В NextGEN Gallery, дополнении к системе управления web-контентом WordPress, насчитывающем более 16 млн загрузок и более миллиона установок, выявлена критическая узвимость, позволяющая неаутентифицированному посетителю выполнить SQL-запрос и получить доступ к содержимому базы данных, в том числе к хэшам паролей пользователей WordPress. Проблема проявляется только если в дополнении активирована функции отображения облака тегов или разрешено размещение материалов для публикации после рецензирования. Уязвимость вызвана некорректной проверкой параметров запроса (например, «http://target.url/2017/01/17/new-one/nggallery/tags/test%251%24%25s))%20or%201=1%23»), что приводит к включению в SQL-запрос полученных от пользователя данных, без их корректной чистки. Уязвимость молча устранена в версии NextGEN Gallery 2.1.79 без отражения информации об исправлении критической уязвимости в списке изменений. Читать далее Возможность подстановки SQL-кода в популярном дополнении к WordPress

В рамках проекта HTTPLabs подготовлена реализация интерактивного http-сервера, позволяющего наглядно инспектировать приходящие запросы и на лету генерировать ответы, соответствующие заданным параметрам. В том числе можно по мере поступления запросов править заголовки, коды ответа, задержки и сами ответы. Также можно выводить готовые ответы из ранее подготовленного типового списка. Утилита подготовлена по мотивам интерактивного http-клиента wuzz. Код написан на языке Go и поставляется под лицензией MIT. Читать далее HTTPLabs, интерактивный http-сервер для тестирования и отладки

Рабочая группа по стандартизации технологии WebAssembly, сформированная при организации W3C из представителей проектов Chrome, Edge, Firefox и WebKit, сделала заключение, что бинарный формат и начальный WebAssembly API достигли уровня MVP (минимально жизнеспособный продукт), что даёт разработчикам браузеров зелёный свет на включение WebAssembly по умолчанию. WebAssembly предоставляет не зависящий от браузера универсальный низкоуровневый промежуточный код для выполнения в браузере приложений, скомпилированных из различных языков программирования. Участники рабочей группы согласились, что архитектура WebAssembly достигла уровня, при котором её дальнейшее развитие невозможно без реального внедрения и начала широкого использования в приложениях. С WebAssembly теперь снята метка «Browser Preview», а все дальнейшие изменения JavaScript … Читать далее Технология WebAssembly признана готовой для включения в браузерах по умолчанию

После года разработки проект Peachpie, в рамках которого развивается открытый компилятор из PHP в .NET, достиг возможности компиляции системы управления web-контентом WordPress. Код компилятора написан на языке C# и распространяется под лицензией Apache 2.0. Проектом также разработан специальный runtime, полностью совместимый с runtime PHP 7.1, что позволяет запускать немодифиицированный WordPress поверх платформы .NET Core, без применения PHP. Среди причин создания компилятора PHP для платформы .NET называются: Желание получить более высокую производительность — скомпилированный код работает быстрее и может быть дополнительно оптмизирован при помощи .NET Jitter; Возможность взаимодействия PHP-приложений с плагинами, написанными на C#, и библиотеками .NET; Поддержка кросс-компиляции PHP-кода в … Читать далее Проект Peachpie достиг возможности компиляции WordPress для платформы .NET

Представлен новый релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 17.02. Это первый релиз, подготовленный в рамках перехода на новый двухмесячный цикл разработки. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3. Основные изменения: Улучшения в менеджере проектов. Добавлен визуальный конфигуратор проектов, позволяющий изменять их настройки без необходимости ручного редактирования конфигурационных файлов. Функциональность создания новых проектов расширен командой Clone Projects, позволяющей создавать точные копии имеющихся … Читать далее Релиз движка для создания браузерных 3D-приложений Blend4Web 17.02

