The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

·12.06 Проект Cozystack представил переработанный etcd-operator с новым API
  Инструментарий etcd-operator, помогающий разворачивать и сопровождать кластеры etcd в Kubernetes, перешёл под управление проекта Cozystack. Вместе с передачей проекта опубликована новая реализация etcd-operator, написанная с нуля и использующая API etcd-operator.cozystack.io/v1alpha2 вместо прежнего etcd.aenix.io/v1alpha1. Новую реализацию написал Тимофей Ларкин, один из мейнтейнеров прежней кодовой базы. Старый вариант сохранён в ветке v1alpha1. Код написан на Go и распространяется под лицензией Apache 2.0. Cozystack является Sandbox-проектом некоммерческой организации CNCF.

Главное изменение в новом etcd-operator - отказ от StatefulSet для управления узлами. Теперь оператор напрямую работает со штатным Membership API etcd (MemberAdd, MemberPromote и MemberRemove) и сам добавляет участников, повышает learner до голосующего узла и выводит узлы из кворума, что даёт оператору полный контроль над составом кластера.

Параллельно разработчики проекта etcd развивают с нуля собственны1 официальный etcd-operator. По функциональности официальный оператор пока уступает etcd-operator от проекта Cozystack. Так как прежняя реализация etcd-operator уже работает в рабочих окружениях и используется в Cozystack и Kamaji, её развитие было продолжено отдельно от официально реализации от проекта etcd.

Развиваемый проектом Cozystack оператор управляет кластерами etcd через два ресурса. EtcdCluster описывает желаемое состояние: число реплик, версию etcd, параметры хранилища, TLS, аутентификацию и настройки etcd. EtcdMember создаётся для каждого узла кластера и владеет его Pod и PVC. В отличие от типовых решений оператор не использует StatefulSet и обслуживает независимо Pod и PVC каждого узла. Состав кластера меняется через API Membership etcd: оператор добавляет новые узлы как learner (MemberAdd), затем повышает их до голосующих участников (MemberPromote). Удаление проходит через MemberRemove, с корректным выводом из кворума. При паузе кластера узлы сохраняют свою идентичность.

Основные возможности:

  • развёртывание кластера и масштабирование в обе стороны, по одному узлу за раз: новые узлы стартуют в режиме learner, удаление корректно выводит их из кворума;
  • остановка кластера без потери данных (spec.replicas: 0) и возобновление работы с теми же идентификаторами кластера и узлов;
  • хранение данных в PVC по умолчанию или в tmpfs, если данные можно восстановить заново; при потере Pod оператор автоматически пересоздаёт узлы с хранилищем в памяти;
  • раздельная настройка TLS для клиентских и межузловых соединений: можно подключить свои Secret или поручить оператору выпуск и продление сертификатов через cert-manager;
  • аутентификация с единственным пользователем root; его учётные данные задаются через Secret;
  • создание снапшотов в S3 или PVC через ресурс EtcdSnapshot и восстановление кластера из снапшота при первом развёртывании;
  • автоматический PodDisruptionBudget, который не даёт операциям drain нарушить кворум;
  • валидация спецификаций средствами apiserver через CEL-выражения в CRD, без webhook и зависимости от cert-manager;
  • подресурс /scale для kubectl scale и VerticalPodAutoscaler, порт метрик 2381, проброс affinity и topologySpreadConstraints;
  • плагин kubectl-etcd для повседневных эксплуатационных задач (day-2 operations) после развёртывания кластера.

По сравнению со старой реализацией (v1alpha1) изменилось следующее:

  • API-группа сменилась с etcd.aenix.io на etcd-operator.cozystack.io;
  • вместо StatefulSet оператор использует отдельный ресурс EtcdMember для каждого узла;
  • произвольный словарь spec.options заменён типизированным набором параметров: quota-backend-bytes, режим и интервал автокомпактификации, snapshot-count; свободная map позволяла передавать флаги, которые конфликтовали с логикой оператора;
  • ресурс EtcdBackup переименован в EtcdSnapshot, семантика сохранена;
  • валидация перенесена с webhook на CEL-правила в CRD;
  • сервис кластера переведён в режим headless, чтобы у узлов были стабильные DNS-имена.

Миграция проходит на месте с помощью etcd-migrate. Инструмент адаптирует работающий кластер старого оператора без переноса данных, перезапуска Pod и потери кворума. Он меняет только владельцев объектов, метки и аннотации. После этого новый оператор берёт управление на себя. Клиенты, которые обращаются к кластеру по DNS-имени, продолжают работать без изменений.

Реализация etcd-operator от Cozystack закрывает большинство пунктов плана развития официального etcd-оператора проекта etcd. Статус по пунктам плана:

  1. Создание нового кластера etcd, например из 3 или 5 узлов, с указанной версией etcd — реализовано.
  2. Определение состояния здоровья кластера — реализовано.
  3. Включение TLS-шифрования соединений, включая продление сертификатов — реализовано.
  4. Обновление в пределах патч-версий или на одну минорную версию — реализовано частично: значение spec.version применяется только к новым узлам.
  5. Масштабирование в обе стороны, например 1 -> 3 -> 5 узлов и обратно — реализовано.
  6. Настройка параметров etcd через флаги или переменные окружения — реализовано как закрытый типизированный набор параметров.
  7. Восстановление одного отказавшего члена кластера, если кворум сохраняется — реализовано частично: автоматической замены членов с повреждённым PVC пока нет.
  8. Восстановление после отказа нескольких членов кластера и потери кворума — не реализовано, работа запланирована.
  9. Создание резервной копии кластера по запросу — реализовано.
  10. Периодическое резервное копирование кластера — сознательно вынесено за рамки оператора: периодические снапшоты предлагается запускать штатным CronJob.

