Представлен дистрибутив AV Linux 2019.4.10, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив основан на пакетной базе Debian 9 «Stretch» и репозитории KXStudio с дополнительными пакетами собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). Пользовательское окружение основано на Xfce. Дистрибутив может функционировать в Live-режиме, размер iso-образа 3.6 Гб. Ядро Linux поставляется с набором RT-патчей для увеличения отзывчивости системы во время выполнения работ, связанных с обработкой звука. В поставку входят звуковые редакторы Ardour, ArdourVST, Harrison, Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot, Kdenlive, LiVES и инструменты для преобразования мультимедийных форматов файлов. Для коммутации звуковых устройств предлагается JACK Audio Connection … Читать далее Вышел AV Linux 2019.4.10, дистрибутив для создания аудио- и видеоконтента

В популярной Ruby-библиотеке bootstrap-sass (вариант Bootstrap 3 с поддержкой Sass), насчитывающей около 28 млн загрузок, выявлен бэкдор (CVE-2019-10842), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3, опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4, предложенном 3 апреля. Бэкдор был скрыто добавлен в файл lib/active-controller/middleware.rb, в котором появился код для вызова eval со значением, передаваемым через Cookie «___cfduid=». Для атаки достаточно было отправить запрос на сервер, выставив Cookie «___cfduid» и передав в качестве аргумента команды, закодированные в формате Base64. Имя Cookie «___cfduid» было выбрано для камуфлирования … Читать далее В Ruby-библиотеке bootstrap-sass выявлен бэкдор

Организации Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 11.0. Это второй релиз, подготовленный Фондом Apache после передачи кода NetBeans компанией Oracle. Выпуск содержит поддержку языков программирования Java SE, Java EE, PHP, JavaScript и Groovy. Перенос поддержки C/C++ из переданной компанией Oracle кодовой базы ожидается в одном из следующих выпусков. В настоящее время проект ещё находится в инкубаторе Apache, в котором проводится подготовка инфраструктуры, аудит лицензионной чистоты и проверка способности соблюдения принятых в сообществе Apache принципов разработки. В дальнейшем, как только проект покажет себя готовым для самостоятельного существования, не требующего дополнительного надзора, он будет переведён в число первичных проектов … Читать далее Выпуск интегрированной среды разработки Apache NetBeans 11.0

Сформирован корректирующий релиз GNU Wget 1.20.3, программы для автоматизации загрузки контента с использованием протоколов HTTP и FTP. В новом выпуске устранена уязвимость CVE-2019-5953, которая может привести к переполнению буфера при возвращении сервером специально оформленных данных в многобайтовой кодировке. Не исключается возможность использования уязвимости для организации выполнения кода. Изначально проблема устранена в выпуске 1.20.2, но в исправлении разработчики забыли убрать отладочные вызовы, поэтому следом сразу выпущен релиз 1.20.3. Читать далее Выпуск GNU Wget 1.20.3 с устранением уязвимости

Проект Blender представил новый короткометражный анимационный фильм Spring. Проект создан с использованием только открытых рабочих инструментов для моделирования, анимации, рендеринга, композитинга, трекинга движений и редактирования видео. Spring выступил в роли тестовой базы для оттачивания новых возможностей и технологий по созданию современных визуальных эффектов, развиваемых в ветке Blеnder 2.8. Это двенадцатый анимационный проект сообщества Blender. Фильм и все подготовленные для него части проекта, в том числе 3D-макеты, текстуры, промежуточные наброски, звуковые эффекты и музыкальные композиции доступны под свободной лицензией Creative Commons Attribution. Лицензия позволяет копировать, распространять и создавать производные произведения, которые могут быть использованы в том числе в коммерческих целях, требуя … Читать далее Сообщество Blender выпустило свободный анимационный фильм Spring

В популярной Ruby-библитеке bootstrap-sass (вариант Bootstrap 3 с поддержкой Sass), насчитывающей около 28 млн загрузок, выявлен бэкдор (CVE-2019-10842), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3, опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4, предложенном 3 апреля. Бэкдор был скрыто добавлен в файл lib/active-controller/middleware.rb, в котором появился код для вызова eval со значением, передаваемым через Cookie «___cfduid=». Для атаки достаточно было отправить запрос на сервер, выставив Cookie «___cfduid» и передав в качестве аргумента команды, закодированные в формате Base64. Имя Cookie «___cfduid» было выбрано для камуфлирования … Читать далее В Ruby-библитеке bootstrap-sass выявлен бэкдор

