LINUX.ORG.RU

Критическая уязвимость FreePBX (удаленное выполнение кода). Активно эксплуатируется

Группа Безопасность

Приветствую.

Не так давно начались взломы FreePBX и «слив» трафика через поломанную систему. Вчера FreePBX team нашли zero day уязвимость, позволяющему любому выполнить произвольный код в системе без аутентификации. Номер CVE еще не присвоен.

Уязвимость активно эксплуатируется: на систему заливаются файлы c.sh и c2.pl, которые генерируют большое количество call-файлов на специальные подставные дорогие направления, после чего asterisk туда направляет все эти звонки на все доступные деньги. Естественно, злоумышленники могут не ограничиться этим и попасть к вам в сеть или еще куда-то.

Для исправления уязвимости необходимо выполнить команды:

amportal a ma upgrade fw_ari
amportal a ma delete admindashboard

>>> Подробности

 , ,

Hiddenman ()

Представлена версия Photoshop для Chrome OS

Группа Коммерческое ПО

Компания Adobe выпустила версию Photoshop для Chrome OS. Продукт получил название Photoshop Streaming и идентичен Creative Cloud Photoshop, однако запускается он в форме браузерного web-приложения, работает в виртуализированном окружении Adobe Cloud в режиме стриминга и хранит все данные в облаке. Хранение данных осуществляется через систему Adobe Creative Cloud, для использования редактора изображений от Adobe необходимо оформление подписки. Все основные расчеты осуществляются в облаке, браузерный клиент служит для передачи, приема и представления данных и не требует инсталляции, однако и не предоставляет возможностей для локального сохранения файлов. На данный момент проводится бета-тестирование клиента, подписка доступна только для пользователей Adobe Creative Cloud из Северной Америки.

>>> Подробности

 , ,

gill_beits ()

AntiMicro 2.6 — программа для эмуляции геймпада

Группа Игры

Cостоялся очередной выпуск AntiMicro — программы, позволяющей эмулировать наличие у геймпада дополнительных кнопок, переназначая кнопки с мыши или клавиатуры, что окажется полезным при отсутствии поддержки геймпада в игре или плохой его поддержке со стороны игры. Программа создана в качестве замены для QJoyPad, разработка которого была прекращена. Написана на C++, для интерфейса задействован фреймворк Qt. Среди основных функций: поддержка стиков и 8-направленной крестовины, поддержка Dpad, поддержка профилей с возможностью их загрузки через командную строку, различные оптимизации для Steam OS.

Основные изменения:

  • Два новых турбо-режима;
  • Исправлены проблемы, вызывавшие сброс профиля;
  • Добавлена возможность вызова диалога переназначения клавиш из командной строки. После переназначения итоговые настройки выводятся в stdout. Это необходимо для создания конфига (SDL_GAMECONTROLLERCONFIG), который можно будет использовать в любой игре с поддержкой SDL 2;
  • Профили теперь будут храниться в файлах .amgp (старый xml-формат по-прежнему поддерживается);
  • Экспериментальная поддержка uinput. Для её активации необходимо указать при сборке опции -DWITH_UINPUT=ON и -DWITH_XTEST=OFF. Готовые сборки пока по-прежнему используют XTest для генерации событий.

Исходный код открыт под лицензией GPLv3. Доступны пакеты для Debian, Ubuntu и Windows. Дополнительно существует PPA. Пользователи Arch Linux могут воспользоваться AUR. Существует руководство по настройке программы.

>>> Подробности

 

anonymous ()

AMD Catalyst 14.9

Группа Hardware and Drivers

После пяти месяцев разработки доступна новая версия проприетарного драйвера — AMD Catalyst 14.9.

Список изменений в выпуске:

  • Поддержка видеокарт AMD Radeon R9 285.
  • Официальная поддержка Ubuntu 14.04 и RHEL 7.0.
  • Всплывающие уведомления в процессе установки.
  • Решены проблемы с выходом из спящего и ждущего режима.

