаций. Прошивки на базе ThreadX используются в более чем 6 миллиардах различных промышленных и потребительских устройств. На примере беспроводного чипсета Marvell Avastar 88w8897 продемонстрирована возможность совершения реальной удалённой атаки, позволяющей выполнить код с привилегиями ядра операционной системы через отправку специально оформленного WiFi-пакета.

Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка (современные WiFi чипы реализуются на базе архитектуры FullMAC, подразумевающей наличие специализированного процессора, на котором выполнятся отдельная операционная система с реализаций своего беспроводного стека). Данное окружение выполняется в контексте беспроводного чипа и не имеет доступа к системной памяти (подключено через шину SDIO), поэтому для выполнения атаки на основную систему применяется ещё одна уязвимость в проприетарном модуле ядра для чипов Marvell Avastar, отвечающем за взаимодействие окружения прошивки и основной ОС. Эксплуатация уязвимости в драйвере осуществляется через отправку со стороны Wi-Fi SoC некорректно оформленных команд чрез шину SDIO, вызывающих переполнение стека.

Выявлено несколько путей совершения атаки, но наиболее простым является атака во время операции сканирования сети, которая автоматически запускается беспроводным чипом раз в пять минут. Уязвимость позволяет добиться контролируемого переполнения буфера в окружении на базе ThreadX при обработке специально оформленного пакета , полученного во время сканирования сети. В случае удачного стечения обстоятельств атакующий может переписать указатель, используемый для перехода при выполнении дальнейших операций. Атака не требует выполнения от пользователя каких-либо действий - достаточно наличия активного Wi-Fi у жертвы и нахождение в пределах досягаемости от беспроводной точки доступа атакующего.

Вероятность успешного проведения атаки оценивается в 50-60% для каждой попытки и зависит от стадии сканирования, на которой выполнена обработка пакета атакующего. Чип Marvell Avastar достаточно широко распространён и применяется для обеспечения работы Bluetooth и WiFi во многих смартфонах, планшетах, ноутбуках, медиацентрах, домашних маршрутизаторах, игровых контроллерах и автомобильных информационно-развлекательных системах, в том числе в таких устройствах, как Samsung Chromebook, Microsoft Surface, Sony PS4 и Valve Steamlink. Техника эксплуатации не специфична для чипов Marvell и может быть адаптирована для атаки на любые другие чипы, в прошивках которых используется RTOS ThreadX. Пример успешной атаки продемонстрирован для удалённого получения контроля за телеприставкой Valve Steamlink, основное программное окружение которой построено на основе Dеbian и ядра Linux 3.8.13.

  1. OpenNews: Новая техника атаки на беспроводные сети с WPA2
  2. OpenNews: Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов
  3. OpenNews: В Android устранена уязвимость, эксплуатируемая через беспроводную сеть
  4. OpenNews: Удалённо эксплуатируемая уязвимость в WiFi-чипах Broadcom
  5. OpenNews: Устранение уязвимости в WiFi-чипах Broadcom
Обсуждение (28 +15) | Тип: Проблемы безопасности |
18.01.2019 Релиз языка программирования Rust 1.32 (146 +12)
  Состоялся релиз языка системного программирования Rust 1.32, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime.

Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для размещения библиотек поддерживается репозиторий crates.io.

В подготовке нового выпуска приняли участие 152 разработчика. Основные новшества:

  • Добавлен новый макрос "dbg!", позволяющий упростить наблюдение за состоянием переменных в отладочных целях. Кроме непосредственного значения переменной, предложенный макрос также показывает имя файла, номер строки и название переменной, что делает его более удобным инструментом для отладки, чем вывод при помощи "println". Информация выводится в поток "stderr". Макрос также можно применять для анализа вычисления выражений и условных операторов, например, можно указывать "if dbg!(n <= 1) {" или "dbg!(n*f(n-1))";
  • Прекращено использование по умолчанию библиотеки распределения памяти jemalloc в пользу штатных системных функций выделения и освобождения блоков памяти. Несмотря на то, что jemalloc обычно обеспечивает более высокую производительность, его применение приводит к увеличению размера исполняемого файла приблизительно на 300 Кб. Кроме того, jemalloc специфичен для Unix-подобных систем и в некоторых ситуациях приводит к возникновению проблем. При необходимости продолжения использования jemalloc теперь нужно явно подключать пакет jemallocator;
  • Пути к модулям в выражении "use", не начинающиеся с ключевых слов "super", "self" и "crate", теперь приводят к извлечению определённого в модуле элемента (структуры, перечисления и т.п.), до попытки определения внешнего пакета. Например, указание "use Color::*;" при наличии определения "enum Color { Red, Green, Blue };" до выражения "use", приведёт к импорту вариантов значений перечисления "Color";
  • В макросы добавлен новый проверочный признак "literal", позволяющий определить является ли переменная литералом, независимо от типа (строковым, числовым, символьным);
  • В определениях макросов теперь можно использовать оператор "?", позволяющий определить, что шаблон встречается 0 или 1 раз, по аналогии с тем как операторы "*" и "+" проверяют наличие шаблона 0 и более раз или один и более раз;
  • В разряд стабильных переведена новая порция API, в том числе стабилизированы методы to_be_bytes (big endian), to_le_bytes (little endian) и to_ne_bytes (native) в модулях i8, i16, i32, i64, i128, isize, u8, u16, u32, u64, u128 и usize;
  • 19 различных функций определены с признаком "const" и могут применяться не только как обычные функции, но и использоваться в любом контексте вместо констант;
  • В пакетном менеджере Cargo обеспечена возможность указания имени пользователя внутри URL реестра и добавлена команда "cargo c", которая является сокращённым псевдонимом команды "cargo check".

