Релиз gzip 1.9

После почти двух лет разработки состоялся релиз утилиты для сжатия данных gzip 1.9. По сравнению с прошлым выпуском внесено 53 изменения. Наиболее заметные изменения: Удалён код для поддержки платформ VMS и Amiga, который был неработоспособен и создавал проблемы из-за различий в требованиях к именам файлов с платформой Windows; В реализации команды «gzip -d -S SUFFIX fileSUFFIX» устранена проблема, мешающая использованию вместо расширения «.gz» символа в верхнем регистре, например, «gzip -d -S T fileT»; Устранены проблемы с обработкой нулевых областей в коде конца блока при распаковке данных в формате ‘pack’; В командах, реализованных через shell-скрипты, обеспечен более согласованный вывод ошибок. Например, … Читать далее Релиз gzip 1.9

Анализ популярности языков программирования и СУБД в 2017 году

Компания TIOBE Software опубликовала очередной рейтинг популярности языков программирования. Наиболее заметными изменениями по сравнению с редакцией рейтинга, опубликованной год назад, является перемещение с 5 на 4 место языка Python и с 7 на 6 место языка JavaScript. Язык PHP поднялся с 10 на 9 место, а Ruby с 12 на 11. Большой всплеск популярности наблюдается для языка R, который поднялся с 16 на 8 место рейтинга. Заметный рост интереса также отмечается для языков: Swift (с 14 на 12 место), Erlang (c 44 на 23) и Kotlin (с 89 на 39). По уровню роста популярности лидирует язык Си, который за год … Читать далее Анализ популярности языков программирования и СУБД в 2017 году

Проект Elementary OS разрабатывает текстовый редактор для разработчиков

Разработчики Elementary OS с 2011 года развивают собственный текстовый редактор, который входил в базовую поставку под именем Scratch. Из-за того, что многие пользователи путали программу с визуальной средой программирования Scratch, редактор решено переименовать и отныне он будет поставляться под именем Code, по аналогии с другими приложениями Elementary (Files, Music, Videos, Calendar, Mail, Photos). Вне дистрибутива проект может упоминаться как «elementary Code». Кроме смены названия отмечается смещение вектора развития приложения в сторону построения полноценного редактора кода для разработчиков. В частности, в контексте построения редактора для чтения и написания кода будет пересмотрен предлагаемый по умолчанию набор плагинов. Например, уже добавлен плагин folder … Читать далее Проект Elementary OS разрабатывает текстовый редактор для разработчиков

В сетевых хранилищах WDMyCloud выявлен бэкдор

В выпускаемых компанией Western Digital сетевых хранилищах My Cloud обнаружены опасная уязвимость и бэкдор, позволяющие получить привилегированный доступ к устройству. Уязвимость даёт возможность выполнить код с правами root через отправку удалённого запроса без выполнения штатной процедуры аутентификации. Бэкдор проявляется в наличии скрытой учётной записи администратора с предопределённым паролем, который невозможно изменить. Проблемы присутствуют в прошивках до версии 2.30.165 включительно (кроме ветки MyCloud 04.X) и устранены в обновлении 2.30.174. Уязвимость присутствует в скрипте multi_uploadify.php и связана с некорректной обработкой параметров. Сервер для аутентификации определялся в скрипте путём использования имени хоста, переданного в HTTP-заголовке Host, который может быть изменён пользователем. В сочетании … Читать далее В сетевых хранилищах WDMyCloud выявлен бэкдор

Релиз языка программирования Rust 1.23

Состоялся релиз языка программирования Rust 1.23, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. По структуре язык Rust напоминает C++, но существенно отличается в некоторых деталях реализации синтаксиса и семантики. Автоматическое управление памятью избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается … Читать далее Релиз языка программирования Rust 1.23

Уязвимость в процессорах AMD, позволяющая получить контроль над TPM-окружением

Исследователи из команды обеспечения безопасности Google Cloud выявили серьёзную брешь во встроенном в центральные процессоры AMD аппаратно изолированном исполняемом окружении, работу которого координирует отдельный процессор PSP (Platform Security Processor) на базе архитектуры ARM. Как и ранее выявленные уязвимости в сходных подсистемах Intel ME и ARM TrustZone, в AMD PSP найдена недоработка, позволяющая получить контроль над выполнением кода на стороне изолированного от основной системы окружения. Уязвимость вызвана переполнением стека в функции EkCheckCurrentCert, поставляемой в прошивке fTMP с реализацией интерфейса для выполнения TPM-модулей (Trusted Platform Module), через которые предоставляются защищённые обработчики для выполнения операций, требующих повышенной защиты, например, в отдельное от операционной … Читать далее Уязвимость в процессорах AMD, позволяющая получить контроль над TPM-окружением

