The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

12.08.2020 Релиз языка программирования Go 1.15 (54 +11)
  Представлен релиз языка программирования Go 1.15, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD.

Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет добиться производительности, сопоставимой с программами на языке Си.

Проект изначально разрабатывается с оглядкой на многопоточное программирование и эффективную работу на многоядерных системах, в том числе предоставляя реализованные на уровне операторов средства для организации параллельных вычислений и взаимодействия между параллельно выполняемыми методами. Язык также предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти и обеспечивает возможность использования сборщика мусора.

Основные новшества, представленные в выпуске Go 1.15:

  • Существенно улучшена работа компоновщика, как в области повышения скорости работы и сокращения потребления памяти, так и в направлении упрощения сопровождения кода. При тестировании в операционных системах, использующих формат исполняемых файлов ELF (Linux, FreeBSD, NetBSD, OpenBSD, Dragonfly, Solaris), компоновка типового набора крупных Go-приложений стала выполняться на 20% быстрее, а потребление памяти в среднем уменьшилось на 30%. Повышение производительности стало возможным благодаря переходу на новый формат объектных файлов и переработке внутренних стадий для повышения уровня распараллеливания работ. Собственный компоновщик теперь используется по умолчанию на системах linux/amd64 и linux/arm64 в режиме "-buildmode=pie", в котором теперь не требуется применения Си-компоновщика.
  • В runtime значительно улучшено распределение мелких объектов на системах с большим числом ядер CPU и сокращены задержки. При сбоях обеспечен вывод значений с числовыми и строковыми типами, вместо показа адреса. При отправке Go-приложению сигналов SIGSEGV, SIGBUS и SIGFPE, в случае отсутствия обработчика os/signal.Notify, приложение будет завершено с выводом трассировки стека (ранее поведение было непредсказуемым).
  • Проведена оптимизация компилятора, позволившая сократить размер генерируемых исполняемых файлов в среднем на 5% за счёт прекращения включения некоторых метаданных для сборщика мусора и более агрессивной чистке неиспользуемых метаданных.
  • В компилятор и ассемблер добавлен флаг "-spectre" для включения защиты от атак класса Spectre (для большинства программ не требуется, включение опции может быть оправдано лишь для отдельных очень специфичных случаев).
  • В сертификатах X.509 объявлено устаревшим поле CommonName, которое теперь не трактуется как имя хоста в случае отсутствия поля Subject Alternative Names.
  • В команде "go" в переменной окружения GOPROXY теперь можно перечислять несколько прокси, разделённых запятой или символом "|". Если первый прокси в списке вернёт ошибку (404 или 410), то будет предпринята попытка обращения через второй прокси и т.д.
  • В утилите vet добавлено предупреждение о попытке преобразования из string(x), если "x" является целочисленным типом, отличным от rune или byte.
  • В утилиту objdump добавлен флаг "-gnu" для поддержки вывода дизассемблерных дампов в синтаксисе GNU assembler.
  • Добавлен новый пакет time/tzdata, позволяющий встроить в программу БД с данными о часовых поясах.
  • Из исходных текстов и документации убраны фразы whitelist/blacklist и master/slave, вместо которых теперь используются "allowlist", "blocklist", "process", "pty", "proc" и "control".
  • Внесена большая порция незначительных улучшений в стандартную библиотеку.
  • Добавлена поддержка OpenBSD 6.7 в режимах GOARCH=arm и GOARCH=arm64 (ранее поддерживались только GOARCH=386 и GOARCH=amd64).
  • Продолжено развитие 64-разрядной платформы RISC-V (GOOS=linux, GOARCH=riscv64).
  • Для 32-разрядных систем x86 в следующем выпуске будут подняты минимальные требования к системе - продолжат поддерживаться только процессоры с SSE2. Для сборки в режиме GOARCH=386 потребуется как минимум Intel Pentium 4 (выпущен в 2000 году) или AMD Opteron/Athlon 64 (выпущен в 2003 году).

  1. OpenNews: Релиз языка программирования Go 1.14
  2. OpenNews: Уязвимости в системе загрузки модулей для языка Go
  3. OpenNews: Обновление языка Go 1.11.5 и 1.10.8 с устранением уязвимости
  4. OpenNews: Проект Go опубликовал собственный шрифт для программистов
  5. OpenNews: Язык Go избавляется от неполиткорректных терминов whitelist/blacklist и master/slave
Обсуждение (54 +11) | Тип: Программы |
12.08.2020 Удалённая уязвимость в серверных платах Intel с BMC Emulex Pilot 3 (63 +20)
  Компания Intel сообщила об устранении 22 уязвимостей в прошивках своих серверных материнских плат, серверных систем и вычислительных модулей. Три уязвимости, одной из которых присвоен критический уровень, (CVE-2020-8708 - CVSS 9.6, CVE-2020-8707 - CVSS 8.3, CVE-2020-8706 - CVSS 4.7) проявляется в прошивке BMC-контроллера Emulex Pilot 3, применяемого в продуктах Intel. Уязвимости позволяют без аутентификации получить доступ к консоли удалённого управления (KVM), обойти аутентификацию при эмуляции USB-устройств хранения и вызвать удалённое переполнение буфера в применяемом в BMC ядре Linux.

Уязвимость CVE-2020-8708 даёт возможность неаутентифицированному злоумышленнику, имеющему доступ к общему с уязвимым сервером сегменту локальной сети, получить доступ к управляющему окружению BMC. Отмечается, что техника эксплуатации уязвимости очень проста и надёжна, так как проблема вызвана архитектурной ошибкой. Более того, по словам выявившего уязвимость исследователя работать с BMC через эксплоит гораздо удобнее, чем при помощи штатного Java-клиента. Среди подверженного проблеме оборудования упоминаются семейства серверных систем Intel R1000WT, R2000WT, R1000SP, LSVRP, LR1304SP, R1000WF и R2000WF, материнские платы S2600WT, S2600CW, S2600KP, S2600TP, S1200SP, S2600WF, S2600ST и S2600BP, а также вычислительные модули HNS2600KP, HNS2600TP и HNS2600BP. Уязвимости устранены в обновлении прошивки 1.59.

По неофициальным данным прошивка для BMC Emulex Pilot 3 написана в компании AMI, поэтому не исключается проявление уязвимостей и на системах других производителей. Проблемы присутствуют во внешних патчах к ядру Linux и работающем в пространстве пользователя управляющем процессе, код которых характеризуется выявившим проблему исследователем как худший код, c которым ему приходилось сталкиваться.

Напомним, что BMC представляет собой устанавливаемый в серверах специализированный контроллер, имеющий свой CPU, память, хранилище и интерфейсы опроса датчиков, который предоставляет низкоуровневый интерфейс для мониторинга и управления серверным оборудованием. При помощи BMC независимо от работающей на сервере операционной системы можно отслеживать состояние датчиков, управлять питанием, прошивками и дисками, организовать удалённую загрузку по сети, обеспечить работу консоли удалённого доступа и т.п.