>>> Загрузить AMD Catalyst 14.9

>>> Подробности

 , ,

garik_keghen ()

Книга «Свободные программы в офисе и дома»

Группа Документация

Опубликована и доступна бесплатно книга «Свободные программы в офисе и дома». Каждый раздел книги является практическим руководством для выполнения какого-либо одного вида работы с определенным контентом. Материал книги основан на использовании свободного программного обеспечения - офисного пакета LibreOffice, компьютерной издательской системы Scribus, редактора растровой графики GIMP, редактора векторной графики Inkscape, приложения для создания структурных схем Dia, а также пакета для 3D моделирования Blender. Книга адресована широкому кругу читателей, которые используют компьютер для подготовки текстовых, графических и других материалов как на работе, так и дома. В какой-то степени она будет интересна и специалистами в области информационных технологий, потому что профессионалы, как правило, не уделяют достаточно внимания подобным задачам. Данная книга может использоваться как пособие для самостоятельной подготовки, как справочный материал в рамках обучения сотрудников организаций, а также для подготовки соответствующего курса в различных учебных заведениях.

>>> Перейти на страницу книги "Свободные программы в офисе и дома".

 ,

anonymous ()

AMD подтвердил слухи о новой стратегии создания видеодрайверов для Linux

Группа Hardware and Drivers

Разработчик Алекс Дойчер (Alex Deucher) из компании AMD подтвердил появившиеся ранее слухи о том, что компания AMD собирается унифицировать разработку драйвера Catalyst с открытым драйвером, используя единый открытый модуль ядра и ограничив Catalyst только компонентами, работающими в адресном пространстве режима пользователя.

Разработчик выступит с докладом на конференции XDC 2014 Bordeaux, которая будет проходить в городе Бордо (Франция) с 8 по 10 октября. Ожидается, что в докладе будет рассказано о планах AMD на будущее и сложностях с которыми разработчики столкнулись на этом пути. Предварительно, формулировка доклада выглядит так:

>>-----Цитата---->>

AMD's New Unified Open Source Driver AMD is moving to unify it's current open and closed source Linux drivers over a common, shared, open source kernel driver. This talk will provide an overview of our plans for the future and the challenges we face as we move forward.

<<-----Цитата----<<

>>> источник

 , , ,

IiYAbel1 ()

Обнаружены новые уязвимости в bash

Группа Безопасность

Не успело сообщество отойти от уязвимостей ShellShock, как сотрудник Red Hat Флориан Ваймер опубликовал информацию о новых. Уязвимости CVE-2014-7186 и CVE-2014-7187, возникающие из-за некорректной обработки операций с памятью при разборе выражений, перечёркивают все прошлые усилия по закрытию ShellShock и позволяют удалённо выполнять любые команды.

Протестировать наличие проблем CVE-2014-7186 и CVE-2014-7187 можно при помощи выражений:

   bash -c "true $(printf '</dev/null
   if [ $? != 0 ]; then
      echo -e "Vulnerable to CVE-2014-7186"
   fi

   bash -c "`for i in {1..200}; do echo -n "for x$i in; do :;"; done; for i in {1..200}; do echo -n "done;";done`" 2>/dev/null
   if [ $? != 0 ]; then
      echo -e "Vulnerable to CVE-2014-7187"
   fi

Пользователи FreeBSD и NetBSD вне опасности, поскольку тамошние мейнтейнеры решили пожертвовать обратной совместимостью и полностью отключили эту часть функционала bash.

Ещё две уязвимости CVE-2014-6277 и CVE-2014-6278 обнаружил сотрудник Google Михаил Залевский, но отказался публиковать подробности до внесения исправлений в bash. Учитывая, что для разбора кода функций в bash применяется большой универсальный пласт кода, который потенциально может предоставлять множество различных векторов для атак, так как данный код написан без оглядки на обработку данных, поступающих извне, неизвестно сколько ещё уязвимостей нас ожидает впереди.

Кроме того, можно отметить статью разработчиков Perl, в которой описываются пути проявления уязвимости в perl-скриптах, запускаемых в системах, в которых bash используется как /bin/sh и $SHELL. Проблемы могут проявляться в скриптах, в которых используется вызовы system и exec без разделения аргументов или при открытии потока через open с перенаправлением вывода. Проблемы не специфичны для Perl и проявляются в любых других языках, позволяющих выполнять команды с использованием командной оболочки.