Кроме того, v1alpha2 даёт возможности, которых нет в плане развития официального оператора:

  • остановка кластера до нуля реплик, пауза и возобновление с сохранением идентичности кластера и узлов;
  • хранилище в памяти (tmpfs) с автоматической заменой узлов силами оператора;
  • валидация на стороне apiserver через CEL, без webhook и зависимости от сертификатов;
  • автоматический PodDisruptionBudget для голосующих узлов;
  • подресурс /scale с заполненным status.selector, чтобы напрямую работали kubectl scale и VerticalPodAutoscaler.targetRef;
  • проброс параметров планирования affinity и topologySpreadConstraints, а также объединение additionalMetadata во всех объектах, которые создаёт оператор;
  • инструмент миграции с прежнего оператора без остановки кластера;
  • плагин kubectl-etcd для эксплуатационных задач.

  1. Главная ссылка к новости
  2. OpenNews: Проект etcd-await-election для запуска процессов с учётом выбора лидирующего экземпляра
  3. OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
  4. OpenNews: Разработка распределённого хранилища etcd переведена в организацию CNCF
  5. OpenNews: Утечка параметров аутентификации через незащищённые серверы etcd
  6. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.0
Обсуждение | Автор: tym83 | Тип: Программы |


·12.06 Выпуск дистрибутива Proxmox Mail Gateway 9.1 (2)
  Компания Proxmox, известная разработкой дистрибутива Proxmox Virtual Environment для развертывания инфраструктур виртуальных серверов, представила релиз дистрибутива Proxmox Mail Gateway 9.1, который преподносится как готовое решение для быстрого создания системы контроля за почтовым трафиком и защиты внутреннего почтового сервера.

Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Системная часть дистрибутива базируется на пакетной базе Debian. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian.

Proxmox Mail Gateway функционирует как прокси-сервер, выступающий в роли шлюза между внешней сетью и внутренним почтовым сервером на базе MS Exchange, Lotus Domino или Postfix. Имеется возможность управления всеми входящими и исходящими потоками почтовой переписки. Все логи переписки разбираются и доступны для анализа через web-интерфейс. Предоставляются как графики для оценки общей динамики, так и различные отчёты и формы для получения информации о конкретных письмах и статусе доставки. Поддерживается создание кластерных конфигураций для обеспечения высокой доступности (ведение синхронизированного резервного сервера, данные синхронизируются через SSH-туннель) или балансировки нагрузки.

Предоставляется набор средств для обеспечения защиты, фильтрации спама, фишинга и вирусов. Для блокирования вредоносных вложений применяется ClamAV и база Google Safe Browsing, а против спама предлагается комплекс мер на основе SpamAssassin, включающий поддержку обратной проверки отправителя, SPF, DNSBL, серые списки, систему байесовской классификации и блокировку по базе спамерских URI. Для легитимной корреспонденции предоставляется гибкая система фильтров, позволяющих определять правила обработки почты в зависимости от домена, получателя/отправителя, времени получения и типа содержимого.

Основные новшества:

  • Осуществлена синхронизация с пакетной базой Debian 13.5. Ядро Linux обновлено до выпуска 7.0. Реализация файловой системы ZFS обновлена до OpenZFS 2.4. Обновлены версии системы фильтрации спама SpamAssassin 4.0.2, антивирусного пакета ClamAV 1.4.4 и СУБД PostgreSQL 17.
  • Улучшен web-интерфейс для управлением помещением проблемных писем в карантин. Интерфейс оптимизирован для работы как со стационарных компьютеров, так и с мобильных устройств. Пользователям предоставлена возможность пометки просмотренными писем, помещённых в карантин из совместно используемых почтовых ящиков, для того чтобы не проводить двойную проверку разными людьми. В отчёте о помещении в карантин теперь показывается не только финальный спамерский вес, но и по-отдельности положительные и отрицательные составляющие для более ясного понимания причины фильтрации письма.

    Добавлена опция для загрузки изображений, присутствующих в помещённых в карантин письмах, только после явного запроса их показа нажатием кнопки "Load Images". В панель администратора добавлена опция "Copy Link" для получения ссылки для доступа к письму, находящемуся в карантине.

  • Добавлена поддержка шифрования резервных копий на стороне клиента и управления ключами, используемыми для шифрования. В данном режиме шифруются не только резервируемые данные, но и сопутствующие метаданные, такие как настройки email, правила фильтрации и статистика. Имеется опциональная возможность задания мастер ключа для восстановления.
  • Добавлена опция для инициирования проверки резервной копии и просмотра состояния шифрования и проверки для каждого снапшота.
  • Реализована поддержка добавления объявлений, показываемых перед входом в интерфейс администрирования, например, для вывода примечаний об использовании.
  • Добавлена поддержка сохранения в лог для каждого письма адреса отправителя, преданного во время SMTP-сеанса, а также декодированного содержимого заголовков From, To и Subject для проведения аудита.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов
  3. OpenNews: Доступен дистрибутив Proxmox Backup Server 4.2
  4. OpenNews: Представлен Proxmox Datacenter Manager 1.0
  5. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.2
Обсуждение (2) | Тип: Программы |


·12.06 В Chrome 151 будет удалён обходной путь для установки uBlock Origin (46 –14)
  В намеченном на 30 июня выпуске Chrome 150 будет удалена поддержка флага kExtensionManifestV2Disabled, позволявшего вернуть возможность установки из каталога Chrome Web Store дополнений, использующих вторую версию манифеста Chrome. Позавчера из кодовой базы Chromium, на основе которой формируется выпуск Chrome 151, запланированный на 28 июля, дополнительно был удалён код с реализацией параметра AllowLegacyMV2Extensions, позволявшего вручную в режиме разработчика загружать дополнения на базе второй версии манифеста. За несколько дней до этого из кодовой базы Chromium также были удалены параметры kExtensionManifestV2Unsupported и ExtensionManifestV2Availability, которые около года назад были объявлены неподдерживаемыми.

