Facebook сменил лицензию на React Native и Yoga

Следом за React, Jest, Flow, Immutable.js и GraphQL компания Facebook выполнила перелицензирование кодовых баз проектов React Native и Yoga, которые переведены с лицензии BSD с дополнительным соглашением об использовании патентов («BSD+Patent») на лицензию MIT. Изменение лицензии позволит добиться совместимости кода React Native и Yoga с проектами фонда Apache. Напомним, что в июле 2017 года Фонд Apache добавил «BSD+Patent» в список несовместимых лицензий, код под которыми не разрешается использовать в проектах Apache. Проектам Apache было предписано избавиться от зависимостей под лицензией «BSD+Patent». Вначале Facebook отказался сменить лицензию, указав, что патентное дополнение, в котором фонд Apache усмотрел несбалансированное перекладывание рисков на потребителей … Читать далее Facebook сменил лицензию на React Native и Yoga

Представлены новые виды атак MeltdownPrime и SpectrePrime

Группа исследователей из Принстонского университета и компании NVIDIA опубликовали новые варианты атак Meltdown и Spectre, получившие названия MeltdownPrime и SpectrePrime, которые отличаются иным способов воссоздания информации из процессорного кэша. Ключевым отличием новых методов является задействование двух ядер CPU для проведения атаки с применением в качестве канала утечки данных особенностей работы протокола согласования содержимого кэша для разных ядер CPU. Для организации атаки по сторонним каналам в классических Meltdown и Spectre применяется восстановление содержимого кэша на основе техники FLUSH+RELOAD, в то время как в новых вариантах применён метод «Prime and Probe«. Суть метода в том, что перед выполнением операции с кэшем, содержимое … Читать далее Представлены новые виды атак MeltdownPrime и SpectrePrime

Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей

Компания Intel представила новую инициативу по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия — $500). Для атак на оборудование по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов. Размер выплаты сильно зависит от уровня опасности уязвимости (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 — 10.0) в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых … Читать далее Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей

Выпуск Wine 3.2

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 3.2. С момента выпуска версии 3.1 было закрыто 34 отчётов об ошибках и внесено 340 изменений. Наиболее важные изменения: Отдельная реализация пользовательских управляющих элементов интерфейса для ComCtl32 v6 (Common Control library). В том числе добавлены классы ComboBox, ListBox, Button и Static; Поддержка мультисэмплинга текстур (Multisample texture) в реализации Direct3D; Поддержка геймпадов в HID-драйвере; Поддержка дополнительных событий в MSHTML; Удалён устаревший код DOS; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Tages Protection v5.x, notepad++, Visual C++ 2010 Express, Mindjet MindManager 14.x/15.x, MS Office Pro Plus 2010, B4A (Basic 4 … Читать далее Выпуск Wine 3.2

Релиз языка программирования Rust 1.24

Состоялся релиз языка программирования Rust 1.24, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. По структуре язык Rust напоминает C++, но существенно отличается в некоторых деталях реализации синтаксиса и семантики. Автоматическое управление памятью избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается … Читать далее Релиз языка программирования Rust 1.24

Релиз nEMU 1.4.0, консольного интерфейса для управления QEMU

Состоялся релиз nEMU 1.4.0, консольного интерфейса к QEMU на базе библиотеки ncurses, упрощающего создание, настройку и управление виртуальными машинами. Код написан на языке C и распространяется под лицензией BSD-2. Пакеты подготовлены для Debian и Ubuntu, для Gentoo Linux доступен portage (app-emulation/nemu). Изменения: Импорт OVA/OVF; Полноценные снапшоты (необходима версия qemu-2.11.0 с патчем, который можно найти в составе исходных текстов nEMU (patches/qemu-qmp-savevm-2.11.0.patch); Новое меню действий над гостевой системой; Возможность поставить гостевую систему на паузу; Тильда в путях теперь раскрывается в $HOME; Добавлен поиск гостевой системы в списке; Полностью переделана работа с USB-устройствами; Исправлена возможность пересечения имён TAP интерфейсов. Читать далее Релиз nEMU 1.4.0, консольного интерфейса для управления QEMU

