The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.04.2017 Релиз языка программирования R 3.4 (24 +6)
  Представлен релиз языка программирования R 3.4 и связанного с ним программного окружения, ориентированного на решение задач по статистической обработке, анализу и визуализации данных. Для решения специфичных задач предлагается более 5000 пакетов-расширений. Базовая реализация языка R развивается в рамках проекта GNU и распространяется под лицензией GPL.

В новом выпуске представлено около 200 изменений, большая часть из которых связана с расширением возможностей существующих функций и реализацией новых функций и методов. По умолчанию задействован JIT-компилятор третьего уровня (функции компилируются при первом или втором использовании, а основные циклы вначале компилируются, а затем выполняются). Прекращена поддержка ОС IRIX и OSF/1, а также процессоров Alpha.

  1. OpenNews: Релиз языка программирования R 3.2
  2. OpenNews: В свободном доступе опубликована книга по языку программирования R
  3. OpenNews: Релиз языка программирования R 3.1
Обсуждение (24 +6) | Тип: Программы |
22.04.2017 Canonical тестирует новый инсталлятор для Ubuntu Server (55 +5)
  Началось тестирование Subiquity, нового инсталлятора для серверной редакции Ubuntu Linux, поддерживающего текстовый режим установки. Для тестирования пользователям предложены новые экспериментальные (Technology Preview) сборки Ubuntu Server 17.04. В настоящее время предоставляет только основные функции, расширенную функциональность планируется реализовать по мере развития проекта. Возможна автоматизированная установка по профилю конфигурации, определённому в формате JSON.

Обсуждение (55 +5) | Тип: Программы |
22.04.2017 Поучительный опыт информировния банков об уязвимостях (35 +27)
  Исследователь безопасности Уильям Энтрикен (William Entriken) поделился своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.

После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение.

В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя.

Обсуждение (35 +27) | Тип: Тема для размышления |
22.04.2017 Выпуск текстового редактора GNU Emacs 25.2 (39 +5)
  Состоялся релиз текстового редактора GNU Emacs 25.2, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года.

Основное внимание в GNU Emacs 25.2 было уделено исправлению ошибок. Из улучшений отмечается новый базовый тип шрифта 'fixed-pitch-serif', реализация переменной 'use-default-font-for-symbols' (включает методы выбора шрифтов, применяемые в версиях младше Emacs 25), прекращение поддержки режима 'electric-quote-mode', добавление переменной 'inhibit-compacting-font-caches' для ускорения работы со шрифтами за счёт кэширования в ОЗУ.

  1. OpenNews: Доступен релиз текстового редактора GNU Emacs 25.1
  2. OpenNews: Вышел Conkeror 1.0.0, Emacs-подобный браузер на движке Mozilla Gecko
  3. OpenNews: Столлман уступил место лидера проекта Emacs
  4. OpenNews: Оконный менеджер на основе Emacs
  5. OpenNews: Опыт по использованию Emacs вместо оконного менеджера
Обсуждение (39 +5) | Тип: Программы |
21.04.2017 Сбой в инфраструктуре привёл к недоступности серверов Red Hat, Fedora и GNOME (31 –2)
  Большинство сервисов Red Hat, включая RedHat Customer Portal, репозитории и сборочные серверы, уже более двух часов недоступны из-за сбоя в центре обработки данных. Кроме служб Red Hat также выведены из строя серверы и репозитории Fedora, GNOME, EPEL и некоторых других свободных проектов. Компания Red Hat подтвердила наличие проблемы и сообщила, что работает над восстановлением работы инфраструктуры. Подробности о характере сбоя и времени восстановления пока не приводятся.

Дополнение: Работа восстановлена. Проблемы наблюдались более 12 часов и были вызваны аварией на стороне сетевого подключения ЦОД.