  1. OpenNews: Релиз языка программирования Rust 2018 (1.31)
  2. OpenNews: Релиз языка программирования Rust 1.30
  3. OpenNews: Mozilla и Xiph развивают реализацию видеокодека AV1 на языке Rust
  4. OpenNews: Выпуск libOS, unikernel на языке Rust для запуска приложений поверх гипервизора
  5. OpenNews: Для Linux и Redox представлена реализация Libc на языке Rust
Обсуждение (146 +12) | Тип: Программы |
18.01.2019 Выпуск редактора векторной графики Inkscape 0.92.4 и начало тестирования ветки 1.0 (170 +40)
  Опубликован релиз свободного векторного графического редактора Inkscape 0.92.4 и одновременно альфа-выпуск новой значительной ветки 1.0. Редактор предоставляет гибкие инструменты для рисования и обеспечивает поддержку чтения и сохранения изображений в форматах SVG, OpenDocument Drawing, DXF, WMF, EMF, sk1, PDF, EPS, PostScript и PNG. Готовые сборки Inkscape 0.92.4 подготовлены для Linux (универсальный AppImage, Snap и PPA для Ubuntu) и Windows. Альфа-выпуск 1.0 доступен в форматах AppImage и Snap.

Основные новшества Inkscape 0.92.4:

  • Возможность выравнивания нескольких объектов, манипулируя ими как целостной группой, перемещаемой относительно одного отдельного объекта;
  • Возможность пошагового изменения значений при выборе цвета через удерживание клавиши "Ctrl" во время перемещения ползунка (по умолчанию используется шаг 16 для диапазонов 0-255 и 10 для диапазонов 0-100);
  • В режиме командной строки появилась поддержка отправки данных изображения через стандартный выходной поток (STDOUT) и чтения изображения из него. Например, теперь можно использовать конструкции вида "cat vector.svg | inkscape --file - --export-png img.png";
  • Ускорена работа расширений при обработке сложных документов. Обеспечено сохранение состояния выделения объектов после применения расширений;
  • Ускорено исключение элементов из выделенного блока, содержащего очень большое число узлов;
  • Ускорена отрисовка результатов применения фильтров;
  • Обеспечено сохранение размера шрифта дочерних текстовых элементов после отключения группировки;
  • Появилась возможность вывода на печать и использования корректного размера печатаемой страницы на принтерах Canon, EPSON и Konica Minolta;
  • Ускорено измерение смещений при помощи инструмента Measure в режиме с видимой сеткой;
  • При экспорте в PDF обеспечено отображение корректного уровня прозрачности для частично прозрачных встроенных изображений;
  • Обеспечена сборка с новым выпуском библиотеки poppler 0.72 (решает проблемы со сборкой в mac OS с использованием Homebrew);
  • Прекращена поддержка Windows XP.



Особенности ветки 1.0:

  • Добавлена поддержка тем оформления и альтернативных наборов пиктограмм. Изменён формат поставки пиктограмм: вместо размещения всех пиктограмм в одном большом файле, каждая пиктограмма теперь поставляется в отдельном файле. Проведена модернизация интерфейса пользователя, в котором задействованы новые возможности из свежих веток GTK+. Переработан код для обработки и восстановления размера и местоположения окон;
  • Интерфейс адаптирован для экранов с высокой плотностью пикселей (HiDPI);
  • Добавлена опция, позволяющая считать нулевую точку отчёта относительно верхнего левого угла, что соответствует расположению координатных осей в формате SVG (по умолчанию в Inkscape отчёт для оси Y начинается с нижнего левого угла);
  • Предоставлена возможность вращения и зеркального отражения холста. Вращение осуществляется колесом мыши при удержании Ctrl+Shift или через ручное определение угла поворота. Зеркалирование выполняется через меню "View > Canvas orientation > Flip horizontally / Flip vertically";
  • Добавлен новый режим отображения ("View->Display mode->Visible Hairlines"), при котором независимо от выбранного уровня масштабирования все линии остаются видимыми;
  • Для сенсорных экранов, трекпадов и тачпадов реализован управляющий жест для масштабирования щипком;
  • В инструменте PowerStroke нажим кисти теперь соответствует давлению, прикладываемому к графическому планшету;
  • Добавлены расширенные настройки экспорта в формате PNG;
  • Значительно ускорены операции с контурами и функции снятия выделения с больших наборов контуров;
  • Изменено поведение команды 'Stroke to Path', которая теперь разделяет сгруппированный контур на отдельные компоненты;
  • В инструмент создания окружностей добавлена возможность замыкания разрывов одним кликом;
  • Добавлены недеструктивные булевые операторы для манипуляции применением эффектов к контурам (LPE, Live Path Effects);
  • Реализован диалог для задания применяемых по умолчанию параметров LPE-эффектов;
  • Добавлен новый LPE-эффект Dash Stroke для использования прерывистых линий в контурах;
  • Добавлен новый LPE-эффект "Ellipse from Points" для создания эллипсов на основе нескольких узловых точек на контуре;
  • Добавлен новый LPE-эффект "Embroidery Stitch" для формирования вышивок;
  • Добавлены новые LPE-эффекты "Fillet" и "Chamfer" для скругления углов и снятия фаски;
  • Добавлена новая опция "erase as clip" для недеструктивной очистки любых элементов клипа, включая растровые изображения и клоны;
  • Реализована возможность использования изменчивых шрифтов (при компиляции с библиотекой pango 1.41.1+);
  • Предоставлены средства для кастомизации интерфейса. Например, диалоги теперь оформлены в виде glade-файлов, меню можно поменять через файл menus.xml, цвета и стили можно поменять через style.css, а состав панелей определяется в файлах commands-toolbar.ui, snap-toolbar.ui, select-toolbar.ui и tool-toolbar.ui.

