GNU/Linux

Доступны корректирующие релизы PHP 7.3.11, 7.1.33 и 7.2.24, в которых устранена критическая уязвимость (CVE-2019-11043) в расширении PHP-FPM (менеджер процессов FastCGI), позволяющая удалённо выполнить свой код в системе. Для атаки на серверы, использующие для запуска PHP-скриптов PHP-FPM в связке с Nginx, уже публично доступен рабочий эксплоит.

Атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи "fastcgi_split_path_info" и определением переменной окружения PATH_INFO, но без предварительной проверки существования файла директивой "try_files $fastcgi_script_name" или конструкцией "if (!-f $document_root$fastcgi_script_name)". Проблема в том числе проявляется в настройках, предлагаемых для платформы NextCloud. Например, уязвимы конфигурации с конструкциями вида:

location ~ [^/]\.php(/|$) {

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO $fastcgi_path_info;

fastcgi_pass php:9000;

}

Проследить за устранением проблемы в дистрибутивах можно на данных страницах: Debian, RHEL, Ubuntu, SUSE/openSUSE, FreeBSD, Arch, Fedora. В качестве обходного метода защиты после строки "fastcgi_split_path_info" можно добавить проверку существования запрошенного PHP-файла:

try_files $fastcgi_script_name =404;

Проблема вызвана ошибкой при манипуляции с указателями в файле sapi/fpm/fpm/fpm_main.c. При присвоении указателя предполагается, что значение переменной окружения PATH_INFO обязательно содержит префикс, совпадающий с путём к PHP-скрипту. Если в директиве fastcgi_split_path_info указано разделение пути к скрипту с использованием регулярного выражения, чувствительного к передаче символа перевода строки (например, во многих примерах предлагается использовать "^(.+?\.php)(/.*)$"), то атакующий может добиться записи в переменную окружения PATH_INFO пустого значения. В этом случае далее по ходу выполнения осуществляется запись в path_info[0] нуля и вызов FCGI_PUTENV.

Запросив определённым образом оформленный URL атакующий может добиться смещения указателя path_info на первый байт структуры "_fcgi_data_seg", а запись нуля в этот байт приведёт к перемещению указателя "char* pos" на ранее идущую область памяти. Вызываемый следом FCGI_PUTENV перезапишет данные в этой памяти значением, которое может контролировать атакующий. В указанной памяти в том числе хранятся значения других переменных FastCGI и записав свои данные атакующий может создать фиктивную переменную PHP_VALUE и добиться выполнения своего кода.

Доступен релиз Node.js 13.0, платформы для выполнения сетевых приложений на языке JavaScript. Одновременно завершена стабилизация прошлой ветки Node.js 12.x, которая переведена в категорию выпусков с длительным сроком поддержки, обновления для которых выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 10.0 продлится до апреля 2021 года, а позапрошлой LTS-ветки 8.0 до января 2020 года.

Основные улучшения:

Движок V8 обновлён до версии 7.8, в которой задействованы новые методы оптимизации производительности, улучшена деструктуризация объектов, уменьшено потребление памяти и сокращено время подготовки к выполнению WebAssembly;

По умолчанию включена полная поддержка интернационализации и Unicode на базе библиотек ICU (International Components for Unicode), позволяющая разработчикам писать код, поддерживающий работу с разными языками и локалями. Модуль full-icu теперь установлен по умолчанию;

Стабилизирован API Workers Threads, позволяющий создавать многопоточные циклы обработки событий (event loop). Реализация основана на модуле worker_threads, позволяющем запускать JavaScript-код в несколько параллельных потоков. Стабильная поддержка API Workers Threads также бэкепортирована в LTS-ветку Node.js 12.x;

Повышены требования к платформам. Для сборки теперь требуется как минимум macOS 10.11 (требуется Xcode 10), AIX 7.2, Ubuntu 16.04, Debian 9, EL 7, Alpine 3.8, Windows 7/2008;

Улучшена поддержка Python 3. При наличии в системе Python 2 и Python 3, по-прежнему используется Python 2, но добавлена возможность сборки при наличии в системе только Python 3;

Удалена старая реализация HTTP-парсера ("--http-parser=legacy"). Удалены или переведены в разряд устаревших вызовы и свойства FSWatcher.prototype.start(), ChildProcess._channel, метод open() в объектах ReadStream и WriteStream, request.connection, response.connection, module.createRequireFromPath();

Следом вышло обновление 13.0.1, в котором по горячим следам устранено несколько ошибок. В том числе решена проблема с выводом в npm 6.12.0 предупреждения об использовании неподдерживаемой версии.