Также опубликован дополнительный анализ возможных серверных систем, в которых возможно проведение атаки. Кроме упоминавшихся ранее атак на DHCP-клиенты, CGI-скрипты и ssh-аккаунты для Git/Subversion, в обзоре утверждается о вероятном проявлении проблемы в OpenVPN (при соединении с сервером злоумышленника), Exim, qmail, procmail, Mailfilter, SER, Phusion Passenger, Radius-серверах и службах Inetd (например, tcpserver). Не подвержены проблеме Postfix, stunnel, OpenBSD inetd и xinetd.

Для комплексной проверки систем на подверженность атакам Shellshock подготовлен универсальный скрипт.

>>> Подробности

 ,

anonymous ()

Интервью с разработчиком X.Org, приуроченное к 30-летию проекта

Группа OpenSource

В этом году X.Org отмечает 30-летний юбилей. По этому случаю, блоггер Сергей Бронников задал несколько вопросов одному из разработчиков по имени Matthieu Herrb, который трудится на благо проекта уже 23 года.

>>> Подробности

 ,

anonymous ()

28 сентября - день рождения LibreOffice!

Группа OpenOffice

28 сентября 2014 - LibreOffice и The Document Foundation празднуют четвёртую годовщину с момента объявления о создании проекта 28 сентября 2010 года. В основе проекта лежит Go-oo, специальная сборка OpenOffice.org с дополнительными улучшениями, которые не смогли войти в базовый пакет OpenOffice.org LibreOffice — проект сложный и многогранный. Это результат вклада многих людей, что увеличивает его общественное значение. LibreOffice разрабатывается некоммерческой организацией The Document Foundation.

Офисный пакет LibreOffice состоит из нескольких компонентов, интегрированных в общее ядро, в частности:

  • Текстовый редактор Writer
  • Табличный редактор Calc;
  • Редактор презентаций Impress;
  • Векторный редактор Draw;
  • Редактор формул Math;
  • Система управления базами данных Base.

LibreOffice работает под Linux, Windows и Mac OS X. Кроме того, есть программа для удалённого управления демонстрацией презентации на Android - LibreOffice Impress Remote и LibreOffice Impress Remote для iPhone/iPad.

Русскоязычное сообщество пользователей поздравляет всех пользователей программы с днём рождения проекта! Поэтому всех-всех, кто использует LibreOffice в своей работе, участвует в его развитии и продвижении, поздравляем с праздником и благодарим за внесённый вклад в общее дело и желаем творческого вдохновения!

Большой вклад в продвижение программы вносят и региональные сообщества. Результаты работы русскоязычного сообщества несколько скромнее на этом фоне, но ему тоже есть чем похвастаться:

На сегодняшний день силами сообщества созданы и поддерживаются группы в соц сетях: Группа Вконтакте,Сообщество в Google+, Страница в Google+, Страница на Facebook, Страница в Twitter. Также активная поддержка пользователей осуществляется на форуме Свободные офисные пакеты от А до Я - forumooo.ru , где происходят основные координационные работы русскоязычного сообщества. Создан проект Часто задаваемые вопросы (FAQ), для вопросов которые не могут быть освещены в рамках глобального сообщества. Осуществляется контроль качества перевода LibreOffice. Созданы и обновляются правила для лёгкой проверки грамматики русского языка на основе движка lightproof, которые интегрированы в LibreOffice. Последние обновления войдут в состав LibreOffice 4.4, однако могут быть установлены и отдельно в составе расширения. Создан альтернативный вариант орфографического словаря и альтернативный тезаурус на основе материалов проекта AOT.ru. Готовый пакет словарей для русского языка размещён на сайте расширений: extensions.libreoffice.org.

В этом году русскоязычное сообщество смогло возобновить переводы справочного руководства и wiki TDF, что не делалось уже 4 года. По переводу справочного руководства результаты ожидаются уже к концу этого года. В июне 2014 г. был проведен масштабный контроль качества локализации интерфейса приложений, в связи с чем некоторые пользователи могли заметить существенные изменения в наименовании пунктов меню. Следующий такой масштабный контроль качества локализации планируется осуществить в ноябре-декабре этого года, будут затронуты места до которых команда локализации не смогла «дотянуться» в прошлый раз.

Сообщество пользователей приглашает всех присоединиться к командам локализации, контроля качества и поддержки пользователей, приобрести интересный опыт и участвовать в улучшении и продвижении активно развивающегося свободного и открытого офисного пакета.

>>> Подробности

 , ,

Yakov ()

Смартфон Meizu MX4 на Ubuntu Touch выйдет уже в декабре

Группа Ubuntu Linux

Первые смартфоны на базе Ubuntu Touch станут доступны для покупки уже в декабре. Об этом заявила компания Meizu в своем блоге.

>>-----Цитата---->>

По многочисленным просьбам поклонников мы связались с Canonical, и нас заверили, что первые Meizu MX4 с предустановленной Ubuntu Touch должны появиться уже в декабре. Они будут базироваться на процессоре MediaTek MT6595. Что касается Pro-версии смартфона, то пока никаких сведений о ней нет, кроме того, что он должен быть анонсирован в ближайшие недели.

<<-----Цитата----<<

Android-версия аппарата Meizu MX4 имеет следующие характеристики:

  • Процессор: 8 ядер, MediaTek MT6595 Meizu Customized version exclusive (4 ядра A17 по 2,2 ГГц + 4 ядра A7 по 1,7 ГГц; ядра могут работать одновременно);
  • Оперативная память: 2 ГБ, LPDDR3 933 Мгц;
  • Объем встроенной памяти - до 64 Гб;
  • Графический чип: PowerVR G6200MP4, 4 ядра 600 Мгц;
  • Экран с диагональю 5,36" и разрешением 1152x1920, оснащенный защитой Gorilla Glass 3;
  • Основная камера: 20.7 мегапикселей с сенсором Exmor RS.

>>> ubuntu-news.ru

>>> Предзаказ

 , , ,

Licwin ()

libsodium 1.0.0 — первый стабильный выпуск криптографической библиотеки

Группа OpenSource

Состоялся первый стабильный выпуск библиотеки libsodium, позиционируемой разработчиками в качестве современной и простой в использовании библиотеки для шифрования, хеширования и работы с цифровыми подписями. Исходный код распространяется по лицензии ISC.

Проект libsodium образован в 2013 в качестве форка NaCl, сохранив полную совместимость по API, но обладая при этом гораздо лучшей переносимостью (поддерживаются платформы Linux, *BSD, Mac OS, Windows, iOS и Android). libsodium и NaCl просты в освоении и предоставляют хоть и небольшой, но зато проверенный набор безопасных методов, в то время, как аналоги, наподобие OpenSSL, перегружены избыточной функциональностью, в которой периодически обнаруживаются уязвимости.

Основные изменения:

  • Стабилизация API и ABI. Новые возможности будут добавляться с оглядкой на поддержание обратной совместимости с веткой 1.x;
  • Исправлена некорректная работа функции crypto_sign() с перекрывающимися областями;
  • Расширен набор тестов.

>>> Подробности

 , , ,

anonymous ()

Вышел дистрибутив OpenMandriva Lx 2014.1

Группа OpenSource

Для загрузки доступна новая версия дистрибутива OpenMandriva Lx 2014.1. Новый релиз направлен на исправление ошибок и повышение производительности.

Основные изменения:

  • Ядро обновлено до версии 3.15.10 с новыми патчами nrjQL
  • KDE 4.13.3
  • Графический сервер обновлен до x11-server 1.15.2
  • Mesa 10.2.6
  • Для запуска приложений используется лаунчер Homerun
  • Обновлено ПО, LibreOffice 4.3.1, Firefox 32

>>> Загрузить: 32bit; 64bit

>>> Скриншоты: 1, 2, 3,4, 5

>>> Подробности

 ,

garik_keghen ()

О Сервере - Правила форума
Разработка и поддержка — Максим Валянский 1998–2014
Размещение сервера и подключение его к сети Интернет осуществляется компанией ООО «НИИР-РадиоНет»