Size: a a a
2017 May 23
2017 May 24
Уязвимость в ImageMagic, позволившая получить доступ к чужим вложениям в почте Yahoo
Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя "Yahoobleed1") в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений.
Примечательно, что в GraphicsMagick, форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.
Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя "Yahoobleed1") в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений.
Примечательно, что в GraphicsMagick, форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.
Уязвимость в Samba, позволяющая выполнить код на сервере
Опубликованы корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (CVE-2017-7494), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT.
Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи для старых версий. В качестве обходного пути защиты можно добавить в параметр "nt pipe support = no" в секцию "[global]" smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD, Debian, Fedora и RHEL. Проследить за выпуском обновлений пакетов в других дистрибутивах можно на данных страницах: Ubuntu, openSUSE, SUSE, CentOS.
Опубликованы корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (CVE-2017-7494), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT.
Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи для старых версий. В качестве обходного пути защиты можно добавить в параметр "nt pipe support = no" в секцию "[global]" smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD, Debian, Fedora и RHEL. Проследить за выпуском обновлений пакетов в других дистрибутивах можно на данных страницах: Ubuntu, openSUSE, SUSE, CentOS.
2017 May 26
Выпуск панели Xfce 4.13, переведённой на GTK+3
Разработчики проекта Xfce представили выпуск панели xfce4-panel 4.13.0, примечательный переходом на использование библиотеки GTK+3. Работа по портированию панели на GTK+3 велась с 2013 года и является одним и ключевых этапов подготовки грядущего стабильного релиза Xfce 4.14.
Функциональность новой панели в основном аналогична выпуску 4.12.1. Кроме перехода на GTK+3 каких-то концептуальных изменений не реализовано, за исключением привязки к первичному монитору, определённому через RandR. Подобная возможность позволяет избавиться от отображения по умолчанию на первом мониторе в многомониторных системах и отображать панель на том мониторе, который определён первичным в настройках xfce4-settings.
Разработчики проекта Xfce представили выпуск панели xfce4-panel 4.13.0, примечательный переходом на использование библиотеки GTK+3. Работа по портированию панели на GTK+3 велась с 2013 года и является одним и ключевых этапов подготовки грядущего стабильного релиза Xfce 4.14.
Функциональность новой панели в основном аналогична выпуску 4.12.1. Кроме перехода на GTK+3 каких-то концептуальных изменений не реализовано, за исключением привязки к первичному монитору, определённому через RandR. Подобная возможность позволяет избавиться от отображения по умолчанию на первом мониторе в многомониторных системах и отображать панель на том мониторе, который определён первичным в настройках xfce4-settings.
Началось формирование тестовых сборок Lubuntu с рабочим столом LXQt
Саймон Куигли (Simon Quigley), отвечающий за формирование релизов Lubuntu, сообщил о готовности для тестирования ежедневных сборок Lubuntu Next, поставляемых с окружением рабочего стола LXQt (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE, Razor-qt и Hawaii. Напомним, что инициатива по переводу Lubuntu с LXDE на LXQt была запущена в 2014 году, но миграция многократно откладывалась и дистрибутив до сих пор поставляется с LXDE. Выпуск Lubuntu 17.10 планируется сформировать в двух редакциях, предоставив сборки как с LXDE, так и с LXQt.
Саймон Куигли (Simon Quigley), отвечающий за формирование релизов Lubuntu, сообщил о готовности для тестирования ежедневных сборок Lubuntu Next, поставляемых с окружением рабочего стола LXQt (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE, Razor-qt и Hawaii. Напомним, что инициатива по переводу Lubuntu с LXDE на LXQt была запущена в 2014 году, но миграция многократно откладывалась и дистрибутив до сих пор поставляется с LXDE. Выпуск Lubuntu 17.10 планируется сформировать в двух редакциях, предоставив сборки как с LXDE, так и с LXQt.
Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры
В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в Kodi 17.2, Popcorn-Time 0.3.10, strem.io 3.6.5 и VLC 2.2.5.1 (частично, полное исправление ожидается в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org.
В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в Kodi 17.2, Popcorn-Time 0.3.10, strem.io 3.6.5 и VLC 2.2.5.1 (частично, полное исправление ожидается в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org.
2017 May 27
Выпуск Wine 2.9
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 2.9. С момента выпуска версии 2.8 было закрыто 38 отчётов об ошибках.
Наиболее важные изменения:
• В реализации Direct3D появилась поддержка тесселяционных шейдеров;
• В WebServices добавлен бинарный режим;
• Обеспечена поддержка определения изменения содержимого буфера обмена через Xfixes;
• Улучшен пользовательский интерфейс утилиты RegEdit;
• Закрыты отчёты об ошибках, связанные с работой игр и приложений: Explorer++, Acoustica Mixcraft 6, Grandia 2, Tomb Raider, World of Warships, World of Planes, World of Tanks, WeChat, The Witcher 3, League of legends, Soul Reaver, Terragen 4, Need for Speed: The Run, The Testament of Sherlock Holmes, GMATPrep 2.4.323, Rise of the Tomb Raider
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 2.9. С момента выпуска версии 2.8 было закрыто 38 отчётов об ошибках.
