anonymous@RULINUX.NET~# Last login: 2024-12-24 20:50:07
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск

Новости  43 44 45 46 47 48 49 50 51   
Добавить новость

Легко эксплуатируемая DoS-уязвимость в HTTP-сервере Apache

subsection
Скрыть

В http-сервере Apache найдена опасная уязвимость, позволяющая вызвать отказ в обслуживании через исчерпание всей доступной памяти. Опасность уязвимости усугубляется тем, что для её осуществления уже доступен готовый эксплоит (  http://seclists.org/fulldisclosure/2011/Aug/175 ), позволяющий совершить атаку с одной машины с генерацией минимального трафика. При отсутствия отдельных лимитов на размер выделяемой Apache памяти, после выполнения эксплоита наблюдается полное исчерпание памяти с уходом в бесконечный своппинг без возможности зайти в консоль.

Проблема вызвана ошибкой в реализации поддержки загрузки части файла по указанному диапазону (например, после обрыва соединения можно запросить загрузку начиная с определенной позиции). Ошибка связана с тем, что при обработке запроса, содержащего большое число диапазонов (например, "Range:bytes=0-,5-1,5-2,5-3,...,5-1000"), расходуется слишком много памяти. Для осуществления удачной атаки достаточно отправить около 50 подобных запросов на сервер.

Проблема присутствует в Apache 2.2.x, включая последний релиз 2.2.19. Исправление пока доступно в виде патча (  http://www.gossamer-threads.com/lists/apache/dev/401638 ). Также имеется несколько способов временной защиты, не требующих пересборки Apache. Например, можно принудительно очищать заголовок Range при помощи mod_header ("RequestHeader unset Range") или блокировать длинные последовательности Range через mod_rewrite:

# Вариант 1:

RewriteEngine On

RewriteCond %{HTTP:Range} bytes=0-[0-9]+, [NC,OR]

RewriteCond %{HTTP:Range} bytes=([0-9-],){4,} [NC,OR]

RewriteCond %{HTTP:Range} bytes=[0-9,-]+,0-(,|$) [NC]

RewriteRule .?  http://%{SERVER_NAME}/ [NS,L,F]

 # Вариант 2:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]

RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(s*,s*[0-9]*-[0-9]*)+

RewriteRule .* - [F]

# Вариант 3:

RewriteEngine On

RewriteCond %{HTTP:Range} bytes=0-.* [NC]

RewriteRule .?  http://%{SERVER_NAME}/ [R=302,L]

 

Интересно, что о теоретической возможности совершения подобной атаки Михаил Залевски (Michal Zalewski), известный польский эксперт в области компьютерной безопасности в настоящее время работающий в Google, сообщал еще 4 года назад, но проблема по каким-то причинам не была воспринята всерьез и исправления не были внесены.

Цельнотянуто с Opennet.ru


>>> Подробнее

Id (*) (2011-08-25 01:13:27)

[3 сообщения] [Добавить комментарий]


Wayland — разъяснения от разработчиков KWin

subsection
Скрыть

  •   В Wayland может оказаться реализована сетевая прозрачность.

    Это дело конкретного композитора. Всё дело в ошибочном понимании фразы "в Wayland нет сетевой прозрачности". Правильное понимание этой фразы таково: "спецификация Wayland не занимается сетевой прозрачностью и не определяет её". Композиторы могут быть исполнять локальную отрисовку, могут быть сервером и передавать картинку по сети (хоть на немало машин одновременно), а могут делать и то и иное. Те, кто считают, что в Wayland сетевой прозрачности быть не может вообще, ошибаются.

  •   Сетевая прозрачность X11 не подходит для современных приложений.

    Она много времени назад устарела, будучи сделанной с расчётом на то, что приложения применяют простые команды для показа содержимого окна, и эти команды возможно отсылать по сети. Когда-то это было разумно, однако современные приложения не применяют X11 для рендеринга, они применяют подобные технологии как Cairo, Clutter, QPAINTER (Raster) или OPENGL. В этом случае X11 должен отсылать по сети готовую картинку, а для данном случае есть технологии, которые делают это намного лучше, чем X11. Сетевая прозрачность в X11 померла и так, без участия Wayland.

  •   X11-приложения будут поддерживаться.

    Никто не желает ломать систему, переход на Wayland будет произведён если и лишь тогда, когда X11-only приложения будут в ней неплохо вести работу (ч/з слой совместимости). Сетевую прозрачность X11, понятно, также возможно будет применять.