  1. OpenNews: Выпуск редактора векторной графики Inkscape 0.92.3
  2. OpenNews: Проект Inkscape перевёл разработку c Bzr и Launchpad на Git и GitLab
  3. OpenNews: Выпуск редактора векторной графики Inkscape 0.92
  4. OpenNews: Выпуск редактора векторной графики Inkscape 0.91
  5. OpenNews: Релиз редактора векторной графики Inkscape 0.48
Обсуждение (170 +40) | Тип: Программы |
17.01.2019 Проект Android-x86 выпустил сборку Android 8.1 для платформы x86 (76 +18)
  Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется портирование платформы Android для архитектуры x86, опубликовали первый стабильный выпуск сборки на базе платформы Android 8.1, в которую включены исправления и дополнения, обеспечивающие бесшовную работу на платформах с архитектурой x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 8.1 для архитектур x86 32-bit (656 Мб) и x86_64 (546 Мб), пригодные для использования на типовых ноутбуках и планшетных ПК. Кроме того доступны сборки в виде rpm-пакетов для установки Android-окружения в дистрибутивах Linux.

Основные новшества, специфичные для сборки Android-x86:

  • В качестве альтернативного интерфейса для запуска программ предложена панель задач (Taskbar) с классическим меню приложений, возможностью закрепления ярлыков на часто используемые программы и отображением списка недавно запущенных приложений;
  • Поддержка многооконного режима FreeForm для обеспечения одновременной работы с несколькими приложениями. Возможность произвольного позиционирования и масштабирования окон на экране;

  • Ядро Linux обновлено до выпуска 4.19.15. Обеспечена поддержка как 64-разрядных, так и 32-разрядных сборок ядра и компонентов пространства пользователя;
  • Применение Mesa 18.3.1 для поддержки OpenGL ES 3.x с аппаратным ускорением графики для GPU Intel, AMD и NVIDIA, а также для виртуальных машин VMware и QEMU (virgl);
  • Использование SwiftShader для программного рендеринга с обеспечением OpenGL ES 2.0 для неподдерживаемых видеоподсистем;
  • Поддержка кодеков с аппаратным ускорением для графических чипов Intel HD и G45;
  • Возможность загрузки в режиме UEFI Secure Boot и возможность установки на диск при использовании UEFI;
  • Наличие интерактивного инсталлятора, работающего в текстовом режиме;
  • Поддержка тем оформления загрузчика в GRUB-EFI;
  • Поддержка мультитач, звуковых плат, Wi-Fi, Bluetooth, датчиков, камеры и Ethernet (настройка по DHCP);
  • Автоматическое монтирование внешних USB-накопителей и SD-карт;
  • Опция ForceDefaultOrientation для ручного задания ориентации экрана на устройствах без соответствующего датчика. Программы рассчитанные на портретный режим работы могут корректно отображаться на устройствах с ландшафтным экраном без поворота устройства;
  • Возможность запуска в x86-окружении приложений, созданных для платформы ARM, через применение специальной прослойки;
  • Возможность обновления до версии 8.1 систем, на которых установлены неофициальные выпуски Android-x86;
  • Экспериментальная поддержка графического API Vulkan на системах с актуальными версиями графических драйверов Intel и AMD;
  • Поддержка мыши при запуске Android-x86 в виртуальных машинах на базе VirtualBox, QEMU, VMware и Hyper-V.
    1. OpenNews: Доступна тестовая сборка Android 8.1 для платформы x86 от проекта Android-x86
    2. OpenNews: Доступна сборка Android 7.1 для платформы x86 от проекта Android-x86
    3. OpenNews: Объявлено о прекращении разработки Remix OS, Android-окружения для ПК
    4. OpenNews: Проект Android-x86 может остаться без основного разработчика
    5. OpenNews: Выпуск Remix OS 3.0, Android-окружения для ПК
Обсуждение (76 +18) | Тип: Программы |
17.01.2019 Выпуск Trident 18.12, операционной системы от проекта TrueOS (52 +10)
  Представлен первый стабильный выпуск операционной системы Trident, в рамках которого на базе технологий FreeBSD проектом TrueOS развивается готовый к использованию графический пользовательский дистрибутив, напоминающий старые выпуски PC-BSD и TrueOS. В рамках проекта Trident также теперь ведётся разработка графического окружения Lumina и всех ранее доступных в PC-BSD графических инструментов, таких как sysadm и AppCafe.

