Выпущены внеплановые корректирующие обновления платформы для организации совместной разработки GitLab 8.7.1, 8.6.8, 8.5.12, 8.4.10, 8.3.9 и 8.2.5, в которых устранена критическая уязвимость (CVE-2016-4340), позволяющая поднять свои привилегии в системе. Проблема присутствует в режиме «impersonate», появившемся в GitLab 8.2, и позволяет любому аутентифицированному пользователю войти в систему под другим пользователем, в том числе под администратором. В качестве обходных способов для блокирования уязвимости можно добавить в настройки /etc/gitlab/gitlab.rb строку nginx[‘custom_gitlab_server_config’] = «location ^~ /admin/users/stop_impersonation { deny all; }n» и перезапустить GitLab («sudo gitlab-ctl reconfigure») или заблокировать доступ к обработчику /admin/users/stop_impersonation на уровне http-сервера: Nginx: location ^~ /admin/users/stop_impersonation { deny all; } Apache: … Читать далее В GitLab устранена критическая уязвимость

Компания Google представила релиз операционной системы Chrome OS 50, основанной на ядре Linux, открытых компонентах и web-браузере Chrome 50. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 50 доступна для всех актуальных моделей Chromebook, кроме Pinky 11.6 и Asus Chromebit. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache. Кроме того, проектом Chromium OS for SBC выпущена сборка для Raspberry Pi 2 и Raspberry Pi 3. … Читать далее Релиз операционной системы Chrome OS 50

В рамках проекта Phuctor (The RSA Super Collider) развивается публичный сервис, позволяющий оценить надёжность используемых RSA-ключей и получить сведения о проблемных ключах, используемых в подписях PGP/GPG. Phuctor позволяет определить потенциальную возможность компрометации закрытого ключа на основании анализа открытого ключа. Phuctor использует усовершенствованный алгоритм факторизации ключей, предложенный Дэниелем Бернштейном (Daniel J. Bernstein), позволяющий выявить проблемы с генерацией простых чисел, используемых при создании ключей. Система проверяет применение для начальных коэффициентов составных чисел и выявляет использование в разных ключах одинаковых цикличных коэффициентов (модуль), что может указывать на возможное наличие дубликатов закрытого ключа. Как правило, проблемы с ключами возникают при использовании ненадёжных генераторов случайных … Читать далее Доступен проект Phuctor, коллайдер RSA ключей

3 мая Фонд СПО в сотрудничестве с организациями Electronic Frontier Foundation, Creative Commons и Document Foundation проводит международный день против технических средств защиты авторских прав (DRM), ограничивающих свободу пользователя. По мнению сторонников акции пользователь должен иметь возможность полностью контролировать свои устройства, от автомобилей и медицинских устройств до телефонов и компьютеров. В этом году мероприятие проводится в десятый раз. Проведение дня против DRM координируется на сайте Defective by Design, на котором также собраны примеры негативного влияния DRM в различных областях деятельности. В качестве показательного шага против продвижения DRM можно отметить заявление Гарри Галпина (Harry Halpin) об увольнении из организации W3C в … Читать далее 3 мая проходит международный день против DRM

По данным общемирового рейтинга Net Applications, браузер Chrome занял 41.71% рынка, что позволило ему вырваться на первое место, опередив Internet Explorer (41.33%), Firefox (10.06%), Safari (4.47%) и Opera (2.01%). Год назад доля Chrome составляла 25.68%, а Internet Explorer — 55.83%, Firefox — 11.70%, Safari — 5.12% и Opera — 1.19%. Следует отметить, что Net Applications до сих пор оставался единственным рейтингом, в котором Chrome не занимал первое место. Интересно, что в других рейтингах доля Internet Explorer существенно ниже. Например, по данным рейтинга StatCounter, Chrome обогнал Internet Explorer ещё в 2012 году, а в настоящее время доля Chrome составляет 56.74%, Firefox … Читать далее Chrome обогнал Internet Explorer по данным сервиса Net Applications

