Выявлены уязвимости, позволяющие манипулировать трафиком в сетях 4G LTE
В коммуникационном стандарте LTE (4G), применяемом в современных сетях мобильной связи, выявлено несколько уязвимостей, дающих возможность анализировать трафик абонента и манипулировать данными, отправляемыми на устройство пользователя. Исследователями разработано три варианта атаки на LTE. Две атаки проводятся в пассивном режиме и позволяют собирать метаданные о трафике, например, идентифицировать определённые виды трафика и определять какие сайты посещает пользователь.
В коммуникационном стандарте LTE (4G), применяемом в современных сетях мобильной связи, выявлено несколько уязвимостей, дающих возможность анализировать трафик абонента и манипулировать данными, отправляемыми на устройство пользователя. Исследователями разработано три варианта атаки на LTE. Две атаки проводятся в пассивном режиме и позволяют собирать метаданные о трафике, например, идентифицировать определённые виды трафика и определять какие сайты посещает пользователь.
Выпуск свободного видеоредактора OpenShot 2.4.2
Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.2. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS.
Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.2. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS.
Десятый кандидат в релизы браузера Otter
Доступен десятый кандидат в релизы свободного web-браузера Otter, нацеленного на воссоздание классического интерфейса Opera 12, независимого от конкретных браузерных движков и ориентированного на продвинутых пользователей, не принимающих тенденции по упрощению интерфейса и сокращению возможностей кастомизации. Браузер написан на языке C++ с использованием библиотеки Qt5 (без QML). Исходные тексты доступны под лицензией GPLv3. Ожидается, что RC10 станет последним кандидатом в релизы и следующим шагом станет заморозка кодовой базы перед релизом 1.0.
Доступен десятый кандидат в релизы свободного web-браузера Otter, нацеленного на воссоздание классического интерфейса Opera 12, независимого от конкретных браузерных движков и ориентированного на продвинутых пользователей, не принимающих тенденции по упрощению интерфейса и сокращению возможностей кастомизации. Браузер написан на языке C++ с использованием библиотеки Qt5 (без QML). Исходные тексты доступны под лицензией GPLv3. Ожидается, что RC10 станет последним кандидатом в релизы и следующим шагом станет заморозка кодовой базы перед релизом 1.0.
Выпуск музыкального проигрывателя Elisa 0.2, развиваемого сообществом KDE
Сформирован выпуск музыкального проигрывателя Elisa 0.2, построенного на основе технологий KDE и распространяемого под лицензией LGPLv3. Разработчики приложения пытаются воплотить в жизнь рекомендации по визуальному дизайну мультимедийных проигрывателей, разработанных рабочей группой KDE VDG. При развитии проекта основное внимание уделяется обеспечению стабильности, а уже потом наращиванию функциональности. Бинарные сборки в ближайшее время будут подготовлены для Linux (rpm для Fedora и универсальные пакеты flatpak), macOS и Windows.
Сформирован выпуск музыкального проигрывателя Elisa 0.2, построенного на основе технологий KDE и распространяемого под лицензией LGPLv3. Разработчики приложения пытаются воплотить в жизнь рекомендации по визуальному дизайну мультимедийных проигрывателей, разработанных рабочей группой KDE VDG. При развитии проекта основное внимание уделяется обеспечению стабильности, а уже потом наращиванию функциональности. Бинарные сборки в ближайшее время будут подготовлены для Linux (rpm для Fedora и универсальные пакеты flatpak), macOS и Windows.
Выпуск набора базовых системных утилит GNU Coreutils 8.30
Опубликована стабильная версия набора базовых системных утилит GNU Coreutils 8.30, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln, ls и т.д.
Опубликована стабильная версия набора базовых системных утилит GNU Coreutils 8.30, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln, ls и т.д.
Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP
Зафиксирована вторая атака на сервисы криптокошельков, вероятно проведённая с использованием BGP. На этот раз злоумышленникам удалось перенаправить на подставной сайт часть пользователей финансового сервиса Trezor, предоставляющего аппаратное устройство для локального хранения ключей от кошельков с различными криптовалютами и унифицированный интерфейс для работы с кошельками.
Зафиксирована вторая атака на сервисы криптокошельков, вероятно проведённая с использованием BGP. На этот раз злоумышленникам удалось перенаправить на подставной сайт часть пользователей финансового сервиса Trezor, предоставляющего аппаратное устройство для локального хранения ключей от кошельков с различными криптовалютами и унифицированный интерфейс для работы с кошельками.