Проект Trident был образован после трансформации TrueOS в обособленную модульную операционную систему, которую можно использовать в качестве платформы для других проектов. TrueOS позиционируется как "downstream" форк FreeBSD, модифицирующий базовый состав FreeBSD поддержкой таких технологий как OpenRC и LibreSSL. В процессе разработки проект придерживается шестимесячного цикла подготовки релизов с обновлением в предсказуемые заранее намеченные сроки.

Некоторые особенности Trident:

  • Наличие предопределённого профиля межсетевого экрана для отправки трафика через анонимную сеть Tor, который может быть активирован на этапе установки.
  • Для навигации по Web предлагается браузер Falkon (QupZilla) со встроенным блокировщиком рекламы и расширенными настройками для защиты от отслеживания перемещений.
  • По умолчанию используется файловая система ZFS и система инициализации OpenRC.
  • При обновлении системы в ФС создаётся отдельный снапшот, позволяющий мгновенно вернуться к прошлому состоянию системы в случае возникновения проблем после обновления.
  • Вместо OpenSSL применяется LibreSSL от проекта OpenBSD.
  • Устанавливаемые пакеты верифицируются по цифровой подписи.

Выпуск Trident 18.12 основан на стабильной ветке TrueOS 18.12, которая в свою очередь ответвилась от FreeBSD 13-CURRENT. Выпуск построен с использованием нового инструментария формирования релизов, предлагаемого проектом TrueOS и дополненного серией собственных расширений. Состояние пакетов планируется синхронизировать с репозиторием один или два раза в неделю. Размер установочного iso-образа 4.1 Гб (AMD64).

  1. OpenNews: Проект TrueOS трансформировался в обособленную ОС
  2. OpenNews: Выпуск рабочего стола Lumina 1.4
  3. OpenNews: Выпуск операционной системы TrueOS 18.03
  4. OpenNews: Релиз GhostBSD 18.12
Обсуждение (52 +10) | Тип: Программы |
16.01.2019 Systemd в Debian остался без мэйнтейнера из-за разногласий с разработчиками systemd (541 +85)
  Майкл Библь (Michael Biebl), участвующий в разработке Debian с 2004 года и один из основных участников перевода дистрибутива на системный менеджер systemd, демонстративно ушёл на некоторое время с поста мэйнтейрнера пакетов systemd в Debian, назвав сложившуюся ситуацию с исправлением ошибок в systemd глупостью и безумством, а также пообещав больше не отправлять разработчикам systemd отчёты об ошибках.

Конфликт возник из-за появления в выпуске systemd 240 регрессивного изменения, приводящего к изменению поведения при обработке существующих правил udev и проблемам у пользователей Debian с изменением логики переименования сетевых интерфейсов - несмотря на использование опции NAME для привязки имени сетевого интерфейса к MAC-адресу после перехода на udev из состава systemd 240 сетевые интерфейсы адаптеров Ethernet поменяли свои имена с фиксированных на автоматически сгенерированные (ранее замена производилась только один раз, а начиная с версии 240 может применяться несколько замен).

Майкл Библь попросил разработчиков systemd вернуть прежнее поведение, когда заданная в настройках ручная привязка имени является более приоритетной, но разработчики systemd не посчитали данное регрессивное изменение проблемой, так как внесённые в systemd 240 изменения не нарушали документированное поведение, а в скриптах, в которых проявлялась проблема, использовались недокументированные особенности udev, работа которых не гарантировалась.

Тем не менее, позднее были найдены свидетельства, что старое поведение описано в документации. После этого разработчики systemd предложили выборочно отключать новое поведение в случае если правила udev созданы для старых версий systemd (если схема наименования определена для версий меньше 240 по умолчанию выставлять опцию RenameOnce=yes, а иначе RenameOnce=no).

В списке рассылки разработчиков systemd также разгорелась дискуссия, связанная с предложением дополнительно по горячим следам выпускать корректирующие версии systemd c исправлением серьёзных ошибок, всплывающих в значительных выпусках. Леннарт Поттеринг отказался от данной идеи, сославшись на нехватку ресурсов. Подобное мнение было воспринято некоторыми разработчиками как фундаментальное заблуждение, так как сосредоточение приоритета на развитии функциональности в ущерб стабильности негативно отражается на пользователях.

В ответ Леннарт сослался на то, что конечные пользователи не применяют самые свежие выпуски systemd, а используют пакеты, стабилизированные дистрибутивами, например, перед помещением системных компонентов в RHEL проводится их проверка в Fedora и службой контроля качества. В случае изменения приоритетов в разработке и исправлении ошибок по мнению Леннарта возникнет лишь расслоение, при котором чаще станут игнорироваться и отдаваться на откуп сообществу ошибки, связанные с экзотичными архитектурами, отличными от RHEL дистрибутивами, нетипичными графическими окружениями, библиотеками и драйверами.

  1. OpenNews: В systemd-journald выявлены три уязвимости, позволяющие получить права root
  2. OpenNews: Выпуск системного менеджера systemd 240
  3. OpenNews: Удалённая уязвимость в systemd-networkd
  4. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
  5. OpenNews: Архитектурные проблемы systemd, негативно влияющие на стабильность и безопасность
Обсуждение (541 +85) | Тип: Тема для размышления |
16.01.2019 Ethereum отложил обновление платформы из-за выявления критической уязвимости (19 +8)
  Разработчики криптовалюты Ethereum отложили на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы ("Constantinople"). Решение принято в связи с выявлением критической уязвимости в реализации умных контрактов, позволяющей похитить средства.

Выявившие проблему исследователи утверждают, что проблема специфична для ветки "Constantinople", которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth до выпуска 1.8.21, откатиться на версию 1.8.19 или запускать приложение с опцией "--override.constantinople=9999999". При использовании клиента Parity необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании сети и обслуживающим узлы обновлять приложения не обязательно.

Владельцам умных контрактов рекомендуется проверить свои контракты на предмет подверженности уязвимости. Проблема вызвана снижением стоимости внутренних транзакций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность (re-entrancy, состояние контракта может измениться в процессе его выполнения в условиях когда новое обращение к контракту возможно до завершения обработки предыдущего).

В ходе аудита изменения блокчейна после форка "Constantinople" исследователи безопасности пришли к выводу, что вероятность проведения re-entrancy атаки полностью не исключается для некоторых видов контрактов, в которых перед операторами изменения состояния используются методы transfer() и send(). Например, проблема может затрагивать контракты, в которых несколько участников совместно получают средства, решают как разделить полученные средства и инициируют выплату этих средств.

В случае успешной атаки злоумышленник может похитить средства у пользователей, заключивших с ним умный контракт, в обход условий контракта и без получения согласия пользователя. До введения в строй ветки "Constantinople" контракты не подвержены уязвимости, т.е. пользователям Ethereum ничего не угрожает. Анализ существующих умных контрактов пока не выявил экземпляров, которые могли бы использоваться для совершения подобных атак.

  1. OpenNews: В результате двойной траты средств в Ethereum Classic похищен 1.1 млн долларов
  2. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  3. OpenNews: Критическая уязвимость в Bitcoin Core
  4. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
  5. OpenNews: Linux Foundation представил платформу Hyperledger Sawtooth 1.0 на базе технологий блокчейн
Обсуждение (19 +8) | Тип: Проблемы безопасности |
16.01.2019 Используемая проектом MongoDB лицензия SSPL признана недопустимой в Fedora Linux (68 +19)
  Проект Fedora поместил лицензию SSPL (Server Side Public License), на которую в прошлом году была переведена СУБД MongoDB, в список несвободных лицензий. Таким образом, MongoDB и другие проекты на базе данной лицензии не смогут входить в состав официальных репозиториев Fedora, EPEL и COPRs.

В качестве причины неприятия отмечается, что применение SSPL приводит к дискриминации отдельных категорий пользователей (провайдеров облачных сервисов). Кроме того, указано, что лицензия явно создана с целью нагнетания неуверенности (FUD, "страх, неуверенность и сомнение") среди пользователей коммерческих продуктов, построенных на основе кода под данной лицензией. Лицензия SSPL сформулирована так, что на практике приложения под данной лицензией невозможно использовать в облачных сервисах без покупки коммерческой лицензии, так как иначе придётся перелицензировать под SSPL код всех компонентов ОС, включая ядро.

Организация OSI (Open Source Initiative), занимающаяся проверкой соответствия лицензий критериям Open Source, пока не завершила анализ SSPL и не вынесла своего решения по этому поводу. Напомним, что лицензия SSPL основана на тексте AGPLv3, в котором внесены изменения в раздел 13. Изменения сводятся к добавлению требования поставки под лицензией SSPL не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса. По мнению некоторых представителей сообщества данное требование нарушает совместимость с GPL и другими копилефт лицензиями, которые запрещают перелицензирование чужого кода.

  1. OpenNews: СУБД MongoDB переведена на новую лицензию, которая пока не проверена на открытость
  2. OpenNews: Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения
  3. OpenNews: В DNF предлагают встроить UUID для идентификации установок Fedora
  4. OpenNews: Изменение лицензионной политики проекта Redis
  5. OpenNews: Основан проект GoodFORM, который продолжит развитие свободных модулей к СУБД Redis
Обсуждение (68 +19) | Тип: Программы |
16.01.2019 Mozilla сворачивает программу Test Pilot и сервис Firefox Screenshots (46 –2)
  Разработчики Mozilla решили свернуть программу Test Pilot, в рамках которой пользователям давалась возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Начиная с 22 января Test Pilot прекратит свою работу, но все уже установленные экспериментальные возможности продолжат функционировать на системах пользователей.

Предлагавшаяся для тестирования функциональность частично останется доступной в форме отдельных дополнений, доступных для установки из каталога addons.mozilla.org. Экспериментальные возможности, реализованные не в форме дополнений, такие как Firefox Lockbox (предоставляет доступ к сохранённым в Firefox логинам и паролям) и Firefox Send (инструмент для обмена файлами), продолжат своё развитие в виде отдельных продуктов, не привязанных к Firefox.

