В Chrome, Chromium, Opera и других браузерах на основе кода Chromium выявлена проблема, позволяющая инициировать крах браузера при открытии ссылок, содержащих экранированное представление нулевого символа. Крах наблюдается при открытии ссылок с %%300 или %%30%30 в URL, например, «http://a.com/%%300», «file:///%%300″, http://a.com/%%30%30» и т.п. При наведении курсора на проблемную ссылку закрывается лишь текущая вкладка, но клик на ссылке приводит к закрытию браузера целиком. Прямое использование «%00» в ссылках запрещено и вырезается на этапе разбора ссылки. Но косвенная передача нулевого кода оказалась возможной. При обработке ссылки последовательности «%%300» (%+%30+0) и «%%30%30» преобразуются в «%00» («http://a.com/%00»), после чего передаются в вызов GURLToDatabaseURL(), внутри которого … Читать далее Крах Chrome при обработке ссылок c экранированным нулевым символом

Представлен релиз системы мониторинга Monitorix 3.8.0, предназначенной для наглядного слежения за работой разнообразных сервисов, например, мониторинга температуры CPU, нагрузки на систему, сетевой активности и отзывчивости сетевых сервисов. Управление системой производится через web-интерфейс, данные представлены в виде графиков. Система написана на языке Perl, для генерации графиков и хранения данных используется RRDTool, код распространяется под лицензией GPLv2. Программа достаточно компактная и самодостаточная (имеется встроенный http-сервер), что позволяет использовать ее даже на встраиваемых системах. Поддерживается достаточно широкий спектр параметров мониторинга, от слежения за работой планировщика задач, ввода/вывода, распределения памяти и параметров ядра ОС до визуализации данных по сетевым интерфейсам и специфичным приложениям (почтовые … Читать далее Релиз системы мониторинга Monitorix 3.8.0

Представлен релиз GeoClue 2.3.0, сервиса предоставления приложениям информации о местоположении устройства. GeoClue обрабатывает запросы через D-Bus и позволяет максимально упростить создание приложений, учитывающих в своей работе параметры местоположения, при этом обеспечивая жесткий механизм разграничения доступа, подразумевающий предоставление сведений только после явного одобрения действия пользователем. Код Geoclue распространяется под лицензией GPLv2+. Для определения местоположения может быть использовано несколько источников: Определение местоположение, используя параметры WiFi-сети и базу данных Mozilla Location Service для привязки известных сетей к координатам (точность — метры); Использование приёмников GPS(A) (точность — сантиметры); Использование GPS сторонних устройств, находящихся в локальной сети (требует запуска на смартфоне специального приложения); Использование параметров … Читать далее Выпуск GeoClue 2.3.0, фреймворка для определения местоположения

Комиссии по развитию стратегических информационных систем при поддержке заместителя председателя Госдумы намерена в конце ноября внести в Государственную Думу РФ законопроект «О приоритете СПО», устанавливающем приоритет для свободного ПО при проведении госзакупок. В случае приобретения проприетарного ПО при наличии альтернативного свободного продукта, осуществляющие госзакупки компании должны будут обосновать необходимость такого выбора. Под СПО понимается программное обеспечение, доступное в исходных текстах под свободными лицензиями, допускающими модификацию и распространение изменённых версий. По оценке авторов инициативы, принятие закона позволит сэкономить около 160 млрд рублей в год, повысить бюджетные поступления примерно на 125 млрд рублей в год и создать 300 тысяч новых рабочих мест. … Читать далее В РФ готовится законопроект о приоритете СПО в госзакупках

Фонд Wikimedia объявил о начале бета-тестирования собственного картографического сервиса maps.wikimedia.org, который со временем будет интегрирован с Wikipedia (планируется добавить возможность встраивания интерактивных карт в статьи). Для построения карт сервис использует картографическую базу данных, подготовленную проектом OpenStreetMap. Для построения интерактивной карты, отображающейся как в стационарных, так и в мобильных браузерах, применяется свободная JavaScript-библиотека Leaflet. Для работы серверной части maps.wikimedia.org разработана платформа Kartotherian, обеспечивающая выдачу блоков просматриваемой карты в векторном (pbf) или растровом (png) формате. Kartotherian также может формировать целостное изображение карты для указанного местоположения в нужном разрешении и размере. Мозаичная компоновка карты из отдельных элементов осуществляется при помощи распределённого бэкенда Tilerator. … Читать далее Фонд Wikimedia тестирует собственный картографический сервис

Доступен выпуск комплексной системы фильтрации спама Rspamd 1.0, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки. В результате различных проверок формируется итоговый вес сообщения, на основании которого принимается решение о необходимости блокировки. Код системы написан на языке Си и распространяется под лицензией BSD. Система построена с использованием событийно-ориентированной архитектуры (Event-driven) и изначально рассчитана на применение в высоконагруженных системах, позволяя обрабатывать сотни сообщений в секунду. Правила для выявления признаков спама отличаются высокой гибкостью и в простейшем виде могут содержать регулярные выражения, а в более сложных ситуациях могут оформляться на языке Lua. Кроме явных правил … Читать далее Выпущена версия 1.0 системы фильтрации спама rspamd

Спустя почти два года с момента прошлого выпуска доступен релиз набора Turnkey Linux 14.0, в рамках которого сформирована коллекция из 105 минималистичных сборок Debian, пригодных для использования в системах виртуализации и облачных окружениях. Средний размер каждой сборки — 250 Мб. Сразу после установки пользователь имеет возможность получить полностью работоспособные из коробки рабочие окружения с LAMP (Linux, Apache, MySQL, PHP/Python/Perl), Ruby on Rails, Joomla, MediaWiki, WordPress, Drupal, Apache Tomcat, LAPP, Django, MySQL, PostgreSQL, Node.js, Jenkins, Typo3, Plone, SugarCRM, punBB, OS Commerce, ownCloud, MongoDB, OpenLDAP, gitlab, CouchDB и т.д. Управление программным обеспечением производится через специально подготовленный web-интерфейс. Сборки снабжены системой автоматического резервного … Читать далее Доступен Turnkey Linux 14.0, набор мини-дистрибутивов для быстрого развертывания приложений

Доступен релиз языка программирования Rust 1.3, развиваемого проектом Mozilla, обеспечивающего автоматическое управление памятью и предоставляющего средства для высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Параллельно с Rust совместно с компанией Samsung развивается экспериментальный браузерный движок Servo, написанный на языке Rust и отличающийся поддержкой многопоточного рендеринга web-страниц и распараллеливанием операций с DOM (Document Object Model). В новом выпуске работа по оптимизации производительности была сфокусирована на стандартной библиотеке: задействован более эффективный алгоритм сопоставления строк, за счёт улучшения кода обнуления областей увеличена производительность вызовов Vec::resize и Read::read_to_end, проведена оптимизация вызова Read::read_to_end при работе со стандартным входным потоком … Читать далее Выпуск языка программирования Rust 1.3

В Bugzilla, платформе для ведения базы данных ошибок, контроля за их исправлением и общего координирования процесса разработки, выявлена критическая уязвимость (CVE-2015-4499), дающая возможность завести привилегированный аккаунт, имеющий доступ к закрытой информации, например, к непубличным обсуждениям неисправленных уязвимостей. Эффект от указанной уязвимости напоминает раскрытую несколько недель назад атаку на Bugzilla, в результате которой злоумышленники получили доступ к информации о неисправленных уязвимостях в Firefox в результате перехвата пароля одного из пользователей. Уязвимость уже устранена в выпусках Bugzilla 5.0.1, 4.4.10 и 4.2.15. Суть проблемы в том, что при сохранении в MySQL логин/email молча обрезается до 255 символов, так как столбец в БД имеет … Читать далее Уязвимость в Bugzilla, позволяющая получить доступ к закрытым обсуждениям Mozilla

Компания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак. На первом этапе поддержка SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключен, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3. Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной … Читать далее Google прекращает поддержку SSLv3 и RC4 и повышает требования к HTTPS

В Bugzilla, платформе для ведения базы данных ошибок, контроля за их исправлением и общего координирования процесса разработки, выявлена критическая уязвимость (CVE-2015-4499), дающая возможность завести привилегированный аккаунт, имеющий доступ к закрытой информации, например, к непубличным обсуждениям неисправленных уязвимостей. Эффект от указанной уязвимости напоминает раскрытую несколько недель назад атаку на Bugzilla, в результате которой злоумышленники получили доступ к информации о неисправленных уязвимостях в Firefox в результате перехвата пароля одного из пользователей. Уязвимость уже устранена в выпусках Bugzilla 5.0.1, 4.4.10 и 4.2.15. Суть проблемы в том, что при сохранении в MySQL логин/email молча обрезается до 255 символов, так как столбец в БД имеет … Читать далее Уязвимость в Bugzilla, позволяющая завести привилегированный аккаунт

Компания Microsoft разработала собственный дистрибутив Linux — Azure Cloud Switch (ACS), позиционируемый как кросс-платформенная модульная операционная система для развёртывания программно-конфигурируемых сетей (SDN, Software-Defined Networking), в которых управление сетью отделено от уровня передачи данных и конфигурируется программно. Azure Cloud Switch предназначен для установки на сетевые устройства, такие как коммутаторы, которые планируется использовать вместо традиционных аппаратных коммутаторов. Коммутаторы на базе Azure Cloud Switch ориентированы на использование в сетях облачных систем и сетях предприятий, позволяя подключить имеющуюся сетевую инфраструктуру к облачной платформе управления сетью. При взаимодействии с ASIC-чипами Azure Cloud Switch полагается на интерфейс SAI (Switch Abstraction Interface), развиваемый в рамках открытого проекта … Читать далее Компания Microsoft продемонстрировала собственный Linux-дистрибутив для коммутаторов

Компания D-Link случайно разместила в открытом доступе закрытые ключи, используемые для формирования цифровых подписей к своим прошивкам и драйверам. Ключи были обнаружены в одном из пакетов с открытыми компонентами прошивок. Также удалось обнаружить скрипты, содержащие команды и пароли для генерации цифровой подписи. Ключи были найдены при попытке изучения пакета с GPL-компонентами для web-камеры D-Link DCS-5020L. По счастливому стечению обстоятельств время жизни ключей истекло в начале сентября, т.е. они больше не могут быть использованы для формирования новых цифровых подписей. При этом не исключено, что злоумышленники могли узнать об утечке раньше и использовать ключи для организации распространения фиктивных прошивок. D-Link отреагировал на … Читать далее D-Link по ошибке опубликовал ключи для формирования цифровых подписей

Доступен первый промежуточный (milestone) выпуск мобильной платформы Tizen 3.0 для разработчиков, которая продолжает развитие систем MeeGo и LiMO, но отличается предоставлением возможности использования Web API и web-технологий (HTML5/JavaScript/CSS) для создания мобильных приложений. Проект Tizen развивается под покровительством организации Linux Foundation, при участии LiMo Foundation, Intel и Samsung. Выпуск доступен в профилях для смартфонов и телевизоров, и ознаменовал стабилизацию возможностей Tizen 3.0 в данных профилях. В предлагаемый для разработчиков комплект входит ядро Linux, набор драйверов, прослойки (middleware) и реализация Web/Native API, которых достаточно для разработки будущих решений на базе Tizen 3. Особенности Tizen 3.0: Решение на базе X-сервера заменено на новый … Читать далее Первый промежуточный выпуск Tizen 3.0 для смартфонов и телевизоров

Компания Red Hat сообщила о выявлении проникновения злоумышленников на сервер, обслуживающий сайт распределённого хранилища Ceph (ceph.com) и сервис загрузки Inktank (download.inktank.com), которые были размещены вне инфраструктуры Red Hat. В прошлом году Red Hat поглотил компанию Inktank, занимающуюся разработкой ФС Ceph, но не перенёс в свою инфраструктуру все сервисы. В частности, через сайт download.inktank.com была организована загрузка продукта Red Hat Ceph Storage для Ubuntu и CentOS, а на сайте ceph.com были размещены пакеты с community-версиями Ceph. Продукт и пакеты были заверены закрытыми ключами Inktank (id 5438C7019DCEEEAD) и сообщества Ceph (id 7EBFDD5D17ED316D). Расследование инцидента ещё не завершено и нет полной уверенности в … Читать далее Red Hat уведомил о возможной подмене злоумышленниками пакетов Ceph для Ubuntu и CentOS

В состав основных исходных текстов nginx принят модуль с реализацией протокола HTTP/2, соответствующего спецификациям RFC 7240 и RFC 7241 (расширение HPACK для сжатия заголовков). Реализация HTTP/2 представлена в виде модуля ngx_http_v2 (включается через «configure —with-http_v2_module»), который заменил собой модуль ngx_http_spdy. Поддержка протокола SPDY, методы которого легли в основу HTTP/2, удалена из состава nginx. Основные особенности (PDF) HTTP/2.0: Применение бинарного протокола, оперирующего передачей бинарных кадров. Каждый кадр имеет заголовок с информацией о типе, размере, опциях и идентификаторе потока. Кадры с типом DATA используются для передачи данных, HEADERS — HTTP-заголовков, RST_STREAM — для досрочного прерывания отправки данных; Мультиплексирование и распараллеливание потоков в … Читать далее В кодовую базу nginx добавлен модуль для поддержки HTTP/2

Доступен релиз языка программирования Rust 1.3, развиваемого проектом Mozilla, обеспечивающего автоматическое управление памятью и предоставляющего средства для высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Параллельно с Rust совместно с компанией Samsung развивается экспериментальный браузерный движок Servo, написанный на языке Rust и отличающийся поддержкой многопоточного рендеринга web-страниц и распараллеливанием операций с DOM (Document Object Model). В новом выпуске работа по оптимизации производительности была сфокусирована на стандартной библиотеке: задействован более эффективный алгоритм сопоставления строк, за счёт улучшения кода обнуления областей увеличена производительность вызовов Vec::resize и Read::read_to_end, проведена оптимизация вызова Read::read_to_end при работе со стандартным входным потоком … Читать далее Выпуск языка программирования Rust 1.3, развиваемого проектом Mozilla

21 ноября в Санкт-Петербурге состоится международная конференция, посвященная свободному программному обеспечению, «Linux Piter». Конференция ориентирована на инженеров IT-компаний, использующих GNU/Linux и сопутствующие технологии при разработке собственных готовых решений и продуктов. В рамках «Linux Piter» ожидаются выступления как ведущих мировых специалистов, так и признанных отечественных гуру open source. Список тематических направлений конференции: Network, Server and storage, Virtualization, Cloud, Embedded and mobile. Официальным языком конференции является английский. Формат конференции — один день докладов, разделенных на несколько параллельных потоков. Предусмотрено три варианта временных слотов для доклада, вплоть до полноформатных выступлений длительностью один час. Также для гостей Санкт-Петербурга на второй день предусмотрена продолжительная экскурсия … Читать далее В Санкт-Петербурге пройдёт международная конференция Linux Piter

Доступен для первый промежуточный (milestone) выпуск мобильной платформы Tizen 3.0 для разработчиков, которая продолжает развитие систем MeeGo и LiMO, но отличается предоставлением возможности использования Web API и web-технологий (HTML5/JavaScript/CSS) для создания мобильных приложений. Проект Tizen развивается под покровительством организации Linux Foundation, при участии LiMo Foundation, Intel и Samsung. Выпуск доступен в профилях для смартфонов и телевизоров, и ознаменовал стабилизацию возможностей Tizen 3.0 в данных профилях. В предлагаемый для разработчиков комплект входит ядро Linux, набор драйверов, прослойки (middleware) и реализация Web/Native API, которых достаточно для разработки будущих решений на базе Tizen 3. Особенности Tizen 3.0: Решение на базе X-сервера заменено на … Читать далее Первый выпуск Tizen 3.0 для смартфонов и телевизоров

В рамках проекта Magic Book Creator разрабатывается свободная интегрированная среда, рассчитанная на написание книг в Linux. Magic Book Creator делает процесс создания книг более простым и приятным, что может способствовать привлечению писателей на платформу Linux и улучшению качества электронных книг. Для ускорения разработки автор проекта готов работать над Magic Book Creator в режиме полного рабочего дня, но для этого требуется финансирование. К сожалению, существующее программное обеспечение для писателей не даёт возможности одновременно иметь под рукой текстовый редактор и необходимые рабочие материалы, включая доступ к сетевым сервисам заметок и хранилищам, таким, как Evernote, Pocket, Dropbox и MEGA. Magic Book Creator задуман, … Читать далее Кампания по сбору средств для разработки Magic Book Creator

Доступен корректирующий выпуск набора пользовательских приложений KDE Applications 15.08.1, в котором исправлено более 40 ошибок, внесены небольшие улучшения и проведена работа по обновлению переводов. Наиболее важные исправления затронули файловый менеджер dolphin, видеоредактор kdenlive, менеджер персональной информации kdepim, глобус marble, терминал konsole, программу работы с архивами ark, библиотеки kdelibs и систему UML-моделирования umbrello. В рамках новой раздельной схемы подготовки выпусков компонентов KDE также подготовлено корректирующее обновление KDE Development Platform 4.14.12. Читать далее Выпуск KDE Applications 15.08.1