В движке для создания web-форумов MyBB выявлено несколько уязвимостей, позволяющих организовать многоступенчатую атаку для выполнения произвольного PHP-кода на сервере. Проблемы устранены в выпуске MyBB 1.8.21. Первая уязвимость присутствует в модулях публикации и отправки приватных сообщений, и позволяет осуществить подстановку JavaScript-кода (XSS), который будет выполнен в браузере при просмотре публикации или полученного сообщения. Подстановка JavaScript возможна из-за некорректного преобразования в HTML вложенных BBCode. В частности, тег » и она при обработке BBCode «» будет преобразована в тег ‹iframe src=»youtube.com/xyz[url]http://onload=evilCode()[/url]»›‹/iframe› , а после обработки остальных BBCode в ‹iframe src=»youtube.com/xyz‹a href=»http://onload=evilCode()»›..»›‹/iframe› Соответственно двойная кавычка в ‘href=»‘ закрывает атрибут «src» и onLoad обрабатывается в … Читать далее Уязвимости в MyBB, позволяющие захватить контроль над форумом

Представлен первый стабильный релиз протокола для организации децентрализованных коммуникаций Matrix 1.0 и связанных с ним библиотек, API (Server-Server) и спецификаций. Сообщается, что не все задуманные возможности Matrix описаны и реализованы, но основной протокол полностью стабилизирован и достиг состояния, пригодного для использования в качестве основы для разработки независимых реализаций клиентов, серверов, ботов и шлюзов. Наработки проекта распространяются под лицензией Apache 2.0. Одновременно, опубликован сервер для обмена сообщениями Synapse 1.0.0 с эталонной реализацией протокола Matrix 1.0. Отмечается, что основное внимание при подготовке Synapse 1.0 было уделено корректности реализации протокола, безопасности и надёжности. Synapse теперь вышел из стадии бета-тестирования и готов для повсеместного … Читать далее Выпуск децентрализованной коммуникационной платформы Matrix 1.0

После года разработки подготовлен релиз независимого легковесного Linux-дистрибутива CRUX 3.5, развиваемого с 2001 года в соответствии с концепцией KISS (Keep It Simple, Stupid) и ориентированного на опытных пользователей. Целью проекта является создание простого и прозрачного для пользователей дистрибутива, основанного на BSD-подобных скриптах инициализации, имеющего максимально упрощённую структуру и содержащего относительно небольшое число готовых бинарных пакетов. CRUX поддерживает систему портов, позволяющую легко устанавливать и обновлять приложения в стиле FreeBSD/Gentoo. Размер iso-образа, подготовленного для архитектуры x86-64, составляет 644 Мб. В новом выпуске в основной состав включён пакет Linux-PAM и обеспечено использование механизма PAM (Pluggable Authentication Modules) для организации аутентификации в системе. Использование … Читать далее Выпуск Linux-дистрибутива CRUX 3.5

Компания Mozilla представила новое оформление логотипа Firefox и связанных с ним элементов брендинга, а также логотипы для сопутствующих проектов. Основной целью ребрендинга является создание общего узнаваемого бренда для всего семейства продуктов Firefox. В рамках проделанной работы также подготовлено базовое цветовое оформление бренда и отдельные логотипы для разных сервисов. Общий логотип не содержит изображения лисы, но абстрактно напоминает свёрнутый хвост и сохраняет узнаваемость бренда. На логотипе браузера Firefox лиса сохранена и по сравнению со старым логотипом в изображение внесены минимальные косметические изменения. Логотипы Firefox Sand, Firefox Lockwise и Firefox Monitor не включают отсылок к лисе, но привязаны к общему бренду на … Читать далее Представлены новые логотипы Firefox и связанных с ним сервисов

Доступен релиз Linux-дистрибутива BackBox Linux 6, базирующегося на Ubuntu 18.04 и поставляемого с коллекцией инструментов для проверки безопасности системы, тестирования эксплоитов, обратного инжиниринга, анализа сетевого трафика и беспроводных сетей, изучения вредоносного ПО, стресс-тестирования, выявления скрытых или потерянных данных. Пользовательское окружение основано на Xfce. Размер iso-образа 2.5 Гб (i386, x86_64). В новой версии произведено обновление системных компонентов с Ubuntu 16.04 до ветки 18.04. Ядро Linux обновлено до выпуска 4.18. Обновлены версии входящих в состав инструментов для тестирования безопасности. ISO-образ собран в гибридном формате и адаптирован для загрузки на системах с UEFI. Источник: http://www.opennet.ru/opennews/art.shtml?num=50854 Читать далее Выпуск BackBox Linux 6, дистрибутива для тестирования безопасности