Обсуждение (31 –2) | Тип: К сведению |
21.04.2017 Clang включен в базовую систему OpenBSD для платформ amd64 и i386 (48 +4)
  Разработчики OpenBSD добавили компилятор Clang в состав базовой системы для платформ amd64 и i386. Clang пока не используется по умолчанию, но теперь доступен из коробки наряду с GCC. Clang был интегрирован в кодовую базу OpenBSD ещё в прошлом году, но для использования требовал пересборки исходных текстов и предлагался лишь для архитектуры ARM64. Отныне в инфраструктуру сборки внесены изменения и Clang собирается и поставляется вместе с GCC для систем amd64 и i386.

  1. OpenNews: Выпуск OpenBSD 6.1
  2. OpenNews: LLVM и Clang включены в основной состав OpenBSD
  3. OpenNews: Выпуск OpenBSD 6.0
  4. OpenNews: FreeBSD-CURRENT переведён по умолчанию на Clang
  5. OpenNews: Clang включен в число системных компиляторов DragonFly BSD
Обсуждение (48 +4) | Тип: Программы |
20.04.2017 Проект по реализации глобального меню для GNOME Shell (84 +10)
  Группа разработчиков, привыкших к окружению Unity, после прекращения поддержки данной оболочки компанией Canonical, возродила проект по разработке дополнения к GNOME Shell с реализацией глобального меню, при котором меню программы переносится из локального окна на общую системную панель. Подготовленное дополнение повторяет по своим возможностям меню Unity и использует для взаимодействия с приложением протокол AppMenu, поддерживая работу обычных GTK-модулей и развивавшихся проектом Unity исправлений для работы дополнительных приложений.

Дополнение снабжено конфигуратором, позволяющим настраивать различные аспекты своей работы, такие как горячие клавиши и эффекты. Для интеграции глобального меню в приложения на Java Swing присутствует экспериментальная поддержка JAyatana.

  1. OpenNews: Первый стабильный выпуск рабочего стола Lumina
  2. OpenNews: Представлены дисплейный сервер Arcan и десктоп-окружение Durden
  3. OpenNews: Доступен для тестирования прототип глобального меню Ubuntu 10.10
  4. OpenNews: Реализация глобального меню для GNOME и KDE
  5. OpenNews: В KDE 4.10 появится поддержка глобального меню
Обсуждение (84 +10) | Тип: Программы |
20.04.2017 Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL) (7 +3)
  В развиваемой компанией ARM криптографической библиотеке MbedTLS (бывший PolarSSL) выявлена критическая уязвимость (CVE-2017-2784), которая может привести к удалённому выполнению кода при обработке специально оформленного сертификата x509. Уязвимость устранена в выпуске MbedTLS 2.4.2.

Проблема вызвана ошибкой в коде обработки криптографических ключей на базе эллиптических кривых secp224k1. Атакующий может сформировать публичный ключ и сертификат x509, при проверке ключа которым будет очищен указатель стека, что может быть использовано для организации атаки. Уязвимость может быть эксплуатирована со стороны клиента и сервера. На современных стационарных системах вероятность эксплуатации невелика, но на встраиваемых платформах, на которые и ориентирован MbedTLS, из-за отсутствия средств для защиты кучи, атака вполне может быть доведена до выполнения кода злоумышленника (имеется прототип эксплоита).

  1. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
  2. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  3. OpenNews: Представлен релиз легковесной криптографической библиотеки PolarSSL 1.0.0
  4. OpenNews: Проект PolarSSL перешел в руки компании ARM
  5. OpenNews: Критическая уязвимость в криптографической библиотеке PolarSSL
Обсуждение (7 +3) | Тип: Проблемы безопасности |
20.04.2017 Выпуск GNU Guile 2.2.1 с поддержкой режима sandbox-изоляции (13 +3)
  Спустя месяц с момента формирования прошлого значительного выпуска представлен релиз проекта GNU Guile 2.2.1, в рамках которого развивается свободная реализация функционального языка программирования Scheme, поддерживающая возможность встраивания кода в приложения на других языках программирования. Особенностью новой версии является реализация режима sandbox-изоляции, позволяющего запустить код из не заслуживающих доверия источников в специальном изолированном окружении. В компилятор и runtime также внесены изменения, которые гарантируют, что попытки мутировать литералы-константы всегда будут приводить к генерации исключения (ранее имелась возможность изменить значение констант, объявленных только для чтения).