Выпуск видеоредактора Shotcut 18.01

Состоялся релиз видеоредактора Shotcut 18.01, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3. В новом выпуске добавлен фильтр для визуализации звукового … Читать далее Выпуск видеоредактора Shotcut 18.01

Google считает незначительным влияние на производительность патчей для блокирования атак Meltdown и Spectre

Компания Google сообщила о внедрении патчей KPTI и retpoline для блокирования атак Meltdown и Spectre на своих Linux-серверах, в том числе обслуживающих поисковую систему, Gmail, YouTube и Google Cloud Platform. Несмотря на то, что теоретически данные патчи приводят к возникновению дополнительных накладных расходов при выполнении системных вызовов, влияние на производительность обоих патчей при реальной нагрузке Google при выполнении большинства задач оценивается как незначительное. Напомним, что в синтетических тестах наблюдалось проседание производительности до 30% и даже до 60%. Патч KPTI (Kernel Page Table Isolation) нацелен на блокирование уязвимости Meltdown на уровне ядра Linux и основан на идее разделения памяти ядра и … Читать далее Google считает незначительным влияние на производительность патчей для блокирования атак Meltdown и Spectre

В GNOME 3.28 будет убрана возможность размещения пиктограмм на рабочем столе

В процессе подготовки следующего значительного выпуска пользовательского окружения GNOME 3.28, удалён код, отвечающий за отображение и размещение файлов, каталогов и индикаторов внешних накопителей на рабочем столе. Из настроек также удалены опции для выбора размещаемых по умолчанию типов пиктограмм на рабочем столе. За вывод пиктограмм на рабочем столе отвечал файловый менеджер Nautilus. Функциональность была отключена по умолчанию около 6 лет назад, в момент выхода GNOME 3. Обеспечивающий работу данной возможности код устарел, давно остаётся без сопровождения, мешает развитию GNOME и не позволяет реализовать некоторые значительные новшества. При этом, во многих дистрибутивах, включая Ubuntu 17.10, настройки GNOME по умолчанию изменены и пиктограммы … Читать далее В GNOME 3.28 будет убрана возможность размещения пиктограмм на рабочем столе

Обновление Firefox 57.0.4 и Chrome 63.0.3239.132

Доступен корректирующий выпуск Firefox 57.0.4, в котором реализованы средства для блокирования уязвимостей Meltdown и Spectre, которые можно эксплуатировать через выполняемый в браузере JavaScript-код. Для затруднения атак с 5 до 20µs была ограничена точность измерения интервалов времени функцией performance.now() и полностью отключена поддержка типа SharedArrayBuffer, позволяющего создавать массивы в разделяемой памяти. Следует отметить, что в Firefox 52 ESR тип SharedArrayBuffer изначально отключен по умолчанию. Аналогичные изменения планируется реализовать в выпуске Chrome 64, намеченном на 23 января. В текущем выпуске Chrome 63 атаки можно блокировать включив при помощи флага «chrome://flags/#enable-site-per-process» режим изоляции сайта (Full Site Isolation), при котором каждый сайт обрабатывается в … Читать далее Обновление Firefox 57.0.4 и Chrome 63.0.3239.132

В феврале в Беларуси состоится международная конференция LVEE Winter 2018

C 9 по 11 февраля под Минском пройдёт международная конференция разработчиков и пользователей свободного программного обеспечения Linux Vacation / Eastern Europe Winter 2018. Для участия в мероприятии требуется зарегистрироваться на сайте конференции. Заявки на участие принимаются до 3 февраля. Официальные языки конференции – русский, белорусский и английский. Цель проведения LVEE Winter – обмен опытом между специалистами по проектированию, разработке, внедрению, сопровождению и развитию решений Open Source, а также представителями IT-бизнеса, заинтересованными в феномене свободного ПО, обсуждение роли свободных технологий в эволюции бизнес-решений, корпоративных и государственных ИТ-систем. Формат включает преимущественно доклады и краткие выступления; также приветствуются круглые столы, воркшопы, код-спринты. Спектр … Читать далее В феврале в Беларуси состоится международная конференция LVEE Winter 2018