Напомним, что для участия в программе требовалась установка специального дополнения Test Pilot, которое позволяло активировать и протестировать прототипы с реализацией новых возможностей. В процессе работы Test Pilot осуществлялись сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями. Перед своим основным внедрением в основной состав браузера тестирование в Test Pilot прошли такие функции, как Activity Stream, Firefox Screenshots и средства для блокирования отслеживания перемещений.

Отмечается, что программа Test Pilot оказалась успешной, но требующей вложения значительных инженерных ресурсов. В конечном счёте, поддержание отдельной платформы для создания экспериментов признано нецелесообразным. Вместо Test Pilot для оценки новых возможностей и сервисов предложена новая модель, ориентированная на применении индивидуальных циклов тестирования с более широким охватом пользователей, но с коротким периодом тестирования (в отличие от Test Pilot подобный эксперимент не потребует постоянного сопровождения).

В качестве примера альтернативной схемы тестирования приводится сервис Firefox Monitor, экспериментальный прототип которого был предложен для тестирования ограниченному числу пользователей штатных выпусков Firefox, не прибегая к программе Test Pilot.

Модель на основе контрольной выборки реальных пользователей оказалась более эффективной, чем использование небольшой отдельной группы тестировщиков. В дальнейшем экспериментальные возможности будут предлагаться для тестирования обычным пользователям (тесты не навязываются и пользователь волен согласиться или отказаться), вместо привлечения для этой задачи узкого круга пользователей, явно присоединившихся к тестированию и установивших дополнение Test Pilot.

Кроме того, можно упомянуть решение о закрытии online-сервиса Firefox Screenshots, позволявшего загружать созданные в браузере снимки страниц и обмениваться ими с другими пользователями. Загруженные снимки в течение 14 дней оставались доступны по прямой ссылке для других пользователей, знающих специальный идентификатор. Одноимённое системное дополнение, поставляемое начиная с выпуска Firefox 59, будет сохранено, но ограничено сохранением скриншотов web-страниц только в локальной системе, без возможности загрузки в облако.

  1. OpenNews: Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
  2. OpenNews: В Firefox тестируют поддержку сохранения в облачные хранилища
  3. OpenNews: В Firefox началось тестирование системы рекомендации контента на основе активности пользователя
  4. OpenNews: Разработчики Mozilla представили две тестовые возможности: Lockbox и Notes
  5. OpenNews: В Firefox тестируется возможность одновременного просмотра разных вкладок
Обсуждение (46 –2) | Тип: К сведению |
15.01.2019 В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla (42 –20)
  Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов.

В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.

При этом в состав будущего соревнования добавлена новая категория премий за взлом информационных систем автомобиля Tesla Model 3, общий размер призовых выплат в которой составляет более 900 тысяч долларов. Связанные с Tesla номинации затрагивают получение контроля за шиной CAN Bus, оставление вредоносного ПО активным после перезапуска, проведение атак на модем, тюнер, Wi-Fi, Bluetooth, информационно-развлекательную систему, автопилот и функцию использования смартфона в роли ключа.

Наибольший приз, размером 250 тысяч долларов, предусмотрен за управляемое выполнение кода в контексте подсистем Gateway (связывает все информационные системы автомобиля), Autopilot или VCSEC (подсистема обеспечения безопасности). За инициирование сбоя в работе автопилота предлагается премия в 50 тысяч долларов, за разблокировку замков, запуск двигателя без ключа и получения контроля за шиной CAN - 100 тысяч, за получение root-доступа к информационно-развлекательной системе - 85 тысяч долларов.

Номинации связанные с серверными технологиями ограничились призом за взлом Microsoft Windows RDP (приз 150 тысяч долларов). Награды за эксплуатацию уязвимость в пользовательских приложениях предусмотрены для Adobe Reader (40 тысяч), Microsoft Office 365 ProPlus (60 тысяч) и Microsoft Outlook (100 тысяч). Номинации атак на браузеры заявлены для Google Chrome (80 тысяч), Microsoft Edge (50, 60 и 80 тысяч), Apple Safari (55 и 65 тысяч) и Mozilla Firefox (40 и 50 тысяч). Из участвующих в соревновании систем виртуализации отмечены VirtualBox (35 тысяч), VMware Workstation (70 тысяч), VMware ESXi (150 тысяч) и Microsoft Hyper-V Client (250 тысяч). Отдельно предусмотрена номинация за повышение привилегий через эксплуатацию уязвимости в ядре Windows (30 тысяч).

