Утверждена единая спецификация для образов и runtime изолированных контейнеров

Проект Open Container Initiative (OCI) объявил о готовности первого открытого стандарта, призванного унифицировать формат образов контейнеров и runtime-компонентов, обеспечивающих запуск и жизненный цикл контейнеров. Опубликованные спецификации изначально не привязаны к решениям отдельных вендоров и учитывают повышенные требования к безопасности и переносимости. Благодаря OCI пользователи получат возможность упаковывать свои приложения в универсальные контейнеры, которые смогут работать с любым инструментарием, включая Docker и rkt.

Стандарт подготовлен благодаря совместной работе создателей конкурирующих проектов Docker и CoreOS, ранее пытавшиеся продвигать собственные форматы контейнеров. В состав рабочей группы также вошли представители компаний Google, Microsoft, Amazon Web Services, Cisco, EMC, Fujitsu, Oracle, HP, Huawei, IBM, Intel, Red Hat и VMware. Совместный проект развивается под эгидой организации Linux Foundation. В дальнейшем планируется ввести в строй программу сертификации, нацеленную на подтверждение полного соответствия спецификациям OCI в продуктах, заявляющих об их поддержке.

Одним из первых эталонных решений c реализацией спецификаций OCI стала связка из runtime runC и управляющего инструментария containerd, уже применяемых в Docker и Garden (Cloud Foundry), а также запланированного для интеграции в rkt от CoreOS. Runc предоставляет обособленный набор компонентов для запуска контейнеров на широком спектре систем, позволяя обойтись без внешних зависимостей. Для организации работы с контейнерами runc поддерживает пространства имён Linux (namespaces), различные средства повышения безопасности Linux (SELinux, Apparmor, seccomp, cgroups, capability, pivot_root, сброс uid/gid), live-миграцию (используется CRIU), возможности создания контейнеров в Windows 10, компоненты systemd и переносимые профили производительности. Containerd включает фоновый процесс и клиент командной строки, использующий runc для запуска контейнеров, соответствующих спецификации OCI.

Компания Oracle в рамках проекта Railcar развивает совместимую со спецификациями OCI альтернативу runc/containerd, написанную на языке Rust. В платформе Kubernetes реализован новый экспериментальный интерфейс CRI (Container Runtime Interface), позволяющий подключать альтернативные runtme, в том числе rklet и CRI-O. Компании Amazon, Intel, IBM и Google анонсировали поддержку спецификаций OCI в Amazon ECR (EC2 Container Registry), Intel Clear Containers, IBM Bluemix Container Service и Google Cloud Platform. Над поддержкой OCI также работает команда Apache Mesos.

Источник: [ссылка]

Увидел свет дистрибутив Endless OS 3.2

Официально опубликован значительный релиз дистрибутива Endless OS 3.2, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Изначально выпуск ожидался две недели назад, но первые сборки не прошли контроль качестве и публикация установочных образов была задержана. Размер предлагаемых загрузочных образов составляет от 1.8 до 14 Гб.

Дистрибутив Endless примечателен тем, что не использует традиционные пакетные менеджеры, вместо которых предлагается минимальная атомарно обновляемая базовая система, работающая в режиме только для чтения и формируемая при помощи инструментария OSTree (системный образ атомарно обновляется из Git-подобного хранилища). Приложения распространяются в виде самодостаточных пакетов в формате Flatpak.

Пользовательский интерфейс основан на значительно переработанном форке окружения GNOME и ориентирован на предоставлении средств для выбора и запуска приложений. При этом разработчики Endless активно участвуют в разработке upstream-проектов и передают им свои наработки. Например, в выпуске GTK+ 3.22 около 9.8% всех изменений было подготовлено разработчиками Endless, а курирующая проект компания Endless Mobile входят в надзорный совет GNOME Foundation, наряду с FSF, Debian, Google, Linux Foundation, Red Hat и SUSE.

Выпуск Endless OS 3.2 примечателен переводом компонентов рабочего стола и приложений дистрибутива (mutter, gnome-settings-daemon, nautilus и т.п.) на технологии GNOME 3.22 (прошлый вариант рабочего стола ответвился от GNOME 3.8). Кроме обновления базовых компонентов было модернизировано и оформление рабочего стола. Из наиболее заметных изменений интерфейса можно отметить:

  • Меню управления сеансом перемещено из левого нижнего угла экрана в правый нижний угол. На старом месте теперь размещена кнопка «Endless», первый клик на которую приводит к сворачиванию всех окон для доступа к рабочему столу, а второй клик возвращает все окна на место;
  • Системные индикаторы агрегированы в одну сводную область;
  • Из нижней панели убраны средства интеграции с Facebook (предоставлена возможность закрепления на панели ярлыка Facebook). Представлена система уведомлений о событиях в календаре-планировщике;
  • Изменено оформление интерфейса выбора и запуска приложений. Задействованы новые пиктограммы для разделов приложений, навигация приближена к интерфейсу вызова приложений на смартфонах;
  • Улучшено качество панели глобального поиска, позволяющей формировать поисковые запросы непосредственно с рабочего стола. Через панель можно отправлять как внешние запросы поисковым системам, так и производить выборку из каталога приложений и системной справки;
  • По умолчанию задействован вход пользователя без пароля. На этапе установки пользователь может пропустить шаг ввода пароля и тогда вход в систему будет производиться автоматически. Но если пользователь добавит пароль — вход и разблокировка экрана потребуют заполнения традиционной формы аутентификации;
  • В состав включены средства для кодирования MP3, например, в звуковом редакторе Audacity теперь можно сохранять звуковые файлы в данном формате, а в Rhythmbox перекодировать звуковые CD в MP3;
  • На тачпадах по умолчанию активирована функция касания для клика (Tap-to-click, отключается в разделе настроек Mouse & Touchpad);
  • Добавлена поддержка режима естественной прокрутки мышью (содержимое прокручивается в ту сторону в которую вращается колесо мыши, а не в обратную, как обычно). Режим включается в разделе настроек Mouse & Touchpad;
  • Для настольных систем добавлена возможность перевода в ждущий режим (Suspend to RAM), который ранее был отключен по умолчанию из-за проблем с некоторым оборудованием;
  • В интерфейсе управления установкой приложений Endless App Center добавлена возможность установки вручную загруженных пакетов flatpak через клик на файл .flatpakref;
  • Добавлены биндинги к Node.js для создания приложений для работы с контентом в режиме offline, используя платформу Electron;
  • Программа VideoNet заменена на web-приложение YouTube;
  • Апплет для просмотра прогноза погоды Endless Weather заменён на штатное приложение GNOME Weather;
  • Улучшена поддержка установки Endless в качестве второй ОС на компьютерах с BIOS. Установщик Endless для Windows теперь сам добавляет Endless OS в загрузочное меню Windows, а не заменяет штатный загрузчик Windows;
  • Улучшена работа загрузочного меню на системах с UEFI, в котором больше не появляются дубликаты после установки обновления.

Источник: [ссылка]

Выпуск криптографической библиотеки Libgcrypt 1.8.0

Проект GNU представил выпуск библиотеки Libgcrypt 1.8.0, с реализацией компонентов, лежащих в основе механизмов шифрования, применяемых в GnuPG. Библиотека предоставляет функции для использования в сторонних приложениях различных криптоалгоритмов, включая симметричные шифры (AES, Arcfour, Blowfish, Camellia, CAST5, ChaCha20 DES, GOST28147, Salsa20, SEED, Serpent, Twofish), алгоритмы хэширования (MD5, RIPE-MD160, SHA-*, SHAKE256, TIGER-192, Whirlpool), алгоритмы аутентифицированного шифрования (HMAC-*, CMAC-*, GMAC-*, Poly1305-*), шифрование с использованием публичных ключей (RSA, Elgamal, DSA, ECDSA, EdDSA, ECDH). Новая ветка полностью совместима на уровне API и ABI с веткой 1.7.x (для использования новой версии не требуется пересборка программ).