  1. OpenNews: Доступен GNU Guile 2.2
  2. OpenNews: Уязвимость в Guile, затрагивающая программы, привязанные к localhost
  3. OpenNews: Релиз GNU Make 4.0 с поддержкой расширений на языке GNU Guile
  4. OpenNews: Компилятор на базе GNU Guile достиг совместимости с приложениями на Emacs-Lisp
  5. OpenNews: Увидел свет GNU Guile 2.0
Обсуждение (13 +3) | Тип: Программы |
19.04.2017 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (14 +5)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 299 уязвимостей. Выпуск примечателен необычно низким числом уязвимостей в Java, всплеском уязвимостей в MySQL и исправлением проблемы наивысшего уровня опасности в Solaris.

В выпуске Java SE 8u131 устранено 8 проблем с безопасностью, 7 из которых могут быть эксплуатированы удалённо без проведения аутентификации. Впервые за последние годы, ни одной уязвимости не присвоен критический уровень опасности (CVSS Score 9 и выше). Четыре проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и четыре затрагивают как клиентов, так и серверные конфигурации Java. Внимание, начиная с апрельского обновления прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов - все JAR-файлы с MD5 теперь считаются неподписанными.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 25 уязвимостей в MySQL (максимальный уровень опасности 7.7). Проблемы устранены в выпусках MySQL Community Server 5.7.18, 5.6.36 и 5.5.56.
  • 10 уязвимостей в Solaris (максимальный уровень опасности 10). В обновлении устранена критическая уязвимость (CVE-2017-3623) в Kernel RPC позволяющая удалённо получить контроль над системой через отправку специально оформленного RPC-запроса. Исправление касается 0-day уязвимости "Ebbisland" в Solaris, о которой стало известно после публикации коллекции эксплоитов АНБ. Опубликованный эксплоит поражает системы Solaris 10, для которых не устанавливались патчи ядра с 2012-01-26. Solaris 11 проблеме не подвержен. Кроме того, две уязвимости устранены в RBAC (уровень опасности 8.2 и 7.9), одна в CDE (Common Desktop Environment) и две в сетевом драйвере для Kernel Zones.
  • 9 уязвимостей в VirtualBox (максимальная степень опасности 8.8). Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.0.38 и 5.1.20.

  1. OpenNews: Опубликована редакция Oracle Linux для архитектуры SPARC
  2. OpenNews: Компания Oracle опубликовала план разработки Solaris и SPARC
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Обсуждение (14 +5) | Тип: Проблемы безопасности |
19.04.2017 Релиз дистрибутива Tails 2.12 и браузера Tor Browser 6.5.2 (21 +7)
  Доступен релиз специализированного дистрибутива Tails (The Amnesic Incognito Live System) 2.12 основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование.Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 Гб.

В состав нового выпуска включено приложение GNOME Sound Recorder, предоставляющее простой интерфейс для записи звука. Записываемые файлы сохраняются в каталог Recordings. Ядро Linux обновлено до выпуска 4.9.13. Из дистрибутива удалена поддержкой альтернативной анонимной сети I2P, так как разработчикам не удалось найти сопровождающего. Tor Browser обновлён до версии 6.5.2, основанной на Firefox 45.9.

Дополнение: Доступен Tor Browser 6.5.2, компоненты которого обновлены до Firefox 45.9.0esr, Noscript to 5.0.2 и HTTPS-Everywhere to 5.2.14. Устранена проблема, мешающая использованию Twitter через Tor. Добавлены новые шлюзы с поддержкой транспорта obfs4.