Разработчики проекта Debian объявили о намерении выпустить релиз Debian 10 «Buster» 6 июля. В настоящее время незакрытыми остаются 98 критических ошибок, блокирующих релиз (месяц назад было 132, три месяца назад — 316, четыре месяца назад — 577). Остающиеся ошибки планируется закрыть до 25 июня. Проблемы которые не удастся устранить до этого дня будут помечены флагами buster-ignore или buster-will-remove. Все пакеты, помеченные флагом buster-will-remove, будут удалены из репозитория, если в ветке Testing для них не будут предложены исправления критических проблем. Начиная с 25 июня ветка Testing будет полностью заморожена от внесения изменений (исключение делается только для экстренных вмешательств). Источник: http://www.opennet.ru/opennews/art.shtml?num=50852 Читать далее Выпуск Debian 10 запланирован на 6 июля

Представлен промежуточный выпуск Firefox 67.0.2, в котором устранена уязвимость (CVE-2019-11702), специфичная для платформы Windows и позволяющая открыть локальный файл в Internet Explorer через манипуляции со ссылками, в которых указан протокол «IE.HTTP:». Кроме уязвимости в новом выпуске также устранено несколько не связанных с безопасностью проблем: Устранён вывод в консоли JavaScript-ошибки «TypeError: data is null in PrivacyFilter.jsm», которая могла негативно отразиться на надёжности и производительности; Решена проблема c выводом всплывающего диалога аутентификации подключения через прокси; Решена проблема входа в сервис Pearson MyCloud при использовании FIDO U2F; Налажен запуск браузера в безопасном режиме (safe mode), который в Linux и macOS начиная с Firefox … Читать далее Обновление Firefox 67.0.2

Опубликован релиз свободной реализации API OpenGL и Vulkan — Mesa 19.1.0. Первый выпуск ветки Mesa 19.1.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 19.1.1. В Mesa 19.1 предоставляется полная поддержка OpenGL 4.5 для драйверов i965, radeonsi и nvc0, поддержка Vulkan 1.1 для карт Intel и AMD, а также частичная поддержка стандарта OpenGL 4.6. Наиболее заметные изменения: В состав включён разработанный в компании Intel новый драйвер Iris. В отличие от i965 новый драйвер основан на архитектуре Gallium3D, выносящей задачи управления памятью на сторону DRI-драйвера в ядре Linux и предоставляющей готовый трекер состояний с поддержкой кэша … Читать далее Выпуск Mesa 19.1.0, свободной реализации OpenGL и Vulkan

Доступен релиз пользовательской оболочки KDE Plasma 5.16, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу новой версии можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Ключевые улучшения: Управление рабочим столом, оформление и виджеты Полностью переписана система вывода уведомлений. Добавлен режим «Не беспокоить» для временного отключения уведомлений, улучшена группировка записей в истории поступления уведомлений, обеспечена возможность отображения критических уведомлений при работе приложений в полноэкранном режиме, улучшено информирование о завершении работ копирования и перемещения файлов, расширена секция … Читать далее Релиз рабочего стола KDE Plasma 5.16

Openclipart.org, крупнейшее хранилище векторных изображений в общественном достоянии (public domain), с конца апреля непрерывно находится под сильной распределённой DDoS-атакой. Неизвестно, ни кто стоит за этой атакой, ни её причины. Сайт проекта уже больше месяца остаётся недоступен, но несколько часов назад разработчики объявили о тестировании средств для защиты от атаки, которые удалось получить благодаря полученным от сообщества пожертвованиям. Источник: http://www.opennet.ru/opennews/art.shtml?num=50845 Читать далее Непрекращающаяся DDoS-атака на OpenClipArt

Издание The Bell получило сведения от нескольких неназванных источников об обсуждении возможности использования на некоторых типах устройств Huawei проприетарной мобильной операционной системы «Аврора», в рамках которой на основе полученной от компании Jolla лицензии Ростелеком поставляет под своим брендом локализованный вариант ОС Sailfish. Движение в сторону «Аврора» пока ограничилось лишь обсуждением возможности использования данной ОС, никаких планов не представлено. В обсуждении приняли участие министр цифрового развития и связи Константин Носков и исполнительный директор Huawei. На встрече также был поднят вопрос о создании в России совместного производства чипов и программного обеспечения. Информацию не подтвердили в «Ростелекоме», но выразили готовность к сотрудничеству, а … Читать далее Huawei обсудил возможность использования Авроры/Sailfish, в качестве альтернативы Android

Группа исследователей из компании Ledger выявила несколько уязвимостей в устройствах HSM (Hardware Security Modules), которые могут быть использованы для извлечения ключей или совершения удалённой атаки для подмены прошивки HSM-устройства. В настоящий момент доклад о проблеме доступен только на французском языке, англоязычный доклад планируется опубликовать в августе во время конференции Blackhat USA 2019. HSM представляет собой специализированное внешнее устройство, предназначенное для хранения открытых и закрытых ключей, используемых для формирования цифровых подписей и для шифрования данных. HSM позволяет существенно повысить защиту, так как полностью изолирует ключи от системы и приложений, лишь предоставляя API для выполнения базовых криптографических примитивов, реализованных на стороне устройства. … Читать далее Уязвимости в HSM-модулях, которые могут привести к атаке на ключи шифрования

После четырёх с половиной лет разработки опубликован релиз свободного проекта LMMS 1.2, в рамках которого развивается кросс-платформенная альтернатива коммерческим программам для создания музыкальных произведений, подобных FL Studio и GarageBand. Код проекта написан на языке C++ (интерфейс на Qt) и распространяется под лицензией GPLv2. Готовые сборки подготовлены для Linux (в формате AppImage), macOS и Windows. Программа сочетает в себе функции цифровой звуковой рабочей станции (DAW) с набором редакторов для создания музыкальных материалов, таких как редактор ритма (биения), трековый редактор, клавишный редактор для записи с MIDI-клавиатуры, редактор песен для компоновки материалов в комплексный вид. В комплекте имеется 64-канальный микшер звуковых эффектов с … Читать далее Выпуск пакета для создания музыки LMMS 1.2

Компания Роса представила дистрибутив ROSA Enterprise Desktop X4, ориентированный на использование в корпоративном секторе и основанный на платформе ROSA Desktop Fresh 2016.1 с рабочим столом KDE4. При подготовке дистрибутива главное внимание уделяется стабильности — в состав включаются только проверенные компоненты, которые прошли обкатку на пользователях ROSA Desktop Fresh. Установочные iso-образы не доступны публично и предоставляются только по отдельному запросу. Основные новшества: По умолчанию используется ядро Linux 4.15 с патчами из состава Ubuntu 18.04 и включением таких дополнительных возможностей, как режим Full Preemption и поддержка SELinux вместо AppArmor. В качестве опции также предлагаются пакеты с ядрами 4.18, 4.20 и 5.0; Добавлен … Читать далее Опубликован дистрибутив для корпоративного сектора ROSA Enterprise Desktop X4

Тон Розендаль (Ton Roosendaal), создатель системы 3D-моделирования Blender, опубликовал заверение, что Blender был и всегда будет свободным проектом, распространяемым под копилефт лицензией GPL. Тон подчеркнул, что все разработчики Blender, в том числе и разработчики плагинов, которые используют внутренний API и обязаны открывать код своих разработок под GPL, развивают общее дело и изначально соглашаются, что пользуясь трудом других они на тех же условиях позволяют использовать и свой вклад. Поводом для напоминания о свободном характере проекта послужило недовольство многих разработчиков плагинов появлением нового сервиса Blender Depot, который позволяет выбрать интересующие плагины к Blender, а затем разом загрузить их и установить. Проблема в … Читать далее Позиция Blender по поводу свободного характера проекта и платных GPL-дополнений

Крис Бирд (Chris Beard), руководитель (CEO) компании Mozilla Corporation, рассказал в интервью немецкому изданию T3N о намерении запустить в октябре этого года премиальный сервис Firefox Premium (premium.firefox.com), в рамках которого будут предоставляться расширенные сервисы с оформлением платной подписки. Детали пока не афишируются, но качестве примера, упоминаются сервисы, связанные с использованием VPN и online-хранилища пользовательских данных. Судя по приводимым в интервью замечаниям, какой-то объем трафика в VPN будет бесплатным, а платный сервис будет предлагаться тем, кому необходима дополнительная пропускная способность. Предоставление платных сервисов поможет финансировать поддержание ресурсоёмных инфраструктур и даст возможность дополнительно диверсифицировать источники дохода, снизив зависимость от средств, получаемых за … Читать далее Mozilla планирует запустить платный сервис Firefox Premium

Спустя девять лет с момента формирования прошлой значительной ветки опубликован релиз многоплатформенного BitTorrent-клиента Deluge 2.0, написанного на языке Python (используется фреймворк Twisted), базирующегося на libtorrent и поддерживающего несколько видов интерфейса пльзователя (GTK+, web-интерфейс, консольный вариант). BitTorrent работает в клиент-серверном режиме, при котором пользовательская оболочка выполняется в виде отдельного процесса, а всеми BitTorrent-операциями управляет отдельный демон, который может быть запущен на удаленном компьютере. Код проекта распространяется в рамках лицензии GPL. Ключевыми улучшениями в новом выпуске стало портирование кодовой базы на Python 3 и перевод GTK-интерфейса на GTK3. Другие изменения: Реализован режим последовательной загрузки; Добавлена возможность смены владельца торрента; Функция AutoAdd вынесена … Читать далее Релиз BitTorrent-клиента Deluge 2.0

СиДжей Сильверио (CJ Silverio), в конце прошлого года покинувшая пост технического директора компании NPM Inc представила новый репозиторий пакетов Entropic, который развивается как распределённая альтернатива NPM, не подконтрольная конкретной компании. Код Entropic написан на JavaScript и распространяется под лицензией Apache 2.0. Проект развивается всего месяц и находится на стадии начального прототипа, но уже поддерживает базовые операции, такие как подключение, публикация и установка пакетов. В качестве причины создания Entropic называется полная зависимость экосистемы NPM от компании NPM Inc, которая контролирует разработку пакетного менедежера и поддержание репозитория. Сложилась ситуация когда нацеленная на получение прибыли компания единолично контролирует систему от которой зависят миллионы … Читать далее Бывший техдиректор NPM представила распределённый репозиторий пакетов Entropic

21-22 июня в Москве в X-perience Hall состоится юбилейный десятый DevConf. Как и раньше, решение о приёме докладов в секции Backend принимается на основе голосования. Заявки секции BackEnd: Инфраструктура большой платежной платформы (Антон Куранда) Теория программирования: пакетные принципы и метрики (Александр Макаров) Domain Driven Design (Alexander Kudrin) PHP 7.4: стрелочные функции, типизированные свойства и др (Антон Околелов) TDD: как уйти от мучений и войти в поток (Сергей Рябенко) JMeter — мультитул для работы с бэкендом (Александр Пермяков) Как делается оптимизация? (Андрей Аксенов) Как мы построили сервис распределённых очередей в Яндексе (Василий Богонатов) Best Practices for Securing Your Site (Valentyn Pylypchuk) … Читать далее 21-22 июня в Москве пройдёт юбилейная конференция DevConfX

Организация Document Foundation объявила о прекращении формирования 32-разрядных бинарных сборок LibreOffice для Linux. Изменение вступит в силу начиная с выпуска 6.3, который ожидается 7 августа. В качестве причины называется низкая востребованность подобных сборок, которая не оправдывает ресурсы, потраченные на их компиляцию, тестирование, сопровождение и распространение. Основная масса пользователей Linux устанавливает LibreOffice из дистрибутивов, а не загружает с основного сайта проекта. В исходном коде поддержка 32-разрядных систем будет сохранна, поэтому дистрибутивы Linux смогут продолжить поставку 32-разрядных пакетов с LibreOffice, а энтузиасты смогут при необходимости собрать более новые версии из исходных текстов. Официальных же 32-разрядных сборок для Linux больше не будет (для … Читать далее LibreOffice прекращает формирование 32-разрядных сборок для Linux

После двух лет разработки подготовлен новый значительный выпуск легковесного оконного менеджера IceWM 1.5.5 (первый выпуск в ветке 1.5.x). Ветка 1.5 продолжает развитие неофициального форка, ответвившегося в декабре 2015 года от заброшенной кодовой базы IceWM. Код написан на языке Си и распространяется под лицензией GPLv2. Из особенностей IceWM можно отметить полноценное управление через клавиатурные комбинации, возможность использования виртуальных рабочих столов, панели задач и меню-приложений. Оконный менеджер настраивается через достаточно простой файл конфигурации, возможно использование тем оформления. Доступны встроенные апплеты для мониторинга CPU, памяти, трафика. Отдельно развивается несколько сторонних GUI для настройки, реализаций рабочего стола и редакторов меню. Основные изменения: Реализована возможность … Читать далее Релиз оконного менеджера IceWM 1.5