Уязвимость вызвана некорректной обработкой селектора XPath, приводящей к неверной проверке подписи в формате XML при разборе ответа от SAML-сервера. Неаутентифицированный атакующий, имеющий доступ к любому подписанному SAML-документу, может подделать любой ответ SAML для произвольного содержимого при помощи типовой атаки XSW (XML Signature Wrapping).

Суть атаки в том, чтобы взять корректно подписанное сообщение и добавить в связанный с ним XML-документ дополнительное фиктивное сообщение, используя в нём тот же идентификатор, что и у первого сообщения (данный идентификатор будет верифицирован при разборе первого сообщения и из-за ошибки будет воспринят как верифицированный и для второго сообщения). В контексте сервисов, использующих SAML для авторизации, уязвимость позволяет подключиться к системе под любым пользователем.

1. OpenNews: Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
2. OpenNews: Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю
3. OpenNews: Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации
4. OpenNews: GitLab рассматривает возможность продажи бизнеса
5. OpenNews: 17 уязвимостей в GitLab

Основные изменения:

• Улучшен ИИ для защиты замков.
• Улучшен ИИ для прокачки навыков героев.
• Оптимизированы алгоритмы, отвечающие за соблюдение радиуса героями-патрулями.
• Снижены бонусы для ИИ соперников.
• В редакторе карт теперь можно настраивать альянсы игроков.
• В редакторе появились новые дельты рек, расположенные горизонтально.
• Оптимизировано воспроизведение MIDI-композиций.
• Доработана опция "3D-аудио".
• Добавлена поддержка специальных символов для виртуальной клавиатуры.
• Улучшены переводы на некоторые языки.
• Закрыто свыше 40 уведомлений об ошибках и предложений по улучшению проекта.

1. OpenNews: Выпуск fheroes2 1.1.1, открытого движка Heroes of Might and Magic 2
2. OpenNews: Выпуск открытого игрового движка VCMI 1.5.0, совместимого с Heroes of Might and Magic III
3. OpenNews: Проект OpenEnroth развивает открытый движок для игр Might and Magic VI-VIII

Инструмент можно использовать через неименованные каналы (pipe) в командной строке для перенаправления дампа из исходной БД непосредственно в целевую БД с необходимыми преобразованиями. В зависимости от типа сущностей в настройках безопасности инструмент анонимизирует столбцы для таблиц с правилами, описанными в разделе filters. Если таблица не содержит никаких правил, данные все равно будут защищены, так как анонимайзер не включит их в результирующий дамп. Можно связывать анонимизацию сущностей БД в разных таблицах по различным правилам и работать с разово-сгенерированными данными с помощью глобальных переменных.

В новой версии:

• В фильтры добавлены новые переменные "Raw column data type" и "Regex's capturing groups", позволяющие использовать регулярные выражения с группами захвата для различных типов данных в столбцах.
• Реализована генерация значений для типизированных данных. Теперь, когда политика безопасности столбца настроена на рандомизацию значений ячеек, эти значения автоматически генерируются в соответствии с их типами данных. Ранее все типы обрабатывались одинаково, с этим обновлением добавили классификацию (например, для столбцов MySQL с типами date и datetime).

1. OpenNews: Релиз инструмента анонимизации баз данных nxs-data-anonymizer 1.9.0
2. OpenNews: Выпуск Whonix 17.2, дистрибутива для обеспечения анонимных коммуникаций
3. OpenNews: PostgreSQL Anonymizer 0.6, расширение для анонимизации данных в СУБД
4. OpenNews: Вышел Datanymizer, анонимайзер чувствительных данных
5. OpenNews: Релиз инструмента резервного копирования nxs-backup 3.11.0

1. OpenNews: В драйвере Panthor для GPU Mali G610 обеспечена совместимость с OpenGL ES 3.1
2. OpenNews: Представлен новый видеодрайвер для чипа Apple M1, поддерживающий Vulkan 1.3
3. OpenNews: Компания Collabora развивает PanCSF, новый Linux-драйвер для GPU Mali
4. OpenNews: Объявлено о готовности panthor, открытого драйвера для 10 поколения GPU Mali
5. OpenNews: NVK и Zink существенно улучшили ситуацию с открытыми драйверами для GPU NVIDIA

Методы блокировки предлагается активировать в зависимости от вида нарушения изоляции: между пользователем и ядром (mitigate_user_kernel), между пользователем и другим пользователем (mitigate_user_user), между гостевой системой и хост-окружением (mitigate_guest_host), между разными гостевыми системами (mitigate_guest_guest) и между разными потоками (mitigate_cross_thread).

Предложенный подход даст возможность активировать только защиту от тех классов уязвимостей, которые реально волнуют пользователя. Например, владельцы облачных окружений могут включить режимы mitigate_guest_host и mitigate_guest_guest, после чего будут активированы методы защиты от уязвимостей BHI, GD, L1TF, MDS, MMIO, Retbleed, RFDS, Spectre_v2, SRBDS, SRSO и TAA.

 
=============== ============== ============ ============= ============== ============
Vulnerability   User-to-Kernel User-to-User Guest-to-Host Guest-to-Guest Cross-Thread
=============== ============== ============ ============= ============== ============
BHI                   X                           X
GDS                   X              X            X              X
L1TF                                              X                            X        
MDS                   X              X            X              X             X        
MMIO                  X              X            X              X             X        
Meltdown              X
Retbleed              X                           X                            X        
RFDS                  X              X            X              X
Spectre_v1            X
Spectre_v2            X                           X
Spectre_v2_user                      X                           X
SRBDS                 X              X            X              X
SRSO                  X                           X
SSB         
TAA                   X              X            X              X             X        

1. OpenNews: Indirector - новая микроархитектурная атака, затрагивающая CPU Intel Raptor Lake и Alder Lake
2. OpenNews: TikTag - атака на механизм спекулятивного выполнения в CPU ARM, позволяющая обойти защиту MemTag
3. OpenNews: Новый вариант атаки BHI на CPU Intel, позволяющий обойти защиту в ядре Linux
4. OpenNews: GhostRace - атака на механизм спекулятивного выполнения в процессорах Intel, AMD, ARM и IBM
5. OpenNews: SLAM - атака на CPU Intel, AMD и ARM, позволяющая определить содержимое памяти

1. OpenNews: Опубликован инструментарий ZLUDA, позволяющий запускать CUDA-приложения на GPU AMD
2. OpenNews: AMD воспользовался DMCA для борьбы с утечкой внутренней документации по GPU Navi и Arden
3. OpenNews: Компания AMD представила проект GPUOpen, сделав ставку на открытое ПО в конкуренции с NVIDIA
4. OpenNews: NVIDIA опубликовала документацию по интерфейсам GPU для упрощения разработки открытых драйверов
5. OpenNews: NVIDIA начнёт использовать открытые модули ядра для GPU, начиная с Turing

1. OpenNews: Доступен язык программирования Perl 5.40.0
2. OpenNews: Опубликован разбор инцидента с потерей контроля над доменом perl.com
3. OpenNews: Релиз компилятора Rakudo 2023.04 для языка программирования Raku (бывший Perl 6)
4. OpenNews: Perl 7 плавно продолжит развитие Perl 5 без нарушения обратной совместимости
5. OpenNews: Руководство Perl приостановило работу команды, следящей за соблюдением кодекса поведения

В процессе проведения исследования был реализован парсер данных из GitHub API и сторонних сервисов (таких, как pepy, star-history и др.), на основе которых проанализированы данные о местоположении пользователей, использующих открытые проекты и участвующих в их развитии. Также уделено внимание существующим опенсорс-сообществам, другим исследованиям на схожие темы, перспективам развития опенсорса в эпоху ИИ и многому другому.

Топ-5 используемых в РФ решений:

• ML и алгоритмы:
  • CatBoost
  • LightAutoML
  • PyTorch
  • Scikit-learn
  • TensorFlow
• Математика:
  • NumPy
  • Optuna
  • SciPy
  • Theano
  • Statsmodels
• Инфраструктура:
  • YTsaurus
  • Spark
  • Hadoop
  • Pandas
  • Caffe
• Визуализация и BI:
  • Metabase
  • Superset
  • DataLens
  • Matplotlib
  • Plotly
• Хранение данных:
  • MongoDB
  • Tarantool
  • PostgreSQL
  • ClickHouse
  • YDB
• MLOps:
  • LangChain
  • Kubeflow
  • MLflow
  • WandB
  • GigaChain

В течение 18 месяцев разработчики Samba, трудоустроенные в SerNet, выполнят 17 проектов, нацеленных на расширение в Samba возможностей, связанных с повышением безопасности, улучшением масштабируемости и реализацией дополнительной функциональности. Вся работа будет производиться в открытой форме и с использованием процессов, применяемых при разработке Samba. Среди реализуемых проектов: обеспечение отказоустойчивости SMB3 через прозрачное переключение на запасной сервер; добавление Unix-расширений для SMB3; поддержка технологии SMB-Direct для ускорения передачи файлов; реализация протоколов для повышения производительности и безопасности, таких как "SMB over QUIC".

1. OpenNews: Выпуск Samba 4.21.0
2. OpenNews: Проект GNOME получил миллион евро на развитие
3. OpenNews: Проект GNOME опубликовал финансовый отчёт за 2023 год
4. OpenNews: Фонд Sovereign инвестирует 686 тысяч евро в обновление инфраструктуры FreeBSD

• Протестировано на 42 устройствах.
• Реализована возможность запуска игр с SD-карты, для этого нужно при включении/перезагрузке телефона зажать определённую клавишу (разные для разных моделей). Для загрузки с SD-карты требуется добавление небольшой секции размером 4КБ в прошивку телефона. ОС телефона остаётся работоспособной.
• Сделано меню для выбора игр при загрузке с SD-карты.
• Добавлен порт эмулятора InfoNES (далеко не лучший эмулятор, но простой для портирования, работает ~50% игр).
• Добавлен порт игры Wolfenstein 3D.

1. OpenNews: Обновление проекта FPDoom, развивающего порты Doom-подобных игр для кнопочных телефонов
2. OpenNews: Опубликован код порта Doom для кнопочных телефонов на чипе Spreadtrum SC6531

Среди изменений в новом выпуске:

• В контекстное меню, показываемое в панеле ведения заметок (Notes), добавлены операции увеличения и уменьшения размера текста. Размер также можно изменять вращая колесо мыши при удержании клавиши Ctrl.
• Добавлен новый видеофильтр Reframe (Export > Video > Reframe) для изменения композиции кадров при экспорте видео (обрезки, например, для удаления вертикальных или горизонтальных граничных полос).
• Добавлен новый видеофильтр Resample (Export > Video > Resample) и связанный с ним диалог, через который можно изменить частоту кадров, разрешение и коэффициент соотношения сторон при экспорте видео.
• Добавлен диалог с предупреждением, показываемый при изменении настроек "Settings > Video Mode" или "Timeline > Output > Edit" при открытом проекте.
• Фреймворк MLT обновлён до версии 7.28.0.

1. OpenNews: Выпуск видеоредактора Shotcut 24.06
2. OpenNews: Выпуск видеоредактора Pitivi 2022.06
3. OpenNews: Выпуск программы для редактирования видео LosslessCut 3.49.0
4. OpenNews: Опубликован видеоредактор Flowblade 2.14
5. OpenNews: Выпуск свободного видеоредактора OpenShot 3.2.0

Заявлена поддержка форматов mp3, wav, flac и ogg. Проигрыватель кросс-платформенный и может использоваться в Linux, macOS и Windows, а при запуске в терминале в macOS поддерживает отображение индикатора управления воспроизведением. Композиции можно фильтровать на основе привязки тегов. Имеются встроенные возможности для анализа статистики, например, можно посмотреть рейтинг песен по числу прослушиваний за определённый период. Поддерживается запрос рекомендации c подборкой похожих по стилю композиций из YouTube Music.

1. OpenNews: Новая версия аудиопрогрывателя mpg123 1.11.0
2. OpenNews: В рамках проекта MPlayer2 создан форк медиаплеера MPlayer
3. OpenNews: Релиз видеоплеера MPV 0.38
4. OpenNews: Выпуск мультимедийного проигрывателя MPlayer 1.5

В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 24.04. В частности, для облачных сервисов Google, Oracle, AWS и Azure, а также для платформы RISC-V и конфигураций, требующих минимальных задержек (lowlatency), предложены пакеты с ядром 6.8. Для остальных случаев продолжена поставка ядер 6.5 и 5.15. Обновлены версии пакетов cloud-init 24.2, openldap 2.5.18, dpdk 21.11.6, squid 5.9, snapd 2.63.1, Rust 1.75, xdg-desktop-portal-gnome 42.1 и nvidia-graphics-drivers. Добавлена поддержка новых устройств Synaptics. Добавлены сборки ubuntu-desktop и ubuntu-desktop-minimal для архитектуры RISC-V.

Использовать представленную сборку имеет смысл только для старого оборудования, а для новых систем вместо ветки 22.04 рекомендуется использовать более актуальный выпуск Ubuntu 24.04.1 LTS. Системы, установленные ранее, могут получить все присутствующие в Ubuntu 22.04.5 изменения через штатную систему установки обновлений. Поддержка выпуска обновлений и исправлений проблем безопасности для серверной и десктоп редакций Ubuntu 22.04 LTS продлится до апреля 2027 года, после чего ещё 7 лет будут формироваться обновления в рамках отдельной платной поддержки (ESM, Extended Security Maintenance).

1. OpenNews: Выпуск Ubuntu 22.04.4 LTS c обновлением графического стека и ядра Linux
2. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS
3. OpenNews: Релиз Ubuntu 24.04.1 LTS
4. OpenNews: Релиз дистрибутива Ubuntu 22.04 LTS

В состав SymCrypt включён алгоритм постквантового шифрования ML-KEM (CRYSTALS-Kyber), предназначенный для организации обмена ключами между сторонами, выполняющими шифрование и расшифровку данных. ML-KEM использует методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах. Помимо ML-KEM в библиотеку также добавлена рекомендованная Национальным институтом стандартов и технологий США (NIST) схема формирования многоразовых цифровых подписей XMSS (eXtended Merkle Signature Scheme), использующая дерево Меркла и рассчитанная на применения, в которых одна пара ключей может использоваться для подписи разных данных, например, для организации заверение прошивок.

В ближайшие месяцы в состав SymCrypt дополнительно планируют включить реализацию алгоритмов для формирования цифровых подписей ML-DSA (CRYSTALS-Dilithium) и SLH-DSA (Sphincs+), а также схему формирования цифровых подписей LMS (Leighton-Micali Signature Scheme).

1. OpenNews: NIST стандартизировал три алгоритма постквантового шифрования
2. OpenNews: Выпуск GnuPG 2.5.0 с поддержкой ключей, устойчивых к подбору на квантовых компьютерах
3. OpenNews: Создан альянс для развития постквантовых алгоритмов шифрования
4. OpenNews: Уязвимость в реализациях постквантового алгоритма шифрования Kyber
5. OpenNews: Дэниэл Бернштейн подал в суд из-за утаивания NIST информации о постквантовых криптоалгоритмах

Сведения об уязвимости переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Детальную информацию об уязвимости планируют раскрыть через 30 дней после публикации исправления.

1. OpenNews: GitLab рассматривает возможность продажи бизнеса
2. OpenNews: Критическая уязвимость в GitLab
3. OpenNews: Уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем
4. OpenNews: Уязвимости в GitLab, позволяющие захватить учётную запись и выполнить команды под другим пользователем
5. OpenNews: Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере