Выпуск операционной системы ToaruOS 2.0

Опубликован выпуск  Unix-подобной операционной системы  ToaruOS 2.0, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Код проекта написан на языке Си и  распространяется  под лицензией BSD. Для загрузки подготовлен live-образ, размером 14.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox.

https://www.opennet.ru/opennews/art.shtml?num=56333

Компания Intel перевела разработку Cloud Hypervisor в организацию Linux Foundation

Компания Intel передала гипервизор Cloud Hypervisor, оптимизированный для применения в облачных системах, под покровительство организации Linux Foundation, инфраструктура и сервисы которой будут использованы в дальнейшей разработке. Переход под крыло Linux Foundation избавит проект от зависимости от отдельной коммерческой компании и упростит совместную работу с привлечением сторонних участников. О своей поддержке проекта уже объявили такие компании, как Alibaba, ARM, ByteDance и Microsoft, представители которых, наряду с разработчиками из Intel, образовали курирующий проект совет.

https://www.opennet.ru/opennews/art.shtml?num=56335

Доступны язык Dart 2.15 и фреймворк Flutter 2.8

Компания Google опубликовала релиз языка программирования Dart 2.15, продолживший развитие кардинально переработанной ветки Dart 2, которая  отличается от изначального варианта языка Dart применением сильной статической типизации (типы могут выводиться автоматически, поэтому указание типов не является обязательным, но динамическая типизация больше не используется и вычисленный изначально тип закрепляется за переменной и в дальнейшем применяется строгая проверка типа).

https://www.opennet.ru/opennews/art.shtml?num=56336

В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки

В каталоге PyPI (Python Package Index) выявлены три библиотеки,  содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз.

https://www.opennet.ru/opennews/art.shtml?num=56337

ЯОС - прототип безопасной русскоязычной операционной системы на базе проекта A2

Проект ЯОС развивает  ответвление от операционной системы A2, также известной как Bluebottle и Active Oberon. Одна из основных целей проекта - кардинальное внедрение русского языка во всю систему, включая (хотя бы частичный) перевод исходных текстов на русский язык.  ЯОС может работать как приложение в окне под Linux или Windows, а также в виде обособленной операционной системы на оборудовании x86 и ARM (поддерживаются платы Zybo Z7-10 и Raspberry Pi 2). Код написан на языке Active Oberon  и распространяется под лицензией BSD.

https://www.opennet.ru/opennews/art.shtml?num=56339

Обновление Chrome 96.0.4664.110 с устранением критической и 0-day уязвимостей

Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.

https://www.opennet.ru/opennews/art.shtml?num=56340

Coinbase опубликовал библиотеку распределённых криптоалгоритмов Kryptology

Компания Coinbase, поддерживающая одноимённую платформу обмена цифровых валют, объявила об открытии исходных текстов криптографической библиотеки Kryptology, предлагающей набор криптографических алгоритмов для применения в распределённых системах, в которых шифрование и подтверждение подлинности осуществляется с привлечением нескольких участников. Код написан на языке Go и распространяется под лицензией Apache 2.0.

https://www.opennet.ru/opennews/art.shtml?num=56341

17 проектов Apache оказались затронуты уязвимостью в Log4j 2

Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая  уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica.  Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server.

https://www.opennet.ru/opennews/art.shtml?num=56342

Уязвимости в X.Org Server

В X.Org Server выявлены четыре уязвимости, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Проблемы обещают устранить в выпуске xorg-server 21.1.2, который ожидается в ближайшие дни. В дистрибутивах проблемы пока остаются неисправленными (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch).

https://www.opennet.ru/opennews/art.shtml?num=56344

Выпуск децентрализованной видеовещательной платформы PeerTube 4.0

Состоялся выпуск децентрализованной платформы для организации  видеохостинга и видеовещания PeerTube 4.0. PeerTube предлагает независимую от отдельных поставщиков альтернативу YouTube, Dailymotion и Vimeo, использующую  сеть распространения контента на базе P2P-коммуникаций и связывания между собой браузеров посетителей. Наработки проекта распространяются под лицензией AGPLv3.

https://www.opennet.ru/opennews/art.shtml?num=56338

Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту

В реализации подстановок JNDI в библиотеке  Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки "log4j2.noFormatMsgLookup" для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага "noFormatMsgLookup", так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов.

https://www.opennet.ru/opennews/art.shtml?num=56347

Выпуск эмулятора QEMU 6.2

Представлен релиз проекта QEMU 6.2. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

https://www.opennet.ru/opennews/art.shtml?num=56349

Выпуск дистрибутива Pop!_OS 21.10, развивающего рабочий стол COSMIC

Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, опубликовала выпуск дистрибутива Pop!_OS 21.10. Pop!_OS основан на пакетной базе Ubuntu 21.10 и поставляется с собственным окружением рабочего стола COSMIC. Наработки проекта распространяются под лицензией GPLv3. ISO-образы сформированы для архитектуры x86_64 и ARM64 в вариантах для графических чипов NVIDIA (2.9 ГБ) и Intel/AMD (2.5 ГБ), а также для плат.

https://www.opennet.ru/opennews/art.shtml?num=56350

Обновление OpenSSL 3.0.1 и 1.1.1m с устранением уязвимости

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.1 и 1.1.1m, в которых устранена уязвимость (CVE-2021-4044), а также исправлено около десятка ошибок.

https://www.opennet.ru/opennews/art.shtml?num=56352

Выпуск текстового редактора GNU nano 6.0

Состоялся релиз консольного текстового редактора GNU nano 6.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения.

https://www.opennet.ru/opennews/art.shtml?num=56353

Переполнение буфера в Toxcore, эксплуатируемое через отправку UDP-пакета

В  Toxcore, эталонной реализации P2P-протокола обмена сообщениями Tox, выявлена уязвимость (CVE-2021-44847), которая потенциально позволяет инициировать выполнение кода при обработке специально оформленного UDP-пакета.  Уязвимости подвержены все пользователи приложений на базе Toxcore, в которых не отключён транспорт  UDP. Для атаки достаточно отправить UDP-пакет, зная IP, сетевой порт и открытый DHT-ключ жертвы (данные сведения доступны публично в DHT, т.е. атака могла быть совершена на любого пользователя или узел  DHT).

https://www.opennet.ru/opennews/art.shtml?num=56354

Новый выпуск OpenVPN 2.5.5

Подготовлен  выпуск OpenVPN 2.5.5, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.

https://www.opennet.ru/opennews/art.shtml?num=56356

Уязвимость в подсистеме Linux-ядра USB Gadget, потенциально позволяющая выполнить код

В USB Gadget, подсистеме ядра Linux, предоставляющей программный интерфейс для создания клиентских USB-устройств и программной симуляции USB-устройств, выявлена уязвимость (CVE-2021-39685), которая может привести к утечке информации из ядра, краху или выполнению произвольного кода на уровне ядра. Атака производится непривилегированным локальным пользователем через манипуляции с различными классами устройств, реализованными на базе API USB Gadget, такими, как rndis, hid, uac1, uac1_legacy и uac2.

https://www.opennet.ru/opennews/art.shtml?num=56357

Первый стабильный релиз компоновщика Mold, развиваемого разработчиком LLVM lld

Rui Ueyama, автор компоновщика LLVM lld и компилятора chibicc, представил первый стабильный релиз нового высокопроизводительного компоновщика Mold, заметно опережающего по скорости динамического связывания компоновщики GNU gold и LLVM lld. Проект признан готовым для рабочих внедрений и может применяться в качестве более быстрой прозрачной замены GNU linker на Linux-системах. Из планов на следующий значительный выпуск отмечается доведение до готовности поддержки платформы macOS, после чего начнётся работа по адаптации Mold для Windows.

https://www.opennet.ru/opennews/art.shtml?num=56358

Доступен PAPPL 1.1, фреймворк для организации вывода на печать

Майкл Свит (Michael R Sweet), автор системы печати CUPS, представил выпуск PAPPL 1.1, фреймворка для разработки приложений для печати на базе протокола IPP Everywhere, которые рекомендуется использовать вместо традиционных драйверов для принтеров. Код фреймворка написан на языке Си и распространяется под лицензией Apache 2.0 с  исключением, разрешающим связывание с кодом под лицензиями GPLv2 и LGPLv2.

https://www.opennet.ru/opennews/art.shtml?num=56359