  1. OpenNews: Манипуляции с BMC позволяют контролировать серверы IBM Cloud после смены арендатора
  2. OpenNews: Серия уязвимостей в BMC-контроллерах серверов Huawei
  3. OpenNews: Утечка 20ГБ внутренней технической документации и исходных текстов Intel
  4. OpenNews: Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса
  5. OpenNews: OpenBMC, стек для создания BMC-прошивок, перешёл под крыло Linux Foundation
Обсуждение (63 +20) | Тип: Проблемы безопасности |
12.08.2020 Выпуск эмулятора QEMU 5.1 (81 +23)
  Представлен релиз проекта QEMU 5.1. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных устройств превысило 400. При подготовке версии 5.1 внесено более 2500 изменений от 235 разработчиков.

Ключевые улучшения, добавленные в QEMU 5.1:

  • Добавлена поддержка эмуляции CPU на базе архитектуры AVR. Реализована поддержка плат Arduino Duemilanove (ATmega168), Arduino Mega 2560 (ATmega2560), Arduino Mega (ATmega1280) и Arduino UNO (ATmega328P).
  • В эмулятор архитектуры ARM добавлена возможность горячего отключения памяти (hot-unplug), а также горячего подключения памяти nvdimm для гостевых систем с ACPI. Реализована поддержка расширений ARMv8.2 TTS2UXN и ARMv8.5 MemTag. Обеспечена поддержка платы sonorapass-bmc.
  • В эмулятор архитектуры MIPS добавлена поддержка CPU Loongson 3A CPUs (R1 и R4). Повышена производительность эмуляции инструкций FPU и MSA.
  • В эмулятор архитектуры RISC-V добавлена поддержка CPU SiFive E34 и Ibex. Реализована поддержка плат HiFive1 revB и OpenTitan. Для машин Spike предоставлена поддержка более одного CPU.
  • В эмуляторе архитектуры PowerPC появилась поддержка восстановления ошибок в гостевых системах при помощи FWNMI.
  • Для архитектуры s390 добавлена поддержка KVM для защищённой виртуализации (режим безопасного выполнения).
  • В эмуляторе архитектуры x86 сокращены накладные расходы на виртуализацию неадаптированных гостевых систем с Windows, через предоставление таблицы эмулируемых устройств ACPI WAET (Windows ACPI Emulated Device Table). Улучшена поддержка ускорения HVF для macOS.
  • В драйвере блочных устройств появилась поддержка виртуальных устройств хранения с логическими и физическими блоками размером 2MB.
  • Добавлена возможность передачи в QEMU паролей и ключей для шифрования через keyring ядра Linux при помощи объектов нового типа "secret-keyring".
  • Для формата qcow2 реализована поддержка алгоритма сжатия zstd.
  • В утилите qemu-img добавлена новая команда 'bitmap' для манипуляции постоянными битовыми картами в файлах qcow2. В qemu-img также реализовано управления ключами LUKS (keyslot) и предложены дополнительные возможности для команд "map" (--start-offset, --max-length) и "convert" (--bitmaps), в команде "measure" добавлен вывод сведений о размере постоянных битовых карт в файлах qcow2.
  • В драйвере NVMe появилась поддержка постоянных областей памяти (Persistent Memory Region), появившихся в спецификации NVMe 1.4.
  • В virtio для гостевых систем c классическим генератором кода TCG (Tiny Code Generator) реализована возможность использования процессов vhost-user, включая virtiofsd. В vhost-user добавлено расширение VHOST_USER_PROTOCOL_F_CONFIGURE_MEM_SLOTS, позволяющее регистрировать более 8 слотов ОЗУ.

  1. OpenNews: Опасные уязвимости в QEMU, Node.js, Grafana и Android
  2. OpenNews: Выпуск эмулятора QEMU 5.0
  3. OpenNews: Релиз Bochs 2.6.10, системы эмуляции архитектуры x86
  4. OpenNews: Уязвимость, позволяющая выйти из изолированного окружения QEMU
  5. OpenNews: Уязвимость в vhost-net, позволяющая обойти изоляцию в системах на базе QEMU-KVM
Обсуждение (81 +23) | Тип: Программы |
11.08.2020 Компания Mozilla объявила об увольнении 250 сотрудников (423 –39)
  Компания Mozilla сообщила о существенном сокращении персонала и закрытии представительства в Тайбэй (Тайвань). Из компании будут уволены примерно 250 сотрудников, а около 60 работников будут переведены в другие команды. С учётом того, что в компании работает приблизительно 900 человек, увольнения коснутся около 30% персонала. Ключевой причиной сокращения называется желание удержаться на плаву в условиях кризиса, вызванного пандемией коронавирусной инфекции COVID-19.

Отмечается, что осознавая важность старой модели, подразумевающей распространение бесплатных сервисов, в сложившихся условиях компания вынуждена начать присматриваться к другим возможностям ведения бизнеса и альтернативным ценностям. Предстоит выработать бизнес-модель, которая позволить достичь оптимального баланса между социальной и общественной пользой и возможностями получения выгоды для бизнеса.

Из областей на которые будет сосредоточено внимание компании называется развитие новых продуктов, которые позволят получить дополнительные источники дохода. В первую очередь планируется инвестировать в такие сервисы, как Pocket, VPN, хабы, Web Assembly, а также продукты связанные с безопасностью и защитой конфиденциальности. Дополнительно для поддержки этих продуктов будут созданы новые команды, отвечающие за дизайн ("Design and UX team") и применение методов машинного обучения (Machine Learning team).

Firefox продолжит быть флагманским продуктом, но его развитие будет сосредоточено на функциональности для пользователей, ценой сокращения инвестирования в разработку таких возможностей, как инструменты для web-разработчиков, внутренний инструментарий и наращивание функциональности платформы. Смежные возможности, связанные с безопасностью и приватностью, будут переданы в команду "Products and Operations team", отвечающую за разработку новых продуктов. Также будут пересмотрены методы взаимодействия компании с сообществом, нацеленные на более активное привлечение волонтёров.

Дополнение 1: Под увольнения попала вся команда реагирования на угрозы (Threat management team), занимавшаяся выявлением и разбором инцидентов, а также часть команды Security team. Увольнения затронули команду Mozilla Research, занимавшуюся разработкой движка Servo, написанного на языке Rust. Уволены все сотрудники из команды MDN (Mozilla Developer Network).

Дополнение 2: Запущен проект Mozilla Lifeboat, на котором различные IT-компании предлагают свои вакансии для уволенных сотрудников Mozilla. К инициативе присоединились в том числе такие компании, как Red Hat, Google, Facebook, Apple, GitHub и Amazon.

Дополнение 3: По неофициальным данным в ноябре договор между Mozilla и Google о передаче поискового трафика будет продлён, что позволит на очередные три года обеспечить относительную финансовую стабильность Mozilla. Сделка с Google приносит примерно 400 млн долларов в год, что составляет 75-95% от дохода Mozilla.