За две недели загружено около миллиона копий LibreOffice 6.0

Организация The Document Foundation опубликовала статистику загрузок за две недели после релиза LibreOffice 6.0. Сообщается, что LibreOffice 6.0.0 и вышедший спустя неделю корректирующий выпуск LibreOffice 6.0.1 с устранением опасной уязвимости были загружены почти миллион раз. При этом не уточняется учтено ли то, что существенная часть пользователей загрузила как версию 6.0.0, так и 6.0.1 (т.е. не показано сколько из миллиона приходится на дублирующиеся загрузки). Примечательно, что практически не развивающийся последние годы проект Apache OpenOffice для опубликованного в конце декабря выпуска 4.1.5, включающего всего несколько исправлений, за месяц набрал 3.2 млн загрузок (за первые две недели 1.57 млн загрузок). Читать далее За две недели загружено около миллиона копий LibreOffice 6.0

Выпуск интегрированного набора интернет-приложений SeaMonkey 2.49.2

Доступно второе обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.2 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого. Новый выпуск синхронизирован с кодовой базой Firefox 52.6 и включает все доступные в ней исправления. В Composer решены проблемы с невозможностью редактировать и добавлять свойства изображений. Устранены проблемы с исчезновением кнопок в … Читать далее Выпуск интегрированного набора интернет-приложений SeaMonkey 2.49.2

Обновление Quagga 1.2.3 с устранением уязвимостей в реализации BGP

Опубликован релиз пакета Quagga 1.2.3, предоставляющего реализации протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 для Unix-подобных систем. В новой версии устранено 4 уязвимости в bgpd, в том числе проблема (CVE-2018-5379) с двойным освобождением области памяти (double-free) при обработке сообщений UPDATE, в том числе отправленных не напрямую и доставленных через легитимного пира. Не исключается, что уязвимость может быть эксплуатирована для удалённого выполнения кода атакующего при использовании определённых реализаций malloc. Остальные проблемы могут быть использованы для инициирования краха (CVE-2018-5378, CVE-2018-5380) или зацикливания (CVE-2018-5381). Читать далее Обновление Quagga 1.2.3 с устранением уязвимостей в реализации BGP

Доступен компилятор Kotlin/Native 0.6

Представлен выпуск инструментария Kotlin/Native 0.6, предоставляющего возможность компиляции проектов на языке Kotlin в самодостаточные исполняемые файлы, для выполнения которых не требуется виртуальная машина. Kotlin/Native реализован в виде бэкенда на базе LLVM, интегрируемого со штатным компилятором Kotlin, и сопутствующих реализаций runtime и генератора кода. Kotlin/Native может применяться для сборки приложений для платформ, в которых применение виртуальной машины неоправдано или невозможно, например, для встраиваемых систем. В новом выпуске добавлена возможность использования Kotlin/Native в многоплатформенных проектах, например, теперь можно применять один сборочный сценарий Gradle для формирования сборок в виде байткода JVM, машинного кода и JavaScript. Добавлена поддержка Kotlin 1.2.20, Java 9 и Gradle … Читать далее Доступен компилятор Kotlin/Native 0.6

Выпуск дисплейного сервера Mir 0.30

Опубликован релиз дисплейного сервера Mir 0.30, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical для встраиваемых устройств и интернета вещей (IoT). Пакеты для установки в Ubuntu 16.04, 17.04, 17.10 и 18.04 размещены в PPA-репозитории проекта. Основные изменения: Первоначальное внедрение тестового набора WCTS (Wayland Conformance Test Suite); Большая порция исправлений, направленных на улучшение поддержки протокола Wayland: добавлена экспериментальная поддержка xdg-shell (v6), устранена серия крахов, реализована передача состояния клавиатуры при смене фокуса, добавлена проверка допустимости соединения Wayland-клиента (SessionAuthorizer::connection_is_allowed), необходимая для работы Wayland-клиентов в Unity8; Обеспечена отправка событий … Читать далее Выпуск дисплейного сервера Mir 0.30

В Ubuntu 18.04 ожидается отправка сведений о системе и режим минимальной установки

Вил Кук (Will Cooke), менеджер по разработке десктоп-систем в компании Canonical, рассказал о намерении включить в Ubuntu 18.04 систему отправки на серверы Canonical сведений о конфигурации системы пользователя и используемых приложениях. Отправку статистики планируется включить по умолчанию, но предусмотреть опции для отключения. По мнению разработчиков, наличие данных о конфигурации позволит оптимизировать состав дистрибутива и сосредоточить внимание на возможностях, востребованных большинством пользователей. Информация будет собрана в процессе установки и сохранена в файл, который будет отправлен по HTTPS на сервер Canonical после установки сетевого соединения при первой загрузке. Данные обещают хранить обезличенными — сведения об IP-адресе, с которого получена статистика, будут удаляться. … Читать далее В Ubuntu 18.04 ожидается отправка сведений о системе и режим минимальной установки

Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage

В PyBitmessage, эталонной реализации клиента для пересылки сообщений в децентрализованной p2p-сети Bitmessage, выявлена критическая уязвимость, позволяющая удалённо выполнить сторонний Python-код на стороне пользователя. Проблема устранена в выпуске 0.6.3.2, но имеются сведения об организации атаки по похищению файлов с кошельками Electrum, которая началась ещё до публичного раскрытия сведений об уязвимости. Уязвимости подвержены только ветки 0.6.2 и 0.6.3, в 0.6.1 проблема отсутствует. Всем пользователям уязвимых версий PyBitmessage рекомендуется срочно перегенерировать ключи и сменить пароли. Проблема вызвана применением в коде функции eval(), в которой выполнялось содержимое, составленное на основе внешних данных. Злоумышленник мог отправить сообщение, приводящее к выполнению произвольного Python-кода. Уязвимость активно использовалась … Читать далее Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage

Выпуск strace 4.21

Доступен выпуск strace 4.21, утилиты для диагностики и отладки программ для ОС, использующих ядро Linux. Она позволяет отслеживать и (начиная с версии 4.15) вмешиваться в процесс взаимодействия программы и ядра, включая происходящие системные вызовы, возникающие сигналы и изменения состояния процесса. Для своей работы strace использует механизм ptrace. Начиная с версии 4.13, формирование выпусков программы синхронизировано с выходом новых версий Linux. Основные изменения: Добавлена поддержка «compat personality» для s390x (IBM z/Architecture). Добавлена поддержка (при сборке с —with-libiberty) декодирования имён функций при выводе стека вызовов (опция -k). Добавлена справочная страница для команды strace-log-merge(1). Реализовано декодирование системных вызовов riscv_flush_icache(2), s390_guarded_storage(2), s390_pcio_mmio_read(2), s390_pci_mmio_write(2), s390_runtime_instr(2), … Читать далее Выпуск strace 4.21

Альфа-выпуск OpenSSL 1.1.1 с поддержкой TLS 1.3

После полутора лет разработки подготовлен первый альфа-выпуск библиотеки OpenSSL 1.1.1 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Основные новшества OpenSSL 1.1.1: Поддержка TLS 1.3, который представляет собой улучшенную версию протокола TLS и отличается удалением устаревших и ненадёжных криптографических примитивов (MD5, SHA-224) и возможностей (сжатие, повторное согласование, не-AEAD шифры, статический обмен ключами RSA и DH, указание unix-времени в Hello-сообщениях и т.п.), работает только в режиме forward secrecy (компрометации одного из долговременных ключей не позволяет расшифровать перехваченный сеанс), обеспечивает более высокую производительность, поддерживает режим 0-RTT (устраняет задержки при согласовании соединений), поддерживает ChaCha20/Poly1305, Ed25519, x25519 и x448. Настройки конфигурации перенесены в файл … Читать далее Альфа-выпуск OpenSSL 1.1.1 с поддержкой TLS 1.3

Рейтинг дистрибутивов Linux по версии журнала Linux Journal

Журнал Linux Journal подвёл итоги опроса читателей, проведенного с целью выявления наиболее популярных дистрибутивов Linux. В опросе приняло участие более 10 тысяч читателей Linux Journal. Самым популярным дистрибутивом признан Debian, за который проголосовали 33% опрошенных. На втором месте openSUSE — 12%, на третьем Fedora — 11%. Ubuntu и Arch Linux поделили четвёртое место (по 9%). На пятом месте Linux Mint (7%). Читать далее Рейтинг дистрибутивов Linux по версии журнала Linux Journal

Let’s Encrypt преодолел рубеж в 50 млн активных сертификатов

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, достиг отметки в 50 млн активных сертификатов, которые охватывают около 66 млн доменов. По статистике NetTrack сертификаты Let’s Encrypt используются на 42.6% HTTPS-сайтов в сети (три месяца назад этот показатель составлял 36%). Общая доля запросов страниц по HTTPS составляет 69.6%, судя по статистике, полученной в рамках работы сервиса Firefox Telemetry. Для сравнения, три месяца назад этот показатель составлял 65%, в начале 2017 года достиг значения в 50%, а два года назад при запуске проекта Let’s Encrypt не превышал 40%. По статистике Google доля страниц, открытых по HTTPS, … Читать далее Let’s Encrypt преодолел рубеж в 50 млн активных сертификатов

Релиз-кандидат ReOpenLDAP 1.1.7

Всем желающим предлагается принять участие в тестировании релиз-кандидата ReOpenLDAP 1.1.7. Релиз версии 1.1.7 «Красноармеец» состоится 23 февраля 2018. ReOpenLDAP представляет собой форк проекта OpenLDAP, в котором проведена работа по устранению ошибок и внесены изменения для стабильной работы репликации в условиях промышленного использования в сфере телекоммуникаций под высокой нагрузкой (ReOpenLDAP применяется в инфраструктуре МегаФон). В новом выпуске добавлен перевод системных руководств на русский язык, обеспечена поддержка привязки открытых ключей (PKP, Public key pinning), удалён ldap_pvt_thread_rmutex, добавлен рекурсивный POSIX мьютекс для libevent, реализована функция ldap_connect(). Читать далее Релиз-кандидат ReOpenLDAP 1.1.7

Oracle перелицензировал код DTrace под GPLv2

Компания Oracle работает над проектом по интеграции системы динамической отладки DTrace в основное ядро Linux. Для воплощения в жизнь данного шага подготовлен модуль ядра с реализацией DTrace, поставляемый под лицензий GPLv2 вместо CDDL, что снимает барьер по интеграции DTrace в состав основного ядра Linux и устраняет потенциальные проблемы с лицензированием при поставке DTrace в дистрибутивах. Инструментарий dtrace-utils и библиотека libdtrace-ctf переведены на двойную лицензию GPLv2 и UPL (Universal Permissive License, пермиссивная лицензия, совместимая с GPL). Изначально технология DTrace была разработана для операционной системы Solaris для решения задач по динамической трассировке ядра системы и конечных приложений, давая пользователю возможность детально отслеживать … Читать далее Oracle перелицензировал код DTrace под GPLv2

Сформирован список организаций, участвующих в Summer of Code 2018

Компания Google сообщила о выборе проектов для участия в инициативе Google Summer of Code 2018. Из подавших заявки открытых проектов для участия в программе одобрено 212, из которых 19% проектов не принимали участие в GSoC в предыдущие годы. До 27 марта у студентов есть время выбрать себе задание по душе и обсудить возможность его выполнения с представителями подавших заявку проектов. До 23 апреля представители открытых проектов выберут студентов, которые займутся выполнением работ. C 14 мая по 6 августа отводится время на написание кода. 22 августа будут представлены общие результаты мероприятия. За успешно выполненную работу студент получит от $2400 до $6600 … Читать далее Сформирован список организаций, участвующих в Summer of Code 2018

Истёк срок действия патентов на MPEG-2

13 февраля истёк срок действия последнего патента (7334248), охватывающего технологию кодирования видео MPEG-2. Реализации MPEG-2 теперь можно включать в состав в своих приложений и продуктов без необходимости оплаты отчислений владельцу патентного пула MPEG-LA. Как и в случае с MP3 и AC3, кодеки MPEG-2 также можно поставлять в составе свободных дистрибутивов, не допускающих поставку пакетов, обременённых патентами на ПО. Читать далее Истёк срок действия патентов на MPEG-2