Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 3.3.0, который примечателен устранением 11 уязвимостей, пяти из которых присвоен высокий уровень опасности. Всем пользователям продукта рекомендуется срочно установить обновление. В частности устранена уязвимость, позволяющая совершить подстановку SQL-кода аутентифицированным пользователем (CVE-2017-7681), осущестивить вставку JavaScript-кода в чат (CVE-2017-7663), провести CSRF- и XSS-атаки (CVE-2017-7666). Система аутентификации оказалась незащищена от перебора паролей и ботов (отсутствует капча), пароли хранились с использованием ненадёжных криптографических методов (CVE-2017-7673). Отсутствовала проверка загружаемых документов XML (CVE-2017-7664). Из не связанных с безопасностью изменений можно отметить поддержку импорта/экспорта событий календаря-планировщика при помощи протоколов ical и caldav, поддержку загрузки видеофайлов на сервер, возможность сохранения резервных копий в формате zip, расширенные
Представлен релиз переносимой редакции системы синхронизации точного времени OpenNTPD 6.1p1, развиваемой проектом OpenBSD. Версия OpenNTPD 6.1 позиционируется как стабильная и будет включена в состав осеннего релиза OpenBSD 6.1. Одновременно сформирован выпуск OpenNTPD 6.2p1, который рассматривается как экспериментальная база для развития новых возможностей. OpenNTPD обеспечивает поддержку протокола NTP в соответствии с RFC 1305 (NTP, Network Time Protocol) и RFC 5905 (SNTP, Simple Network Time Protocol). Поддерживается как синхронизация локального времени с удалённым NTP-сервером, так и работа в роли NTP-сервера, который в том числе может получать точное время от специального оборудования через sensorsd(8). Настройка осуществляется через файл конфигурации ntpd.conf. Работа OpenNTPD проверена в Linux, FreeBSD, Solaris и macOS. В отличие от остальных реализаций, OpenNTPD развивается с первичной оглядкой на обеспечение безопасности и обладает только самым необходимым набором возможностей (простой и
На сайте государственных услуг Российской Федерации (gosuslugi.ru) наблюдается наличие вредоносных iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл "f.html". Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение о проблеме и вредоносный код находится на сайте до сих пор. В настоящее время через данную вредоносную вставку производится DDoS-атака на один из украинских сайтов: при запросе /f.html выдаётся редирект на атакуемый сайт, который наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц на gosuslugi.ru. При желании контролирующие атаку злоумышленники могут выполнить любой JavaScript код в контексте сеанса на сайте и атаковать необновлённый браузер посетителя, получить доступ к информации на странице или изменить её содержимое
Компания "НТЦ ИТ РОСА" выпустила серверный дистрибутив ROSA Enterprise Linux Server 6.9 (RELS). Новая версия построена на пакетной базе CentOS 6.9 (прошлый выпуск был основан на пакетах RHEL 6.7). 32- и 64-разрядные сборки дистрибутива доступны для свободной загрузки. Для прошлого выпуска был публично доступен репозиторий с пакетами и обновлениями с устранением проблем безопасности, для выпуска 6.9 бинарные сборки публично не поставляются, размещены только пакеты с исходными текстами, а доступ к репозиторию можно получить отправив специальный запрос в отдел продаж или техническую поддержку. Кроме штатных пакетов из CentOS в состав ROSA Enterprise Linux Server включены дополненные инструменты для развёртывания частных облаков, интеграции с корпоративными сетями, средства централизованного управления учетными записями пользователей, сетевыми ресурсами и системами хранения данных, web-интерфейс для наглядной настройки и управления сервером. Основные улучшения (перечисленные новшества были представлены в Red

Релиз systemd 234

13.07.2017 07:10
После четырёх месяцев разработки состоялся релиз системного менеджера systemd 234. Из новшеств можно отметить переход с на сборочную систему Meson, обеспечение перезапуска systemd-logind без потери состояния, возможность ограничить время выполнения unit-а, добавление в systemd-networkd реализации IPv6 Router Advertisment и появление возможности обработки диапазонов адресов IPv6. Основные изменения: Обеспечена поддержка сборки при помощи сборочной системы Meson, использующей инструментарий Ninja. Поддержка ранее применяемой сборки на основе Automake пока сохранена, но в будущих выпусках запланирована к удалению. Для сборки systemd вместо "./autogen.sh && ./configure && make && sudo make install" теперь можно использовать "meson build && ninja -C build && sudo ninja -C build install"; В менеджере сеансов systemd-logind обеспечена возможность перезапуска без потери состояния - при помощи механизма "FDSTORE=" перед выходом сохраняются файловые дескрипторы для обрабатываемых устройств, а при запуске
