Уязвимость в домашних маршрутизаторах, охватывающая 17 производителей

1 месяц 1 неделя ago
В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн (проблема подтверждена в Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей.

В официальных клиентах Elasticsearch блокирована возможность подключения к форкам

1 месяц 1 неделя ago
Компания Elasticsearch опубликовала выпуск elasticsearch-py 7.14.0, официальной клиентской библиотеки для языка Python, содержащий изменение, блокирующее возможность подключения к серверам, на которых используется не оригинальная коммерческая платформа Elasticsearch. Клиентская библиотека отныне будет выводить ошибку, если на другой стороне используется продукт, представляющийся в заголовке "X-Elastic-Product" не как "Elasticsearch" для новых выпусков, или не передающий поля tagline и build_flavor для старых версий.

Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов

1 месяц 1 неделя ago
В стандартных библиотеках языков Rust и Go выявлены уязвимости, связанные с некорректной обработкой IP-адресов с восьмеричными цифрами в функциях разбора адреса. Уязвимости позволяют обойти проверки допустимых адресов в приложениях, например, для организации обращения к адресам loopback-интерфейса (127.x.x.x) или интранет-подсетям при совершении атак SSRF (Server-side request forgery). Уязвимости продолжают цикл проблем, ранее выявленных в библиотеках node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), private-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE-2021-29921), Data::Validate::IP (Perl, CVE-2021-29662) и Net::Netmask (Perl, CVE-2021-29424).

Выпуск Bottlerocket 1.2, дистрибутива на базе изолированных контейнеров

1 месяц 1 неделя ago
Доступен выпуск Linux-дистрибутива Bottlerocket 1.2.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.

Выпуск сканера сетевой безопасности Nmap 7.92

1 месяц 1 неделя ago
Доступен релиз сканера сетевой безопасности Nmap 7.92, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. В новой версии устранены замечания проекта Fedora, касающиеся несовместимоси с критериями открытого ПО лицензии NPSL (на базе GPLv2), под которой распространяется код Nmap. В новом варианте лицензии обязательное требование покупки отдельной коммерческой лицензии при использовании кода в проприетарном ПО заменено на рекомендации использования программы OEM-лицензирования и возможности покупки коммерческой лицензии, если производитель не желает открывать код своего продукта в соответствии требованиями копилефт-лицензии или намерен интегрировать Nmap в продукты, несовместимые с GPL.

Google портирует Chrome для ОС Fuchsia

1 месяц 1 неделя ago
Компания Google ведёт работу по портированию браузера Chrome для ОС Fuchsia. В Fuchsia уже предоставляется браузерный движок на основе кодовой базы Chromium, применяемый для выполнения обособленных web-приложений, но браузер Chrome как отдельный полноценный продукт для Fuchsia пока недоступен, так как платформа в первую очередь развивалась для IoT и потребительских устройств, таких как Nest Hub. Последнее время ситуация изменилась и.

Выпуск Latte Dock 0.10, альтернативной панели для KDE

1 месяц 1 неделя ago
После двух лет разработки представлен релиз панели Latte Dock 0.10, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Frameworks и библиотеки Qt. Поддерживается интеграция с рабочим столом KDE Plasma. Код проекта распространяется под лицензией GPLv2.

Выпуск игры Free Heroes of Might and Magic II (fheroes2) - 0.9.6

1 месяц 1 неделя ago
Доступен выпуск проекта fheroes2 0.9.6, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II.

Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

1 месяц 1 неделя ago
Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации.

Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности

1 месяц 1 неделя ago
Определены победители ежегодной премии Pwnie Awards 2021, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности.

Выпуск платформы для интернета вещей EdgeX 2.0

1 месяц 1 неделя ago
Представлен выпуск EdgeX 2.0, открытой модульной платформы для обеспечения взаимодействия между IoT-устройствами, приложениями и сервисами. Платформа не привязана к оборудованию конкретных поставщиков и операционным системам, и развивается независимой рабочей группой, под эгидой организации Linux Foundation. Компоненты платформы написаны на языке Go и распространяются под лицензией Apache 2.0.