  1. OpenNews: На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
  2. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  3. OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
  4. OpenNews: На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox
  5. OpenNews: На соревновании Pwn2Own 2017 появились номинации за взлом Linux и Apache httpd
Обсуждение (42 –20) | Тип: К сведению |
15.01.2019 Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP (27 +25)
  В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены четыре уязвимости, позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику.
  • CVE-2019-6111 - возможность перезаписать произвольные файлы в целевом каталоге на стороне клиента. В SCP как и в RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Проверка на стороне клиента ограничена лишь блокированием выхода за границы текущего каталога ("../"), но не учитывает передачу файлов с именами, отличающимися от изначально запрошенных. В случае рекурсивного копирования (-r) кроме имён файлов подобным способом можно манипулировать и именами подкаталогов. Например, в случае копирования пользователем в домашний каталог файлов, подконтрольный атакующим сервер может выдать вместо запрошенных файлов файлы с именами .bash_aliases или .ssh/authorized_keys, и они будут сохранены утилитой scp в домашнем каталоге пользователя;
  • CVE-2018-20685 - возможность изменения прав доступа на целевой каталог при отдаче сервером каталога с пустыми именем или точкой. При получении от сервера команды "D0777 0 \n" или "D0777 0 .\n" клиент применит изменение прав доступа к текущему каталогу;
  • CVE-2019-6109, CVE-2019-6110 - возможность искажения вывода в терминал через подстановку управляющих ASCII символов в передаваемые строковые данные и отображаемый на стороне клиента поток STDERR. Уязвимость может применяться для скрытия сведений о загрузке незапрошенных файлов.

Проблемы проявляются во всех версиях OpenSSH (включая 7.9), PuTTY и WinSCP (включая 5.13). Для OpenSSH предложено исправление в виде патча. Пакет Tectia SSH scpg3 проблемам не подвержен, так как базируется только на использовании SFTP и не поддерживает протокол SCP. В качестве обходного варианта защиты рекомендуется использовать sftp вместо scp. В дистрибутивах проблема пока остаётся неисправленной (Debian, Ubuntu, Arch, RHEL, SUSE).

  1. OpenNews: Использование JavaScript для атаки через манипуляцию с содержимым буфера обмена
  2. OpenNews: Концепция атаки по подмене копируемого в терминал текста с сайта
  3. OpenNews: Уязвимость в Gnome-terminal, xfce4-terminal, Terminator и других эмуляторах терминалов на базе libVTE
  4. OpenNews: Метод подстановки троянского кода, невидимого при просмотре в git diff
  5. OpenNews: Уязвимость в GnuPG
Обсуждение (27 +25) | Тип: Проблемы безопасности |
15.01.2019 Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN (29 +11)
  Разработчики проекта LLVM объявили о достижении важного рубежа на пути к миграции с Subversion на Git и GitHub. В строй введено официальное Git-зеркало основного репозитория проекта, построенного с использованием централизованной системы управления исходными текстами Subversion. Git-репозиторий теперь признан стабильным и может применяться для участия в разработке компонентов LLVM (ранее Git-зеркало носило неофициальный статус и поддерживалось энтузиастами со стороны).

Синхронизация с SVN осуществляется раз в минуту, а время отставания появления в Git коммитов оценивается в 20-90 секунд. Для приёма коммитов продолжает применяться SVN, поэтому при использовании Git для отправки изменений следует использовать git-svn или специально подготовленный скрипт.

Следующим шагом миграции станет перевод Git в разряд первичных репозиториев. От Phabricator для рецензирования изменений, приёма сообщений об ошибках и обработки pull-запросов пока отказываться не собираются, но данная платформа будет перенастроена на получение коммитов из репозитория на GitHub. Ожидается, что использование Git и GitHub позволит повысить эффективность работы, упростит передачу изменений, снизит барьер входа и сделает проект более дружественным для новых разработчиков.

Миграция с SVN на Git началась ещё в 2016 году, после того как в результате голосования стало ясно, что подавляющее большинство участников предпочли бы использовать Git. GitHub в качестве платформы для хостинга выбран так как он привычен многим пользователям и в отличие от GitLab и BitBucket предоставляет интерфейс для интеграции с SVN, работающий в режиме чтения и записи, что упростит переход на Git разработчиков, привыкших к SVN (например, пользователи SVN могут выполнить "svn checkout http://svn.github.com/schacon/simplegit.git").

  1. OpenNews: Проект LLVM планирует сменить лицензию
  2. OpenNews: Создатель LLVM и Swift уходит из компании Apple
  3. OpenNews: В знак несогласия с новым кодексом поведения LLVM покинул один из ведущих разработчиков
  4. OpenNews: Релиз набора компиляторов LLVM 7.0
  5. OpenNews: Разработчики LLVM при голосовании отдали предпочтение GIT
Обсуждение (29 +11) | Тип: К сведению |
14.01.2019 Разработчики GTK+ 3 тестируют обновлённую тему оформления (161 +10)
  Маттиас Класен (Matthias Clasen), лидер Fedora Desktop Team и участник GNOME Release Team, сообщил о тестировании улучшенной темы оформления "Adwaita", используемой по умолчанию в GTK+ 3. Перед включением изменений в состав выпуска GTK 3.24.4, в течение трёх недель пользователям даётся возможность протестировать новую тему и высказать свои замечания. Модернизированная тема поставляется в виде отдельного архива, опубликованного параллельно с выпуском GTK 3.24.3.

Прошлая значительная модернизация темы оформления была проведена в 2014 году. Нынешнее изменение не столь кардинально и в основном сосредоточено на оттачивании мелочей и корректировке цветовой схемы. Тема приведена к более современному виду, но без нарушения совместимости с оформлением виджетов приложений. Изменение касается только темы оформления Adwaita, не затрагивает другие темы, а также CSS-селекторы и классы GTK, которые не менялись с момента выпуска GTK 3.22.