  1. OpenNews: Выпуск дистрибутива Tails 2.11 и web-браузера Tor Browser 6.5.1
  2. OpenNews: Релиз дистрибутива Tails 2.10
  3. OpenNews: Началось тестирование дистрибутива Tails 3
Обсуждение (21 +7) | Тип: Программы |
19.04.2017 Доступен Linux-дистрибутив ROSA Desktop Fresh R9 (99 +13)
  Компания НТЦ ИТ РОСА представила дистрибутив ROSA Desktop Fresh R9. Это первый выпуск на базе новой платформы 2016.1. Релиз в первую очередь ориентирован на энтузиастов, предпочитающих свежие выпуски программ. Пользователям, предпочитающим стабильность, рекомендуется оставаться на последнем релизе (R8.1) прошлой платформы 2014.1. Для свободной загрузки подготовлены DVD-сборки для платформ i586 и x86_64, оформленные в вариантах с KDE 4 и KDE Plasma 5 (2.2 Гб). Образы с GNOME 3, LXQt и MATE будут подготовлены позднее.

Основные новшества:

  • Обновлены системные компоненты и пользовательские приложения, в том числе используется ядро Linux 4.9 и Mesa 17.0.3 с поддержкой OpenGL 4.5;
  • В glibc добавлен патч, значительно повышающий скорость загрузки динамически разделяемых объектов (DSO);
  • Исправлены проблемы, приводящие на некоторых системах к ошибкам при установке или при загрузке в Live-режиме;
  • Исправлен крах 32-разрядной версии Firefox при работе с некоторыми сайтами, например YouTube;
  • В FFmpeg включена поддержка OpenCL.

  1. OpenNews: Обновление Linux-дистрибутив ROSA Desktop Fresh R8.1
  2. OpenNews: Доступен Linux-дистрибутив ROSA Desktop Fresh R8
  3. OpenNews: Доступна редакция дистрибутива ROSA Fresh R7 с рабочим столом GNOME
  4. OpenNews: Доступен дистрибутив ROSA Desktop Fresh KDE R7
  5. OpenNews: Доступен дистрибутив ROSA Fresh R6 с рабочим столом LXQt
Обсуждение (99 +13) | Тип: Программы |
19.04.2017 6 мая в Москве пройдет международная конференция от разработчиков Blend4Web (2 +2)
  6 мая в 10.00 в отеле Holiday Inn (Таганский) состоится вторая конференция разработчиков и пользователей открытого фреймворка для создания браузерных 3D-приложений Blend4Web. Ожидаются интересные гости, среди которых Pablo Vazquez (разработчик из Blender Institute, а также создатель серии мультфильмов Caminandes). Вход бесплатный, но требуется пройти онлайн-регистрацию на официальном сайте. Регистрация заканчивается 22 апреля. Язык докладов — английский.

Список выступающих и темы докладов:

  • «Conference Opening and Keynote» (Yuri Kovelenov/Blend4Web)
  • «Blender: Past, Present and Future» (Pablo Vazquez/Blender Institute)
  • «Virtual Museum of Daily Life in Bologna: The 30s» (Daniele De Luca and Luigi Verri/CINECA)
  • «The VR Museum of Dunhuang» (Lijun Ma/Tsinghua University)
  • «Universal Cloud 3D Configurator for Product Mass Customization» (Daria Kosheleva/ELSE Corp, a Virtual Retail Company)
  • «PBR Plans for Blend4Web» (Konstantin Khomyakov/Blend4Web)
  • «Think Outside the Box REMASTERED: VFX in Blender/Blend4Web» (Pavel Kotov/Blend4Web)
  • «Blend4Web More Clarity for Inspecting Hasse Diagrams» (Peter Koppatz/Technical University of Applied Sciences Wildau)
  • «Blender Improvements for Add-on Developers» (Alexander Romanov/Blend4Web)
  • «Building a Lego Web-app with Blend4Web» (Qianyao Xu Lifelong Learning Lab/Tsinghua University)
  • «Blend4Web Features You've Never Heard Of» (Evgeny Rodygin/Blend4Web )
  • «What the Future Holds» (Alexander Kovelenov/Blend4Web)