Участники проекта uBlock Origin рекомендовали пользователям Chrome перейти на другие браузеры или переключиться на дополнение uBlock Origin Lite, которое развивается автором uBlock Origin и представляет собой вариант uBlock Origin, переведённый на предложенный в третьей версии манифеста Chrome декларативный API (declarativeNetRequest). Поддержка второй версии манифеста Chrome присутствует в Firefox и Safari, а также будет сохранена в браузерах Brave и Opera на базе движка Chromium.

Третья версия манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions, разработана в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений. Основное недовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.

Дополнение uBlock Origin Lite (uBOL) реализует лишь часть функциональности uBlock Origin. В uBlock Origin Lite оказалось проблематично перенести динамические фильтры контента и URL, фильтры HTTP-заголовков, средства для отключения скриптов, шрифтов и мультимедийных элементов большого размера в привязке к отдельным сайтам, многие опции фильтров (strict1p, strict3p, domain, redirect-rule, removeparam), защиту от манипуляций с DNS для обхода блокировки. Из-за необходимости получения дополнительных полномочий в uBlock Origin Lite по умолчанию отключены косметические фильтры для замены содержимого на странице ("##"), подстановки скриптов на сайты ("##+js"), фильтров для перенаправления запросов ("redirect="), фильтров заголовков CSP (Content Security Policy) и фильтров для удаления параметров запросов ("removeparam=").

  1. Главная ссылка к новости
  2. OpenNews: Релиз Chrome 149
  3. OpenNews: Google анонсировал скорое прекращение поддержки второй версии манифеста в Chrome
  4. OpenNews: Подготовлены варианты uBlock Origin и AdGuard с поддержкой третьей версии манифеста Chrome
  5. OpenNews: В Chrome появилось предупреждение о скором прекращении поддержки uBlock Origin
  6. OpenNews: Google отключил дополнение uBlock Origin в каталоге Chrome Web Store
Обсуждение (46 –14) | Тип: К сведению |


·12.06 Атакующие скомпрометировали 1577 пакетов в репозитории AUR (116 +26)
  Зафиксирована массовая компрометация пакетов в репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения приложений от сторонних разработчиков. Атакующие получили контроль над 469 1577 пакетами и смогли внедрить в них вредоносный код для кражи паролей и ключей доступа с систем пользователей. Среди прочего, вредоносный код был интегрирован в поставляемый через AUR пакет ALVR, популярный у любителей компьютерных игр.

Атакующие взяли на себя сопровождение пакетов, имеющих статус "orphaned" и оставшихся без сопровождающих. В качестве имени указывалось имя последнего сопровождающего, но другой email, после чего добавлялся один коммит и публиковалось обновление. Коммит добавлял "npm" в список зависимостей PKGBUILD и вставлял в post_install-блок скрипта install.sh строку для установки нескольких NPM-пакетов. В числе устанавливаемых NPM-пакетов присутствовали один или несколько популярных легитимных пакетов и пакет atomic-lockfile или js-digest, содержащие скрытое вредоносное ПО. Добавление установки NPM-пакетов производилось во все скомпрометированные проекты, даже если в них не используется JavaScript и NPM.

После активации вредоносное ПО закреплялось в системе в виде сервиса systemd со случайным именем и при выполнении камуфлировалось под поток ядра. При запуске с правами root сервис создавался на системном уровне (/etc/systemd/system) и дополнительно активировал работающий на уровне ядра rootkit, а при выполнением с правами пользователя - запускался от имени пользователя (~/.config/systemd/user). Вредоносное ПО осуществляло сканирование и отправку на внешний сервер ключей и учётных данных VPN, Docker, Podman и SSH, а также извлечённых из браузера конфиденциальных данных, истории команд в shell, ключей криптовалютных кошельков, токенов доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault.

Дополнение: число пакетов в AUR, в которые была внедрена загрузка вредоносного NPM-пакета js-digest достигла 879. Общее число захваченных пакетов оценивается в 1577. Разработчики Arch Linux принимают меры для остановки волны захвата пакетов. До выработки окончательного решения могут наблюдаться проблемы с созданием новых учётных записей в AUR, отправкой обновлений пакетов и созданием новых пакетов.

  1. Главная ссылка к новости
  2. OpenNews: В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов
  3. OpenNews: В AUR-репозитории Arch Linux выявлены вредоносные пакеты
  4. OpenNews: Релиз Aura 4.0.0, пакетного менеджера для Arch Linux
  5. OpenNews: Эксперимент по получению контроля над пакетами в репозитории AUR
  6. OpenNews: В AUR-репозитории Arch Linux найдено вредоносное ПО
Обсуждение (116 +26) | Тип: Проблемы безопасности |


·12.06 Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.29 (32 +6)
  После года разработки опубликован выпуск проекта VeraCrypt 1.26.29, развивающего форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. Разработанный проектом VeraCrypt код распространяется под лицензией Apache 2.0, а заимствования из TrueCrypt продолжают поставляться под лицензией TrueCrypt License 3.0. Готовые сборки формируются для Linux, FreeBSD, Windows и macOS.

