Представлен внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.3.2, в котором устранены две уязвимости, статус которых отмечен как критически опасный: CVE-2014-6407 — возможность извлечения файлов из контейнера в произвольную часть ФС хост-системы при выполнении команд «docker pull» или «docker load». Уязвимость вызвана некорректной обработкой жестких и символических ссылок в коде извлечения данных из образа контейнера. При успешной организации атаки возможно инициирование выполнения кода на стороне хост-системы и повышение своих привилегий. Проблема проявляется во всех версиях Docker, до выпуска Docker 1.3.2, в который добавлены дополнительные проверки и задействовано chroot-окружение при извлечении данных. CVE-2014-6408 — создатель образов может обойти ограничения, заданные для … Читать далее Обновление Docker 1.3.2 с устранением критических уязвимостей

Доступен релиз Siduction 2014.1, десктоп-ориентированного дистрибутива Linux, построенного на пакетной базе Debian Sid (unstable) по состоянию на 22 ноября. Siduction является форком Aptosid, отделившимся в июле 2011 года. Ключевым отличием от Aptosid является использование в качестве пользовательского окружения более новой версии KDE из экспериментального репозитория Qt-KDE, а также формирование сборок дистрибутива на базе свежих версий Xfce, LXDE, GNOME, Сinnamon и LXQt, а также минималистичной сборки X.Org на основе оконного менеджера Fluxbox и сборки «noX», поставляемой без графического окружения для пользователей которые желают сами скомпоновать свою систему. По сравнению с прошлым выпуском обновлены версии пакетов (ядро Linux 3.17, X-Server 1.16.1, KDE … Читать далее Релиз дистрибутива Siduction 2014.1

Михал Залевский (Michal Zalewski), известный эксперт по компьютерной безопасности, работающий в Google Security Team, опубликовал предупреждение о возможности скрытой эксплуатации уязвимостей в различных обработчиках контента, при использовании утилиты less. Во многих дистрибутивах Linux, включая CentOS и Ubuntu, для выводимого через less контента используются скрипты lesspipe, которые осуществляют вызов сторонних утилит для преобразования различных форматов в читаемый вид. В том числе вызываются isoinfo, iconv, groff, troff, grotty, man и cpio. Проблема заключается в том, что многие из таких утилит потенциально уязвимы, а использование less, который по умолчанию применяется в различных программах для постраничного вывода на экран, может привести к неосознанной передаче … Читать далее Проблемы с безопасностью, вызванные использованием утилиты less

Группа испанских разработчиков представила выпуск web-браузера Dooscape 1.2, построенного с использованием библиотеки Qt 5 и движка QtWebKit. Dooscape отличается самобытным интерфейсом с боковой панелью и наличием встроенной функции блокировки доступа к программе, не позволяющей посторонним оценить какие сайты просматривает пользователь, даже если они получили доступ к сеансу его рабочего стола. Браузер доступен в сборках для Linux, OS X и Windows. Размер установочного архива всего 450Кб. Исходные тексты написаны на языке С++ и поставляются под лицензией LGPLv3. Из возможностей также можно отметить встроенный инструмент для создания скриншотов, средства для инспектирования страниц, систему закладок, опцию сброса для быстрого перехода к состоянию после … Читать далее Выпуск Dooscape 1.2, нового web-браузера на основе Qt и QtWebKit

Все сайты, основанные на системе управления контентом WordPress 3.x и допускающие размещение комментариев к публикациям, подвержены опасной уязвимости, позволяющей атакующему разместить специально оформленный комментарий, при просмотре которого будет выполнен JavaScript код злоумышленника. Для демонстрации опасности выявленной проблемы была подготовлена атака, позволившая незаметно организовать перехват параметров сессии администратора блога, просмотревшего вредоносный комментарий, и использования перехваченной информации для создания новой привилегированной учётной записи и использования редактора плагинов для организации выполнения PHP-кода на сервере. Недавно представленный выпуск WordPress 4.0 проблеме не подвержен, но разработчики выпустили корректирующий выпуск WordPress 4.0.1, в который интегрированы некоторые дополнительные механизмы защиты. На данный выпуск рекомендовано срочно перейти всем … Читать далее В WordPress 3.x выявлена уязвимость, позволяющая подставить JavaScript-код через комментарий

