Продолжают всплывать уязвимости в обработчике RAW-сокетов AF_PACKET из состава ядра Linux. Проблема вызвана обращением у уже освобождённому блоку памяти и может привести к повышению привилегий в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Уязвимость устранена в обновлении ядра 4.14-rc2. Это пятая уязвимость в подсистеме AF_PACKET за последний год (1, 2, 3, 4). Так как для обращения к AF_PACKET требуется наличие полномочий CAP_NET_RAW, атака имеет смысл только из изолированных контейнеров с пользователем root, запущенных с применением пространств имён идентификаторов пользователей (user namespaces) и изолированного сетевого стека (net namespaces). В Debian и Red Hat Enterprise Linux поддержка user namespaces по умолчанию не активирована, но она включена в Ubuntu и Fedora.
На завершившейся несколько дней назад конференции LibreOffice Conference 2017 был представлен отчёт о создании VCL-плагина на базе Qt 5 и KDE Frameworks 5, который позволит привести интерфейс LibreOffice к общему стилю рабочего стола KDE Plasma. Применяемый ныне плагин для KDE основан на Qt4 и kdelibs4, и плохо сочетается с KDE 5. Новый плагин даст возможность не только задействовать штатный диалог выбора файлов из Plasma 5 и обеспечит более плотную интеграцию с рабочим столом, но и предоставит корректную поддержку Wayland и Hi-DPI. Подcистема VCL (Visual Components Library) позволяет абстрагировать оформление LibreOffice от различных тулкиотов, предоставляя возможность использования родных для каждого графического окружения диалогов, кнопок, обрамлений окна и виджетов. Новая VCL-прослойка для KDE Plasma 5 развивается при поддержке проекта LiMux, занимающегося внедрением Linux в госучреждениях Мюнхена.
Компания Google представила релиз web-браузера Chrome 62. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Основные изменения в Chrome 62: Расширен спектр ситуаций при которых выводится сообщение о небезопасном соединении при обращении к сайтам по HTTP. Помимо уже выставляемой метки небезопасного соединения при заполнении форм ввода пароля и номеров кредитных карт, аналогичное предупреждение теперь будет выводиться при заполнении любых форм данных на страницах открытых по HTTP, а также при открытии сайтов по HTTP в режиме инкогнито; Возможность отключить звук для отдельных сайтов. Пользователь может на постоянной основе заблокировать вывод звука для
Фонд свободного ПО добавил лицензию Eclipse Public License (EPL) 2.0 в список свободных лицензий, несовместимых с GPL. Несовместимость обусловлена тем, что EPL относится к категории слабого копилефта и включает пункт о выборе юрисдикции. При этом отмечается, что в отличие от EPL 1.0 в лицензии EPL 2.0 предоставлена возможность назначения GPLv2+ в качестве вторичной лицензии для кода. При подобном назначении обеспечивается явная совместимость с GPL, но без него EPL 2.0 остается несовместимой с GPL.
Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 252 уязвимости. В выпуске Java SE 8u151 и 9.0.1 устранено 22 проблемы с безопасностью, 20 из которых могут быть эксплуатированы удалённо без проведения аутентификации. 2 уязвимостям присвоен критический уровень опасности (CVSS Score 9 и выше). 12 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java. Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе: 21 уязвимость в MySQL (максимальный уровень опасности 7.5). Проблемы устранены в выпусках MySQL Community Server 5.7.20, 5.6.38 и 5.5.58. 5 уязвимостей в VirtualBox (максимальная степень опасности 7.3). Уязвимости устранены в сегодняшнем обновлении VirtualBox 5.1.30. В Solaris в нынешнем
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, представил выпуск mod_md 1.0, модуля к http-серверу Apache для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). При помощи mod_md можно упростить процесс сопровождения сертификатов на серверах с большим числом сайтов или в системах массового хостинга. При наличии mod_md пользователям не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в сервисе Let’s Encrypt при первом запуске, организует их загрузку в mod_ssl (указание директив SSLCertificate* не требуется) и периодически будет обновлять сертификаты при приближении к истечению срока действия. Модуль mod_md уже принят в экспериментальную ветку Apache httpd и запланирован к бэкпортированию в стабильную ветку 2.4.x. Из нововведений экспериментальной ветки httpd также отмечается новая
Представлен второй выпуск основной стабильной ветки nginx 1.12.2, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.12 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Исправлена ошибка при которой клиентские SSL-соединения сразу закрывались при использовании отложенного accept и параметра proxy_protocol в директиве listen; Решена проблема с обрывом соединений при выполнении операции тестирования корректности конфигурации на платформе Linux, в случае использовании опции "reuseport" в директиве "listen"; Устранена проблема, приводившая к возвращению некорректной длины ответа на 32-разрядных системах при запросе более 4 Гб данных, разбитых несколько диапазонов (range); В модуле stream исправлена ошибка, проявляющаяся при использовании директивы 'ssl_preread' (не работало переключение на следующий бэкенд); Исправлена ошибка при использовании протокола HTTP/2, из-за которой могло быть
В преддверии первого стабильного выпуска новой ветки 5.2 компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.1.30, в котором отмечено 5 исправлений. В новой версии: Решены проблемы со сборков в Linux-дистрибутивах на базе glibc 2.26; Обновлены переводы элементов интерфейса; На хостах с Solaris обеспечена возможность увеличения размера MTU до 9706 байт для поддержки jumbo-кадров; Устранена проблема с дублированием курсора при запуске GUI в macOS; В дополнениях для Windows устранён крах при использовании 3D.
Представлен выпуск проекта netutils-linux 2.5.0, в рамках которого развивается набор утилит для мониторинга и тюнинга производительности сетевого стека Linux. Исходные тексты проекта написаны на Python (поддерживаются python 2.6+ и 3.4+) и поставляются под лицензией MIT. Цель проекта - упростить и унифицировать процесс настройки сетевого стека и сетевых карт, снизив необходимость разбираться в устройстве сетевого стека для рядовых системных администраторов (и снизить объём вычислений в уме: маски CPU, соответствие CPU и номеров IRQ и т.д.). Например, утилиты могут оказаться полезны при проведении работы по минимизации задержек и потерь пакетов в конфигурации с Linux-сервером, подключенном по каналу в 200 Мбит/с и выше. С момента прошлого (и первого) публичного релиза было исправлено несколько неприятных ошибок, связанных с совместимостью с архитектурами, дистрибутивами Linux, версиями Python и зависимостей проекта, приводивших к невозможностям запуска некоторых утилит. Помимо исправлений ошибок улучшена
Технический совет организации Linux Foundation опубликовал документ, поясняющий отношение сообщества разработчиков ядра Linux к вопросу принуждения к соблюдению условий лицензии GPLv2, компаниями использующими ядро в своих продуктах. Документ, который подписали 102 известных разработчика ядра и одобрили такие компании как Linaro, Red Hat, SUSE, VMware, Collabora, Oracle и Samsung, войдёт в состав документации к выпуску 4.14. Инициативу также поддержала правозащитная организация Software Freedom Conservancy, которой некоторые разработчики передали свои имущественные права на код в ядре для отстаивания соблюдения лицензии GPL. Документ определяет добровольные обязательства, которые принимают одобрившие документ разработчики, в отношении расторжения лицензии GPLv2 и прекращении всех прав лицензиата, предоставленных ему данной лицензией. Кроме того, указывается, что юридический путь решения проблемы рассматривается как последний из способов урегулирования нарушения, которое вначале следует попытаться решить