  1. OpenNews: Релиз движка для создания браузерных 3D-приложений Blend4Web 17.02
  2. OpenNews: Релиз движка для создания браузерных 3D-приложений Blend4Web 16.12
  3. OpenNews: Релиз движка для создания браузерных 3D-приложений Blend4Web 16.11
Обсуждение (2 +2) | Автор: blenderman | Тип: К сведению |
19.04.2017 Уязвимость в LightDM, позволяющая повысить свои привилегии в системе (21 +12)
  В менеджере входа LightDM, применяемом по умолчанию в Ubuntu, выявлена уязвимость (CVE-2017-7358), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема проявляется только в выпусках Ubuntu 16.10 и 16.04 LTS, и на днях устранена в обновлении USN-3255-1.

Проблема вызвана ошибкой в коде создания временной домашней директории в скрипте /usr/sbin/guest-account, который запускается с правами root при каждом создании и завершении гостевого сеанса. В частности, временная домашняя директория создаётся в общедоступном каталоге /tmp при помощи вызова "mktemp", что позволяет локальному атакующему отследить появление нового каталога через систему inotify и оперативно подменить его на свой каталог (race condition) до выполнения следующей операции с каталогом в скрипте. В итоге домашняя директория гостевого пользователя будет создана в директории, подконтрольной атакующему, что позволяет заменить домашнюю директорию на символическую ссылку (например, спозиционировать её на /usr/local/sbin).

Далее каталог будет примонтирован в tmpfs с изменением прав доступа ("mount -t tmpfs -o mode=700,uid=${GUEST_USER} none ${GUEST_HOME}") для директории, на которую указывает символическая ссылка. Затем, так как права доступа на каталог /usr/local/sbin изменены, можно разместить в нём свой вариант используемого в скрипте исполняемого файла "getent". Так как каталог окажется в области поиска исполняемых файлов, подменённый "getent" будет вызван в ходе выполнения скриптом операции обработки завершения гостевого сеанса, которая выполняется с правами root.

  1. OpenNews: Для организации входа в KDE Plasma 2 вместо KDM будет использоваться LightDM или SDDM
  2. OpenNews: Планы Ubuntu: переход на LightDM, улучшение поддержки Btrfs и интеграция новых приложений с Unity
  3. OpenNews: В Ubuntu рассматривается переход от GDM к LightDM
Обсуждение (21 +12) | Тип: Проблемы безопасности |
19.04.2017 Выпуск VirtualBox 5.1.20 (27 +11)
  Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.20, в котором отмечено 8 исправлений.

Среди изменений:

  • В GUI добавлена проверка актуальной версии набора Extension Pack при попытке пользователя установить новый Extension Pack;
  • В GUI устранён крах, при определённом стечении обстоятельств возникающий при переключении виртуальной машины, в которой используется несколько мониторов, в полноэкранный или бесшовный (seamless) режим;
  • В GUI решены проблемы с горячими клавишами на платформе Windows;
  • В GUI налажена работа mini-toolbar в полноэкранном и бесшовном режимах на системах с X11;
  • В GUI устранён крах при восстановлении значений по умолчанию через диалог импорта окружения;
  • В дополнениях для Windows решены проблемы с автоматическим входом в Windows Vista и более новых выпусках;
  • В эмуляторе ICH9 решены проблемы с запуском гостевых систем с Windows с предоставлением им большого объёма памяти (более 64G);
  • В реализации BIOS решены проблемы с вычислением геометрии эмулируемого диска в формате El Torito.

  1. OpenNews: Выпуск VirtualBox 5.1.18
  2. OpenNews: Выпуск VirtualBox 5.1.16
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Релиз системы виртуализации VirtualBox 5.1
Обсуждение (27 +11) | Тип: Программы |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList