пятница, 15 сентября 2017
11:52

Запись за 15.09.2017 11:52:53 +0300

И это всё МОЁ
Обновление Ruby 2.4.2 с устранением уязвимостей.

Выпущен корректирующий релиз языка программирования Ruby 2.4.2, в котором устранены четыре уязвимости:

CVE-2017-14064 - утечка произвольных областей памяти процесса при обработке JSON-данных, в которых присутствует символ с нулевым кодом;
CVE-2017-14033 - крах при расшифровке специально оформленного контента из-за обращения за пределы границы буфера в коде OpenSSL::ASN1;
CVE-2017-10784 - возможность подстановки escape-последовательностей в поле с именем пользователя при Basic-аутентификации в компоненте WEBrick (в лог могут быть добавлены escape-последовательности, которые будут обработаны при просмотре этого лога в терминале);
CVE-2017-0898 - возможность утечки содержимого областей памяти процесса через манипуляции с опциями форматирования строки в методе sprintf из состава модуля Kernel.
Обновление Ruby 2.4.2 с устранением уязвимостей



URL
09:30

Запись за 15.09.2017 09:30:03 +0300

И это всё МОЁ
Андрей Коновалов (Andrey Konovalov) нашел с помощью фаззера syzkaller последовательность системных вызовов, которая портит память ядра, если в системе есть хотя бы один сетевой интерфейс с MTU < 65535 и включенной опцией UDP Fragmentation Offload. На самом деле требуется еще право менять опции интерфейса, но его легко получить через непривилегированные пользовательские пространства имен. Они же позволяют создать такой интерфейс, если его не было в системе изначально. Итог: на некоторых ядрах, поставляемых Ubuntu, продемонстрировано повышение привилегий от обычного пользователя до root (CVE-2017-1000112). Проблема существует также в ядрах не от Ubuntu.

David S. Miller в качестве решения проблемы предложил удалить поддержку UDP Fragmentation Offload и выслал соответствующий набор патчей в рассылку netdev. Мотивация: «эту операцию поддерживает очень небольшое число устройств, польза от нее в лучшем случае сомнительна, и эта операция добавляет немало сложности в пути обработки данных». На данный момент патчи приняты в ветку net-next.

»> Подробности
www.spinics.net/lists/netdev/msg444744.html

Источник:
www.linux.org.ru/news/kernel/13681175



URL
09:00

Запись за 15.09.2017 09:00:11 +0300

И это всё МОЁ
Caddy — HTTP/2 веб-сервер с автоматическим HTTPS.

Теперь использование официальных бинарных билдов в коммерческих и некоммерческих целях попадает под EULA. В некоммерческих целях можно использовать бесплатно.

При этом официальные билды будут включать в ответ специальный заголовок Caddy-Sponsors, в котором будут указаны спонсоры проекта.

EULA распространяется на билды, собранные на инфраструктуре разработчика. Исходный код остается под лицензией Apache-2.0. Можно компилировать своими силами и использовать в коммерческих целях.

Появился неофициальный форк проекта, который убирает из ответа заголовок Caddy-Sponsors.

»> Подробности
caddyserver.com/blog/accouncing-caddy-commercia...

Источник:
www.linux.org.ru/news/opensource/13680171
Announcing Caddy Commercial Licenses



URL
08:58

Гаражная конторка 1978 года

И это всё МОЁ


Гаражная конторка 1978 года










Сделал сцену в Blender v2.79.
На переднем плане изображены терминалы DEC VT100, а на фоне мейнфрейм VAX-11/780 той же компании. На это ушло порядко 5.8 миллионов полигонов

При рендере использовалось новое шумоподавление Blender v2.79, а также активно использовался Principled BSDF в материалах. Логотипы были сделаны в Inkscape.

При чем тут Linux? На ближнем терминале изображена компиляция ponysay в Gentoo.

256 samples, 3840x2160 px, Time: 44:20.56 min, Mem: 2316.86M, Peak: 3042.14M

Изображение сшакалено, т.к. в оригинале занимает более 7 МБ.


















