В системе управления web-контентом WordPress, используемой примерно на 18% из миллиона самых популярных сайтов в Сети, обнаружена опасная уязвимость, потенциально позволяющая организовать выполнение PHP-кода на сервере. Проблема проявляется из-за возможности обмануть проверку использования сериализированных данных и инициировать подстановку в БД подготовленного атакующим сериализированного блока, при распаковке которого можно организовать подмену параметров PHP-объектов WordPress и добиться выполнения PHP-кода. Опасность проблемы снижает необходимость наличия специфичных условий для эксплуатации, например, прототип эксплоита удалось создать только для выполнения кода через задействование класса стороннего плагина к WordPress. Найти штатные классы WordPress, содержащие изначально определённые методы, вызываемые после выполнения unserialize(), не удалось. Кроме того, разработчики WordPress … Читать далее Обновление WordPress 3.6.1 с устранением уязвимости, которая может привести к выполнению PHP-кода

Ларс Нол (Lars Knoll), создатель движка KHTML, руководитель проекта Qt Project и директор по развитию фреймворка Qt в компании Digia, представил Qt WebEngine, новый компонент для использования браузерного движка в Qt-приложениях. Qt WebEngine идёт на смену Qt WebKit и отличается переходом на кодовую базу проекта Blink, в рамках которого компания Google развивает форк движка WebKit. Примечательно, что до основания форка проект Qt занимал третье место по вкладу в развитие WebKit (на первом месте был Google, на втором Apple). Присоединение Qt к развитию Blink, вслед за Adobe и Opera, меняет расстановку сил — существенное развитие WebKit остаётся только за компанией Apple. … Читать далее Qt переходит с WebKit на браузерный движок Blink и технологии Chromium

Объявлено о закрытии проекта Medibuntu, в рамках которого развивался репозиторий с дополнительными мультимедийными библиотеками и приложениями, отсутствующими в штатных репозиториях Ubuntu Linux из-за проблем с лицензиями, патентами или авторскими правами. Последние годы репозиторий потерял актуальность и не обновлялся уже несколько месяцев, поэтому принято решение по закрытию проекта. Пользователям дана рекомендация по удалению Medibuntu из списка подключенных репозиториев. Medibuntu будет оставаться доступен до выхода Ubuntu 13.10, после чего доступ будет прекращён. В последнее время единственным востребованным пакетом, распространяемым через Medibuntu, оставался нелегальный на территории США пакет с библиотекой libdvdcss, используемой для работы с зашифрованными DVD-дисками. Отныне пакет с libdvdcss для Ubuntu … Читать далее Репозиторий Medibuntu прекратил своё существование

Мэтью Деворе (Matthew DeVore) из команды разработчиков Google+ представил проект Hesokuri, позволяющий организовать распределённое резервное копирование Git-репозиториев. Hesokuri реализован в виде фонового процесса, отслеживающего все действия с Git-репозиторием и синхронизирующего изменения на одну или несколько внешних систем. Код проекта написан на языке Clojure и поставляется под лицензией Apache 2.0. Изменения распространяются по зеркалам сразу после коммита, без необходимости выполнения отдельных ручных операций. В случае недоступности зеркала, Hesokuri накапливает изменения, периодически проверяет состояние хоста и проводит синхронизацию как только хост опять станет доступен. Для наблюдения за состоянием синхронизации подготовлен простой web-интерфейс. В будущем планируется создание полноценного интерфейса пользователя. Читать далее Google представил Hesokuri, систему для резервного копирования Git-репозиториев

Компания Red Hat анонсировала первый выпуск нового продукта Red Hat Software Collections, позволяющего использовать в Red Hat Enterprise Linux 6 новые технологии разработки и компоненты web-стека, не ожидая появления следующей ветки RHEL и не устанавливая сторонние пакеты из неофициальных внешних источников. Red Hat Software Collections 1.0 включает в себя пакеты с более свежими версиями программ, чем входящие в состав штатного RHEL. Например, для установки предлагаются Ruby 1.9.3, Rails 3.2.8, Python 2.7, Python 3.3, PHP 5.4, Perl 5.16.3, node.js 0.10, MariaDB 5.5, MySQL 5.5 и PostgreSQL 9.2. Время поддержки Red Hat Software Collections составляет три года, в течение которых пользователи будут … Читать далее Увидел свет Red Hat Software Collections 1.0

