На сайте с информацией о взломе Equifax, в результате которого произошла утечка персональных данных 44% населения США, появилось подтверждение сведений, что для атаки была применена уязвимость CVE-2017-5638. Данная уязвимость была устранена в мартовском обновлении Apache Struts, в то время как атака на Equifax была проведена с мая по июль, т.е. причиной взлома стала халатность персонала, которые не установили обновление с исправлением критической уязвимости. Примечательно, что в аргентинском отделении Equifax выявлена ещё более знаковая оплошность - оказалось, что на портал для сотрудников Equifax, предназначенный для управления кредитными спорами, можно было войти при помощи логина/пароля admin/admin. Воспользовавшись данной учётной записью исследователям удалось получить персональные данные о всех сотрудниках аргентинского отделения и сведения о более 14 тысячах кредитных спорах, в которых приведены персональные данные получателей кредитов (в том числе номера телефонов и DNI). Более того, были получены
Увидел свет дистрибутив CentOS 7.1708, вобравший в себя изменения из Red Hat Enterprise Linux 7.4. Напомним, что номер версии 7.1708 связан с введением в практику ежемесячной сборки rolling-обновлений установочных образов и отражает время очередной сборки, при том, что в рамках подготовки данной сборки репозиторий был переведён на пакетную базу RHEL 7.4, т.е. выпуск CentOS 7.1708 можно формально рассматривать как CentOS 7.4 в старой нумерации. Сборки доступны для архитектур x86_64, ARMv7 (armhfp), AArch64/ARM64, ppc64 (POWER7, Big Endian) и ppc64le (POWER8, Little Endian). Для x86_64 подготовлены установочные DVD-сборки (4 Гб), образ NetInstall для установки по сети (422 Мб), минимальная серверная сборка (792 Мб), полный образ для USB Flash (8 Гб) и Live-сборки с GNOME (1 Гб) и KDE (2 Гб). В ближайшие дни также ожидается появление сборок для 32-разрядных систем x86 (i686). Пакеты SRPMS, на основе которых произведена сборка бинарных файлов, и debuginfo доступны через vault.centos.org. Дистрибутив полностью
После двухнедельного закрытого распространения среди разработчиков дистрибутивов открыт публичный доступ к релизу сетевого анализатора трафика tcpdump 4.9.2. Задержка открытия публичного доступа к релизу обусловлена устранением 92 уязвимостей, 2 из которых могут привести к переполнению буфера и выполнению кода злоумышленника при обработке определённого вида трафика. 4 уязвимости могут привести к зацикливанию процесса, а остальные 86 проблем связаны с возможностью чтения из областей вне границ выделенного буфера. Проблемы обнаружены в коде разбора содержимого различных форматов и протоколов.
После шести месяцев разработки официально представлен выпуск десктоп-окружения GNOME 3.26. По сравнению с прошлым выпуском было внесено более 24 тысяч изменений, в реализации которых приняли участие 778 разработчиков. Из наиболее значительных изменений в новой версии можно отметить улучшение поиска, анимацию раскрытия и сворачивания окна, поддержку цветных Emoji, отключение классического системного лотка, редизайн конфигуратора, новую панель настройки экрана, поддержку синхронизации с Firefox в Epiphany. Для быстрой оценки возможностей GNOME 3.26 подготовлены специализированные Live-сборки на основе openSUSE и Ubuntu. Основные новшества: Представлена порция видимых изменений рабочего стола: Добавлен эффект плавной анимации сворачивания и раскрытия окон. Увеличен размер эскизов окон в обзорном режиме (Activities Overview), что позволяет более точно определить нужное окно. Верхняя панель теперь автоматически становится прозрачной при отсутствии раскрытых на весь экран окон, что позволяет высвободить
GitHub совместно с Facebook представил проект Atom IDE, в рамках которого подготовлена интегрированная среда разработки, оформленная в виде серии дополнений к ранее развиваемому текстовому редактору для программистов Atom. Код проекта распространяется под лицензией MIT. На текущем этапе развития Atom IDE поддерживает автодополнение языковых конструкций с учётом контекста, интерактивные подсказки, выявление синтаксических ошибок, наглядное представление сведений об ошибках и предупреждениях, форматирование кода, средства для навигации по коду, такие как древовидный обзор структуры (outline view), переход на определения и поиск ссылок. Поддерживается разработка на языках TypeScript, Flow, JavaScript, Java, C# и PHP, для которых предоставляются средства глубокого синтаксического анализа кода создаваемых проектов. В ближайшее время ожидается поддержка языков Rust, Go и Python. Компоненты для поддержки языков отделены и оформлены в виде отдельных серверных обработчиков, взаимодействие с которыми
Подготовлен релиз программы для управления коллекцией фотографий digiKam 5.7.0. В новом выпуске закрыто 508 отчётов об ошибках, что объясняется проведением чистки системы отслеживания ошибок от дубликатов и устаревших уведомлений. Из новшеств можно отметить: Добавлена поддержка инструментария для компоновки панорам Hugin 2017; Поддержка отображения маршрута на основе GPS-трассировок в формате KML; Реализован инструмент для компоновки содержимого страницы перед выводом на печать, упрощающий печать нескольких фотографий. Например, можно разместить несколько изображений на странице, автоматически обрезать края или отмасштабировать большое изображение; Добавлена функця отправки изображений на email. Возможно задание лимита на размер отправляемых данных, выполнение операции чистки метаданных перед отправкой и конвертация в другой формат.