Ключевые улучшения:

  • Реализован алгоритм хэширования Blake-2;
  • Добавлен режим работы блочных шифров XTS, применяемый при полном шифровании дисков;
  • Добавлены новые функции gcry_mpi_point_copy и gcry_get_config;
  • Добавлен параметр GCRYCTL_REINIT_SYSCALL_CLAMP, позволяющий инициализировать многопоточную библиотеку nPth после Libgcrypt;
  • Представлен новый глобальный файл конфигурации /etc/gcrypt/random.conf для настройки генератора псевдослучайных чисел;
  • Добавлена поддержка режима GCRY_CIPHER_MODE_CFB8;
  • Добавлены идентификаторы для отечественной хэш-функции Stribog (ГОСТ Р 34.11-2012);
  • Задействован новый высокопроизводительный коллектор энтропии на основе джиттера (jitter);
  • Выполнена оптимизация работы функции gcry_md_hash_buffers для хэшей SHA-256 и SHA-512;
  • Проведены оптимизации производительности реализаций AES, GCM, SHA-256 и SHA-1 для архитектур ARMv8/AArch32;
  • Добавлены ассемблерные реализации симметричных шифров Twofish и Camellia для ARMv8/AArch32;
  • Добавлена поддержка пакетного выполнения операций для ARMv8/AArch32;
  • Увеличена производительность DRBG (Deterministic Random Bit Generator) и кода синхронизации на платформе Linux.

Источник: [ссылка]

Уязвимость в gnome-exe-thumbnailer, позволяющая выполнить код при просмотре каталога с MSI-файлом

В пакете gnome-exe-thumbnailer, поставляемом во многих дистрибутивах, но официально не входящем в состав GNOME, выявлена уязвимость (CVE-2017-11421), позволяющая выполнить код злоумышленника при просмотре в файловом менеджере каталога, содержащего специально оформленный исполняемый файл Windows в формате MSI. Примечательно, что всего несколько дней назад похожая проблема была исправлена в компоненте evince.thumbnailer.

Уязвимость вызвана ошибкой в коде извлечения версии формата MSI в shell-скрипте gnome-exe-thumbnailer. Для выполнения данной операции на лету создаётся VBScript, анализирующий поля в файле, который затем выполняется через Wine:

     wine cscript.exe //E:vbs //NoLogo Z:\tmp\${TEMPFILE1##*/}.vbs 2>/dev/null"  

Так как VBScript-скрипт для извлечения версии оформлен в виде шаблона, в который подставляется имя файла (Set DB = WI.OpenDatabase(«$INPUTFILE»,0)), то указав в имени файла символ кавычки можно подставить дополнительный код в формируемый VBScript. Например, при разборе файла с именем

     poc.msi",0):Set fso=CreateObject("Scripting.FileSystemObject"):Set poc=fso.CreateTextFile("badtaste.txt")'.msi  

в шаблоне появится конструкция, создающая файл badtaste.txt:

     Set DB = WI.OpenDatabase("poc.msi",0):Set fso=CreateObject("Scripting.FileSystemObject"):Set poc=fso.CreateTextFile("badtaste.txt")',0)  

Для эксплуатации уязвимости достаточно организовать вызов обработчика gnome-exe-thumbnailer для подготовленного злоумышленником файла. В частности, gnome-exe-thumbnailer будет запущен для создания миниатюр для файлов MSI при открытии каталога с ними в файловом менеджере, например, для атаки достаточно вставить USB-накопитель с вредоносным файлом. Другим вектором атаки является web-браузер: при открытии специально оформленной страницы можно инициировать вызов простроителя миниатюр в Chrome и Epiphany, не требуя от пользователя каких-либо действий.

Уязвимость устранена в выпуске gnome-exe-thumbnailer 0.9.5. В качестве обходного пути защиты можно отключить gnome-exe-thumbnailer, удалив файл /usr/share/thumbnailers/gnome-exe-thumbnailer. Проследить появление пакетов с исправлениями можно на данных страницах: Debian, FreeBSD, Ubuntu, SUSE, openSUSE, RHEL, Fedora.

Источник: [ссылка]

Релиз системы сборки CMake 3.9

Состоялся релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.9, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD.

CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки.

