/ Линия событий
	- Конфликты
	- Законы и правила
	- Патенты и авторское право
	- Вопросы лицензирования
	- Поглощения, объединения и совместные проекты
	- Санкции и блокировки
	- Инциденты
	- Сбои
·	22.04.2025	Уязвимость в удостоверяющем центре SSL.com, позволявшая получить сертификат для чужого домена (45 +12)
	В удостоверяющем центре SSL.com выявлена уязвимость в системе проверки владения доменом, позволявшая получить TLS-сертификат для любого домена, предоставившего email атакующему. Для получения TLS-сертификата было достаточно доступа к email с целевым доменом. Например, уязвимость позволяла получить TLS-сертификат для доменов, используемых в общедоступных email-сервисах, таких как gmail.com, yandex.ru, yahoo.com, outlook.com и icloud.com... (45 +12) обсуждение | весь текст
·	20.04.2025	Независимые участники проекта опубликовали открытое письмо владельцам Organic Maps (90 +33)
	Представители сообщества разработчиков проекта Organic Maps опубликовали открытое письмо, адресованное акционерам / владельцам эстонской коммерческой компании Organic Maps OÜ (аналог ООО), владеющей ключевыми активами проекта: торговой маркой, аккаунтами в магазинах приложений, банковскими счетами и т.д. Контрибьюторы выражают серьёзную обеспокоенность по поводу закрытости управления проектом, отсутствия прозрачности в расходовании пожертвований и несоблюдения приверженности принципам свободного программного обеспечения, несмотря на то, что проект всегда декларировался как открытый, основанный на сообществе и соответствующий ценностям FOSS... (90 +33) обсуждение | весь текст
·	19.04.2025	В Python задействованы криптофункции с математическим доказательством надёжности (66 +28)
	Объявлено об успешном завершении инициативы по замене в Python реализаций криптографических алгоритмов, предлагаемых в модулях hashlib и hmac, на варианты с математическим (формальным) доказательством надёжности, подготовленные проектом "HACL*". Работа по переходу на функции с математическим доказательством надёжности велась с 2022 года и была инициирована после выявления переполнения буфера в реализации алгоритма SHA3, используемой в Python-модуле hashlib... (66 +28) обсуждение | весь текст
·	18.04.2025	Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода (35 +18)
	В библиотеке ssh, входящей в состав инструментария Erlang/OTP, выявлена уязвимость (CVE-2025-32433), позволяющая удалённо без прохождения аутентификации выполнить свой код на SSH-сервере, созданном с использованием уязвимой библиотеки. Проблема присвоен критический уровень опасности (10 из 10)... (35 +18) обсуждение | весь текст
·	18.04.2025	Arch Linux заменит пакеты с СУБД Redis на форк Valkey в репозитории extra (48 +6)
	Разработчики дистрибутива Arch Linux объявили о замене в репозитории "extra" пакетов с СУБД Redis на пакеты с СУБД Valkey в связи с переходом Redis на проприетарную лицензию. В рамках проекта Valkey развивается форк Redis, продолжающий использовать лицензию BSD и сопровождаемый организацией Linux Foundation при участии бывшего мэйнтейнера Redis и компаний Amazon, Google, Oracle, Ericsson и Snap. Valkey уже поставляется вместо Redis в дистрибутивах Debian 13, Ubuntu 24.10, Fedora 41, RHEL 10, Azure Linux 3 и Alpine 3.20... (48 +6) обсуждение | весь текст
·	16.04.2025	Для независимого ведения CVE учреждена организация CVE Foundation (21 +28)
	Правительство США возобновило финансирование деятельности MITRE, связанной с поддержанием базы CVE. Контракт продлён на 11 месяцев. Несмотря на это, участники управляющего совета CVE (CVE Board) объявили о создании некоммерческой организации CVE Foundation, нацеленной на поддержание стабильной деятельности и независимости проекта CVE... (21 +28) обсуждение | весь текст
·	16.04.2025	Инциденты с безопасностью в репозиториях PyPI и crates.io (41 +17)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... (41 +17) обсуждение | весь текст
·	16.04.2025	MITRE не получил финансирование для продолжения ведения базы CVE-индентификаторов уязвимостей (47 –3) ↻
