Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита механизмов шифрования, применяемых в пакете OpenVPN 2.4.0. Работа выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки. Результаты пока не разглашаются и 7 апреля будут переданы разработчикам OpenVPN, которые подготовят корректирующий выпуск 2.4.2. Детали, касающиеся выявленных проблем, будут опубликованы одновременно с релизом OpenVPN 2.4.2. Читать далее Завершён аудит проекта OpenVPN

В рамках проекта USB Canary развивается небольшая утилита для отслеживания активности USB-портов и отправки уведомления в случае, если подключение нового устройства обнаружено во время блокировки экрана или в нерабочее время. Утилита может оказаться полезной для организаций со строгими правилами использования USB-накопителей или людей параноидально относящихся к безопасности, которые хотят быть уверенными, что во время оставления компьютера без пресмотра, он не будет атакован через USB-порт, например, при помощи специального устройства или инструментария BadUSB. Уведомление может быть отправлено через SMS (используется API Twilio) или добавлено в канал Slack. Читать далее USB Canary

Представлен релиз SQLite 3.18.0, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Основные новшества: Добавлено выражение «PRAGMA optimize» для выполнения операции быстрой оптимизации БД для ускорения выполнения последующих запросов; В расширение JSON1 добавлена функция json_patch() с реализаций алгоритма MergePatch для изменения или удаления элементов объекта JSON; Внесены новые оптимизации для ускорения выполнения операции LIKE, которые действуют для произвольных выражений в левой части оператора … Читать далее Релиз СУБД SQLite 3.18.0

Подборка первоапрельских шуток: Проект Xen, понимая то, что язык Си был создан 45 лет назад и сильно устарел, принял решение переписать гипервизор на более современном языке программирования. В ходе долгих дебатов разработчики остановились на Rust и JavaScript. На Rust будет переписан код обработки исключений X86 и другие низкоуровневые компоненты, а на JavaScript и Node.js будет переписан инструментарий. Ожидается, что после перехода на новые языки эффективность и скорость разработки увеличится более, чем в 10 раз; В сообществе разработчиков ядра введено внешнее управление под предводительством Дональда Дрампфа (Donald Drumpf), устранено единоличное принятие решений Линусом и проведена чистка среди мэйнтейнеров подсистем. По мнению … Читать далее Подборка первоапрельских шуток 2017 года (дополнено)

Проект Scientific Linux объявил о скором окончании времени жизни ветки Scientific Linux 5, выпуск обновлений для которой будет прекращён 31 марта (в этот же день Red Hat прекратит поддержку RHEL 5 и CentOS 5, после 10 лет существования данных веток). Все связанные с Scientific Linux 5 пакеты будут перемещены в архив, что нарушит работу yum-репозиториев с Scientific Linux 5, использующих официальные серверы. Читать далее Объявление о прекращении поддержки Scientific Linux 5

Компания Microsoft приняла решение закрыть развиваемый на протяжении последних 11 лет хостинг свободного кода CodePlex. Пользователям рекомендовано перевести свои проекты на GitHub, которым последнее время сам активно пользуется Microsoft. Совместно с GitHub подготовлен инструментарий для бесшовной миграции проектов с CodePlex. В качестве возможной платформы для перехода дополнительно упоминается Bitbucket, который поддерживает импорт репозиториев Mercurial. Средства для миграции с CodePlex также подготовил SourceForge. С момента анонса закрытия CodePlex создание новых проектов на данном хостинге остановлено. Работа средств для разработки всех уже существующих открытых проектов будет обеспечена до октября, после чего CodePlex будет переведён в режим только для чтения. 15 декабря CodePlex … Читать далее Компания Microsoft объявила о закрытии хостинга свободного кода CodePlex

Состоялся релиз дистрибутива NixOS 17.03, основанного на пакетном менеджере Nix и предоставляющего ряд собственных разработок, упрощающих настройку и сопровождение системы. Например, в NixOS используется единый файл системной конфигурации (configuration.nix), предоставляется возможность быстрого отката обновлений, присутствует поддержка переключения между различными состояниями системы, поддерживается установка индивидуальных пакетов отдельными пользователями (пакет ставится в домашнюю директорию), возможна одновременная установка нескольких версий одной программы. Размер полного установочного образа с KDE — 790 Мб, сокращённого консольного варианта — 315 Мб. В создании нового выпуска приняли участие 625 разработчиков, подготовивших 12479 изменений. Основные новшества: Добавлена возможность использования оверлеев для расширения или изменения пакетов Nixpkgs. Оверлеи могут применяться … Читать далее Доступен дистрибутив NixOS 17.03, использующий пакетный менеджер Nix

Подборка первоапрельских шуток: Проект Xen, понимая то, что язык Си был создан 45 лет назад и сильно устарел, принял решение переписать гипервизор на более современном языке программирования. В ходе долгих дебатов разработчики остановились на Rust и JavaScript. На Rust будет переписан код обработки исключений X86 и другие низкоуровневые компоненты, а на JavaScript и Node.js будет переписан инструментарий. Ожидается, что после перехода на новые языки эффективность и скорость разработки увеличится более, чем в 10 раз; В сообществе разработчиков ядра введено внешнее управление под предводительством Дональда Дрампфа (Donald Drumpf), устранено единоличное принятие решений Линусом и проведена чистку среди мэйнтейнеров подсистем. По мнению … Читать далее Подборка первоапрельских шуток 2017 года

Состоялся релиз консольного текстового редактора GNU nano 2.8.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vi слишком сложным для освоения. В новом выпуске осуществлён переход на использование библиотеки gnulib, что отразилось в большом числе внутренних изменений. Из новшеств, заметных пользователю, отмечается улучшение навигации по длинным строкам, не вмещающимся в ширину экрана и визуально переносимых на следующую строку (soft wrap). Клавиши вверх и вниз теперь перемещают курсор между визуальными строками, вместо перемещения между логическими строками. Аналогично клавиши Home и End теперь перемещаются по визуальным строкам, но если курсор уже вначале или конце визуальной строки, нажатие … Читать далее Релиз текстового редактора GNU nano 2.8.0

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 2.5. С момента выпуска версии 2.4 было закрыто 30 отчётов об ошибках. Наиболее важные изменения: Поддержка режима обмена сообщениями для именованных каналов; Реализована возможность создания переводов через po-файлы для ресурсов с информацией о версии; В Direct3D добавлена поддержка «transform feedback», возможности, при которой примитивы, появившиеся в результате вычислений вершинными шейдерами, можно сохранить в объект буфера и потом использовать в дальнейшем; В C++ runtime реализованы классы Scheduler; Улучшена прокрутка во всплывающих меню; Расширены возможности библиотеки XmlReader; Закрыты отчёты об ошибках, связанные с работой игр и приложений: WinUAE 2.5.1, Gas Guzzlers Combat Carnage, … Читать далее Выпуск Wine 2.5

Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.3. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, дает возможность работы с многотрековыми монтажными шкалами с возможностью перемещения … Читать далее Выпуск свободного видеоредактора OpenShot 2.3

В рамках проекта Binary Transparency для Firefox развивается возможность, которая предоставит средства для подтверждения корректности любых публично распространяемых бинарных файлов и даст гарантии, что файлы не содержат вредоносных изменений. В отличие от проверки пакетов по цифровой подписи и контрольной сумме, верификация затрагивает не общий архив, а непосредственно исполняемые или библиотечные файлы по отдельности, которые могут загружаться не только из официальных, но из сторонних источников. Проверку планируется интегрировать в систему автоматической установки обновлений, которая будет проверять все предлагаемые для загрузки обновления. В дальнейшем наработки проекта выступят основой для формирования повторяемых сборок, позволяющих удостовериться, что бинарные файлы собраны из предоставленных исходных текстов, … Читать далее Mozilla развивает средства верификации бинарных файлов Firefox

Состоялся выпуск новой версии QMapShack-1.8.0, свободной программы (GPLv3) для планирования туристических походов, навигации и маршрутизации в путешествиях. QMapShack продолжает развитие QLandkarte, старого проекта от того же автора, и предоставляет поддержку различных форматов карт, возможность многослойного просмотра, ведения дневника путешествия и средства для прокладки маршрута. QMapShack удобно использовать для подготовки к путешествиям, а также написания, хранения, изучения, распространения данных о путешествиях. Поддерживается установка в GNU/Linux, macOS и Windows. Среди главных изменений в QMapShack 1.8.0: Добавлен официальный русский перевод; Добавлен дополнительный движок маршрутизации BRouter, учитывающий цифровую модель рельефа Земли и поддерживающий онлайн и офлайн маршрутизацию. В случае обособленной локальной установки может рассчитывать … Читать далее Выпуск QMapShack 1.8.0, программы для планирования и анализа путешествий

Рафаэль Шеель (Rafael Scheel), исследователь безопасности из компании Oneconsult, продемонстрировал практическую возможность совершения атаки на умные телевизоры, которая даёт возможность получить полный контроль за устройством через подстановку команд HbbTV при обработке потоков DVB-T (Digital Video Broadcasting — Terrestrial). По данным исследователя около 90% всех умных телевизоров потенциально подвержены подобным атакам. Стандарт HbbTV определяет средства для организации гибридного интерактивного телевидения, в том числе через HbbTV можно инициировать обработку на Smart TV произвольных web-страниц в формате CE-HTML, в котором допустимо применение JavaScript. Через подобные страницы могут быть эксплуатированы известные уязвимости в web-движках, применяемых на умных телевизорах. В используемом для демонстрации телевизоре Samsung … Читать далее Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения

Kyle E. Mitchell, юрист специализирующийся на коммерческом праве, опубликовал заслуживающую внимания таблицу, отражающую типичное представление бизнеса о различных открытых лицензиях. Лицензия Уровень неудобства использования в продуктах или сервисах компании Уровень неопределённости в толковании терминов и условий лицензии Мнения в отношении к лицензии AGPL-3.0 ! ! ! ? ? ? Вызывает страх и опасения. Прикрывает лазейки при использовании ПО в реализации сервисов. Не нравится. Относительно новая форма. Apache-2.0 ! ? Лучшая пермиссивная лицензия. Составлена профессионально. Учитывает право на использование запатентованных технологий. Artistic-1.0 ! ? ? Нишевая лицензия, связанная с Perl. Составлена слабо. Проверена в суде. Artistic-2.0 ! ? Нишевая лицензия, связанная … Читать далее Открытые лицензии глазами корпоративного юриста

Доступно обновление браузера Chrome 57.0.2987.133, в котором устранена порция уязвимостей. Четыре проблемы помечены как опасные, а одной присвоен статус критической уязвимости (CVE-2017-5055), позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Уязвимость присутствует в коде организации вывода на печать и вызвана обращением к области памяти после её освобождения. Сообщившему об уязвимости исследователю выплачено вознаграждение в размере 9337 долларов США. Из других исправленных уязвимостей можно отметить переполнение буфера в движке V8 (CVE-2017-5054), некорректное приведение типов в Blink (CVE-2017-5052), обращение к буферу после его освобождения в Blink (CVE-2017-5056) и доступ к памяти вне границ буфера в V8 … Читать далее Обновление Chrome 57.0.2987.133 с устранением критической уязвимости

Разработчики web-браузера Chrome рассматривают возможность ограничения диалогов, реализуемых средствами JavaScript и блокирующих просмотр контента. В основной массе подобные диалоги применяются для навязывания каких-то действий и вызывают значительное недовольство среди посетителей. Помимо раздражающих, но безвредных и одобренных владельцами ресурсов, всплывающих диалогов, в которых предлагается пройти различные опросы, обратиться к online-консультанту, подписаться на канал в социальной сети или подтвердить закрытие страницы, последнее время участились случаи использования данных диалогов для мошенничества или совершения вредоносных действий. Например, через рекламные сети или взлом сайтов продвигаются блоки, предлагающие обновить браузер чтобы продолжить просмотр страницы или установить поддельный антивирус под предлогом обнаружения в системе вируса, а также … Читать далее Разработчики Chrome намерены ограничить всплывающие диалоги на JavaScript

Опубликованы сведения о 0-day уязвимости в ядре Linux (CVE-2017-7184), которая была использована на соревновании Pwn2Own 2017 для демонстрации атаки на Ubuntu Linux, позволившей локальному пользователю выполнить код с правами root. Уязвимость вызвана ошибкой во фреймворке преобразования сетевых пакетов XFRM, применяемом для реализации IPsec. В функции xfrm_replay_verify_len(), вызываемой из xfrm_new_ae(), не выполнялась проверка заданного пользователем параметра replay_window, записываемого в буфер состояний. Манипулируя содержимым, связанным с данным параметром, атакующий может организовать запись и чтение данных в областях памяти ядра за пределами выделенного буфера. Несмотря на то, что эксплуатация была продемонстрирована в Ubuntu, проблема не специфична для данного дистрибутива и проявляется в любых … Читать далее Раскрыты подробности о root-уязвимости в ядре Linux, атакованной на Pwn2Own

Представлен релиз платформы оркестровки контейнеров Kubernetes 1.6, позволяющей как единым целым управлять кластером Linux-контейнеров, созданных с использованием таких инструментариев как Docker и rkt. Платформа обеспечивает эффективное распределение контейнеров по узлам кластера, производя миграцию в зависимости от изменения нагрузки и потребности в сервисах. Код Kubernetes написан на языке Go и распространяется под лицензией Apache 2.0. Проект Kubernetes изначально был основан компанией Google и позиционируется как развиваемое сообществом универсальное решение, не привязанное к отдельным системам и способное работать с любыми приложениями в любых облачных окружениях. Предоставляются функции для развёртывания и управления инфраструктурой, такие как ведение базы DNS, балансировка нагрузки, проверка работоспособности на … Читать далее Выпуск Kubernetes 1.6, системы управления кластером изолированных контейнеров

В последнюю среду марта традиционно отмечается «День свободы документов«, в который по всему миру проводятся мероприятия, направленные на продвижение среди пользователей открытых стандартов и открытых форматов. Хранение документов в открытых форматах позволяет избавиться от зависимости от коммерческих производителей ПО и гарантирует возможность прочитать сохраненную информацию и через 20 лет. Как правило, намеченные мероприятия будут связаны с проведением встреч энтузиастов и чтением в университетах докладов с рассказом о преимуществах формата ODF. К сожалению, в России, Украине и Белоруссии в этом году не нашлось инициативных групп, готовых организовать проведение тематических встреч, по крайней мере данных стран нет в списке зарегистрированных мероприятий. Читать далее Сегодня отмечается День свободы документов

В ходе совместной работы инженеры из Collabora и Google подготовили прослойку «drm_hwcomposer», обеспечивающую работу графической подсистемы платформы Android поверх штатного графического стека ядра Linux и API DRM (Direct Rendering Manager). Код прослойки drm_hwcomposer принят в основной репозиторий проекта Chrome OS. Напомним, что в Android применяются специфичные видеодрайверы, работающие в пространстве пользователя и предоставляющие интерфейс для доступа к графическому оборудованию через API Hardware Composer (HWC). Прослойка «drm_hwcomposer» работает поверх mesa и libdrm, обеспечивая трансляцию API DRM в API HWC, что позволяет реализовать поддержку HWC на базе обычных DRM-драйверов. При этом SurfaceFlinger, композитный менеджер Android, продолжает использовать API HWC и не требует … Читать далее Для Android реализована возможность применения штатных видеодрайверов Linux