Пятнадцать лет назад компания Red Hat объявила о разделении дистрибутива Red Hat Linux на два проекта — развиваемый при участии сообщества Fedora Linux и коммерческий Red Hat Enterprise Linux. Проект Fedora был ориентирован на интенсивную разработку новых Linux-технологий и раннее продвижение новшеств, с оперативным доведением их до пользователей благодаря более интенсивному циклу разработки. Первый релиз Fedora Core 1 был выпущен спустя чуть более месяца с момента объявления о разделении. Источник. Читать далее Дистрибутиву Fedora Linux исполнилось 15 лет

Разработчики открытой микроядерной операционной системы Genode OS Framework сформировали третий тестовый выпуск операционной системы Sculpt. В рамках проекта Sculpt на базе технологий Genode развивается операционная система общего назначения, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Для загрузки предлагается LiveUSB-образ, размером 23 Мб. Поддерживается работа на системах с процессорами и графической подсистемой Intel. Третий выпуск получил название «Visual Composition», которое отражает поставку доработанного графического интерфейса Leitzentrale, позволяющего выполнять типовые задачи по администрированию системы. В любой момент пользователь может переключиться в консольный режим управления, который пока предоставляет большую гибкость в управлении. В … Читать далее Проект Genode опубликовал третий тестовый выпуск ОС общего назначения Sculpt

Мэттью Грин (Matthew Green), инициатор аудита OpenVPN и TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass, попытался привлечь внимание общественности к возможным проблемам с приватностью после внедрение в Chrome нового алгоритма подключения к учётной записи. Начиная с Chrome 69 компания Google унифицировала использование учётной записи в системе синхронизации браузера и на сайтах Google. Например, если пользователь подключился к Gmail или YouTube, то Chrome автоматически привяжется к этой учётной записи, хочет того пользователь или нет. Проблема состоит в том, что подключение браузера к учётной записи используется для организации синхронизации между разными экземплярами браузера … Читать далее В Chrome появилось автоподключение к учётной записи. Чистка Chromium от привязок к Google

Подготовлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.3. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, дает возможность работы с многотрековыми монтажными шкалами с возможностью перемещения … Читать далее Выпуск свободных видеоредакторов OpenShot 2.4.3 и Shotcut 18.09

Стартап Whitewater Foundry подготовил дистрибутив WLinux, оптимизированный специально для подсистемы WSL (Windows Subsystem for Linux) и рассчитанный использование только в окружении Windows. В дистрибутиве используется пакетная база Debian и установщик WSL-DistroLauncher, подготовленный Microsoft для запуска в WSL произвольных дистрибутивов Linux. Наработки проекта свободно распространяются под лицензией MIT, но готовое сборки доступны только через магазин Microsoft Store на платной основе. Авторы проекта обещают оперативно исправлять специфичные для Windows проблемы, связанные с работой в WSL. В отличие от уже существующих сборок Debian для WSL, в WLinux не используется системный менеджер systemd и включены некоторые дополнительные изменения и оптимизации для улучшения работы в … Читать далее Проект WLinux развивает Linux-дистрибутив, нацеленный на использование в Windows

В сети выявлена автоматизированная массовая атака, поражающая сайты на базе системы управления контентом WordPress, которая используется примерно на 30% из десяти миллионов крупнейших сайтов. В ходе атаки поражаются сайты с необновлённым движком, при этом в ходе вредоносной активности эксплуатируются различные ранее исправленные уязвимости, как в самом движке WordPress, так и в плагинах к нему. В ходе атаки в JavaScript-файлы c разрешением .js, в php-файлы с темами и плагинами WordPress, а также в записи из таблицы wp_posts в БД WordPress осуществляется подстановка вредоносной вставки. Код подставляется как в открытом виде, так и форме вызова «eval(String.fromCharCode(….))» с хаотичным набором цифр. При выполнении … Читать далее Зафиксирована массовая атака на сайты с необновлённым движком WordPress

Подготовлен корректирующий выпуск Firefox 62.0.2, в котором исправлено несколько ошибок и устранена уязвимость (CVE-2018-12385), сопособная привести к краху при обработке определённым образом оформленных данных в локальном кэше. Среди исправленных ошибок: Решены проблемы с отображением некоторых сайтов, включая очень долгую отрисовку Google Maps (из-за ошибки в Firefox карта прорисовывалась 25 секунд вместо 5 в Chrome); Возобновлена совместимость с сайтами, использующими устаревшие настройки TLS (возвращена поддержка TLS_DHE_RSA_WITH_AES_256_CBC_SHA); Исправлена ошибка, приводившая к игнорированию ранее не открытых закладок при автодополнении ввода в адресной строке; Решены проблемы с рендерингом WebGL (не отрисовывались полигоны); Устранена неработоспособность браузера после перезапуска в случае обновления языкового пакета при открытом … Читать далее Обновление Firefox 62.0.2

