Атака PMFault, позволяющая вывести из строя CPU на некоторых серверных системах
Исследователи из Бирмингемского университета, ранее известные разработкой атак Plundervolt и VoltPillager, выявили уязвимость (CVE-2022-43309) в некоторых серверных материнских платах, позволяющую физически вывести из строя CPU без возможности его последующего восстановления. Уязвимость, которая получила кодовое имя PMFault, может быть использована для повреждения серверов, к которым у атакующего нет физического доступа, но есть привилегированный доступ к операционной системе, полученный, например, в результате эксплуатации неисправленной уязвимости или перехвата учётных данных администратора.
Атака PMFault, позволяющая вывести из строя CPU на некоторых серверных системах
Исследователи из Бирмингемского университета, ранее известные разработкой атак Plundervolt и VoltPillager, выявили уязвимость (CVE-2022-43309) в некоторых серверных материнских платах, позволяющую физически вывести из строя CPU без возможности его последующего восстановления. Уязвимость, которая получила кодовое имя PMFault, может быть использована для повреждения серверов, к которым у атакующего нет физического доступа,...
Хостинг свободных проектов Sourceware перешёл под крыло организации SFC
Хостинг свободных проектов Sourceware присоединился к организации Software Freedom Conservancy (SFC), предоставляющей юридическую защиту свободным проектам, отстаивающей необходимость соблюдения лицензии GPL и аккумулирующей спонсорские средства.
Synthstrom Audible откроет код прошивки музыкальных синтезаторов Deluge
Компания Synthstrom Audible анонсировала открытие прошивки для музыкального оборудования Deluge, сочетающего в одном портативном устройстве звуковой синтезатор, сэмплер, грувбокс и секвенсор, предназначенные для создания электронной музыки и организации живых выступлений и лупов c элементами импровизации. Код планируют опубликовать на GitHub 5 июня под лицензией GPLv3.
Обновление утилит резервного копирования pg_probackup 2.5.12 и 2.6.2
Компания Postgres Professional выпустила обновление утилиты pg_probackup для резервного копирования и восстановления СУБД PostgreSQL и Postgres Pro (Standard и Enterprise), а также для управления архивом резервных копий. Утилита поддерживает различные стратегии резервного копирования (инкрементальные и полные бэкапы), слияние разных резерных копий, дедупликацию и сжатие резервных копий, автоматическую проверку корректности сохранённых данных и состояния активной БД, чистку устаревших архивов, выполнение работ в несколько потоков, частичное восстановление, использование запасных (standby) серверов для снижения нагрузки во время создания резерных копий и т.п.
Обновление утилит резервного копирования pg_probackup 2.5.12 и 2.6.2
Компания Postgres Professional выпустила обновление утилиты pg_probackup для резервного копирования и восстановления СУБД PostgreSQL и Postgres Pro (Standard и Enterprise), а также для управления архивом резервных копий. Утилита поддерживает различные стратегии резервного копирования (инкрементальные и полные бэкапы), слияние разных резерных копий, дедупликацию и сжатие резервных копий, автоматическую проверку корректности сохранённых...
Состоялся релиз легковесного http-сервера lighttpd 1.4.70, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD.
Релиз минималистичного дистрибутива Alpine Linux 3.18
Доступен релиз Alpine Linux 3.18, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров Docker и используется в проекте PostmarketOS. Загрузочные iso-образы (x86_64, x86, armhf, aarch64, armv7, ppc64le, s390x) подготовлены в шести вариантах: стандартном (189 МБ), с ядром без патчей (204 МБ), расширенном (840 МБ), для виртуальных машин (55 MB) и для гипервизора Xen (221 МБ).
Релиз минималистичного дистрибутива Alpine Linux 3.18
Доступен релиз Alpine Linux 3.18, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров...
В Индии заблокировали открытые мессенджеры Element и Briar
В рамках инициативы по усложнению координации деятельности сепаратистов индийское правительство начало блокировку 14 мессенджеров. Среди заблокированных приложений оказались открытые проекты Element и Briar. В качестве формальной причины блокировки упоминается отсутствие представительств данных проектов в Индии, которые несут юридическую ответственность за связанную с приложениями деятельность и по действующему в Индии законодательству обязаны предоставлять информацию о пользователях.
В Индии заблокировали открытые мессенджеры Element и Briar
В рамках инициативы по усложнению координации деятельности сепаратистов индийское правительство начало блокировку 14 мессенджеров. Среди заблокированных приложений оказались открытые проекты Element и Briar. В качестве формальной причины блокировки упоминается отсутствие представительств данных проектов в Индии, которые несут юридическую ответственность за связанную с приложениями деятельность и по действующему в Индии законодательству обязаны...
Леннарт Поттеринг предложил добавить в systemd режим мягкой перезагрузки
Леннарт Поттеринг рассказал о подготовке к добавлению в системный менеджер systemd режима мягкой перезагрузки ("systemctl soft-reboot"), который приводит к перезапуску только компонентов пространства пользователя, не трогая ядро Linux. Предполагается, что по сравнению с обычной перезагрузкой мягкая перезагрузка сократит время простоя во время обновления окружений, использующих готовые системные образы.
Леннарт Поттеринг предложил добавить в systemd режим мягкой перезагрузки
Леннарт Поттеринг рассказал о подготовке к добавлению в системный менеджер systemd режима мягкой перезагрузки ("systemctl soft-reboot"), который приводит к перезапуску только компонентов пространства пользователя, не трогая ядро Linux. Предполагается, что по сравнению с обычной перезагрузкой мягкая перезагрузка сократит время простоя во время обновления окружений, использующих готовые системные образы.
Nintendo потребовала заблокировать проект Lockpick, что остановило разработку эмулятора Skyline Switch
Компания Nintendo отправила в GitHub требование о блокировке репозиториев Lockpick и Lockpick_RCM, а также около 80 их форков. Требование отправлено на основании действующего в США Законе об авторском праве в цифровую эпоху (DMCA). Проекты обвиняются в нарушении интеллектуальной собственности Nintendo и обходе технологий защиты, применяемых в приставках Nintendo Switch. В настоящее время заявка находится на рассмотрении в GitHub и блокировка пока не применена (удаление производится через сутки после отправки предупреждения авторам).
Nintendo потребовала заблокировать проект Lockpick, что остановило разработку эмулятора Skyline Switch
Компания Nintendo отправила в GitHub требование о блокировке репозиториев Lockpick и Lockpick_RCM, а также около 80 их форков. Требование отправлено на основании действующего в США Законе об авторском праве в цифровую эпоху (DMCA). Проекты обвиняются в нарушении интеллектуальной собственности Nintendo и обходе технологий защиты, применяемых в приставках Nintendo Switch. В настоящее время заявка...
В первом квартале 2023 года загрузки открытого ПО в РФ выросли в 3.2 раза
Компания Scarf, поддерживающая сервис для мониторинга за загрузкой открытого ПО, опубликовала отчёт со статистикой за первый квартал 2023 года, сформированный на основе данных, собранных для около двух тысяч пакетов с открытым ПО, которые в сумме были загружены за отчётный период 240 млн раз, что на 60% больше, чем в 4 квартале 2022 года. При этом число уникальных пользователей, загрузивших пакеты, достигло в первом квартале 2023 года 6.2 млн, что лишь на 5% больше, чем в 4 квартале 2022 года.
В первом квартале 2023 года загрузки открытого ПО в РФ выросли в 3.2 раза
Компания Scarf, поддерживающая сервис для мониторинга за загрузкой открытого ПО, опубликовала отчёт со статистикой за первый квартал 2023 года, сформированный на основе данных, собранных для около двух тысяч пакетов с открытым ПО, которые в сумме были загружены за отчётный период 240 млн раз, что на 60% больше, чем в 4 квартале 2022 года. При этом число уникальных пользователей, загрузивших пакеты, достигло в первом квартале...
Опубликовано обновление дистрибутива OpenWrt 22.03.5 (выпуск 22.03.4 был пропущен), ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 35 целевых платформ.
Опубликовано обновление дистрибутива OpenWrt 22.03.5 (выпуск 22.03.4 был пропущен), ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи...
Перехвачен контроль над 14 PHP-библиотками в репозитории Packagist
Администраторы репозитория пакетов Packagist раскрыли сведения об атаке, в результате которой был захвачен контроль над учётными записями сопровождающих 14 PHP-библиотек, в числе которых такие популярные пакеты, как instantiator (526 млн установок всего и 8 млн установок за месяц), sql-formatter (94 млн установок), doctrine-cache-bundle (73 млн) и rcode-detector-decoder (20 млн).
Перехвачен контроль над 14 PHP-библиотками в репозитории Packagist
Администраторы репозитория пакетов Packagist раскрыли сведения об атаке, в результате которой был захвачен контроль над учётными записями сопровождающих 14 PHP-библиотек, в числе которых такие популярные пакеты, как instantiator (526 млн установок всего и 8 млн установок за месяц), sql-formatter (94 млн установок), doctrine-cache-bundle (73 млн) и rcode-detector-decoder (20 млн).
Компания Valve выпустила Proton 8.0-2, пакет для запуска Windows-игр в Linux
Компания Valve опубликовала обновление проекта Proton 8.0-2, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD.