	Министерство внутренней безопасности США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE... (47 –3) ↻ обсуждение | весь текст
·	15.04.2025	Компания Qualcomm открыла компоновщик ELD, пригодный для замены GNU Linker (170 +15)
	Компания Qualcomm открыла код компоновщика ELD, используемого в наборе компиляторов Qualcomm (на базе LLVM) и оптимизированного для связывания объектных файлов в проектах для встраиваемых систем. В ELD учтена такая специфика, как активное использование linker-скриптов и потребность в модификации и расширении процесса компоновки. Код написан на языке C++ и распространяется под лицензией BSD... (170 +15) обсуждение | весь текст
·	14.04.2025	Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней (284 –47)
	Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение. Помимо времени действия сертификатов решено заметно сократить и сроки повторного использования данных валидации объектов: для SAN (Subject Alternative Name, когда один сертификат охватывает несколько ресурсов, например, действует сразу для нескольких доменов) срок будет сокращен с 398 до 10 дней, а для не-SAN - с 825 до 398 дней... (284 –47) обсуждение | весь текст
·	12.04.2025	ИИ как новый вектор атаки на разработчиков ПО (191 +48)
	Инструменты программирования с поддержкой искусственного интеллекта (ИИ) всё больше влияют на разработку программного обеспечения и приводят к проблеме в безопасности: генерации несуществующих имён пакетов. ИИ модели как коммерческие, так и открытые, иногда предлагают код с указанием пакетов, которых не существует. Согласно недавним исследованиям, это происходит в 5.2% случаев у коммерческих моделей и в 21.7% - у открытых моделей... (191 +48) обсуждение | весь текст
·	12.04.2025	Утверждено обеспечение повторяемых сборок в Fedora 43 (39 +7)
	Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora Linux, утвердил проект по обеспечению повторяемых сборок пакетов в осеннем выпуске Fedora 43. Целью инициативы заявлена возможность применения повторяемых сборок для не менее, чем 99% пакетов в репозитории... (39 +7) обсуждение | весь текст
·	11.04.2025	CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP (93 +16)
	Компания AMD включила процессоры на базе микроархитектуры Zen 5 в список продуктов, подверженных уязвимости EntrySign, позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода. Изначально предполагалось, что уязвимость затрагивает только CPU AMD на базе 1-4 поколений микроархитектуры Zen. Таким образом уязвимость оказалась применима к таким процессорам, как Ryzen 9000 (Granite Ridge), EPYC 9005 (Turin), Ryzen AI 300 (Strix Halo, Strix Point, Krackan Point) и Ryzen 9000HX (Fire Range)... (93 +16) обсуждение | весь текст
·	10.04.2025	Искажение авторства патчей Rust-обвязок к подсистеме DRM (226 –12)
	Данило Круммрих (Danilo Krummrich), один из сопровождающих драйвер Nouveau, подготовил для включения в ядро Linux набор патчей с реализацией обвязок над подсистемой DRM (Direct Rendering Manager), позволяющих создавать графические драйверы на языке Rust. В примечании Данило указал, что в качестве основы предложенных изменений использованы наработки Лины Асахи (Asahi Lina), разработавшей драйвер drm-asahi для GPU Apple AGX, используемых в серии чипов Apple Silicon. Лина, создавшая первый вариант опубликованного набора патчей, была помечена как основной автор обвязки над DRM ioctl и соавтор остальных абстракций для создания драйверов... (226 –12) обсуждение | весь текст
·	07.04.2025	В состав macOS включён openrsync от проекта OpenBSD (93 +15)
	В опубликованном на прошлой неделе обновлении macOS 15.4 компания Apple заменила утилиту rsync на альтернативную реализацию openrsync, развиваемую проектом OpenBSD. Исполняемый файл /usr/bin/rsync в macOS теперь ссылается на openrsync. Предполагается, причиной замены стали недавно выявленные проблемы с безопасностью в rsync, работа по сокращению компонентов под копилефт лицензиями и желание избавиться от устаревшей версии rsync, обновить которую не получается из-за лицензионной политики... (93 +15) обсуждение | весь текст
Следующая страница (раньше) >>