Максим Дунин, один из трёх активных ключевых разработчиков Nginx, объявил о создании нового форка - FreeNginx. В отличие от проекта Angie, также создавшего ответвление от Nginx, новый форк будет разрабатываться исключительно как некоммерческий проект, развиваемый сообществом. FreeNginx позиционируется как основной потомок Nginx - «с учётом деталей - скорее, форк остался у F5». Целью FreeNginx объявлено обеспечение разработки Nginx, свободной от произвольного корпоративного вмешательства.

Причиной создания нового проекта стало несогласие с политикой руководства компании F5, владеющей проектом Nginx. Компания F5 без согласования с сообществом разработчиков изменила политику безопасности и перешла к практике назначения CVE-идентификаторов для пометки как уязвимостей проблем, потенциально представляющих угрозу безопасности пользователей (Максим был против назначения CVE данным ошибкам, так как они присутствуют в экспериментальном и не используемом по умолчанию коде).

После закрытия московского офиса в 2022 году Максим уволился из F5, но по отдельному соглашению сохранил свою роль в разработке и продолжил развивать и курировать проект Nginx в качестве волонтёра. По мнению Максима, изменение политики безопасности противоречит заключённому соглашению и он больше не может контролировать изменения, которые вносят в Nginx разработчики из компании F5, поэтому, больше не может рассматривать Nginx как открытый и свободный проект, разрабатываемый для общего блага.

>>> Подробности

Разработчики проекта Chromium сообщили о намерении реализовать в браузере поддержку технологии Web Monetization, позволяющей автоматически выполнять микроплатежи владельцам сайтов за просмотр их содержимого. Предполагается, что технология может использоваться для монетизации сайтов вместо показа рекламы, в качестве аналога сетевых чаевых или для предоставления выборочного платного доступа к контенту без оформления подписки. Первый прототип реализации Web Monetization рассчитывают добавить в состав выпуска Chromе 127, намеченного на 23 июля.

( читать дальше... )

>>> Подробности

Компания Qualys выявила опасную уязвимость (CVE-2023-6246) в стандартной Си-библиотеке Glibc, позволяющую через манипуляции с запуском SUID-приложений добиться выполнения своего кода с повышенными привилегиями. Исследователи смогли разработать рабочий эксплоит, позволяющий получить права root через манипуляцию с аргументами командной строки при запуске утилиты su.

Уязвимость вызвана переполнением буфера в функций __vsyslog_internal(), используемой при вызове функций syslog() и vsyslog(). Проблема возникает из-за ошибки при попытке вывода через макрос SYSLOG_HEADER слишком длинного имени приложения. При попытке расширения буфера с учётом длинного имени возникает сбой, после которого данные записываются в старый буфер изначального меньшего размера.

При организации атаки через утилиту su атакующий может изменить имя процесса при запуске приложения через замену значения argv[0], которое используется для получения информации об имени программы при выводе в лог, и добиться контролируемой перезаписи данных за пределами выделенного буфера. Далее переполнение можно использовать для перезаписи структуры nss_module в библиотеке nss для создания разделяемой библиотеки и её загрузки с правами root.

Проблема проявляется начиная с выпуска glibc 2.37, опубликованного в августе 2022 года и включающего изменение, обрабатывающее ситуацию с попыткой записи слишком больших сообщений. Вносящее уязвимость исправление было бэкпортировано в ветку glibc 2.36 и пакеты дистрибутивов с более старыми версиями glibc, так как отмеченное исправление устраняло уязвимость CVE-2022-39046, приводящую к утечке данных из кучи. Получилось так, что исправление неопасной уязвимости привело к появлению критической проблемы. Примечательно, что о похожей уязвимости в функции vsyslog() из состава библиотеки libc 5.4.3 сообщалось ещё в 1997 году.

Наличие уязвимости подтверждено в Debian 12/13, Ubuntu 23.04/23.10 и Fedora 37-39. Работа эксплоита для получения непривилегированным пользователем прав root продемонстрирована в полностью обновлённом окружении Fedora 38 со всеми включёнными в конфигурации по умолчанию механизмами защиты. Уязвимость может быть эксплуатирована только локально, так как требует передачи более 1024 байт через параметр argv[0] или аргумент ident в функции openlog().