Основные улучшения:

  • В генераторы сборочных сценариев для Visual Studio 2010+ добавлена поддержка сборки проектов на языке CUDA (ранее CUDA поддерживался только генераторами Makefile и Ninja);
  • CMake теперь учитывает особенности стандартов Си/Си++ и связанные с ними мета-функции для компиляторов, вызываемых при указании идентификаторов «Cray», «PGI» и «XL»;
  • Представлен модуль «CheckIPOSupported», предназначенный для проверки обеспечения поддержки в инструментарии межпроцедурных оптимизаций (IPO). IPO поддерживаются для компиляторов GCC и Clang;
  • В генераторе для Visual Studio 14 2015 учтены изменения инструментария v140, внесённые в очередном обновлении VS 2015. В частности изменён набор значений для настройки GenerateDebugInformation, используемой при включении отладочного режима (-DEBUG) в компоновщике;
  • В генераторы для Visual Studio 2010+ добавлена поддержка языка «ASM_NASM», включаемая при установке «nasm»;
  • В генераторе «Xcode» появилась поддержка Xcode 9 и возможность создания схем сборки для Xcode, активируемая через переменную «CMAKE_XCODE_GENERATE_SCHEME»;
  • Команда add_library() с опцией IMPORTED теперь может использоваться для библиотек объектов (Object Librarie). В команду install(TARGETS) добавлена опция OBJECTS” для указания пути для установки библиотек объектов. В команду install(EXPORT) добавлена поддержка экспорта библиотек объектов;
  • Для библиотек объектов реализовано свойство CUDA_PTX_COMPILATION, обеспечивающее компиляцию в файлы .ptx, вместо обычных объектных файлов;
  • Добавлено свойство BUILD_WITH_INSTALL_NAME_DIR и связанная с ним одноимённая переменная для управления включением свойства INSTALL_NAME_DIR для исполняемых файлов в сборочном дереве;
  • Добавлен модуль GoogleTest, предоставляющий средства для использования функции gtest_add_tests(), независимо от модуля FindGTest;
  • Файлы с исходными текстами в зависимых сборках теперь компилируются без ожидания окончания связывания других зависимостей;
  • В команды add_custom_command() и file(GENERATE) добавлена поддержка выражений генератора и свойств TARGET_OBJECTS.

    Источник: [ссылка]

Релиз минималистичного набора системных утилит BusyBox 1.27

После шести месяцев разработки состоялся стабильный релиз пакета BusyBox 1.27.1 (версия 1.27.0 была отнесена к категории нестабильных) с реализацией набора стандартных утилит UNIX, оформленных в виде единого исполняемого файла и оптимизированных для минимального потребления системных ресурсов при размере комплекта менее 1 Мб. Код проекта распространяется под лицензией GPLv2.

Модульный характер BusyBox даёт возможность сформировать один унифицированный исполняемый файл, содержащий в себе произвольный набор реализованных в пакете утилит (каждая утилита доступна в форме символической ссылки на данный файл). Размер, состав и функциональность коллекции утилит можно варьировать в зависимости от потребностей и возможностей встраиваемой платформы, для которой осуществляется сборка. Пакет самодостаточный, при статической сборке с uclibc для создания рабочей системы поверх ядра Linux требуется лишь создать несколько файлов устройств в директории /dev и подготовить файлы конфигурации. По сравнению с прошлым выпуском 1.26 потребление оперативной памяти типовой сборкой BusyBox 1.27 увеличилось на 1346 байт (с 925769 до 927115 байт).

BusyBox является основным инструментом в борьбе с нарушением GPL в прошивках. Организации Software Freedom Conservancy (SFC) и Software Freedom Law Center (SFLC) от лица разработчиков BusyBox как через суд, так и путём заключения внесудебных соглашений неоднократно успешно воздействовала на компании, не предоставляющие доступ к исходному коду GPL-программ. В тоже время автор BusyBox всячески возражает против такой защиты — считая что она ломает ему бизнес. Для производителей, которые не желают открывать исходные тексты модифицированных компонентов, в рамках проекта Toybox развивается аналог BusyBox, распространяемый под лицензией BSD (2 clause). По возможностям Toybox пока отстаёт от BusyBox.