  1. OpenNews: На фоне реструктуризации из Mozilla уволено 70 сотрудников
  2. OpenNews: Проект Tor объявил о значительном сокращении сотрудников
  3. OpenNews: Mozilla увольняет 50 сотрудников, занимавшихся разработкой Firefox OS
  4. OpenNews: Реорганизация Mozilla Foundation, через создание коммерческой корпорации.
  5. OpenNews: Компания Mozilla опубликовала финансовый отчёт за 2018 год
Обсуждение (423 –39) | Тип: К сведению |
11.08.2020 Атака на пользователей Tor, в которую вовлечено четверть мощности выходных узлов (165 +25)
  Автор проекта OrNetRadar, занимающегося мониторингом подключения новых групп узлов к анонимной сети Tor, опубликовал отчёт о выявлении крупного оператора вредоносных выходных узлов Tor, который пытается манипулировать трафиком пользователей. В соответствии с приведённой статистикой 22 мая было зафиксировано подключение к сети Tor большой группы вредоносных узлов, в результате которого атакующие получили контроль над трафиком, охватывающим 23.95% от всех обращений через выходные узлы.

В пик своей активности вредоносная группа насчитывала около 380 узлов. Связав узлы на основе контактных email, указанных на серверах с вредоносной активностью, исследователям удалось выявить как минимум 9 разных кластеров вредоносных выходных узлов, действующих около 7 месяцев. Разработчики Tor попытались заблокировать вредоносные узлы, но атакующие быстро восстановили свою активность. В настоящее время число вредоносных узлов снизилось, но через них по-прежнему проходит более 10% трафика.

Из зафиксированной на вредоносных выходных узлах активности отмечается выборочное удаление перенаправлений на HTTPS-варианты сайтов при изначальном обращении к ресурсу без шифрования по HTTP, что позволяет злоумышленникам перехватывать содержимое сеансов без подмены TLS-сертификатов (атака "ssl stripping"). Подобный подход срабатывает у пользователей, которые набирают адрес сайта без явного указания "https://" перед доменом и после открытия страницы не акцентируют внимание на название протокола в адресной строке Tor Browser. Для защиты от блокирования перенаправления на HTTPS сайтам рекомендуется использовать HSTS preloading.

Для затруднения выявления вредоносной активности подмена осуществляется выборочно на отдельных сайтах, в основном связанных с криптовалютами. Если в незащищённом трафике выявляется bitcoin-адрес, то в трафик вносятся изменения для замены bitcoin-адреса и перенаправления транзакции на свой кошелёк. Вредоносные узлы размещаются у провайдеров, пользующихся популярностью при размещении нормальных узлов Tor, таких как OVH, Frantech, ServerAstra и Trabia Network.

  1. OpenNews: Представлен Tor2web 2.0, проект по созданию анонимных web-сервисов на базе технологий Tor
  2. OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim
  3. OpenNews: Выпуск новой стабильной ветки Tor 0.4.2
  4. OpenNews: Новый вид теоретической атаки по деанонимизации в Tor
  5. OpenNews: Предупреждение об атаках на Tor Browser с применением неисправленной уязвимости
Обсуждение (165 +25) | Тип: Проблемы безопасности |
10.08.2020 Плачевная ситуация с безопасностью спутникового интернета (133 +35)
  На прошедшей конференции Black Hat был представлен доклад, посвящённый проблемам с безопасностью в системах спутникового доступа к интернету. Автор доклада, используя недорогой DVB-приёмник, продемонстрировал возможность перехвата интернет-трафика, передаваемого через спутниковые каналы связи.

Клиент может подключаться к провайдеру спутниковой связи через асимметричные или симметричные каналы. В случае асимметричного канала исходящий трафик от клиента отправляется через наземного провайдера, а принимается через спутник. В симметричных каналах исходящий и входящий трафик проходит через спутник. Адресованные клиенту пакеты отправляются со спутника с использованием широковещательной передачи, включающей трафик разных клиентов, независимо от их территориального размещения. Подобный трафик перехватить не составило труда, но перехватить отправляемый через спутник исходящий от клиента трафик оказалось не так просто.

Для обмена данными между спутником и провайдером обычно используется сфокусированная передача, требующая чтобы атакующий находился в нескольких десятках километров от инфраструктуры провайдера, а также применяются иной частотный диапазон и форматы кодирования, анализ которых требует наличия дорогого провайдерского оборудования. Но даже если провайдер использует обычный Ku-диапазон, как правило частоты для разных направлений отличаются, что требует для перехвата в обоих направлениях применения второй спутниковой тарелки и решения задачи синхронизации потоков.

Предполагалось, что для организации перехвата спутниковых коммуникаций необходимо спецоборудование, которое стоит десятки тысяч долларов, но на деле подобную атаку удалось реализовать при помощи обычного DVB-S тюнера для спутникового телевидения (TBS 6983/6903) и параболической антенны. Общая стоимость набора для атаки составила приблизительно 300 долларов. Для направления антенны на спутники использовалась общедоступная информация о расположении спутников, а для обнаружения каналов связи применялось типовое приложение, предназначенное для поиска спутниковых телеканалов. Антенна направлялась на спутник и запускался процесс сканирования Ku-диапазона.

Каналы идентифицировались через определение пиков в радиочастотном спектре, заметных на фоне общего шума. После выявления пика DVB-карта настраивалась на интерпретацию и запись сигнала как обычной цифровой видеотрансляции для спутникового телевидения. При помощи пробных перехватов определялся характер трафика и отделялись интернет-данные от цифрового телевидения (применялся банальный поиск в выданном DVB-картой дампе по маске "HTTP", в случае нахождения которой считалось, что найден канал с интернет-данными).

Исследование трафика показало, что все проанализированные провайдеры спутникового интернета не применяют по умолчанию шифрование, что позволяет беспрепятственно прослушивать трафик. Примечательно, что предупреждения о проблемах с безопасностью спутникового интернета публиковались ещё 15 лет назад, но с тех пор ситуация не изменилась, несмотря на внедрение новых методов передачи данных. Переход на новый протокол GSE (Generic Stream Encapsulation) для инкапсуляции интернет-трафика и применение сложных систем модуляции, таких как 32-мерная амплитудная модуляция и APSK (Phase Shift Keying), не усложнили проведение атак, но стоимость оборудования для перехвата теперь снизилась с $50000 до $300.

Значительным недостатком при передаче данных через спутниковые каналы связи является очень большая задержка доставки пакетов (~700 ms), которая в десятки раз превышает задержки при отправке пакетов по наземным каналам связи. Данная особенность имеет два существенных негативных влияния на безопасность: нераспространённость VPN и незащищённость против спуфинга (подмены пакетов). Отмечается, что применение VPN замедляет передачу примерно на 90%, что с учётом самих по себе больших задержек делает VPN практически неприменимым со спутниковыми каналами.

Незащищённость от спуфинга объясняется тем, что атакующий может полностью прослушивать приходящий к жертве трафик, что позволяет определять идентифицирующие соединения номера последовательностей в TCP-пакетах. При отправке поддельного пакета через наземный канал он практически гарантировано придёт раньше реального пакета, передаваемого по спутниковому каналу с большими задержками и дополнительно проходящего через транзитного провайдера.