В системе управления web-контентом WordPress, используемой примерно на 18% из миллиона самых популярных сайтов в Сети, обнаружена опасная уязвимость, потенциально позволяющая организовать выполнение PHP-кода на сервере. Проблема проявляется из-за возможности обмануть проверку использования сериализированных данных и инициировать подстановку в БД подготовленного атакующим сериализированного блока, при распаковке которого можно организовать подмену параметров PHP-объектов WordPress и добиться выполнения PHP-кода. Опасность проблемы снижает необходимость наличия специфичных условий для эксплуатации, например, прототип эксплоита удалось создать только для выполнения кода через класс стороннего плагина к WordPress, найти штатные классы WordPress, содержащие изначально определённые методы, вызываемые поле выполнения unserialize(), не удалось. Кроме того, разработчики WordPress выяснили, … Читать далее Обновление WordPress 3.6.1 с устранением уязвимостей

Компания Trend Micro опубликовала предупреждение о возникновении опасной ситуации, связанной с прекращением выпуска обновлений для Java 6. Несмотря на то, что ветка Java 6 достигла конца своего жизненного цикла в феврале и публичные обновления больше не выходят, около половины пользователей продолжают пользоваться Java 6. С момента последнего обновления уже выявлено несколько критических уязвимостей, затрагивающих Java 6, что создаёт серьёзную угрозу для сотен миллионов пользователей, не спешащих выполнить обновление до Java 7. Тенденцию подтверждает выявленный в конце августа экплоит, задействованный наборе Neutrino для распространения вредоносного ПО и созданный на основе применения для Java 6 уязвимостей, исправленных в Java 7. Trend Micro … Читать далее Нежелание пользователей мигрировать на Java 7 становится серьёзной угрозой безопасности

Разработчики растрового графического редактора Krita, входящего в состав развиваемого проектом KDE офисного пакета Calligra, представили новый продукт Krita Gemini, в рамках которого подготовлен вариант редактора для гибридных ультрабуков, комбинирующий возможности настольной версии Krita и мобильной редакции Krita Sketch для планшетов. Сборки Krita Gemini пока доступны только для Windows 8, Windows Vista и Windows 7. Отмечается, что в настоящее время ведётся работа по интеграции Krita Gemini в основной состав Krita и адаптации для других платформ, в том числе для Linux. Переключение между интерфейсом для настольных систем и интерфейсом для планшетов осуществляется автоматически, в зависимости от текущего режима работы Windows. Из других … Читать далее Представлен Krita Gemini, вариант графического редактора Krita для гибридных ультрабуков

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) обратила внимание на интересный случай заблуждений судебных органов в области сути свободного ПО. В частности, Федеральный Суд США указал о недопустимости использования браузерного плагина RECAP, мотивировав рекомендацию тем, что RECAP является открытым ПО, которое может быть беспрепятственно получено любым пользователем и изменено для совершения вредоносных действий. В данном случае суд перепутал модель разработки открытого ПО с моделью совместного создания контента, применяемой такими проектами как Wikipedia. Не приняв во внимание, что RECAP развивается под руководством конкретного человека и распространяется через свой официальный сайт, суд посчитал, что проект полностью бесконтролен и любой может без проверки … Читать далее Федеральный Суд США рекомендовал избегать RECAP из-за того, что проект является открытым

Доступен четырнадцатый альфа-выпуск свободной игры 0 A.D., которая представляет собой стратегию реального времени с прекрасной 3D-графикой и игровым процессом во многом похожим на игры серии Age of Empires. Исходные тексты игры были открыты компанией Wildfire Games под лицензией GPL после 9 лет разработки в качестве проприетарного продукта. Сборка игры доступна для Windows и Linux (Ubuntu, Gentoo, Debian, openSUSE, Fedora, Arch, Mageia и Rosa). Текущая версия поддерживает сетевую и однопользовательскую игру с ботами на заранее смоделированных, либо динамически создаваемых картах. Игра охватывает 9 цивилизаций, существовавших в диапазоне с 500 года до нашей эры до 500 года нашей эры. Не связанные с … Читать далее Выпущена четырнадцатая альфа-версия игры 0 A.D. Сбор средств для ускорения разработки