Напомним, что платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обеспечения обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe). Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8 (дополнительно Microsoft развивает вариант Node.js с движком Chakra-Core).

По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python Twisted и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере. При написании приложений для node.js необходимо учитывать специфику событийно-ориентированного программирования, например, вместо выполнения "var result = db.query("select..");" с ожиданием завершения работы и последующей обработкой результатов, в Node.js использует принцип асинхронного выполнения, т.е. код трансформируется в "db.query("select..", function (result) {обработка результата});", при котором управление мгновенно перейдёт к дальнейшему коду, а результат запроса будет обработан по мере поступления данных.

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-11 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04.

Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на Ubuntu 15.04, а начиная с OTA-4 осуществлён переход на Ubuntu 16.04). Как и в прошлом выпуске при подготовке OTA-11 основное внимание было уделено исправлению ошибок и повышению стабильности. В следующем обновлении обещают перевести прошивку на новые выпуски Mir и оболочки Unity 8. Тестирование сборки с Mir 1.1, qtcontacts-sqlite (из Sailfish) и нового Unity 8 производится в отдельной экспериментальной ветке "edge". Переход на новый Unity 8 приведёт к прекращению поддержки умных областей (Scope) и интеграции нового интерфейса запуска приложений App Launcher. В дальнейшем также ожидается появление полнофункциональной поддержки окружения для запуска Android-приложений, основанного на наработках проекта Anbox.

Основные изменения:

В экранную клавиатуру добавлены расширенные функции редактирования текста, позволяющие перемещаться по введённому тексту, отменять изменения (undo/redo), выделять блоки текста и помещать или извлекать текст из буфера обмена. Для вызова расширенного режима необходимо нажать и удерживать пробел на экранной клавиатуре (в будущем планируется упростить включение расширенного режима). В экранную клавиатуру также добавлена опциональная поддержка раскладки Dvorak и налажено использование одного словаря корректировки ошибок с разными раскладками;

Во встроенном браузере Morph, построенном на базе движка Chromium и QtWebEngine, реализована модель привязки настроек к отдельным доменам. Благодаря данному улучшению удалось реализовать в браузере такие возможности как сохранение выбранного уровня масштабирования для сайтов, выборочного управления доступом к данным о местоположении на уровне сайтов (для переопределния общих настроек "Always allow" или "Always deny"), запуск внешних приложений через обработчики URL (например, при клике на ссылки "tel://" можно вызывать интерфейс осуществления звонка), поддержание чёрного или белого списка запрещённых или только разрешённых ресурсов;

Клиент и сервер push-уведомлений избавлены от привязки к учётной записи пользователя в Ubuntu One. Для получения push-уведомлений теперь достаточно лишь поддержки в приложениях данного сервиса;

Улучшена поддержка устройств, поставляемых с Android 7.1. В том числе добавлены дополнительные обработчики звука, которые необходимы для при осуществлении звонков;

На смартфонах Nexus 5 решены проблемы с зависанием Wi-Fi и Bluetooth, приводящим к излишней нагрузке на CPU и быстрому разряду аккумулятора;

Решены проблемы с получением, отображением и обработкой MMS-сообщений.

Дополнительно, рассказано о состоянии портирования UBports для сматрфона Librem 5. Уже подготовлен простой экспериментальный образ на базе прототипа Librem 5 devkit. Возможности прошивки пока сильно ограничены (например, нет поддержки телефонии, передачи данных по мобильной сети и сообщений). Некоторые из проблем, например, невозможность перехода в спящий режим без Android-драйверов до окончания адаптации Unity System Compositor для поддержки Wayland через Mir, не специфичны для Librem 5, и также решаются для Pinephone и Raspberry Pi. Возобновить работу над портом для Librem 5 планируется после получения финального устройства, которое компания Purism обещала отправить в начале 2020 года.

Компания Paragon Software, поставляющая лицензированные в Microsoft проприетарные драйверы NTFS и exFAT для Linux, опубликовала в списке рассылки разработчиков ядра Linux начальную реализацию нового открытого драйвера exFAT. Код драйвера открыт под лицензией GPLv2 и временно ограничен работой в режиме только для чтения. В разработке находится вариант драйвера, поддерживающий режим записи, но он ещё не готов для публикации. Патч для включения в ядро Linux прислал лично Константин Комаров, основатель и руководитель компании Paragon Software.

Компания Paragon Software приветствовала действия Microsoft по публикации общедоступных спецификаций и предоставления возможности безвозмездного использования патентов на exFAT в Linux, и в качестве своего вклада подготовила открытый драйвер exFAT для ядра Linux. Отмечается, что драйвер оформлен в соответствии с требованиями по подготовке кода для Linux и не содержит привязок к дополнительным API, что позволяет включить его в основной состав ядра.

Напомним, что в августе в экспериментальный раздел "staging" ядра Linux 5.4 ("drivers/staging/"), куда помещаются компоненты требующие доработки, уже добавлен разработанный компанией Samsung открытый драйвера exFAT. При этом добавленный драйвер основан на устаревшем коде (1.2.9), требующем доработки и адаптации к требованиям по оформлению кода для ядра. Позднее для ядра был предложен обновлённый вариант драйвера Samsung, переведённый на ветку "sdFAT" (2.2.0) и демонстрирующий существенный прирост производительности, но данный драйвер пока не принят в состав ядра Linux.

Файловая система exFAT была создана Microsoft для устранения ограничений FAT32 при использовании на Flash-накопителях большого объема. Поддержка файловой системы exFAT появилась в Windows Vista Service Pack 1 и Windows XP с Service Pack 2. Максимальный размер файла по сравнению с FAT32 был расширен с 4 ГБ до 16 эксабайт, устранено ограничение на максимальный размер раздела в 32 ГБ, для уменьшения фрагментации и увеличения скорости введена битовая карта свободных блоков, ограничение на число файлов в одной директории поднято до 65 тыс., предусмотрена возможность хранения ACL.

Организация GNOME Foundation рассказала о действиях, предпринятых для защиты от судебного иска, выдвинутого компанией Rothschild Patent Imaging LLC, ведущей деятельность патентного тролля. Компания Rothschild Patent Imaging LLC предложила отозвать иск в обмен на покупку лицензии на использование патента в Shotwell. Сумма лицензии выражается пятизначным числом. Несмотря на то, что покупка лицензии стала бы самым простым выходом, а судебное разбирательство потребует больших затрат и нервотрёпки, организация GNOME Foundation решила не соглашаться на сделку и бороться до конца.

Согласие поставило бы под угрозу другие открытые проекты, которые потенциально могут стать жертвами указанного патентного тролля. До тех пор пока используемый для исков патент, охватывающий очевидные и широко используемые, методы работы с изображениями, продолжает действовать, он может быть использован как оружие для осуществления других атак. Для финансирования защиты GNOME в суде и проведения работы по признанию патента недействительным (например, через доказательство фактов более раннего использования описанных в патенте технологий) организован специальный фонд "GNOME Patent Troll Defense Fund".

К защите GNOME Foundation была привлечена компания Shearman & Sterling, которая уже направила в суд три документа:

Ходатайство о полном прекращении дела. Защита считает, что фигурирующий в деле патент является несостоятельным, а описываемые в нём технологии неприменимы для защиты интеллектуальной собственности в программном обеспечении;

Ответ на иск, в котором поставлено под сомнение то, что GNOME должен выступать ответчиком на подобные иски. В документе предпринята попытка доказать, что указанный в иске патент не может быть использован для предъявления претензий к Shotwell и любому другому свободному ПО.

Встречный иск, который не позволит компании Rothschild Patent Imaging LLC ретироваться и выбрать себе менее строптивую жертву для атаки, когда поймёт серьёзность намерения GNOME бороться за признание патента недействительным.

Напомним, что GNOME Foundation вменяется нарушение патента 9,936,086 в менеджере фотографий Shotwell. Патент датирован 2008 годом и описывает технику беспроводного соединения устройства захвата изображений (телефон, web-камера) с получающим изображение устройством (компьютер) и последующей выборочной передачей изображений с фильтрацией по дате, местоположению и другим параметрам. По мнению истца для нарушения патента достаточно наличия функции импорта с камеры, возможности группировки изображений по определённым признакам и отправки изображений на внешние сайты (например, в социальную сеть или фотосервис).