Наиболее лёгкой целью для атак на пользователей спутниковых сетей является DNS-трафик, незашифрованный HTTP и электронная почта, которые, как правило, используются клиентами без шифрования. Для DNS легко организовать отправку фиктивных DNS-ответов, привязывающих домен к серверу атакующего (атакующий может сгенерировать фиктивный ответ сразу после того как подслушал в трафике запрос, в то время как реальный запрос ещё должен пройти через провайдера, обслуживающего спутниковый трафик). Анализ почтового трафика позволяет перехватывать конфиденциальную информацию, например, можно инициировать процесс восстановления пароля на сайте и подсмотреть в трафике отправленное по email сообщение с кодом подтверждения операции.

В ходе эксперимента было перехвачено около 4 ТБ данных, передаваемых 18 спутниками. Использованная конфигурация в определённых ситуациях не обеспечивала надёжного перехвата соединений из-за низкого соотношения сигнал-шум и получения неполных пакетов, но собираемой информации оказалось достаточно для компрометации. Некоторые примеры того, что удалось найти в перехваченных данных:

  • Перехвачена передаваемая на самолёты навигационная информация и другие данные авионики. Данные сведения не только передавались без шифрования, но и в одном канале с трафиком общей бортовой сети, через которую пассажиры отправляют почту и просматривают сайты.
  • Перехвачена сессионная Cookie администратора ветрогенератора на юге Франции, подключившегося к системе управления без шифрования.
  • Перехвачен обмен информацией о технических проблемах на египетском нефтяном танкере. Кроме сведений о том, что судно не сможет около месяца выйти в море, были получена данные об имени и номере паспорта инженера, ответственного за устранение неполадки.
  • Круизный лайнер передавал конфиденциальную информацию о своей локальной сети на базе Windows, включая данные о подключении, хранимые в LDAP.
  • Испанский юрист отправил клиенту письмо с деталями о предстоящем деле.
  • В ходе перехвата трафика к яхте греческого миллиардера был перехвачен отправленный по email пароль восстановления учётной записи в сервисах Microsoft.


  1. OpenNews: История о нарушении GPL провайдерами спутникового телевидения
  2. OpenNews: Атака на микрофоны систем голосового управления при помощи лазера
  3. OpenNews: Техника воссоздания речи через анализ вибрации лампы в подвесном светильнике
  4. OpenNews: Проект по созданию полностью открытого устройства для приема ТВ-каналов
  5. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
Обсуждение (133 +35) | Тип: Проблемы безопасности |
09.08.2020 Доступен Akira, новый векторный графический редактор для Linux (145 +41)
  Опубликованы первые тестовые выпуски редактора векторной графики Akira, ориентированного на использование графическими дизайнерами и web-дизайнерами для создания макетов интерфейсов. Программа написана на языке Vala с использованием библиотеки GTK и распространяется под лицензией GPLv3. Сборки подготовлены в форме пакетов для elementary OS и в универсальных форматах snap и flatpak. Интерфейс спроектирован в соответствии с рекомендациями, подготовленными проектом elementary OS, и сфокусирован на высокой производительности, интуитивной понятности и современном внешнем виде.

Конечной целью проекта является создание профессионального инструмента для дизайнеров интерфейсов, чем то похожего на Sketch, Figma или Adobe XD, но сосредоточенного на использовании Linux в качестве основной платформы. В отличие от Glade и Qt Creator новый редактор не предназначен для генерации кода или рабочих интерфейсов с использованием определённых тулкитов, а нацелен на решение более общих задач, таких как создание макетов интерфейса, визуализиации и векторной графики. Akira не пересекается с Inkscape так как Inkscape в основном ориентирован на печатный дизайн, а не на разработку интерфейсов, и также отличается подходом к организации рабочего процесса.

Из особенностей Akira отмечается представление каждой фигуры, как отдельного контура с двумя уровнями редактирования: первый уровень (редактирование фигуры) включается при выделении и предоставляет средства для типовых трансформаций, таких как вращение, изменение размера и т.п. Второй уровень (редактирование контура) позволяет перемещать, добавлять и удалять узлы контура фигуры, используя кривые Безье, а также замыкать или разрывать контуры. Для сохранения файлов в Akira применяется собственный формат ".akira", представляющий собой zip-архив с SVG-файлами и локальным git-репозиторием с изменениями. Поддерживается экспорт изображений в SVG, JPG, PNG и PDF.

  1. OpenNews: Выпуск редактора векторной графики Inkscape 1.0
  2. OpenNews: Выпуск экспериментального векторного графического редактора VPaint 1.7
  3. OpenNews: Выпуск векторного графического редактора sK1 2.0RC2
  4. OpenNews: Объявлено о скором открытии кода векторного графического редактора Gravit
  5. OpenNews: Началось альфа-тестирование векторного графического редактора Skencil 1.0
Обсуждение (145 +41) | Тип: Программы |
08.08.2020 Новый вариант атаки Foreshadow, затрагивающий процессоры Intel, AMD, ARM и IBM (135 +42)
  Группа исследователей из Грацского технического университета (Австрия) и Центра Гельмгольца по информационной безопасности (CISPA), выявила (PDF) новый вектор применения атаки по сторонним каналам Foreshadow (L1TF), позволяющей извлечь данные из памяти анклавов Intel SGX, SMM (System Management Mode), областей памяти ядра ОС и виртуальных машин в системах виртуализации. В отличие от предложенной в 2018 году изначальной атаки Foreshadow новый вариант не специфичен для процессоров Intel и затрагивает CPU других производителей, таких как ARM, IBM и AMD. Кроме того, новый вариант не требует высокой производительности и атака может быть осуществлена даже при помощи запуска JavaScript и WebAssembly в web-браузере.

Атака Foreshadow пользуется тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault), процессор спекулятивно рассчитывает физический адрес и загружает данные, если они имеются в L1-кэше. Спекулятивное обращение выполняется до завершения перебора таблицы страниц памяти и независимо от состояния записи в таблице страниц памяти (PTE), т.е. до проверки наличия данных в физической памяти и их доступности для чтения. После завершения проверки доступности памяти, в случае отсутствия флага Present в PTE операция отбрасывается, но данные оседают в кэше и их можно извлечь при помощи методов определения содержимого кэша по сторонним каналам (через анализ изменения времени доступа к прокэшированным и не прокэшированным данным).

Исследователи показали, что имеющиеся методы защиты от Foreshadow неэффективны и реализованы с неверной трактовкой проблемы. Уязвимость Foreshadow может быть эксплуатирована независимо от применения в ядре механизмов защиты, которые ранее считались достаточными. В итоге исследователями была продемонстрирована возможность совершения атаки Foreshadow в системах с относительно старыми ядрами, в которых включены все имеющиеся режимы защиты от Foreshadow, а также с новыми ядрами, в которых отключена только защита от Spectre-v2 (используется опция ядра Linux nospectre_v2).

Было обнаружено, что эффект упреждающей загрузки не связан с программными инструкциями prefetch или аппаратным эффектом упреждающей загрузки в процессе доступа к памяти, а возникает при спекулятивном разыменовании регистров пространства пользователя в ядре. Подобное неверное толкование причины возникновения уязвимости изначально привело к предположению, что утечка данных в Foreshadow может произойти только через кэш L1, в то время как наличие в ядре определённых отрывков кода (prefetch-гаджетов) может способствовать утечке данных вне L1-кэша, например, в кэш L3.

