Скрыть

В корректирующем релизе утилиты sudo 1.8.3p2, используемой для организации выполнения команд от имени других пользователей, исправлена очень опасная уязвимость. Проблема вызвана ошибкой форматирования строки, которую может эксплуатировать любой пользователь, даже не упомянутый в настройках sudoers. Несмотря на то, что в публичном доступе пока не найдено готовых эксплоитов, потенциально уязвимость может привести к выполнению произвольных команд с правами пользователя root.


Проблема связана с появлением в sudo 1.8.0 нового отладочного режима, предназначенного для использования при разработке правил доступа или для создания плагинов для журналирования ввода/вывода. В функции sudo_debug() была допущена ошибка, связанная с использованием имени программы как части блока форматирования строки в fprintf(). Создав специально оформленную символическую ссылку на sudo и запустив утилиту по этой ссылке (или иными способами добившись подмены argv[0]), появляется возможность эксплуатации уязвимости.


Например:

bash



    $ ln -s /usr/bin/sudo ./%s
    $ ./%s -D9
    Segmentation fault
 

Рекомендуется срочно обновить sudo 1.8.x до версии 1.8.3p2. Старые версии, младше релиза 1.8.0, выпущенного в феврале 2011 года, проблеме не подвержены (например, в Ubuntu 10.04 LTS используется 1.7.2p1, в Ubuntu 11.10 - 1.7.4p6, в Slackware - 1.7.4p6). В качестве временной меры защиты можно снять suid-флаг с исполняемого файла sudo. Для систем с поддержкой FORTIFY_SOURCE, например, NetBSD и большинство дистрибутивов Linux, можно пересобрать sudo, активировав в src/Makfile опцию "-D_FORTIFY_SOURCE=2". На момент написания новости обновления были доступны только для FreeBSD и Gentoo. Пакет с sudo из состава Fedora 16 (возможно это касается и RHEL 6) изначально собран с опцией D_FORTIFY_SOURCE=2, т.е. не подвержен эксплуатации. Статус выпуска обновлений для различных дистрибутивов можно проследить на родных страницах вашего дистра.

Цельнотянуто с Opennet.ru

>>> Подробнее

Скрыть

Представлен релиз распределенной системы управления исходными текстами Git 1.7.9.

Некоторые изменения:

•   В "git commit" добавлена опция "-S" для создания GPG-подписи для коммита. Сигнатуру можно посмотреть через опцию "--show-signature" в "git log";
•   В "git pull" добавлена поддержка извлечения и слияния аннотированных/подписанных тегов. GPG-сигнатура из подписанных тегов записывается в результирующем коммите для дальнейшего аудита;
•   В "git log" добавлена опция "--show-signature" для отображения подписанных тегов и данных, записанных в процессе их коммитов. Созданную при коммите сигнатуру можно отобразить через "git commit -S";
•   Обновлён интерфейс gitk, который вобрал в себя изменения, накопившиеся с начала 2011 года. Git-gui обновлён до версии 0.16.0. В "gitweb" появился режим отображения diff-ов бок о бок;
•   Подготовлена инфраструктура для перевода сообщений Git на различные языки, для этого интегрирована поддержка gettext и обеспечена автоматическая загрузка PO-файлов для текущей локали;
•   В коде манипулирования логином/паролем при выполнении HTTP-транзакций, используемых для "git push" и "git fetch", обеспечена возможность использования внешнего API для кэширования или хранения параметров авторизации, что позволяет обеспечить интеграцию с механизмами работы с ключами авторизации различных платформ;
•   При запросе пароля в терминале теперь по возможности везде используется собственная реализация функции getpass() с целью защиты от возможных утечек паролей;
•   В "git add" появилась поддержка добавления больших файлов непосредственно в единый packfile, вместо записи в отдельные бинарные файлы;
•   В "git checkout" и "git merge" добавлена опция "--no-overwrite-ignore" для оставления неизменными неотслеживаемых или игнорируемых файлов;
•   В "git commit --amend" добавлена опция "--no-edit" для записи правок без изменения сообщения в логе коммитов;
•   В реализации "git commit" и "git reset" реализована оптимизация для кэширования состояния дерева в индексе;
•   В "git commit" добавлен код определения и отклонения сообщений в логе коммитов, содержащих символ с нулевым кодом; Обеспечено отображение прогресса выполнения операций fsck и prune;
•   В "git log --format=''" добавлена поддержка спецификатора %g[nNeE] для вывода информации из элементов reflog при его просмотре (опция "-g"); "git branch --edit-description" может быть использован для добавления описания с пояснением причин создания ответвления;
•   В "git request-pull" обеспечена передача дополнительной информации (описание ветки, аннотированный тег и т.п.), которая может оказаться полезной для принятия решения при принятии изменений;
•   В "git tag" добавлена опция "--cleanup" для управления чисткой пробелов и пустых строк в тексте сообщения тега.