Состоялся релиз web-браузера Pale Moon 27.4, построенного на ответвлении от кодовой базы Firefox, модифицированного для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. На уровне поддержки базовых web-технологий и тем оформления браузер совместим с Firefox. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, интерфейс группировки вкладок Panorama, средства для родительского контроля и людей с ограниченными возможностями. Из улучшений выделяется поддержка инструкций SSE2, оптимизации для процессоров Atom, дополнительные варианты восстановления сеанса после краха и возможность отключить загрузку изображений. Основные
Компания Базальт СПО объявила о выходе дистрибутива Simply Linux 8.0, построенного на основе восьмой платформы BaseALT. Продукт распространяется в рамках лицензионного договора, не передающего право на распространение дистрибутива, но позволяющего без ограничений использовать физическим и юридическим лицам. Дистрибутив поставляется в сборках для архитектур i586 и x86_64, и может работать на системах с 512 Мб ОЗУ. Simply Linux представляет собой простую в работе систему с классическим рабочим столом на основе Xfce 4.12, предоставляющую полную русификацию интерфейса и большинства приложений. Дистрибутив предназначен для корпоративных рабочих станций и домашних систем. В состав входит входит набор приложений, специально подобранный с учетом предпочтений российских пользователей, а также расширенный набор драйверов и кодеков. Из компонентов дистрибутива отмечаются ядро Linux 4.9.34, системный менеджер Systemd 230, браузер Chromium 59, почтовый клиент Thunderbird 45.8.0, офисный пакет LibreOffice 5.2.7,
Пользователи Firefox обратили внимание на отслеживание активности через сервис Google Analytics на основной странице менеджера дополнений Firefox (about:addons). Примечательно, что счётчик используется независимо от согласия на передачу телеметрии Mozilla и без учёта режима "Do Not Track", более того, на страницу about:addons не распространяется действие дополнений для блокирования рекламы/трекеров и данные передаются даже в обход встроенной системы защиты от отслеживания (Tracking Protection) в приватном режиме. Содержимое списка предлагаемых дополнений, который отображается в разделе about:addons, загружается с хоста discovery.addons.mozilla.org, поэтому в качестве обходного пути отключения предлагается заблокировать доступ к данному хосту. Недовольство вызывает то, что информация о пользователе по умолчанию напрямую передаётся в сторонний сервис без предупреждения и в обход дополнений блокировки, что недопустимо для браузера, ориентированного на приватность. Один из сотрудников Mozilla пояснил, что
На собрании Генеральной Ассамблеи ECMA официально утверждён стандарт ECMAScript 2017 (ECMAScript 8 или "ECMA-262 8th edition"), определяющий базовые функциональные возможности JavaScript. ECMAScript 8 был подготовлен в соответствии с представленным в прошлом году непрерывным процессом формирования стандартов ECMAScript, которые теперь выпускаются ежегодно и развиваются в рамках непрерывно обновляемого варианта спецификации ECMAScript Next. В ECMAScript 8 вошли изменения, связанные с устранением недоработок и внесением уточнений к прошлым выпускам ECMAScript, а также добавлено несколько новшеств. В стандарт перенесены уже поддерживаемые браузерами возможности, поэтому ECMAScript 8 сразу доступен во всех основных браузерах и не требует дополнительного времени на реализацию. Основные новшества: Добавлены методы Object.values() и Object.entries(), который дополняют уже стандартизированный метод Object.keys и позволяют получить массив из значений и связок ключ/значение для хранящихся в объекте данных
Представлен релиз HTTP-сервера Apache 2.4.27, в котором представлено 8 изменения, из которых половина связана с решением проблем с нарушением совместимости. В частности, отключена поддержка HTTP/2 при использовании Prefork MPM, обеспечена совместимость FastCGI c PHP-FPM (возобновлено поведение версии 2.4.20), отключен экспорт недокументированной переменной 'apr_table' в mod_lua, улучшена совместимость mod_lua с Lua 5.1, 5.2 и 5.3. Кроме того, увеличена производительность и снижено потребление памяти в mod_http2, возобновлена поддержка полей из одного символа, устранено дублирование метода HEAD в заголовке Allow. Также доступны новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx - 1.12.1 и 1.13.3, в которых устранена уязвимость CVE-2017-7529. При помощи отправки специально оформленного запроса злоумышленник может вызвать целочисленное переполнение и некорректную обработку диапазонов в range-фильтре. При использовании штатного набора модулей уязвимость потенциально может