Компания «Яндекс» представила новый алгоритм градиентного бустинга на деревьях решений CatBoost. Также опубликован исходный код и ряд утилит для обучения и визуализации его результатов под лицензией Apache 2.0.

Градиентный бустинг активно используется в машинном обучении. Алгоритм CatBoost отличается поддержкой категориальных параметров «из коробки», а на тестах (с открытыми датасетами и исходным кодом) демонстрирует лучшие результаты, чем основные конкуренты: LightGBM, XGBoost, H2O.

>>> Репозиторий на GitHub

>>> Подробности

На сайте openssl.org опубликована информация о новых проблемах безопасности в OpenSSL, некоторые из них могут использоваться для получения передаваемых данных.

SSL/TLS уязвимость MITM (man in the middle) (CVE-2014-0224)

Используя специально сформированный пакет handshake (отправляемый при установке соединения), злоумышленник может вынудить клиент и сервер создать слабые ключи. Данная уязвимость позволяет расшифровывать и подменять данные, реализуя атаку man-in-the-middle. Данная атака осуществима только в случае работы с уязвимыми клиентом и сервером.

Уязвимы серверные реализации OpenSSL 1.0.1 и 1.0.2-beta1, клиентские 0.9.8, 1.0.0, 1.0.1. Рекомендуется обновить ПО.

DTLS уязвимость, связанная с рекурсией (CVE-2014-0221)

Узвимость в реализации протокола датаграмм безопасности транспортного уровня, работающего поверх UDP, позволяет вызвать падение OpenSSL клиента в результате ухода в рекурсию. Может использоваться для выполнения DoS атаки.

Пользователям OpenSSL 0.9.8 DTLS необходимо обновиться до версии 0.9.8za
Пользователям OpenSSL 1.0.0 DTLS необходимо обновиться до версии 1.0.0m.
Пользователям OpenSSL 1.0.1 DTLS необходимо обновиться до версии 1.0.1h.

DTLS проблема с ошибочными фрагментами (CVE-2014-0195)

Отправка неверных фрагментов DTLS может привести к ошибке переполнения буфера. Потенциально может привести к исполнению произвольного кода.

Уязвимость касается как клиента, так и сервера, рекомендации по обновлению такие же, как и в предыдущем пункте.

SSL_MODE_RELEASE_BUFFERS разыменование нулевого указателя (CVE-2014-0198)

Удаленный злоумышленник может вызвать отказ в обслуживании, за счет разыменования нулевого указателя в функции do_ssl3_write_function. Уязвимость затрагивает OpenSSL 1.0.0 и 1.0.1, в которых включена опция SSL_MODE_RELEASE_BUFFERS, что бывает редко.

Также в этом случае из-за ошибки в функции ssl3_read_bytes, злоумышленник может вставить свои данные в иные сессии или вызвать отказ в обслуживании. (CVE-2010-5298)

Пользователям OpenSSL 1.0.0 необходимо обновиться до версии 1.0.0m.
Пользователям OpenSSL 1.0.1 необходимо обновиться до версии 1.0.1h.

DoS в анонимном ECDH (CVE-2014-3470) OpenSSL TLS в режиме анонимного ECDH подвержен уязвимости типа отказ в обслуживании.

Пользователям OpenSSL 0.9.8 DTLS необходимо обновиться до версии 0.9.8za
Пользователям OpenSSL 1.0.0 DTLS необходимо обновиться до версии 1.0.0m.
Пользователям OpenSSL 1.0.1 DTLS необходимо обновиться до версии 1.0.1h.

OpenSSL это свободная реализация протоколов TLS и SSL, повсеместно используемая в открытом ПО. Недавние сообщения об уязвимости heartbleed вызвали волну обсуждения надежности данной библиотеки.

>>> Подробности

Сегодня выпущена первая публичная версия гейтвея между Mail.Ru Агентом и Jabber, позволяющая использовать сервис отправки мгновенных сообщений от mail.ru с любым Jabber клиентом. В отличие от транспорта mrim_t, в данном случае вы не отдаете свой пароль третьим лицам. Программа находится в активной разработке, но уже сейчас можно отправлять и принимать сообщения, авторизовать пользователей и получать информацию о контакте. Работает с PSI и Gajim, проблем с другими клиентами быть не должно. Приглашаются смельчаки, готовы протестировать такое решение при почти полном отсутствии документации.

>>> Подробности

6 декабря вышла новая версия 0.3 легкого веб-фреймворка web.py, а уже 10 декабря версия 0.31. Список изменений:

• print заменен на return, что привело к несовместимости с версией 0.22
• application framework изменен на новый.
• модульная система работы с базами данных (несовместимая со старой)
• новый отладочный режим
• улучшена поддержка unicode
• переписан код для работы с шаблонами
• поддержка сессий
• поддержка openid
• совместимость с python 2.6
• и другие изменения, о которых можно узнать по ссылке к новости.

web.py написан на языке Python и используется рядом крупных компаний, в числе которых watchdog.net, yandex.ru и многие другие, о которых можно прочитать на сайте http://webpy.org. К достоинствам данного фреймворка можно отнести простоту обучения, гибкость и удобную систему привязки URL к обработчикам.

>>> Подробности

На выставке CES-2008 компания iRiver, хорошо известная по своим плеерам, представила телефон стандарта GSM. Продукт пока сырой, но известно следующее:

• телефон имеет дисплей размером в 3 дюйма с разрешением 480х272;
• работает под управлением операционной системы на основе ядра Linux;
• имеет встроенный модуль GPS;
• дизайн аппарата, по крайней мере на данный момент, скверный.

>>> Подробности