Выявленная особенность также открывает возможности по созданию новых атак, нацеленных на процессы трансляции виртуальных адресов в физические в изолированных окружениях и определение адресов и данных, сохранённых в регистрах CPU. В качестве демонстраций исследователи показали возможность использования выявленного эффекта для извлечения данных из одного процесса в другой с производительностью около 10 бит в секунду на системе с CPU Intel Core i7-6500U. Также показана возможность утечки содержимого регистров из анклава Intel SGX (на определение 32-разрядного значения, записанного в 64-разрядный регистр ушло 15 минут). Некоторые виды атак оказалось возможным реализовать на JavaScript и WebAssembly, например, удалось определить физический адрес JavaScript-переменной и заполнить 64-разрядные регистры значением, контролируемым атакующим.

Для блокирования атаки Foreshadow через кэш L3 эффективен метод защиты Spectre-BTB (Branch Target Buffer), реализованный в наборе патчей retpoline. Таким образом, исследователи считают необходимым оставить retpoline включённым даже на системах с новыми CPU, в которых уже имеется защита от известных уязвимостей в механизме спекулятивного выполнения инструкций CPU. При этом представители Intel заявили, что не планируют добавлять в процессоры дополнительные меры защиты от Foreshadow и считают достаточным включения защиты от атак Spectre V2 и L1TF (Foreshadow).

  1. OpenNews: LVI - новый класс атак на механизм спекулятивного выполнения в CPU
  2. OpenNews: L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel
  3. OpenNews: Выявлен новый вариант атаки Zombieload на процессоры Intel
  4. OpenNews: L1DES (CacheOut) и VRS - новые уязвимости в микроархитектурных структурах CPU Intel
  5. OpenNews: Две атаки на механизм предсказания каналов кэша в процессорах AMD
Обсуждение (135 +42) | Тип: Проблемы безопасности |
08.08.2020 Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI (412 +36)
  Китай внедрил блокировку всех HTTPS-соединений, в которых используется протокол TLS 1.3 и TLS-расширение ESNI (Encrypted Server Name Indication), обеспечивающее шифрование данных о запрашиваемом хосте. Блокировка осуществляется на транзитных маршрутизаторах как для соединений, устанавливаемых из Китая во внешний мир, так и из внешнего мира в Китай.

Для блокировки выполняется отбрасывание пакетов от клиента к серверу, а не подстановка пакетов с флагом RST, которая ранее выполнялась при выборочной блокировке по содержимому SNI. После срабатывания блокировки пакета с ESNI в течение от 120 до 180 секунд также блокируются все сетевые пакеты, соответствующие связке из исходного IP, целевого IP и номера порта назначения. HTTPS-соединения на основе старых версий TLS и TLS 1.3 без ESNI пропускаются как обычно.

Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

Новое TLS-расширение ECH (ранее ESNI), которое может применяться совместно с TLS 1.3, устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. Системы инспектирования трафика будут видеть только обращения к CDN и не смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

Исследователи уже выявили несколько обходных путей для преодоления китайской блокировки на стороне клиента и сервера, но они могут потерять актуальность и их следует рассматривать лишь как временную меру. Например, в настоящее время блокируются только пакеты с идентификатором расширения ESNI 0xffce (encrypted_server_name), который использовался в пятой версии черновика стандарта, но пока пропускаются пакеты с актуальным идентификатором 0xff02 (encrypted_client_hello), предложенным в седьмом черновике спецификации ECH.

Другим вариантом обхода является использование нестандартного процесса согласования соединения, например, блокировка не срабатывает при предварительной отправке дополнительного SYN-пакета с неверным номером последовательности, манипуляциями с флагами фрагментирования пакетов, отправке пакета с одновременно выставленными флагами FIN и SYN, подстановке RST-пакета с некорректной контрольной суммой или отправке до начала согласования соединения пакета с флагами SYN и ACK. Описанные методы уже реализованы в форме плагина к инструментарию Geneva, развиваемого для обхода методов цензурирования.

  1. OpenNews: Опубликован RFC для TLS 1.3
  2. OpenNews: Проект Geneva развивает движок для автоматизации обхода цензурирования трафика
  3. OpenNews: В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
  4. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
  5. OpenNews: В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике
Обсуждение (412 +36) | Тип: К сведению |
08.08.2020 Facebook представил Pysa, статический анализатор для языка Python (68 +6)
  Facebook представил открытый статический анализатор Pysa (Python Static Analyzer), предназначенный для выявления потенциальных уязвимостей в коде на языке Python. Новый анализатор оформлен в виде надстройки над инструментарием для проверки типов Pyre и размещён в его репозитории. Код опубликован под лицензией MIT.

Pysa обеспечивает анализ потоков данных в результате выполнения кода, что позволяет выявлять многие потенциальные уязвимости и проблемы с конфиденциальностью, связанные с использованием данных в тех местах, где они не должны фигурировать. Например, Pysa может отследить использование неочищенных внешних данных в вызовах, приводящих к запуску внешних программ, в файловых операциях и в конструкциях SQL.

Работа анализатора сводится к определению источников поступления данных и опасных вызовов, в которых исходные данные не должны применяться. В качестве источника рассматриваются данные из web-запросов (например, словарь HttpRequest.GET в Django), а в качестве опасных применений вызовы типа eval и os.open. Pysa отслеживает прохождение данных по цепочке вызовов функций и связывает исходные данные с потенциально опасными местами в коде. В качестве типовой уязвимости, выявленной при помощи Pysa, упоминается проблема с открытым редиректом (CVE-2019-19775) в платформе обмена сообщениями Zulip, вызванная передачей неочищенных внешних параметров при выводе миниатюр.

Возможности Pysa по отслеживанию потоков данных могут применяться для проверки корректности использования дополнительных фреймворков и для определения соответствия политики использования данных пользователя. Например, Pysa без дополнительных настроек может применяться для проверки проектов, использующих фреймворки Django и Tornado. Pysa также может выявлять типовые уязвимости в web-приложениях, такие как подстановка SQL-кода и межсайтовый скриптинг (XSS).

В Facebook анализатор применяется для проверки кода сервиса Instagram. За первый квартал 2020 года Pysa помог выявить 44% из всех проблем, найденных инженерами Facebook в серверной кодовой базе Instagram. Всего в процессе автоматизированной проверки изменений при помощи Pysa было выявлено 330 проблем, 49 (15%) из которых были оценены как значительные, а 131 (40%) неопасные. В 150 случаях (45%) проблемы были отнесены к ложным срабатываниям.

  1. OpenNews: Выпуск Psalm 3.12, статического анализатора для языка PHP. Альфа выпуск PHP 8.0
  2. OpenNews: Yandex опубликовал статический анализатор файлов конфигурации nginx
  3. OpenNews: Facebook открыл RacerD, статический анализатор для многопоточного кода на Java
  4. OpenNews: Релиз свободного статического анализатора кода frama-clang 0.0.5
  5. OpenNews: Релиз статического анализатора cppcheck 2.1
Обсуждение (68 +6) | Тип: Программы |
07.08.2020 Уязвимость в чипах Qualcomm и MediaTek, позволяющая перехватить часть трафика WPA2 (41 +22)
  Исследователи из компании Eset выявили новый вариант (CVE-2020-3702) уязвимости Kr00k, применимый к беспроводным чипам Qualcomm и MediaTek. Как и первый вариант, которому были подвержены чипы Cypress и Broadcom, новая уязвимость позволяет дешифровать перехваченный Wi-Fi трафик, защищённый с использованием протокола WPA2.

