Планета

Планета собирает интересные статьи из различных источников и объединяет их в одну ленту.

В TCP/IP-стеке FreeRTOS выявлены уязвимости, приводящие к удалённому выполнению кода

Раскрыта детальная информация о 13 уязвимостях, выявленных в ходе аудита TCP/IP-стека открытой операционной системы FreeRTOS, последнее время развиваемой компанией Amazon. Шесть уязвимостей потенциально позволяют организовать выполнение кода через отправку специально оформленных IP- и TCP-пакетов, а также сетевых запросов с использованием протоколов DNS, LLMNR и HTTPS. Восемь уязвимостей могут привести к утечке содержимого памяти процессов-обработчиков. Одна уязвимость может применяться для отравления кэша DNS (подстановки фиктивных значений).

Выпуск распределенной системы управления исходными текстами Git 2.20

Подготовлен выпуск распределенной системы управления исходными текстами Git 2.20.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. По сравнению с прошлым выпуском в новую версию принято 962 изменения, подготовленных при участии 83 разработчика, из которых 26 впервые приняли участие в разработке.

Git v2.20.0

Git — это система контроля версий для отслеживания изменений в файлах и координации работы с ними. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток.

Значимые изменения:

  • команда git branch -l <foo> теперь делает то же, что и git branch --list <foo> и является ее сокращением;
  • команда git push в иерархию refs/tags/* не выполняется без добавления аргумента --force, а командой git fetch можно было скачивать объекты из refs/head/* без аргумента --force. Это было исправлено, поэтому некоторые теги могут не работать без --force в новой версии;
  • команда git help -a выводит подробный вывод (как и git help -av). Те, кто хочет чтобы было как раньше, могут пользоваться git help --no-verbose -a;
  • командой git cpn --help можно сократить команду git cherry-pick --help, т.е. cpn = cherry-pick -n;
  • команда git send-email теперь может определять e-mail адреса, находя в заголовках сочетание символов "-by".

 git

PHP-Дайджест № 145 (26 ноября – 10 декабря 2018)

074a70f5144b8729a512be534ccf6910.jpg

Свежая подборка со ссылками на новости и материалы. В выпуске: PHP 7.3.0, Symfony 4.2, Composer 1.8.0 и другие релизы, конец поддержки PHP 5.6 и PHP 7.0, свежие предложения из PHP Internals, порция полезных инструментов, видеозаписи докладов и многое другое.
Приятного чтения!


Читать дальше →

В 22 приложениях, загруженных из Google Play более 2 млн раз, выявлен вредоносный код

Компания Sophos предупредила пользователей о выявлении в каталоге Google Play 22 приложений для платформы Android, включающих вредоносный код, позволяющий скрыто загружать файлы и выполнять произвольные вредоносные модули на устройстве. После установки проблемных приложений вредоносный код (Andr/Clickr-ad) запускался автоматически и продолжал выполнение независимо от открытия и закрытия приложений пользователем (настраивался автозапуск при загрузке устройства и перезапуск через 3 минуты в случае принудительного завершения вредоносного процесса).

Релиз языка программирования Rust 2018 (1.31)

Представлен релиз языка системного программирования Rust 1.31, развиваемого проектом Mozilla. Кроме штатного номера версии выпуск также обозначен как Rust 2018 и преподносится как наиболее важный релиз с момента формирования версии 1.0 в 2015 году. В рамках выпуска проведена работа по консолидации всех улучшений и изменений, подготовленных за последние три года, в виде целостного продукта. Rust 2018 выступит основой для наращивая функциональности в последующие три года, по аналогии с тем, как выпуск Rust 1.0 стал базисом для развития языка в прошедшие три года.

Gii 2.0.8

Вышла новая версия расширения Gii. В ней, помимо исправлений, добавлена новая опция в генератор моделей, позволяющая стандартизировать имена. С ней имена получаются такие:

SOME_TABLE -> SomeTable
Other_Table -> OtherTable

вместо

SOME_TABLE -> SOMETABLE
Other_Table -> OtherTable

Полный список изменений доступен в CHANGELOG.

Уязвимости в PHP и PHPMailer

В опубликованных на днях корректирующих обновлениях PHP 5.6.39, 7.0.33, 7.1.25 и 7.2.13 устранена неприятная уязвимость (CVE-2018-19518) в штатном PHP-дополнении IMAP, выявленная ещё в октябре. Уязвимость позволяет атаковать web-приложения для работы с электронной почтой или обойти системные ограничения доступа к функциям, выставляемые через опцию disable_functions в php.ini.

Зафиксирована подмена сайта Linux.org через захват DNS

Администраторы сообщества Linux.org (не путать с Linux.com) сообщили об инциденте, в результате которого злоумышленники подменили содержимое сайта. Атака была совершена путём перенаправления трафика на другой хост через изменение данных в DNS.

Выпуск CentOS Atomic Host 7.1811, специализированной ОС для запуска контейнеров Docker

Проект CentOS представил выпуск минималистичной операционной системы CentOS Atomic Host 7.1811, которая поставляется в форме монолитного целиком обновляемого образа и предоставляет базовое окружение, которое содержит только минимальный набор компонентов (systemd, journald, docker, rpm-OSTree, geard и т.п.), необходимых для запуска и управления изолированными контейнерами Docker. Все пакеты, обеспечивающие работу конечных приложений, поставляются непосредственно в составе контейнеров, а хост-система не содержит ничего лишнего.