В версии BusyBox 1.27 выделяются следующие изменения:

  • Добавлены новые утилиты: link, setpriv, factor, fallocate, fsfreeze, nproc, nl, partprobe, shred, w (аналог «who -H»), xxd, lsscsi, paste;
  • В ftpd добавлен режим анонимного входа, включаемый опцией «-a ANON_USER». При выполнении команды ls в FTP-сеансе обеспечен вывод каталогов в начале списка;
  • В iproute добавлена поддержка фильтрации по параметру scope;
  • В modprobe обеспечено чтение индекса modules.builtin;
  • Включены по умолчанию опции сборки: DPKG=y, DPKG_DEB=y, FEATURE_USERNAME_COMPLETION=y, INSMOD=y и RMMOD=y;
  • Добавлен скрипт make_single_applets.sh для проверки обособленной сборки утилит;
  • В gzip, bzip2 и lzop добавлена опция «-k» (сохранение исходных файлов после распаковки/упаковки);
  • В cryptpw добавлена поддержка задания раундов в поле с солью («rounds=NNNNNNN$»);
  • В httpd добавлена защита от атак, нацеленных на исчерпание доступной памяти;
  • В iplink добавлена настройка «set promisc on|off»;
  • В ip обеспечена возможность выбора отдельных IP-алиасов;
  • В iproute добавлена поддержка опции advmss;
  • В pgrep добавлена опция «-a» (вывод полного содержимого командной строки и идентификатора процесса);
  • Утилиты runsv и sv обновлены для соответствия версии runit 2.1.2;
  • В sendmail добавлена возможность указания символа «+» в поле с адресом получателя;
  • В time обеспечена возможность установки формата вывода (-f FMT), добавлены опции «-o FILE» (вывод в файл) и «-a» (добавление в конец вместо перезаписи);
  • В утилиту wget добавлена опция «-S» (—server-response).

Источник: [ссылка]

Яндекс открыл код библиотеки машинного обучения CatBoost

Компания Яндекс объявила об открытии исходных текстов библиотеки машинного обучения CatBoost, которая реализует механизм градиентного бустинга на деревьях решений и позиционируется в качестве преемника алгоритма MatrixNet, применяемого в сервисах Яндекса для ранжирования, прогнозирования и формирования рекомендаций. Код библиотеки написан на языке C++ и распространяется под лицензией Apache 2.0. Для библиотеки подготовлены биндинги для языков Python и R, а также инструментарий командной строки и интерфейс визуализации процесса обучения.

В отличие от MatrixNet в CatBoost реализован более универсальный алгоритм, который не ограничивается числовыми данными при обучении модели, выдаёт более точные результаты при ранжировании данных и подходит для решения более широкого спектра задач, вплоть до промышленности и банковской сферы (например, прогнозирование расхода купюр в банкоматах). В настоящее время CatBoost уже внедрён для ранжирования ленты рекомендаций в zen.yandex.ru и применяется для расчёта прогноза погоды в Яндекс Погода. Кроме Яндекса CatBoost применяется в Европейском центре ядерных исследований (ЦЕРН) для обработки данных эксперимента LHCb на Большом адронном коллайдере.

Предлагаемый в CatBoost метод машинного обучения позволяет учитывать категориальные признаки и эффективно обучать модели на разнородных данных, таких как местонахождение пользователя, история операций и тип устройства. При этом, CatBoost демонстрирует очень хорошую производительность, обгоняя при решении различных задач классификации данных такие библиотеки, как LightGBM, XGBoost и H2O. Предоставляемый библиотекой API достаточно прост и требует написания около 10 строк кода для выполнения задач по классификации данных. Создание и тренировка модели может производиться из командной строки.

Источник: [ссылка]

Выпуск SalesPlatform Vtiger CRM 7 с полностью переработанным пользовательским интерфейсом

Команда российских разработчиков SalesPlatform выпустила значительный релиз популярной в СНГ свободной платформы автоматизации бизнеса — SalesPlatform Vtiger CRM 7. SalesPlatform Vtiger CRM позволяет реализовать средства автоматизации продаж, в том числе формировать полный цикл первичных документов процесса продаж в соответствии с требованиями российского законодательства (Счета, Счета-фактуры, Накладные, Акты об оказанных услугах), а также предлагает дополнительные модули для управление складом, поддержки клиентов, управления проектами, интеграции с телефонией и т.п. Исходные тексты проекта распространяются под лицензией Vtiger Public License 1.2 (вариант Mozilla Public License 1.1).

Новая версия системы примечательна полной переработкой пользовательского интерфейса, который впитат все современные тенденции в построении пользовательских интерфейсов и реализован в соответствии с концепцией Material Design.

Кроме нового интерфейса также также можно отметить следующие нововведения:

  • Переработан способ подачи информации в карточках, позволяющий сконцентрироваться на важной информации и сократить количество переходов для получения необходимых данных.
  • Поддержка нескольких рабочих столов с виджетами.
  • Реализована возможность редактирования записей в списковом представлении, что избавляет от необходимости обязательного перехода к детальному просмотру карточки.
  • Комментарии теперь могут содержать вложения, реализовано изменение комментариев с указанием причины изменения, а также отображение в одной ленте комментариев к связанным карточкам.
  • Из Документа доступен переход к связанным с Обращениям, Контрагентами и другим карточкам.
  • Доработана система тегов, позволяющая организовать произвольную наглядную классификацию информации в системе.
  • Реализован быстрый доступ к списку Задач, календарный вид теперь отображает и События, и Задачи с датой и временем. Список задач позволяет наглядно группировать дела по срочности с поддержкой перетаскивания.
  • Значениям выпадающих списков теперь можно присваивать цвета, что способствует ускорению восприятия информации.
  • Система прав доступа теперь позволяет отдельно настраивать права для создания и для изменения карточек.

Источник: [ссылка]

Выпуск SalesPlatform Vtiger CRM 7 с полностью переработанным пользовательским интерфейсом

Команда российских разработчиков SalesPlatform выпустила значительный релиз популярной в СНГ свободной платформы автоматизации бизнеса — SalesPlatform Vtiger CRM 7. SalesPlatform Vtiger CRM позволяет реализовать средства автоматизации продаж, в том числе формировать полный цикл первичных документов процесса продаж в соответствии с требованиями российского законодательства (Счета, Счета-фактуры, Накладные, Акты об оказанных услугах), а также предлагает дополнительные модули для управление складом, поддержки клиентов, управления проектами, интеграции с телефонией и т.п. Исходные тексты проекта распространяются под лицензией Vtiger Public License 1.2 (вариант Mozilla Public License 1.1).

Новая версия системы примечательна полной переработкой пользовательского интерфейса, который впитат все современные тенденции в построении пользовательских интерфейсов и реализован в соответствии с концепцией Material Design.

Кроме нового интерфейса также также можно отметить следующие нововведения:

  • Переработан способ подачи информации в карточках, позволяющий сконцентрироваться на важной информации и сократить количество переходов для получения необходимых данных.
  • Поддержка нескольких рабочих столов с виджетами.
  • Реализована возможность редактирования записей в списковом представлении, что избавляет от необходимости обязательного перехода к детальному просмотру карточки.
  • Комментарии теперь могут содержать вложения, реализовано изменение комментариев с указанием причины изменения, а также отображение в одной ленте комментариев к связанным карточкам.
  • Из Документа доступен переход к связанным с Обращениям, Контрагентами и другим карточкам.
  • Доработана система тегов, позволяющая организовать произвольную наглядную классификацию информации в системе.
  • Реализован быстрый доступ к списку Задач, календарный вид теперь отображает и События, и Задачи с датой и временем. Список задач позволяет наглядно группировать дела по срочности с поддержкой перетаскивания.
  • Значениям выпадающих списков теперь можно присваивать цвета, что способствует ускорению восприятия информации.
  • Система прав доступа теперь позволяет отдельно настраивать права для создания и для изменения карточек.

Источник: [ссылка]

Подмена ETH-кошелька привела к краже 7 млн долларов, собранных на развитие CoinDash

Создатели платформы электронных платежей CoinDash столкнулись с поучительной атакой, которая привела к попаданию в руки злоумышленников около 7 млн долларов, перечисленных в рамках мероприятия по совместному инвестированию развития социальной торговой платформы Ether. Через три минуты после начала первичного размещения монет (ICO, Initial Coin Offering) неизвестные злоумышленники взломали сайт проекта и скрытно подменили адрес ETH-кошелька для перевода средств.

