The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.04.2017 Выпуск пакетного менеджера DNF 2.3 (24 +1)
  Доступен релиз пакетного менеджера DNF 2.3. DNF используется по умолчанию в дистрибутиве Fedora Linux и является ответвлением от Yum 3.4, адаптированным для работы с Python 3 и использующим библиотеку hawkey в качестве бэкенда для разрешения зависимостей. По сравнению с Yum, DNF обладает заметно более высокой скоростью работы, низким потреблением памяти и более качественным управлением зависимостями.

В новой версии добавлен метод dnf.package.Package.remote_location() для получения информации о местоположении доступного для загрузки пакета, а также расширена функциональность команды "dnf repoquery", применяемой для поиска пакетов во внешних репозиториях (аналог "rpm -q" для удалённого репозитория), в которой появилось 7 новых опций:

  • "dnf repoquery --whatconflicts {capability}" - выборка только конфликтующих пакетов;
  • "dnf repoquery --whatobsoletes {capability}" - выборка только устаревших пакетов;
  • "dnf repoquery --location" - показать местоположение, откуда будет загружен пакет;
  • "dnf repoquery --nvr" - показать найденные пакеты в формате "name-version-release";
  • "dnf repoquery --nevra" - показать найденные пакеты в формате "name-epoch:version-release.architecture" (по умолчанию).
  • "dnf repoquery --envra" - показать найденные пакеты в формате "epoch:name-version-release.architecture";
  • "dnf repoquery --recursive" - рекурсивный запрос пакетов.

  1. OpenNews: Выпуск пакетного менеджера DNF 2.2
  2. OpenNews: Выпуск пакетного менеджера DNF 2.1
  3. OpenNews: Доступен пакетный менеджер DNF 2.0, пришедший на смену Yum
  4. OpenNews: Пакетный менеджер DNF будет переработан на языке Си
  5. OpenNews: Увидел свет пакетный менеджер DNF 1.0, пришедший на смену Yum
Обсуждение (24 +1) | Тип: Программы |
24.04.2017 Выпуск языка программирования Dart 1.23 (88 –1)
  Компания Google представила выпуск языка программирования Dart 1.23, который позиционируется как язык структурированного программирования для Web, обладает похожим на Java синтаксисом, не требует явного определения типов и может использоваться для создания серверных и клиентских приложений. Для запуска внутри браузера код на языке Dart компилируется в представление JavaScript, для выполнения серверных приложений развивается специальная виртуальная машина Dart VM. Код связанных с языком компонентов распространяется под лицензией BSD.

Для упрощения разработки на языке Dart поставляется SDK, включающий в себя компилятор в JavaScript - dart2js, виртуальную машину Dart VM, пакетный менеджер pub, статический анализатор кода dart_analyzer, набор библиотек, интегрированная среда разработки DartPad и плагины с поддержкой Dart для IntelliJ IDEA, WebStorm, Emacs, Sublime Text 2 и Vim. Для выполнения и отладки приложений на языке Dart, без компиляции в JavaScript, предоставляется Dartium - специальная сборка браузера Chromium с интегрированной виртуальной машиной Dart VM. Дополнительные пакеты с библиотеками и утилитами распространяются через репозиторий pub, который насчитывает 2567 пакетов, в том числе фреймворки для разработки web-приложений AngularDart и polymer.dart.

В Dart 1.23 расширены возможности режима "strong" (обеспечивает строгую статическую типизацию): реализована возможность переопределения полей без использования @virtual, улучшена информативность сообщений об ошибках, изменены приоритеты при определении типа (приоритет теперь отдаётся информации, выведенной из базовых типов, функций и методов). Проведена большая работа по оттачиванию унифицированного фронтэнда. Улучшено качество проверки и нормализации ввода в методе UriData.parse. В браузерных приложениях обеспечена возможность импорта dart:io.

