OpenNews - Новости мира открытых систем (BSD выборка)


IBM, Google, Microsoft и Intel образовали альянс для развития открытых технологий защиты данных

Дата: 23 Августа 2019 13:20:08

Организация Linux Foundation объявила об учреждении консорциума Confidential Computing Consortium, нацеленного на разработку открытых технологий и стандаров, связанных с безопасной обработкой данных в памяти и конфиденциальными вычислениями. К совместному проекту уже присоединились такие компании, как Alibaba, Arm, Baidu, Google, IBM, Intel, Tencent и Microsoft, которые намерены сообща на нейтральной площадке развивать технологии для изоляции данных в памяти в процессе вычислений.


Уязвимость, позволяющая выйти из изолированного окружения QEMU

Дата: 23 Августа 2019 11:11:19

Раскрыты детали критической уязвимости (CVE-2019-14378) в обработчике SLIRP, по умолчанию применяемом в QEMU для организации канала связи между виртуальным сетевым адаптером в гостевой системе и сетевым бэкендом на стороне QEMU. Проблема также затрагивает системы виртуализации на базе KVM (в режиме Usermode) и Virtualbox, в которых используются бэкенд slirp из QEMU, а также приложения, применяющие сетевой стек в пространстве пользователя libSLIRP (эмулятор TCP/IP).


Компания Google представила инициативу Privacy Sandbox

Дата: 22 Августа 2019 23:26:03

Компания Google выступила с инициативой Privacy Sandbox, в рамках которой предложила для реализации в браузерах несколько API, позволяющих достичь компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей.


Десятое обновление прошивки UBports, пришедшей на смену Ubuntu Touch

Дата: 22 Августа 2019 09:10:41

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-10 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04.


Удалённая DoS-уязвимость в IPv6-стеке FreeBSD

Дата: 21 Августа 2019 22:08:42

Во FreeBSD устранена уязвимость (CVE-2019-5611), позволяющая вызвать крах ядра (packet-of-death) через отправку специально фрагментированных пакетов ICMPv6 MLD (Multicast Listener Discovery). Проблема вызвана отсутствием необходимой проверки в вызове m_pulldown(), что может привести к возврату не непрерывных цепочек mbufs, вопреки ожидания вызывающей стороны.


В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане "национальный сертификат"

Дата: 21 Августа 2019 19:13:51

Google, Mozilla и Apple объявили о помещении внедряемого в Казахстане "национального сертификата безопасности" в списки отозванных сертификатов. Использование данного корневого сертификата отныне будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium и Safari, а также в основанных на их коде производных продуктах.


IBM объявил об открытии архитектуры процессоров Power

Дата: 21 Августа 2019 13:33:19

Компания IBM объявила о переводе архитектуры набора команд (ISA) Power в разряд открытых. В 2013 году компания IBM уже учредила консорциум OpenPOWER, в рамках которого предоставила возможность лицензирования связанной с POWER интеллектуальной собственности и предоставила полный доступ к спецификациям. При этом за получение лицензии на производство чипов продолжали собираться отчисления. Отныне, создание собственных модификаций чипов на базе архитектура набора команд Power станет общедоступным и не требующим отчислений. В том числе предоставляется право безвозмездно использовать все связанные с Power патенты IBM, а управление проектом передаётся сообществу, которое теперь.


Представлен notqmail, форк почтового сервера qmail

Дата: 21 Августа 2019 11:28:15

Представлен первый выпуск проекта notqmail, в рамках которого началось развитие форка почтового сервера qmail. Qmail был создан Дэниелом Бернштейном (Daniel J. Bernstein) в 1995 году в целью предоставления более безопасной и быстрой замены sendmail. Последний выпуск qmail 1.03 был опубликован в 1998 году и с тех пор официальная поставка не обновлялась, но сервер остаётся примером качественного и безопасного ПО, поэтому продолжает применяться до сих пор и оброс многочисленными патчами и надстройками. В своё время на базе qmail 1.03 и накопившихся патчей был сформирован дистрибутив netqmail, но сейчас он находится в заброшенном виде и не обновлялся с 2007 года.


Bitbucket прекращает поддержку Mercurial

Дата: 20 Августа 2019 22:59:58

Платформа совместной разработки Bitbucket прекращает поддержку системы управления исходными текстами Mercurial в пользу Git. Напомним, что изначально сервис Bitbucket ориентировался только на Mercurial, но начиная с 2011 года также стал предоставлять поддержку Git. Отмечается, что теперь Bitbucket эволюционировал из инструментария для управления версиями в платформу для управления полным циклом разработки ПО.


В rest-client и ещё 10 Ruby-пакетах выявлен вредоносный код

Дата: 20 Августа 2019 22:08:33

В популярном gem-пакете rest-client, насчитывающем в сумме 113 миллионов загрузок, выявлена подстановка вредоносного кода (CVE-2019-15224), который загружает исполняемые команды и отправляет информацию на внешний хост. Атака была произведена через компрометацию учётной записи разработчика rest-client в репозитории rubygems.org, после чего злоумышленники 13 и 14 августа опубликовали выпуски 1.6.10-1.6.13, включающие вредоносные изменения. До блокировки вредоносных версий их успели загрузить около тысячи пользователей (атакующие чтобы не привлекать внимание выпустили обновления старых версий).


Выпуск новой стабильной ветки Tor 0.4.1

Дата: 20 Августа 2019 20:59:53

Представлен выпуск инструментария Tor 0.4.1.5, используемого для организации работы анонимной сети Tor. Tor 0.4.1.5 признан первым стабильным выпуском ветки 0.4.1, которая развивалась последние четыре месяца. Ветка 0.4.1 будет сопровождаться в рамках штатного цикла сопровождения - выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.2.x. Длительный цикл поддержки (LTS) обеспечен для ветки 0.3.5, обновления для которой будут выпускаться до 1 февраля 2022 года.


В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root

Дата: 19 Августа 2019 23:42:19

В пакете Webmin, предоставляющем средства для удалённого управления сервером, выявлен бэкдор (CVE-2019-15107), обнаруженный в официальных сборках проекта, распространяемых через Sourceforge и рекомендованных на основном сайте. Бэкдор присутствовал в сборках с 1.882 по 1.921 включительно (в git-репозитории код с бэкдором отсутствовал) и позволял удалённо без прохождения аутентификации выполнить произвольные shell-команды в системе с правами root.


Выпуск пакетного фильтра nftables 0.9.2

Дата: 19 Августа 2019 22:25:17

Состоялся релиз пакетного фильтра nftables 0.9.2, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.2 изменения включения в состав ядра Linux 5.3.


OpenDrop - открытая реализации технологии Apple AirDrop

Дата: 19 Августа 2019 20:54:26

Проект Open Wireless Link, занимающийся разбором проприетарных беспроводных протоколов компании Apple, представил на конференции USENIX 2019 доклад с анализом уязвимостей в беспроводных протоколах Apple (найдены возможности совершения MiTM-атаки для модификации передаваемых между устройствами файлов, DoS-атаки для блокирования взаимодействия устройств и вызова зависания устройств, а также применения AirDrop для идентификации и отслеживания пользователей). В ходе проведённого исследования были подготовлены открытые реализации протокола AWDL (Apple Wireless Direct Link) и технологии AirDrop, детали о которых получены в результате обратного инжиниринга.