Три исследователя безопасности Google выявили новую ошибку в протоколе SSL 3.0, которая позволяет перехватывать данные (CVE-2014-3566). Уязвимость получила название «Poodle».
Poodle — это акроним от английского «Padding Oracle On Downloaded Legacy Encryption» (POODLE), который является отсылкой к тому, что ошибка обнаружена в 18-летнем продукте (SSL 3.0 появился в 1996 году), который до сих пор используется в браузерах. Информация об уязвимости была опубликована во вторник вечером на сайте OpenSSL — в сообществе разработчиков, которые наиболее активно используют шифрование SSL. Циркулирующие в сети на этой неделе слухи, апрельский «Heartbleed» и недавний «Shellshock» подготовили специалистов к быстрому реагированию на новую ошибку. Однако как сообщают эксперты, ошибка намного уступает в критичности предыдущим.
Реализация настоящей угрозы потребует от атакующего привилегированного положения в сети. Только при успешной атаке можно использовать уязвимость, чтобы получить cookies-сессии, что позволит злоумышленнику перехватить контроль над почтой, банковским аккаунтом или профилем социальной сети. Но чтобы этого достичь, в любом случае понадобится организовать атаку вида «человек посередине» (Man in the middle), поместив себя между конечным пользователем и сайтом. Такую атаку можно реализовать, например, с подложной точкой доступа W-iFi в кафе или другом публичном месте. Кроме того, для эксплуатации уязвимости Poodle необходимо, чтобы поддержка SSL3 была включена и на серверной (веб-сервер, почтовый сервер и т.п.), и на клиентской (веб-браузер, почтовый клиент и т.п.) стороне.
Помощник профессора факультета компьютерных наук в Университете Джонса Хопкинса — Мэтью Грин (Matthew Green) — утверждает, что выявленная уязвимость не позволяет просмотреть или получить доступ к большому количеству данных, как это было с «Heartbleed», и не предоставляет удалённого контроля над системой, как в случае с «Shellshock», что и делает «Poodle» гораздо менее значительной уязвимостью. Он также призывает компании и организации отказаться от SSL 3.0 на своих серверах и в браузерах, поскольку для среднестатистических пользователей это создаст трудности.
Конкретные рекомендации по изменению конфигураций популярных Open Source-служб, таких как веб-серверы (nginx, Apache, lighttpd), почтовые серверы (Postfix, Sendmail, Dovecot, Courier), OpenVPN и других, для отключения поддержки SSL3 с целью обезопаситься от уязвимости Poodle можно найти, например, на askubuntu.com.
Сообщество разработчиков KDE сообщило о выходе новой версии современной оболочки рабочего стола — Plasma 5.1. Это первый релиз Plasma в ветке 5.x, который включает новые возможности.
Как и любое другое ПО, новая версия KDE Plasma включает исправления существующих ошибок, улучшения в скорости работы и стабильности приложения. Помимо этого, релиз 5.1 включает новые возможности и реализацию функциональности из четвёртой ветки KDE. Стиль виджетов Breeze, который стал доступен вместе с Plasma 5, портирован и для приложений на Qt 4, а также улучшена поддержка дисплейного сервера Wayland. Оболочка зависит от KDE Frameworks 5.3. Другие изменения в Plasma 5.1:
добавлено множество пиктограмм в тему оформления;
добавлен новый модуль в системные параметры;
включены новый плазмоид буфера обмена и нагрузки системы, добавлены альтернативные переключатели;
возвращена возможность установки дополнений (аддонов) при помощи kdeplasma-addons;
добавлена навигация при помощи клавиатуры в диалоговых окнах завершения работы и блокировки;
добавлены виджеты: для заметок (как в ветке 4), таймер, Fuzzy Clock; цифровые часы стали поддерживать временные зоны;
разработчики вернули режим «только иконки» для приложений в панели задач.
Подробный список изменений опубликован на официальном сайте KDE. Также проводится существенная работа по улучшению поддержки Wayland. В новом релизе оконный менеджер «kwin_wayland» дополняет существовавший «kwin_x11» и позволяет запускать вложенный сервер X для выполнения приложений, основанных на X11. Новая библиотека KWayland предоставляет информацию в KInfoCenter и для других систем. Однако команда разработчиков считает, что впереди ещё длинный путь и завершённая реализация будет доступна только в 2015 году.
Организация Mozilla и компания Humble Bundle проводят совместную акцию по распространению игр. В необычном наборе, предложенном в рамках инициативы Humble Mozilla Bundle, доступно 8 различных игр, которые запускаются в веб-браузере без установки плагинов.
Все игры, входящие в набор Humble Mozilla Bundle, были созданы независимыми разработчиками. Эта инициатива связана с работой специалистов Mozilla над технологиями, позволяющими переносить трёхмерные видеоигры в браузер. Причём речь идёт о полноценных высокопроизводительных играх с качественной графикой. В Mozilla уверены, что благодаря наличию прямой ссылки на игру геймеры смогут оценить её перед покупкой, а для разработчиков упростится задача продвижения в социальных сетях.
Все из представленных игр ранее были доступны только на компьютере или мобильных операционных системах. Сейчас игры независимых разработчиков вроде «Democracy 3», «FTL» или «AaaaaAAaaaAAAaaAAAAaAAAAA!!! for the Awesome» доступны в вебе. Портированию игр активно помогала сама Mozilla — для переноса был задействован движок asm.js, разрабатываемый в Mozilla в противовес Google Native Client. Благодаря этому все игры доступны в любом современном веб-браузере без установки дополнительных компонентов.
Набор Humble Mozilla Bundle будет доступен в течение двух недель. Цену, как и распределение пожертвованных средств, назначает сам покупатель. Демо-версия одной из игр доступна прямо на сайте, где также можно ознакомиться с другими играми и приобрести весь набор.
Швейцарская компания Wilhelm Tux, продвигающая решения на основе свободного программного обеспечения, планирует собрать средства на включение электронной подписи в PDF непосредственно из офисного пакета LibreOffice.
Многие контракты подписываются в Европе вручную, хотя цифровая подпись имеет юридическую силу. Инструменты, которые позволяют использовать цифровую подпись, зачастую громоздки, ограничены или просто дороги. Однако цифровая подпись является необходимой не только для отправки электронных документов, но для ведения архива в электронном виде.
На сегодняшний день, LibreOffice может создавать электронную подпись в ODF-документах, но, например, в PDF-файлах эта возможность отсутствует. Вернее, есть экспериментальная возможность, которую нужно явно включить в Параметрах, но эта возможность была разработана на Google Summer of Code и не была доведена до производственного качества.
После обсуждения с разработчиками LibreOffice, Wilhelm Tux выбрала компанию Collabora в качестве надёжного партнёра для осуществления этой миссии. Collabora может совершать разработку по поручению клиентов, а код, разработанный компанией, должен быть возвращён в LibreOffice под свободной лицензией. Таким образом, созданные в рамках этой инициативы возможности по включению цифровой подписи в PDF-документы из LibreOffice останутся свободными.
На первом этапе Wilhelm Tux постарается собрать средства. Всего планируется собрать 8000 евро (10000 франков). В компании считают, что это не очень большая сумма, но дело способно принести пользу всему миру. На сегодняшний день собрано 9223 франка.