Опубликован первый значительный выпуск системы сборки Pants 1.0, развиваемой компанией Twitter в качестве масштабируемой замены сборочного инструментария Maven. Pants предоставляет средства для сборки и тестирования кода на различных языках программирования и хорошо подходит для организации сборки в больших или быстрорастущих репозиториях, содержащих множество подпроектов, совместно использующих значительные порции кода. Система также оптимизирована для работы в условиях наличия сложных зависимостей от внешних библиотек. Проект написан на языке Python и распространяется под лицензией Apache 2.0. Pants 1.0 позиционируется как первый значительный выпуск, пригодный для широкого использования, в котором осуществлена стабилизация интерфейсов для разработки модулей-дополнений и опций командной строки. В новом выпуске также … Читать далее Twitter представил первый значительный выпуск системы сборки Pants

Австралийский учёный и предприниматель Крейг Райт (Craig Wright) публично объявил, что он является создателем Bitcoin, выступавшим под псевдонимом Сатоси Накамото. В качестве доказательства своего авторства Райт продемонстрировал наличие доступа к биткоинам, принадлежащим Сатоси Накамото. Признание ставит точку на многолетних спекуляциях о том, кто создал оригинальные идеи, лежащие в основе криптовалюты. Доказательство предоставлено трём СМИ: BBC, The Economist и GQ, на встрече с которыми Райт подписал цифровой подписью сообщения с использованием криптографических ключей, созданных в первые дни развития Bitcoin. Джон Матонис (Jon Matonis), бывший директор организации Bitcoin Foundation, и Гэвин Андерсен ( Gavin Andresen), главный инженер Bitcoin Foundation, подтвердили, что Райт … Читать далее Крейг Райт заявил, что он является Сатоси Накамото, создателем Bitcoin

Разработчики Ubuntu намерены существенно поднять ограничения на размеры установочных образов дистрибутива. Так для десктоп-редакции Ubuntu 16.10 планируется увеличить максимально допустимый размер образа до 2 Гб, а для Ubuntu Studio предлагается увеличить лимит до размера DVD (4.7 Гб). В текущем виде iso-образ Ubuntu 16.04 LTS уже занимает 1.4 Гб при формальном лимите в 1 Гб. Увеличение размера до 2 Гб позволит существенно расширить базовый состав дистрибутива, при том, что образ продолжит умещаться на 2-гигабайтный USB Flash. Обратной стороной увеличения размера является необходимость увеличения полосы пропускания и недовольство пользователей с медленными каналами связи. Читать далее Разработчики Ubuntu планируют увеличить размер установочного образа

Разработчики мобильной платформы Plasma Mobile, развиваемой проектом KDE, сообщили о внедрении новой системы построения сборок, используемых для запуска пользовательского окружения на различном оборудовании. Изначально базовый образ формировался на основе корневой ФС Ubuntu Touch с заменой пакетов Unity/Mir на kwin_wayland, компоненты KDE, оболочку Plasma Mobile и приложения. Новые образы Plasma Mobile сформированы с использованием системного окружения Cyanogenmod, в котором запускается изолированный контейнер, содержащий Ubuntu/Neon (в Ubuntu Touch наоборот в LXC-контейнере запускаются компоненты Cyanogenmod). Подобный подход позволяет расширить спектр поддерживаемого оборудования, более гибко управлять составом окружения и не зависеть от версий программ, применяемых в Ubuntu Touch. Например, в новых сборках удалось задействовать … Читать далее KDE Plasma Mobile переходит с Ubuntu Touch на Cyanogenmod

Введён в строй публичный сервис Phuctor (The RSA Super Collider), позволяющий оценить надёжность используемых RSA-ключей и получить сведения о проблемных ключах, используемых в подписях PGP/GPG. Phuctor позволяет определить потенциальную возможность компрометации закрытого ключа на основании анализа открытого ключа. Phuctor использует усовершенствованный алгоритм факторизации ключей, предложенный Дэниелем Бернштейном (Daniel J. Bernstein), позволяющий выявить проблемы с генерацией простых чисел, используемых при создании ключей. Система проверяет применение для начальных коэффициентов непростых чисел и выявляет использование в разных ключах одинаковых цикличных коэффициентов (модуль), что может указывать на возможное наличие дубликатов закрытого ключа. Как правило, проблемы с ключами возникают при использовании ненадёжных генераторов случайных чисел … Читать далее Анонсирован проект Phuctor, коллайдер RSA ключей

Опубликован первый выпуск модуля для фреймворка Akonadi, позволяющего организовать работу с сервисами Microsoft Exchange Web Services (EWS) в приложениях KDE. Например, появляется возможность использования KMail и KOrganizer для работы с учётными записями Microsoft Exchange и подключения к почтовым ящикам Exchange с применением внутреннего протокола Microsoft Outlook. Прямое обращение к ресурсам позволяет задействовать расширенные возможности Exchange, недоступные при работе через IMAP, POP3 и SMTP, а впоследствии обеспечить возможность применения KDE PIM как замены Microsoft Outlook. Первый выпуск сосредоточен на предоставлении средств для работы с электронной почтой: поддерживается полный доступ к почтовым ящикам, управление папками и сообщениями, отправка сообщений через Exchange, установка … Читать далее Первый выпуск Akonadi-модуля для поддержки Microsoft Exchange в KDE

Разработчики Chrome сообщили о реализации в свежих экспериментальных сборках браузера, на базе которых будет сформирован релиз Chrome/Chromium 52, полной поддержки всех возможностей, определённых в спецификациях ECMAScript 6 и 7. Если рассматривать уровень поддержки ECMAScript 6 по прохождению официального тестового набора test262, то степень совместимости Chrome оценивается в 98%, Firefox в 93% , в Edge — 90%, в Safari/WebKit — 99%. Результат 98% объясняется тем, что не все возможности ECMAScript 6 включены по умолчанию — при включении в настройках «экспериментальных функций JavaScript» тестирование приводит к показателю в 100%. Спецификация ECMAScript 6 была утверждена в качестве стандарта летом прошлого года после шести … Читать далее В Chrome и движке V8 обеспечена поддержка спецификаций ECMAScript 6 и 7

Firefox 47 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. Одновременно сформирован выпуск Firefox Developer Edition 48, который заменил собой aurora-ветку, в рамках которой проводится оценка готовности тех или иных новшеств для последующего бета-выпуска. Загрузить бета-выпуск можно на данной странице, а Firefox Developer Edition здесь. Релиз Firefox 47 намечен на 7 июня, а Firefox 48 на 2 августа. Улучшения, представленные в бета-версии Firefox 47: Реализована возможность автоматического преобразования устаревших блоков показа видео, завязанных на применении проигрывателя на базе технологии Adobe Flash и ссылающихся на YouTube. Речь ведётся об … Читать далее Тестирование Firefox 47-beta и Firefox Developer Edition 48 с поддержкой WebExtensions

Доступен корректирующий выпуск сервера для синхронизации точного времени NTP 4.2.8p7, в котором устранено 11 уязвимостей, большинство из которых выявлено в процессе аудита, проведённого компанией Cisco. Уязвимостям присвоен средний или низкий уровень опасности из-за специфичных условий эксплуатации (например, отсутствие блокировки спуфинга UDP-пакетов). Уязвимости могут привести к блокированию работы сервера, краху процесса ntpd, нарушению нормальной синхронизации времени или изменению установленного на сервере/клиенте времени. Обновления уже выпущены для FreeBSD, но пока недоступны для дистрибутивов Linux (Debian, Ubuntu, RHEL). Читать далее В NTP 4.2.8p7 устранено 11 уязвимостей

Представлен релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 16.04. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3. Основные изменения: Начальная поддержка геймпадов и других игровых контроллеров. Для работы с этими устройствами были добавлены две новые функции: create_gamepad_btns_sensor (сенсор, регистрирующий нажатия на кнопки геймпада) и create_gamepad_axes_sensor (сенсор, регистрирующий изменения положейния осей геймпада). Очередная порция улучшений нодового редактора логики. Добавлена логическая нода JS Callback. Она … Читать далее Релиз движка для создания браузерных 3D-приложений Blend4Web 16.04

Консорциум ISC представил новый значительный выпуск DNS-сервера BIND 9.10.4, а также обновление прошлой, но ещё поддерживаемой ветки — BIND 9.9.9. Основные изменения: Добавлена поддержка новых типов записей AVC, CSYNC, NINFO, RKEY, SINK, SMIMEA, TA, TALINK; Обеспечен вывод предупреждений для основных проблем с настройкой перенаправления при использовании зон для внутренних подсетей (RFC 1918, интранет) и IPv6 ULA (Universal Local Address); В состав добавлена утилита contrib/dnsperf-2.1.0.0-1 для тестирования производительности DNS-сервера; Добавлена проверка времени RRSIG при загрузке зон, заверенных цифровой подписью (если время зоны опережает текущее время осуществляется RRSIG); Обновлены адреса корневых серверов H.ROOT-SERVERS.NET и L.ROOT-SERVERS.NET; НА многопроцессорных системах используемое по умолчанию число … Читать далее Выпуск DNS-сервера BIND 9.10.4 и 9.9.9

Компания Oracle выпустила первое функциональное обновление для ядра Unbreakable Enterprise Kernel 4 (UEKR4U1). Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро позиционируется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Пакеты с ядром подготовлены для Oracle Linux 6 и Oracle Linux 7. Ключевые улучшения: Инструментарий LXC обновлён до выпуска 1.1.5 (ранее поставлялась версия 1.07); Обновлены версии btrfs-progs 4.2.2-3, libfuse 2.9.4, xfsprogs 3.2.3. Добавлен пакет bcache-tools с набором утилит для управления работой системы кэширования bcache; Включена порция … Читать далее Компания Oracle выпустила обновление ядра Unbreakable Enterprise Kernel R4U1

Доступен очередной экспериментальный выпуск открытой реализации Win32 API — Wine 1.9.9. С момента выпуска версии 1.9.8 было закрыто 38 отчётов об ошибках. Наиболее важные изменения: Продолжена реализация обособленного потока обработки команд WineD3D; Реализована поддержка прокси-сервисов в WebServices; Во встроенной утилите reg.exe появилась поддержка запросов; Улучшена работа с длинными URL в WinInet; Решены проблемы с запуском С++ программ, скомпилированных в Visual Studio 2015; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Windows Movie Maker 2.x, TeX2Word, Prince of Persia SoT, Mystic Diary — Haunted Island, 3D Custom Shoujo, Metal Gear Solid, QuarkXPress v9.5, Gothic 2, Process Hacker 2.x, King … Читать далее Выпуск Wine 1.9.9

Готовится к выпуску открытая материнская плата для рабочих станций Talos Secure Workstation, использующая процессор IBM POWER8. Ни для кого не секрет, что аппаратной архитектуре AMD64 в её нынешнем исполнении полностью доверять нельзя из-за встроенных технологий удалённого внеполосного управления, такие как Intel Management Engine (ME) и vPro, сторонний аудит безопасности которых не проводился и которые могут быть использованы не только спецслужбами, но и злоумышленниками для абсолютно скрытого управления системой. С другой стороны, предложения современных материнских плат, совместимых со свободными реализациями BIOS, например CoreBoot, очень скудны, либо отсутствуют. В создавшейся ситуации инженерами Raptor Engineering было принято решение создать сравнительно доступную, свободную материнскую … Читать далее Развивается открытая рабочая станция на базе CPU IBM POWER8

Проект grsecurity, в рамках которого развивается серия надстроек для усиления безопасности ядра Linux, сообщил о важной вехе в своём развитии — в набор патчей для ядра Linux 4.5 включён механизм защиты RAP, позволяющий блокировать работу эксплоитов, основанных на технике заимствования кусков кода. Данная техника атак используется для организации выполнения кода атакующего при переполнении буфера в условиях, когда в страницах памяти стека и буфера установлен запрет на исполнение кода. Суть метода в применении для построении логики выполнения shell-кода возвратно-ориентированного программирования (ROP), оперирующего уже имеющимися в библиотеках кусках машинных инструкций, завершающихся инструкцией возврата управления или перехода, как правило, это окончания предоставляемых библиотекой … Читать далее Проект grsecurity представил защиту от атак с использованием заимствования кусков кода

Ричард Столлман, основатель движения свободного ПО, проекта GNU, Фонда СПО и Лиги за свободу программирования, автор лицензии GPL, а также создатель таких проектов как GCC, GDB и Emacs, стал лауреатом премии ACM Software System Award, ежегодно присуждаемой Ассоциация вычислительной техники (ACM), наиболее авторитетной международной организации в области компьютерных систем. Премия присуждена за разработку набора компиляторов GCC, оказавшего существенное влияние на развитие индустрии программного и аппаратного обеспечения, и ставшего стержнем движения СПО. Награда ACM Software System Award ежегодно вручается за разработку программных систем, оказавших определяющее влияние на отрасль, внеся в обиход новые концепции или раскрывших новые области коммерческого применения. Размер премии … Читать далее Ричарду Столлману присуждена премия ACM Software System Award