Идентификатор кошелька ETH (Ethereum) включает 40 шестнадцатеричных цифр, поэтому его подмена сразу не бросилась в глаза, а когда была обнаружена кошелёк злоумышленника содержал 43438 ETH, что соответствует примерно 7.8 млн долларам. CoinDash полагает, что около 7 млн из этой суммы получено в рамках атаки, с учётом того, что за первые три минуты до взлома CoinDash было перечислено 6.4 млн долларов инвестиций.

Сообщается, что несмотря на инцидент, компания CoinDash перечислит все токены CDT по своим обязательствам, в том числе тем пользователям, кто перевёл средства на подменённый номер кошелька до блокирования работы сайта после обнаружения атаки. Переводы поступившие после отключения сайта компенсированы не будут. Несмотря на существенный размер нанесённого ущерба CoinDash планирует продолжить развитие проекта. В настоящее время все усилия сосредоточены на анализе действий атакующих в процессе взлома и поиске следов для их отслеживания.

Из других инцидентов можно отметить произошедший в начале месяца взлом Bithumb, крупнейшей южнокорейской биржи обмена криптовалют (оборот до 75 млн долларов в день), в результате которого неизвестный злоумышленник смог присвоить себе неопределённый размер средств, хранившихся в аккаунтах пользователей сервиса. В своих жалобах отдельные пользователи отмечают потерю до 10 млн вон (8700 долларов). Общий размер украденных средств не сообщается, но оценивается, что он может доходить до миллиарда вон. Компания Bithumb заявила о готовности выплатить компенсацию из рассчёта 100 тысяч вон ($897) на учётную запись. Утверждается, что начальным вектором атаки стал взлом персонального компьютера одного из сотрудников, с которого удалось получить детали о примерно 38 тысячах пользователей Bithumb (3% от общей пользовательской базы). Метод, использованный для получения контроля за учётными записями, пока остаётся не ясен.

За несколько дней до атаки на Bithumb атакующим удалось получить контроль над доменом сайта Classic Ether Wallet, предоставляющем интерфейс для работы с криптовалютой Ethereum Classic (ETC, ветка Ethereum до форка ETH). Домен classicetherwallet.com был перенаправлен на подконтрольный атакующим подставной сайт, на котором был организован сбор параметров учётных записей пользователей сервиса, а также перехват и перенаправление транзакций с ETC. По предварительной оценке в результате атаки удалось перехватить около 300 тысяч долларов США. Захват домена был осуществлён с использованием методов социальной инженерии, путём ведения в заблуждение сотрудника технической поддержки хостинг-провайдера 1on1.

Источник: [ссылка]

Выпуск дистрибутива Mageia 6, форка Mandriva Linux

Спустя два года с момента прошлого значительного выпуска состоялся релиз Linux-дистрибутива Mageia 6, в рамках которого независимым сообществом энтузиастов развивается форк проекта Mandriva. Для загрузки доступны 32- и 64-разрядные DVD-сборки (2.4 Гб), минималистичный образ для установки по сети (32 Мб) и набор Live-сборок на базе GNOME, KDE и Xfce. Срок поддержки Mageia 6 составит не менее 18 месяцев (до 16 января 2019 года). Обновления для прошлой ветки Mageia 5 будут формироваться до 31 октября 2017 года.

Ключевые улучшения:

  • Для управления пакетами, помимо ранее предлагаемого urpmi, в качестве альтернативы теперь поддерживается пакетный менеджер DNF 2.0, уже применяемый проектом Fedora. Пакетный менеджер DNF, обладает заметно более высокой скоростью работы, низким потреблением памяти и более качественным управлением зависимостями. DNF является ответвлением от Yum 3.4, созданным для развития некоторых новых идей, таких как использование библиотеки hawkey в качестве бэкенда для разрешения зависимостей. C точки зрения опций командной строки и файлов кофигурации, DNF почти полностью совместим с YUM, основные изменения заложены в его внутреннюю архитектуру.

