Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей

Представлен релиз интерпретатора языка программирования PHP 5.3.4, а также PHP 5.2.15, устаревшей, но еще поддерживаемой ветки языка PHP. В версии 5.3.3 исправлено 7 проблем безопасности и более 170 ошибок, а в 5.2.14 — 7 проблем безопасности и 11 ошибок. Из связанных с безопасностью исправлений в PHP 5.3.4 можно отметить: Устранен крах в модуле распаковки zip-архивов, вызванный отсутствием указания завершающего строку нулевого символа; Запрещено использовать в файловых путях нулевой символ (например, foobar.txt); Устранена проблема в расширении imap, вызванная двойным освобождением одной области памяти, что потенциально может быть использовано для выполнения кода при обращении к imap-серверу злоумышленника; Исправлена ошибка, приводившая к разыменованию … Читать далее Обновление PHP 5.3.4 и 5.2.15 с исправлением 7 уязвимостей

Бывший руководитель Sun подчеркнул ошибки открытых проектов и причины упадка компании

Скотт Макнили, бывший генеральный директор компании Sun Microsystems рассказал в интервью изданию The Register о причинах в упадка Sun, который в конечном итоге привел к продаже компании корпорации Oracle. Ниже представлен перевод ключевых заявлений Макнили, связанных с развитием открытых проектов Sun. Компания Sun занимала передовые позиции в компьютерной индустрии в 1980-ых годах, создав программную платформу SunOS Unix, основанную в свою очередь на Berkeley Unix (BSD), разработанном одним из основателей Sun Microsystems — Биллом Джем. Код BSD был в основном бесплатен для всех кто в нём нуждался. Создание Berkeley Unix считается некоторыми людьми рождением программного обеспечения с открытым исходным кодом. В … Читать далее Бывший руководитель Sun подчеркнул ошибки открытых проектов и причины упадка компании

В Exim обнаружена критическая уязвимость (дополнено

В популярном почтовом сервере Exim найдена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код на сервере с привилегиями суперпользователя. Уязвимость была выявлена в результате анализа причин взлома одного из серверов. Проанализировав собранный при помощи tcpdump слепок трафика на момент взлома, было выявлено, что взлом был произведен через определенным образом оформленный в секции «DATA» сверхбольшой блок данных, содержащий в своем теле блок «HeaderX: ${shell-код}». С целью предотвращения волны проведения атак, до выпуска обновления представлено только общее описание техники взлома, детали не разглашаются. Так как в определенных кругах подробности с методом эксплуатации данной проблемы уже известны, всем администраторам рекомендуется переконфигурировать Exim для … Читать далее В Exim обнаружена критическая уязвимость (дополнено

В движке V8 появилась новая подсистема JIT-компиляции JavaScript-кода

Компания Google представила новую технологию агрессивной оптимизации Crankshaft для открытого JavaScript-движка V8, используемого в браузерах Google Chrome и Chromium. Для участков кода, связанных с большим объемом длительных вычислений (например, математические операции, цикличная обработка данных, рекурсивные вызовы и криптография), технология Crankshaft позволяет добиться значительного прироста производительности, в некоторых случаях привести к ускорению более чем в два раза. Кроме увеличения производительности, Crankshaft позволяет заметно сократить время запуска больших web-приложений, таких как GMail, — при использовании Crankshaft загрузка страниц, содержащих большой объем JavaScript-кода в среднем занимает на 12% меньше времени. По заявлению Google, Crankshaft является базисом для реализации дальнейших оптимизацией в движке V8, … Читать далее В движке V8 появилась новая подсистема JIT-компиляции JavaScript-кода

Обновления ядра Linux (2.6.27.57, 2.6.32.27 и 2.6.36.2) и Advanced Real-Time Linux

Грег Кроа-Хартман (Greg Kroah-Hartman) представил обновления ядра 2.6.27.57, 2.6.32.27 и 2.6.36.2 в которых отмечено 44, 127 и 292 исправления. Изменения в основном касаются исправлений ошибок: разыменования нулевых указателей, утечек памяти, гонок за ресурсами и т.п. В частности, в ядре устранены три уязвимости в драйвере econet (CVE-2010-3848, CVE-2010-3849, CVE-2010-3850), которые были применены в опубликованном на днях эксплоите, а также несколько похожих проблем, которые могли привести к формированию oops-событий. Об статусе исправления проблемы CVE-2010-4258 ничего не сообщается. Обновления настоятельно рекомендуется произвести всем использующим данные ядра. Заметим, что версия .57 является последним выпуском в серии 2.6.27. Грег Кроа-Хартман отметил, что это была хорошая … Читать далее Обновления ядра Linux (2.6.27.57, 2.6.32.27 и 2.6.36.2) и Advanced Real-Time Linux

Обновление Firefox 3.6.13/3.5.16 и Thunderbird 3.1.7/3.0.11 c устранением 13 уязвимостей

Разработчики Mozilla выпустили очередные корректирующие релизы для поддерживаемых веток web-браузера Firefox — 3.6.13 и 3.5.16. В представленном обновлении устранено 13 уязвимостей, из которых 11 имеют статус критических, а одна уязвимость помечена как опасная. Дополнительно в версии Firefox 3.6.13 исправлено 68 ошибок (из которых 20 приводят к краху), а в версии 3.5.16 — 49. Одновременно выпущены корректирующие обновления web-браузера SeaMonkey 2.0.11 и почтового клиента Thunderbird 3.1.7 и 3.0.11. В Thunderbird устранены три критические уязвимости, решены проблемы с обработкой больших файлов, хранящих содержимое локальных почтовых папок, а также исправлена ошибка, приводящая к нарушению целостности локальной копии IMAP-ящиков. Из исправленных в Firefox критических … Читать далее Обновление Firefox 3.6.13/3.5.16 и Thunderbird 3.1.7/3.0.11 c устранением 13 уязвимостей

Oracle закрывает сервис SunSolve

С сегодняшнего дня сервис SunSolve, в рамках которого пользователи оборудования и программного обеспечения Sun могли получить доступ к спецификациям, документации, патчам и обновлениям, прекращает свою работу. Вместо SunSolve в эксплуатацию вводится единый сервис My Oracle Support, на который и предлагается мигрировать пользователям. Читать далее Oracle закрывает сервис SunSolve

Подробности об улучшениях безопасности инфраструктуры Savannah

Разработчики хостинга свободных проектов Savannah.gnu.org, недавно подвергшегося взлому, обобщили внесенные в настройки web-сервера изменения, направленные на повышение безопасности системы (а также сайтов gnu.org и nongnu.org): С сервера удален mod_php; Запрещена обработка страниц по символическим ссылкам; Отключена поддержка SSI (Server Side Includes), за исключением основного сайта; Запрещен запуск CGI-скриптов из SSI-вставок; Доступ к mod_python ограничен только внутреннему скрипту new-savannah-project; Для всех GNU-проектов в настройках Apache указано: Options Indexes MultiViews Limit AllowOverride Indexes FileInfo Limit Для всех не GNU-проектов в настройках Apache указано (отключен режим FileInfo, при котором в .htaccess допускалось использование слишком большого числа опций, среди которых Redirect и RedirectMatch): Options … Читать далее Подробности об улучшениях безопасности инфраструктуры Savannah

В движке V8 появилась новая подсистема компиляции JavaScript-кода

Компания Google представила новую технологию агрессивной оптимизации Crankshaft для открытого JavaScript-движка V8, используемого в браузерах Google Chrome и Chromium. Для участков кода, связанных с большим объемом длительных вычислений (например, математические операции, цикличная обработка данных, рекурсивные вызовы и криптография), технология Crankshaft позволяет добиться значительного прироста производительности, в некоторых случаях привести к ускорению более чем в два раза. Кроме увеличения производительности, Crankshaft позволяет заметно сократить время запуска больших web-приложений, таких как GMail, — при использовании Crankshaft загрузка страниц, содержащих большой объем JavaScript-кода в среднем занимает на 12% меньше времени. По заявлению Google, Crankshaft является базисом для реализации дальнейших оптимизацией в движке V8, … Читать далее В движке V8 появилась новая подсистема компиляции JavaScript-кода

Фонд Apache вышел из комитета JCP, управляющего развитием Java

Организация Apache Software Foundation заявила о выходе из состава комитета JCP, принимающего решения о дальнейшем развитии Java SE/EE. В заявлении фонда Apache предоставляется объяснение совершенного шага, смысл которого сводится к следующим утверждениям: Недавнее голосование по принятию спецификаций Java SE 7/8 было последним шансом продемонстрировать, что комитет хоть как-то желает защитить статус JCP как открытого процесса, а также что буква и дух закона ещё что-то значат. Фонд Apache считает, что продолжая не выполнять свои обязательства по JSPA (Java Specification Participation Agreement), в частности, по-прежнему отказываясь предоставить проекту Apache Harmony лицензию на TCK для Java SE, Oracle тем не менее предложила на … Читать далее Фонд Apache вышел из комитета JCP, управляющего развитием Java

