OpenNET
W3C придал WebAssembly статус рекомендованного стандарта
Консорциум W3C объявил о придании технологии WebAssembly статуса рекомендованного стандарта. WebAssembly предоставляет не зависящий от браузера универсальный низкоуровневый промежуточный код для выполнения приложений, скомпилированных из различных языков программирования. WebAssembly позиционируется как более перспективная и переносимая между браузерами технология создания высокопроизводительных web-приложений. WebAssembly может применяться для решения задач, требующих высокой производителости, например, кодирования видео, обработки звука, манипуляции с графикой и 3D, разработки игр, криптографических операций, математических вычислений и создания переносимых реализаций языков программирования.
Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели
Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели. Проблема затрагивает Linux, FreeBSD, OpenBSD, Android, macOS, iOS и другие Unix-подобные системы. Linux поддерживает механизм rp_filter (reverse path filtering) для IPv4, включение которого в режим "Strict" нейтрализует данную проблему.
Выпуск игры NetHack 3.6.3
Спустя 6 месяцев разработки, команда разработчиков NetHack подготовила релиз легендарной roguelike-игры NetHack 3.6.3.
Релиз Proxmox VE 6.1, дистрибутива для организации работы виртуальных серверов
Состоялся релиз Proxmox Virtual Environment 6.1, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 776 Мб.
Началось альфа-тестирование инсталлятора Debian 11 "Bullseye"
Началось тестирование первой альфа-версии инсталлятора следующего значительного релиза Debian - "Bullseye". Релиз ожидается примерно через полтора-два года.
Самый популярный пример Java-кода на StackOverflow оказался с ошибкой
Самый популярный пример Java-кода, опубликованного на StackOverflow, содержал ошибку, приводящую к выводу при определённых условиях неверного результата. Рассматриваемый код был размещён в 2010 году и накопил более тысячи рекомендаций, а также был скопирован во многие проекты и встречается в репозиториях на GitHub около 7 тысяч раз. Примечательно, что ошибку нашли не пользователи, копирующие данный код в свои проекты, а изначальный автор совета.
Выпуск пакетного фильтра nftables 0.9.3
Опубликован выпуск пакетного фильтра nftables 0.9.3, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.3 изменения включены в состав будущей ветки ядра Linux 5.5.
Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd
Компания Qualys выявила четыре уязвимости в OpenBSD, одна из которых позволяет удалённо подключиться без аутентификации к некоторым сетевым сервисам, а три остальные повысить свои привилегии в системе. В отчёте Qualys отмечена быстрая реакция разработчиков OpenBSD - все проблемы были устранены в OpenBSD 6.5 и OpenBSD 6.6 в течение 40 часов после приватного уведомления.
Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях
Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях. За время существования платформы через HackerOne исследователям в сумме было выплачено 23 млн долларов за выявление уязвимостей в продуктах более 100 клиентов, среди которых Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон и ВМС США.
Выпуск дистрибутива Elementary OS 5.1 "Hera"
Представлен выпуск дистрибутива Elementary OS 5.1 "Hera", позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (1.47 Гб), доступные для архитектуры amd64 (при загрузке с сайта, для бесплатной загрузки в поле с суммой пожертвования необходимо ввести 0).
Релиз децентрализованной коммуникационной платформы Hubzilla 4.6
После 3 месяцев разработки представлен выпуск платформы для построения децентрализованных социальных сетей Hubzilla 4.6. Проект предоставляет коммуникационный сервер, интегрируемый с системами web-публикации, снабжённый прозрачной системой идентификации и средствами управления доступом в децентрализованных сетях Fediverse. Код проекта написан на PHP и Javascript и распространяется под лицензией MIT.
В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты "python3-dateutil" и "jeIlyfish", которые были загружены одним автором olgired2017 и маскировались под популярные пакеты "dateutil" и "jellyfish" (отличается использованием символа "I" (i) вместо "l" (L) в названии). После установки указанных пакетов на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время проблемные пакеты уже удалены из каталога PyPI.
15 уязвимостей в USB-драйверах, поставляемых в ядре Linux
Андрей Коновалов из компании Google опубликовал отчёт о выявлении очередных 15 уязвимостей (CVE-2019-19523 - CVE-2019-19537) в USB-драйверах, предлагаемых в ядре Linux. Это третья порция проблем, найденных при проведении fuzzing-тестирования USB-стека в пакете syzkaller - ранее данный исследователь уже сообщал о наличии 29 уязвимостей.
Выпуск дисплейного сервера Mir 1.6
Представлен релиз дисплейного сервера Mir 1.6, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10/19.04 (PPA) и Fedora 29/30/31. Код проекта распространяется под лицензией GPLv2.
Выпуск qBittorrent 4.2
Представлен релиз торрент-клиента qBittorrent 4.2.0, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности. Среди возможностей qBittorrent: интегрированный поисковый движок, возможность подписки на RSS, поддержка многих BEP-расширений, удалённое управление через web-интерфейс, режим последовательной загрузки в заданном порядке, расширенные настройки для торрентов, пиров и трекеров, планировщик пропускной способности и IP-фильтр, интерфейс для создания торрентов, поддержка UPnP и NAT-PMP.
Релиз дистрибутива Tails 4.1 и браузера Tor Browser 9.0.2
Сформирован релиз специализированного дистрибутива Tails 4.1 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 Гб.
Продукты Avast и AVG удалены из каталога дополнений к Firefox из-за отправки персональных данных
Компания Mozilla удалила из каталога addons.mozilla.org (AMO) четыре дополнения компании Avast - Avast Online Security, AVG Online Security, Avast SafePrice и AVG SafePrice. Дополнения удалены из-за организации утечки персональных данных пользователей. Google пока никак не отреагировал на инцидент и дополнения остаются в каталоге Chrome App Store.
Обновление рабочего стола Common Desktop Environment 2.3.1
Опубликован релиз классической среды рабочего стола CDE 2.3.1 (Common Desktop Environment). CDE был разработан в начале девяностых годов прошлого века совместными усилиями компаний Sun Microsystems, HP, IBM, DEC, SCO, Fujitsu и Hitachi, и на протяжении многих лет выступал в роли штатного графического окружения Solaris, HP-UX, IBM AIX, Digital UNIX и UnixWare. В 2012 году код CDE был открыт консорциумом The Open Group кода CDE 2.1 под лицензией LGPL.
Релиз Firefox 71
Состоялся релиз web-браузера Firefox 71, а также мобильной версии Firefox 68.3 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 72, релиз которой намечен на 7 января (проект переходит на новый 4-недельный цикл разработки).
Microsoft развивает новый язык программирования на основе Rust
Компания Microsoft в рамках экспериментального проекта Verona развивает новый язык программирования, основанный на языке Rust и ориентированный на разработку защищённых приложений, не подверженных типовым проблемам с безопасностью. Исходные тексты текущих наработок, связанных с проектом, в ближайшее время планируется открыть под лицензией Apache 2.0.