    Возможность использования DNF позволила также обеспечить поддержку метаданных AppStream, используемых в интерфейсах управления пакетами GNOME Software и Plasma Discover. Добавлена возможность установки пакетов, подготовленных в сервисах Fedora COPR и openSUSE Build Service. Добавлена поддержка инструментария сборки пакетов Mock, при помощи которого из Mageia также можно создавать пакеты для Fedora и CentOS/RHEL. Для управления пакетами подготовлен новый графический интерфейс dnfdragora, реализованный по мотивам rpmdrake;

  • Для пользователей KDE предложен рабочий стол на основе KDE Plasma 5.8, KDE Applications 16.12 и KDE Frameworks 5.32, вместо ранее поставляемого KDE 4. Началось формирование сборок с Xfce. Общее число окружений рабочего стола и оконных менеджеров, предлагаемых из репозиториев, доведено до 25. В том числе доступны Plasma 5.8.7 (LTS), GNOME 3.24.2, MATE 1.18, Cinnamon 3.2.8, Xfce 4.12.1, LXQt 0.11, Enlightenment 21.8. Из оконных менеджеров можно установить afterstep, awesome, dwm, fluxbox, fvwm2, fvwm-crystal, i3, icewm, jwm, matchbox, openbox, pekwm, sugar, swm и windowmaker;
  • Изменено оформление центра управления Mageia Control Center, который переведён с WebKit1 на WebKit2. Во всех собственных приложениях Mageia задействован новый набор пиктограмм. MageiaWelcome портирован на Python 3 и GTK+3;
  • В систему сборки интегрирована поддержка порта для архитектуры ARM (ARMv5 и ARMv7). Установочные сборки для ARM пока не готовы и ожидаются позднее (в том числе появится сборка для Raspberry Pi);
  • По умолчанию в качестве загрузчика задействован GRUB2. Существенно улучшена интеграция GRUB2 с DrakX. Поддержка GRUB legacy и LILO прекращена. Существенно улучшены средства загрузки на системах с UEFI;
  • Подготовлена полностью новая тема оформления, в которой унифицирован внешний вид для различных рабочих столов, присутствует поддержка масштабирования изображений во время загрузки, добавлен новый набор пиктограмм. Модернизирован внешний вид окон всех специфичных для Mageia приложений;
  • Обновлены версии программ, в том числе используется ядро Linux 4.9.35, systemd 230, RPM 4.13, X.org 1.19.3, Wayland 1.11.0, Mesa 17.1.4, Qt 5.6.2 (LTS), GTK+ 3.22.1, LibreOffice 5.3.4.2, Firefox 52.2.0 ESR, Thunderbird 52.2.1, Chromium 57.

Источник: [ссылка]

Проектам Apache запрещено использование кода с вариантом лицензии BSD от Facebook

Комитет по правовым вопросам Фонда Apache принял решение запретить использование в проектах Apache кода, поставляемого под лицензией BSD (3-Clause) с дополнительным соглашением по использованию патентов («BSD+Patent»), используемой в открытых проектах Facebook. Для проектов Apache, которые уже используют зависимости под лицензией «BSD+Patent», введение запрета отложено до 31 августа, чтобы дать время на переработку кода. Из других лицензий, входящих в чёрный список Фонда Apache, можно отметить GPL, AGPL, LGPL и BSD-4-Clause.

Лицензия Facebook BSD+Patent признана недопустимой из-за несбалансированного перекладывания рисков на потребителей продуктов под данной лицензией. В лицензии наблюдается дисбаланс в пользу лицензодателя, а не лицензиата, что нарушает принятые в Фонде Apache правила. При этом по своим задачам связка «BSD+Patent» мало чем отличается от лицензии Apache 2.0 и также нацелена на предоставлении доступа к технологиям, пересекающимися с зарегистрированными патентами и минимизации рисков от патентных исков (лицензия отзывается в случае патентного иска против Facebook).

Решение комитета сделало невозможным реализацию движка хранения на основе RocksDB для Apache Cassandra, а также привело к необходимости переработки таких проектов, как CouchDB, Kafka, Samza, Flink, Marmotta и Bahir. В связи с этим, разработчики курируемого компанией Facebook проекта RocksDB решили проблему кардинальным путём и перелицензировали кодовую базу под двойной лицензией Apache 2.0 и GPLv2 (поставка под GPLv2 необходима для совместимости с кодом MySQL). Другой крупной зависимостью, применяемой в проектах Apache, остаётся фреймворк React.JS, который, например, используется в Apache CouchDB. По аналогии с RocksDB разработчикам React.JS предложено сменить лицензию на Apache 2.0, но заявка пока остаётся не рассмотренной.

Источник: [ссылка]