Оценка производительности Linux-ядра с оптимизирующим Hugepage-патчем

Ресурс Phoronix представил результаты оценки эффективности работы «Transparent Hugepage» патча для Linux-ядра. Патч занимает более 7 тыс. строк и реализует технику увеличения базового размера адресуемых страниц памяти (без патча размер страницы составляет всегда 4096 байт, с патчем — 2 Мб ), что приводит к сокращению числа используемых TLB-блоков (Translation Lookaside Buffer) и расширению возможностей по задействованию выделенной, но неиспользуемой памяти, для кэширования системных данных (например, под дисковый кэш). Теоретически реализуемый патчем подход должен привести к увеличению производительности самого ядра и активно использующих память приложений (например, патч эффективен при использовании систем виртуализации). Тем не менее, не исключены ситуации, когда патч оказывает … Читать далее Оценка производительности Linux-ядра с оптимизирующим Hugepage-патчем

Релиз БД SQLite 3.7.4

Вышел релиз БД SQLite 3.7.4, в котором, кроме исправления ошибок, добавлены следующие новшества: Добавлен интерфейс sqlite3_blob_reopen(), позволяющий привязать существующий объект sqlite3_blob к другой строке таблицы. Вызов sqlite3_blob_reopen() теперь используется в SQLite для оптимизации производительности модуля полнотекстового поиска FTS; В VFS, интерфейсе между ядром SQLite и функциями операционной системы, в случае отсутствия поддержки разделяемой памяти (shared memory) теперь можно организовать доступ к WAL-базам, если PRAGMA-переменная locking_mode установлена в EXCLUSIVE; Расширены возможности команды «EXPLAIN QUERY PLAN«; Добавлен интерфейс sqlite3_stmt_readonly(); Добавлена PRAGMA-переменная checkpoint_fullfsync, позволяющая включить использование метода синхронизации F_FULLFSYNC, в случае его поддержки операционной системой; В функцию sqlite3_file_control() добавлена поддержка опции SQLITE_FCNTL_FILE_POINTER; Добавлен … Читать далее Релиз БД SQLite 3.7.4

Релиз набора системных утилит Binutils 2.21

Спустя более года с момента прошлого выпуска представлен релиз набора системных утилит Binutils 2.21, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, string, strip. В новой версии отмечено около 130 изменений, большинство из которых связано с исправлением проблем со сборкой на различных платформах. Читать далее Релиз набора системных утилит Binutils 2.21

Для Thunderbird представлено дополнение, отображающее переписку в стиле Gmail

Для почтового клиента Thunderbird представлено интересное дополнение Thunderbird Conversations, реализующее режим отображения обсуждений в стиле Gmail. Дополнение поддерживает агрегацию сообщений единого обсуждения из разных папок, дает возможность быстрого просмотра профиля из адресной книги Thunderbird, реализует функцию быстрого ответа, автоматически сворачивает ранее прочитанные сообщения и поддерживает стандартные для Gmail клавиатурные комбинации. Представленный предварительный выпуск дополнение совместим только с первой альфа версией Thunderbird 3.3 и не совместим с Thunderbird 3.1, так как некоторые возможности, необходимые для создания Thunderbird Conversations появились только в ветке 3.3. Читать далее Для Thunderbird представлено дополнение, отображающее переписку в стиле Gmail

Руководство по госзакупкам ПО с открытым исходным кодом

На русский язык переведён документ «Руководство по госзакупкам ПО с открытым исходным кодом» (PDF/ODT, 88 страниц), созданный по заказу Евросоюза. По сути это руководство, детально описывающее, как госорганизации могут приобретать открытое ПО на тендерах, и почему именно открытое ПО более всего соответствует государственным нуждам. Рассматриваются вопросы долгосрочной выгоды от приобретения открытого ПО, по сравнению с проприетарным. Ставится под вопрос адекватность методик расчёта TCO, в частности практика её расчёта при переходе на ПО от другого поставщика. Юридические вопросы, описанные в документе, вполне применимы к российским условиям, по причине довольно жёстких условий, заложенных в законодательстве ЕС. Читать далее Руководство по госзакупкам ПО с открытым исходным кодом

В Firefox 4 и Opera 11 будет заблокирована поддержка протокола WebSockets

Разработчики Firefox и Opera приняли решение отключить поддержку протокола WebSockets, входящего в число спецификаций группы HTML5. Протокол WebSockets уже реализован в браузерах на базе движка WebKit, таких как Chrome/Chromium и Safari, и является одной из наиболее ожидаемых новинок Firefox 4 и Opera 11, так как позволяет решить проблему с организацией двустороннего обмена данными между web-приложением и сервером. Образно говоря, WebSockets является своеобразным аналогом TCP для Web и позволяет в произвольном порядке инициировать отправку данных от сервера к web-приложению, а не только от web-приложения к серверу. Для аутентификации и обеспечения безопасности передачи данных в Web Sockets используются стандартные механизмы браузера. Сам … Читать далее В Firefox 4 и Opera 11 будет заблокирована поддержка протокола WebSockets