  1. OpenNews: Google развивает средства создания высокопроизводительных Android-приложений на языке Dart
  2. OpenNews: Google отказался от включения Dart в состав браузера Chrome
  3. OpenNews: Язык Dart утверждён ассоциацией Ecma в качестве международного стандарта
  4. OpenNews: Google выпустил язык программирования Dart 1.0, созданный для замены JavaScript
  5. OpenNews: Для языка Dart представлен сервис компиляции приложений, работающий на стороне браузера
Обсуждение (88 –1) | Тип: Программы |
24.04.2017 Релиз системы управления доступом к сети PacketFence 7.0 (9 +6)
  Представлен релиз PacketFence 7.0, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL 6/7 и Debian 7/8.

PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и программной начинки компьютеров в сети. Имеются средства для интеграции с оборудованием популярных производителей, таких как Cisco, Nortel, Hewlett-Packard, 3Com, D-Link, Intel и Dell.

Основные новшества:

  • Переработан управляющий web-интерфейс;
  • Управление всеми сервисами переведено на systemd;
  • Поддержка кластеризации БД с использованием MariaDB Galera Cluster;
  • Новый модуль диспетчеризации HTTP-трафика, переписанный на языке Go;
  • Новый сервис pfsso для обработки SSO-запросов (Single Sign-On) с межсетевых экранов;
  • Возможность интеграции с системами предотвращения вторжений SentinelOne;
  • Поддержка сетевого стека IPv6;
  • Обработка SNMP trap-ов переведена на pfqueue;
  • Реализован распределённый кэш для аккаунтинга, позволяющий обойтись без обращения к SQL СУБД в кластерах с двумя master-серверами;
  • Добавлена команда "pfcmd pfmon" для запуска pfmon-задач через pfcmd.

Обсуждение (9 +6) | Тип: Программы |
24.04.2017 Microsoft обеспечил поддержку запуска Linux-контейнеров в Windows Server (123)
  Компания Microsoft продемонстрировала возможность запуска в Windows Server изолированных контейнеров, подготовленных для Linux. Ранее для Windows была реализована поддержка Docker, но она позволяла запускать только образы, специально подготовленные для Windows. Отныне добавлена возможность запуска и обычных Linux-контейнеров, для выполнения которых в Windows задействована технология виртуализации Hyper-V.

Также отмечается прогресс в развитии прослойки WSL ("Windows Subsystem for Linux"), обеспечивающей трансляцию системных вызовов Linux в системные вызовы Windows и позволяющей запускать приложения Linux в Windows. В WSL появилась возможность монтирования Windows-разделов при помощи DrvFs. Например, теперь можно запустить "sudo mount -t drvfs D: /mnt/d", "sudo mount -t drvfs 'C:\mountpoint' /mnt/myvolume" и "sudo mount -t drvfs '\\server\share' /mnt/share". Ранее WSL автоматически подключал только имеющиеся в локальной системе NTFS-разделы, без возможности примонтировать разделы с FAT, извлекаемые накопители и сетевые хранилища.

  1. OpenNews: Компания Microsoft объявила о закрытии хостинга свободного кода CodePlex
  2. OpenNews: Компания Microsoft представила виртуальную файловую систему для Git
  3. OpenNews: Компания Microsoft присоединилась к Linux Foundation и начала тестирование SQL Server для Linux
  4. OpenNews: В Windows обеспечена поддержка запуска исполняемых файлов Linux
  5. OpenNews: В Windows 10 продемонстрирован запуск рабочих столов Linux при помощи штатного WSL
Обсуждение (123) | Тип: К сведению |
24.04.2017 Уязвимость в Squirrelmail, позволяющая удалённо выполнить код на сервере (4 +1)
  В почтовом web-клиенте Squirrelmail выявлена критическая уязвимость (CVE-2017-7692), позволяющая выполнить код на сервере через отправку через web-интерфейс специально оформленного письма. Проблема проявляется в последнем выпуске Squirrelmail 1.4.22. Так как проект Squirrelmail уже много лет не обновлялся и разработчики не ответили на уведомление о проблеме, исследователи безопасности самостоятельно подготовили патч. Уязвимость пока остаётся неисправленной в пакете squirrelmail, поставляемом в репозиториях Debian и Ubuntu.

