Root-уязвимость в инструментарии управления пакетами Snap
Компания Qualys выявила третью в этому году опасную уязвимость (CVE-2022-3328) в утилите snap-confine, поставляемой с флагом SUID root и вызываемой процессом snapd для формирования исполняемого окружения для приложений, распространяемых в самодостаточных пакетах в формате snap. Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root в конфигурации Ubuntu по умолчанию. Проблема устранена в выпуске snapd 2.57.6. Обновления пакетов выпущены для всех поддерживаемых веток Ubuntu.
Root-уязвимость в инструментарии управления пакетами Snap
Компания Qualys выявила третью в этому году опасную уязвимость (CVE-2022-3328) в утилите snap-confine, поставляемой с флагом SUID root и вызываемой процессом snapd для формирования исполняемого окружения для приложений, распространяемых в самодостаточных пакетах в формате snap. Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root в конфигурации Ubuntu по умолчанию. Проблема устранена в выпуске...
Выпуск Green Linux, редакции Linux Mint для российских пользователей
Представлен первый выпуск дистрибутива Green Linux, представляющего собой адаптацию Linux Mint 21, подготовленную с учётом потребностей российских пользователей и избавленную от привязки к внешней инфраструктуре. Изначально проект развивался под именем Linux Mint Russian Edition, но в конечном счёте был переименован. Размер загрузочного образа - 2.3 ГБ (Яндекс Диск, Torrent).
> В систему интегрирован корневой сертификат Минцифры.
> Firefox заменён на Яндекс Браузер, а LibreOffice заменён на пакет OnlyOffice, разработка которого ведётся в Нижнем Новгороде.
> ...Репозитории Ubuntu заменены на зеркало, поддерживаемое компанией Яндекс.
> Для синхронизации времени использованы российские NTP-серверы.
> Удалены не актуальные для российских пользователей приложения.
> В систему интегрирован корневой сертификат Минцифры.
> Firefox заменён на Яндекс Браузер, а LibreOffice заменён на пакет OnlyOffice, разработка которого ведётся в Нижнем Новгороде.
> ...Репозитории Ubuntu заменены на зеркало, поддерживаемое компанией Яндекс.
> Для синхронизации времени использованы российские NTP-серверы.
> Удалены не актуальные для российских пользователей приложения.
В драйвере GPU Intel (i915) выявлена уязвимость (CVE-2022-4139), которая может привести к повреждению памяти или утечке данных из памяти ядра. Проблема проявляется начиная с ядра Linux 5.4 и затрагивает интегрированные и дискретные GPU Intel 12 поколения, включая семейства Tiger Lake, Rocket Lake, Alder Lake, DG1, Raptor Lake, DG2, Arctic Sound и Meteor Lake.
Удалённо эксплуатируемая root-уязвимость в утилите ping, поставляемой во FreeBSD
Во FreeBSD выявлена уязвимость (CVE-2022-23093) в утилите ping, входящей в базовую поставку. Проблема потенциально может привести к удалённому выполнению кода правами root при проверке при помощи ping внешнего хоста, подконтрольного злоумышленнику. Исправление предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10. Подвержены ли другие BSD-системы выявленной проблеме пока не ясно (отчётов об уязвимости в NetBSD, DragonFlyBSD и OpenBSD пока не появилось).
Удалённо эксплуатируемая root-уязвимость в утилите ping, поставляемой во FreeBSD
Во FreeBSD выявлена уязвимость (CVE-2022-23093) в утилите ping, входящей в базовую поставку. Проблема потенциально может привести к удалённому выполнению кода правами root при проверке при помощи ping внешнего хоста, подконтрольного злоумышленнику. Исправление предложено в обновлениях FreeBSD 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10. Подвержены ли другие BSD-системы выявленной проблеме пока не ясно (отчётов об...
В Linux-окружении для Apple M2 продемонстрирована работа KDE и GNOME с поддержкой GPU-ускорения
Разработчик открытого Linux-драйвера для GPU Apple AGX сообщил о реализации поддержки чипов Apple M2 и об успешном запуске на Apple MacBook Air с чипом M2 пользовательских окружений KDE и GNOME с полной поддержкой ускорения силами GPU. В качестве примера поддержки OpenGL на M2 продемонстрирован запуск игры Xonotic, одновременно c тестами glmark2 и eglgears. При тестировании энергопотребления заряда аккумулятора MacBook Air хватило на 8 часов непрерывной игры Xonotic в режиме 60FPS.
В Linux-окружении для Apple M2 продемонстрирована работа KDE и GNOME с поддержкой GPU-ускорения
Разработчик открытого Linux-драйвера для GPU Apple AGX сообщил о реализации поддержки чипов Apple M2 и об успешном запуске на Apple MacBook Air с чипом M2 пользовательских окружений KDE и GNOME с полной поддержкой ускорения силами GPU. В качестве примера поддержки OpenGL на M2 продемонстрирован запуск игры Xonotic, одновременно c тестами glmark2 и eglgears. При тестировании энергопотребления заряда аккумулятора...
Двадцать четвёртое обновление прошивки Ubuntu Touch
Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-24 (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri.
Опубликован набор программ для организации удалённого доступа к рабочему столу LTSM 1.0 (Linux Terminal Service Manager). Проект предназначен в первую очередь для организации множественных виртуальных графических сессий на сервере и.
Релиз минималистичного дистрибутива Alpine Linux 3.17
Доступен релиз Alpine Linux 3.17, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров Docker. Загрузочные iso-образы (x86_64, x86, armhf, aarch64, armv7, ppc64le, s390x) подготовлены в пяти вариантах: стандартном (166 МБ), с ядром без патчей (170 МБ), расширенном (774 МБ) и для виртуальных машин (49 МБ).
Релиз минималистичного дистрибутива Alpine Linux 3.17
Доступен релиз Alpine Linux 3.17, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров...
Решено с 2035 года приостановить синхронизацию мировых атомных часов с астрономическим временем
На Генеральной конференции по мерам и весам принято решение как минимум начиная с 2035 года приостановить периодическую синхронизацию эталонных мировых атомных часов с астрономическим временем Земли. Из-за неоднородности вращения Земли астрономические часы немного отстают от эталонных и для синхронизации точного времени начиная c 1972 года атомарные часы раз в несколько лет приостанавливались на одну секунду, как только разница между эталонным и астрономическим временем достигала 0.9 секунд (последняя подобная корректировка была 8 лет назад). С 2035 года синхронизация будет прекращена и разница между мировым координированным временем (UTC) и астрономическим временем (UT1, среднее солнечное время) будет накапливаться.
Решено с 2035 года приостановить синхронизацию мировых атомных часов с астрономическим временем
На Генеральной конференции по мерам и весам принято решение как минимум начиная с 2035 года приостановить периодическую синхронизацию эталонных мировых атомных часов с астрономическим временем Земли. Из-за неоднородности вращения Земли астрономические часы немного отстают от эталонных и для синхронизации точного времени начиная c 1972 года атомарные часы раз в несколько лет приостанавливались на одну секунду,...
Уязвимость в Samba, приводящая к переполнению буфера
Опубликованы корректирующие выпуски пакета Samba 4.17.3, 4.16.7 и 4.15.12 с устранением уязвимости (CVE-2022-42898) в библиотеках Heimdal и MIT Kerberos, приводящей к целочисленному переполнению и записи данных за пределы выделенного буфера при обработке параметров PAC (Privileged Attribute Certificate). Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.
Уязвимость в Samba, приводящая к переполнению буфера
Опубликованы корректирующие выпуски пакета Samba 4.17.3, 4.16.7 и 4.15.12 с устранением уязвимости (CVE-2022-42898) в библиотеках Heimdal и MIT Kerberos, приводящей к целочисленному переполнению и записи данных за пределы выделенного буфера при обработке параметров PAC (Privileged Attribute Certificate). Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.
Две уязвимости в GRUB2, позволяющие обойти защиту UEFI Secure Boot
Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot.
Опубликован Wa-tunnel для туннелирования трафика через мессенджер WhatsApp
Опубликован инструментарий Wa-tunnel, позволяющий пробрасывать TCP-трафик через другой хост, используя туннель, работающий поверх мессенджера WhatsApp. Подобные манипуляции могут оказаться полезными при необходимости получения доступа к внешней сети из окружений, в которых доступен только мессенджер, или для экономии трафика при подключении к сетям или провайдерам, предоставляющим безлимитные опции для трафика мессенджеров (например, неограниченный доступ к WhatsApp предоставляется в бортовых сетях самолётов некоторых авиакомпаний). Код написан на языке JavaScript с использованием Node.js и распространяется под лицензией MIT. Для взаимодействия с API WhatsApp используется библиотека Baileys.
Опубликован Wa-tunnel для туннелирования трафика через мессенджер WhatsApp
Опубликован инструментарий Wa-tunnel, позволяющий пробрасывать TCP-трафик через другой хост, используя туннель, работающий поверх мессенджера WhatsApp. Подобные манипуляции могут оказаться полезными при необходимости получения доступа к внешней сети из окружений, в которых доступен только мессенджер, или для экономии трафика при подключении к сетям или провайдерам, предоставляющим безлимитные опции для трафика мессенджеров...