Компания VMWare представила новый выпуск проприетарного продукта виртуализации для настольных систем — VMWare Workstation 10. Выпуск доступен в том числе и для Linux. Одновременно вышел бесплатный для некоммерческого использования вариант виртуальной машины VMWare Workstation — VMware Player 6.0. VMWare Workstation 10 и VMware Player 6.0 примечательны следующими новшествами: Поддержка Ubuntu 13.10 и свежих выпусков Fedora, CentOS, Red Hat Enterprise Linux и openSUSE, а также Windows 8.1 и Windows Server 2012 R2 в мастере упрощённого создания виртуальных машин; Увеличение производительности и масштабируемости. Возможность использования в виртуальных окружениях до 16 VCPU, 64 Гб памяти, 20 виртуальных сетей и 8 Тб дискового пространства; … Читать далее Выпуск платформы для десктоп-виртуализации VMWare Workstation 10 и VMware Player 6.0

Увидел свет первый релиз апплета Plasma NM, выступающего в роли надстройки над подсистемой NetworkManager и предназначенного для управления в KDE параметрами подключения к Сети. Отличительной чертой Plasma NM является полная переработка интерфейса с использованием QML. На языке C++ реализованы только функции для взаимодействия с NetworkManager через задействование библиотеки libnm-qt. Использование QML позволило подготовить вариант интерфейса Plasma NM не только для рабочего стола Plasma Workspaces, но и для окружения Plasma Active. Читать далее Для рабочего стола KDE представлен Plasma NM, новый интерфейс для настройки сети

Объявлено о проведении новой акции «Humble Indie Bundle«, в рамках которой пользователь может получить комплект из 6 многоплатформенных игр в обмен на пожертвование проекту любой суммы. Распространяемые в рамках акции могут работать на платформах Mac OS X, Windows и Linux. По договорённостью с компанией Canonical для указанных игр обеспечена возможность установки в Ubuntu через штатный интерфейс Software Center. В пакет входят следующие игры: Trine 2: Complete Story, Mark of the Ninja, Eets Munchies, Brütal Legend, FTL: Faster Than Light и FEZ (две последние игры доступны только перечислившим от $4.27). На момент написания новости собрано уже около 300 тыс. долларов. Средний … Читать далее Анонсирована девятая акция Humble Indie Bundle по распространению комплекта игр

Фонд свободного ПО опубликовал заявление, в котором рекомендовал пользователям, которым не безразлична собственная свобода и свобода окружающих, избегать использования всех продуктов Apple. Представленные вчера модели iPhone 5S и iPhone 5C по-прежнему ущемляют свободу пользователей и не позволяют получить полный контроль над программным обеспечением и собственной приватностью. Кроме навязывания проприетарного программного обеспечения, поставляемого только через каталог-магазин Apple, в модели 5S появился сканер отпечатков пальцев, получаемая с которого информация передаётся во внешние сервисы Apple. Как и раньше Фонд СПО рекомендует использовать полностью свободную Android-прошивку Replicant и каталог свободных мобильных приложений F-Droid. Читать далее Фонд СПО отреагировал на выход новых моделей iPhone

Линус Торвальдс временно приостановил на день приём изменений для ядра Linux 3.12 из-за поломки SSD-диска на основной рабочей станции. По счастливому стечению обстоятельств сбой произошёл в последние дни цикла приёма изменений и все основные правки уже внесены в Git, нерассмотренными остались лишь отдельные запросы. Линус намерен довести работу до конца на ноутбуке, что потребует от мэйнтейнеров некоторых подсистем переотправки последних запросов на изменения, которые Линус не успел поместить в репозиторий git.kernel.org. Несмотря на сбой, Линус планирует успеть закрыть окно приёма изменений в срок, так как продлить окно не представляется возможным из-за предстоящей запланированной поездки. Дополнительно можно упомянуть очередное колоритное высказывание … Читать далее Сбой диска на рабочей станции Линуса Торвальдса нарушил приём изменений для ядра 3.12

Доступен корректирующий выпуск Java SE 7 Update 40 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) с устранением 621 ошибки. В представленном выпуске представлены только не связанные с безопасностью исправления, устранения уязвимостей были представлены в версии Java SE 7 Update 25. JDK 7 Update 40 доступен в сборках для Linux (x86, ARM), Solaris (x86, SPARC), Windows и Mac OS X. Из внесённых изменений можно выделить: Интеграция Java Mission Control (JMC), нового инструментария для мониторинга, диагностики, профилирования и выявления утечек памяти. Новые инструменты предоставляют доступ к детальной низкоуровневой информации о работе и позволяющие эффективно анализировать текущие данные и произошедшие … Читать далее Обновление Java SE 7 Update 40