Разработчики свободного проекта PolarSSL, в рамках которого развивается компактная и модульная библиотека с реализацией SSL/TLS и различных криптографических алгоритмов, объявили о переходе проекта в руки компании ARM. Ожидается, что вхождение разработчиков PolarSSL в команду ARM позволит заметно форсировать развитие библиотеки и превратить её в лидирующее криптографическое решение для встраиваемых устройств. Читать далее Проект PolarSSL перешел в руки компании ARM

Основной процесс разработки JavaScript-движка V8 переведён с SVN на Git и теперь размещается в Git-репозиториях проекта Chromium, рядом с браузерным движком Blink. Ранее существовавшее зеркало SVN-репозитория на GitHub (github.com/v8/v8) прекратило своё существование, вместо него следует использовать новое зеркало github.com/v8/v8-git-mirror. Для разработчиков подготовлено специального руководство, в котором собраны инструкции по использованию Git для разработки V8. Основной причиной миграции на Git стала унификация средств разработки с другими компонентами Chromium. Читать далее Разработка JavaScript-движка V8 переведена на Git

Представлен новый выпуск популярной утилиты для организации поиска данных в текстовых файлах — GNU Grep 2.21. В новом выпуске: Существенно увеличена скорость поиска в файлах, содержащих пустые области, на платформах, эффективно обеспечивающих работу флага SEEK_DATA в функции lseek; Увеличена производительность в ситуации неподпадания данных под начало сложных масок; Увеличена производительность при использовании очень больших строк в поисковых масках; Файлы, содержащие данные в некорректной для текущей локали кодировке, теперь определяются до начала вывода и обрабатываются как бинарные данные; Использование «grep -P» теперь не приводит к ошибке и преждевременному завершению работы при обработке некорректных данных UTF-8, вместо этого такие данные определяются как … Читать далее Выпуск GNU grep 2.21

Google и Rockstar достигли соглашения по закрытию инициированных друг против друга судебных разбирательств. Напомним, что консорциум Rockstar был учрежден компаниями Microsoft, Apple, RIM, Ericsson, и Sony, которые передали ему патенты, выкупленные у корпорации Nortel. В прошлом году Rockstar проявил себя как патентный тролль и атаковал патентыми исками Google, Asustek, HTC, Huawei, LG Electronics, Pantech, Samsung, Cisco, ZTE и других производителей Android-устройств, обвинив их в нарушении 7 патентов. После этого компания Google инициировала разбирательство, в котором Rockstar обвинялся в оказании давления на производителей с целью вытеснения с рынка платформы Android и вмешательства в бизнес-отношения сторонних компаний с Google. Интересно, что компания … Читать далее Урегулировано патентное разбирательство между Google и Rockstar

Началось тестирование во FreeBSD начальной поддержки технологии NVIDIA Optimus, позволяющей переключаться между встроенной энергоэффективной видеокартой на базе GPU Intel и дискретной картой NVIDIA. Для работы используется штатный порт x11/nvidia-driver с проприетарным драйвером NVIDIA, в сочетании с наработками проекта VirtualGL и специально подготовленным скриптом. Читать далее Для FreeBSD доступна начальная поддержка технологии NVIDIA Optimus

Анонсировано начало работы над новым web-браузером Gngr, нацеленным на предоставление максимальной защиты персональной информации пользователей. Код браузера развивается на высокоуровневом языке Java, что позволяет упростить аудит, а также избежать многих ошибок и проблем с безопасностью, свойственных продуктам на С/C++. Исходные тексты пока не доступны публично, но их обещают открыть под свободной лицензией после готовности первого выпуска. Для реализации поставленной цели в браузере приняты достаточно жесткие настройки, например, по умолчанию отключены и требуют явной активации Cookie и JavaScript-блоки, принципиально не поддерживается подключение плагинов, не передаются ссылки на исходную страницу (http_referrer), блокируются внешние iframe, строка идентификации браузера (User Agent) содержит минимальные сведения … Читать далее Анонсирован Gngr, новый web-браузер, ориентированный на обеспечение приватности