Для Raspberry Pi подготовлен инструментарий PiServer

Разработчики проекта Raspberry Pi представили инструментарий PiServer, позволяющий организовать работу и загрузку группы плат без размещения прошивки на SD-карте, путём сетевой загрузки с сервера, на котором обеспечивается централизованное управление настройками. Например, PiServer может быть использован для построения компьютерных классов, систем домашней автоматизации или промышленных сетей сбора информации с датчиков. Подготовка предоставляемых для загрузки системных образов и управление пользователями производятся через графический интерфейс. Каждый пользователь связывается с учётной записью на сервере, а данные пользователя хранятся в файловой системе сервера, что позволяет загружать специфичные для конкретного пользователя окружения, независимо от того, с какой платы осуществляется подключение. В качестве сервера может выступать любой … Читать далее Для Raspberry Pi подготовлен инструментарий PiServer

Cisco судится с Arista из-за повторения интерфейса командной строки

Организация Software Freedom Conservancy, а также компании GitHub и Mozilla Corporation, выступили в качестве независимых участников судебного разбирательства между компаниями Cisco и Arista. Компания Arista в своих продуктах реализовала совместимый с Cisco IOS интерфейс командой строки, который многие администраторы рассматривают как стандарт де-факто для управления коммутаторами и маршрутизаторами, но Cisco считает, что подобное заимствование нарушает её права и добивается признания того, что имитация интерфейса командной строки из Cisco IOS является нарушением интеллектуальной собственности. Ранее суд признал претензии Cisco необоснованными, так как отсутствует заимствование кода и в Arista применяется созданная с нуля альтернативная реализация общепринятого интерфейса. При вынесении решения суд применил … Читать далее Cisco судится с Arista из-за повторения интерфейса командной строки

Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64

Разработчики из Google Project Zero опубликовали детали двух уязвимостей, которые получили кодовые имена Meltdown и Spectre. Процессоры Intel и ARM64 подвержены обеим проблемам, AMD затрагивает только вторая уязвимость. Производители процессоров были уведомлены о проблемах 1 июня 2017 года. Для демонстрации атак подготовлены работающие прототипы эксплоитов, в том числе реализация на JavaScript, работающая в браузере. Уязвимость Meltdown (CVE-2017-5754) позволяет приложению прочитать содержимое любой области памяти компьютера, включая память ядра и других пользователей. Проблема также позволяет получить доступ к чужой памяти в системах паравиртуализации (режим полной виртуализации (HVM) проблеме не подвержен) и контейнерной изоляции (в том числе Docker, LXC, OpenVZ), например, пользователь … Читать далее Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64

Выпуск web-браузера Opera 50 с блокировщиком кода для майнинга криптовалют на сайтах

Доступен выпуск проприетарного браузера Opera 50, основанного на кодовой базе Chromium. Сборки сформированы для платформ Linux, macOS и Windows. Основные изменения: В дополнение ко встроенным инструментам для блокировки рекламы добавлено средство для противодействия выполняемым на сайтах скриптам для майнинга криптовалют. В последнее время в результате взломов или желания заработать на сайтах размещаются JavaScript-системы майнинга криптовалют, которые приводят к существенному увеличению нагрузки на процессор в системе пользователя. Защита реализована через добавление фильтра NoCoin к штатному блокировщику рекламы; Добавлена возможность вывода на внешние экраны при помощи устройства Chromecast; Улучшены средства для просмотра пространственного видео, снятого в режиме 360 градусов. Добавлена поддержка вывода … Читать далее Выпуск web-браузера Opera 50 с блокировщиком кода для майнинга криптовалют на сайтах

Проекты OpenWrt и LEDE объявили о слиянии

Проекты OpenWrt и LEDE, развивающие дистрибутивы для различных сетевых устройств, таких как маршрутизаторы и точки доступа, объявили о воссоединении. В соответствии с ранее согласованным планом, Git-репозиторий OpenWrt заменён на содержимое репозитория LEDE, который послужит основой для дальнейшей совместной разработки. Разработка объединённого проекта будет вестись под именем OpenWrt, но в соответствии с правилами LEDE, подразумевающими открытый процесс принятия решений с привлечением сообщества, прозрачность взаимодействия разработчиков, регулярный предсказуемый цикл подготовки релизов, первоочередное внимание стабильности дистрибутива, более либеральные правила приёма изменений и получения права коммита. Деятельность, связанная с решением юридических вопросов, сбором пожертвований и распоряжением активами (например, доменом и торговой маркой) нового совместного … Читать далее Проекты OpenWrt и LEDE объявили о слиянии

Разработчики Linux и Windows работают над закрытием огромной уязвимости в процессорах

Фундаментальная ошибка проектирования всех современных процессоров Intel, выпущенных за последние 10 лет, заставила разработчиков Linux и Windows в срочном порядке переписывать значительные куски кода ядер для того, чтобы закрыть недавно открытую в них уязвимость. Архитектура ARM64 также подвержена уязвимости. Детали уязвимости находятся под эмбарго до тех пор, пока не будут выпущены исправления, которое намечается на середину января 2018 года, когда выйдет новое ядро Linux и ежемесячное обновление безопасности для Windows. Проблема возможно уже исправлена в ядре 4.14.11, учитывая огромный размер инкрементного патча (229 KiB). По известным сейчас данным, обход этой аппаратной проблемы может привести к падению производительности приложений на процессорах … Читать далее Разработчики Linux и Windows работают над закрытием огромной уязвимости в процессорах

Релиз flashrom 1.0, утилиты для перепрошивки Flash-чипов

Представлен релиз многоплатформенной свободной утилиты flashrom 1.0.0, предназначенной для идентификации, чтения, записи, проверки и очистки Flash-чипов. Утилиту можно использовать для прошивки образов BIOS, EFI или firmware на материнские платы, контроллеры и адаптеры. Для работы не требуется перезагрузка и создание специального загрузочного диска, поддерживается прошивка не выходя из ОС Linux, FreeBSD, NetBSD, DragonFly BSD, OpenBSD, Solaris, macOS и DOS. Утилита поддерживает практически все существующие flash-чипы и технологии записи, доступные для архитектуры x86. Например, поддерживается 476 семейств flash-чипов, 291 чипсет flash-контроллеров, интерфейсы Parallel, LPC, FWH и SPI. Работа утилиты протестирована на 500 материнских платах. Flashrom распространяется под лицензией GPL и может выступать … Читать далее Релиз flashrom 1.0, утилиты для перепрошивки Flash-чипов

Возрождение дистрибутивов Freespire и Linspire

После десяти лет с момента прошлого выпуска возобновлена разработка дистрибутива Freespire и связанного с ним коммерческого продукта Linspire. Компания PC/OpenSystems, финансирующая разработку дистрибутива Black Lab Enterprise Linux, выкупила у бывшего владельца права на торговые марки Freespire и Linspire и подготовила выпуски Linspire 7.0 и Freespire 3.0. Linspire распространяется только по подписке, а Freespire доступен для свободной загрузки (x86_64, 1.4 Гб). Дистрибутивы построены на пакетной базе Ubuntu и отличаются сроками поддержки (выпуск обновлений до 2021 во Freespire и до 2025 года в Linspire), поставкой в Freespire только свободных программ, иным набором приложений по умолчанию и ориентацией Linspire на потребности корпоративных клиентов. … Читать далее Возрождение дистрибутивов Freespire и Linspire

Около 9% сайтов используют код для обхода блокировщиков рекламы

Исследователи из Университета Айовы и Калифорнийского университета в Риверсайде опубликовали результаты анализа использования на сайтах кода для определения блокировщиков рекламы, который применяется с целью ограничения доступа при наличии у пользователя блокировщиков рекламы или вывода уведомления с предложением отключить блокировку. Было выявлено, что обход блокировщиков рекламы практикуется на 9.1% из 5 тысяч самых популярных сайтов по рейтингу Alexa. При рассмотрении 100 тысяч самых популярных сайтов этот показатель составляет 5.2%. Для определения применения скриптов, противостоящим блокировщикам рекламы, исследователями использовались наборы правил, поставляемые в списке Anti-Adblock Killer List и секциях Adblock Warning Removal и Anti-Adblock из списка Combined EasyList. Что касается популярности блокировщиков … Читать далее Около 9% сайтов используют код для обхода блокировщиков рекламы

Релиз минималистичного набора системных утилит BusyBox 1.28

Представлен релиз пакета BusyBox 1.28 с реализацией набора стандартных утилит UNIX, оформленных в виде единого исполняемого файла и оптимизированных для минимального потребления системных ресурсов при размере комплекта менее 1 Мб. Первый выпуск новой ветки 1.28 позиционируется как нестабильный, полная стабилизация будет обеспечена в версии 1.28.1, которая ожидается примерно через месяц. Код проекта распространяется под лицензией GPLv2. Модульный характер BusyBox даёт возможность сформировать один унифицированный исполняемый файл, содержащий в себе произвольный набор реализованных в пакете утилит (каждая утилита доступна в форме символической ссылки на данный файл). Размер, состав и функциональность коллекции утилит можно варьировать в зависимости от потребностей и возможностей встраиваемой … Читать далее Релиз минималистичного набора системных утилит BusyBox 1.28