Исправление уязвимости включено несколько часов назад в кодовую базу Glibc и войдёт в состав завтрашнего обновления Glibc 2.39, наряду с исправлением ещё двух уязвимостей (CVE-2023-6779, CVE-2023-6780) , также затрагивающих код __vsyslog_internal() и приводящих к переполнению буфера. Более того, компания Qualys предупредила о выявлении переполнения буфера в реализации функции qsort(), которое не было отнесено разработчиками Glibc к числу уязвимостей, так как эксплуатация подразумевает использование в качестве аргумента при вызове qsort нетипичной функции сравнения, возвращающей разницу сравниваемых параметров.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware. Протестировать подверженность системы уязвимости можно следующей командой:

   $ (exec -a "`printf '%0128000x' 1`" /usr/bin/su < /dev/null)

>>> Подробности

30 января в 18:20 (MSK) пользователи столкнулись с массовым сбоем определения хостов в доменной зоне RU, вызванный ошибкой при смене ключей, используемых для заверения достоверности зоны RU через DNSSEC. В результате инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне «.ru». Проблема затронула только пользователей, использующих DNS-резолверы провайдеров или публичные DNS-сервисы, такие как 8.8.8.8, верифицирующие достоверность запросов при помощи DNSSEC. Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали.

>>> Подробности

Крупный производитель бытовой техники Haier направил уведомление о лишении лицензии разработчику программного обеспечения за создание плагинов Home Assistant для бытовой техники компании и их публикацию на GitHub.

Haier – транснациональная корпорация по производству бытовой техники и потребительской электроники, продающая широкий ассортимент продукции под брендами General Electric Appliances, Hotpoint, Hoover, Fisher & Paykel и Candy.

Немецкий разработчик программного обеспечения Андре Баше, заявил, что получил юридическую угрозу с требованием немедленно удалить его плагины с платформы GitHub.

Home Assistant – это платформа домашней автоматизации с открытым исходным кодом, позволяющая пользователям контролировать и автоматизировать устройства «умного дома» с помощью централизованного интерфейса. Плагины Андре Баше для Home Assistant позволяют пользователям управлять кондиционерами, очистителями, посудомоечными машинами, индукционными плитами, духовками, холодильниками, стиральными и сушильными машинами Haier, Candy и Hoover.

Согласно уведомлению, опубликованному владельцем репозитория, Haier утверждает, что эти плагины наносят фирме значительный финансовый ущерб и нарушают законы об авторском праве, требуя от разработчика удалить их, чтобы избежать дальнейших судебных разбирательств.

We are writing to inform you that we have discovered two Home Assistant integration plug-ins developed by you (https://github.com/Andre0512/hon and https://github.com/Andre0512/pyhOn) that are in violation of our terms of service," reads the notice from Haier Europe Security and Governance Department.

Specifically, the plug-ins are using our services in an unauthorized manner, which is causing significant economic harm to our Company.

We take the protection of our intellectual property very seriously and demand that you immediately cease and desist all illegal activities related to the development and distribution of these plug-ins.

Юридические угрозы Haier напугали разработчика, и он объявил, что проект будет удален в ближайшие пару дней. Тем временем эта ситуация вызвала ответную реакцию сообщества на действия Haier: пользователи призывают потребителей бойкотировать Haier, считая подход компании чрезмерно агрессивным. На данный момент репозитории плагинов для Haier были форкнуты 228 раз, причем многие из них – после появления новостей о юридических угрозах.

>>> Подробности

Роскомнадзор планирует с сентября 2024 года собирать с операторов связи географические координаты всех используемых ими IP-адресов. РКН утверждает, что это позволит эффективнее бороться с DDoS-атаками. Как следует из проекта приказа ведомства, создание базы позволит привести цифровую границу государства в соответствие с физическими границами России. Однако, по мнению экспертов, отражению DDoS-атак эта информация никак не поможет, разве что будет проще находить тех, кто размещает запрещенную в России информацию, или точечно блокировать ресурсы в отдельно взятых регионах.

>>> Подробности

Вышел релиз Wine 9.0, в который включили начальную поддержку драйвера Wayland, WoW64 и улучшения для Direct3D.

Поддержка Wayland позволяет экспериментально использовать нативную поддержку Wayland в качестве альтернативы X11/XWayland. Однако функция пока не включена по умолчанию.

В Wine 9.0 включили поддержку Arm64 и улучшенный режим WoW64, хотя он также пока не включен по умолчанию.

Также в новой версии:

• обновлён драйвер Vulkan;
• улучшили Direct3D;
• завершили работу над DirectMusic;
• внедрили экспорт протоколов URI/URL как обработчиков URL на Linux-рабочем столе;
• начали использовать версию Windows 10 по умолчанию в новых префиксах Wine.