Выпуск мультимедийного сервера PipeWire 0.3.33

1 месяц 1 неделя ago
Опубликован выпуск проекта PipeWire 0.3.33, развивающего мультимедийный сервер нового поколения, идущий на замену PulseAudio. PipeWire обладает расширенными по сравнению с PulseAudio средствами для работы с потоками видео, возможностью обработки звука с минимальными задержками и новой моделью безопасности для управления доступом на уровне отдельных устройств и потоков. Проект поддерживается в GNOME и уже по умолчанию применяется в Fedora Linux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1.

Кейс Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux

1 месяц 2 недели ago
Кейс Кук (Kees Cook), бывший главный системный администратор kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS, выразил опасение текущим процессом исправления ошибок в стабильных ветках ядра. Еженедельно в стабильные ветки включается около ста исправлений, а после закрытия окна приёма изменений в следующий релиз приближается к тысяче (сопровождающие удерживают исправления до закрытия окна, а после формирования "-rc1" публикуют накопившееся разом), что слишком много и требует больших трудозатрат для сопровождения продуктов на базе ядра Linux.

Оценка использования уязвимых открытых компонентов в коммерческом ПО

1 месяц 2 недели ago
Компания Osterman Research опубликовала результаты проверки использования открытых компонентов с неисправленными уязвимостями в готовом проприетарном программном обеспечении (COTS). В исследовании были изучены пять категорий приложений - web-браузеры, почтовые клиенты, программы для обмена файлами, мессенджеры и платформы для проведения online-встреч.

Открыт набор в бесплатную онлайн-школу для разработчиков Open Source

1 месяц 2 недели ago
До 13 августа 2021 года идёт набор в бесплатную онлайн-школу для желающих начать работу в Open Source — «Community of Open Source Newcomers» (COMMoN), организованную в рамках конференции Samsung Open Source Conference Russia 2021. Проект направлен на то, чтобы помочь молодым разработчикам начать свой путь контрибьютора. Школа позволит получить опыт взаимодействия с сообществом разработчиков открытого ПО, и даст шанс сделать свой первый коммит в серьёзный Open Source-проект.

Релиз Mesa 21.2, свободной реализации OpenGL и Vulkan

1 месяц 2 недели ago
После трёх месяцев разработки опубликован релиз свободной реализации API OpenGL и Vulkan - Mesa 21.2.0. Первый выпуск ветки Mesa 21.2.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 21.2.1.

Новая версия музыкального проигрывателя DeaDBeeF 1.8.8

1 месяц 2 недели ago
Доступен релиз музыкального плеера DeaDBeeF 1.8.8. Исходные тексты проекта распространяются в рамках лицензии GPLv2. Плеер написан на языке Си и может работать с минимальным набором зависимостей. Интерфейс построен с использованием библиотеки GTK+, поддерживает вкладки и может расширяться через виджеты и плагины.

В ночных сборках Ubuntu Desktop появился новый инсталлятор

1 месяц 2 недели ago
В ночных сборках Ubuntu Desktop 21.10 началось тестирование нового инсталлятора, реализованного в виде надстройки над низкоуровневым инсталлятором curtin, который уже применяется в инсталляторе Subiquity, используемом по умолчанию в Ubuntu Server. Новый инсталлятор для Ubuntu Desktop написан на языке Dart и использует фреймворк Flutter для построения пользовательского интерфейса.

Системный менеджер InitWare, форк systemd, портирован для OpenBSD

1 месяц 2 недели ago
Проект InitWare, развивающий экспериментальный форк системного менеджера systemd, реализовал поддержку операционной системы OpenBSD на уровне возможности управления пользовательскими сервисами (user manager - режим "iwctl --user", позволяющий пользователям управлять собственными сервисами). PID1 и системные сервисы пока не поддерживаются. Ранее аналогичная поддержка была обеспечена для DragonFly BSD, а возможность управления системными сервисами и управления входом для NetBSD и FreeBSD. Следующим шагом станет реализация поддержки управления пользовательскими сервисами для Illumos.
Checked
2 часа 45 минут ago
OpenNews - Новости мира открытых систем (Общая лента новостей)
Подписаться на лента opennet