Волна взломов суперкомпьютеров для майнинга криптовалюты
https://www.opennet.ru/opennews/art.shtml?num=52973
В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для получения root-доступ и установки руткита.
https://www.opennet.ru/opennews/art.shtml?num=52973
В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для получения root-доступ и установки руткита.
Релиз языка программирования Haxe 4.1
https://www.opennet.ru/opennews/art.shtml?num=52974
Доступен релиз инструментария Haxe 4.1, включающего одноимённый мультипарадигменный высокоуровневый язык программирования со строгой типизацией, кросс-компилятор и стандартную библиотеку функций. Проектом поддерживается трансляция в С++, HashLink/C, JavaScript, C#, Java, PHP, Python и Lua, а также компиляция в байт-код JVM, HashLink/JIT, Flash и Neko, с доступом к родным возможностям каждой целевой платформы. Код компилятора распространяется под лицензией GPLv2, а стандартной библиотеки и развиваемых для Haxe виртуальных машин HashLink и Neko под лицензией MIT.
https://www.opennet.ru/opennews/art.shtml?num=52974
Доступен релиз инструментария Haxe 4.1, включающего одноимённый мультипарадигменный высокоуровневый язык программирования со строгой типизацией, кросс-компилятор и стандартную библиотеку функций. Проектом поддерживается трансляция в С++, HashLink/C, JavaScript, C#, Java, PHP, Python и Lua, а также компиляция в байт-код JVM, HashLink/JIT, Flash и Neko, с доступом к родным возможностям каждой целевой платформы. Код компилятора распространяется под лицензией GPLv2, а стандартной библиотеки и развиваемых для Haxe виртуальных машин HashLink и Neko под лицензией MIT.
Выпуск уведомителя о нехватке ресурсов psi-notify 1.0.0
https://www.opennet.ru/opennews/art.shtml?num=52976
Опубликован выпуск программы psi-notify 1.0, которая может предупредить при появлении в системе конкуренции за ресурсы (cpu, память, ввод/вывод) для того, чтобы предпринять действия, прежде чем система замедлится. Код открыт под лицензией MIT.
https://www.opennet.ru/opennews/art.shtml?num=52976
Опубликован выпуск программы psi-notify 1.0, которая может предупредить при появлении в системе конкуренции за ресурсы (cpu, память, ввод/вывод) для того, чтобы предпринять действия, прежде чем система замедлится. Код открыт под лицензией MIT.
Итоги полугода работы проекта Repology, анализирующего информацию о версиях пакетов
https://www.opennet.ru/opennews/art.shtml?num=52977
Прошли очередные полгода и проект Repology публикует очередной отчёт. Проект занимается агрегацией информации о пакетах из максимального числа репозиториев и формированием полной картины о поддержке в дистрибутивах по каждому свободному проекту с целью упрощения работы и улучшения взаимодействия мейнтейнеров пакетов как между собой, так и с авторами ПО - в частности, проект помогает быстрее обнаруживать выпуски новых версий ПО, следить за актуальностью пакетов и наличием уязвимостей, унифицировать схемы именования и версионирования, поддерживать метаинформацию в актуальном состоянии, делиться патчами и решениями проблем и улучшать переносимость ПО.
https://www.opennet.ru/opennews/art.shtml?num=52977
Прошли очередные полгода и проект Repology публикует очередной отчёт. Проект занимается агрегацией информации о пакетах из максимального числа репозиториев и формированием полной картины о поддержке в дистрибутивах по каждому свободному проекту с целью упрощения работы и улучшения взаимодействия мейнтейнеров пакетов как между собой, так и с авторами ПО - в частности, проект помогает быстрее обнаруживать выпуски новых версий ПО, следить за актуальностью пакетов и наличием уязвимостей, унифицировать схемы именования и версионирования, поддерживать метаинформацию в актуальном состоянии, делиться патчами и решениями проблем и улучшать переносимость ПО.
Выпуск пользовательского окружения Enlightenment 0.24
https://www.opennet.ru/opennews/art.shtml?num=52978
После девяти месяцев разработки состоялся релиз пользовательского окружения Enlightenment 0.24, которое базируется на наборе библиотек EFL (Enlightenment Foundation Library) и виджетах Elementary. Выпуск доступен в исходных текстах, пакеты для дистрибутивов пока не сформированы.
https://www.opennet.ru/opennews/art.shtml?num=52978
После девяти месяцев разработки состоялся релиз пользовательского окружения Enlightenment 0.24, которое базируется на наборе библиотек EFL (Enlightenment Foundation Library) и виджетах Elementary. Выпуск доступен в исходных текстах, пакеты для дистрибутивов пока не сформированы.