В день пятилетия проекта организация Raspberry Pi Foundation объявила о поступлении в продажу новой платы Raspberry Pi Zero W, сочетающую компактные размеры и наличие поддержки Bluetooth и Wi-Fi. Стоимость новой модели составляет 10 долларов США, что в два раза дороже прошлой модели Raspberry Pi Zero. Модель Zero W выполнена в том же форм-факторе, что и ранее поставляемая Raspberry Pi Zero (65 x 30 x 5 мм), т.е. примерно в два раза меньше обычного Raspberry Pi. Ключевым отличием является интеграция чипа Cypress CYW43438, обеспечивающего поддержку 802.11 b/g/n и Bluetooth 4.1. В остальном параметры Zero W сходны с прошлым компактным вариантом — … Читать далее Проект Raspberry Pi анонсировал плату Zero W с Bluetooth и Wi-Fi

Компания Google сообщила о выборе проектов для участия в инициативе Google Summer of Code 2017. Из почти 400 подавших заявки открытых проектов для участия в программе одобрено 201, из которых 18% проектов не принимали участие в GSoC в предыдущие годы. До 20 марта у студентов есть время выбрать себе задание по душе и обсудить возможность его выполнения с представителями подавших заявку проектов. Заявки будут приниматься до 3 апреля. До 1 мая представители открытых проектов выберут студентов, которые займутся выполнением работ. C 30 мая по 29 августа отводится время на написание кода. 6 сентября будут представлены общие результаты мероприятия. За успешно … Читать далее Сформирован список организаций, участвующих в Summer of Code 2017

Компания Mozilla Corporation сообщила о завершении сделки по покупке компании Read It Later и принадлежащего ей сервиса Pocket, который интегрирован в Firefox начиная с выпуска 38.0.5 и позволяет отложить страницы, чтобы вернуться к ним когда появится время. Отмечается, что это первое стратегическое поглощение, предпринятое Mozilla для увеличения доли на мобильных устройствах и развития системы контекстных рекомендаций. Сумма сделки не сообщается. Сотрудники Pocket сохранят свои позиции, а компания Read It Later продолжит работу в форме независимого подразделения Mozilla Corporation. Сервисы Pocket будут развиваться как новая линейка контенто-ориентированных продуктов Mozilla, продвигаемая параллельно с Firefox. Технологии Pocket будут задействованы в разработке инициативы Context … Читать далее Компания Mozilla объявила о покупке сервиса Pocket

После двух лет разработки доступен первый стабильный релиз проекта Mender, в рамках которого развивается система для организации OTA-обновления (over-the-air) встраиваемых решений и потребительских устройств на базе различных Linux-окружений. Выпуск Mender 1.0 позиционируется как первый, готовый для внедрения в реальных проектах. Код клиентской и серверной частей системы написан на языке Go и поставляется под лицензией Apache 2.0. Целью проекта является упрощение развёртывания инфраструктуры для доставки и установки OTA-обновлений, что даёт возможность разработчикам прошивок сосредоточится на создании продукта, не отвлекаясь на решение задач по доставке обновлений. Mender предоставляет разработчикам серию компонентов, позволяющих развернуть сервер для доставки, управления и сборки атомарно устанавливаемых обновлений, … Читать далее Первый стабильный выпуск системы OTA-обновлений Mender

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, объявила о заключении партнёрского соглашения с компанией Sony, в рамках которого будут подготовлены прошивки с операционной системой Sailfish для устройств линейки Sony Xperia. На проходящей в эти дни выставке Mobile World Congress продемонстрирована официальная версия Sailfish для смартфона Xperia X. В будущем спектр поддерживаемых моделей будет расширен. В конце второго квартала 2017 года также планируется выпустить первый смартфон Sony, поставляемый с Sailfish. Будет ли этот смартфон основан на модели Sony Xperia, не сообщается. Читать далее Компании Jolla и Sony представили версию Sailfish для смартфонов Sony Xperia

В ответ на очередной набор изменений в подсистеме DRM (Direct Rendering Manager), присланный для включения в состав будущей ветки ядра 4.11, Линус Торвальдс пришёл в ярость и в жесткой форме раскритиковал Дэвида Эйрли (David Airlie), мэйнтейнера подсистемы DRM, за его отношение к контролю качества присылаемых патчей. В частности, Линус недоумевает как мэйнтейнер мог отправить для финального включения в новый выпуск ядра набор патчей, который явно не тестировался и непригоден для сборки из-за ошибки компиляции. Процесс разработки ядра построен на цепочке доверия и основной задачей мэйнтейнеров подсистем является предварительная проверка и рецензирование изменений в делегированных им областях. По словам Линуса он … Читать далее Линус Торвальдс выступил с критикой контроля качества в DRM-подсистеме ядра Linux