В ответ на появление в СМИ спекуляций, основанных на отчёте об уязвимости CVE-2019-9193, разработчики PostgreSQL опубликовали опровержение. CVE-2019-9193 преподносится некоторыми аналитиками как критическая удалённо эксплуатируемая проблема, позволяющая в конфигурации по умолчанию через манипуляции с конструкцией «COPY TO/FROM PROGRAM» выполнить произвольный код с правами пользователя, под которой запущена СУБД. Данные заявления не соответствуют действительности, описанная проблема надумана и CVE-2019-9193 на деле не является уязвимостью. Идентификатор уязвимости CVE-2019-9193 выдан по недосмотру. Конструкция «COPY TO/FROM PROGRAM» является штатной функциональностью, которая доступна только пользователю с правами администратора (superuser) или при явном делегировании полномочия «pg_execute_server_program». Вопреки заявлениям в публикациях, предоставляемые по умолчанию права pg_read_server_files и … Читать далее Разработчики PostgreSQL опровергли наличие уязвимости в COPY..PROGRAM

Исследователи из компании Bad Packets выявили продолжающуюся с декабря волну автоматизированных атак, нацеленных на подмену настроек DNS на домашних и офисных маршрутизаторах. В случае успешной атаки на устройстве прописываются DNS-серверы злоумышленников, которые для некоторых доменов возвращают фиктивные IP-адреса, что приводит к перенаправлению на подставные варианты сайтов, созданные для фишинга и захвата параметров аутентификации. Атака нацелена на поражения маршрутизаторов, работающих под управлением необновлённых прошивок, содержащих известные уязвимости. Например, для атаки на устройства D-Link используется выявленная ещё в 2015 году уязвимость, позволяющая изменить настройки DNS без прохождения аутентификации. Для сканирования сети используются взломанные окружения в сервисе Google Cloud. В ходе атаки поражаются … Читать далее Зафиксирована атака по подмене DNS на уязвимых потребительских маршрутизаторах

Компания Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, обратила внимание на слабое место в процессе устранения уязвимостей в браузере Chrome, позволяющее злоумышленникам получать информацию о проблемах и создавать эксплоиты ещё до выпуска обновления браузера с устранением уязвимости. Проблема касается утечки сведений о потенциальных уязвимостях в исправлениях, вносимых в JavaScript-движок V8 и прочие отдельно разрабатываемые компоненты. Информация об уязвимостях в Chrome до выпуска релиза обрабатывается в закрытых отчётах об ошибках, доступных только небольшой группе основных разработчиков и не публикуемых публично до выхода исправлений. В случае, если уязвимость касается движка V8, исправления вносятся в его кодовую базу … Читать далее Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome

Компания Sisvel анонсировала создание патентного пула, охватывающего технологии, пересекающиеся со свободными форматами кодирования видео AV1 и VP9. Sisvel специализируется на управлении интеллектуальной собственностью, сборе отчислений и предъявлении патентных исков (патентный тролль, из-за деятельности которого в своё время пришлось временно приостановить распространение сборок OpenMoko). Несмотря на то, что форматы AV1 и VP9 не требуют патентных отчислений, Sisvel вводит собственную программу лицензирования, в рамках которой производители устройств с поддержкой AV1 должны будут перечислять 32 евроцента за каждое устройство с экраном и 11 евроцентов за устройство без экрана (для VP9 размер отчислений определён в 24 и 8 евроцентов, соответственно). Отчисления планируют собирать с … Читать далее Sisvel формирует патентный пул для сбора отчислений за использование кодеков AV1 и VP9

Компания Google представила вторую бета-версию открытой мобильной платформы Android Q. Релиз Android Q, который скорее всего будет поставляться под номером Android 10, ожидается в третьем квартале 2019 года. Для оценки новых возможностей платформы предложена программа бета-тестирования, в рамках которой экспериментальную ветку можно установить и поддерживать в актуальном виде через штатный интерфейс установки обновлений (OTA, over-the-air), без необходимости ручной замены прошивки. Обновления доступны для устройств Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3 и Pixel 3 XL. Изменения, по сравнению с первым бета-выпуском: Представлено новое хранилище Scoped Storage, предоставляющее уровень изоляции для файлов приложений. При помощи данного API приложение … Читать далее Второй бета-выпуск платформы Android Q. Оптимизации Intel для компилятора Android Runtime

Представлен дистрибутив AV Linux 2019.4.10, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив основан на пакетной базе Debian 9 «Stretch» и репозитории KXStudio с дополнительными пакетами собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). Пользовательское окружение основано на Xfce. Дистрибутив может функционировать в Live-режиме, размер iso-образа 3.6 Гб. Ядро Linux поставляется с набором RT-патчей для увеличения отзывчивости системы во время выполнении работ, связанных с обработкой звука. В поставку входят звуковые редакторы Ardour, ArdourVST, Harrison, Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot, Kdenlive, LiVES и инструменты для преобразования мультимедийных форматов файлов. Для коммутации звуковых устройств предлагается JACK Audio Connection … Читать далее Вышел AV Linux 2019.4.10, дистрибутив для создания аудио и видео контента

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, объявила о слиянии операционной системы Sailfish и открытого проекта Mer. В настоящее время компания Jolla, использующая Mer в качестве системного окружения мобильной платформы Sailfish, является основным локомотивом разработки Mer и наиболее активным сторонником данного проекта. Многие разработчики Mer, в том числе основатели проекта, являются сотрудниками Jolla. Оценив текущее положение дел, принято решение объединить Sailfish и Mer в один проект и в дальнейшем развивать его под эгидой ОС Sailfish. Из проприетарной надстройки Sailfish превратится в проект развиваемый на основе модели «Open Core«, подразумевающей, что основная … Читать далее Объявлено о слиянии открытого проекта Mer и проприетарной ОС Sailfish

После восьми месяцев разработки опубликован релиз свободного гипервизора Xen 4.12. По сравнению с прошлым выпуском в Xen 4.12 внесено 1466 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, Xilinx, Oracle и Amazon. Ключевые изменения в Xen 4.12: Добавлена возможность сборки Xen только с поддержкой режимов HVM/PVH (полная и комбинированная виртуализация) или PV (паравиртуализация). Код с реализацией данных режимов теперь отделён и может выборочно включаться через опции KCONFIG при сборке. Указанная возможность позволяет собрать минимально необходимый вариант Xen, что положительно сказывается на безопасности за счёт сокращения векторов для атаки, а также приводит к снижению потребления памяти; … Читать далее Выпуск гипервизора Xen 4.12

Компания МЦСТ открыла доступ к установочным образам дистрибутива Эльбрус, построенного с использованием наработок Debian GNU/Linux. Для загрузки доступны сборки прошлой ветки Эльбрус 3.0 для архитектур x86 (3.6 + 2 Гб) и x86_64 (3.9 + 2.3 Гб), а также сборки актуальной ветки Эльбрус 4.0 для процессоров Эльбрус-1С+, Эльбрус-2С и Эльбрус-8С (в ближайшее время также обещают опубликовать образы для SPARC V9, x86 и x86_64). Для загрузки доступны только готовые сборки, исходные тексты пакетов в открытом доступе не опубликованы. Компиляция приложений осуществляется при помощи проприетарного компилятора lcc 1.23, совместимого с GCC 5.5. В качестве стандартной библиотеки используется glibc 2.23, а в качестве системы … Читать далее Опубликованы установочные образы российского дистрибутива "Эльбрус"

Опубликован релиз HTTP-сервера Apache 2.4.39, в котором представлено 18 изменений и устранено 7 уязвимостей. Наиболее опасная уязвимость (CVE-2019-0211) позволяет локальному злоумышленнику (например, пользователю хостинга), имеющему возможность выполнить свой скрипт под управлением web-сервера (в том числе через mod_php, mod_lua, mod_perl и т.п.), добиться выполнения кода с правами управляющего процесса, обычно запускаемого с привилегиями root. Проблема проявляется при применении MPM-модулей event, worker или prefork и может быть эксплуатирована через через манипуляции с областью scoreboard, применяемой для организации взаимодействия между дочерним и родительским процессом Уязвимость проявляется начиная с выпуска 2.4.17. Другие уязвимости: CVE-2019-0217 — возможность обхода средств разграничения доступа в mod_auth_digest. Злоумышленник, обладающий … Читать далее Релиз http-сервера Apache 2.4.39 с устранением опасных уязвимостей

Разработчики Mozilla сообщили о проведении четвёртого этапа тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), который будет сосредоточен на оценке изменения производительности при применении DNS-over-HTTPS в условиях работы через сети доставки контента. На этой неделе небольшой части пользователей релизов Firefox из США будет предложено активировать DoH (при нежелании пользователь сможет отказаться). Как и раньше в качестве основного будет использован DNS-сервер CloudFlare, но в будущем планируется расширить число участвующих в тесте DNS-провайдеров. Необходимость дополнительного тестирования DNS-over-HTTPS при работе через сети доставки контента связана с тем, что DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для … Читать далее Четвёртый этап тестирования DNS-over-HTTPS в Firefox

Исследователи безопасности из Tencent Keen Security Lab нашли способ ввести в заблуждение автопилот автомобилей Tesla и спровоцировать его на выезд на встречную полосу движения. Суть предложенной техники в размещении на дороге трёх меток, незаметных для водителя, но определяемых автопилотом. Метки размещаются рядом с местом разрыва сплошной разметки со встречной полосой, поэтому автопилот воспринимает их как часть разметки, предписывающей перестроится в другой ряд, и не учитывает, что этот другой ряд находится на полосе встречного движения. Проблема выявлена при изучении особенностей поведения автопилота в автомобиле Tesla Model S 75. Для разбора применяемых алгоритмов удалось получить доступ к информационной системе управления движением через … Читать далее Выявлен способ обмана автопилота Tesla для выезда на полосу встречного движения

Началось тестирование бета-версии дистрибутива Fedora 30. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 7 мая. Выпуск охватывает Fedora Workstation, Fedora Server, Fedora Silverblue и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки подготовлены для архитектур x86_64, ARM (Raspberry Pi 2 и 3), ARM64 (AArch64) и Power. Наиболее заметные изменения в Fedora 30: Рабочий стол GNOME обновлён до выпуска 3.32 с переработанным стилем элементов интерфейса, рабочего стола и пиктограмм, экспериментальной поддержкой дробного масштабирования и прекращением поддержки глобального меню; Проведена работа по повышению … Читать далее Дистрибутив Fedora 30 перешёл на стадию бета-тестирования

Компания Kingsoft Office Software опубликовала обновление Linux-версии своего проприетарного офисного пакета WPS Office, написанного с использованием Qt и продвигаемого в качестве аналога MS Office. Установочные пакеты подготовлены в форматах deb и rpm (i686, amd64). Продукт распространяется бесплатно. Имеется полноценная поддержка русского языка. В состав WPS Office входит текстовый процессор, система для создания презентаций, табличный процессор и встроенный просмотрщик PDF. Поддерживается как интерфейс в стиле «Ribbon», так и классический интерфейс. Из особенностей отмечается возможность одновременной работы с группой документов через систему вкладок, по аналогии с открытием разных сайтов во вкладках современных браузеров. Доступны средства для совместного редактирования, публикации комментариев и отслеживания … Читать далее Обновление офисного пакета WPS Office 2019 для Linux

Апелляционный суд Германии оставил без изменения решение Окружного суда Гамбурга в деле о нарушении компанией VMware лицензии GPL и не удовлетворил апелляцию, поданную правозащитной организацией Software Freedom Conservancy (SFC) от имени Кристофа Хелвига (Christoph Hellwig), известного разработчика ядра Linux. Несмотря на то, что немецкий суд принял окончательное решение в отношении процедуры, а не по существу, SFC и Хелвиг не намерены возобновлять разбирательство в судах высшей инстанции. На прошедшие разбирательства было потрачено много времени и ресурсов, но прецедент так и не был создан. Тем не менее, несмотря на фактический проигрыш, SFC считает, что открытое сообщество формально выиграло так как разбирательство побудило … Читать далее Апелляционный суд встал на сторону VMware в деле о нарушении GPL