Наиболее важные изменения:
• В реализации Direct3D появилась поддержка тесселяционных шейдеров;
• В WebServices добавлен бинарный режим;
• Обеспечена поддержка определения изменения содержимого буфера обмена через Xfixes;
• Улучшен пользовательский интерфейс утилиты RegEdit;
• Закрыты отчёты об ошибках, связанные с работой игр и приложений: Explorer++, Acoustica Mixcraft 6, Grandia 2, Tomb Raider, World of Warships, World of Planes, World of Tanks, WeChat, The Witcher 3, League of legends, Soul Reaver, Terragen 4, Need for Speed: The Run, The Testament of Sherlock Holmes, GMATPrep 2.4.323, Rise of the Tomb Raider
Первый релиз Devuan, форка Debian без systemd
После двух с половиной лет разработки состоялся первый стабильный релиз дистрибутива Devuan Jessie 1.0, форка Debian GNU/Linux 8 "Jessie", поставляемого без системного менеджера systemd. Для загрузки подготовлены сборки (minimal 305 Мб, cd install 632 Мб, dvd install 4 Гб и live 828 Мб) для архитектур AMD64 и i386, а также образы для устройств на базе архитектуры ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и др.). В состав Live-сборок desktop и minimal включены пакеты с прошивками из репозитория non-free.
После двух с половиной лет разработки состоялся первый стабильный релиз дистрибутива Devuan Jessie 1.0, форка Debian GNU/Linux 8 "Jessie", поставляемого без системного менеджера systemd. Для загрузки подготовлены сборки (minimal 305 Мб, cd install 632 Мб, dvd install 4 Гб и live 828 Мб) для архитектур AMD64 и i386, а также образы для устройств на базе архитектуры ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и др.). В состав Live-сборок desktop и minimal включены пакеты с прошивками из репозитория non-free.
Red Hat покупает Codenvy для лучшей интеграции её IDE на базе Eclipse Che в OpenShift.io1
Вчера компании Red Hat и Codenvy объявили о сделке, в рамках которой коллектив из 40 специалистов последней продолжит свою работу в Red Hat.
Основанная в 2013 году Codenvy известна разработкой одноимённой интегрированной среды разработки (IDE), созданной на основе кодовой базы Open Source-проекта Eclipse Che* — сервера и интегрированной с облаком IDE, написанных на языке Java. Особенностью Eclipse Che и её главным отличием от классических IDE является возможность создания Docker-контейнеров для запуска приложений. По этой причине в Codenvy, вносящей наибольший вклад в этот Open Source-проект, свой продукт называют «первой в мире IDE для микросервисов».
Веб-платформа OpenShift.io (OSIO) — представленное в начале мая Linux-вендором Red Hat «бесплатное окружение для разработки, оптимизированное для создания облачных (cloud-native), контейнеризированных приложений». В его основе, как легко догадаться по названию, продукт для управления контейнерами и приложениями в них OpenShift, базирующийся в свою очередь на Kubernetes. Одной из его важных Open Source-составляющих является среда Eclipse Che, интегрированная с другими инструментами этой платформы. С приобретением Codenvy компания получает готовый штат разработчиков для дальнейшего развития этого продукта и его лучшей интеграции со своим комплексным окружением для разработчиков и DevOps-инженеров.
Вчера компании Red Hat и Codenvy объявили о сделке, в рамках которой коллектив из 40 специалистов последней продолжит свою работу в Red Hat.
Основанная в 2013 году Codenvy известна разработкой одноимённой интегрированной среды разработки (IDE), созданной на основе кодовой базы Open Source-проекта Eclipse Che* — сервера и интегрированной с облаком IDE, написанных на языке Java. Особенностью Eclipse Che и её главным отличием от классических IDE является возможность создания Docker-контейнеров для запуска приложений. По этой причине в Codenvy, вносящей наибольший вклад в этот Open Source-проект, свой продукт называют «первой в мире IDE для микросервисов».
Веб-платформа OpenShift.io (OSIO) — представленное в начале мая Linux-вендором Red Hat «бесплатное окружение для разработки, оптимизированное для создания облачных (cloud-native), контейнеризированных приложений». В его основе, как легко догадаться по названию, продукт для управления контейнерами и приложениями в них OpenShift, базирующийся в свою очередь на Kubernetes. Одной из его важных Open Source-составляющих является среда Eclipse Che, интегрированная с другими инструментами этой платформы. С приобретением Codenvy компания получает готовый штат разработчиков для дальнейшего развития этого продукта и его лучшей интеграции со своим комплексным окружением для разработчиков и DevOps-инженеров.