Выпуск BackBox Linux 7, дистрибутива для тестирования безопасности
https://www.opennet.ru/opennews/art.shtml?num=52980
Представлен релиз Linux-дистрибутива BackBox Linux 7, базирующегося на Ubuntu 20.04 и поставляемого с коллекцией инструментов для проверки безопасности системы, тестирования эксплоитов, обратного инжиниринга, анализа сетевого трафика и беспроводных сетей, изучения вредоносного ПО, стресс-тестирования, выявления скрытых или потерянных данных. Пользовательское окружение основано на Xfce. Размер iso-образа 2.5 ГБ (x86_64).
https://www.opennet.ru/opennews/art.shtml?num=52980
Представлен релиз Linux-дистрибутива BackBox Linux 7, базирующегося на Ubuntu 20.04 и поставляемого с коллекцией инструментов для проверки безопасности системы, тестирования эксплоитов, обратного инжиниринга, анализа сетевого трафика и беспроводных сетей, изучения вредоносного ПО, стресс-тестирования, выявления скрытых или потерянных данных. Пользовательское окружение основано на Xfce. Размер iso-образа 2.5 ГБ (x86_64).
Утечка пароля от шифрованных разделов в логе инсталлятора Ubuntu Server
https://www.opennet.ru/opennews/art.shtml?num=52981
Компания Canonical опубликовала корректирующий выпуск инсталлятора Subiquity 20.05.2, который применяется по умолчанию для установки Ubuntu Server, начиная с выпуска 18.04 при установке в Live-режиме. В новом выпуске устранена проблема с безопасностью (CVE-2020-11932), вызванная сохранением в логе пароля, заданного пользователем для доступа к созданному при установке шифрованному разделу LUKS. Обновления iso-образов с устранением уязвимости пока не опубликованы, но новая версия Subiquity с исправлением размещена в каталоге Snap Store, из которого инсталлятор может быть обновлён при загрузке в Live-режиме, на этапе до начала установки системы.
https://www.opennet.ru/opennews/art.shtml?num=52981
Компания Canonical опубликовала корректирующий выпуск инсталлятора Subiquity 20.05.2, который применяется по умолчанию для установки Ubuntu Server, начиная с выпуска 18.04 при установке в Live-режиме. В новом выпуске устранена проблема с безопасностью (CVE-2020-11932), вызванная сохранением в логе пароля, заданного пользователем для доступа к созданному при установке шифрованному разделу LUKS. Обновления iso-образов с устранением уязвимости пока не опубликованы, но новая версия Subiquity с исправлением размещена в каталоге Snap Store, из которого инсталлятор может быть обновлён при загрузке в Live-режиме, на этапе до начала установки системы.
Выпуск свободного авиасимулятора FlightGear 2020.1
https://www.opennet.ru/opennews/art.shtml?num=52982
Представлен релиз проекта FlightGear 2020.1, развивающего реалистичный авиасимулятор, распространяемый в исходных текстах под лицензией GPL. Проект был основан в 1997 году группой энтузиастов авиации, недовольных недостаточной реалистичностью и расширяемостью коммерческих симуляторов полётов. Главная цель FlightGear - предоставить гибкие средства расширения, позволяющие людям легко воплощать в жизнь свои идеи по улучшению симулятора. Cимулятор имитирует более 500 самолётов и предлагает большую коллекцию моделей реальных ландшафтов и аэропортов.
https://www.opennet.ru/opennews/art.shtml?num=52982
Представлен релиз проекта FlightGear 2020.1, развивающего реалистичный авиасимулятор, распространяемый в исходных текстах под лицензией GPL. Проект был основан в 1997 году группой энтузиастов авиации, недовольных недостаточной реалистичностью и расширяемостью коммерческих симуляторов полётов. Главная цель FlightGear - предоставить гибкие средства расширения, позволяющие людям легко воплощать в жизнь свои идеи по улучшению симулятора. Cимулятор имитирует более 500 самолётов и предлагает большую коллекцию моделей реальных ландшафтов и аэропортов.
BIAS - новая атака на Bluetooth, позволяющая подделать сопряжённое устройство
https://www.opennet.ru/opennews/art.shtml?num=52984
Исследователи из Федеральной политехнической школы Лозанны выявили уязвимость в методах сопряжения устройств, соответствующих стандарту Bluetooth Classic (Bluetooth BR/EDR). Уязвимости присвоено кодовое имя BIAS (PDF). Проблема даёт возможность атакующему организовать подключение своего поддельного устройства вместо ранее подключённого устройства пользователя, и успешно пройти процедуру аутентификации без знания канального ключа (link key), сгенерированного при начальном сопряжении устройств и позволяющего обойтись без повторения процедуры ручного подтверждения при каждом подключении.
https://www.opennet.ru/opennews/art.shtml?num=52984
Исследователи из Федеральной политехнической школы Лозанны выявили уязвимость в методах сопряжения устройств, соответствующих стандарту Bluetooth Classic (Bluetooth BR/EDR). Уязвимости присвоено кодовое имя BIAS (PDF). Проблема даёт возможность атакующему организовать подключение своего поддельного устройства вместо ранее подключённого устройства пользователя, и успешно пройти процедуру аутентификации без знания канального ключа (link key), сгенерированного при начальном сопряжении устройств и позволяющего обойтись без повторения процедуры ручного подтверждения при каждом подключении.
Microsoft реализует в WSL доступ к GPU и запуск графических приложений Linux
https://www.opennet.ru/opennews/art.shtml?num=52985
Компания Microsoft объявила о реализации значительных улучшений в подсистеме WSL (Windows Subsystem for Linux), обеспечивающей запуск исполняемых файлов Linux в Windows.
https://www.opennet.ru/opennews/art.shtml?num=52985
Компания Microsoft объявила о реализации значительных улучшений в подсистеме WSL (Windows Subsystem for Linux), обеспечивающей запуск исполняемых файлов Linux в Windows.
Выпуск OpenBSD 6.7
https://www.opennet.ru/opennews/art.shtml?num=52986
Представлен выпуск свободной кросс-платформенной UNIX-подобной операционной системы OpenBSD 6.7. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается 12 аппаратных платформ), стандартизация, корректная работа, активная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 6.7 составляет 470 МБ.
https://www.opennet.ru/opennews/art.shtml?num=52986
Представлен выпуск свободной кросс-платформенной UNIX-подобной операционной системы OpenBSD 6.7. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается 12 аппаратных платформ), стандартизация, корректная работа, активная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 6.7 составляет 470 МБ.
Релиз Electron 9.0.0, платформы создания приложений на базе движка Chromium
https://www.opennet.ru/opennews/art.shtml?num=52989
Подготовлен релиз платформы Electron 9.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 83, платформы Node.js 12.14 и JavaScript-движка V8 8.3.
https://www.opennet.ru/opennews/art.shtml?num=52989
Подготовлен релиз платформы Electron 9.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 83, платформы Node.js 12.14 и JavaScript-движка V8 8.3.
Microsoft представил фреймворк MAUI, создав конфликт имён с проектами Maui и Maui Linux
https://www.opennet.ru/opennews/art.shtml?num=52990
Компания Microsoft второй раз натолкнулась на конфликт имён при продвижении своих новых открытых продуктов без предварительной проверки наличия существующих проектов с теми же именами. Если в прошлый раз конфликт был вызван пересечением имён "GVFS" (Git Virtual File System) и (GVFS - GNOME Virtual File System), то на этот раз проблемы возникли вокруг имени MAUI.
https://www.opennet.ru/opennews/art.shtml?num=52990
Компания Microsoft второй раз натолкнулась на конфликт имён при продвижении своих новых открытых продуктов без предварительной проверки наличия существующих проектов с теми же именами. Если в прошлый раз конфликт был вызван пересечением имён "GVFS" (Git Virtual File System) и (GVFS - GNOME Virtual File System), то на этот раз проблемы возникли вокруг имени MAUI.
Удалённо эксплуатируемая уязвимость в почтовом сервере qmail
https://www.opennet.ru/opennews/art.shtml?num=52991
Исследователи безопасности из компании Qualys показали возможность эксплуатации уязвимости в почтовом сервере qmail, известной ещё с 2005 года (CVE-2005-1513), но остававшейся неисправленной, так как автор qmail утверждал о нереалистичности создания работающего эксплоита, который мог бы применяться для атаки на системы в конфигурации по умолчанию. В Qualys удалось подготовить эксплоит опровергающий данное предположение и позволяющий инициировать удалённое выполнение кода на сервере через отправку специально оформленного сообщения.
https://www.opennet.ru/opennews/art.shtml?num=52991
Исследователи безопасности из компании Qualys показали возможность эксплуатации уязвимости в почтовом сервере qmail, известной ещё с 2005 года (CVE-2005-1513), но остававшейся неисправленной, так как автор qmail утверждал о нереалистичности создания работающего эксплоита, который мог бы применяться для атаки на системы в конфигурации по умолчанию. В Qualys удалось подготовить эксплоит опровергающий данное предположение и позволяющий инициировать удалённое выполнение кода на сервере через отправку специально оформленного сообщения.