Напомним, что уязвимость Kr00k вызвана некорректной обработкой ключей шифрования при отсоединении (диссоциации) устройства от точки доступа. В первом варианте уязвимости при отсоединении выполнялось обнуление сессионного ключа (PTK), хранимого в памяти чипа, так как дальнейшая отправка данных в текущем сеансе производиться не будет. При этом оставшиеся в буфере передачи (TX) данные шифровались уже очищенным ключом, состоящим только из нулей и, соответственно, могли быть легко расшифрованы при перехвате. Пустой ключ применяется только к остаточным данным в буфере, размер которого составляет несколько килобайт.

Ключевым отличием второго варианта уязвимости, проявляющейся в чипах Qualcomm и MediaTek, является то, что вместо шифрования нулевым ключом данные после диссоциации передаются вообще не зашифрованными, несмотря на то, что флаги шифрования устанавливаются. Из протестированных на наличие уязвимости устройств на базе чипов Qualcomm отмечены D-Link DCH-G020 Smart Home Hub и открытый маршрутизатор Turris Omnia. Из устройств на базе чипов MediaTek протестирован маршрутизатор ASUS RT-AC52U и IoT-решения на базе Microsoft Azure Sphere, использующие микроконтроллер MediaTek MT3620.

Для эксплуатации обоих вариантов уязвимостей атакующий может отправить специальные управляющие кадры, вызывающие диссоциацию, и перехватить отправляемые следом данные. Диссоциация обычно применяется в беспроводных сетях для переключения с одной точки доступа на другую во время роуминга или при потере связи с текущей точкой доступа. Диссоциацию можно вызвать отправкой управляющего кадра, который передаётся в незашифрованном виде и не требует аутентификации (атакующему достаточно достижимости Wi-Fi сигнала, но не требуется подключение к беспроводной сети). Проведение атаки возможно как при обращении уязвимого клиентского устройства к неуязвимой точке доступа, так и в случае обращения не подверженного проблеме устройства к точке доступа, на которой проявляется уязвимость.

Уязвимость затрагивает шифрование на уровне беспроводной сети и позволяет проанализировать лишь устанавливаемые пользователем незащищённые соединения (например, DNS, HTTP и почтовый трафик), но не даёт возможность скомпрометировать соединения с шифрованием на уровне приложения (HTTPS, SSH, STARTTLS, DNS over TLS, VPN и т.п.). Опасность атаки также снижает то, что за раз атакующий может расшифровать только несколько килобайтов данных, которые находились во время отсоединения в буфере передачи. Для успешного захвата отправляемых через незащищённое соединение конфиденциальных данных, атакующий либо должен точно знать момент их отправки, либо постоянно инициировать отсоединение от точки доступа, что бросится в глаза пользователю из-за постоянных перезапусков беспроводного соединения.

Проблема устранена в июльском обновлении проприетарных драйверов к чипам Qualcomm и в апрельском обновлении драйверов для чипов MediaTek. Исправление для MT3620 было предложено в июле. О включении исправлений в свободный драйвер ath9k у выявивших проблему исследователей информации нет. Для тестирования устройств на подверженность обоих вариантов уязвимости подготовлен скрипт на языке Python.


Дополнительно можно отметить выявление исследователями из компании Сheckpoint шести уязвимостей в DSP-чипах Qualcomm, которые применяются на 40% смартфонов, включая устройства от Google, Samsung, LG, Xiaomi и OnePlus. До устранения проблем производителями детали об уязвимостях не сообщаются. Так как DSP-чип представляет собой "чёрный ящик", который не может контролировать производитель смартфона, исправление может затянуться и потребует координации работ с производителем DSP-чипов.

DSP-чипы используются в современных смартфонах для совершения таких операций как обработка звука, изображений и видео, в вычислениях для систем дополненной реальности, компьютерного зрения и машинного обучения, а также в реализации режима быстрой зарядки. Среди атак, которые позволяют провести выявленные уязвимости, упоминаются: Обход системы разграничения доступа - незаметный захват данных, таких как фотографии, видео, записи звонков, данные с микрофона, GPS и т.п. Отказ в обслуживании - блокирование доступа ко всей сохранённой информации. Скрытие вредоносной активности - создание полностью незаметных и неудаляемых вредоносных компонентов.

  1. OpenNews: Уязвимость в Wi-Fi чипах Cypress и Broadcom, позволяющая расшифровать трафик
  2. OpenNews: Извлечение ключей устройств Qualcomm для атаки на зашифрованные разделы в Android
  3. OpenNews: Уязвимость в чипах Qualcomm, позволяющая извлечь закрытые ключи из хранилища TrustZone
  4. OpenNews: Уязвимость в чипах Qualcomm, позволяющая атаковать Android-устройство через Wi-Fi
  5. OpenNews: MediaTek пытается брать деньги за доступ к используемому в прошивках коду ядра Linux
Обсуждение (41 +22) | Тип: Проблемы безопасности |
07.08.2020 Утечка 20ГБ внутренней технической документации и исходных текстов Intel (207 +54)
  Тилли Котманн (Tillie Kottmann), разработчик для платформы Android из Швейцарии, ведущий Telegram-канал об утечках данных, опубликовал в открытом доступе 20 ГБ внутренней технической документации и исходных текстов, полученной в результате крупной утечки информации из компании Intel. Заявлено, что это первый набор из коллекции, переданной анонимным источником. Многие документы помечены как конфиденциальные, корпоративные секреты или распространяемые только по подписке о неразглашении.

Самые свежие документы датированы началом мая и включают информацию о новой серверной платформе Cedar Island (Whitley). Имеются также документы от 2019 года, например, описывающие платформу Tiger Lake, но большая часть информации датирована 2014 годом. Помимо документации в наборе также присутствует код, отладочные инструменты, схемы, драйверы, обучающие видео.

Некоторая информация из набора:

  • Руководства по Intel ME (Management Engine), утилиты для работы с flash и примеры для разных платформ.
  • Эталонная реализация BIOS для платформы Kabylake (Purley), примеры и код для инициализации (с историей изменений из git).
  • Исходные тексты Intel CEFDK (Consumer Electronics Firmware Development Kit).
  • Код FSP-пакетов (Firmware Support Package) и производственных схем различных платформ.
  • Различные утилиты для отладки и разработки.
  • Simics-симулятор платформы Rocket Lake S.
  • Различные планы и документы.
  • Бинарные драйверы для камеры Intel, изготовленной для SpaceX.
  • Схемы, документы, прошивки и инструменты для ещё не выпущенной платформы Tiger Lake.
  • Обучающие видео по Kabylake FDK.
  • Intel Trace Hub и файлы с декодировщиками для разных версий Intel ME.
  • Эталонная реализация платформы Elkhart Lake и примеры кода для поддержки платформы.
  • Описания аппаратных блоков на языке Verilog для разных платформ Xeon.
  • Отладочные сборки BIOS/TXE для разных платформ.
  • Bootguard SDK.
  • Симулятор процессов для Intel Snowridge и Snowfish.
  • Различные схемы.
  • Шаблоны маркетинговых материалов.