Энтузиасты решили вспомнить опыт 80-х годов по сборке простейших компьютеров из подручных средств на базе процессора Motorola 68000, способных обеспечить работу интерпретатора BASIC. Основное требование к современному варианту подобного компьютера заключалось в возможности запустить полноценный Linux. Для воплощения идеи была использована макетная плата, позволяющая компоновать элементы в форме конструктора без пайки. На сборку было потрачено три недели, в ходе которых пришлось столкнуться с многими непредвиденными проблемами, от индуктивности кнопочных переключателей до утечек памяти в стандартной библиотеке C. В системе использован процессор Motorola 68008 (2 MHz) с восьмибитной шиной данных, 512Кб ОЗУ, 512Кб Flash, для организации взаимодействия с другим компьютером был … Читать далее Эксперимент с использованием Linux на макетной плате с процессором Motorola 68000

Проект MusicBrainz, поддерживающий открытую базу метаданных о музыкальных произведениях, представил новую инициативу AcousticBrainz, в рамках которой начато формирование коллекции открытых акустических данных, включающих низкоуровневую спектральную информацию (например, данные о темпе) в привязке к таким высокоуровневым характеристикам, как жанр, тональность, ритм, тембр, стиль, ключ, лад (мажор/минор) и т.п. В отличие от проекта AcoustID, в рамках которого накапливаются акустические шаблоны, AcousticBrainz нацелен на сбор более всесторонних и глубоких данных, не ограничивающихся задачей идентификации музыкальных композиций. Информацию из БД AcousticBrainz можно использовать для определения характеристик конкретного музыкального произведения, например, можно автоматически определить к какому жанру оно относится. С практический точки зрения, кроме средств … Читать далее Представлена открытая база акустических данных AcousticBrainz

Началось развитие Quantum OS, дистрибутива Linux, примечательного использованием собственной реализации пользовательского окружения Quantum Shell, построенного в соответствии с предложенной компанией Google концепцией формирования интерфейса Material design. Пользовательское окружение разработано при помощи Qt 5 и QML, в качестве базовой графической подсистемы применяется Wayland. Исходные тексты компонентов Quantum OS поставляются под лицензией GPLv3. В настоящее время проект находится на стадии формирования рабочего прототипа, который уже можно собрать из исходных текстов. Quantum Shell выступает в роли композитного менеджера для Wayland, построенного с использованием API QtCompositor и технологии QtQuick. В основе Quantum Shell лежит небольшой базовый модуль на языке C++, в всё остальное написано … Читать далее Проект Quantum OS развивает новое пользовательское окружение на основе Qt и Wayland

Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 4.3.20, в котором отмечено 26 исправления, направленных на увеличение стабильности и устранение регрессивных изменений. Из наиболее заметных улучшений можно отметить обеспечение совместимость дополнений для гостевых систем с ядром Linux 3.18, добавление в iPXE поддержки загрузки по протоколу HTTP, решение серии неприятных проблем, проявляющихся при использовании Windows в качестве гостевой и хост-системы. Читать далее Корректирующий выпуск системы виртуализации VirtualBox 4.3.20

Грег Кроа-Хартман (Greg Kroah-Hartman) представил для включения в ядро Linux второй вариант патчей с реализацией kdbus, надёжной, быстрой и безопасной системы обмена сообщениями, поддерживающей доставку сообщений как в мультикаст-режиме (от одного отправителя к группе получателей), так и в режиме точка-точка. Kdbus может использоваться как обособленно, например, данная система уже поддерживается в systemd, так для создания реализации D-Bus, не требующей запуска отдельного демона в пространстве пользователя. Вторая версия патчей примечательна значительной переработкой кода и некоторыми существенными изменениями в реализации. Например, в качестве интерфейса для обращения к kdbus вместо устройства /dev/kdbus предложена новая псевдофайловая система kdbusfs, по умолчанию монтируемая как /sys/fs/kdbus. Кроме … Читать далее Представлена обновлённая реализация kdbus для ядра Linux