В Exim обнаружена критическая уязвимость, позволяющая получить root-права на сервере

В популярном почтовом сервере Exim найдена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код на сервере с привилегиями суперпользователя. Уязвимость была выявлена в результате анализа причин взлома одного из серверов. Проанализировав собранный при помощи tcpdump слепок трафика на момент взлома, было выявлено, что взлом был произведен через определенным образом оформленный в секции «DATA» сверхбольшой блок данных, содержащий в своем теле блок «HeaderX: ${shell-код}». С целью предотвращения волны проведения атак, до выпуска обновления представлено только общее описание техники взлома, детали не разглашаются. Так как в определенных кругах подробности с методом эксплуатации данной проблемы уже известны, всем администраторам рекомендуется переконфигурировать Exim для … Читать далее В Exim обнаружена критическая уязвимость, позволяющая получить root-права на сервере

Во Львове пройдет международная конференция FOSS Lviv-2011

1-4 февраля 2011 года во Львовском национальном университете имени Ивана Франко состоится Международная научно-практическая конференция «FOSS Lviv-2011» Направления работы конференции: Свободное программное обеспечение в образовании; Свободное программное обеспечение в науке; Свободное программное обеспечение в бизнесе; Свободное программное обеспечение дома. На конференцию приглашаются разработчики, пользователи, ИT-менеджеры и все, кого интересует использование свободного программного обеспечения. Рабочие языки конференции — украинский, русский, белорусский, польский, английский. Запланировано выездное заседание на горнолыжном курорте Драгобрат. Для участия в конференции нужно зарегистрироваться до 25 января 2011 года, тезисы докладов принимаются до 11 января. Читать далее Во Львове пройдет международная конференция FOSS Lviv-2011

Объявлены результаты сертификации LSB 4.0 и представлена бета-версия LSB 4.1

Некоммерческая организация Linux Foundation объявила результаты сертификации Linux-дистрибутивов на предмет соответствия стандарту LSB 4.0, выпущенному два года назад и определяющему набор правил, средств разработки, бинарных интерфейсов и библиотек, позволяющих значительно упростить создание продукта, без изменений работающего в любом LSB-совместимом дистрибутиве Linux. Совместимость со стандартом LSB 4.0 подтвердили все ведущие коммерческие Linux-компаний, включая Canonical, Kylin, Linpus, Mandriva, Neoshine, Novell, Oracle, Red Flag и Red Hat. Одновременно представлена на суд общественности бета-версия обновленного стандарта LSB 4.1, официальный релиз которого ожидается в январе 2011 года. «Мы рады представить общественности следующую версию LSB. Также мы рады сообщить, что все создатели дистрибутивов, работающие вместе над … Читать далее Объявлены результаты сертификации LSB 4.0 и представлена бета-версия LSB 4.1

Сообщество BrOffice подключается к развитию проекта LibreOffice

Создатели BrOffice, популярного бразильского ответвления от офисного пакета OpenOffice.org, приняли решение продолжить дальнейшее развитие проекта совместно с командой разработчиков LibreOffice. BrOffice пользуется огромной популярностью в Бразилии — данным пакетом пользуется более 15 млн человек. В Бразилии сформирована достаточно зрелое и большое сообщество разработчиков BrOffice, которое намерено передать свои наработки проекту LibreOffice и в дальнейшем развивать локализованную для Бразилии версию совместными усилиями. Для координации работы в Бразилии создан Центр продвижения передового опыта на базе свободного программного обеспечения, который кроме работы над LibreOffice будет помогать и другим свободным проектам, а также заниматься подготовкой специалистов по СПО. Читать далее Сообщество BrOffice подключается к развитию проекта LibreOffice

Компания Oracle будет развивать Oracle Enterprise Linux для платформы SPARC

Ларри Эллисон (Larry Ellison), руководитель компании Oracle, заявил о намерении обеспечения в дистрибутиве Oracle Enterprise Linux поддержки архитектуры SPARC, как одной из первичных платформ для продуктов Oracle. Ввести в промышленную эксплуатацию решения на базе Oracle Enterprise Linux для платформы SPARC планируется к моменту появления процессора Sparc T4 или T5, которые ожидаются в ближайшие 2-3 года. В настоящее время Oracle обеспечивает поддержку решений на базе Oracle Enterprise Linux только для x86- и x86_64-серверов, предоставляя для таких систем выбор установки Linux или Solaris. Для sparc-серверов доступен только Solaris, что по мнению руководства Oracle ограничивает для пользователей возможность выбора. Предоставление нескольких вариантов операционных … Читать далее Компания Oracle будет развивать Oracle Enterprise Linux для платформы SPARC