Компания Intel заявила, что начала разбирательство по поводу инцидента. По предварительным сведениям данные получены через информационную систему "Intel Resource and Design Center", на которой в ограниченном доступе размещается информация для клиентов, партнёров и других компаний, с которыми взаимодействует Intel. Наиболее вероятно, что сведения загрузил и опубликовал кто-то, имеющий доступ в данную информационную систему. Один из бывших сотрудников Intel высказал при обсуждении на Reddit свою версию, указав, что возможно утечка является следствием саботажа сотрудника или взлома одного из OEM-производителей материнских плат.

Аноним, передавший документы для публикации, указал, что данные были загружены из незащищённого сервера, размещённого в Akamai CDN, а не из Intel Resource and Design Center. Сервер был обнаружен случайно в ходе массового сканирования хостов с использованием nmap и был взломан через уязвимый сервис.

Некоторые издания упомянули возможное обнаружение бэкдоров в коде Intel, но данные заявления беспочвенны и основаны лишь на присутствии фразы "Save the RAS backdoor request pointer to IOH SR 17" в комментарии в одном из файлов с кодом. В контексте ACPI RAS обозначает "Reliability, Availability, Serviceability". Сам код выполняет обработку определения и коррекции ошибок памяти с сохранением результата в 17 регистр I/O hub, а не содержит "бэкдор" в понимании информационной безопасности.

Набор уже разошёлся по BitTorrent-сетям и доступен через магнитную ссылку. Размер zip-архива около 17 ГБ (пароли для разблокировки "Intel123" и "intel123").

Дополнительно можно отметить, что в конце июля Тилли Котманн опубликовал в публичном доступе содержимое репозиториев, полученных в результате утечек данных из около 50 компаний. В списке присутствуют такие компании, как Microsoft, Adobe, Johnson Controls, GE, AMD, Lenovo, Motorola, Qualcomm, Mediatek, Disney, Daimler, Roblox и Nintendo, а также различные банки, финансовые, автомобильные и туристические компании. Основным источником утечки стала некорректная настройка DevOps-инфраструктуры и хранение ключей доступа в публичных репозиториях. Большинство репозиториев было скопировано из локальных DevOps-систем на базе платформ SonarQube, GitLab и Jenkins, доступ к которым не был ограничен должным образом (в доступных через Web локальных экземплярах DevOps-платформ использовались настройки по умолчанию, подразумевающие возможность публичного доступа к проектам).

Кроме того, в начале июля в результате компрометации сервиса Waydev, используемого для формирования аналитических отчётов об активности в Git-репозиториях, произошла утечка базы данных, в том числе включавшей OAuth-токены для доступа к репозиториям на GitHub и GitLab. Подобные токены могли использоваться для клонирования приватных репозиториев клиентов Waydev. Захваченные токены впоследствии были использованы для компрометации инфраструктур dave.com и flood.io.

Дополнение 1: Разбор содержимого набора.

Дополнение 2: По информации на телеграм канале появилась новая порция утечки под версией 1.5, размером около 450 Мб, доступная через магнитную ссылку.

  1. OpenNews: Утечка 28 млн записей, используемых в платформе биометрической идентификации BioStar 2
  2. OpenNews: L1DES (CacheOut) и VRS - новые уязвимости в микроархитектурных структурах CPU Intel
  3. OpenNews: Уязвимость в чипсетах Intel, позволяющая извлечь корневой ключ платформы
  4. OpenNews: CROSSTalk - уязвимость в CPU Intel, приводящая к утечке данных между ядрами
  5. OpenNews: Удалённо эксплуатируемые уязвимости в подсистемах Intel AMT и ISM
Обсуждение (207 +54) | Тип: К сведению |
06.08.2020 Выпуск системной библиотеки Glibc 2.32 (45 +12)
  После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.32, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2017. В состав нового выпуска включены исправления от 67 разработчиков.

Из реализованных в Glibc 2.32 улучшений можно отметить:

  • Добавлена поддержка процессоров Synopsys ARC HS (ARCv2 ISA). Для работы порта требуется как минимум binutils 2.32, gcc 8.3 и ядро Linux 5.1. Поддерживается три варианта ABI arc-linux-gnu, arc-linux-gnuhf и arceb-linux-gnu (big-endian);
  • Реализована загрузка модулей аудита, указанных в секциях DT_AUDIT и DT_DEPAUDIT исполняемого файла.
  • Для архитектуры powerpc64le реализована поддержка типа IEEE128 long double, включаемая при сборке с опцией "-mabi=ieeelongdouble".
  • Некоторые API аннотированы с использованием GCC-атрибута 'access', позволяющего при компиляции в GCC 10 генерировать более качественные предупреждения при определении возможных переполнений буферов и других вариантов выхода за допустимые границы.
  • Для Linux-систем реализованы функции pthread_attr_setsigmask_np и pthread_attr_getsigmask_np, дающие приложению возможность указать маску сигнала для потоков, созданных при помощи pthread_create.
  • Данные кодировок, информация о типах символов и таблицы транслитерации обновлены для поддержки спецификации Unicode 13.0.0;
  • Добавлен новый заголовочный файл <sys/single_threaded.h>, определяющий переменную __libc_single_threaded, которую можно использовать в приложениях для однопоточных оптимизаций.
  • Добавлены функции sigabbrev_np и sigdescr_np, возвращающие сокращённое название и описание сигнала (например, "HUP" и Hangup" для SIGHUP).
  • Добавлены функции strerrorname_np и strerrordesc_np, возвращающие имя и описание ошибки (например, "EINVAL" и "Invalid argument" для EINVAL).
  • Для платформы ARM64 добавлен флаг "--enable-standard-branch-protection" (или -mbranch-protection=standard в GCC), задействующий механизм ARMv8.5-BTI (Branch Target Indicator) для защиты выполнения наборов инструкций, на которые не должны выполняться переходы при ветвлении. Блокирование переходов на произвольные участки кода реализовано для противодействия созданию гаджетов в эксплоитах, использующих приёмы возвратно-ориентированного программирования (ROP - Return-Oriented Programming, атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися кусками машинных инструкций, завершающихся инструкцией возврата управления, из которых выстраиваются цепочка вызовов для получения нужной функциональности).
  • Проведена большая чистка устаревших возможностей, в том числе удалены опции "--enable-obsolete-rpc" и "--enable-obsolete-nsl", заголовочный файл <sys/sysctl.h>. Объявлены устаревшими функции sstk, siginterrupt, sigpause, sighold, sigrelse, sigignore и sigset, массивы sys_siglist, _sys_siglist и sys_sigabbrev, символы sys_errlist, _sys_errlist, sys_nerr и _sys_nerr, NSS-модуль hesiod.
  • ldconfig по умолчанию переведён на использование нового формата ld.so.cache, который поддерживается в glibc уже почти 20 лет.
  • Устранены уязвимости:
    • CVE-2016-10228 - зацикливание в утилите iconv, проявляющееся при запуске с опцией "-c", в случае обработки некорректных многобайтовых данных.
    • CVE-2020-10029 - повреждение стека при вызове тригонометрических функций с псевдонулевым аргументом.
    • CVE-2020-1752 - обращение к области памяти после её освобождения (use-after-free) в функции glob при раскрытии ссылки на домашний каталог ("~user") в путях.
    • CVE-2020-6096 - некорректная обработка на платформе ARMv7 отрицательных значений параметра в memcpy() и memmove(), определяющего размер копируемой области. Позволяет организовать выполнение кода при обработке в функциях memcpy() и memmove() определённым образом оформленных данных. Показательно, что проблема оставалась неисправленной почти два месяца с момента публичного раскрытия информации и пять месяцев с момента уведомления разработчиков Glibc.

  1. OpenNews: Выпуск стандартной Си-библиотеки Musl 1.1.17 с устранением уязвимости
  2. OpenNews: Microsoft открыл код стандартной библиотеки С++, поставляемой в Visual Studio
  3. OpenNews: Выпуск системной библиотеки Glibc 2.31
  4. OpenNews: Критическая уязвимость в реализации функции memcpy для ARMv7 из состава Glibc
  5. OpenNews: Разработчики из Google предложили разработать свою libc для LLVM
Обсуждение (45 +12) | Тип: Программы |
06.08.2020 Релиз Ubuntu 20.04.1 LTS (211 +36)
  Компания Canonical представила первый корректирующий выпуск дистрибутива Ubuntu 20.04.1 LTS, в который включены обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. В новой версии также исправлены ошибки в инсталляторе и загрузчике. Релиз Ubuntu 20.04.1 ознаменовал прохождение базовой стабилизации LTS-выпуска - пользователям Ubuntu 18.04 теперь будет предложено осуществить обновление до ветки 20.04.

Одновременно представлены аналогичные обновления Ubuntu Budgie 20.04.1 LTS, Kubuntu 20.04.1 LTS, Ubuntu MATE 20.04.1 LTS, Ubuntu Studio 20.04.1 LTS, Lubuntu 20.04.1 LTS, Ubuntu Kylin 20.04.1 LTS и Xubuntu 20.04.1 LTS. Использовать представленные сборки имеет смысл только для новых установок, системы, установленные ранее, могут получить все присутствующие в Ubuntu 20.04.1 изменения через штатную систему установки обновлений. Поддержка выпуска обновлений и исправлений проблем безопасности для серверной и десктоп редакций Ubuntu 20.04 LTS продлится до апреля 2025 года.

Из наиболее существенных изменений можно отметить:

  • Внесены оптимизации производительности. В zfs-linux бэкпортирована поддержка аппаратного ускорения AES-GCM.
  • В центре управления GNOME предложено новое оформление диалога настройки аутентификации по отпечаткам пальцев.
  • Добавлена поддержка VPN Wireguard.
  • Ядро Linux для OEM-поставок обновлено до ветки 5.6 (в Ubuntu 20.04 поставляется 5.4).
  • Для новых ноутбуков HP добавлена поддержка светодиодного индикатора отключения звука.
  • Добавлена поддержка серверной серии проприетарных драйверов NVIDIA.
  • В инсталляторе включена поддержка ZFS autotrim. В live-build добавлена поддержка riscv64.
  • Обновлены версии пакетов libreoffice (6.4.4), GNOME (3.36.2), snapd, evince, golang-1.14, curtin, nautilus, gedit, gnome-control-center, evolution-data-server, mutter, gnome-software, shotwell, netplan.io, OpenStack Ussuri, cloud-init, open-vm-tools, gtk+3.0, ceph, sosreport, libgphoto2.

Интеграция новой версии ядра, драйверов и компонентов графического стека ожидается в запланированном на февраль выпуске Ubuntu 20.04.2, так как данные компоненты будут импортированы из выпуска Ubuntu 20.10, который будет готов только осенью и потребует дополнительное время на тестирование.

  1. OpenNews: Из базовой поставки Ubuntu будет удалён компонент для отправки сведений о пакетах
  2. OpenNews: Поддержка CPU AMD EPYC Rome перенесена во все актуальные выпуски Ubuntu Server
  3. OpenNews: Утечка пароля от шифрованных разделов в логе инсталлятора Ubuntu Server
  4. OpenNews: Релиз дистрибутива Ubuntu 20.04 LTS
  5. OpenNews: Выпуск Ubuntu 18.04.4 LTS c обновлением графического стека и ядра Linux
Обсуждение (211 +36) | Тип: Программы |
06.08.2020 Джеффри Кнаут избран новым президентом Фонда СПО (261 +9)
  Фонд Свободного ПО объявил об избрании нового президента, после ухода с данного поста Ричарда Столлмана после обвинений в поведении, недостойном лидера движения СПО, и угроз разрыва отношений с СПО некоторых сообществ и организаций. Новым президентом стал Джеффри Кнаут (Geoffrey Knauth), входивший в совет директоров Фонда СПО с 1998 года и принимающий участие в работе проекта GNU с 1985 года.

Джеффри окончил Гарвардский университет со специализацией в области экономики, после чего посвятил свою деятельность компьютерным наукам, которые сейчас преподаёт в колледже Lycoming. Джеффри является сооснователем проекта GNU Objective-C. Кроме английского Джеффри владеет русским и французским языками, а также сносно говорит на немецком и немного на китайском языке. Из интересов также упоминается лингвистика (имеется работа по славянским языкам и литературе) и пилотирование.

Джеффри указал, что видит цель своей дальнейшей деятельности в оказании помощи сообществу в защите и развитии свободного ПО. Он также отметил важность поддержания здорового духа и разнообразия сообщества, так как различия жизненного опыта и мнений способствуют возникновению творчества и появлению новых идей. Движение СПО началось с энтузиазма, самоотверженности и преданности делу Ричарда Столлмана, но со временем сообщество выросло и теперь складывается из усилий и совместной работы тысяч людей по всему миру.

Джеффри призвал уважительно относиться друг к другу в случае разногласий и сообща вырабатывать наилучшие решения, а также помнить что объединяет и вдохновляет приверженцев СПО, так как это является важным для достижения намеченной цели. Он пообещал поддерживать честный диалог с сообществом и оказывать поддержку в стремлении обезопасить будущее СПО для грядущих поколений и сохранить постулаты, лежащие в основе движения СПО.

Фонд также объявил о включении в совет директоров нового участника - Одиль Бенасси (Odile Bénassy), французскую активистку, занимающуюся продвижением СПО. Одиль преподаёт математику, занимается исследованиями и разработкой ПО. В сообществе Одиль известна как лидер проекта GNU Edu. Отмечается, что Одиль стала первым директором Фонда из Европы.

  1. OpenNews: Столлман не допустит радикальных изменений в проекте GNU
  2. OpenNews: Мэйнтейнеры проектов GNU выступили против единоличного лидерства Столлмана
  3. OpenNews: Уход Столлмана с поста президента Фонда СПО не скажется на его руководстве проектом GNU
  4. OpenNews: Ричард Столлман покинул пост президента Фонда СПО
Обсуждение (261 +9) | Тип: К сведению |
Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру