Проект Open Crypto Audit Project (OCAP), объявил о завершении второй стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt. Несмотря на то, что проект Truecrypt был закрыт разработчиками (ему на смену пришел форк CipherShed), его независимый аудит был доведён до конца, чтобы развеять сомнения в наличии бэкдоров, позволяющих спецслужбам получить доступ к зашифрованным данным. Первая стадия аудита, выполненная в апреле прошлого года и не выявившая существенных проблем, была посвящена изучению исходных текстов проекта. На второй стадии выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Судя по опубликованному отчёту, на второй стадии также не было выявлено критических проблем … Читать далее Аудит алгоритмов TrueCrypt не выявил значительных проблем

Компания Google развернула борьбу с сомнительными браузерными дополнениями, выполняющими подстановку своей рекламы в просматриваемые пользователем страницы. Ситуация с такими дополнениями оказалась гораздо серьёзнее, чем казалось на первый взгляд. Проведённое исследование показало, что подстановщики рекламы установлены примерно у 5% пользователей, посещающих сайты Google. При этом у половины из данных пользователей установлено два подстановщика рекламы, а у трети пользователей — четыре подстановщика. Основным источником данных дополнений является установка программ с непроверенных сайтов, на которых в комплекте с целевым приложением прикрепляется несколько рекламных дополнений. Например, набрав «download firefox», в верхней части выдачи Google можно найти несколько подобных сайтов-каталогов для загрузки программ. Подобные дополнения, … Читать далее Каждый двадцатый браузер посетителя сайтов Google поражён подстановщиками рекламы

В СУБД Apache Cassandra выявлена уязвимость (CVE-2015-0225), допускающая выполнение произвольного кода на сервере. Атака может быть осуществлена удалённо без выполнения аутентификации. Проблема обусловлена тем, что интерфейс JMX/RMI, предназначенный для передачи и удалённого выполнения сериализованного Java-кода, привязывается ко всем сетевым интерфейсам без какой-либо аутентификации. Пользователям веток 2.0.x и 2.1.x рекомендуется обновить свои системы до версий 2.0.14 и 2.1.4, пользователям ветки 1.2.x рекомендовано перейти на поддерживаемую ветку. При невозможности обновления пользователям рекомендовано вручную настроить шифрование и аутентификацию для JMX/RMI в соответствии с рекомендациями. Читать далее Опасная уязвимость в Apache Cassandra

Организация The Document Foundation объявила о выходе LibreOffice 4.4.2, второго корректирующего выпуска из семейства LibreOffice 4.4 «fresh». Обновление включает более 50 исправлений. Версия 4.4.2 отмечена как стабильная и пригодная для всех категорий пользователей. Читать далее Обновление LibreOffice 4.4.2

Проект Open Crypto Audit Project (OCAP), объявил о завершении второй стадии аудита популярного открытого приложения для шифрования дисковых разделов Truecrypt. Несмотря на то, что проект Truecrypt был закрыт разработчиками (ему на смену пришел форк CipherShed), его независимый аудит был доведён до конца, чтобы развеять сомнения в отсутствии бэкдоров, позволяющих спецслужбам получить доступ к зашифрованным данным. Первая стадия аудита, выполненная в апреле прошлого года и не выявившая существенных проблем, была посвящена изучению исходных текстов проекта. На второй стадии выполнен анализ криптостойкости применяемых алгоритмов шифрования и корректности их реализации. Судя по опубликованному отчёту, на второй стадии также не было выявлено критических проблем … Читать далее Криптоанализ TrueCrypt не выявил значительных проблем

После семи месяцев разработки вышла стабильная версия популярного фреймворка Django 1.8, написанного на языке Python и предназначенного для разработки веб-приложений. Django 1.8 отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которых выпускаются как минимум в течение трёх лет. Поддержка Django 1.7 и Django 1.4 LTS продлится до октября 2015 года, выпуск обновлений для ветки Django 1.6 прекращён. В новой версии: Обеспечена встроенная поддержка подключения различных шаблонизаторов. Из коробки доступен базовый язык шаблонов Django и шаблонизатор Jinja2. В одном проекте можно использовать одновременно несколько разных шаблонизаторов; Предоставлены средства для выполнения сложных SQL запросов через ORM; Формализован API для Model._meta; … Читать далее Релиз web-фреймворка Django 1.8

В порты FreeBSD добавлены компоненты гипервизора Xen, позволяющие использовать FreeBSD в качестве хост-системы (dom0) для запуска гостевых окружений. Для работы требуется процессор Intel с поддержкой EPT и IOMMU, а также сборка FreeBSD 11-Current с ревизией новее 1100055. В состав порта входит ядро Xen, прошивка seabios и инструментарий xl, позволяющий управлять работой гостевых систем. Информацию о настройке можно найти в специально подготовленной инструкции. Из недоработок можно отметить отсутствие возможности проброса PCI-устройств и заморозки/миграции гостевых систем. Работа Xen осуществляется в режиме PVH, который комбинирует элементы режимов паравиртуализации (PV) и полной виртуализации (HVM). С одной стороны в данном режиме применяется полная виртуализация на … Читать далее Во FreeBSD Current реализована работа Xen dom0

Компания Oracle начала тестирование новой значительной ветки системы виртуализации VirtualBox 5.0, ключевым улучшением в которой является реализация работы в режиме паравиртуализации, подразумевающем использование гостевой системы, модифицированной для более тесного взаимодействия с гипервизором и использующей специальные драйверы вместо эмуляции оборудования. Работа в режиме паравиртуализации даёт возможность существенно поднять производительность гостевой системы. Другие улучшения: Новая модульная архитектура звуковой подсистемы, обеспечивающая более высокий уровень абстракции относительно звуковых бэкендов хост-системы; Предоставление гостевым системам, выполняемым с привлечением механизмов аппаратной виртуализации, возможности использования расширенных наборов инструкций, таких как SSE 4.1, SSE4.2, AES-NI, POPCNT, RDRAND и RDSEED; В виртуальном контроллере xHCI добавлена поддержка устройств с интерфейсом USB … Читать далее Бета-выпуск VirtualBox 5.0 с поддержкой паравиртуализации

Компания Google приняла решение исключить из списка заслуживающих доверия корневых сертификатов удостоверяющий центр CNNIC, который был уличен в передаче промежуточного корневого сертификата сторонней компании для организации перехвата HTTPS-трафика сотрудников. По мнению Google, в текущем виде CNNIC не может гарантировать отсутствие подобных инцидентов, приводящих к ненадлежащему использованию сертификатов. Для сглаживания данного решения, на ограниченное время сертификаты клиентов CNNIC будут помещены в белый список и продолжат помечаться заслуживающими доверия в Chrome. Одним из условий возвращения доверия к CNNIC в Chrome является внедрение прозрачной схемы распределения сертификатов. В ответ CNNIC назвал такое решение неприемлемым и непостижимым и пообещал защитить права и интересы своих … Читать далее В Chrome будет прекращено доверие к сертификатам удостоверяющего центра CNNIC

Компания Google развернула борьбу с сомнительными браузерными дополнениями, выполняющими подстановку своей рекламы в просматриваемые пользователем страницы. Ситуация с такими дополнениями оказалась гораздо серьёзнее, чем казалось на первый взгляд. Проведённое исследование показало, что подстановщики рекламы установлены примерно у 5% пользователей, посещающих сайты Google. При этом у половины из данных пользователей установлено два подстановщика рекламы, а у трети пользователей — четыре подстановщика. Основным источником данных дополнений является установка программ с непроверенных сайтов, на которых в комплекте с целевым приложением прикрепляется несколько рекламных дополнений. Например, набрав «download firefox» в верхней часты выдачи Google можно найти несколько подобных сайтов-каталогов для загрузки программ. Подобные дополнения, … Читать далее Около пяти процентов посетителей сайтов Google поражены подстановщиками рекламы

После полутора лет разработки увидел свет релиз новой стабильной ветки БД Redis 3.0, относящейся к классу NoSQL-систем и развиваемой при содействии компании VMware. Redis предоставляет похожие на Memcached функции для хранения данных в формате ключ/значение, расширенные поддержкой структурированных форматов данных, таких как списки, хэши и множества, а также возможностью выполнения на стороне сервера скриптов-обработчиков на языке Lua. В отличие от Memcached, Redis обеспечивает постоянное хранение данных на диске и гарантирует сохранность БД в случае аварийного завершения работы. Исходные тексты проекта распространяются в рамках лицензии BSD. Клиентские библиотеки доступны для большинства популярных языков, включая Perl, Python, PHP, Java, Ruby и Tcl. … Читать далее Выпуск БД Redis 3.0

Подборка первоапрельских шуток: Distrowatch распространил шутку про то, что проект systemd создал форк ядра Linux. На GitHub был создан новый репозиторий github.com/systemdaemon, в котором код systemd был совмещён с кодом ядра Linux. Был получен комментарий от вымышленного разработчика systemd, который пояснил, что форк создан из-за трудностей с взаимодействием с разработчиками ядра и проблемами с обеспечением совместимости systemd с разными версиями ядра, в то время как создание форка позволит полностью контролировать все ключевые компоненты Linux-стека. Примечательно, что так как выпуски дайджеста Distrowatch выходят раз в неделю по понедельникам, выпуск с первоапрельскими шутками пришелся на 30 марта и некоторые издания всерьёз восприняли … Читать далее Первоапрельские шутки 2015 года (дополнено)

Александр Ларсон (Alexander Larsson), активный разработчик GNOME и сопровождающий такие проекты, как Nautilus, Gnome-vfs и Dia, представил первый выпуск GNOME SDK runtime и инструментария xdg-app, предназначенного для организации распространения графических приложений в самодостаточных контейнерах, не привязанных к конкретному дистрибутиву Linux и надёжно изолирующих приложение от остальной системы. Контейнеры позволяют упростить распространение сторонних программ, не входящих в штатные репозитории дистрибутивов, за счет подготовки одного универсального контейнера без формирования отдельных сборок для каждого дистрибутива. Изолированное окружение формируется из двух компонентов: типового системного окружения (runtime), устанавливаемого через специальный репозиторий, и дополнительных зависимостей (bundle), связанных с приложением. В сумме runtime и bundle образуют начинку … Читать далее Первый выпуск инструментария для запуска приложений GNOME в изолированных контейнерах

После трёх месяцев разработки представлен выпуск свободного пакета 3D-моделирования Blender 2.74. Наиболее значительные улучшения: В движок рендеринга Cycles добавлен новый атрибут Pointness, похожий на инструмент работы с вертексным цветом «Dirty Vertex Colors»; Добавлены новые функции композитинга для вьюрпорта, «Структура проекта» (Outliner) теперь лучше справляется с датаблоками, не имеющими активных пользователей; Появился инструмент редактирования нормалей, добавлена возможность переноса слоёв данных между мешами; Серьёзно улучшена динамика и инструменты редактирования частиц, таких как волосы; Для режимов скульптурирования и рисования добавлен инструмент «Маска неровностей» (Cavity Mask); Проведена большая работа по уменьшению потребления памяти при рендеринге штрихов в движке Freestyle; Внесены улучшения в инструмент Grease … Читать далее Новая версия свободной системы 3D-моделирования Blender 2.74

Доступен корректирующий релиз реляционной СУБД Firebird 2.5.4, продолжающей развитие кода БД InterBase 6.0, открытого в 2000 году компанией Borland. Firebird распространяется под свободной лицензией MPL и поддерживает стандарты ANSI SQL, в том числе такие возможности, как триггеры и хранимые процедуры. Кроме исправления ошибок, в новой версии добавлена возможность низкоуровневой проверки целостности дисковых структур таблиц и индексов с сохранением доступности БД для выполнения других операций (в режиме online). Реализован механизм раннего освобождения внутренних временных блобов, что позволило высвободить дополнительную память и дисковое пространство. Читать далее Вышла СУБД Firebird 2.5.4

Компания Google представила корректирующий выпуск web-браузера Chrome 41.0.2272.118, в котором устранено 4 уязвимости. Одной из уязвимостей (CVE-2015-1233) присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и добиться выполнения кода в системе. Проблема проявляется благодаря комбинации ошибок в движке V8, кода работы с Gamepad и в реализации IPC. Исследователю, выявившему данную уязвимость, выплачено вознаграждение, размером 29633.7 долларов. Читать далее Обновление Chrome 41.0.2272.118 с устранением критической уязвимости

Компания Oracle начала тестирование новой значительной ветки системы виртуализации VirtualBox 5.0, ключевым улучшением в которой является реализация работы в режиме паравиртуализации, подразумевающем использование гостевой системы, модифицированной для более тесного взаимодействия с гипервизором и использующей специальные драйверы, вместо эмуляции оборудования. Работа в режиме паравиртуализации даёт возможность существенно поднять производительность гостевой системы. Другие улучшения: Новая модульная архитектура звуковой подсистемы, обеспечивающая более высокий уровень абстракции, относительно звуковых бэкендов хост-системы; Предоставление гостевым системам, выполняемым с привлечением механизмов аппаратной виртуализации, возможности использования расширенных наборов инструкций, таких как SSE 4.1, SSE4.2, AES-NI, POPCNT, RDRAND и RDSEED; В виртуальном контроллере xHCI добавлена поддержка устройств с интерфейсом USB … Читать далее Бета выпуск VirtualBox 5.0 с поддержкой паравиртуализации

Компания Google завершила закрытый этап тестирования дополнения App Runtime for Chrome (ARС), позволяющего организовать запуск написанных для платформы Android приложений в браузерном окружении операционной системы Chrome OS. Отныне любой разработчик Android-приложений может воспользоваться ARC для создания устанавливаемых в Chrome OS версий своих программ и добавления адаптированных для Chrome OS приложений в штатный каталог-магазин Chrome Web Store. Для упрощения адаптации Android-программ для браузера Chrome и проведения предварительного тестирования подготовлено специальное дополнение ARC Welder. При установке ARC Welder автоматически загружается runtime-компоненты Android и предоставляется интерфейс пользователя, позволяющий протестировать запуск произвольного APK-пакета и сформировать zip-архив для размещения в Chrome Web Store. В приложениях … Читать далее Предоставлен инструмент для обеспечения работы Android-приложений в Chrome OS

Разработчики проекта Debian утвердили дату выпуска Debian 8.0 «Jessie». Релиз намечен на 25 апреля. Сообщается, что дата может быть изменена только в случае выявления действительно критических проблем. В настоящее время остаются неисправленными 44 RC-ошибки в ключевых пакетах и 23 ошибки в обычных пакетах (если проблемы не будут решены до 18 апреля, данные пакеты не войдут в состав релиза). Читать далее Релиз Debian 8.0 "Jessie" состоится 25 апреля

Популярный фотохостинг Flickr объявил о расширении списка лицензий, под которыми могут быть размещены изображения. Отныне помимо обычных лицензией Creative Commons, изображения можно размещать в форме общественного достояния (Public Domain) или под лицензией CC0, которые подразумевают отказ от авторских прав и предоставление возможности использования контента, не ограничиваясь какими-либо рамками. Новой возможностью уже воспользовалась компания SpaceX, которая опубликовала в форме общественного достояния более сотни фотографий стартов космических ракет. Читать далее Flickr предоставил возможность размещения изображений в форме общественного достояния

Представлен новый релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 15.03. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3. Изменения: Добавлен удобный инструмент для создания поясняющих надписей (аннотаций). Надпись отображается рядом с объектом и следует за ним в случае его анимации. Для демонстрации работы функциональности создана специальная сцена «Планетарий». Появилась возможность создания копий объектов во время работы приложения. Для этого были разработаны соответствующие API, … Читать далее Релиз движка для создания браузерных 3D-приложений Blend4Web 15.03