Среди изменений в новой версии:

  • Обеспечена возможность воспроизводимой сборки пакетов DEB и RPM, позволяющая удостовериться, что бинарные сборки созданы из предоставляемого исходного кода.
  • Для не системных разделов добавлена поддержка альтернативной функции формирования ключа (KDF, Key Derivation Function) Argon2id. В документации и интерфейсе пользователя вместо "PKCS-5 PRF" задействован термин KDF.
  • Ужесточена проверка некорректных данных в парсерах XML и TLV.
  • Добавлена поддержка сборки с использованием механизма FUSE3 (Filesystem in Userspace).
  • Предоставлена возможность выбора работающего на уровне ядра Linux драйвера ntfs3 для точек монтирования с NTFS ("--filesystem=kernel-ntfs" и "-m kernelntfs").
  • Реализовано распараллеливание операций при автоматическом определении KDF.
  • Для обычных файловых контейнеров задействован режим быстрого форматирования (Quick Format) с использование функции ftruncate() для пометки пустых областей.
  • В версии для платформы Windows устранено аварийное завершение при переходе в спящий режим на системах с Windows 11 25H2, улучшена обработка ввода/вывода, ускорено монтирование при автоопределении KDF, добавлена поддержка EFI-загрузчиков заверенных новым сертификатом Microsoft UEFI CA 2023, реализована опция "/protectScreen" для отключения режима блокировки создания скриншотов, добавлена опция "/enableIME" для включения IME (Input Method Editor). Добавлен VeraCrypt C/C++ SDK для создания разделов VeraCrypt из сторонних программ.
  • Устранена уязвимость (CVE-2026-53762), проявляющаяся только при сборке с опцией "WOLFCRYPT=1", не применяемой по умолчанию. Уязвимость значительно упрощает подбор пароля к шифрованным разделам из-за использования ключей SHA-256 и SHA-512 на базе функции формирования ключа HKDF вместо PBKDF2-HMAC, игнорирующей заданное в настройках число итераций и PIM (Personal Iterations Multiplier).
  • Устранена специфичная для Windows уязвимость (CVE-2026-54073), упрощающая определение наличия скрытых зашифрованных разделов из-за использования типового шаблона записи пустых областей. Тем временем, в поставляемой в Windows штатной системе шифрования разделов BitLocker выявлена ещё не исправленная (0-day) критическая уязвимость "GreatXML" (имеется эксплоит), позволяющая получить полный доступ к зашифрованному разделу BitLocker через манипуляции с разделом Recovery на системах с включённым Windows Defender Offline Scan.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.24
  3. OpenNews: Microsoft заблокировал учётные записи для заверения релизов VeraCrypt и WireGuard
  4. OpenNews: TrueCrypt закрыт из-за потери интереса к проекту. Инициатива по созданию форка
  5. OpenNews: На сайте TrueCrypt опубликовано заявление о небезопасности и закрытии проекта
  6. OpenNews: Проект CipherShed выпустил релиз ответвления TrueCrypt 0.7.4
Обсуждение (32 +6) | Тип: Программы |


·11.06 Выпуск X-сервера yserver 1.0.0, написанного на Rust и пригодного для запуска MATE, Xfce и Cinnamon (58 +31)
  Опубликован первый значительный выпуск X11-сервера yserver, написанного с нуля на языке Rust и поддерживающего актуальные расширения протокола X11. Проект не ставит перед собой цель повторить все возможности Xorg Server и ограничивается только функциональностью, необходимой для запуска современных сред рабочего стола, оконных менеджеров, приложений и графических библиотек (GTK, Qt, SDL, GLFW). Из протестированных окружений отмечены MATE, Xfce и Cinnamon, а также оконные менеджеры FVWM3, e16 и wmaker. Код проекта распространяется под лицензией MIT.

В yserver решено не поддерживать устаревшие и специфичные возможности, такие как обработка нескольких X11-экранов в одном сервере (многомониторный вывод поддерживается), отличные от TrueColor режимы цветности, непрямой рендеринг (indirect GLX), API драйверов DDX, старые методы работы со шрифтами и подключение клиентов с другим порядком следования байтов (трансляция между big-endian и little-endian).

Вывод графики организован через DRM/KMS и Vulkan-драйверы Mesa. Для управления сеансом и организации доступа к совместно используемым устройствам ввода и вывода используется библиотека libseat. Помимо обособленного X-сервера поставляется ynest - бэкенд для вложенного запуска, поддерживающий работу из Xwayland или другого X11-сервера.

Работа протестирована на системах в GPU AMD Ryzen 9 6900HX (Rembrandt, RDNA2, mesa-драйвер RADV), AMD RX580 (Polaris/GCN4, RADV), Intel i5-7200U (Kaby Lake, mesa-драйвер ANV), NVIDIA GTX 1050, Snapdragon X1 X1E80100 (Adreno X1, Turnip), Apple M1 MBA, M2 MBP, а также в системах виртуализации с virtio-gpu и виртуальным GPU Venus. В настоящее время поддерживается только работа в Linux, но в планах отмечено добавление поддержки FreeBSD.

Поддерживаемые расширения X11:

  • BIG-REQUESTS
  • Composite
  • DAMAGE
  • DPMS
  • DRI3
  • GLX
  • Generic Event Extension
  • MIT-SCREEN-SAVER
  • MIT-SHM
  • Present
  • RANDR
  • RENDER
  • SHAPE
  • SYNC
  • X-Resource
  • XFIXES
  • XInputExtension
  • XKEYBOARD
  • XTEST

  1. Главная ссылка к новости
  2. OpenNews: Стабильный выпуск XLibre XServer 25.1, форка X.Org Server
  3. OpenNews: Venus - виртуальный GPU для QEMU и KVM, реализованный на базе API Vulkan
  4. OpenNews: Выпуск Wayback 0.3, прослойки для запуска рабочих столов X11, используя компоненты Wayland
Обсуждение (58 +31) | Тип: Программы |


·11.06 Уязвимость в phpBB, позволяющая получить доступ к любому аккаунту без аутентификации (18 +20)
  В свободном движке для создания форумов phpBB выявлена уязвимость, позволяющая через отправку одного HTTP-запроса подключиться к сеансу любого пользователя форума. Уязвимость проявляется в конфигурации phpBB по умолчанию. Проблема устранена в версии phpBB 3.3.17.

При атаке на обычных пользователей можно получить доступ к приватной переписке и возможности отправлять сообщения от имени пользователя. При атаке на модераторов и администраторов можно удалять чужие сообщения, просматривать IP-адреса и email, читать приватную переписку, но нельзя зайти в интерфейс администратора и получить доступ к хосту.

Детали об уязвимости не приводятся, но при помощи AI на основе исправления уже воссоздан метод эксплуатации, основанный на обращении к обработчику "login_link" с выставлением метода аутентификации "auth_provider=apache" и подстановкой логина через Basic Auth, после чего PHP выставит переменную окружения "PHP_AUTH_USER=логин", а phpBB извлечёт из неё логин пользователя без проверки пароля. Например, для получения идентификатора сессии пользователя admin и сохранения его в файл cookies.txt можно выполнить код:


   curl -i -s \
     -c cookies.txt \
     -b cookies.txt \
     -u 'admin:anything' \
     -d 'login=Login&login_username=admin&login_password=anything' \
     'https://target.example/forum/ucp.php?mode=login_link&auth_provider=apache&login_link_any=1'

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в движке для создания форумов phpBB
  3. OpenNews: Инфраструктура свободного проекта phpBB подверглась взлому
  4. OpenNews: Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пользователей
Обсуждение (18 +20) | Тип: Проблемы безопасности |


·11.06 Проект ReactOS достиг возможности запуска игр Half-Life и Unreal Tournament 2004 (71 +36)
  Разработчики открытой операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows, объявили достижении возможности запуска игры Half-Life. Запуск был осуществлён в ReactOS, установленном на реальном оборудовании - ПК Dell OptiPlex 990 c CPU Intel Core i5-2400, 1 ГБ ОЗУ и видеокартой NVIDIA GeForce 8400 GS. За несколько дней до этого в ReactOS удалось запустить игру Unreal Tournament 2004.

  1. Главная ссылка к новости
  2. OpenNews: В ReactOS реализованы единый BootCD, графический установщик и экспериментальная поддержка ARM64
  3. OpenNews: В ReactOS обеспечена совместимость с проприетарными видеодрайверами
  4. OpenNews: Loss32 - Windows-подобная система, похожая на ReactOS, но на ядре Linux
  5. OpenNews: Выпуск операционной системы ReactOS 0.4.15
  6. OpenNews: ReactOS удалось запустить на системе с процессором Эльбрус-8С1
Обсуждение (71 +36) | Тип: К сведению |


·11.06 В октябре в Переславле-Залесском состоится XXII конференция разработчиков СПО (2 +6)
  2-4 октября в Институте программных систем РАН в г. Переславле-Залесском Ярославской области состоится XXII конференция разработчиков свободного программного обеспечения (OSSDEVCONF). На мероприятии соберутся разработчики и энтузиасты свободного ПО и открытого аппаратного обеспечения, чтобы обсудить новейшие достижения в области СПО, OSHW и перспективы их развития, наладить личные и профессиональные контакты и обменяться опытом, инициировать создание новых проектов. Формат конференции предполагает открытую встречу докладчиков и слушателей, а также личное общение.

Будет доступна прямая трансляция. С видеозаписями докладов и презентаций прошлых лет можно ознакомиться на странице конференции, там же доступны сборники тезисов. Кроме того, видео докладов традиционно доступны на 0x1.tv и там же можно ознакомиться с презентациями докладов.

Принимаются доклады по следующим темам:

  • Разработка свободного программного обеспечения
  • Новейшие достижения проектов СПО
  • Формирование сообщества разработчиков СПО
  • Философские, культурные и правовые аспекты свободного ПО
  • Студенческие проекты разработки СПО
  • Разработка свободного аппаратного обеспечения (OSHW)

Работы должны освещать тематику свободного ПО или OSHW. Доклады о бизнесе, рекламные и о проприетарном ПО не допускаются. Если тема доклада связана с разработкой ПО, заявка должна содержать ссылку на сам код, опубликованный в любом общедоступном репозитории под любой свободной лицензией (по определению ГОСТ Р 54593-2011, FSF или OSI). Если тема доклада связана с разработкой свободного аппаратного обеспечения (OSHW), то все материалы проекта должны быть опубликованы в соответствии с требованиями Open Source Hardware (OSHW) Definition.