Уязвимость связана с отсутствием должных проверок аргументов, передаваемых при вызове утилиты sendmail через PHP-функцию popen(). В частности, для чистки опасных символов перед вызовом popen использовалась функция escapeshellcmd(), которая не экранирует пробелы и символы табуляции. Так как sendmail вызывается с опцией "-f$envelopefrom", манипулируя с адресом отправителя атакующий может передать произвольный набор аргументов, в том числе использовать опцию "-C" для инициирования обработки подставного файла конфигурации sendmail.cf.

Через переопределение в файле конфигурации sendmail.cf агента доставки можно выполнить в системе любой код с правами web-приложения (обычно, www-data). Так как Squirrelmail сохраняет вложения к письмам по известному пути (/var/local/squirrelmail/attach/{mgid}, то атакующий может сослаться на файл во вложении, например, отправив сообщение с полем "Return-Path: aaa@....com -OQueueDirectory=/tmp -C /var/local/squirrelmail/attach/lF51mGPJwdqzV3LEDlCdSVNpohzgF7sD".

  1. OpenNews: Взлом сайта SquirrelMail привел к подстановке злонамеренного кода в 3 плагина
  2. OpenNews: Web-сайт проекта SquirrelMail подвергся взлому
  3. OpenNews: Уязвимость в Roundcube Webmail, позволяющая выполнить код на сервере
  4. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  5. OpenNews: В PHPMailer выявлена ещё одна критическая уязвимость, вызванная недоработкой в PHP
Обсуждение (4 +1) | Тип: Проблемы безопасности |
22.04.2017 Релиз языка программирования R 3.4 (22 +8)
  Представлен релиз языка программирования R 3.4 и связанного с ним программного окружения, ориентированного на решение задач по статистической обработке, анализу и визуализации данных. Для решения специфичных задач предлагается более 5000 пакетов-расширений. Базовая реализация языка R развивается в рамках проекта GNU и распространяется под лицензией GPL.

В новом выпуске представлено около 200 изменений, большая часть из которых связана с расширением возможностей существующих функций и реализацией новых функций и методов. По умолчанию задействован JIT-компилятор третьего уровня (функции компилируются при первом или втором использовании, а основные циклы вначале компилируются, а затем выполняются). Прекращена поддержка ОС IRIX и OSF/1, а также процессоров Alpha.

  1. OpenNews: Релиз языка программирования R 3.2
  2. OpenNews: В свободном доступе опубликована книга по языку программирования R
  3. OpenNews: Релиз языка программирования R 3.1
Обсуждение (22 +8) | Тип: Программы |
22.04.2017 Canonical тестирует новый инсталлятор для Ubuntu Server (74 +4)
  Началось тестирование Subiquity, нового инсталлятора для серверной редакции Ubuntu Linux, поддерживающего текстовый режим установки. Для тестирования пользователям предложены новые экспериментальные (Technology Preview) сборки Ubuntu Server 17.04. В настоящее время предоставляет только основные функции, расширенную функциональность планируется реализовать по мере развития проекта. Возможна автоматизированная установка по профилю конфигурации, определённому в формате JSON.

Обсуждение (74 +4) | Тип: Программы |
22.04.2017 Поучительный опыт информировния банков об уязвимостях (44 +40)
  Исследователь безопасности Уильям Энтрикен (William Entriken) поделился своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.

После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информация о проблеме может быть придана огласке до того, как будет устранена, упомянуло желание нанять Уильяма для содействия решению проблемы и как первый шаг попросило подписать соглашение о неразглашении, запрещающее раскрывать информацию до исправления уязвимости. Уильям подписал соглашение.

В итоге, проблема всё ещё не исправлена в 2017 году, спустя более 8 лет с момента информирования об её наличии. Проблема присутствует с 2005 года и позволяет совершить целевые атаки по проведению транзакций без ведома пользователя.

Обсуждение (44 +40) | Тип: Тема для размышления |
22.04.2017 Выпуск текстового редактора GNU Emacs 25.2 (43 +5)
  Состоялся релиз текстового редактора GNU Emacs 25.2, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года.

Основное внимание в GNU Emacs 25.2 было уделено исправлению ошибок. Из улучшений отмечается новый базовый тип шрифта 'fixed-pitch-serif', реализация переменной 'use-default-font-for-symbols' (включает методы выбора шрифтов, применяемые в версиях младше Emacs 25), прекращение поддержки режима 'electric-quote-mode', добавление переменной 'inhibit-compacting-font-caches' для ускорения работы со шрифтами за счёт кэширования в ОЗУ.