Компании EQT покупает SUSE за 2.5 миллиарда долларов
Шведская инвестиционная компания EQT объявила о покупке у компании Micro Focus бизнес-подразделение SUSE. Сумма сделки составляет 2.535 миллиарда долларов. Для сравнения Micro Focus купил холдинг Attachmate Group в 2015 году за 1.2 млрд. долларов, в свою очередь, Attachmate Group в 2011 году поглотил Novell за 2.2 млрд. долларов, а Novell купил SUSE в 2003 году за 210 млн долларов. До завершения сделки необходимо получить одобрение акционеров Micro Focus и разрешение антимонопольных служб стран, в которых зарегистрированы участники сделки.
Шведская инвестиционная компания EQT объявила о покупке у компании Micro Focus бизнес-подразделение SUSE. Сумма сделки составляет 2.535 миллиарда долларов. Для сравнения Micro Focus купил холдинг Attachmate Group в 2015 году за 1.2 млрд. долларов, в свою очередь, Attachmate Group в 2011 году поглотил Novell за 2.2 млрд. долларов, а Novell купил SUSE в 2003 году за 210 млн долларов. До завершения сделки необходимо получить одобрение акционеров Micro Focus и разрешение антимонопольных служб стран, в которых зарегистрированы участники сделки.
Релиз системы виртуализации VirtualBox 5.2.14
Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.14, в котором отмечено 10 исправлений. В новой версии.
Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.14, в котором отмечено 10 исправлений. В новой версии.
Релиз минималистичного набора системных утилит BusyBox 1.29
Представлен релиз пакета BusyBox 1.29 с реализацией набора стандартных утилит UNIX, оформленных в виде единого исполняемого файла и оптимизированных для минимального потребления системных ресурсов при размере комплекта менее 1 Мб. Первый выпуск новой ветки 1.29 позиционируется как нестабильный, полная стабилизация будет обеспечена в версии 1.29.1, которая ожидается примерно через месяц. Код проекта распространяется под лицензией GPLv2.
Представлен релиз пакета BusyBox 1.29 с реализацией набора стандартных утилит UNIX, оформленных в виде единого исполняемого файла и оптимизированных для минимального потребления системных ресурсов при размере комплекта менее 1 Мб. Первый выпуск новой ветки 1.29 позиционируется как нестабильный, полная стабилизация будет обеспечена в версии 1.29.1, которая ожидается примерно через месяц. Код проекта распространяется под лицензией GPLv2.
Обновление промышленного дистрибутива Oracle Linux 6.10
Компания Oracle представила релиз промышленного дистрибутива Oracle Linux 6.10, созданного на основе пакетной базы Red Hat Enterprise Linux 6.10. Дистрибутив доступен для бесплатной загрузки в сборках для архитектуры x86_64. Для пользователей Oracle Linux предоставляется неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Oracle Linux 6.10 является последним выпуском серии 6.x, в дальнейшем будут формироваться только обновления пакетов.
Компания Oracle представила релиз промышленного дистрибутива Oracle Linux 6.10, созданного на основе пакетной базы Red Hat Enterprise Linux 6.10. Дистрибутив доступен для бесплатной загрузки в сборках для архитектуры x86_64. Для пользователей Oracle Linux предоставляется неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Oracle Linux 6.10 является последним выпуском серии 6.x, в дальнейшем будут формироваться только обновления пакетов.
Релиз дистрибутива Network Security Toolkit 28
Состоялся релиз Live-дистрибутива NST (Network Security Toolkit) 24-7977, предназначенного для проведения анализа безопасности сети и мониторинга её функционирования. Размер загрузочного iso-образа (x86_64) составляет 2.8 Гб. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в уже установленную систему. Дистрибутив построен на базе Fedora 28 и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux.
Состоялся релиз Live-дистрибутива NST (Network Security Toolkit) 24-7977, предназначенного для проведения анализа безопасности сети и мониторинга её функционирования. Размер загрузочного iso-образа (x86_64) составляет 2.8 Гб. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в уже установленную систему. Дистрибутив построен на базе Fedora 28 и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux.
Выпуск Cilium 1.1, сетевой системы для Linux-контейнеров, основанной на BPF
Подготовлен релиз проекта Cilium 1.1, в рамках которого при участии компаний Google, Facebook, Netflix и Red Hat развивается система для обеспечения сетевого взаимодействия и применения политик безопасности для изолированных контейнеров и процессов. Для разграничения сетевого доступа в Cilium применяются еBPF (Berkeley Packet Filter) и XDP (eXpress Data Path). Код компонентов, работающих на уровне пользователя, написаны на языке Go и распространяются под лицензией Apache 2.0. Загружаемые в ядро Linux сценарии BPF доступны под лицензией GPLv2.