Заявки принимаются:

  • на доклады до 6 сентября
  • подача тезисов докладов возможна до 10 сентября, заявки без тезисов не рассматриваются
  • публикация программы 17 сентября
  • на участие слушателем до 28 сентября (с трансфером из Москвы и обратно)
  • на участие слушателем до 30 сентября (без трансфера)

Участие в конференции для докладчиков и слушателей бесплатное, предоставляется трансфер из Москвы и обратно, а также в дни конференции от гостиницы «Переславль» до места проведения: Ярославская область, Переславский район, с. Веськово, улица Петра Первого, д. 4А (Институт программных систем имени А.К. Айламазяна РАН). Докладчикам оплачивается проживание (одному человеку на доклад).

  1. Главная ссылка к новости
  2. OpenNews: В октябре в Переславле-Залесском состоится конференция разработчиков свободных программ
  3. OpenNews: В октябре в Переславле-Залесском состоится конференция разработчиков свободных программ
Обсуждение (2 +6) | Автор: bircoph | Тип: К сведению |


·11.06 В Fedora выявлена подмена взломанного участника AI-агентом для продвижения сомнительных изменений (70 +32)
  Адам Уильямсон (Adam Williamson) из компании Red Hat, возглавляющий команду контроля качества в проекте Fеdora, обратил внимание на подозрительную активность Натана Джованнини (Nathan Giovannini), присоединившегося к проекту Fedora в 2016 году и некоторое время участвовавшего в работе команды Fedora Infrastructure Team. Не исключается, что деятельность, совершаемая за последние два месяца от имени Натана, была направлена на завоевание доверия через накопление истории принятых изменений и участие в исправлении ошибок, перед совершением вредоносных действий, как в инциденте с подстановкой бэкдора в пакет xz.

Подозрение вызвало то, что ранее особо не проявлявший себя разработчик в мае стал активно участвовать в обсуждении ошибок и отправлять патчи, при том, что в подобной активности прослеживались шаблоны, свойственные использованию AI. Например, в комментариях встречались созданные через AI обобщения, после которых Натана просили не злоупотреблять копированием выводов от AI-ассистента.

Кроме того, отмечались не несущие какого-то смыла переназначения на себя отчётов о проблемах в подсистемах, в которых Натан не является сопровождающим (1, 2, 3), изменения статуса или приоритета исправления проблем (1, 2), публикации созданных через AI рекомендаций авторам сообщений об ошибках (1, 2, 3) и отправки сгенерированных в AI патчей. В обход правил проекта Натан закрывал отчёты об ошибках сразу после передачи AI-патчей в вышестоящие проекты, не дожидаясь их принятия, или просто закрывал с флагом "NOTABUG" и рекомендацией перепроверить проявление проблемы.

Адам Уильямсон предположил, что Натан задействовал для работы AI-агента для исправления ошибок в Fedora и попросил прекратить использование AI-агента в автономном режиме. Натан ответил, что это не его AI-агент, его учётные данные были скомпрометирваны и кто-то посторонний действует от его имени. Следом Натан опубликовал сообщение, что он восстановил доступ к учётным записям в Fedora и GitHub, а также написал, что его официальный аккаунт в GitHub - "nathangiovannini99".

Сообщение вызвало ещё больше вопросов, так как отмеченная учётная запись была создана за час до публикации письма и в GitHub всплыли ещё как минимум две учётные записи, ассоциированные с Натаном (leurus27-boop, nathan9513-aps). Не исключалось, что с разработчиками Fedora продолжает общаться злоумышленник, получивший доступ к email Натана. Доступ учётной записи Натана к Bugzilla был заблокирован и была запущена проверка всех совершённых им изменений.

Выяснилось, что подозрительная деятельность началась 7 апреля и некоторые отправленные Натаном патчи лишь создавали видимость исправления. При этом подобные патчи были приняты в состав инсталлятора Anaconda и вошли в состав релиза Anaconda 45.5. Сопровождающий Anaconda отменил внесённые изменения и опубликовал релиз Anaconda 45.6 без этих патчей.

Помимо этого, отправленные от имени Натана исправления были приняты разработчиками утилиты osc (openSUSE Commander) с реализацией интерфейса командной строки для сборочной системы Open Build Service. Ещё один патч был передан для включения в пакет lxqt-policykit с привязкой к исправлению проблемы в Fedora, но разработчики Fedora успели предупредить сопровождающего до его принятия. Патчи не включали вредоносных действий, но предполагается, что они могли быть подготовкой к внесению вредоносных изменений в компоненты сборочной системы и сервиса, обеспечивающего выполнение привилегированных операций. Отправленные Натаном исправления также были замечены в проектах gwenview и easyeffects.

  1. Главная ссылка к новости
  2. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным
  3. OpenNews: В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd
  4. OpenNews: Ретроспектива продвижения бэкдора в пакет xz
  5. OpenNews: Разбор логики активации и работы бэкдора в пакете xz
Обсуждение (70 +32) | Тип: К сведению | Интересно


·10.06 Первый стабильный выпуск открытого офисного пакета Euro-Office (113 –8)
  Опубликован первый стабильный выпуск проекта Euro-Office, развивающего платформу для совместного редактирования документов, электронных таблиц и презентаций. В основе Euro-Office лежит серверный компонент DocumentServer, предоставляющий online-редакторы, открываемые на клиентских системах в браузере. Проект является форком кодовой базы продукта ONLYOFFICE DocumentServer и полностью повторяет его функциональность. Как и исходный продукт Euro-Office распространяется под лицензией AGPLv3. Готовые сборки сформированы для архитектур x86_64 и ARM64 в форматах deb и rpm.

К разработке Euro-Office подключилось 12 европейских компаний и организаций, среди которых Nextcloud, IONOS, Eurostack, XWiki, OpenProject, Soverin, Abilian и BTactic. Проект преподносится как открытая, прозрачно развиваемая и независимая платформа для совместной работы с документами, рассчитанная на использование через Web и интеграцию со сторонними продуктами, такими как системы обмена файлами, wiki и инструментами управления проектами. Заявлена совместимость с форматами MS Office и OpenDocument (DOCX, PPTX, XLSX, ODT, ODS, ODP).

Среди причин создания собственного форка вместо присоединения к разработке открытого проекта ONLYOFFICE упоминаются:

  • Проблематичность передачи изменений в кодовую базу платформы ONLYOFFICE, разработчики которой не рецензируют присылаемые изменения, не принимают pull-запросы и не заботятся о корректности и актуальности инструкций по сборке.
  • Развивающая ONLYOFFICE компания периодически принимает спорные решения, такие как отключение редактирования в мобильном приложении и удаление панели администратора.
  • Отсутствие прозрачности - тексты в коммитах часто ссылаются на внутренние системы отслеживания ошибок, в поставку входят бинарные блобы и обфусцированный код. Часть комментариев в коде на русском языке, что затрудняет работу с кодом международными командами.
  • Мобильное приложение не полностью открыто и завязано на проприетарные компоненты.
  • Значительная часть разработчиков ONLYOFFICE находится в РФ, что усложняет совместную работу и подрывает доверие из-за политической ситуации, особенно когда процессы разработки непрозрачны и отгорожены.

Организация The Document Foundation, курирующая разработки офисного пакета LibreOffice, опубликовала открытое письмо с критикой проекта Euro-Office и методов его продвижения. Недовольство вызывает то, что в Euro-Office по умолчанию применяется формат OOXML, подконтрольный компании Microsoft. По мнению The Document Foundation, использование по умолчанию проприетарного формата OOXML вместо открытого стандарта OpenDocument расходится с заявленной целью формирования европейского цифрового суверенитета, так как Euro-Office укрепляет привязку к одному американскому производителю, не способствующему предоставлению пользователям свободы полностью контролировать собственный контент.

Также подвергаются критике заявления о том, что Euro-Office стал первым открытым офисным пакетом, разработанным в Европе. Первым европейскими открытыми офисными пакетами являются OpenOffice.org и LibreOffice, основанные на исходном коде StarOffice, разработанном немецкой компанией Star Division. Euro-Office же создан на волне роста популярности идей цифрового суверенитета в результате ребрендинга сторонней кодовой базы.

  1. Главная ссылка к новости
  2. OpenNews: Фонд СПО и SFC призвали ONLYOFFICE удалить ограничения, добавленные поверх лицензии AGPL
  3. OpenNews: Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии
  4. OpenNews: Решено возобновить разработку LibreOffice Online, серверной версии для Web
  5. OpenNews: Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora
  6. OpenNews: Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код
Обсуждение (113 –8) | Тип: Программы |


·10.06 Уязвимость в процессорах ARM, позволяющая обойти изоляцию виртуальных машин (46 +16)
  Компания ARM раскрыла информацию об уязвимости (CVE-2025-10263) в своих процессорах, позволяющей осуществить запись в ресурсы, принадлежащих более высокому уровню исключений (Exception Level), что потенциально позволяет добиться повышения привилегий в системе. В контексте гипервизора Xen уязвимость даёт возможность из гостевой системы осуществить запись в память, принадлежащую гипервизору.

Проблема проявляется только на многоядерных процессорах Arm C1-Ultra, C1-Premium, Neoverse V3 & V3AE, Neoverse V2, Neoverse V1, Neoverse N2, Neoverse N1, Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 & X1C, Cortex-A710, Cortex-A78, A78AE & A78C, Cortex-A77, Cortex-A76 & A76AE и NVIDIA Olympus. Для блокирования проблемы обходным путём для ядра Linux предложен патч, который пока не вошёл в состав корректирующих обновлений. Исправление также выпущено для гипервизора Xen.

Уязвимость возникает в процессе выполнения операции TLBI (TLB Invalidation) для очистки записи в кэше трансляции виртуальных адресов в физические. Инструкция DSB (Data Synchronization Barrier), фиксирующая выполнение операции TLBI, на одном ядре может завершиться раньше, чем операция записи на другом ядре станет глобально видна всем ядрам. Таким образом, операция записи может быть завершена после того, как права доступа были изменены через TLBI.

Данная рассинхронизация состояния может применяться для обхода запрета доступа на уровне таблиц трансляции виртуальных адресов в физические (Stage 1) и трансляция адресов виртуальной машины (Stage 2), а также обхода механизма защиты целостности памяти GPT (Granule Protection Table). Например, гипервизор может выполнить инструкцию TLBI для запрета доступа к памяти для виртуальной машины, но гостевая система сможет продолжить писать в эту память, несмотря на подтверждение прекращения доступа.