  •   Сетевой прозрачности не место в оконной системе. Если вы хотите быстрой сетевой прозрачности, ей место в тулките виджетов.

    Оконная система обязана просто заниматься отображением картинки, которую ей дали. Она не знает ничего про виджеты, у неё есть лишь картинка, которую гнать по сети довольно накладно. Сетевой прозрачности когда-то было место в X11 лишь посему, что X11 был не только лишь оконной системой, однако ещё и тулкитом виджетов.

  •   "Дистибутивы выкинут иксы, моё любимое X11-only приложение не заведётся!"

    Для этого уже есть слои совместимости (X11 приложения возможно запускать из композитора Wayland). Поддержку X11 никто не выкинет из дистрибутивов, пока она будет востребована, даже Mac OS X всё ещё поддерживает X11 для совместимости. Постепенно число X11-only приложений будет уменьшаться (переписывание, естественная смерть), и даже если из вашего установочного пакета поддержку X11 уберут, вы постоянно сможете её собрать сами.

Прекратите повторять ошибочные утверждения.

P.S. Отвечу на вопрос "Для чего вообще нужен Wayland, давайте совершенствовать X11".

Подобные (или аналогичные) перемены даже если были бы возможны в X, всё равно бы сломали X11 и дали несовместимый с ним X12. Без слоя совместимости обойтись нереально, а сам X12 также был бы не сахар, так как писался бы с оглядкой на X11. И чем это было бы лучше того, что мы имеем с Wayland?

В базе X11 лежат архитектурные решения более чем двадцатилетней давности (см выше). Так делать уже не нужно, немало функциональности иксов перешло в тулкиты, ядро, D-Bus, и иные системы. Замену проще написать с нуля, которая делает лишь собственную прямую работу, а не пробует объять всё.


>>> Подробнее

Bod (*) (2011-08-23 15:05:31)

[2 сообщения] [Добавить комментарий]


Завершена активаня часть разработки движка rulinux-engine

subsection
Скрыть

Уважаемые посетители lor-ng.org я хочу с радостью сообщить о завершении активной части разработки движка. Проект переходит в стадию бета-тестирования. Если в течение месяца не будет обнаружено ошибок(или они будут исправленны), то уже к концу сентября сайт будет работать на новом движке. К сожалению по личным причинам релиз затянулся более чем на полгода. И чтобы его ускорить мне потребуется ваша помощь. Если вам не безразлична судьба ресурса просьба протестировать движок по адресу http://rulinux.dyndns.org и обо всех найденных ошибках отписаться в эту тему. А так-же я предлагаю для отхода из тени ЛОРа в новом движке сменить тему стоящую по-умолчанию с черно-синей classic-black на черно-зеленую Ubertechno. Голосуем тут:  http://www.online-poll.ru/poll-1615.html


>>> Подробнее

Tux-oid (*) (2011-08-19 20:07:10)

[57 сообщений] [Добавить комментарий]


Дистрибутиву Debian GNU/Linux исполнилось 18 лет

subsection
Скрыть

Проект Debian празднует  http://www.debian.org/News/2011/20110816 восемнадцатилетние. 18 лет назад, 16 Августа 1993 года, Ян Мёрдок (Ian Murdoch) анонсировал свой дистрибутив в списке рассылки comp.os.linux.development. В то время было ново само понятие "дистрибутив" Linux. Ян намеревался сделать Debian дистрибутивом, который бы разрабатывался в соответствии с духом полной открытости, свойственной Linux и GNU.

За последние 18 лет в проекте и его сообществе было очень много изменений. Было выпущено 11 релизов и огромное количество пакетов. Последний стабильный Debian 6.0 "Squeeze" был выпущен в Феврале 2011 года. Текущая "нестабильная" ветка содержит для одной только архитектуры amd64 более 35 000 бинарных пакетов или более 44 Гб свободных программ. На протяжении своей истории Debian сохранил свое стремление к техническому совершенству, надёжности и прежде всего к свободе.

Конечно же ничего из этого не было бы возможным без мощного сообщества, образовавшегося вокруг Debian. Помимо более чем 1000 разработчиков и мэйнтейнеров Debian по всему миру, в системе Alioth зарегистрировано более 11000 аккаунтов, и эти цифры не включают всех тех кто помогает проекту переводами или сообщениями об ошибках (а иногда даже с предлагаемыми патчами для их устранения) и всех тех кто помогает советом, участвуя в списках рассылки, на форумах и IRC-каналах.

Желающе присоединиться к поздравлениям могут это сделать на странице  http://thank-you.debian.net/ . Желающим поделится новостью с помощью социальных сетей Twitter или Identi.ca рекомендуется указать тэг "#thxdebian".


>>> Подробнее

Bod (*) (2011-08-16 14:19:29)

[8 сообщений] [Добавить комментарий]


Спецификация C++0X принята в качестве международного стандарта C++11

subsection
Скрыть

Завершилась длительная эпопея по принятию нового стандарта для языка программирования Си++. Комитет ISO по стандартизации языка C++ единогласно утвердил спецификацию C++0X в качестве международного стандарта "C++11". Стандарт C++0X планировалось выпустить еще в 2008 году, но его принятие постоянно откладывалось. Большинство представленных в стандарте возможностей уже поддерживаются в таких компиляторах, как GCC, IBM C++, Intel C++ и Visual C++. Поддерживающие C++11 стандартные библиотеки реализованы в рамках проекта Boost.

Новый стандарт развивался более 10 лет и пришел на смену стандартам C++98 и C++03. Отмечается, что если различия между стандартами C++98 и C++03 были столь незначительными, что их можно было не заметить, то стандарт C++11 содержит ряд кардинальных улучшений, как самого языка, так и стандартной библиотеки. По словам Бьерна Страуструпа, создателя C++, C++11 ощущается как новый язык, части которого лучше сочетаются друг с другом. В C++11 высокоуровневый стиль программирования стал более естественным, а эффективность возросла как никогда раньше. Кроме того, язык стал проще для изучения и освоения новичками.

Основные улучшения, отраженные в стандарте C++11:

  • Расширение стандартной библиотеки в таких областях, как регулярные выражения, хэши, генераторы случайных чисел, интеллектуальные указатели и т.п.
  • Поддержка лямбда-выражений и лямбда-функций, т.е. анонимных функций, объявляемых в месте использования. Например, "[](int x, int y) { return x + y; }"
  • Поддержка списков инициализации, т.е. передачи структуры или массива в виде списка значений. Например: для конструктора или функции Test можно указать шаблонный класс std::initializer_list и затем для инициализации использовать "Test testVar = {1, 2, 3, 4};" или "Test(1,2,3,4,5)";
  • Универсальная форма инициализации для всех видов объектов с помощью расширения синтаксиса списков инициализации;
  • Поддержка ключевого слова "decltype" для определения типа выражения во время компиляции, например, можно указать "decltype(someVar) otherIntegerVariable = 5;";
  • Возможность автоматического назначения типа при указании ключевого слова "auto". Тип выбирается на основании анализа типа аргумента. Например, "auto otherVariable = 5;";
  • Возможность создания шаблона функции, возвращаемый тип которого определяется автоматически на основании другой функции или выражения;
  • Аналог циклов "foreach" для перебора элементов коллекции. Например, для перебора элементом массива my_array достаточно указать "for(int &x : my_array)";
  • Реализация нового типа ссылок на временные объекты (Rvalue Referencea), объявляемые через выражение "type &&";
  • Реализация ключевого слова "constexpr", позволяющего указать, что выражение (функция или конструктор) возвращает константу и данные выражения можно использовать как константы, например: "constexpr int GetFive() {return 5;}". В дальнейшем GetFive можно указать, например, при определении массива "int some_value[GetFive() + 7];";
  • Ослаблены требования при определении типов простых данных. Например, как тип простых данных могут рассматриваться классы, при соблюдении ряда правил;
  • Поддержка определения внешних шаблонов, позволяющих увеличить скорость компиляции;
  • Возможность создавать шаблоны с переменным количеством аргументов;
  • Расширенная поддержка символов в Unicode;
  • Возможность вызывать одни конструкторы класса из других конструкторов этого же класса, что позволяет создавать конструкторы, использующие другие конструкторы без дублирования кода;
  • Возможность использования локальных и безымянных типов в качестве аргументов шаблонов;
  • Вместо макроса NULL для обозначения нулевого указателя введено ключевое слово nullptr.

Основной линк  http://www2.research.att.com/~bs/C%2B%2B0xFAQ.html

Цельнотянуто с Opennet.ru


>>> Подробнее

Id (*) (2011-08-14 22:15:25)

[6 сообщений] [Добавить комментарий]


Журнал UserAndLINUX v11.08

subsection
Скрыть

Вышел августовский номер журнала UserAndLINUX.

Тема номера – Настройка юзабилити: все, чтобы пользователям было удобно.

В номере вы найдете обзор программ по работе с сетью и Интернет-соединением и много другого интересного материала.

Среди авторских статей:

  •   Защити свой Android(материал предоставленный компанией Dr.Web)
  •   Быстрая настройка основных параметров ОС Linux: Работа с Ubuntu Tweak и Ailurus (Игорь Штомпель)
  •   Настройка Openbox (Александр Зинин)
  •   Установка с нуля Linux Ubuntu 11.04 (Письмо в редакцию от Александра Шикина)
  •   Отчеты с проведения Дня Системного администратора в Украине, а также конференции «8Р: Интернет-маркетинг в Украине», где журнал UserAndLINUX выступил информационным партнером, а компания UALinux – спонсором подарков

Скачать журнал (в PDF-формате) можно по этой ссылке  http://ualinux.com/info/download.php?file=ual_12

Скачать остальные доступные выпуски можно здесь  http://ualinux.com/ru/windows-download/category/10-2011

Приобрести "бумажный" журнал можно по этой ссылке:  http://ualinux.com/ru/pay?page=shop.browse&category_id=19


>>> Подробнее

Bod (*) (2011-08-09 20:38:11)

[0 сообщений] [Добавить комментарий]


Релиз Gentoo 11.2 LiveDVD

subsection
Скрыть

Анонсирован релиз официальной Live-сборки проекта Gentoo - Gentoo LiveDVD 11.2. LiveDVD подготовлен для платформ x86 и x86_64. В дистрибутиве используется файловая система AUFS с поддержкой записи поверх доступной только на чтение основы, что позволяет устанавливать дополнительные пакеты. Также предусмотрена возможность перемещения домашнего каталога ($HOME) на дополнительный раздел диска или Flash-накопителя.

ISO-образ  http://mirrors.us.kernel.org/gentoo//releases/x86/11.2/livedvd-x86-amd64-32ul-11.2.iso имеет размер 2.6 Гб, поддерживает установку на DVD и USB Flash. Версия для 32-разрядных систем является гибридной и включает дополнительные 64-разрядные сборки библиотек и ядра Linux (gentoo64), что позволяет использовать один LiveDVD как на 32-х, так и на 64-разрядных системах. В гибридной сборке по умолчанию программы собраны для 32-разрядной архитектуры, 64-разрядные сборки программ представлены в отдельном iso-образе  http://gentoo.mirrors.tds.net/pub/gentoo//releases/amd64/11.2/livedvd-amd64-multilib-11.2.iso (2.8 Гб) livedvd-amd64-multilib, поддерживающем работу только на архитектуре x86_64.

Состав LiveDVD достаточно разнородный и содержит приложения, подходящие для различных категорий пользователей:

  •   Системные пакеты: Linux ядро 3.0 (с дополнительными патчами от разработчиков gentoo), Bash 4.2, GLIBC 2.13-r2, GCC 4.5.2, Binutils 2.21.1, Python 2.7.2 и 3.2, Perl 5.12.4;
  •   Десктоп окружения и оконные менеджеры: KDE 4.7.0, GNOME 3.0.0, Xfce 4.8, Enlightenment 1.0.8, Openbox 3.5.0, Fluxbox 1.3.1, XBMC 10.1 Awesome 3.4.10 и LXDE-Meta 0.5.5;
  •   Офисные и графические пакеты: LibreOffice 3.3.3, XEmacs 21.5.31 GVim 7.3.244, Abiword 2.8.6, Scribus 1.3.9, GIMP 2.6.11, Inkscape 0.48.2, Blender 2.57, XSane 0.998;
  •   Web-браузеры: Mozilla Firefox 5.0, Chromium 13.0 Arora 0.11.0, Opera 11.50.1074, Epiphany 3.0.4, Seamonkey 2.2;
  •   Приложения для общения: Pidgin 2.9.0, Quassel 0.7.2, Mozilla Thunderbird 5.0, Claws Mail 3.7.9, QTwitter 0.10.0, Irssi 0.8.15;
  •   Средства разработки: KDevelop 4.2.3, KDESvn 1.5.5, Qt-creator 2.2.1, Bluefish 2.0.3;
  •   Мультимедийные приложения: Amarok 2.4.3, MPlayer 1.0_rc4, MPlayer2 2.0, DVDAuthor 0.6.14, LAME 3.98.4, FFmpeg 0.6.90, GNOME-MPlayer 1.0.4, SMPlayer 0.6.9
  •   Для людей имеющих проблемы со зрением в состав интегрирована система голосового управления Speakup, позволяющая задействовать синтезатор речи.


>>> Подробнее

Bod (*) (2011-08-08 13:58:55)

[3 сообщения] [Добавить комментарий]


Проект Менестрель (Menestrel)

subsection
Скрыть Menestrel - приложение для озвучивания текстовых документов, веб-страниц и электронных книжек на русском языке, разработанная на базе синтезаторов речи Festival и ru_tts.

Menestrel поддерживает следующие форматы файлов:

  •   обычные текстовые файлы с кодировками UTF-8, CP1251, KOI8-R, ISO-8859-5;
  •   HTML-файлы;
  •   файлы в формате OPENDOCUMENT (ODT);
  •   файлы в формате Майкрософт Document (DOC);
  •   файлы в формате FICTIONBOOK (FB2).

Файлы всех вышеперечисленных форматов могут быть сперва помещены в ZIP-архив.

cut{Читать далее}



Основные возможности приложения:

озвучивание:
  •   файлов указанных выше форматов;
  •   скопированных и вставленных в поле воспроизведения фрагментов текста;
  •   набранных в поле воспроизведения текстов (с возможностью сохранения набранного);
  •   отображение произносимого текста в окошке утилиты и выделение произносимого предложения;
  •   сохранение при завершении работы и восстановление при следующем запуске позиции маркера, в которой было завершено озвучивание;
  •   инсталляция неограниченного количества закладок и переход по ним, поиск текста;
  •   ввоз произнесённого текста в звуковые файлы формата WAV или MP3 и списка воспроизведения для эксплуатации в качестве аудио-книжек.
Проект состоит из 2-х приложений: Menestrel и Skomoroh, разница м/у ними в том, что Menestrel основан на базе синтезатора речи Festival, а Skomoroh - на базе синтезатора речи ru_tts.

Приложения написаны на С++ с использованием Qt 4.7 в интегрированной среде разработки QTCREATOR 2.1.

Благодаря кроссплатформенности Festival, Menestrel доступен как в версии для Линукс, так и для Windows.

Skomoroh поставляется только для Линукс.

Все исходные тексты в виде проектов QTCREATOR размещены на странице проекта на  http://menestrel.sourceforge.net/ .
>>> Подробнее

Bod (*) (2011-08-02 19:45:23)

[4 сообщения] [Добавить комментарий]


В Китае разрабатывается операционная система для смартфонов, основанная на ядре Linux

subsection
Скрыть

Китайская компания Alibaba высказалась о создании на базе ядра Линукс новой мобильной операционной системы Aliyun OS, отличающейся от Apple IOS и Google Android облачной архитектурой, при которой все приложения хранятся в Web, а локальное устройство применяется только для обеспечения связи с удаленными службами. По собственной сути Aliyun OS напоминает систему Chrome OS и накауне анонсированный проект Mozilla B2G. Первым поставляемым с новой ОС устройством станет смартфон K-Touch W700.

Подробности реализации новой системы пока не раскрываются. Отмечается лишь обеспечение возможности исполнения приложений, написанных для платформы Android. Видимо, главным отличием от классической платформы Android, является то, что приложения будут выполняться не на локальной системе, а в виртуальном окружении на удаленном сервере, телефон выступит в качестве удаленного клиента. Приложения не необходимо загружать и устанавливать, их возможно будет выбрать и запустить из специального каталога.

Положительными моментами подобного подходя является минимальные требования к аппаратным ресурсам телефона и упрощение процесса доставки приложений (нет потребности заботиться об установке обновлений, утилиты будут постоянно наиболее свежие). Недостатком является обязательность постоянного наличия постоянного высокоскоростного доступа в сеть.


>>> Подробнее

Bod (*) (2011-08-01 09:48:58)

[2 сообщения] [Добавить комментарий]


С днем системного администратора.

subsection
Скрыть

Уважаемые системные администраторы посещающие наш ресурс. Я от лица администрации сайта хочу поздравить вас с днем системного администратора. Пожелать подольше аптайма, поменьше дисконнектов, поустойчивее серверов, поменьше багов в используемом софте, поумнее юзеров, и подобрее начальство. Ну и повидать вендекапец конечно-же. :)


>>> Подробнее

Tux-oid (*) (2011-07-29 09:04:45)

[13 сообщений] [Добавить комментарий]


Авторизация
Ссылки
Галерея

[Добавить]

opera умеет и такое

gallery

Опубликована: 2019-03-11 00:10:13
Автор: vilfred


Я здесь, у меня гента с флуксбоксом

gallery

Опубликована: 2017-07-26 21:48:40
Автор: Ada



Трекер
F.A.Q.



(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!