  1. OpenNews: Доступен релиз текстового редактора GNU Emacs 25.1
  2. OpenNews: Вышел Conkeror 1.0.0, Emacs-подобный браузер на движке Mozilla Gecko
  3. OpenNews: Столлман уступил место лидера проекта Emacs
  4. OpenNews: Оконный менеджер на основе Emacs
  5. OpenNews: Опыт по использованию Emacs вместо оконного менеджера
Обсуждение (43 +5) | Тип: Программы |
21.04.2017 Сбой в инфраструктуре привёл к недоступности серверов Red Hat, Fedora и GNOME (35 –2)
  Большинство сервисов Red Hat, включая RedHat Customer Portal, репозитории и сборочные серверы, уже более двух часов недоступны из-за сбоя в центре обработки данных. Кроме служб Red Hat также выведены из строя серверы и репозитории Fedora, GNOME, EPEL и некоторых других свободных проектов. Компания Red Hat подтвердила наличие проблемы и сообщила, что работает над восстановлением работы инфраструктуры. Подробности о характере сбоя и времени восстановления пока не приводятся.

Дополнение: Работа восстановлена. Проблемы наблюдались более 12 часов и были вызваны аварией на стороне сетевого подключения ЦОД.

Обсуждение (35 –2) | Тип: К сведению |
21.04.2017 Clang включен в базовую систему OpenBSD для платформ amd64 и i386 (48 +5)
  Разработчики OpenBSD добавили компилятор Clang в состав базовой системы для платформ amd64 и i386. Clang пока не используется по умолчанию, но теперь доступен из коробки наряду с GCC. Clang был интегрирован в кодовую базу OpenBSD ещё в прошлом году, но для использования требовал пересборки исходных текстов и предлагался лишь для архитектуры ARM64. Отныне в инфраструктуру сборки внесены изменения и Clang собирается и поставляется вместе с GCC для систем amd64 и i386.

  1. OpenNews: Выпуск OpenBSD 6.1
  2. OpenNews: LLVM и Clang включены в основной состав OpenBSD
  3. OpenNews: Выпуск OpenBSD 6.0
  4. OpenNews: FreeBSD-CURRENT переведён по умолчанию на Clang
  5. OpenNews: Clang включен в число системных компиляторов DragonFly BSD
Обсуждение (48 +5) | Тип: Программы |
20.04.2017 Проект по реализации глобального меню для GNOME Shell (88 +11)
  Группа разработчиков, привыкших к окружению Unity, после прекращения поддержки данной оболочки компанией Canonical, возродила проект по разработке дополнения к GNOME Shell с реализацией глобального меню, при котором меню программы переносится из локального окна на общую системную панель. Подготовленное дополнение повторяет по своим возможностям меню Unity и использует для взаимодействия с приложением протокол AppMenu, поддерживая работу обычных GTK-модулей и развивавшихся проектом Unity исправлений для работы дополнительных приложений.

Дополнение снабжено конфигуратором, позволяющим настраивать различные аспекты своей работы, такие как горячие клавиши и эффекты. Для интеграции глобального меню в приложения на Java Swing присутствует экспериментальная поддержка JAyatana.

  1. OpenNews: Первый стабильный выпуск рабочего стола Lumina
  2. OpenNews: Представлены дисплейный сервер Arcan и десктоп-окружение Durden
  3. OpenNews: Доступен для тестирования прототип глобального меню Ubuntu 10.10
  4. OpenNews: Реализация глобального меню для GNOME и KDE
  5. OpenNews: В KDE 4.10 появится поддержка глобального меню
Обсуждение (88 +11) | Тип: Программы |
20.04.2017 Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL) (7 +3)
  В развиваемой компанией ARM криптографической библиотеке MbedTLS (бывший PolarSSL) выявлена критическая уязвимость (CVE-2017-2784), которая может привести к удалённому выполнению кода при обработке специально оформленного сертификата x509. Уязвимость устранена в выпуске MbedTLS 2.4.2.