Подготовлен релиз проекта Cilium 1.1, в рамках которого при участии компаний Google, Facebook, Netflix и Red Hat развивается система для обеспечения сетевого взаимодействия и применения политик безопасности для изолированных контейнеров и процессов. Для разграничения сетевого доступа в Cilium применяются еBPF (Berkeley Packet Filter) и XDP (eXpress Data Path). Код компонентов, работающих на уровне пользователя, написаны на языке Go и распространяются под лицензией Apache 2.0. Загружаемые в ядро Linux сценарии BPF доступны под лицензией GPLv2.
Выпуск nginx 1.15.1
Состоялся выпуск новой основной ветки nginx 1.15.1, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).
Состоялся выпуск новой основной ветки nginx 1.15.1, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).
DirectX Shader Compiler портирован для Linux и macOS
Инженеры из компании Google портировали код компилятора шейдеров DirectX Shader Compiler для сборки и запуска на платформах Linux и macOS. Код DirectX Shader Compiler был открыт компанией Microsoft в начале 2017 года под лицензией MIT, но до сих пор оставался привязанным к платформе Windows, несмотря на то, что был основан на изначально кроссплатформенном коде LLVM/Clang. Компания Google внесла необходимые для работы в Linux и macOS изменения в код, опубликовала в рамках отдельной переносимой ветки и отправила запрос на принятие изменений в основной проект. В настоящее время представители Microsoft уже приняли подготовленные изменения в состав ветки Microsoft/master.
Инженеры из компании Google портировали код компилятора шейдеров DirectX Shader Compiler для сборки и запуска на платформах Linux и macOS. Код DirectX Shader Compiler был открыт компанией Microsoft в начале 2017 года под лицензией MIT, но до сих пор оставался привязанным к платформе Windows, несмотря на то, что был основан на изначально кроссплатформенном коде LLVM/Clang. Компания Google внесла необходимые для работы в Linux и macOS изменения в код, опубликовала в рамках отдельной переносимой ветки и отправила запрос на принятие изменений в основной проект. В настоящее время представители Microsoft уже приняли подготовленные изменения в состав ветки Microsoft/master.
Доступен Linux-дистрибутив CentOS 6.10
Представлен релиз дистрибутива CentOS 6.10, основанный на пакетной базе Red Hat Enterprise Linux 6.10. Выпуск поставляется для платформ i386 и x86_64 в виде DVD-сборки (2 Гб), минимального установочного образа (420 Мб) и сокращенного образа для установки по сети - netinstall.iso (240 Мб). Пакеты SRPMS и debuginfo доступны через vault.centos.org. Пакеты из различных репозиториев RHEL, например, из серверной и из десктоп редакции, объединены в единый репозиторий пакетов и распространяются одним установочным комплектом. Дистрибутив на 100% бинарно совместим с RHEL, внесенные в пакеты изменения как правило сводятся к ребрендингу и замене художественного оформления.
Представлен релиз дистрибутива CentOS 6.10, основанный на пакетной базе Red Hat Enterprise Linux 6.10. Выпуск поставляется для платформ i386 и x86_64 в виде DVD-сборки (2 Гб), минимального установочного образа (420 Мб) и сокращенного образа для установки по сети - netinstall.iso (240 Мб). Пакеты SRPMS и debuginfo доступны через vault.centos.org. Пакеты из различных репозиториев RHEL, например, из серверной и из десктоп редакции, объединены в единый репозиторий пакетов и распространяются одним установочным комплектом. Дистрибутив на 100% бинарно совместим с RHEL, внесенные в пакеты изменения как правило сводятся к ребрендингу и замене художественного оформления.
Обновление почтового клиента Thunderbird 52.9.0
Доступно обновление почтового клиента Thunderbird 52.9.0. В новой версии устранено 28 уязвимостей, 19 из которых имеют критический уровень опасности (17 уязвимостей собрано под одним CVE-2018-5188). В новой версии также внесена дополнительная защита от атак EFAIL на систему шифрования почтовой переписки: обеспечена чистка опасных HTML-конструкций и добавлена опция mailnews.p7msubpartsexternal для отключения автоматической расшифровки вложенных частей сообщения, если присутствуют незашифрованные части, которые могут потенциально использоваться для организации утечки расшифрованных данных.
Доступно обновление почтового клиента Thunderbird 52.9.0. В новой версии устранено 28 уязвимостей, 19 из которых имеют критический уровень опасности (17 уязвимостей собрано под одним CVE-2018-5188). В новой версии также внесена дополнительная защита от атак EFAIL на систему шифрования почтовой переписки: обеспечена чистка опасных HTML-конструкций и добавлена опция mailnews.p7msubpartsexternal для отключения автоматической расшифровки вложенных частей сообщения, если присутствуют незашифрованные части, которые могут потенциально использоваться для организации утечки расшифрованных данных.
Стабильный релиз прокси-сервера Squid 4
После трёх лет разработки представлен стабильный релиз прокси-сервера Squid 4.1, готовый для промышленного использования (выпуски 4.0.x имели статус бета-версий). После придания ветке 4.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 5.0. Пользователям прошлой стабильной ветки 3.5 рекомендуется спланировать переход на ветку 4.1.
После трёх лет разработки представлен стабильный релиз прокси-сервера Squid 4.1, готовый для промышленного использования (выпуски 4.0.x имели статус бета-версий). После придания ветке 4.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 5.0. Пользователям прошлой стабильной ветки 3.5 рекомендуется спланировать переход на ветку 4.1.
Второй кандидат в релизы NetBSD 8.0
Выпущен второй кандидат в релизы NetBSD 8.0, судя по всему последний перед официальным релизом. Исправлено множество ошибок первого кандидата, продолжено тестирование мер защиты от ряда уязвимостей, например уязвимости LazyFP, проявляющейся на некоторых процессорах Intel.
Выпущен второй кандидат в релизы NetBSD 8.0, судя по всему последний перед официальным релизом. Исправлено множество ошибок первого кандидата, продолжено тестирование мер защиты от ряда уязвимостей, например уязвимости LazyFP, проявляющейся на некоторых процессорах Intel.
В браузерном дополнении Stylish выявлен код для отправки истории посещений
В популярном браузерном дополнении Stylish, которое установлено на системах около 1.9 млн пользователей Chrome и 300 тысяч пользователей Firefox, выявлен код, который осуществляет отправку сведений об истории посещений. В прошлом году дополнение было продано компании SimilarWeb, специализирующейся на web-аналитике, и новый владелец добавил в дополнение код для отправки телеметрии. Изучение этого кода показало, что кроме заявленной общей обезличенной статистики на внешний сервер передаются полные URL страниц, которые посещает пользователь.
В популярном браузерном дополнении Stylish, которое установлено на системах около 1.9 млн пользователей Chrome и 300 тысяч пользователей Firefox, выявлен код, который осуществляет отправку сведений об истории посещений. В прошлом году дополнение было продано компании SimilarWeb, специализирующейся на web-аналитике, и новый владелец добавил в дополнение код для отправки телеметрии. Изучение этого кода показало, что кроме заявленной общей обезличенной статистики на внешний сервер передаются полные URL страниц, которые посещает пользователь.
Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub
Опубликован отчёт с изложением хронологии событий, связанных с компрометацией GitHub-репозиториев проекта Gentoo, в результате которой удалось поместить в код вредоносные вставки. Злоумышленники подобрали пароль от учётной записи администратора репозитория на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте (администратор использовал похожие пароли на разных сайтах). Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.
Опубликован отчёт с изложением хронологии событий, связанных с компрометацией GitHub-репозиториев проекта Gentoo, в результате которой удалось поместить в код вредоносные вставки. Злоумышленники подобрали пароль от учётной записи администратора репозитория на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте (администратор использовал похожие пароли на разных сайтах). Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.
Выпуск графического редактора GIMP 2.10.4
Представлен новый выпуск графического редактора GIMP 2.10.4, в котором продолжено оттачивание функциональности стабильной ветки 2.10. Также сообщается о возрождении пакета gimp-data-extras, который не обновлялся более 10 лет. В gimp-data-extras вынесены скрипты Alpha-to-Logo, которые не были включены в ветку 2.10 из-за ненадлежащего качества графики (для установки скриптов достаточно скопировать файлы ".scm" из архива в каталог scripts GIMP).
Представлен новый выпуск графического редактора GIMP 2.10.4, в котором продолжено оттачивание функциональности стабильной ветки 2.10. Также сообщается о возрождении пакета gimp-data-extras, который не обновлялся более 10 лет. В gimp-data-extras вынесены скрипты Alpha-to-Logo, которые не были включены в ветку 2.10 из-за ненадлежащего качества графики (для установки скриптов достаточно скопировать файлы ".scm" из архива в каталог scripts GIMP).