Авторы проекта netcode.io представили решение для создания каналов связи с браузерными web-приложениями на основе протокола UDP, позволяющего добиться минимальных задержек в доставке пакетов, недостижимых для TCP. В частности, netcode.io может оказаться полезен в браузерных играх, которые в настоящее время вынуждены использовать WebSockets для оперативного взаимодействия между клиентом и игровым сервером. Код серверной и клиентской эталонных реализаций написаны на языке Си и распространяется под лицензией BSD. Все основные виды коммуникаций в браузере основаны на TCP, но имеется обходной путь по использованию UDP через применение предоставляемого в WebRTC режима ненадёжной передачи данных. По мнению разработчиков netcode.io, распространению WebRTC для организации связи в … Читать далее Проектом netcode.io предложены средства для использования UDP в web-приложениях

Сформированы новые выпуски руководств Linux From Scratch 8.0 (LFS) и Beyond Linux From Scratch 8.0 (BLFS), а также редакций LFS и BLFS с системным менеджером systemd. В Linux From Scratch приведены инструкции по созданию с нуля базовой Linux-системы, используя лишь исходные тексты необходимого программного обеспечения. Beyond Linux From Scratch дополняет инструкции LFS информацией о сборке и настройке около 800 программных пакетов, охватывающих различные области применения, от СУБД и серверных систем, до графических оболочек и медиапроигрывателей. В Linux From Scratch 8.0 произведено обновление 29 пакетов, исправлены ошибки в загрузочных скриптах, выполнены редакторские работы в пояснительных материалах по всей книге. В новой … Читать далее Опубликованы Linux From Scratch 8.0 и Beyond Linux From Scratch 8.0

Доступен выпуск распределенной системы управления исходными текстами Git 2.12.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. Из проектов, разрабатываемых с использованием Git, можно отметить ядро Linux, Android, LibreOffice, Systemd, X.Org, Wayland, Mesa, GStreamer, Wine, Debian, DragonFly BSD, Perl, Eclipse, GNOME, KDE, Qt, Ruby on Rails, PostgreSQL, VideoLAN, PHP, Python, Xen, Minix. По сравнению с прошлым … Читать далее Выпуск распределенной системы управления исходными текстами Git 2.12.0

Подготовлена первая стабильная сборка проекта TrueOS, пришедшего на смену PC-BSD после перехода на rolling-модель подготовки обновлений. В TrueOS поставляются самые свежие версии пакетов, а ядро и компоненты базовой системы синхронизируется не с релизами FreeBSD, а с кодовой базой FreeBSD-CURRENT с заимствованием из OpenBSD некоторой функциональности, связанной с обеспечением безопасности. В качестве рабочего стола по умолчанию используется окружение Lumina. По сравнению с прошлой бета-сборкой в стабильном выпуске добавлена поддержка автоматического монтирования разделов, реализованная при помощи devd и autofs. При подключении USB-накопителя система автоматически определяет и подключает имеющиеся файловые системы. Далее система отслеживает активность операций копирования даннных и после прекращения работы с … Читать далее Первый стабильный выпуск проекта TrueOS, заменившего PC-BSD

Не дожидаясь компании Google, которая на 90 дней отложила публикацию практических наработок в области подбора коллизий SHA-1, энтузиасты представили сразу несколько своих вариантов осуществления атаки, основанных на изначально доступном теоретическом описании и продемонстрированных компанией Google PDF-документах. В частности, запущен альтернативный сервис SHA1 collider, позволяющий загрузить два разных изображения и сразу получить на выходе два PDF-файла, имеющих одинаковый хэш SHA-1, но выводящих разные изображения. Также подготовлен Python-скрипт для приведения двух многостраничных PDF-документов к виду с одинаковыми хэшами SHA-1. В случае предложенной атаки на PDF, для создания двух PDF-файлов с одинаковыми хэшами SHA-1 больших вычислительных ресурсов не требуется. Суть метода в использовании … Читать далее Энтузиасты воссоздали метод мгновенной генерации PDF-файлов с одинаковым хэшем SHA-1

С небольшим отставанием от протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.13, подготовлен релиз параллельно развиваемого композитного сервера Weston 2.0. Смена номера значительной версии в Weston 2.0 обусловлена изменениями в новом API управления выводом, нарушающими совместимость c libweston на уровне ABI. Все штатные бэкенды портированы на новый API для настройки вывода. В новой версии также добавлена поддержка EGL-расширения EGL_KHR_swap_buffers_with_damage, реализованного в проприетарном драйвере NVIDIA. В бэкенде GL добавлена поддержка буферов DRM_FORMAT_YUV444. Улучшено позиционирование панелей в desktop-shell. В XWayland приведены в порядок сообщения об ошибках. Напомним, что Weston развиваются технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и … Читать далее Выпуск композитного сервера Weston 2.0

Коммуникационный сервис Wire, предлагающий end-to-end шифрование для обмена сообщениями, голосовых звонков и видеовызовов, объявил о решении по открытию исходных текстов серверной части, в дополнение к коду клиентских приложений, открытому ранее под лицензией GPLv3. Код серверных компонентов планируется открыть до конца марта. Решение принято после успешного проведения независимого аудита реализации применяемого в Wire протокола Proteus и Cryptobox API. Аудит не выявил каких-то концептуальных или особо опасных проблем, в основном благодаря применению в Wire распространённых стандартных криптографических алгоритмов (ChaCha20, HMAC-SHA256, Curve25519 и HKDF) в реализации из библиотеки libsodium. В клиентских приложениях были выявлены отдельные уязвимости, но они уже исправлены. Читать далее Сервис мгновенного обмена сообщениями Wire объявил о скором открытии серверного кода

В одной из крупнейших сетей доставки контента Cloudflare выявлена ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфиденциальные данные, фигурирующие при обработке запросов других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя «cloudbleed» по аналогии с уязвимостью «Heartbleed«. Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, токены OAut, сессионные cookie, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы. Пик утечки пришёлся на 13-18 февраля, в эти дни ежедневно … Читать далее Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов

Компания Valve начала официальное бета-тестирования версии SteamVR для платформы Linux. Разработчики приложений для шлемов виртуальной реальности получили возможность создавать SteamVR-контент для систем на базе Linux. Поддержка оборудования пока ограничена шлемом HTC Vive, для работы требуется свежий бета-выпуск Steam Client и установка драйверов NVIDIA 375.27.10+ или экспериментальных драйверов AMD radv, GPU Intel пока не поддерживаются. Для разработки приложений виртуальной реальности предлагается использовать только графический API Vulkan (OpenGL пока работает слишком медленно и не пригоден для создания интерактивных приложений). Читать далее Компания Valve выпустила SteamVR для Linux

Представлен бета-выпуск дистрибутива Ubuntu 17.04 «Zesty Zapus», который ознаменовал переход к первой стадии заморозки пакетной базы и смещение вектора разработки от развития новых возможностей к тестированию и исправлению ошибок. В соответствии с планом разработки для тестирования предлагается использовать ежедневные экспериментальные сборки. Готовые тестовые образы созданы только для Kubuntu, Lubuntu, Xubuntu, Ubuntu Budgie, Ubuntu GNOME, Ubuntu Kylin, Ubuntu MATE и Ubuntu Studio. Релиз Ubuntu 17.04 запланирован на 13 апреля. Основные новшества: Ubuntu GNOME: В состав включена бета-версия GNOME 3.24 (3.23.90), в финальной версии будет поставляться свежий выпуск рабочего стола GNOME 3.24. Особенностью GNOME 3.24 станет режим ночной подсветки («Night Light»), при … Читать далее Бета-выпуск Ubuntu 17.04