Основные изменения в теме оформления Adwaita:

  • Немного откорректированы цвета, которые стали более яркими. Предложенное цветовое оформления развивается как часть унифицированной палитры, используемой также для пиктограмм приложений;
  • Предпринята попытка сделать панели и кнопки более элегантными и лёгкими, чего удалось добиться при помощи инвертирования яркости, избавления от выделяющихся рамок и чуть большего скругления углов. В светлом варианте темы оформления вместо тёмных кнопок с рамкой на светлом фоне теперь предложены светлые кнопки на тёмном фоне с эффектом отбрасывания небольшой тени. Активные режимы и вкладки выделены тёмным оттенком. Более заметным сделано отличие заголовков активных и неактивных окон;
  • Изменён виджет с реализацией переключателей режимов. Если раньше переключатели явно снабжались метками "ON" и "OFF", то теперь, когда данные переключатели стали привычными пользователям, решено использовать вместо текстовых меток более компактные значки, а форму переключателя сделать более округлой;
  • В остальных виджетах изменения почти не заметны, за исключением небольшой корректировки цветов.

  1. OpenNews: Выпуск графического тулкита GTK+ 3.24
  2. OpenNews: Релиз браузерного движка WebKitGTK+ 2.22.0
  3. OpenNews: Доступен GTK+ 3.94, экспериментальный выпуск GTK+ 4
  4. OpenNews: Перед GTK+ 4 планируется сформировать внеплановый выпуск GTK+ 3.24
  5. OpenNews: GTK+ переходит на новую тему оформления, унифицированную для всех платформ
Обсуждение (161 +10) | Тип: К сведению |
14.01.2019 Релиз платформы для анализа уязвимостей Metasploit Framework 5.0 (6 +14)
  Спустя восемь лет с момента формирования прошлой значительной ветки представлен релиз платформы для анализа уязвимостей - Metasploit Framework 5.0. В настоящий момент в пакет входит 3795 модулей с реализацией различных эксплоитов и методов выполнения атак. Проектом также ведётся информационная база, содержащая сведения о 136710 уязвимостях. Код Metasploit написан на языке Ruby и распространяется под лицензией BSD. Модули могут разрабатываться на языках Ruby, Python и Go.

Фреймворк предоставляет специалистам в области компьютерной безопасности набор средств для быстрой разработки и отладки эксплоитов, а также для проверки систем на наличие уязвимостей и выполнения действий (payload) в случае успеха проведения атаки. Для сканирования сети и тестирования систем на наличие уязвимостей, в том числе с проверкой применимости реальных эксплоитов, предлагается базовый интерфейс командной строки. В рамках редакций Community и Pro дополнительно поставляется наглядный web-интерфейс.

Основные улучшения:

  • Добавлен модуль "evasion", позволяющий создавать исполняемые payload-файлы, уклоняющиеся от срабатываний антивирусов. Модуль даёт возможность воспроизвести более реалистичные условия при проверке системы, реализуя типовые для вредоносного ПО техники обхода антивирусов. Например, для уклонения от антивирусов применяются такие техники, как шифрование shell-кода, рандомизация кода и блокирование выполнения под эмулятором;
  • Помимо языка Ruby для разработки внешних модулей теперь могут использоваться языки Python и Go;
  • Добавлен базовый фреймворк для web-сервисов, реализующий REST API для автоматизации выполнения заданий и работы с БД, поддерживающий различные схемы аутентификации и предлагающий возможности для параллельного выполнения операций;
  • Реализован API на базе JSON-RPC, упрощающий интеграцию Metasploit с различными инструментариями и языками программирования;
  • Пользователи теперь могут запустить собственный RESTful-сервис на базе СУБД PostgreSQL для подключения нескольких консолей Metasploit и внешних инструментариев;
  • Обеспечена возможность параллельной обработки операций с БД и консолью (msfconsole), что позволяет вынести выполнение некоторых пакетных операций на плечи сервиса, обслуживающего БД;
  • Для payload реализована концепция metashell и мета-команда "background", позволяющая после эксплуатации на удалённой стороне запускать фоновые shell-сеансы и загрузки, и управлять ими без применения сеанса на базе Meterpreter;
  • Добавлена возможность проверки одним модулем сразу нескольких хостов через задание в опции RHOSTS диапазона IP-адресов или указание через URL "file://" ссылки на файл с адресами в формате /etc/hosts;
  • Переработан механизм поиска, что позволило сократить время запуска и убрать БД из зависимостей.

  1. OpenNews: Релиз дистрибутива для исследования безопасности систем Kali Linux 2018.2
  2. OpenNews: Выпуск дистрибутива Parrot 3.10 с подборкой программ для проверки безопасности
  3. OpenNews: Представлен релиз платформы для анализа уязвимостей Metasploit Framework 4.0
  4. OpenNews: Представлен новый вариант платформы для анализа уязвимостей - Metasploit Community
  5. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
Обсуждение (6 +14) | Тип: Программы |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor