opennet news. Страница 27

Уязвимость в nftables, позволяющая повысить свои привилегии В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2023-0179), потенциально позволяющая локальному пользователю поднять свои привилегии в системе и выполнить код на уровне ядра. Исследователями подготовлены прототипы эксплоитов (будут опубликованы в течение нескольких дней), позволяющие локальному пользователю поднять свои права до root в системе или получить сведения об адресах в стеке и куче.

Выпуск минималистичного набора системных утилит Toybox 0.8.9 Опубликован релиз набора системных утилит Toybox 0.8.9, как и BusyBox оформленного в виде единого исполняемого файла и оптимизированного для минимального потребления системных ресурсов. Проект развивается бывшим мэйнтейнером BusyBox и распространяется под лицензией 0BSD. Основным назначением Toybox является предоставление производителям возможности использования минималистичного набора стандартных утилит без открытия исходных текстов модифицированных компонентов. По возможностям Toybox пока отстаёт от BusyBox, но уже реализовано 306 базовых команд (231 полностью и 75 частично) из 384 запланированных.

Выпуск Ventoy 1.0.88, инструментария для загрузки произвольных систем с USB-носителей Опубликован выпуск инструментария Ventoy 1.0.88, предназначенного для создания загрузочных USB-носителей, включающих несколько операционных систем. Программа примечательна тем, что обеспечивает возможность загрузки ОС из неизменных ISO, WIM, IMG, VHD и EFI-образов, не требуя распаковки образа или переформатирования носителя. Например, достаточно просто скопировать на USB Flash с загрузчиком Ventoy интересующий набор iso-образов и Ventoy обеспечит возможность загрузки находящихся внутри операционных систем. В любой момент можно заменить или добавить новые iso-образы просто скопировав новые файлы, что удобно для тестирования и предварительного ознакомления с различными дистрибутивами и операционными системами. Код проекта написан на языке Си и распространяется под лицензией GPLv3.

Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости, связанной с утечкой DNS-запросов Опубликованы корректирующие выпуски инструментария Tor 0.4.5.16 и 0.4.7.13, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, связанная с нарушением работы защиты от утечки DNS-запросов через локальный резолвер при подключении клиента через SOCKS4. Tor Browser не использует SOCKS4, поэтому проблема его не касается.

В кодовой базе Chromium разрешено использование языка Rust Компания Google объявила о включении языка программирования Rust в число языков, допустимых в коде проекта Chromium. Существующий код пока не планируют переписывать на Rust, но отныне будет разрешена интеграция в кодовую базу сторонних библиотек, написанных на Rust. В сборочную систему уже добавлен инструментарий для компиляции кода на языке Rust, проведения тестов и интеграции компонентов на Rust с кодом на C++. Появление кода на Rust в составе выпусков Chrome ожидается в следующем году.

Выпуск пакетного фильтра iptables 1.8.9 Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.9, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.

Выпуск платформы для ведения обсуждений Discourse 3.0 Представлен значительный выпуск платформы Discourse 3, предназначенной для ведения линейных обсуждений, которые применяются многими открытыми проектами вместо списков рассылки, web-форумов и чатов. Поддерживается разделение тем на основе тегов, отправка уведомлений о появлении ответов на сообщения, обновление списка сообщений в темах в режиме реального времени, динамическая загрузка содержимого по мере чтения, возможность подписки на интересующие разделы и отправки ответов по email. Система написана на языке Ruby с использованием фреймворка Ruby on Rails и библиотеки Ember.js (данные хранятся в СУБД PostgreSQL, быстрый кэш хранится в Redis). Код распространяется под лицензией GPLv2.

Выпуск реализации анонимной сети I2P 2.1.0 Состоялся релиз анонимной сети I2P 2.1.0 и C++-клиента i2pd 2.45.0. I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. Сеть строится в режиме P2P и образуется благодаря ресурсам (пропускной способности), предоставляемым пользователями сети, что позволяет обойтись без применения централизованно управляемых серверов (коммуникации внутри сети основаны на применении шифрованных однонаправленных туннелей между участником и peer-ами).

Команда Xubuntu начнёт формировать минималистичные сборки Разработчики дистрибутива Xubuntu представили новый вариант официальных сборок - Xubuntu Minimal, который дополнит штатные сборки Xubuntu Desktop и будет формироваться начиная с выпуска Ubuntu 23.04. В отличие от ранее предлагавшихся сборок, которые занимают 2.9 ГБ, новые сборки планируют уместить в объем классического CD-ROM (~700 МБ) за счёт поставки только базового пользовательского окружения Xfce без дополнительных приложений.

Объединение индейцев добивается переименования проектов Apache Некоммерческая организация Natives in Tech, занимающаяся развитием технологической экосистемы для коренных народов, призвала сообщество Apache Software Foundation прекратить использование слова "Apache" и индейской символики в логотипе, в том числе переименовать все развиваемые под данным именем проекты. Для продвижения инициативы опубликована петиция, которую подписали 40 активистов.

Доступен порт файловой системы HAMMER2 для NetBSD и FreeBSD Опубликованы начальные варианты портов файловой системы HAMMER2 для NetBSD и FreeBSD. В настоящее время порты пока поддерживают работу только в режиме чтения, но в будущем для NetBSD планируется реализовать и поддержку записи (для FreeBSD поддержку записи добавлять не намерены).

В ходе аудита удалось подобрать 21% паролей сотрудников МВД США Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 - с высокопоставленным госслужащими.

В ходе аудита удалось подобрать 21% паролей сотрудников МВД США Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 - с высокопоставленным госслужащими.

RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн загрузок в неделю В JavaScript-библиотеке JsonWebToken с реализацией технологии JSON Web Token (JWT) выявлена уязвимость (CVE-2022-23529), позволяющая добиться удалённого выполнения кода при верификации специально оформленного JWT-запроса. За последнюю неделю библиотека была загружена из каталога NPM более 10 млн раз.

RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн загрузок в неделю В JavaScript-библиотеке JsonWebToken с реализацией технологии JSON Web Token (JWT) выявлена уязвимость (CVE-2022-23529), позволяющая добиться удалённого выполнения кода при верификации специально оформленного JWT-запроса. За последнюю неделю библиотека была загружена из каталога NPM более 10 млн раз.

Релиз Chrome 109 с поддержкой MathML Компания Google представила релиз web-браузера Chrome 109. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 110 запланирован на 7 февраля.

Релиз Chrome 109 с поддержкой MathML Компания Google представила релиз web-браузера Chrome 109. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 110 запланирован на 7 февраля.

Открыты исходные тексты игры Duelyst Компания Counterplay Games объявила об открытии исходных текстов игры Duelyst, сочетающей свойства карточной игры и пошаговой стратегии, в которой два игрока сражаются на тактическом поле боя, по очереди вытаскивая карты с существами и заклинаниями. Код написан на языке JavaScript и открыт как общественное достояние под лицензией CC0 1.0 (Creative Commons Zero v1.0 Universal).