  1. Главная ссылка к новости
  2. OpenNews: TikTag - атака на механизм спекулятивного выполнения в CPU ARM, позволяющая обойти защиту MemTag
  3. OpenNews: GhostRace - атака на механизм спекулятивного выполнения в процессорах Intel, AMD, ARM и IBM
  4. OpenNews: SLAM - атака на CPU Intel, AMD и ARM, позволяющая определить содержимое памяти
  5. OpenNews: Уязвимости в драйвере к GPU ARM, уже применяемые для совершения атак
  6. OpenNews: BHI - новая уязвимость класса Spectre в процессорах Intel и ARM
Обсуждение (46 +16) | Тип: Проблемы безопасности |


·10.06 Первый выпуск операционной системы GentleOS с ретро GUI для винтажных ПК (72 +53)
  Опубликован первый выпуск GentleOS, операционной системы для старых 32-разрядных ПК и ноутбуков. Проект развивается энтузиастом в качестве хобби и нацелен на предоставление простой платформы для любителей ретро-техники с классическим графическим интерфейсом. Поддерживается работа на компьютерах с CPU i386, 4 МБ ОЗУ и видеокартой VGA с разрешением 640x480. Код проекта написан на языке Си и распространяется под лицензией GPLv2. Для запуска сформирован дисковый образ размером 8 МБ, и образ для записи на дискету размером 1.4 МБ.

ОС построена на базе монолитной архитектуры и конфигурируется на этапе сборки. Доступны драйверы для видеокарт VGA/SVGA, клавиатуры, мыши (подключение через PS/2 и последовательный порт) и встроенного громкоговорителя. Функциональность GentleOS отмечена как завершённая - из планов на будущее отмечается только создание дополнительных приложений, проведение оптимизации и исправлением ошибок. Возможен запуск как в QEMU, так и на реальном оборудовании.

Из приложений доступны калькулятор, календарь, часы, генератор звука, простейший графический редактор и несколько игр, таких как змейка, mahjong, минёр и тетрис.

Отдельно развивается вариант GentleOS/16, поддерживающий работу на 16-разрядных системах с CPU Intel 80186. Сборка данного варианта сформирована для запуска с дискет, размером 720 Кб и 1.4 Мб. Поддерживается работа на ПК с 192 КБ ОЗУ и графическим адаптером CGA (320x200x4).

  1. Главная ссылка к новости
  2. OpenNews: Обновление операционной системы MenuetOS 1.57.70, написанной на ассемблере
  3. OpenNews: Выход написанной на ассемблере свободной ОС KolibriN9
  4. OpenNews: Доступен дистрибутив Floppinux, укладывающийся в размер флоппи-диска
  5. OpenNews: Выпуск BK 3.11.2101.8545, эмулятора компьютеров БК-0010 и БК-0011
  6. OpenNews: Открыты исходные тексты графического окружения PC/GEOS
Обсуждение (72 +53) | Тип: Программы |


·10.06 Lets Encrypt добавил в пользовательское соглашение запрет на выдачу сертификатов для стран под санкциями США (120 –35)
  Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, внёс изменение в пользовательское соглашение, определяющее права и обязанности получателей сертификатов. В секцию с условиями запроса и использования сертификатов добавлен пункт, не допускающий выдачу сертификатов для физических лиц и организаций, постоянно проживающих или зарегистрированных в странах или на территориях, на которые распространяются полномасштабные (comprehensive) санкции США.

Помимо этого под запрет подпадают лица и организации, являющиеся объектом персональных санкций и ограничений экспортного контроля США, а также организации, контролируемые лицами, подпадающими под санкции, или действующие от их имени. Отмечается, что организация Let's Encrypt зарегистрирована в США и обязана выполнять правила экспортного контроля и санкции, действующие в США.

До сих пор в Let's Encrypt применялись точечные блокировки, не позволяющие получить сертификат для конкретных доменов, перечисленных в санкционных списках управления по контролю за иностранными активами США (OFAC, Office of Foreign Assets Control). Полномасштабные санкции США введены против Крыма, ДНР, ЛНР, Ирана, КНДР и Кубы. Против РФ введены жёсткие санкции, но пока не применяется полное эмбарго. В данный момент запросы к Let's Encrypt на получение сертификатов из РФ для доменов, не упомянутых в санкционных списках, принимаются без ограничений.

Комментируя изменение пользовательского соглашения, директор организации ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt, пояснил, что сертификаты продолжат выдаваться для частных лиц и негосударственных компаний из Ирана и России, но не будут доступны для российских и иранских госучреждений. По словам представителя Let's Encrypt, изменения лишь документируют давно сложившуюся практику для выполнения юридических формальностей и никаких новых блокировок не последует.

Возможность предоставлять сертификаты для негосударственных учреждений и частных лиц на подсанкционных территориях обеспечивается благодаря действующим в США законам о защите частной переписки и послаблениям, принятым Управлением по контролю за иностранными активами (OFAC) для содействия соблюдению прав человека и свобод в интернете.

  1. Главная ссылка к новости
  2. OpenNews: Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC
  3. OpenNews: Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты
  4. OpenNews: Let's Encrypt уменьшит срок действия сертификатов до 45 дней
  5. OpenNews: Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов
  6. OpenNews: NS-сервера домена .top прекратили обслуживание запросов валидации Let's Encrypt
Обсуждение (120 –35) | Тип: К сведению |


·10.06 Релиз минималистичного дистрибутива Alpine Linux 3.24 (28 +15)
  Доступен релиз Alpine Linux 3.24, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров Docker и используется в проекте PostmarketOS. Загрузочные iso-образы (x86_64, x86, armhf, aarch64, armv7, ppc64le, s390x, riscv64 и loongarch64) подготовлены в шести вариантах: стандартном (352 МБ), загружаемом по сети (374 МБ), расширенном (1 ГБ), для виртуальных машин (66 MB), minirootfs (4 MB) и для гипервизора Xen (1 ГБ).

В новом выпуске:

Обсуждение (28 +15) | Тип: Программы |


Следующая страница (раньше) >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру