На состоявшемся вчера заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, были приняты решения, касающиеся ряда новшеств, предложенных для реализации в Fedora 19. В частности, было утверждено предложение по замене MySQL на СУБД MariaDB, которая будет предлагаться по умолчанию при желании установить пакет с MySQL, при этом пакеты с MySQL пока останутся доступны в качестве дополнительной опции. Вторым интересным изменением, одобренным для включения в Fedora 19, является поддержка средств для манипуляции snapshot-ами приложений в пространстве пользователя с использованием системы CRIU и инструментария CRtools, развиваемых отечественной компанией Parallels. Указанный инструментарий позволяет организовать заморозку состояния … Читать далее В Fedora 19 одобрена замена MySQL на MariaDB и поддержка CRIU, но не принят переход на Btrfs

Спустя чуть больше месяца с момента стабильного релиза пользовательского окружения Enlightenment 17 (E17), представлен первый корректирующий выпуск. Указанный выпуск содержит только исправления ошибок. Одновременно доступен для тестирования предварительный выпуск Enlightenment 18 (E18), содержащий ряд нововведений, среди которых: Новые модули: conf2; music-control (управление mpris2-совместимым портативным плеером); appmenu (глобальное меню, показываемое вне окна приложения); bluez4 (управление демоном bluetoothd) conf_comp (диалог настройки композитного менеджера); Новые элементы API: API для работы с меню через D-Bus; D-Bus-интерфейс для отправки уведомлений в модуль системного лотка; функции для скрытия всех активных меню; API для извлечения параметров из файлов .desktop; Конфигурация: опция для отключения пиктограмм в меню; управление … Читать далее Корректирующий релиз пользовательского окружения Enlightenment E17.1 и первый снапшот E18

Представлены корректирующие выпуски СУБД MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67, в рамках которой развивается ответвление от MySQL, которое может выступать в роли прозрачной замены MySQL. Кроме исправления большой порции ошибок, в новых выпусках устранено 6 уязвимостей, из которых одна может привести к организации выполнения кода на сервере. Уязвимость является вариантом ранее исправленной проблемы безопасности CVE-2012-5611, выявленной после публикации в списке рассылки Full Disclosure серии zero-day эксплоитов. Что касается других проблем, то уязвимости CVE-2012-5627, CVE-2012-5615 можно рассматривать как неопасные, так как первая проблема связана с возможностью быстрого подбора паролей для аккаунта в MySQL, а вторая позволяет определить наличия пользователя с заданным … Читать далее Обновление MariaDB 5.5.29, 5.3.12, 5.2.14 и 5.1.67 с устранением уязвимостей

После года разработки анонсирован выход релиза проекта IcedTea6 1.12.0, полностью открытой реализации Java SE 6, построенной на базе OpenJDK6 и виртуальной машины HotSpot, с использованием свободных средств сборки, интеграцией компилятора gcj (GNU Compiler for Java), реализацией некоторых дополнительных возможностей, таких как звуковой драйвер для работы через PulseAudio, поддержка использования альтернативных виртуальных машин, 64-разрядный браузерный плагин IcedTea-Web с поддержкой LiveConnect и Java Web Start, поддержка дополнительных платформ. В новой версии интегрированы все исправления, доступные в OpenJDK6 b27 и бэкпортированы некоторые изменения из OpenJDK7, улучшена поддержка SystemTap, в JamVM внесены изменения для поддержки дистрибутива Raspbian (Raspberry Pi), улучшена работа виртуальной машины CACAO. … Читать далее Релиз свободного Java-пакета IcedTea6 1.12.0

Доступен релиз системы нелинейного видеомонтажа Kdenlive 0.9.4. Редактор предназначен для полупрофессионального использования, поддерживает работу с видеозаписями в форматах DV, HDV и AVCHD, и предоставляет все базовые операции по редактированию видео, например, позволяет используя шкалу времени произвольно смешивать видео, звук и изображения, а также применять многочисленные эффекты. При работе программы используются такие внешние компоненты, как FFmpeg, фреймворк MLT и система оформления эффектов Frei0r. Благодаря использованию FFmpeg поддерживается большое число форматов и кодеков, как обычных Mpeg2, mp4, h264, SNOW lossless, Ogg vorbis, так и профессиональных XDCAM-HD, IMX (D10), DVCAM (D10), DVCAM, DVCPRO, DVCPRO50. Основные новшества: Добавлена возможность разбора клипов для выявления различных … Читать далее Релиз системы нелинейного видеомонтажа Kdenlive 0.9.4

Разработчики из компании Google интегрировали в кодовую базу проекта CoreBoot, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS, наработки проекта PIANO, нацеленного на интеграцию в CoreBoot поддержки загрузки UEFI-стека на основе TianoCore. TianoCore представляет собой открытую реализацию UEFI, разрабатываемую компанией Intel, но не содержащую компонентов для инициализации оборудования. Интеграция кода поддержки оборудования Coreboot с TianoCore позволяет предоставить открытое UEFI-окружение, готовое для использования на реальном оборудовании. Сам по себе CoreBoot является лишь минимальной прослойкой для инициализации материнской платы и периферийных устройств. После инициализации управление передаётся на один из поддерживаемых обработчиков (payload), в роли которого в случае UEFI выступает TianoCore. … Читать далее В CoreBoot добавлена реализация открытой UEFI-прошивки на базе TianoCore

Компания Microsoft объявила о полной интеграции поддержки свободной децентрализованной системы управления исходными текстами Git в продукт Visual Studio и систему управления жизненным циклом разработки ПО Team Foundation, в дополнение к ранее предлагаемой системе управления версиями TFVC (Team Foundation Version Control). Поддержка Git и TFVC будет осуществляться наравне, при этом Git позиционируется как средство для организации децентрализованной разработки, а TFVC для работы с централизованными репозиториями. Для упрощения миграции проектов с TFVC на Git, а также для организации совместного использования обеих систем, представлен инструментарий Git-TF. Поддержка Git для Visual Studio 2012 оформлена в виде плагина, в будущих версиях Visual Studio и Team … Читать далее Компания Microsoft добавила в Visual Studio и Team Foundation Service поддержку Git

Вышел релиз свободного X.Org-драйвера xf86-video-ati 7.1.0. Наиболее важным изменением является включение 2D-акселерации с использованием архитектуры GLAMOR для видеокарт AMD семейства HD7000 (Southern Islands). Из других изменений можно отметить прекращении поддержки старых версий X Server (для работы драйвера требуется X Server 1.7 или более новая версия) и добавление поддержки PCI-идентификаторов новых карт HD7000. Особенностью архитектуры 2D-акселерации GLAMOR является использование OpenGL для ускорения 2D-операций. В отличие от SNA и UXA, GLAMOR перекладывает выполнение всех операций рендеринга на плечи внешней библиотеки, которая использует стандартные функции OpenGL и шейдеры для вывода 2D-графики, а также, когда это возможно, пытается задействовать текстуры для представления пиксельных карт … Читать далее Релиз свободного видеодрайвера xf86-video-ati 7.1.0

Представлены корректирующие выпуски Samba 4.0.2, 3.6.12 и 3.5.21, устраняющие две уязвимости в web-интерфейсе SWAT: CVE-2013-0213: возможность инициирования выполнения скрытых действий в web-интерфейсе через встраивание при помощи iframe страницы интерфейса SWAT в страницы подконтрольных злоумышленнику сайтов, перекрывая невидимым слоем другой контент (Clickjacking). При клике на таких страницах администратор может невольно вызвать требуемое злоумышленнику действие в SWAT, например, изменить настройки. CVE-2013-0214: потенциальная возможность XSRF-атаки (Cross-Site Request Forgery), позволяющей при открытии пользователем подконтрольной злоумышленнику страницы или ссылки, невольно выполнить управляющие действие в контексте web-интерфейса SWAT. Для совершения атаки злоумышленник должен знать пароль жертвы (смысл атаки в обходе ограничений доступа на уровне хостов). Читать далее Обновление Samba 4.0.2, 3.6.12 и 3.5.21 с устранением уязвимостей в SWAT

Представлен корректирующий релиз web-браузера Opera 12.13, доступный для платформ Linux, FreeBSD, Windows и Mac OS X. В новой версии исправлена порция ошибок и устранено 4 уязвимости. Две проблемы безопасности имеют статус опасных и две помечены как незначительные. Опасные уязвимости могут привести к выполнению кода злоумышленника при открытии страниц со специально оформленными SVG-изображениями или определённым образом манипулирующих DOM-элементами. Из не связанных с безопасностью исправлений можно отметить решение проблемы с начальной загрузкой страниц, если браузер был запущен без наличия сетевого соединения, а также устранение ошибки «internal communication error», выводимой на некоторых страницах Facebook. Для платформ Linux и Windows подготовлен новый обособленный скрипт … Читать далее Обновление браузера Opera 12.13 с устранением уязвимостей

Опубликована серия статей о возможностях и доступном ПО для реализации техники port knoсking, позволяющей инициировать на межсетевом экране временное открытие заданного сетевого порта, только после предварительного обращения к определённой последовательности портов (например, доступ к порту SSH может быть открыт для текущего хоста после попытки соединения к 1563, 1418 и 1275 портам). В статьях рассмотрены: Часть 1 — общие концепции «Port knocking» и пакет knockd (traditional port knocking, TPK); Часть 2 — Cerberus (авторизация с одноразовым паролем (OTP)), Sig^2 (двунаправленная система port knocking’a), Fwknop (Single Packet Authorization, SPA); Часть 3 — Tariq (гибридный port-knocking, HPK). Читать далее Обзор инструментов "Port knocking"

Организация Document Foundation выпустила корректирующий релиз офисного пакета LibreOffice 3.6.5, в котором представлены исправления 86 ошибок и обновлены файлы с переводами. Ветка LibreOffice 3.6.x позиционируется как стабильная и пригодная для внедрения на предприятиях и в организациях любого размера. Готовые установочные пакеты подготовлены для платформ Linux, Mac OS X и Windows. 6 февраля ожидается релиз LibreOffice 4.0, содержащий большую порцию как внутренних, так и внешних улучшений. Читать далее Корректирующий релиз офисного пакета LibreOffice 3.6.5

История с блокированием доступа к GitHub в Китае получила интересное продолжение. Спустя несколько дней после снятия блокировки некоторые пользователи обратили внимание на вывод браузером предупреждения об использовании нового SSL-сертификата при открытии сайта GitHub. Разбор причин показал, что вместо оригинального сертификата GitHub пользователю, в результате man-in-the-middle атаки, был передан фиктивный самоподписанный сертификат, не заверенный удостоверяющим центром. Целью организации подобной атаки являлась попытка перехвата трафика с GitHub. Изначально предпринятая попытка заблокировать доступ к GitHub привела к заметному недовольству со стороны разработчиков, GitHub оказался слишком важен для связанного с разработкой ПО бизнеса, чтобы просто его заблокировать. Выборочно блокировать доступ к отдельным страницам или … Читать далее В Китае зафиксированы случаи man-in-the-middle атаки против GitHub

На некоторых моделях ноутбуков Samsung проявилась очень неприятная для пользователей проблема — при попытке загрузки Linux с использование UEFI, данные ноутбуки становятся недоступными для дальнейшего использования. Все попытки загрузить на них какую-либо систему оказываются тщетны и единственным выходом из ситуации является обращение в сервисный центр. Проблема проявляется независимо от того, используется или нет режим UEFI Secure Boot. Из подверженных проблеме моделей отмечаются 300E5C, NP700Z5C, NP700Z7C, NP530U3C, NP900X4C и возможно некоторые другие модели. При попытке загрузить Linux с USB Flash с использованием UEFI система завивает после загрузки ядра Linux, после чего ноутбук отказываться загружать любые системы, а прошивка даже не выводит … Читать далее Загрузка Linux в режиме UEFI приводит к неработоспособности некоторых ноутбуков Samsung

Компания Google объявила об увеличении призового фонда соревнований по взлому браузера Chrome и операционной системы Chrome OS до 3.14159 млн долларов (сумма соответствует начальной последовательности цифр числа Пи). Параллельно с конкурсом Pwn2Own, который состоится 6-8 марта в рамках конференции CanSecWest в Ванкувере, компания Google дополнительно проведёт собственное мероприятие Pwnium 3. В Pwn2Own акцент будет сделан на взломе Chrome, а Pwnium 3 будет сфокусирован на Chrome OS. За демонстрацию взлома браузера Chrome, запущенного в Windows 7, в рамках соревнования Pwn2Own предусмотрено вознаграждение 100 тыс. долларов. За взлом браузера из состава Chrome OS или эксплуатации уязвимости на уровне системы Chrome OS, при … Читать далее Компания Google выделила 3 млн долларов на выплату вознаграждений за взлом Chrome и Chrome OS

Компания Tuxera опубликовала стабильный релиз свободного драйвера NTFS-3G 2013.1.13, работающего в пространстве пользователя с использованием механизма FUSE, а также комплекта утилит ntfsprogs 2013.1.13 для манипуляций с разделами NTFS. Код проекта распространяется в рамках лицензии GPLv2. Драйвер поддерживает чтение и запись данных в NTFS-разделах и может работать в широком спектре операционных систем, поддерживающих FUSE, в том числе в Linux, Android, Mac OS X, FreeBSD, NetBSD, OpenSolaris, QNX и Haiku. Предоставляемая драйвером реализация файловой системы NTFS, полностью совместима с операционными системами Windows XP, Windows Server 2003, Windows 2000, Windows Vista, Windows Server 2008 и Windows 7. Набор утилит ntfsprogs позволяет выполнять такие … Читать далее Стабильный релиз NTFS-3G и ntfsprogs 2013.1.13

Компания Intel опубликовала исходные тексты инструментария NAS Performance Toolkit (NASPT), предназначенного для тестирования производительности сетевых хранилищ. Код проекта распространяется под открытой лицензией Intel, разрешающей распространение и модификацию исходных текстов при сохранении изначальных условий поставки. Код открыт в связи с прекращением разработки и поддержки продукта, который при наличии интереса может быть взят в руки сообщества. NASPT ориентирован на оценку производительности сетевых хранилищ для домашнего использования. Пакет поддерживает симуляцию активности реальных приложений и нагрузки, характерной для индивидуального применения. Поддерживаются тесты по открытию файлов, проведению резервного копирования, способности хранилища обрабатывать потоки при записи и воспроизведении видео, изучения скорости работы с хранилищем из офисных … Читать далее Компания Intel открыла код инструментария NAS Performance Toolkit

Консорциум W3C, курирующий разработку web-стандартов, опубликовал первый черновой вариант спецификации Media Source Extensions, предоставляющей средства для локальной генерации мультимедийных потоков из JavaScript-приложений. Новый API расширяет возможности уже доступного интерфейса HTMLMediaElement, который предоставляет методы для воспроизведения видео и звука с использованием тегов video и audio. Поддержка динамического формирования контента для тегов video и audio открывает новые возможности для разработчиков web-приложений, упрощая реализацию адаптивного потокового вещания и смещённых во времени live-трансляций. Цели Media Source Extensions: Поддержка построения мультимедиа потоков независимо от способа получения медиа-данных; Возможность определения собственных моделей буферизации и состыковки, позволяя реализовывать такие системы как подстановка рекламы, вещание со сдвигом во … Читать далее Консорциум W3C представил JavaScript API для локальной генерации мультимедийных потоков

После года разработки представлен релиз системы отслеживания запросов клиентов OTRS 3.2 (Open source Ticket Request System), предназначенной для решения таких задач, как обеспечение работы службы технической поддержки (help desk), управление ответами на запросы клиентов (телефонные звонки, email), координирование предоставления корпоративных IT-сервисов (поддерживается ITILv3), управление заявками в службе продаж и финансовых службах. Код написан на языке Perl и распространяется в рамках лицензии AGPL. Из улучшений, добавленных в OTRS 3.2, можно отметить: Новый web-интерфейс с реализацией информационного центра клиента, через который клиент может посмотреть состояние всех связанных с ним тикетов и процессов, а также создать новый тикет или сгенерировать напоминание. У агентов … Читать далее Релиз системы для автоматизации работы службы поддержки OTRS 3.2

Разработчики Mozilla объявили о намерении расширить область действия появившейся в Firefox 17 функции выборочного отключения плагинов, таких как Flash, Java и Silverlight. Если ранее показ контента блокировался только для отдельных версий плагинов, занесённых в чёрный список из-за наличия уязвимостей, то теперь по умолчанию любой связанный с плагинами контент потребует для своей активации клика на специальной области (Click to Play). Блокироваться будут любые версии всех внешних плагинов, но для Adobe Flash будет сделано исключение — самый последний релиз Flash-плагина будет активирован без необходимости клика. По мнению разработчиков, практика блокирования плагинов по умолчанию позволит повысить стабильность и производительности браузера, а также существенно … Читать далее В Firefox будут по умолчанию неактивны все плагины, кроме последней версии Flash

Спустя всего две недели с момента прошлой опасной уязвимости представлено корректирующее обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением очередной критической уязвимости (CVE-2013-0333), которая может привести к выполнению кода на сервере, обходу системы аутентификации и выполнению SQL-запроса. Проблема найдена в коде парсера JSON и может быть эксплуатирована при обработке специально сформированного JSON-блока c YAML-вставками. Для эксплуатации достаточно отправить любому приложению специальный HTTP POST-запрос с типом «text/json». Интересно, что уязвимость имеет единые корни с прошлой критической проблемой, для которой был устранён лишь частный случай проявления уязвимости. Оказалось, что кроме XML блоков YAML-вставки аналогичным образом могут быть обработаны и в JSON-контенте. … Читать далее Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением критической уязвимости