>>> Просмотр
(3840x2160,
2106 Kb)










 ,








URL
08:58

Archlinux, openbox

И это всё МОЁ


Archlinux, openbox










Рабочий стол моего ноутбука. Процесс получения изображения с IP-камер моего офиса, не заходя внутрь. На скриншоте sakura терминал с выводом wifite, на котором можно увидеть пароль от точки доступа wifi. Также передаю привет моему сисадмину, который в 50% случаев оставил пароли вида admin\admin.


















>>> Просмотр
(1366x768,
136 Kb)










 , ,








URL
08:42

Запись за 15.09.2017 08:42:46 +0300

И это всё МОЁ
Зарелизилась версия 3.0 популярного многофункционального редактора кода.

По сравнению с Sublime Text 2 был улучшен практически каждый аспект редактора. Список основных изменений настолько велик, что разработчики сделали отдельную страницу www.sublimetext.com/2to3

Разработчики выделяют следующие улучшения в версии 3.0: Goto Definition, новый механизм подсветки синтаксиса, новый интерфейс и новый API расширений. Отдельно упоминают производительность, по сравнению с Sublime Text 2 старт редактора и открытие файлов происходят быстрее, а прокрутка более плавная.

По сравнению с последней (июльской) бета-версией обновлена тема пользовательского интерфейса, добавлены новые цветовые схемы, новая иконка и улучшена подсветка синтаксиса.

Для Sublime Text 3.0 действительны лицензии приобретенные начиная с 2013 года, для перехода с Sublime Text 1 или 2 необходимо приобрести обновление.

Download
www.sublimetext.com/3

»> Подробности
www.sublimetext.com/blog/articles/sublime-text-...

Источник:
www.linux.org.ru/news/proprietary/13678442



URL
08:03

Выпуск BlueZ 5.47 с начальной поддержкой Bluetooth Mesh Profile

И это всё МОЁ
Состоялся релиз свободного Bluetooth-стека BlueZ 5.47, в котором устранена уязвимость CVE-2017-1000250, входящая в недавно раскрытую серию уязвимостей BlueBorne. Уязвимость затрагивает реализацию протокола SDP (Service Discovery Protocol) и может привести к утечке части памяти фонового процесса bluetoothd (например, могут быть раскрыты ключи шифрования).



URL
07:42

Обновление Ruby 2.4.2 с устранением уязвимостей

И это всё МОЁ
Выпущен корректирующий релиз языка программирования Ruby 2.4.2, в котором устранены четыре уязвимости.



URL
06:59

Выпуск VirtualBox 5.1.28

И это всё МОЁ
Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.28, в котором отмечено 14 исправлений.



URL
06:35

Chrome будет помечать FTP как небезопасный протокол

И это всё МОЁ
Разработчики проекта Chromium сообщили о решении помечать обращение к ресурсам по протоколу FTP как небезопасное соединение. Изменение будет доведено до пользователей в релизе Chrome 63, намеченном на декабрь. По статистике Google число обращений по FTP оценивается на уровне 0.0026% от общего числа начальных запросов. При этом протокол FTP рассматривается как уступающий HTTP по уровню защиты, так как у HTTP есть возможность применения HSTS (HTTP Strict Transport Security) для автоматизации проброса на HTTPS. Администраторам FTP ресурсов рекомендуется последовать примеру kernel.org и перевести серверы загрузки на применение HTTPS.



URL
05:51

Компания Apple открыла ядро и системные компоненты macOS 12.6

И это всё МОЁ
Компания Apple опубликовала исходные тексты низкоуровневых системных компонентов операционной системы macOS 10.12.6 (macOS Sierra), в которых используется свободное программное обеспечение, включая ядро xnu, составные части Darwin и прочие компоненты, программы и библиотеки, не связанные с GUI. Всего опубликовано 205 пакетов с исходными текстами. По сравнению с выпуском macOS 10.12.5 число открытых пакетов не изменилось.