Уязвимость в Android, позволяющая обойти блокировку экрана
В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление затрагивает основную кодовую базу Android, вероятно, что проблема касается и прошивок от других производителей. Проблема устранена в ноябрьском наборе исправлений проблем с безопасностью для Android. Обративший внимание не проблему исследователь получил от компании Google вознаграждение, размером 70 тысяч долларов.
Уязвимость в Android, позволяющая обойти блокировку экрана
В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление затрагивает основную кодовую базу Android, вероятно, что проблема касается и прошивок от других производителей. Проблема устранена в ноябрьском наборе исправлений проблем с безопасностью для Android....
Платформа совместной разработки SourceHut запрещает размещение проектов, связанных с криптовалютами
Платформа совместной разработки SourceHut анонсировала предстоящее изменение условий использования. Новые условия, которые начнут действовать с 1 января 2023 года, запрещают размещение содержимого, связанного с криптовалютами и блокчейном. После начала действия новых условий в том числе планируют удалить все ранее размещённые подобные проекты. По отдельному запросу в службу поддержки для легальных и полезных проектов может быть сделано исключение. Также допускается восстановление удалённых проектов после рассмотрения апелляций. Приём пожертвований в криптовалюте не подпадает под запрет, хотя и выделен как не рекомендованный способ поддержки.
Платформа совместной разработки SourceHut запрещает размещение проектов, связанных с криптовалютами
Платформа совместной разработки SourceHut анонсировала предстоящее изменение условий использования. Новые условия, которые начнут действовать с 1 января 2023 года, запрещают размещение содержимого, связанного с криптовалютами и блокчейном. После начала действия новых условий в том числе планируют удалить все ранее размещённые подобные проекты. По отдельному запросу в службу поддержки для легальных...
Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 5
После почти четырёх лет с момента прошлой ветки компания NVIDIA опубликовала исходные тексты движка симуляции физических процессов PhysX 5, который стал вторым значительным выпуском после перевода проекта в разряд открытых. Код проекта распространяется под лицензией BSD и поддерживает платформы Linux, macOS, iOS, Windows и Android. Кроме непосредственно движка под лицензией BSD также открыт код и связанного с ним инструментария PhysX SDK.
Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 5
После почти четырёх лет с момента прошлой ветки компания NVIDIA опубликовала исходные тексты движка симуляции физических процессов PhysX 5, который стал вторым значительным выпуском после перевода проекта в разряд открытых. Код проекта распространяется под лицензией BSD и поддерживает платформы Linux, macOS, iOS, Windows и Android. Кроме непосредственно движка под лицензией BSD также открыт код и связанного с ним инструментария...
Компании Google и Valve перевели реализацию сервиса доставки игр Steam для платформы Chrome OS на стадию бета-тестирования. Бета-выпуск Steam уже предложен в тестовых сборках Chrome OS 108.0.5359.24 (включается через chrome://flags#enable-borealis). Возможность использования Steam и предлагаемых в нём игровых приложений доступна для устройств Chromebook производства Acer, ASUS, HP, Framework, IdeaPad и Lenovo, оснащённых как минимум CPU Intel Core i3 или AMD Ryzen 3 и 8GB ОЗУ (рекомендуется i5 / Ryzen 5 и 16GB ОЗУ). По сравнению с ранее предлагавшимися альфа-выпусками в бета-версии в три раза увеличено число поддерживаемых Chromebook, упрощён интерфейс, повышена производительность и улучшена совместимость с играми (в список проверенных игр добавлено 50 новых игр).
Компании Google и Valve перевели реализацию сервиса доставки игр Steam для платформы Chrome OS на стадию бета-тестирования. Бета-выпуск Steam уже предложен в тестовых сборках Chrome OS 108.0.5359.24 (включается через chrome://flags#enable-borealis). Возможность использования Steam и предлагаемых в нём игровых приложений доступна для устройств Chromebook производства Acer, ASUS, HP, Framework, IdeaPad и Lenovo, оснащённых как минимум CPU Intel Core i3...
Доступен релиз пользовательского окружения LXQt 1.2 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux.
Доступен релиз пользовательского окружения LXQt 1.2 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие...
Марк Сурман (Mark Surman), руководитель организации Mozilla Foundation, анонсировал создание венчурного фонда Mozilla Ventures, который будет заниматься инвестициями в стартапы, продвигающие продукты и технологии, соответствующие идеалам Mozilla и соответствующие манифесту Mozilla. Фонд начнёт действовать в первой половине 2023 года. Начальный размер инвестиций составит как минимум 35 млн долларов.
Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев
Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность. Атака не затронула репозитории с кодом базовых приложений и ключевых элементов инфраструктуры, которые разрабатывались отдельно. Разбор показал, что атака не привела к утечке пользовательской базы и компрометации инфраструктуры.
Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев
Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность....