Category: Интересно

В NTP 4.2.8p7 устранено 11 уязвимостей

Апр 30, 2016 - Интересно - 0 Comments - Стандартный

30.04.2016 19:39 В NTP 4.2.8p7 устранено 11 уязвимостей

Доступен корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p7, в котором устранено 11 уязвимостей, большинство из которых выявлено в процессе аудита, проведённого компанией Cisco. Уязвимостям присвоен средний или низкий уровень опасности из-за специфичных условий эксплуатации (например, отсутствие блокировки спуфинга UDP-пакетов).

Уязвимости могут привести к блокированию работы сервера, краху процесса ntpd, нарушению нормальной синхронизации времени или изменению установленного на сервере/клиенте времени. Обновления уже выпущены для FreeBSD, но пока недоступны для дистрибутивов Linux (Debian, Ubuntu, RHEL).

  1. Главная ссылка к новости (http://blog.talosintel.com/201…)
  2. OpenNews: В рамках проекта NTPsec создан защищённый форк NTPD
  3. OpenNews: Новая атака на NTP позволяет воспользоваться просроченными сертификатами
  4. OpenNews: Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4
  5. OpenNews: Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD
  6. OpenNews: В ntpd выявлена уязвимость, которая может привести к удалённому выполнению кода
Тип: Проблемы безопасности
Ключевые слова: ntp, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Выпуск DNS-сервера BIND 9.10.4 и 9.9.9

Апр 30, 2016 - Интересно - 0 Comments - Стандартный

Консорциум ISC представил новый значительный выпуск DNS-сервера BIND 9.10.4, а также обновление прошлой, но ещё поддерживаемой ветки — BIND 9.9.9.

Основные изменения:

  • Добавлена поддержка новых типов записей AVC, CSYNC, NINFO, RKEY, SINK, SMIMEA, TA, TALINK;
  • Обеспечен вывод предупреждений для основных проблем с настройкой перенаправления при использовании зон для внутренних подсетей (RFC 1918, интранет) и IPv6 ULA (Universal Local Address);
  • В состав добавлена утилита contrib/dnsperf-2.1.0.0-1 для тестирования производительности DNS-сервера;
  • Добавлена проверка времени RRSIG при загрузке зон, заверенных цифровой подписью (если время зоны опережает текущее время осуществляется RRSIG);
  • Обновлены адреса корневых серверов H.ROOT-SERVERS.NET и L.ROOT-SERVERS.NET;
  • НА многопроцессорных системах используемое по умолчанию число обработчиков UDP-соединений теперь устанавливается в значение, на 1 меньше, чем число процессоров;
  • Уменьшен размер сообщения при передачи зон между хостами, что позволило более эффективно использовать сжатие и уменьшить нагрузку на сеть;
  • В вывод «named -V» добавлено отображение деталей об операционной системе;
  • Устранено несколько DoS-уязвимостей:
    • CVE-2016-2088 — крах при дублировании опций EDNS COOKIE в ответе;
    • CVE-2016-1286 — сбой резолвера при обработке некорректных записей DNAME в ответе сервера;
    • CVE-2016-1285 — крах named и rndc при обработке некорректного управляющего сообщения;
    • CVE-2015-8705- крах при обработке специально оформленных записей OPT с флагом CLIENT-SUBNET;
    • CVE-2015-8704 — сбой INSIST при отправке серии рекурсивных запросов записей RR с типом APL;
    • CVE-2015-8000 — сбой REQUIRE в случае кэширования некорректно оформленных DNS-записей.

Let’s block ads! (Why?)

Релиз движка для создания браузерных 3D-приложений Blend4Web 16.04

Апр 30, 2016 - Интересно - 0 Comments - Стандартный

Представлен релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 16.04. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3.

Основные изменения:

  • Начальная поддержка геймпадов и других игровых контроллеров. Для работы с этими устройствами были добавлены две новые функции: create_gamepad_btns_sensor (сенсор, регистрирующий нажатия на кнопки геймпада) и create_gamepad_axes_sensor (сенсор, регистрирующий изменения положейния осей геймпада).
  • Очередная порция улучшений нодового редактора логики. Добавлена логическая нода JS Callback. Она может применяться для вызова callback-функций, заданных в приложении (поддерживаются передача входных и выходных параметров). В ноду Entry Point была добавлена опция Run From Script, которая используется совместно с новым модулем logic_nodes для организации вызова потоков выполнения, описываемых в визуальной форме. Таким образом, начиная с этого релиза, имеется возможность выполнять код JavaScript из визуального редактора логики и наоборот.
  • Улучшения в системе частиц. Теперь для систем частиц типа Emitter поддерживаются опции Tilt Angle и Tilt Random.

    Данные опции позволяют улучшить визуальное качество эффектов, основанных на системе частиц, например как это показано в специально подготовленном демо-приложении.

  • Поддержка отражений для прозрачных объектов:
  • Среди других улучшений: обновление библиотеки математических модулей, улучшения в запекателе анимации и программе-просмотрщике, исправления ошибок.

Некоторые из представленных в этом релизе функций будут рассмотрены на конференции Blend4Web 2016, которая состоится 1 мая. Для тех, кто не имеет возможности посетить мероприятие, предусмотрена трансляция в реальном времени, которая начнётся в 10:00 по Московскому времени.

Let’s block ads! (Why?)

Компания Oracle выпустила обновление ядра Unbreakable Enterprise Kernel R4U1

Апр 30, 2016 - Интересно - 0 Comments - Стандартный

Компания Oracle выпустила первое функциональное обновление для ядра Unbreakable Enterprise Kernel 4 (UEKR4U1). Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро позиционируется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Пакеты с ядром подготовлены для Oracle Linux 6 и Oracle Linux 7.

Ключевые улучшения:

  • Инструментарий LXC обновлён до выпуска 1.1.5 (ранее поставлялась версия 1.07);
  • Обновлены версии btrfs-progs 4.2.2-3, libfuse 2.9.4, xfsprogs 3.2.3.
  • Добавлен пакет bcache-tools с набором утилит для управления работой системы кэширования bcache;
  • Включена порция улучшений, связанных с работой DTrace. В том числе добавлена поддержка одновременного использования в функции нескольких экземпляров одной контрольной проверки SDT (Statically Defined Tracing);
  • Улучшена поддержка Xen, в состав включена новая версия драйвера pciback;
  • Обновлены драйверы для систем хранения и сетевых карт Broadcom, Intel, Microsoft, PMC-Sierra и VMware.

Let’s block ads! (Why?)

Выпуск серверной JavaScript-платформы Node.js 6.0

Апр 28, 2016 - Интересно - 0 Comments - Стандартный

Представлен релиз Node.js 6.0.0, платформы для выполнения высокопроизводительных сетевых приложений на языке JavaScript. В октябре ветка Node.js 6.x получит статус стабильного выпуска с длительным сроком поддержки (LTS), обновления для которого будут выпускаться в течение 30 месяцев. LTS-ветки предлагаются для сложных промышленных внедрений, крупных предприятий и тех, для кого стабильность имеет первоочередное значение. Поддержка прошлой ветки Node.js 5.x будет осуществляться ещё два месяца, LTS-ветка 4.x будет поддерживаться ещё год.

Из новшеств Node.js 6.0 отмечаются значительные оптимизации производительности, например, загрузка модулей ускорена почти в 4 раза. Добавлены новые конструкторы для API Buffer (Buffer.from(), Buffer.alloc() и Buffer.allocUnsafe()). В API File System представлены более эффективные реализации вызовов fs.realpath() и fs.realpathSync(). Расширены средства обработки ошибок. Движок V8 обновлён до версии 5.0, в которой обеспечена поддержка 93% возможностей JavaScript, определённым в спецификации ECMAScript 6.

Let’s block ads! (Why?)

Участники проекта X.Org проголосовали за присоединение к организации SPI

Апр 28, 2016 - Интересно - 0 Comments - Стандартный

Подведены итоги голосования разработчиков X.Org по вопросу перехода проекта под покровительство некоммерческой организации SPI (Software in the Public Interest). Вопрос присоединения к SPI возник после того как фонд X.Org Foundation потерял статус некоммерческой организации и, соответственно, возможности получения налоговых льгот. Вместо поддержания отдельной некоммерческой организации было принято решение присоединиться к уже зарекомендовавшей себя крупной организации SPI, курирующей приём пожертвований и юридические вопросы (торговые марки, владение активами и т.п.) таких проектов, как Debian, Arch Linux, FFmpeg, freedesktop.org и OpenEmbedded.

За переход под крыло SPI проголосовало 83.1% разработчиков, имеющих право голоса (для принятия решения нужно было собрать 2/3 положительных голосов). Одновременно проведены выборы в управляющий совет X.Org, в который избраны Egbert Eich, Alex Deucher, Keith Packard и Bryce Harrington.

Let’s block ads! (Why?)