В Joomla устранена ещё одна критическая уязвимость

Спустя всего неделю с момента исправления прошлой критической уязвимости объявлено о выходе новой версии системы управления web-контентом Joomla 3.4.7 в которой устранено две уязвимости, она из которых помечена как критическая и требующая незамедлительного обновления. Исправления для старых версий Joomla можно найти на данной странице. Первая уязвимость проявляется в версиях Joomla с 1.5.0 по 3.4.6 и позволяет выполнить произвольный PHP-код на сервере через манипуляцию с параметрами идентификатора сеанса. Сообщается, что в основе уязвимости лежит ошибка в коде десериализации сессий в PHP, которая была устранена в сентябре в обновлениях PHP 5.4.45, 5.5.29 и 5.6.13. Вторая уязвимость проявляется в выпусках с 3.0.0 по … Читать далее В Joomla устранена ещё одна критическая уязвимость

В Firefox 45 появится WebExtensions, совместимый с Chrome интерфейс разработки дополнений

Разработчики проекта Mozilla сообщили об интеграции в кодовую базу, на которой будет основан выпуск Firefox 45, частичной реализации API WebExtensions. WebExtensions представит новый метод разработки дополнений, основанный на использовании штатных web-технологий и позволит использовать дополнения, совместимые с браузером Chrome. В Firefox 45, который намечен на 8 марта 2016 года, WebExtensions будет иметь статус альфа-выпуска и будет включать полную реализацию API для обработки предупреждений (alarms), формирования контекстных меню (contextMenus), совершения действий над страницами (pageAction) и браузером (browserAction), а также частичную реализацию API для работы с закладками (bookmarks), cookies, расширениями (extension), локализацией (i18n), уведомлениями (notifications), runtime, хранилищем (storage), вкладками (tabs), окнами (windows), … Читать далее В Firefox 45 появится WebExtensions, совместимый с Chrome интерфейс разработки дополнений

Дэниэл Бернштейн выступил с инициативой создания Си-компилятора для защищённого ПО

Дэниэл Бернштейн (Daniel J. Bernstein), известный эксперт в области криптографии и создания защищённого ПО, разработавший такие проекты, как qmail, djbdns, Ed25519, Curve25519 и ChaCha20-Poly1305, предложил создать новый компилятор для языка Си, рассчитанный на сборку защищённого ПО. По мнению Бернштейна сообществу не хватает компилятора, который мог бы обеспечить предсказуемое поведение и предоставить чётко определённую семантику для всех ситуаций, отмеченных в стандарте Си как неопределённые (undefined), неспецифицированные (unspecified) или зависящие от конкретных реализаций. Большинство приложений используют подобные возможности, но существующие компиляторы могут трактовать их по разному, что может привести к разным результатам при сборке в разных компиляторах, проблемам с безопасностью и непредвиденным … Читать далее Дэниэл Бернштейн выступил с инициативой создания Си-компилятора для защищённого ПО

Выпуск Rsync 3.1.2 c устранением уязвимости

Доступен релиз Rsync 3.1.2, популярной утилиты для синхронизации файлов и резервного копирования, позволяющей минимизировать трафик за счёт инкрементального копирования изменений. В качестве транспорта могут быть использованы ssh, rsh или собственный протокол rsync. Поддерживается организация работы анонимных rsync-серверов, оптимально подходящих для обеспечения синхронизации зеркал. Новая версия полностью совместима на уровне протокола с выпуском 3.1.0 и помимо порции исправлений и улучшений включает устранение уязвимости. Уязвимость проявляется при обращении к подконтрольному злоумышленникам серверу и может привести к записи файлов за пределами целевой директории. В новом выпуске также добавлены дополнительные проверки, не допускающие изменения файловых путей и сетевых запросов на передачу данных, и устранена … Читать далее Выпуск Rsync 3.1.2 c устранением уязвимости

Протокол HTTP дополнен кодом 451 для обозначения запрещённых властями страниц

Марк Ноттингем (Mark Nottingham), руководитель группы по развитию протокола HTTP в комитете IETF (Internet Engineering Task Force), занимающемся развитием протоколов и архитектуры интернета, представил новый код состояния HTTP — 451 (Unavailable For Legal Reasons). Данный код будет использоваться для обозначения факта блокировки доступа на основании решения властей. Теперь в случае, если пользователи попытаются получить доступ к запрещённой по юридическим причинам странице, они увидят сообщение об ошибке с кодом 451. Номер 451 является отсылкой к роману Рэя Брэдбери «451 градус по Фаренгейту«. Предложение о вводе кода для обозначения заблокированных сайтов находилось на рассмотрении IESG с 2012 года. Изначально многие были против … Читать далее Протокол HTTP дополнен кодом 451 для обозначения запрещённых властями страниц

Android NDK отказывается от GCC в пользу Clang

В последней сборке Android NDK, инструментария для использования кода C/C++ в приложениях для платформы Android, заявлено о переводе поддержки GCC в разряд устаревших возможностей (deprecated). Всем разработчикам, использующим Android NDK, рекомендуется перейти на использование Clang для компиляции своих программ. Из состав уже удалена поддержка GCC 4.8, а также решено не заниматься портированием GCC 5.x. В составе NDK пока оставлен GCC 4.9, но его поддержка относится к неприоритетным задачам и связанные с ним проблемы будут решаться в зависимости от ситуации. Входящий в состав набора NDK вариант Clang обновлён до среза из основного SVN-репозитория (3.8svn) и теперь практически полностью повторяет upstream. Кроме … Читать далее Android NDK отказывается от GCC в пользу Clang

Оценка пригодности Android для использования на рабочем столе

Издание Ars Technica оценило текущие возможности платформы Android при её использовании на традиционных ПК и планшетах. Авторы эксперимента попытались поработать с Android как с традиционной ОС для настольных систем, подключив клавиатуру и мышь к планшету Nexus 9, воспользовавшись USB-хабом. В итоге был сделан вывод о достойной поддержке мыши и клавиатуры (как через Bluetooth, так и через USB) в текущих выпусках Android, не требующей дополнительной настройки. Большинство Android-планшетов укомплектованы портом USB Host и позволяют нормально работать с клавиатурой и мышью. В том числе реализована полноценная работа указателя, присутствует возможность изменения скорости движения указателя, корректно отображаются контекстные меню при нажатии правой кнопки, … Читать далее Оценка пригодности Android для использования на рабочем столе

Взлом инфраструктуры свободных проектов Deluge и qBittorrent

Сообщается о взломе ряда сайтов, связанных с разработкой и обсуждением технологий Bittorrent. Среди скомпрометированных ресурсов оказались форумы свободных Bittorrent-клиентов Deluge и qBittorrent, вся пользовательская база которых оказалась в руках атакующих. Базы хэшей паролей и email-адресов пользователей форумов Deluge и qBittorrent уже выставлены на продажу на сайте Databoss.io. В качестве подтверждения взлома атакующие разместили на скомпрометированных сайтах файл hello.txt. В настоящий момент сайт Deluge полностью отключен на время разбора инцидента, а у проекта qBittorrent отключен только форум, который был запущен на отдельном сервере. Подробности взлома администраторами инфраструктуры Deluge и qBittorrent пока не сообщаются. Также пока не ясно какой уязвимостью воспользовались атакующие. … Читать далее Взлом инфраструктуры свободных проектов Deluge и qBittorrent

После десяти лет разработки доступна игра SuperTux 0.4

Спустя более десяти лет с момента прошлого значительного релиза представлен новый выпуск классической игры-платформера SuperTux 0.4, напоминающая по стилю Super Mario. Новый выпуск примечателен полной переработкой игрового движка, который переведён на использование OpenGL, OpenAL и SDL2. Реализованы новые игровые уровни и персонажи, представлены новые графические и звуковые эффекты, добавлены новые объекты (трамплины, ветер, движущиеся платформы, выключатели, передвигаемые камни и т.п.). Представлен API и средства для использования squirrel-скриптов для определения логики игровых уровней. Добавлен новый менеджер загрузки переводов и дополнений. Читать далее После десяти лет разработки доступна игра SuperTux 0.4

Тестирование Qt 5.6, который станет первым LTS-выпуском в серии Qt 5

Доступен для тестирования бета-выпуск кроссплатформенного фреймворка Qt 5.6 продолжившего развитие ветки Qt 5.x. Финальный релиз ожидается в первом квартале 2016 года. Qt 5.6 станет первым выпуском Qt 5.x для которого будет обеспечена длительная поддержка. Обновления для Qt 5.6 будут выпускаться в течение трёх лет, в то время как обычные выпуски поддерживаются только год. Время поддержки прошлого LTS-выпуска Qt 4.8 истекает в конце 2015 года, пользователям Qt 4.x рекомендуется перейти на Qt 5. Разработка релиза Qt 5.6 ведётся с использованием новой системы непрерывной интеграции Coin, позволяющей повысить оперативность выявления ошибок и перейти на новый уровень тестирования, охватывая различные платформы и конфигурации. … Читать далее Тестирование Qt 5.6, который станет первым LTS-выпуском в серии Qt 5

Протокол HTTP дополнен кодом 451 для обозначения запрещенных властями страниц

Марк Ноттингем (Mark Nottingham), руководитель группы по развитию протокола HTTP в комитете IETF (Internet Engineering Task Force), занимающемся развитием протоколов и архитектуры интернета, представил новый код состояния HTTP — 451. Данный код будет использоваться для обозначения факта блокировки доступа на основании решения властей. Теперь в случае, если пользователи попытаются получить доступ к запрещенной по юридическим причинам странице, они увидят сообщение об ошибке с кодом 451. Номер 451 является отсылкой к роману Рэя Брэдбери «451 градус по Фаренгейту«. Предложение о вводе кода для обозначения заблокированных сайтов находилось на рассмотрении IESG с 2012 года. Изначально многие были против этой идеи, считая, что … Читать далее Протокол HTTP дополнен кодом 451 для обозначения запрещенных властями страниц

Google досрочно прекратит поддержку SHA-1 в Chrome

Компания Google опубликовала обновлённый план прекращения поддержки SHA-1 в браузере Chrome, в соответствии с которым поддержка будет прекращена не 1 января 2017 года, а 1 июля 2016 года. Ранее, после выявления новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, аналогичное решение было принято разработчиками Firefox. При этом, доверие к новым сертификатам на базе SHA-1, выписанным после 1 января 2016 года, будет прекращено уже начиная с Chrome 48, выпуск которого ожидается в начале 2016 года (в июле доверие будет прекращено ко всем сертификатам, заверенным с использованием SHA-1, независимо от даты их создания). По мнению Google пдобное изменение не должно негативно … Читать далее Google досрочно прекратит поддержку SHA-1 в Chrome

Вышел дистрибутив Alpine Linux 3.3

Представлен выпуск Alpine Linux 3.3, минималистичного дистрибутива на базе musl libc и busybox. Дистрибутив сформирован с оглядкой на повышенную безопасность и собран с патчами PaX и SSP (Stack Smashing Protection). Загрузочные iso-образы (x86_64, x86, armhf) подготовлены в четырёх вариантах: урезанном (82Мб), с ядром без патчей (81 Мб), расширенном (360Мб) и для систем виртуализации на базе Xen (151Мб). В качестве стандартных утилит используется пакет BusyBox. В новом выпуске задействованы ядро Linux 4.1, компилятор gcc 5.3.0, системная библиотека musl 1.1.12, perl 5.22, xorg-server 1.18 evince 3.18, LibreOffice 5.0, Xen 4.6, qt5 5.5, рабочий стол MATE 1.12. Представлен новый репозиторий пакетов «community». ISO-образы … Читать далее Вышел дистрибутив Alpine Linux 3.3

Определён универсальный пароль для входа на межсетевые экраны Juniper ScreenOS

Разработчики пакета Metasploit опубликовали результаты обратного инжиниринга бэкдора, на днях выявленного в межсетевых экранах Juniper ScreenOS. Так как компания Juniper привела лишь общие угрозы, которые несёт в себе бэкдор, многие энтузиасты подключились к изучению различий между поражёнными бэкдором прошивками и устраняющими проблемы обновлениями. Поверхностное сканирование сети показало, что в сети находятся несколько десятков тысяч потенциально уязвимых межсетевых экранов с открытыми вовне сервисами ssh или telnet. Всем администраторам межсетевых экранов Juniper рекомендуется срочно обновить прошивку, так как бэкдором теперь могут воспользоваться не только его создатели, но и любой желающий. Часть бэкдора, обеспечивающая удалённый вход в систему с правами администратора, оказалась основана … Читать далее Определён универсальный пароль для входа на межсетевые экраны Juniper ScreenOS

Выпуск FreedomBox 0.7, системы для создания персональных серверов для приватных коммуникаций

Доступен пятый выпуск проекта FreedomBox, в рамках которого развивается концепция персональных серверов, нацеленных на обеспечение защиты персональных данных пользователей. Все развиваемые проектом наработки доступны через штатные репозитории Debian. Установочные образы подготовлены для i386/amd64, Rasbperry Pi, BeagleBone, СubieTruck, DreamPlug и системы виртуализации VirtualBox (i386/amd64). При желании можно сформировать собственный образ при помощи специального инсталлятора Freedom-Maker и инструмента freedombox-setup для первичной настройки образа в процессе сборки и при первой загрузке. Проект FreedomBox основан Эбеном Могленом (Eben Moglen), профессором права Колумбийского университета, занимающимся юридической поддержкой Фонда свободного программного обеспечения. Целью проекта является предоставление средств для создания недорогих персональных серверов с низким энергопотреблением, которые … Читать далее Выпуск FreedomBox 0.7, системы для создания персональных серверов для приватных коммуникаций

Выпуск CentOS 7.1511 для архитектур i686, ARM и PowerPC

Проект CentOS объявил о доступности редакций дистрибутива CentOS Linux 7.1511 для альтернативных архитектур, поддерживаемых силами проекта CentOS. В частности, доступны сборки для 32-разрядной архитектуры i386/i686, Armhfp (может использоваться на платах Raspberry Pi2, Сubie truck, Bannapi и т.п.), PowerPC64 и PowerPC8 LE. Через несколько дней также ожидается релиз CentOS 7.1511 для ARM64/Aarch64. Напомним, что дистрибутив RHEL 7.2, используемый в качестве основы CentOS 7.1511, выпускается только для 64-разрядых систем. Адаптация пакетной базы для 32-разрядных систем выполнена благодаря деятельности группы CentOS Linux AltArch SIG (Special Interest Group), в которую вошли лица, заинтересованные в портировании CentOS на платформы и архитектуры, отличные от x86_64 и … Читать далее Выпуск CentOS 7.1511 для архитектур i686, ARM и PowerPC

Поле десяти лет разработки доступна игра SuperTux 0.4

Спустя более десяти лет с момента прошлого значительного релиза представлен новый выпуск классической игры-платформера SuperTux 0.4, напоминающая по стилю Super Mario. Новый выпуск примечателен полной переработкой игрового движка, который переведён на использование OpenGL, OpenAL и SDL2. Реализованы новые игровые уровни и персонажи, представлены новые графические и звуковые эффекты, добавлены новые объекты (трамплины, ветер, движущиеся платформы, выключатели, передвигаемые камни и т.п.). Представлен API и средства для использования squirrel-скриптов для определения логики игровых уровней. Добавлен новый менеджер загрузки переводов и дополнений. Читать далее Поле десяти лет разработки доступна игра SuperTux 0.4

Подготовлены сборки медиаплеера VLC для ChromeOS

Проект VideoLAN начал распространение версии медиаплеера VLC для платформы ChromeOS. VLC можно загрузить из штатного каталога Chrome Web Store. Поддерживается воспроизведение всех форматов, доступных в версии для Android, в том числе MKV, MP4, AVI, MOV, Ogg, FLAC, TS, M2TS, Wv и AAC. Все необходимые кодеки включены в базовую поставку. В качестве основы сборки послужила версия для платформы Android, которая была упакована для браузерного окружения ChromeOS с использованием инструментария App Runtime for Chrome (ARС), предоставляющего специальное изолированное окружение на базе технологии Native Client, в котором выполняются компоненты платформы Android. Читать далее Подготовлены сборки медиаплеера VLC для ChromeOS

Вышел Alpine Linux 3.3, дистрибутив для сетевых шлюзов

Представлен выпуск Alpine Linux 3.3, минималистичного дистрибутива на базе musl libc и busybox. Дистрибутив сформирован с оглядкой на повышенную безопасность и собран с патчами PaX и SSP (Stack Smashing Protection). Загрузочные iso-образы (x86_64, x86, armhf) подготовлены в четырёх вариантах: урезанном (82Мб), с ядром без патчей (81 Мб), расширенном (360Мб) и для систем виртуализации на базе Xen (151Мб). В качестве стандартных утилит используется пакет BusyBox. В новом выпуске задействованы ядро Linux 4.1, компилятор gcc 5.3.0, системная библиотека musl 1.1.12, perl 5.22, xorg-server 1.18 evince 3.18, LibreOffice 5.0, Xen 4.6, qt5 5.5, рабочий стол MATE 1.12. Представлен новый репозиторий пакетов «community». ISO-образы … Читать далее Вышел Alpine Linux 3.3, дистрибутив для сетевых шлюзов

Тестирование Firefox 44-beta и Firefox Developer Edition 45

Firefox 44 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. Одновременно сформирован выпуск Firefox Developer Edition 45, который заменил собой aurora-ветку, в рамках которой проводится оценка готовности тех или иных новшеств для последующего бета-выпуска. Загрузить бета-выпуск можно на данной странице, а Firefox Developer Edition здесь. Релиз Firefox 44 намечен на 26 января, а Firefox 45 на 8 марта. Выпуск Firefox 45 будет развиваться в рамках продлённого цикла поддержки (ESR). В отличие от выпусков aurora, Developer Edition адаптирован для обособленного использования, запускается с использованием отдельного профиля и отличается изменением … Читать далее Тестирование Firefox 44-beta и Firefox Developer Edition 45

Стабильный релиз Wine 1.8

После полутора лет разработки и выпуска 56 экспериментальных версий представлен релиз открытой реализации Win32 API — Wine 1.8. С момента прошлой стабильной версии было внесено около 13 тысяч изменений. Выпуск примечателен реализацией DirectWrite, Direct2D и Direct3D 10/11, новым звуковым драйвером для PulseAudio и поддержкой множества новых игр и приложений. В настоящее время подтверждена полноценная работа в Wine 4088 Windows программ, еще 3571 программ прекрасно работают при дополнительных настройках и внешних DLL, у 3134 программ наблюдаются небольшие проблемы в работе, которые не мешают использованию основных функций приложений. Из изменений, добавленных в процессе подготовки Wine 1.8, можно отметить: Графическая подсистема: Поддержка программного … Читать далее Стабильный релиз Wine 1.8