Уязвимость в Glibc ld.so, позволяющая поднять свои привилегии в системе

Компания Qualys выявила две уязвимости в системной библиотеке GNU libc. Первая проблема (CVE-2017-1000408) проявляется начиная с glibc 2.1.1 и может привести к утечке содержимого памяти процессов через манипуляцию с переменной окружения LD_HWCAP_MASK. Вторая уязвимость (CVE-2017-1000409) затрагивает выпуски начиная с glibc 2.5 и может привести к повышению своих привилегий в системе.
12/12/2017 10:31:44
0

Выявлена крупнейшая коллекция учётных записей с открытыми паролями

На одном из подпольных форумов выявлена крупнейшая коллекция учётных записей, включающая сведения о более 1.4 миллиарде логинов, email-адресов и паролей (41 Гб данных), что примерно в два раза больше, чем ранее известная крупнейшая коллекция Exploit.in (797 млн записей), в которой агрегированы данные, полученные в результате 252 взломов. Новая коллекция дополняет ранее известные базы сведениями от 133 дополнительных взломов и примечательна тем, что все пароли указаны в открытом виде (без хэширования и шифрования). Контрольная проверка выборочных учётных записей показала актуальность приведённых сведений.
12/12/2017 09:08:52
0

Линус Торвальдс рассчитывает выпустить ядро Linux 5.0 летом 2018 года

На прошедшей в Праге конференции Open Source Summit Линус Торвальдс рассказал, что надеется выпустить ядро Linux 5.0 летом 2018 года. Смена нумерации будет произведена после 20 релизов в ветке (также рассматривается вариант достижения рубежа в 6 млн git-объектов в репозитории) и, как в случае с выпусками 3.0 и 4.0, станет формальным шагом, обусловленным эстетическими соображениями. Выпуск не будет включать каких-то революционных и особенных изменений, а лишь плавно продолжит развитие текущей ветки 4.x и будет аналогичен выпуску 4.20.
12/12/2017 08:33:06
0

Artifex и Hancom урегулировали конфликт, связанный с нарушением GPL

Компании Artifex Software и Hancom опубликовали совместное заявление, в котором сообщили об урегулировании судебного разбирательства, связанного с заимствованием GPL-кода Ghostscript в офисном пакете ThinkFree Office. Условия прекращения разбирательства не разглашаются и отнесены к конфиденциальной части соглашения. Сообщается только то, что несмотря на разногласия в интерпретации открытой лицензии GPL, компании смогли достичь договорённости, основанной на взаимном уважении, признании авторских прав и философии открытого исходного кода.
12/12/2017 07:53:44
0

Microsoft выпустил утилиту ProcDump для Linux

Компания Microsoft портировала отладочную утилиту ProcDump для платформы Linux. ProcDump позволяет сохранять core-дамп выбранного процесса при возникновении ситуаций, когда данный процесс начинает потреблять много памяти или слишком нагружать процессор. Изначально приложение позиционировалось как отладочный инструмент для диагностики утечек памяти, зависаний и всплесков повышенной нагрузки на CPU в Windows и поставлялось в составе набора Windows Sysinternals, но теперь может применяться и для обычных процессов в Linux. Код открыт под лицензией MIT.
12/11/2017 20:10:38
0

Первая альфа-версия музыкального проигрывателя Elisa

Сформирован первый альфа-выпуск музыкального проигрывателя Elisa, построенного на основе технологий KDE и распространяемого под лицензией LGPLv3. Разработчики приложения пытаются воплотить в жизнь рекомендаций по визуальному дизайну мультимедийных проигрывателей, разработанных рабочей группой KDE VDG. Бинарные сборки подготовлены для Linux (rpm для Fedora и универсальные пакеты flatpak) и Windows.
12/11/2017 19:39:48
0

Компании Intel и Hyper представили проект Kata Containers

Компании Intel и Hyper представили проект Kata Containers, в рамках которого предпринята попытка объединить технологии Clear Containers и runV, нацеленные на организацию выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации. Развитие проекта будет курировать независимая организация OpenStack Foundation. О поддержке нового проекта уже заявили компании 99cloud, AWcloud, Canonical, China Mobile, City Network, CoreOS, Dell/EMC, EasyStack, Fiberhome, Google, Huawei, JD.com, Mirantis, NetApp, Red Hat, SUSE, Tencent, Ucloud, UnitedStack и ZTE. Код опубликован под лицензией Apache 2.0.
12/11/2017 10:26:51
0

Первый выпуск файловой системы Zbox

Доступен первый выпуск новой файловой системы Zbox, ориентированной на обеспечение конфеденциальности хранения данных в приложениях. Код Zbox написан на языке Rust и распространяется под лицензией Apache 2.0. Проект находится на стадии активной разработки, поэтому стабильность пока не гарантируется.
12/10/2017 07:18:08
0

Обновление web-браузера Tor Browser 7.0.11

Проект Tor опубликовал выпуск специализированного браузера Tor Browser 7.0.11, ориентированного на обеспечение анонимности, безопасности и приватности. Новый выпуск дистрибутива Tails задерживается. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае компрометации браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как sandboxed-tor-browser и Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.
12/10/2017 06:51:05
0

Неявные свойства языков программирования, которые могут привести к уязвимостям

Исследователи из компании IOActive представили на конференции Black Hat Europe доклад, в котором подвели итоги работы по выявлению недокументированной функциональности в интерпретируемых языках программирования, которая может потенциально стать причиной появления уязвимостей в приложениях. Код разработанного в рамках исследования инструментария ZDiFF (Extended Differential Fuzzing Framework), который применялся для выявления потенциальных уязвимостей, опубликован под лицензией GPLv3.
12/09/2017 21:07:00
0