Проект X.Org празднует 30 лет с момента первого выпуска X11. 15 сентября 1987 года Ральф Свик (Ralph R. Swick) представил первый релиз X Window System, Version 11, ознаменовавший собой кардинальную переработку и стабилизацию протокола X. Примечательно, что протокол X прошёл от выпуска X1 до X11 за три года, но X11 используется и поныне, спустя 30 лет, обрастая расширениями, но не меняя своей сути. Например, качестве расширений были представлены такие распространённые в настоящее время возможности как XVideo, X Font Server, XKB, Xinerama, XCB, Multi-Pointer X, DRI2 и т.д. Время о времени возникают попытки инициировать разработку протокола X12, но все они не ушли дальше обсуждений. Основным аргументом в подобных обсуждениях было то, что протокол X11 был разработан в совершенно другую эпоху развития компьютерной техники, сейчас же наступила эра графических процессоров, многоядерных и мобильных систем, изменились требования к безопасности. Ответом на требование современных реалий стало появление проекта
Центр национальной компьютерной безопасности Словакии опубликовал уведомление о выявлении 10 вредоносных пакетов в каталоге PyPI. Имена вредоносных пакетов выбраны похожими на популярные Python-библиотеки, но отличаются незаметными сразу деталями. Например, вредоносные пакеты urllib и urlib3 камуфлируют под известную библиотеку urllib3. Примечательно, что используемый при создании данных модулей метод тайпсквотинга известен уже давно, в том числе в PyPI ранее уже размещался и удалялся вредоносный пакет с именем urllib, но какой-либо защиты от повторной регистрации предпринято не было. Распространяющие вредоносные пакеты злоумышленники рассчитывают на невнимательность разработчиков, которые по недосмотру устанавливают фиктивные пакеты (например, более логичным выглядит поставить urllib и bzip вместо настоящих urllib3 и bzip2). Периодически после жалоб пользователей вредоносные пакеты вычищаются из PyPI, но затем добавляются вновь. Выявленная порция вредоносных пакетов была помещена в PyPI в июне и за
Майкл Керриск, мэйнтейнер проекта man-pages, анонсировал версию 4.13 коллекции страниц руководства man для Linux. Как указывает Майкл, в процесс подготовки данной версии внесли вклад около 40 участников, суммарно было внесено более 350 изменений, среди которых можно отметить добавление пяти страниц. кроме того, все 1028 существующих страницы претерпели различные правки. Краткий обзор изменений: Добавлена документация, касающаяся некоторых ранее не документированных аспектов реализации POSIX threads API: Добавлены страницы pthread_mutexattr_setrobust(3) и pthread_mutex_consistent(3), описывающие часть API POSIX threads, относящуюся к поддержке robust mutexes. Кроме того, внесён ряд дополнений в страницу [url=http://man7.org/linux/man-pages/man2/get_robust_list.2.html]get_robust_list(2), описывающую системный вызов, используемый для реализации данной части API. Данные страницы написаны Майклом в соавторстве с Yubin Ruan. Добавлена страница pthread_mutexattr_init(3), описывающая функции
Состоялся релиз свободного Bluetooth-стека BlueZ 5.47, в котором устранена уязвимость CVE-2017-1000250, входящая в недавно раскрытую серию уязвимостей BlueBorne. Уязвимость затрагивает реализацию протокола SDP (Service Discovery Protocol) и может привести к утечке части памяти фонового процесса bluetoothd (например, могут быть раскрыты ключи шифрования). Из новых возможностей отмечается начальная реализация профиля Bluetooth Mesh, позволяющего создавать mesh-сети, в которых определённое устройство может быть связано с текущей системой через цепочку подключений через соседние устройства. Для взаимодействия в такой сети предложена утилита meshctl, которая позволяет создавать mesh-устройства при помощи PB-GATT (GATT Provisioning Bearer) и взаимодействовать с этими устройствами через протокол GATT Proxy. Кроме того, в новом выпуске реализована поддержка добавления параметров и локального имени анонсируемых данных через интерфейс Advertising D-Bus. В утилите btmon улучшено декодирование большей части команд и
Выпущен корректирующий релиз языка программирования Ruby 2.4.2, в котором устранены четыре уязвимости: CVE-2017-14064 - утечка произвольных областей памяти процесса при обработке JSON-данных, в которых присутствует символ с нулевым кодом; CVE-2017-14033 - крах при расшифровке специально оформленного контента из-за обращения за пределы границы буфера в коде OpenSSL::ASN1; CVE-2017-10784 - возможность подстановки escape-последовательностей в поле с именем пользователя при Basic-аутентификации в компоненте WEBrick (в лог могут быть добавлены escape-последовательности, которые будут обработаны при просмотре этого лога в терминале); CVE-2017-0898 - возможность утечки содержимого областей памяти процесса через манипуляции с опциями форматирования строки в методе sprintf из состава модуля Kernel.
Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.28, в котором отмечено 14 исправлений. Среди изменений: Решены проблемы при использовании ядра Linux 4.4, поставляемого в openSUSE Leap 42.3; В компонентах для хост-систем на базе Linux устранены проблемы с созданием образов VDI фиксированного размера; В дополнениях для гостевых систем добавлена поддержка драйвера drm для дистрибутивов на базе RHEL 7.3; Для исключения крахов в MsLbfoProvider на хостах с Windows обеспечено выравнивание исходящих сетевых пакетов по границе машинного слова; Устранены крахи, проявляющиеся при использовании эмулятора звукового кодека AC'97 или при изменении применяемого по умолчании устройства ввода или вывода звука; Налажен процесс записи звука при использовании бэкенда к звуковой система ALSA; Устранена утечка дескрипторов при использовании бэкенда OSS; Устранён крах в эмуляторе сетевого адаптера E1000, проявляющиейся при пробросе VLAN через внутреннюю сеть; В NAT обеспечено
Разработчики проекта Chromium сообщили о решении помечать обращение к ресурсам по протоколу FTP как небезопасное соединение. Изменение будет доведено до пользователей в релизе Chrome 63, намеченном на декабрь. По статистике Google число обращений по FTP оценивается на уровне 0.0026% от общего числа начальных запросов. При этом протокол FTP рассматривается как уступающий HTTP по уровню защиты, так как у HTTP есть возможность применения HSTS (HTTP Strict Transport Security) для автоматизации проброса на HTTPS. Администраторам FTP ресурсов рекомендуется последовать примеру kernel.org и перевести серверы загрузки на применение HTTPS.
Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.11, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 10 октября. Основные улучшения: Новое оформление конфигуратора, в котором упрощена навигация и предоставлена возможность быстрого доступа к часто используемым разделам настроек. Для пользователей, привыкших к старому интерфейсу, предоставлена возможность переключиться на ранее предлагавшиеся варианты оформления в виде сетки пиктограмм или дерева; Реализована возможность просмотра истории уведомлений, которая позволяет легко найти пропущенные или забытые сообщения. Пользователь теперь может посмотреть уведомления, пришедшие в его отсутствие, или посмотреть уведомления от приложений, не помеченные как постоянно
Спустя месяц с момента публикации сведений о прошлой порции критических проблем доступна информация о новых 4 уязвимостях, из которых три (CVE-2017-14316, CVE-2017-14317, CVE-2017-14317) потенциально позволяют выполнить код с правами гипервизора и выйти за пределы текущего гостевого окружения. Одна уязвимость (CVE-2017-14317) даёт возможность инициировать крах процесса xenstored. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра. Для проявления всех уязвимостей, кроме CVE-2017-14316 (уязвимость в коде поддержки NUMA), гостевая система должна работать в режиме паравиртуализации. Всего за последние полгода в Xen было устранено 16 критических уязвимостей.
Компания Zerodium объявила о запуске инициативы по выплате вознаграждений за выявление ранее неизвестных критических уязвимостей в Tor Browser, проявляющихся в окружении Tails Linux или Windows. Общий размер предоставляемых в рамках инициативы премий составляет миллион долларов США. Например, за демонстрацию эксплоита, который позволяет выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript, и 85 тысяч долларов при включенном JavaScript. Если дополнительно продемонстрирована техника повышения привилегий до пользователя root, размер премии увеличивается до 250 и 125 тысяч долларов, соответственно. В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом. Т.е. выявленные уязвимости будут использоваться спецслужбами для организации деанонимизации пользователей Tor Browser. Следует отметить, что Zerodium проводит похожие инициативы для поиска 0-day уязвимостей в Signal, WhatsApp, Telegram,