Компания Oracle опубликовала детали плана по передаче проекта Java EE (Java Platform Enterprise Edition) в руки сообщества для реализации независимой модели разработки и принятия решений. В качестве организации, которая будет курировать развитие Java EE, выбран Фонд Eclipse, курирующей развитие платформы для создания интегрированных сред разработки и различных проектов на языке Java. Инициативу Oracle поддержали компании IBM и Red Hat, которые являются крупнейшими участниками разработки Java EE. Озвучены намерения перелицензировать принадлежащие Oracle технологии Java EE и наработки, связанные с проектом GlassFish, включая эталонные реализации, наборы для оценки совместимости (TCK) и всю документацию. Все имущественные права на данные технологии будут переданы Eclipse Foundation. Независимый проект планируется распространять под новым брендом, т.е. вместо Java EE будет выбрано другое имя, но пакеты javax и определённые в спецификации компоненты сохранят свои прежние названия. Дополнительно будет
Доступен выпуск открытого видеоплеера MPV 0.27, несколько лет назад ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного бэкпортирования новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией GPLv2, некоторые части поставляются под LGPL. В новой версии: В модуль вывода через OpenGL (vo_opengl) добавлена поддержка прямого рендеринга ("--vd-lavc-dr") и цветовых профилей ICC, задействованы более быстрые вычислительные шейдеры на основе ядра EWA, обеспечена возможность инвертирования HLG OOTF, добавлен режим определения пиков HDR ("--hdr-compute-peak"), добавлена поддержка пиксельных форматов с плавающей запятой, представлена возможность загрузки пользовательских текстур и вычислительных шейдеров; Добавлен API для абстрагирования операций вывода, который в будущем позволит реализовать модули вывода не на основе GL; Добавлена поддержка управления через
Лаборатория Armis раскрыла сведения о серии уязвимостей под кодовым именем BlueBorne, охватывающих Bluetooth-стеки Linux, Android, iOS и Windows. По имнению Марка Кокса (Mark J. Cox), возглавляющего команду, занимающуюся решением проблем безопасности в продуктах Red Hat, выявленная проблема может претендовать на звание самой опасной уязвимости в Linux за последние 18 лет. Проблема позволяет организовать выполнение кода с привилегиями ядра на широком спектре устройств с включенной поддержкой Bluetooth через отправку в эфир специально оформленных пакетов. Атака может быть проведена скрыто без необходимости сопряжения устройств или выполнения каких-либо действий со стороны пользователя. Для атаки достаточно, чтобы на устройстве был включен Bluetooth и жертва находилось в зоне достижимости атакующего. По предварительной оценке проблема может затрагивать около 5.3 миллиардов устройств, от ноутбуков и смартфонов до умных часов, телевизоров и автомобильных информационно-развлекательных систем. Выявившие
Исследователи безопасности из компании Cisco предупредили о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com. Кроме того, сообщается о подверженности уязвимостям в Apache Struts многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в продуктах Cisco Digital Media Manager, Cisco MXE 3500 Series Media Experience Engines, Cisco Unified Contact Center Enterprise, Cisco Unified Intelligent Contact Management Enterprise и Cisco Network Performance Analysis. В процессе анализа находятся продукты, в которых имеются подозрения на проявление уязвимости: Cisco Unified MeetingPlace