Проблема вызвана ошибкой в коде обработки криптографических ключей на базе эллиптических кривых secp224k1. Атакующий может сформировать публичный ключ и сертификат x509, при проверке ключа которым будет очищен указатель стека, что может быть использовано для организации атаки. Уязвимость может быть эксплуатирована со стороны клиента и сервера. На современных стационарных системах вероятность эксплуатации невелика, но на встраиваемых платформах, на которые и ориентирован MbedTLS, из-за отсутствия средств для защиты кучи, атака вполне может быть доведена до выполнения кода злоумышленника (имеется прототип эксплоита).

  1. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
  2. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  3. OpenNews: Представлен релиз легковесной криптографической библиотеки PolarSSL 1.0.0
  4. OpenNews: Проект PolarSSL перешел в руки компании ARM
  5. OpenNews: Критическая уязвимость в криптографической библиотеке PolarSSL
Обсуждение (7 +3) | Тип: Проблемы безопасности |
20.04.2017 Выпуск GNU Guile 2.2.1 с поддержкой режима sandbox-изоляции (13 +3)
  Спустя месяц с момента формирования прошлого значительного выпуска представлен релиз проекта GNU Guile 2.2.1, в рамках которого развивается свободная реализация функционального языка программирования Scheme, поддерживающая возможность встраивания кода в приложения на других языках программирования. Особенностью новой версии является реализация режима sandbox-изоляции, позволяющего запустить код из не заслуживающих доверия источников в специальном изолированном окружении. В компилятор и runtime также внесены изменения, которые гарантируют, что попытки мутировать литералы-константы всегда будут приводить к генерации исключения (ранее имелась возможность изменить значение констант, объявленных только для чтения).

  1. OpenNews: Доступен GNU Guile 2.2
  2. OpenNews: Уязвимость в Guile, затрагивающая программы, привязанные к localhost
  3. OpenNews: Релиз GNU Make 4.0 с поддержкой расширений на языке GNU Guile
  4. OpenNews: Компилятор на базе GNU Guile достиг совместимости с приложениями на Emacs-Lisp
  5. OpenNews: Увидел свет GNU Guile 2.0
Обсуждение (13 +3) | Тип: Программы |
19.04.2017 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (14 +5)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 299 уязвимостей. Выпуск примечателен необычно низким числом уязвимостей в Java, всплеском уязвимостей в MySQL и исправлением проблемы наивысшего уровня опасности в Solaris.

В выпуске Java SE 8u131 устранено 8 проблем с безопасностью, 7 из которых могут быть эксплуатированы удалённо без проведения аутентификации. Впервые за последние годы, ни одной уязвимости не присвоен критический уровень опасности (CVSS Score 9 и выше). Четыре проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и четыре затрагивают как клиентов, так и серверные конфигурации Java. Внимание, начиная с апрельского обновления прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов - все JAR-файлы с MD5 теперь считаются неподписанными.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 25 уязвимостей в MySQL (максимальный уровень опасности 7.7). Проблемы устранены в выпусках MySQL Community Server 5.7.18, 5.6.36 и 5.5.56.
  • 10 уязвимостей в Solaris (максимальный уровень опасности 10). В обновлении устранена критическая уязвимость (CVE-2017-3623) в Kernel RPC позволяющая удалённо получить контроль над системой через отправку специально оформленного RPC-запроса. Исправление касается 0-day уязвимости "Ebbisland" в Solaris, о которой стало известно после публикации коллекции эксплоитов АНБ. Опубликованный эксплоит поражает системы Solaris 10, для которых не устанавливались патчи ядра с 2012-01-26. Solaris 11 проблеме не подвержен. Кроме того, две уязвимости устранены в RBAC (уровень опасности 8.2 и 7.9), одна в CDE (Common Desktop Environment) и две в сетевом драйвере для Kernel Zones.
  • 9 уязвимостей в VirtualBox (максимальная степень опасности 8.8). Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.0.38 и 5.1.20.

  1. OpenNews: Опубликована редакция Oracle Linux для архитектуры SPARC
  2. OpenNews: Компания Oracle опубликовала план разработки Solaris и SPARC
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Обсуждение (14 +5) | Тип: Проблемы безопасности |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList