Разработчики Ubuntu сообщили о намерении отказаться от поставки deb-пакетов с браузером Chromium в пользу распространения самодостаточных образов в формате snap. Начиная с выпуска Chromium 60 пользователям уже предоставлена возможность установки Chromium как из штатного репозитория, так и в формате snap. В Ubuntu 19.10 поставка Chromium будет ограничена только форматом snap. Для пользователей прошлых веток Ubuntu какое-то время будет продолжена поставка deb-пакетов, но в конечном счёте и для них будут оставлены только пакеты snap. Для пользователей deb-пакетов с Chromium будет предоставлен прозрачный процесс перехода на snap через публикацию финального обновления, которое установит snap-пакет и перенесёт текущие настройки из каталога $HOME/.config/chromium. Источник: … Читать далее Ubuntu будет поставлять Chromium только в виде snap-пакета

Разработчики Mozilla отключили в ночных сборках Firefox возможность воспроизведение Flash-контента по умолчанию. Начиная с Firefox 69, намеченного на 3 сентября, нз настроек плагина Adobe Flash Player будет убрана опция для постоянной активации Flash и оставлены только возможности отключения Flash и индивидуального включения для конкретных сайтов (активация явным кликом) без запоминания выбранного режима. В ESR-ветках Firefox поддержка Flash сохранится до конца 2020 года. Аналогичное решение по прекращению поддержки Flash ране было принято компанией Google и будет воплощено в Chrome 76. Поэтапное прекращение поддержки Flash производится в соответствии с ранее озвученным компанией Adobe планом прекращения сопровождения технологии Flash в 2020 году. Flash … Читать далее В Firefox 69 будет по умолчанию отключен Flash

Опубликован релиз сборочной системы Meson 0.51, которая используется для сборки таких проектов, как X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME и GTK+. Код Meson написан на языке Python и поставляется под лицензией Apache 2.0. Ключевой целью развития Meson является обеспечение высокой скорости сборочного процесса в сочетании с удобством и простотой использования. Вместо утилиты make при сборке по умолчанию применяется инструментарий Ninja, но возможно применение и других бэкендов, таких как xcode и VisualStudio. В систему встроен многоплатформенный обработчик зависимостей, позволяющий использовать Meson для сборки пакетов для дистрибутивов. Правила сборки задаются на упрощённом предметно-ориентированном языке, отличаются хорошей читаемостью и понятны пользователю … Читать далее Выпуск сборочной системы Meson 0.51

Представлен релиз пользовательского дистрибутива PCLinuxOS 2019.06. Дистрибутив был основан в 2003 году на базе Mandriva Linux, но позднее ответвился в самостоятельный проект. Пик популярности PCLinuxOS пришёлся на 2010 год, в котором, по результатам опроса читателей журнала Linux Journal, PCLinuxOS уступал по популярности лишь Ubuntu (в рейтинге 2013 года PCLinuxOS уже занимал 10 место). Дистрибутив нацелен на использование в Live-режиме, но поддерживает и установку на жесткий диск. Для загрузки подготовлены полный (1.8 Гб) и сокращённый (916 Мб) варианты дистрибутива на базе десктоп-окружения KDE. Отдельно сообществом развиваются сборки на базе рабочих столов Xfce, MATE, LXQt, LXDE и Trinity. PCLinuxOS отличается задействованием инструментария … Читать далее Выпуск Linux-дистрибутива PCLinuxOS 2019.06

Спустя почти три года с момента формирования прошлой значительной ветки состоялся релиз дистрибутива OpenMandriva Lx 4.0. Проект развивается силами сообщества после того как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации «OpenMandriva Association». Для загрузки предлагается Live-сборка размером 2.6 Гб (x86_64 и сборка «znver1», оптимизированная для процессоров AMD Ryzen, ThreadRipper и EPYC). Выпуск OpenMandriva Lx 4 примечателен переходом на пакетный менеджер RPMv4, консольный инструментарий DNF и графический интерфейс управления пакетами Dnfdragora. Ранее проектом использовалась отдельно развиваемая ветка RPMv5, инструментарий urpmi и GUI rpmdrake. RPMv4 поддерживается компанией Red Hat и используется в таких дистрибутивах, как Fedora, RHEL, openSUSE и … Читать далее Релиз дистрибутива OpenMandriva Lx 4

После более года разработки состоялся релиз Linux-дистрибутива Kwort 4.3.4, основанного на наработках проекта CRUX и предлагающего минималистичное пользовательское окружение на основе оконного менеджера Openbox. От CRUX дистрибутив отличается использованием собственного пакетного менеджера kpkg, позволяющего устанавливать бинарные пакеты из развиваемого проектом репозитория. Kwort также развивает собственный набор GUI приложений для настройки (Kwort user manager для управления пользователями, Kwort network manager для настройки сети). Размер iso-образа 875 Мб. Новый выпуск примечателен включением в состав звукового сервера PulseAudio и Bluetooth-стека bluez5. Обновлены версии пакетов, включая ядро Linux 4.19.46, glibc 2.28, gcc 8.3.0, binutils 2.32, kpkg 130, Chrome: 75, Firefox 67.0.2, Brave 0.68.50. Пакет … Читать далее Выпуск дистрибутива Kwort 4.3.4

Представлен новый выпуск пакета для обработки и преобразования изображений GraphicsMagick 1.3.32, в котором устранены 52 потенциальные уязвимости, выявленные в ходе fuzzing-тестирования проектом OSS-Fuzz. Всего с февраля 2018 года при помощи OSS-Fuzz было выявилено 343 проблемы, из которых 331 уже устранена в GraphicsMagick. Отдельно отмечается, что OSS-Fuzz также используется для проверки смежного проекта ImageMagick, в котором в настоящее время остаются неустранёнными более 100 проблем, информация о которых уже доступна публично после истечения времени на исправлением. Кроме потенциальных проблем, выявленных проектом OSS-Fuzz, в GraphicsMagick 1.3.32 также устранено более 10 уязвимостей, которые могут привести к переполнению буфера при обработке специально оформленных изображений в … Читать далее Обновление GraphicsMagick 1.3.32 с устранением уязвимостей

Состоялся релиз классической системы инициализации sysvinit 2.95, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart, а теперь продолжает использоваться в дистрибутиве Devuan. Одновременно сформированы выпуски применяемых в связке с sysvinit утилит insserv 1.20.0 и startpar 0.63. Утилита insserv предназначена для организации процесса загрузки с учётом зависимостей между init-скриптами, а startpar применяется для обеспечения параллельного запуска нескольких скриптов в процессе загрузки системы. В новом выпуске: В утилите «pidof» прекращена поддержка настройки форматирования вывода и удалён флаг «-f», так как связанный с форматированием код вызывал проблемы с безопасностью и потенциальные ошибки при работе с памятью. При необходимости изменения … Читать далее Выпуск системы инициализации sysvinit 2.95

В Firefox 68 одобрено включение по умолчанию нового менеджера дополнений (about:addons), полностью переписаного с использованием HTML/JavaScript и стандартных web-технологий. Новый интерфейс для управления дополнениями подготовлен в рамках инициативы по избавлению браузера от компонентов на базе XUL. В разработке также находится переписанный на HTML вариант страницы about:config. В новом интерфейсе отдельные кнопки управления активацией дополнений заменены на контекстное меню. Для каждого дополнения обеспечена возможность просмотра полного описания, изменения настроек и управления правами доступа, не покидая основную страницу со списком дополнений. Для оценки работы нового интерфейса не дожидаясь Firefox 68 в about:config можно включить опцию extensions.htmlaboutaddons.enabled». Было: Стало: Источник: http://www.opennet.ru/opennews/art.shtml?num=50873 Читать далее В Firefox 68 появится новый менеджер дополнений

Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой методов атак MDS, NetSpectre и Throwhammer, раскрыла сведения о новой технике анализа по сторонним каналам, позволяющей определить точную версию браузера, используемую операционную систему, архитектуру CPU и применение дополнений для борьбы со скрытой идентификацией. Для определения указанных параметров достаточно выполнения в браузере подготовленного исследователями JavaScript кода. На практике метод может применяться не только в качестве дополнительного источника для косвенной идентификации пользователя, но и для определения параметров системного окружения для целевого применения эксплоитов с учётом ОС, архитектуры и браузера. Метод эффективен в том числе при применении браузеров с реализацией механизмов блокировки скрытой … Читать далее Представлена новая техника скрытой идентификации системы и браузера

Исследователи безопасности из компании Cybereason предупредили администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют. В соответствии с июньским автоматизированным опросом доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail — 4.05% (4.59%), Microsoft Exchange — 0.57% (0.85%). По данным сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн … Читать далее Массовая атака на уязвимые почтовые серверы на основе Exim

Разработчики браузера Chrome попытались обосновать прекращение поддержки блокирующего режима работы API webRequest, позволяющего менять принимаемый контент на лету и активно применяемого в дополнениях для блокирования рекламы, защиты от вредоносного ПО, фишинга, шпионящей за пользователями активности, родительского контроля и обеспечения приватности. Мотивы Google: Блокирующий режим работы API webRequest приводит к большому потреблению ресурсов. При использовании данного API браузер вначале отправляет дополнению все содержащиеся в сетевом запросе данные, дополнение анализирует их и возвращает для дальнейшей обработки в браузере изменённый вариант или выдаёт инструкции по блокировке. При этом основные задержки возникают не на стадии обработки трафика дополнением, а из-за накладных расходов на координацию … Читать далее Google обосновал ограничение API webRequest, используемого блокировщиками рекламы

Издание Коммерсантъ сообщило о планах компании Mobile Inform Group в сентябре выпустить в продажу смартфоны и планшеты, оснащённые операционной системой Astra Linux и относящиеся к классу промышленных устройств, предназначенных для работы в суровых условиях. Никаких подробностей о программной начинке пока не сообщается, кроме её сертификации в Минобороны, ФСТЭК и ФСБ для обработки информации до степени секретности «особой важности». Astra Linux для настольных систем является сборкой дистрибутива Debian. Непонятно, будет ли версия для смартфонов основана на окружении Debian с адаптированной для небольших сенсорных экранов оболочкой Fly или под брендом Astra Linux будет преложена пересборка платформ Android, Tizen или webOS. Оболочка Fly … Читать далее Готовится версия Astra Linux для смартфонов

Компания Microsoft объявила о формировании новых экспериментальных сборок Windows Insider (build 18917), в состав которых включена ранее анонсированная прослойка WSL2 (Windows Subsystem for Linux), обеспечивающая запуск исполняемых файлов Linux в Windows. Вторая редакция WSL отличается поставкой полноценного ядра Linux, вместо эмулятора на лету транслирующего системные вызовы Linux в системные вызовы Windows. Использование штатного ядра позволяет добиться полной совместимости c Linux на уровне системных вызовов и обеспечить возможность бесшовного запуска в Windows контейнеров Docker, а также реализовать поддержку файловых систем на базе механизма FUSE. По сравнению с WSL1 в WSL2 существенно увеличена производительность ввода/вывода и операций с файловой системой. Например, при … Читать далее Опубликованы сборки Windows Insider с подсистемой WSL2 (Windows Subsystem for Linux)

Европейский Центр ядерных исследований (CERN) представил проект MAlt (Microsoft Alternatives), в рамках которого ведётся работа по уходу от применения продуктов Microsoft в пользу альтернативных решений на основе открытого ПО. Из ближайших планов отмечена замена «Skype for Business» на решение на базе открытого стека VoIP и запуск локального почтового сервиса для ухода от использования Outlook. Окончательный выбор открытых альтернатив пока не завершён, миграцию планируется завершить в течение следующих нескольких лет. Среди основных требований к новому ПО называется отсутствие привязки к вендору, полный контроль за своими данными и применение типовых решений. Подробности о проекте планируется огласить 10 сентября. Решение по переходу на … Читать далее CERN отказывается от продуктов Microsoft в пользу открытого ПО

Представлен выпуск графического редактора GIMP 2.10.12, в котором продолжено оттачивание функциональности и повышение стабильности ветки 2.10. Кроме исправления ошибок в GIMP 2.10.12 представлены следующие улучшения: Значительно улучшен инструмент цветокоррекции при помощи кривых (Цвет / Кривые), а также другие компоненты, в которых для задания параметров используется корректировка кривых (например, при задании динамики раскрашивания и настройке устройств ввода). При перемещении существующей опорной точки, она теперь не перескакивает сразу в позицию курсора в момент нажатия кнопки, а смещается относительно текущей позиции при перемещении курсора при удерживании нажатой кнопки мыши. Данное поведение позволяет быстро выбирать точки кликом без их смещения и затем уже корректировать … Читать далее Выпуск графического редактора GIMP 2.10.12

После перехода CentOS под крыло компании Red Hat анонсировалась всяческая помощь проекту, но текущий статус работы над CentOS 8 отстаёт от плана. Несмотря на то, что заявленные обновления статуса, сделаны только страница загрузки и сборочный сервер, на котором, судя по статистке koji, что-то собирается раз в неделю. До сих пор не закончен нулевой сборочный цикл — хотя по плану он должен был завершиться еще в мае. На нулевом цикле формируется набор пакетов, минимально необходимый для дальнейшей сборки других пакетов. Затем этот набор постепенно расширяется в рамках последующих сборочных циклов. Сборки ядра пока выполняются без исправлений уязвимостей MDS (Microarchitectural Data Sampling), … Читать далее Подготовка CentOS 8 отстаёт от графика

В текстовых редакторах Vim и Neovim найдена уязвимость (CVE-2019-12735), позволяющая выполнить произвольный код при открытии специально оформленного файла. Проблема проявляется при активности включенного по умолчанию режима modeline («:set modeline»), который позволяет определить в обрабатываемом файле опции редактирования. Уязвимость устранена в выпусках Vim 8.1.1365 и Neovim 0.3.6. Через modeline допускается установка только ограниченного числа опций. Если в качестве значения опции указывается выражение, то оно выполняется в режиме sandbox, допускающем применение только простейших безопасных операций. При этом в число допустимых входит команда «:source», в которой можно использовать модификатор «!» для запуска произвольных команд из указанного файла. Таким образом для выполнения кода достаточно … Читать далее Уязвимость в Vim, приводящая к выполнению кода при открытии вредоносного файла

В движке для создания web-форумов MyBB выявлено несколько уязвимостей, позволяющих организовать многоступенчатую атаку для выполнения произвольного PHP-кода на сервере. Проблемы устранены в выпуске MyBB 1.8.21. Первая уязвимость присутствует в модулях публикации и отправки приватных сообщений, и позволяет осуществить подстановку JavaScript-кода (XSS), который будет выполнен в браузере при просмотре публикации или полученного сообщения. Подстановка JavaScript возможна из-за некорректного преобразования в HTML вложенных BBCode. В частности, тег » и она при обработке BBCode «» будет преобразована в тег ‹iframe src=»youtube.com/xyz[url]http://onload=evilCode()[/url]»›‹/iframe› , а после обработки остальных BBCode в ‹iframe src=»youtube.com/xyz‹a href=»http://onload=evilCode()»›..»›‹/iframe› Соответственно двойная кавычка в ‘href=»‘ закрывает атрибут «src» и onLoad обрабатывается в … Читать далее Уязвимости в MyBB, позволяющие захватить контроль над форумом

Представлен первый стабильный релиз протокола для организации децентрализованных коммуникаций Matrix 1.0 и связанных с ним библиотек, API (Server-Server) и спецификаций. Сообщается, что не все задуманные возможности Matrix описаны и реализованы, но основной протокол полностью стабилизирован и достиг состояния, пригодного для использования в качестве основы для разработки независимых реализаций клиентов, серверов, ботов и шлюзов. Наработки проекта распространяются под лицензией Apache 2.0. Одновременно, опубликован сервер для обмена сообщениями Synapse 1.0.0 с эталонной реализацией протокола Matrix 1.0. Отмечается, что основное внимание при подготовке Synapse 1.0 было уделено корректности реализации протокола, безопасности и надёжности. Synapse теперь вышел из стадии бета-тестирования и готов для повсеместного … Читать далее Выпуск децентрализованной коммуникационной платформы Matrix 1.0

После года разработки подготовлен релиз независимого легковесного Linux-дистрибутива CRUX 3.5, развиваемого с 2001 года в соответствии с концепцией KISS (Keep It Simple, Stupid) и ориентированного на опытных пользователей. Целью проекта является создание простого и прозрачного для пользователей дистрибутива, основанного на BSD-подобных скриптах инициализации, имеющего максимально упрощённую структуру и содержащего относительно небольшое число готовых бинарных пакетов. CRUX поддерживает систему портов, позволяющую легко устанавливать и обновлять приложения в стиле FreeBSD/Gentoo. Размер iso-образа, подготовленного для архитектуры x86-64, составляет 644 Мб. В новом выпуске в основной состав включён пакет Linux-PAM и обеспечено использование механизма PAM (Pluggable Authentication Modules) для организации аутентификации в системе. Использование … Читать далее Выпуск Linux-дистрибутива CRUX 3.5