Цельнотянуто с Opennet.ru

>>> Подробнее

Скрыть

>>> Подробнее

Скрыть

Представлен релиз многоплатформенной игры Oil Rush, которая претендует на звание игры для Linux с наиболее качественной 3D-графикой. Игра разработана российской компанией Unigine из Томска, развивающей одноимённый графический движок. Жанр игры: морская стратегия, поддерживающая как одиночные миссии, так и многопользовательскую игру через интернет, локальную сеть или сервис Steam. Игра проприетарная (20$), в ближайшие дни будет доступна для покупки через сервисы доставки игр Steam, Desura и Ubuntu Software Center.

>>> Подробнее

Скрыть

Основные изменения:

•   Исправлена ошибка, связанная с производительностью (появилась в версии 0.9.4)
•   Теперь ФС монтируется в режиме R/O, если устройство защищено для записи
•   Утилиты exfat-utils теперь работают в GNU/Hurd
•   Улучшена обработка тома с повреждённой ФС
•   Устранено несколько утечек памяти
•   Теперь параметр ctime устанавливается равный mtime
•   Теперь в основном репозитории Debian

ExFAT — проприетарная файловая система, предназначенная главным образом для флэш-накопителей. Впервые представлена фирмой Microsoft в Windows Embedded CE 6.0 для встраиваемых устройств, также поддерживается Windows Vista SP1, Windows XP (с обновлением KB955704), Windows Server 2008 и Windows 7, MacOS X Snow Leopard 10.6.5. Стоит отметить, что крупные производители электроники, такие как Sony или Canon уже подписали соглашение с фирмой Microsoft о лицензировании ExFAT. Для производителей устройств на базе Linux-ядра — Android и MeeGo доступен драйвер для файловой системы ExFAT под проприетарной лицензией, который, скорее всего, не будет открыт из-за соглашения с Microsoft и пока предназначен только для OEM производителей.

>>> Подробнее

Скрыть

Основные изменения:

•   Теперь вместо DBus и GConf используется GDBus и GSettings
•   Осуществлён переход с GTK2 на GTK3
•   Добавлена поддержка Python 3 гномовском клиенте cdemu
•   Реализована частичная поддержка CSS
•  Исправлены ошибки в парсере некоторых форматов дисков

CDEmu — это эмулятор CD/DVD-ROM, который поддерживает основные форматы проприетарных программ для копирования дисков в ОС Windows, такие как: nrg, mds, b6t, cif, c2d, daa и другие. Также данный эмулятор поддерживает образы дисков, не имеющих ФС, например музыкальные диски и чтение субканальных данных/ISRC/CD-Text/DPM/RMPS (для работы с образами, защищёнными от копирования, например SecuROM).

Пользователи Ubuntu 11.10 могут установить данное ПО, добавив в список репозиториев (с помощью Центра приложений Ubuntu, меню "правка", вкладки "Источники приложений", пункта "другое ПО"): ppa:cdemu/ppa

Стоит заметить, что модуль ядра собирается на компьютере пользователя с помощью DKMS, поэтому при обновлении ядра модуль будет автоматически пересобран под конкретную верс

>>> Подробнее

Скрыть

В версиях Xorg 1.11 и выше была обнаружена критическая уязвимость, которая позволяет не зная пароля разблокировать систему при помощи комбинаций клавиш Ctrl + Alt + * (которая на NumPad'е). Данная комбинация предназначена для убивания приложения, которое захватило экран.

В настоящий момент эта версия Xorg используется в некоторых новых дистрибутивах, в том числе Fedora 16 и ArchLinux.

// паста с лор0

>>> Подробнее

Скрыть

Военно-воздушные силы США объявили о переводе пунктов управления боевыми беспилотниками с операционной системы Windows на платформу Linux. Такой смелый шаг во многом обусловлен недавним скандалом, когда в сентябре прошлого года на базе ВВС США в г. Крич (Creech), шт. Невада был обнаружен вирус. Командование базы объяснило, что вирус не угрожал непосредственной работе разведывательно-ударных аппаратов Reaper, которые обслуживает эта база, но атака явно заставила военных шевелиться.

Как объясняют представители ВВС США, наземные системы отделены от систем управления полетами, которые используются для дистанционного контроля БПЛА. Несмотря на вирусное заражение, работе летающих убийц и их остающихся на земле операторов ничего не угрожало. Насколько известно, вирус попал на базу ВВС Крич через внешние жесткие диски, на которых операторы переносили обновления к картам и записи видеонаблюдения с камер БПЛА. В какой-то момент с одного из этих дисков на компьютеры наземного пункта слежения попал вирус. По словам чиновников из ВВС, вирус относился к таким видам вредоносного ПО, которые пытаются похитить различные регистрационных данные пользователя, включая имена и пароли, а также номера банковских счетов и прочее.

После сентябрьского инцидента наземным службам военно-воздушных сил запрещено использовать сменные накопители для переноса данных между компьютерами, чтобы не допустить других атак. В то же время, военные не стали акцентировать тот факт, что некоторые компьютеры были переведены с платформы Windows на платформу Linux с открытым исходным кодом. Доказательства этого обнаружил финский специалист по ИТ-безопасности Микко Хиппонен в открытых источниках, сравнив фотографии пунктов управления за 2009 и 2011 год. Примечательно, что фотография 2009 года взята с веб-сайта самой военной базы Крич, но сейчас этот снимок уже удален с сайта (но урезанная копия до сих пор опубликована в ведомственном журнале ВВС США).

Сам Хиппонен прокомментировал свою находку так: «Если бы мне пришлось выбирать между решениями на базе Windows XP и Linux при построении системы военного назначения, я бы ни секунды не сомневался, что выбрать». Можно считать, что Linux еще раз эмпирически подтвердил свою повышенную устойчивость к вирусам по сравнению с Windows, по крайней мере, в текущей ситуации.

По материалам сайтов The Register и InfromationWeek.

>>> Подробнее

Скрыть

Вышла никому не нужная FreeBSD 9.0. В новом релизе добавлено:

•  Новый инсталлятор (стал более удобным, больше похожим на консольный инсталлятор Debian)
•  Поддержка совместного использования технологии Soft Updates и журналирования для быстрого восстановления после аварийного завершения работы файловой системы (UFS2+SUJ)
•  ZFS обновлена до 28 версии
•  Обновлены драйверы ATA/SATA с поддержкой AHCI
•  Поддержка Highly Available Storage
•  D-Trace для пользовательского уровня
•  TCP/IP-стек поддерживает congestion control framework
•  Поддержка NFSv4
•  High Performance SSH

В новом инсталляторе добавлена поддержка разбивки диска GPart'ом, TRIM для SSD дисков, нормальная консоль со всеми утилитами для работы с geom, да и в целом всё стало шустрее работать. Единственная проблема с GPT. Для использования GEOM Mirror 1 нужно сначала создавать зеркало (из консоли), а затем уже на зеркале создавать разметку (работает и в ncurses-интерфейсе).

>>> Подробнее

Скрыть

Открыты первые наработки мобильной платформы Tizen, пришедшей на смену MeeGo

Спустя четыре месяца с момента анонса новой мобильной платформы Tizen объявлено об открытии доступа к репозиторию с исходными текстами текущих наработок и выпуске альфа-версии инструментария Tizen SDK для разработки приложений. В состав SDK входит среда разработки Web IDE, эмулятор телефона, документация на Web API и инструментарий для сборки программ. В настоящее время API SDK ещё полностью не сформирован, но подготовленный костяк может помочь детально разобраться во внутренней структуре платформы и начать эксперименты с написанием собственных приложений для Tizen.

Одновременно опубликованные исходные тексты платформы также предназначены для начального ознакомления и имеют статус альфа-версии. Код рассчитан на использование на смартфонах и планшетах, но может быть запущен и внутри эмулятора на ПК. В настоящее время доступна лишь часть исходных текстов (открыты части платформы, связанные с API, низкоуровневой системной частью платформы и дополнительными пакетами). Например, в репозитории можно найти пакеты с busybox, ConnMan, PulseAudio, X.Org, Cairo, FFmpeg, Speex. Отдельный интерес вызывает наличие в репозитории пакетов, связанных с проектом Еnlightenment, в частности е17, EFL (Enlightenment Foundation Library) и WebKit-EFL. Компоненты для поддержки смартфонов, планшетов и дополнительных устройств, а также реализация начального прототипа пользовательского интерфейса будут открыты в течение нескольких недель или месяцев.

Напомним, что мобильная платформа Tizen была представлена в сентябре организациями LiMo Foundation и Linux Foundation, которые объявили об объединении своих наработок по развитию мобильных платформ на базе Linux и продолжении развития проектов MeeGo и LiMo как единой платформы. В рамках проекта Tizen планируется создать целостную, полностью открытую и обладающую широкими возможностями по кастомизации операционную систему для широкого спектра мобильных устройств, включая планшеты, нетбуки, смартфоны, телевизоры и автомобильные информационно-развлекательные системы.

По мнению разработчиков Tizen, будущее мобильных систем связано с использованием web-технологий, поэтому для создания приложений для Tizen предлагается использовать Web API и HTML5/JavaScript/CSS. Используя технологии HTML5 разработчики получат возможность создавать кроссплатформенные приложения, одинаково хорошо работающие на широком спектре устройств, не требуя сборки отдельной версии для каждой аппаратной и программной платформы. Кроме того, HTML5 существенно упрощает разработку мобильных приложений, снижает порог вхождения (программы можно создавать, имея опыт написания обычных web-приложений) и позволяет сократить время разработки.

Nokia приобрела операционную систему Smarterphone

Компания Nokia поглотила норвежскую компанию Smarterphone, занимающуюся разработкой одноимённой операционной системы для телефонов низшей ценовой категории (от 25 до 75 долларов). Smarterphone обладает низкими требованиями к ресурсам в сочетании с удобным и насыщенным интерфейсом, ориентированным на устройства с сенсорным экраном. В совет директоров поглощённой компании входит Haavard Nord, один из основателей компании Trolltech, создавшей фреймворк Qt.



Smarterphone предоставляет достаточно широкий спектр возможностей, от стандартных телефонных операций и поддержки JavaME, до поддержки видеозвонков, мощного календаря-планировщика, мультимедиа плеера, файлового менеджера, расширенного web-браузера, почтового клиента, программы для чтения RSS и средств для интеграции с социальными сетями Twitter и Facebook. Система является многозадачной.

Напомним, что ранее Nokia вела разработку собственной платформы Meltemi, основанной на Linux и нацеленной на создание окружения для обычных недорогих аппаратов, обладающего расширенными возможностями, свойственными более дорогим смартфонам. Результаты изучения спроса показали, что потребители заинтересованы в покупке недорогих телефонов, которые работают как смартфоны.

Ну и с натяжкой сюда можно отнести новость о том, что:

Qt 4 переведён на открытую модель разработки

Компания Nokia объявила о переводе Qt 4 под покровительство проекта Qt Project, созданного для организации независимого управления разработкой Qt. Новая структура управления подразумевает уход от подконтрольного одной компании проекта к полностью открытой инфраструктуре разработки, в которой представители сообщества смогут непосредственно участвовать в развитии Qt и влиять на принятие решений. Несмотря на то, что Qt Project был учреждён ещё в октябре, изменения коснулись только экспериментальной ветки Qt 5, а Qt 4 по инерции развивался по старым правилам.

Основная проблема передачи Qt 4 в руки Qt Project заключалась в использовании внутренних закрытых средств разработки Nokia и необходимостью перехода на новую систему непрерывной интеграции, используемую в Qt Project. В настоящее время все препятствия устранены, подготовлено новое тестовое окружение для Qt 4, включая средства автоматизированного тестирования сборки и запуска для Linux и Mac OS X (для Windows пока доступны средства сборки). Репозитории Qt 4.x уже интегрированы в систему рецензирования кода Qt Project. Все операции публикации патчей, тестирования, рецензирования, сопровождения и утверждения кода могут обрабатываться теми же методами, что уже внедрены для ветки Qt 5 (новый патч проходит первую стадию рецензирования любым участником, после чего может быть одобрен или отвергнут сопровождающими или утверждающими).

Ветка Qt 4 находится на завершающей стадии развития, поэтому в ней не ожидается заметных изменений, тем не менее новая система позволяет упростить публикацию и приём патчей с исправлением ошибок в Qt 4.8. Ветки Qt 4.6 и 4.7 не протестированы в новой системе непрерывной интеграции, поэтому при работе с данными ветками следует проявлять особую осторожность (в данные ветки принимаются только патчи с устранением проблем безопасности и исправлением критических ошибок).

Ожидающие рассмотрения патчи, переданные через Gitorious, автоматически переотправлены в новую систему. Вся разработка теперь будет сосредоточена в едином месте, а доступ открыт всем без исключения, без практики использования отдельных репозиториев для сотрудников Nokia, синхронизация которых с публичными репозиториями производилась с определённой задержкой.

>>> Подробнее