После двух лет разработки анонсирован выпуск системы асинхронной master-slave репликации для PostgreSQL — Slony 2.2.0, поддерживающей такие возможности как каскадная репликация (от master к slave первого уровня и далее от slave первого уровня к другим slave серверам) и средства обеспечения отказоустойчивости (передача функций master-сервера к одному из slave-серверов). От штатных средств репликации PostgreSQL 9.x, основанных на передаче WAL-логов, Slony отличается возможностью работы с разными версиями PostgreSQL на вовлечённых в репликацию серверах, отсутствием требования к обязательной синхронности исходного состояния, возможностью выборочной репликации вместо полного дублирования всех данных и гибкими средствами для контроля и управления ходом репликации. Из новшеств, добавленных в Slony … Читать далее Выпуск Slony 2.2, системы репликации для PostgreSQL

Представлены три новых отчёта об уязвимостях во FreeBSD: CVE-2013-5691 — некорректная организация проверки прав доступа при обращении к сетевым вызовам SIOCSIFADDR, SIOCSIFBRDADDR, SIOCSIFDSTADDR и SIOCSIFNETMASK через ioctl, позволяет непривилегированному пользователю без должных полномочий поменять параметры сетевого интерфейса. Проблема проявляется во всех поддерживаемых ветках FreeBSD (8.x и 9.x). Не исключается использование проблемы для организации выполнения кода в контексте ядра. CVE-2013-5710 — в системах с несколькими nullfs-разделами, связанными с одной и той же ФС, в случае если один из разделов доступен на запись, возможно организовать изменение файлов в nullfs-разделах с правами только на чтение, через создание жестких ссылок между nullfs-разделами. Проблема проявляется … Читать далее Во FreeBSD исправлены три уязвимости

Компания Мерседес-Бенц опубликовала промо-ролик, демонстрирующий возможности системы S 500 INTELLIGENT DRIVE по автономному вождению в сельском и городском трафике. На ноутбуке инженера Мерседес, демонстрирующего карту перемещения и приложение для отслеживания ситуации на дороге, отчётливо виден интерфейс Ubuntu Linux. На компьютере, используемом в автомобиле для диагностики работы автопилота, без труда узнаётся интерфейс Xubuntu. Читать далее В промо-ролике Мерседес-Бенц инженеры компании используют Ubuntu и Xubuntu

Компания Oracle выпустила JDK 8 De­vel­oper Pre­view, первую предварительную версию пригодную для повсеместного тестирования в сообществе разработчиков. Выпуск JDK 8 De­vel­oper Pre­view проходит все тесты для всех поддерживаемых платформ. Готовые для установки сборки подготовлены для Linux (x86, ARM), Solaris (x86, SPARC), Winodws и Mac OS X. Релиз намечен на 18 марта 2014 года. Ветка Java 8 примечательна добавлением развиваемой в рамках проекта Lambda поддержки Lisp-подобных лямбда-выражений («замыкания») и расширений стандартных библиотек средствами для параллельного выполнения операций над потоками данных, что должно упростить написание кода для многоядерных процессоров. Кроме того, добавлен новый API для работы с датами и временем; реализована поддержка … Читать далее Доступен для тестирования первый предварительный выпуск Java 8

Компания Adobe анонсировала порцию корректирующих обновлений Flash-плагина (11.8.800.168, 11.2.202.310, 11.7.700.242, 11.1.115.81 и т.д.) в которых устранены четыре критические уязвимости (CVE-2013-3361, CVE-2013-3362, CVE-2013-3363, CVE-2013-5324), позволяющие организовать выполнение кода злоумышленника при открытии специально оформленного контента. Пользователям Linux следует обновить Flash до версии Adobe Flash Player 11.2.202.310. Одновременно компания Google выпустила обновление с новой версией Flash 11.8.800.170 для пользователей браузера Chrome, использующих платформы Windows и OS X (для Linux обновление 11.8.800.170 пока не выпущено, но будет доступно в ближайшее время). Читать далее Критические уязвимости в Adobe Flash