Facebook представил новый открытый проект Flow, в рамках которого подготовлена система для статического анализа типов для языка JavaScript. Основной целью разработки является упрощение поиска ошибок в коде на языке JavaScript, без дополнительных трудозатрат на его аудит, а также предоставление средств для снижения уровня ошибок при разработке новых проектов. Проект написан на языке OCaml и распространяется под лицензией BSD. В качестве метода выявления ошибок применяется автоматическое определение типов переменных на основании контекста, с дальнейшим отслеживанием их корректного использования. Например, если переменная участвует в арифметическом действии, то запись в неё строкового значения будет рассматриваться как потенциальная ошибка. Flow позволяет при проверке разделять … Читать далее Facebook открыл код статического анализатора для языка JavaScript

В кодовую базу свободного офисного пакета Calligra, развиваемого сообществом KDE, включены наработки проекта Calligra Gemini, нацеленного на адаптацию к другим компонентам офисного пакета технологий, ранее представленных в графическом редакторе Krita Gemini. В настоящее время, интерфейс Gemini уже адаптирован для редактора документов и системы подготовки презентаций. Данные компоненты войдут в состав будущего выпуска Calligra 2.9. Для остальных частей поддержка Gemini будет реализована по мере необходимости. Интерфейс Gemini рассчитан на использование в гибридных ультрабуках и комбинирует возможности настольной версии интерфейса и редакции для планшетов. Всего предлагается три варианта интерфейса, каждый из который оптимален для выполнения своей задачи — создание документа, редактирование и … Читать далее Gemini включен в состав свободного офисного пакета Calligra

На GitHub опубликована библиотека libOAF/Qt4, предназначенная для разработки на языке С++ с использованием библиотеки Qt4 программ, состоящих из компонентов, связанных между собой небольшим количеством интерфейсов. Библиотека собирается и работает как в разных дистрибутивах Linux, так и в разных версиях Windows, начиная с Windows XP. В случае libOAF/Qt4 под компонентом понимается разделяемая библиотека, оформленная определённым образом и снабжённая специальным описанием. Изначально libOAF/Qt4 основана на идеях компонентной системы OAF/Bonobo, однако существенно проще неё за счёт того, что мы не пытались сделать супер-универсальный инструмент, а решали вполне ограниченный набор проблем. Библиотека возникла как внутренний инструмент для решения следующих задач: Выделение проектирования архитектуры в … Читать далее Публикация библиотеки libOAF/Qt4

В дерево портов FreeBSD принято пользовательское окружение GNOME 3. В настоящее время в портах доступен выпуск GNOME 3.14, но уже ведётся работа по портированию экспериментальной ветки GNOME 3.15. Ранее в портах поставлялся только GNOME 2, а поддержка GNOME 3 носила экспериментальный характер. Сейчас GNOME 3 можно установить из штатных портов gnome3 или gnome3-lite (урезанная версия). Поддержка портов с GNOME2 прекращена, вместо них следует использовать порты с Cinnamon 2.2 или MATE 1.8. Читать далее В порты FreeBSD добавлен GNOME 3

Разработчики Kubuntu объявили об изменении процесса формирования тестовых сборок, которые позволяют познакомиться с текущим состоянием развития компонентов KDE 5 без установки пакетов на рабочую систему. На смену еженедельным сборкам Neon пришли сборки Kubuntu CI (Continuous Integration), формируемые с использованием системы непрерывной интеграции на основе свежих срезов из Git-репозиториев KDE Frameworks 5 и Plasma 5, а также последних версий пакетов Kubuntu. Кроме загрузочных iso-образов пользователям предложено три PPA-репозитория: unstable (не проверенный), unstable daily (ежедневно формируемый с автоматической проверкой) и unstable weekly (еженедельные, с ручной проверкой). Читать далее Началось формирование сборок Kubuntu CI, пришедших на смену проекту Neon