В версию внедрили сотни исправлений и функций для запуска современных Windows-игр и приложений вне экосистемы Microsoft.

Wine 9.0 поставляется со всеми последними пакетами и зависимостями, включая VKD3D 1.10, более новую версию Mono, Zlib 1.3 и другие.

В вышедшем в январе 2023 года Wine 8.0 завершили работу по переводу модулей Wine в формат PE, внедрили Print Processor, поддержку эффектов в Direct2D, новый компилятор шейдеров для языка HLSL в Direct3D, а также улучшили поддержку игровых контроллеров.

>>> Подробности

Рафаэль Садовский (Rafael Sadowski) объявил о доступности пользовательского окружения KDE Plasma 5.27 для установки в OpenBSD-current, формировании готовых для установки пакетов kde-plasma и kde-plasma-extra, и намерении обеспечить поддержку KDE Plasma в весеннем выпуске OpenBSD 7.5. После прекращения поддержки KDE4 в OpenBSD так и не была перенесена возможность использования новой ветки рабочего стола KDE Plasma 5. Пакеты с приложениями KDE Gears 5 и библиотеками KDE Frameworks 5 достаточно давно доступны в портах OpenBSD, но сама оболочка до настоящего времени оставалась неработоспособной.

Для установки KDE Plasma и KDE Gear теперь достаточно выполнить команды:

pkg_add kde 
pkg_add kde-plasma 
pkg_add kde-plasma-extra

Отмечается, что переход ветки KDE 6 на Qt 6 не будет большой проблемой для OpenBSD, так как в рамках проведённого портирования ветка Qt 6 и связанные с ней зависимости уже адаптированы для работы в OpenBSD. Из остающихся задач отмечается решение некоторых недоработок с композитным сервером KWin, Wayland, NetworkManager и SDDM. Также планируется добавить поддержку утилиты pkg_add в интерфейсе установки приложений Discover.

>>> Подробности

Orange España, второй по величине мобильный оператор Испании, столкнулся с серьезным сбоем в среду после того, как неизвестная сторона получила доступ к учетной записи для управления глобальной таблицей маршрутизации с помощью «смехотворно слабого» пароля. Начиная с 9:28 UTC, лицо под ником Snow вошло в учетную запись Orange в RIPE NCC, используя пароль ripeadmin. RIPE NCC отвечает за управление и распределение IP-адресов и обслуживает 75 стран Европы, Ближнего Востока и Центральной Азии.

Snow сначала добавил новые ROAs (Route Origin Authorizations) к глобальной таблице маршрутизации, которые изначально не вызвали сбоев. Однако позже Snow добавил ROAs с «фальшивыми источниками», что привело к существенному сокращению действительных маршрутов Orange, что, в свою очередь, стало причиной сбоя в обслуживании. Проблема была усугублена использованием системы RPKI (Resource Public Key Infrastructure), предназначенной для предотвращения неправомерного перехвата маршрутов, что эффективно сделало сеть Orange нефункционирующей.

Компания Hudson Rock обнаружила учетные данные на продажу в онлайн-магазинах, которые были украдены с помощью вредоносного ПО, установленного на компьютере Orange с сентября. Исследователи также обратили внимание на тысячи других учетных данных, защищающих учетные записи RIPE, доступных в таких маркетплейсах.

Этот инцидент подчеркивает хрупкость системы BGP и выявляет серьезные проблемы с безопасностью в Orange. Использование слабого пароля и отсутствие многофакторной аутентификации, а также установленное вредоносное ПО на компьютере сотрудника, которое оставалось незамеченным в течение четырех месяцев, являются серьезными просчетами, которых никогда не должно было произойти в организации с таким масштабом деятельности, как Orange. Исследователи надеются, что этот инцидент послужит тревожным звонком для других поставщиков услуг и побудит их усилить меры безопасности.

>>> Подробности

Один из разработчиков JavaScript-пакетов провёл эксперимент с созданием и размещением в репозитории NPM пакета «everything», который охватывает зависимостями все существующие пакеты в репозитории. Для реализации подобной возможности пакет «everything» связан прямыми зависимостями с пятью пакетами «@everything-registry/chunk-N», которые в свою очередь привязываются зависимостями к более 3000 пакетов «sub-chunk-N», в каждом из которых осуществляется привязка к 800 существующих пакетов в репозитории.

Размещение «everything» в NPM привело к двум интересным эффектам. Во-первых пакет «everything» стал своеобразным инструментом для совершения DoS-атак, так как попытка его установки приводит к загрузке миллионов размещённых в NPM пакетов и исчерпанию имеющегося дискового пространства или остановке выполнения сборочных процессов. По статистике NPM пакет был загружен около 250 раз, но никто не мешает добавить его в зависимости к другому пакету после взлома учётной записи разработчика для совершения диверсии. Кроме того, невольно атаке оказались подвержены некоторые службы и инструменты осуществляющие мониторинг и проверку новых пакетов, размещаемых в NPM.

Во-вторых публикация пакета «everything» фактически заблокировала возможность удаления любых пакетов в NPM, которые оказались в списке его зависимостей. Пакет из NPM может быть удалён автором только если он ещё не используется в зависимостях других пакетов, но после публикации «everything» зависимостями оказались охвачены все пакеты в репозитории. Примечательно, что удаление самого пакета «everything» также оказалось заблокированным, так как 9 лет назад в репозитории был размещён тестовый пакет «everything-else», в котором была указана строка «everything» в списке зависимостей. Таким образом, пакет «everything» после публикации оказался в зависимостях у другого пакета.

>>> Подробности

Дорогие ЛТшники, поздравляю вас с наступающим Новым Годом!

>>> Подробности

Организация Linux Foundation опубликовала годовой отчёт, в соответствии с которым за 2023 год к организации присоединилось 270 новых участников, а число курируемых организацией проектов достигло 1133. За год организация заработала 263.6 млн. долларов, а израсходовала 269 млн долларов. По сравнению с прошлым годом затраты на разработку ядра снизились почти на 400 тысяч долларов. Общая доля затрат, связанных с разработкой ядра, среди всех расходов составляет 2.9% ($7.8 млн). Для сравнения доля расходов на ядро в 2022 году составляла 3.2%, а в 2021 - 3.4%.

Всего на различные не связанные с ядром проекты приходится 64% расходов ($171.8 млн). Наибольший вклад осуществляется в проекты, связанные с облачными технологиями, контейнерами и виртуализацией (25%), а также с сетевыми технологиями (13%). Доли расходов Linux Foundation на проекты, связанные с искусственным интеллектом, web-разработкой и блокчейном, составили 12%, 11% и 4% соответственно.

На поддержание инфраструктуры потрачено $22.58 млн (9%), на программы обучения и сертификации - $18.57 млн (7%), на корпоративные операции - $17.1 млн (6%), на проведение мероприятий - $14.6 млн (6%), на сопровождение сообщества - $13.5 млн (5%), на международные операции $2.96 млн (1%).

Что касается доходов, то 45% от всех полученных средств ($118.2 млн) приходится на пожертвования и взносы, участников организации; 26% ($67 млн) - целевая поддержка проектов; 19% ($49.5 млн) - поддержка мероприятий, а также регистрационные взносы на конференциях; 10% ($27.2 млн) - оплата обучающих курсов и получение сертификатов.

>>> Подробности

В уходящем 2023 году специалисты одного популярного сайта отметили рост примерно на треть использования ОС на основе ядра Линукс.

Когда речь идет о настольных системах, Windows занимает большинство — 63,2% трафика приходится на устройства с настольным Windows. С 2022 года она показала снижение на 2,3%. Mac OS составляет 29,2% трафика с увеличением на 2,9% по сравнению с прошлым годом. Linux занимает 3,6%, с существенным увеличением на 31,2% с 2022 года. И, наконец, Chrome OS составляет 2,9%, увеличившись на 13,1% по сравнению с прошлым годом.

>>> Подробности

В России разработали нейросеть под названием «Товарищ майор», которая позволяет определять владельцев анонимных Telegram-каналов, сообщает газета «Известия» со ссылкой на пресс-службу «Национальной технологической инициативы». Сейчас софт проходит внутреннее тестирование в компании-разработчике T.Hunter.

( читать дальше... )

>>> Подробности

Компания Red Hat опубликовала план прекращения поддержки сервера X.org в дистрибутиве Red Hat Enterprise Linux 10. Изначально, X.org Server был объявлен устаревшим и намеченным на удаление в будущей ветке RHEL ещё год назад в примечании к выпуску RHEL 9.1. Возможность запуска X11-приложений в сеансе Wayland, обеспечиваемая при помощи DDX-сервера XWayland, будет сохранена. Первый выпуск ветки RHEL 10, в котором будет прекращена поставка X.org Server, запланирован на первую половину 2025 года.

( читать дальше... )

>>> Подробности

Хакерская группа, связанная с Китаем, незаметно получила доступ к компьютерной сети производителя чипов из Эйндховена, компании NXP.

Злоумышленники проникли в электронную почту и пытались украсть документацию на дизайны чипов, как показало расследование, проведенное NRC.

( читать дальше... )

>>> Подробности

Доступен промежуточный выпуск проекта OpenZFS 2.2.1, развивающего реализацию файловой системы ZFS для Linux и FreeBSD. Выпуск примечателен добавлением поддержки ядра Linux 6.6 и попыткой устранения проблемы, приводящей к повреждению данных (обнулению части блоков) в файлах после их копирования.

Изначально предполагалось, что проблема проявляется только в ветке 2.2.x и вызвана ошибкой во включённом в OpenZFS 2.2.0 механизме клонирования блоков, позволяющем создать копию файла или его части без дублирования данных, используя во второй копии ссылки на уже существующие блоки данных исходного файла без их фактического копирования. В версии OpenZFS 2.2.1 для блокирования проблемы механизм клонирования блоков был отключён по умолчанию, а для возвращения поддержки данного режима добавлена настройка zfs_bclone_enabled.

Позднее разработчики заявили о воспроизведении проблемы и в конфигурациях с веткой OpenZFS 2.1.x. Не подтвердились и предположения, что проблема проявляется на системах со старыми выпусками пакета coreutils - ошибку удалось воспроизвести во FreeBSD и в Linux-дистрибутивах со свежим выпуском coreutils 9.4.

Повреждение файлов проявляется при достаточно редком стечении обстоятельств, например, выполнение в Gentoo команды «emerge -1 dev-lang/go» приводит к установке инструментария для языка Go с повреждением файлов в каталоге /usr/lib/go/pkg/tool/linux_amd64/compile. Предполагается, что ошибка начала проявляться после выставления по умолчанию параметра «zfs_dmu_offset_next_sync=1» в версии openzfs 2.1.4. Источник ошибки пока не выявлен. В качестве рекомендованного обходного пути блокирования ошибки предложено выставить в 0 параметр «/sys/module/zfs/parameters/zfs_dmu_offset_next_sync».

>>> Подробности

Компания Stability AI опубликовала модель машинного обучения Stable Video Diffusion, позволяющую генерировать короткие видео на основе изображений. Модель расширяет возможности проекта Stable Diffusion, ранее ограниченного синтезом статических изображений. Код инструментов для обучения нейронной сети и генерации изображений написан на языке Python с использованием фреймворка PyTorch и опубликован под лицензией MIT. Уже обученные модели открыты под пермиссивной лицензией Creative ML OpenRAIL-M, допускающей использование в коммерческих целях.

( читать дальше... )

>>> Подробности

Google возобновил работы по ограничению рекламных блокировщиков. Компания приостановила развертывание нового формата расширений Manifest V3 год назад после того, как был поднят шум по поводу того, насколько он повредит некоторым из самых популярных расширений Chrome.

В блоге Google сообщается, что план по уничтожению Manifest V2, текущего формата расширений Chrome, возобновляется с июня 2024 года. В этот день (к тому времени выйдет Chrome 127) Google отключит Manifest V2 для предварительных версий Chrome - Beta, Dev и Canary. По словам Google, «расширения Manifest V2 [будут] автоматически отключены в браузере, и больше нельзя будет устанавливать расширения Manifest V2 из магазина Chrome Web Store»

Google утверждает, что Manifest V3 сделает браузер более легковесным и защитит вашу приватную информацию от разработчиков расширений за счет ограничения расширений. Но с меньшим набором функций вы станете более уязвимы в Интернете, а Google – один из основных нарушителей приватности в сети. EFF называет подход Google «Лживым и Угрожающим» и сомневается, что Mv3 действительно улучшит безопасность.

>>> Подробности

Вышла новая версия плагина krita-ai-diffusion для интерактивной генерации изображений в Krita с использованием моделей StableDiffusion.

Плагин добавляет возможность генерирования изображения в Krita с минимальными затратами: выделяете область, нажмаете кнопку, и будет сгенерировано новое наполнение, соответствующее вашему изображению. Или расширьте холст и заполните новые области сгенерированным контентом, который сразу же впишется в изображение. Текстовые подсказки необязательны. Никакой доработки не требуется! Этот плагин призван обеспечить то же, что и «Генеративная заливка/Расширение» в Photoshop, и даже больше.

Запуск на своём компьютере. Открытый исходный код. Бесплатно.

( читать дальше... )

>>> Подробности