Сформировано обновление сборок дистрибуитва Solus 3, не основанного на пакетах других дистрибутивов и развивающего собственный рабочий стол Budgie, установщик, пакетный менеджер и конфигуратор. Код наработок проекта распространяется под лицензией GPLv2, для разработки используются языки Си и Vala. Дополнительно предоставляются сборки с рабочими столами GNOME и MATE. Размер iso-образов 1.5 Гб (x86_64). В новом выпуске: Добавлена поддержка нового оборудования и обновлены версии пакетов, в том числе ядро Linux 4.18.5, Firefox 62, LibreOffice 6.1.0.3, Rhythmbox 3.4.2 и Thunderbird 60. В сборках с рабочими столами Budgie и GNOME по умолчанию задействован мультимединый проигрыватель GNOME MPV 0.14, в сборке с рабочим столом MATE предложен … Читать далее Обновление дистрибутива Solus, развивающего рабочий стол Budgie

Mozilla начала распространение системного дополнения «Telemetry coverage«, которое обеспечивает сбор данных о числе пользователей, отключивших в настройках отправку телеметрии. Дополнение активировано примерно у 1% пользователей Firefox и отправляет сведения даже при отключении в настройках отправки статистики и отказе от участия в исследованиях Mozilla. Дополнение активируется без спроса пользователя и без предварительного публичного информирования сообщества о проведении эксперимента. Сведения отправляются на хост https://telemetry-coverage.mozilla.org и включают информацию о версии браузера, операционной системе и состоянии настроек отправки телеметрии. В составе блока данных не передаётся UUID-идентификатор системы пользователя, но в качестве идентификатора может использоваться IP-адрес с которого отправляются данные. Для отключения дополнения в about:config … Читать далее В Firefox добавлено системное дополнение, передающее данные о выключении телеметрии

Представлен релиз дисплейного сервера Mir 1.0, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10 (PPA) и Fedora 27/28/29. В новой версии основное внимание уделено стабилизации средств для запуска Wayland-приложений в окружении Mir, используя Mir в качестве композитного сервера для Wayland. Любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2), будут работать и в Mir. Стабилизирована поддержка Wayland-расширения xdg-shell с реализацией протокола, определяющего общие для … Читать далее Доступен дисплейный сервер Mir 1.0

Доступен релиз web-браузера Pale Moon 28.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как … Читать далее Выпуск браузера Pale Moon 28.1

Опубликованы корректирующие выпуски пакета Bitcoin Core 0.14.3, 0.15.2 и 0.16.3, а также ответвления Bitcoin Knots 0.16.3, в которых устранена удалённая DoS-уязвимость (CVE-2018-17144), способная вызвать крах Bitcoin-клиентов bitcoind и Bitcoin-Qt (дополнение: при подготовке исправления в ветках 0.15 и 0.16 всплыла критическая инфляционная уязвимость, которая может привести к двойной трате средств). Проблема возникает при обработке полученного от майнера блока, включающего транзакцию, которая пытается дважды провести одни и те же входные данные. Эксплуатация уязвимости достаточно затратна, так как приводящие к краху блоки являются некорректными и могут быть созданы только майнером, готовым пожертвовать доходом от создания блока как минимум на сумму 12.5 BTC (около … Читать далее Критическая уязвимость в Bitcoin Core

О публикован выпуск сервера приложений NGINX Unit 1.4, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. Основные изменения: Добавлена поддержка TLS для шифрования клиентских соединений; Добавлен API для управления хранением TLS-сертификатов; Реализована библиотека libunit для интеграции в приложения модулей поддержки языков программирования; … Читать далее Выпуск сервера приложений NGINX Unit 1.4

Опубликованы корректирующие выпуски пакета Bitcoin Core 0.14.3, 0.15.2 и 0.16.3, а также ответвления Bitcoin Knots 0.16.3, в которых устранена удалённая DoS-уязвимость (CVE-2018-17144), способная вызвать крах Bitcoin-клиентов bitcoind и Bitcoin-Qt. Проблема возникает при обработке полученного от майнера блока, включающего транзакцию, которая пытается дважды провести одни и те же входные данные. Эксплуатация уязвимости достаточно затратна, так как приводящие к краху блоки являются некорректными и могут быть созданы только майнером, готовым пожертвовать доходом от создания блока как минимум на сумму 12.5 BTC (около 80 тысяч долларов). Потенциально указанная уязвимость может быть использована для организации масштабной атаки на криптовалюты (например, уязвимость проявляется в Litecoin … Читать далее Уязвимость в Bitcoin Core, приводящая к краху процесса bitcoind

Для обсуждения в списке рассылки разработчиков ядра Linux предложен набор патчей с реализацией пространства имён для времени. После завершения разработки обсуждаемый механизм позволит раздельно управлять временем в каждом контейнере, давая возможность выставлять своё дату/время, синхронизировать время независимо от базового окружения и корректно возобновлять показания таймеров при восстановления контейнера после заморозки. В текущем виде ядро Linux предоставляет общие счётчики всех видов времени для контейнеров, что создаёт трудности при миграции контейнеров между узлами и восстановлении после заморозки их состояния. При восстановлении остановленного на какое-то время контейнера важно не столько изменение показания календарного времени (CLOCK_REALTIME), сколько правильность восстановления значений монотонных часов (CLOCK_MONOTONIC) и … Читать далее Для ядра Linux предложен механизм раздельного учёта времени в контейнерах

Компания Oracle завершила процесс передачи организации Eclipse Foundation открытого сервера приложений GlassFish c эталонной реализацией спецификации Java EE. Передача осуществлена в рамках инициативы по передаче разработки и управления проектом Java EE (Java Platform Enterprise Edition) независимому сообществу. Код GlassFish перемещён в репозиторий Eclipse и теперь будет развиваться в составе проекта Eclipse EE4J (Jakarta EE) под именем Eclipse GlassFish. Получив контроль за эталонной реализацией Java EE организация Eclipse Foundation приступила к подготовке платформы Jakarta EE для приёма изменений от представителей сообщества. Из пока не перенесённых проектов остаётся фреймворк Krazo с реализацией Model View Controller API. Статус миграции остальных компонентов Java EE: … Читать далее Oracle передал код GlassFish организации Eclipse Foundation

В выпускаемых компанией Western Digital сетевых хранилищах My Cloud выявлена уязвимость (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации. Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, установив Cookie «username=admin», и система предоставляла доступ с правами администратора не запрашивая пароль входа. Для генерации сессионного ключа для продолжения сеанса и обращения к другим скриптам с правами администратора можно отправить POST-запрос «cmd=cgi_get_ipv6flag=1». Успешная атака позволяет полностью контролировать настройки устройства, а также читать, модифицировать и удалять любые данные в хранилище. Компания Western Digital была информирована о проблеме ещё в апреле, но до сих пор не выпустила обновления. … Читать далее Уязвимость в сетевых хранилищах WD MyCloud, позволяющая получить доступ без аутентификации

Компания Mozilla опубликовала первый выпуск Firefox Reality, специализированного браузера для систем виртуальной реальности. Предложенный браузер предоставляет трёхмерный интерфейс пользователя для навигации по сайтам внутри виртуального мира или в составе систем дополненной реальности. Браузер оформлен в виде приложения для платформы Android и требуется для сборки Android NDK r17b. Поддерживается использование 3D-шлемов Samsung Gear VR, Oculus Go, Qualcomm ODG, VIVE Focus, Google Daydream. Для тестирования без 3D-шлема браузер может быть запущен на обычном смартфоне на базе Android. Сборки Firefox Reality размещены в каталогах приложений Oculus, Daydream и Viveport. Кроме предназначенного для управления через 3D-шлем интерфейса, позволяющего просматривать традиционные двумерные страницы, браузер предлагает … Читать далее Представлен первый выпуск Firefox для устройств виртуальной реальности

В подсистеме vmacache ядра Linux обнаружена уязвимость (CVE-2018-17182), которая потенциально может быть использована для создания эксплоита для повышения привилегий локального пользователя в системе. Уязвимость вызвана отсутствием проверки переполнения 32-разрядного номера последовательности, что можно использовать для обращения к уже освобождённому блоку памяти (use-after-free). Проблема присуствует в ядрах с 3.16 по 4.18.8. Исправление пока доступно в виде патча. Обновления пакетов для дистрибутивов ещё не сформированы (Debian, Ubuntu, RHEL, SUSE, Fedora). Также можно отметить оперативное выявление в ядре Linux уязвимости (CVE-2018-14641) в коде для обработки фрагментированных IPv4 пакетов. Уязвимость позволяет удалённо вызвать крах ядра при обработке специально оформленных фрагментированных пакетов. Проблема не вышла … Читать далее Уязвимость в ядре Linux, потенциально позволяющая поднять привилегии

После шести месяцев разработки сформирован релиз проекта LLVM 7.0 (Low Level Virtual Machine) — GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Из новых возможностей LLVM 7.0 отмечается возможность мультиверсионирования функций в Clang, улучшение поддержки предкомпилированных заголовков PCH в clang-cl, предварительная поддержка формата отладочной информации DWARF v5, начальная поддержка NVIDIA PTX для ускорения вычислений в OpenMP 4.5, поддержка OpenCL C++, поддержка MSan, X-Ray и libFuzzer во FreeBSD, начальная поддержка UBSan, … Читать далее Релиз набора компиляторов LLVM 7.0

Компания Canonical предупредила о скором истечении пятилетнего срока выпуска обновлений для Ubuntu 14.04 LTS. Начиная с 30 апреля 2019 года официальная публичная поддержка дистрибутива Ubuntu 14.04 будет прекращена, но для пользователей, которые не успевают перевести свои системы на Ubuntu 16.04 или 18.04, предложена программа ESM (Extended Security Maintenance), в рамках которой будет продолжена публикация обновлений с устранением уязвимостей для ядра и наиболее важных системных пакетов. Доступ к этим обновлениям будет ограничен только для пользователей платной подписки на услуги технической поддержки. Источник. Читать далее Компания Canonical продлевает поддержку Ubuntu 14.04 для платных подписчиков