URL
четверг, 14 сентября 2017
23:16

Запись за 14.09.2017 23:16:55 +0300

И это всё МОЁ
На данный момент HumbleBundle бесплатно раздаёт кроссплатформ игру PSYCHONAUTS, разбирайте, осталось 1,5 суток!

www.humblebundle.com/store/psychonauts
Buy Psychonauts from the Humble Store



URL
22:40

Запись за 14.09.2017 22:40:57 +0300

И это всё МОЁ
Тестирование Plasma 5.11. Движение в сторону паритета сеансов Wayland и XOrg.
vk.com/multi_linux_community?w=wall-114916478_2...
Адаптация Plasma Mobile для смартфона Librem 5.
habrahabr.ru/post/321470/
Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.11, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Релиз ожидается 10 октября.
habrahabr.ru/post/322580/
Продолжено усовершенствование работы с использованием протокола Wayland. Проведена работа по обеспечению создания окружений, полностью избавленных от X-сервера, в которых прослойка Xwayland вызывается по мере необходимости, т.е. только когда запускаются приложения, завязанные на X11. Подобный подход снизит потребление ресурсов и увеличит безопасность. Кроме того, для инициализации сеанса Wayland добавлена возможность использования ConsoleKit2 вместо systemd-logind, что расширяет спектр поддерживаемых платформ. Из других связанных с Wayland изменений также отмечается улучшение средств идентификации приложений для панели, реализация индикатора воспроизведения звука для элементов панели, возможность задания ограниченной области перемещения окна, поддержка ярлыков для окон, унификация логики обработки заголовка окна в X и Wayland.
Продолжение:
Тестирование KDE Plasma 5.11. Адаптация Plasma Mobile для смартфона Librem 5



URL
21:26

Из ядра Linux удалена поддержка UDP Fragmentation Offload

И это всё МОЁ

Андрей Коновалов (Andrey Konovalov) нашел с помощью фаззера syzkaller последовательность системных вызовов, которая портит память ядра, если в системе есть хотя бы один сетевой интерфейс с MTU < 65535 и включенной опцией UDP Fragmentation Offload. На самом деле требуется еще право менять опции интерфейса, но его легко получить через непривилегированные пользовательские пространства имен. Они же позволяют создать такой интерфейс, если его не было в системе изначально. Итог: на некоторых ядрах, поставляемых Ubuntu, продемонстрировано повышение привилегий от обычного пользователя до root (CVE-2017-1000112). Проблема существует также в ядрах не от Ubuntu.

David S. Miller в качестве решения проблемы предложил удалить поддержку UDP Fragmentation Offload и выслал соответствующий набор патчей в рассылку netdev. Мотивация: «эту операцию поддерживает очень небольшое число устройств, польза от нее в лучшем случае сомнительна, и эта операция добавляет немало сложности в пути обработки данных». На данный момент патчи приняты в ветку net-next.








 , , ,








URL
21:17

MS13-098: Vulnerability in Windows could allow remote code execution: December 10, 2013

И это всё МОЁ
Resolves a vulnerability in Windows that could allow remote code execution if user or application runs or installs a specially crafted, signed portable executable (PE) file on an affected system.



URL
21:17

MS13-098: Vulnerability in Windows could allow remote code execution: December 10, 2013

И это всё МОЁ
Resolves a vulnerability in Windows that could allow remote code execution if user or application runs or installs a specially crafted, signed portable executable (PE) file on an affected system.



URL
21:17

MS13-098: Vulnerability in Windows could allow remote code execution: December 10, 2013

И это всё МОЁ
Resolves a vulnerability in Windows that could allow remote code execution if user or application runs or installs a specially crafted, signed portable executable (PE) file on an affected system.



URL
21:17

MS13-098: Vulnerability in Windows could allow remote code execution: December 10, 2013

И это всё МОЁ
Resolves a vulnerability in Windows that could allow remote code execution if user or application runs or installs a specially crafted, signed portable executable (PE) file on an affected system.



URL
21:17

MS13-098: Vulnerability in Windows could allow remote code execution: December 10, 2013

И это всё МОЁ
Resolves a vulnerability in Windows that could allow remote code execution if user or application runs or installs a specially crafted, signed portable executable (PE) file on an affected system.



URL
21:17

MS13-098: Vulnerability in Windows could allow remote code execution: December 10, 2013

И это всё МОЁ
Resolves a vulnerability in Windows that could allow remote code execution if user or application runs or installs a specially crafted, signed portable executable (PE) file on an affected system.



URL