Выпуск дистрибутива Nitrux 2.8 с пользовательскими окружениями NX Desktop
Опубликован выпуск дистрибутива Nitrux 2.8.0, построенного на пакетной базе Debian, технологиях KDE и системе инициализации OpenRC. Проект предлагает собственный рабочий стол NX Desktop, который представляет собой надстройку над KDE Plasma. На основе библиотеки Maui для дистрибутива развивается набор типовых пользовательских приложений, которые можно использовать как на настольных системах, так и на мобильных устройствах. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages. Размер полного загрузочного образа составляет 3.3 ГБ. Наработки проекта распространяются под свободными лицензиями.
Выпуск дистрибутива Nitrux 2.8 с пользовательскими окружениями NX Desktop
Опубликован выпуск дистрибутива Nitrux 2.8.0, построенного на пакетной базе Debian, технологиях KDE и системе инициализации OpenRC. Проект предлагает собственный рабочий стол NX Desktop, который представляет собой надстройку над KDE Plasma. На основе библиотеки Maui для дистрибутива развивается набор типовых пользовательских приложений, которые можно использовать как на настольных системах, так и на мобильных устройствах. Для...
Проект по реализации утилит sudo и su на языке Rust
Организация ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета, представила проект Sudo-rs по созданию написанных на языке Rust реализаций утилит sudo и su, позволяющих выполнять команды от имени других пользователей. Под лицензиями Apache 2.0 и MIT уже опубликована предварительная версия Sudo-rs, пока не готовая к повсеместному использованию. Проект, работа над которым началась в декабре 2022 года, планируют завершить в сентябре 2023 года.
Проект по реализации утилит sudo и su на языке Rust
Организация ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета, представила проект Sudo-rs по созданию написанных на языке Rust реализаций утилит sudo и su, позволяющих выполнять команды от имени других пользователей. Под лицензиями Apache 2.0 и MIT уже опубликована предварительная версия Sudo-rs, пока не готовая к...
После года разработки опубликован релиз свободного набора компиляторов GCC 13.1, первый значительный выпуск в новой ветке GCC 13.x. В соответствии с новой схемой нумерации выпусков, версия 13.0 использовалась в процессе разработки, а незадолго до выхода GCC 13.1 уже ответвилась ветка GCC 14.0, на базе которой будет сформирован следующий значительный релиз GCC 14.1.
67% публичных серверов Apache Superset используют ключ доступа из примера настроек
Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset.
67% публичных серверов Apache Superset используют ключ доступа из примера настроек
Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет...
Представлен web-браузер Opera One, идущий на смену нынешнему браузеру Opera
Началось тестирование нового web-браузера Opera One, который после стабилизации придёт на смену нынешнему браузеру Opera. Opera One продолжает использовать движок Chromium и отличается полностью переработанной модульной архитектурой, многопоточной организацией отрисовки и новыми возможностями по группировке вкладок. Сборки Opera One подготовлены для Linux (deb, rpm, snap), Windows и MacOS.
Представлен web-браузер Opera One, идущий на смену нынешнему браузеру Opera
Началось тестирование нового web-браузера Opera One, который после стабилизации придёт на смену нынешнему браузеру Opera. Opera One продолжает использовать движок Chromium и отличается полностью переработанной модульной архитектурой, многопоточной организацией отрисовки и новыми возможностями по группировке вкладок. Сборки Opera One подготовлены для Linux (deb, rpm, snap), Windows и MacOS.
Джонатан Картер в четвёртый раз переизбран на пост лидера проекта Debian
Объявлены результаты ежегодных выборов лидера проекта Debian. Победу одержал Джонатан Картер (Jonathan Carter), который был переизбран на четвёртый срок. В голосовании приняли участие 274 разработчика, что составляет 28% от всех участников, имеющих право голоса, что является минимальным за всю историю проекта (в прошлом году явка составила 34%, в позапрошлом 44%, исторический максимум - 62%). В этом году выборы были примечательны тем, что на них был выставлен только один кандидат, что свело голосование к выбору между "за" и "против" (за проголосовало 259, против - 15).
Джонатан Картер в четвёртый раз переизбран на пост лидера проекта Debian
Объявлены результаты ежегодных выборов лидера проекта Debian. Победу одержал Джонатан Картер (Jonathan Carter), который был переизбран на четвёртый срок. В голосовании приняли участие 274 разработчика, что составляет 28% от всех участников, имеющих право голоса, что является минимальным за всю историю проекта (в прошлом году явка составила 34%, в позапрошлом 44%, исторический максимум - 62%). В этом году выборы были примечательны...
Gregory's Server
