Разработчики офисного пакета LibreOffice опубликовали планы по усовершенствованию интерфейса пользователя и представили макет будущих изменений, которые ожидаются в следующем значительном выпуске LibreOffice 8.0. Наиболее заметным новшеством стала встроенная поддержка вкладок, через которые можно быстро переключаться между разными документами по аналогии с тем как осуществляется переключение между сайтами в современных браузерах. При необходимости каждую вкладку можно открепить в форме отдельного окна или наоборот преобразовать окно во вкладку. Возможно также свернуть все вкладки в выпадающий список, доступный при нажатии кнопки «^». В заголовке также показана кнопка «LibreOffice», предназначенная для запуска начального интерфейса, который ранее показывался при запуске или закрытии всех документов, и … Читать далее Доступен макет нового интерфейса LibreOffice 8.0 с поддержкой вкладок

В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API. Проблема присутствовала в Travis CI с 3 по 10 сентября. Примечательно, что информация об уязвимости была передана разработчикам 7 сентября, но в ответ была лишь получена отписка с рекомендацией использовать ротацию ключей. Не получив должной обратной связи исследователи связались с GitHub и предложили занести … Читать далее Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев

Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей: CVE-2021-33193 — подверженность mod_http2 новому варианту атаки «HTTP Request Smuggling», позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). CVE-2021-40438 — SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим. CVE-2021-39275 — переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно … Читать далее Релиз http-сервера Apache 2.4.49 с устранением уязвимостей

Доступен релиз открытой биллинговой системы ABillS 0.91, компоненты которой поставляются под лицензией GPLv2. Основные новшества: Paysys: переработаны все модули. Paysys: добавлены тесты платёжных систем. Добавлено клиентское API. Triplay: переработан механизм управления суб сервисами Internet/TV/Телефония. Cams: Интеграция с облачной системой видеонаблюдения Форпост. Ureports. Добавлена возможность отправлять оповещения одновременно несколькими типами. Maps2: Добавлены слои: Visicom Maps, 2GIS. Callcenter: Улучшена работа с CRM. Источник: http://www.opennet.ru/opennews/art.shtml?num=55808 Читать далее Релиз открытой биллинговой системы ABillS 0.91

30 сентября в Нижнем Новгороде пройдёт PGConf.NN — бесплатная техническая конференция по СУБД PostgreSQL. Организаторы — компания Postgres Professional и ассоциация IT-компаний iCluster. Начало докладов — в 14:30. Место проведения — технопарк «Анкудиновка» (ул. Академика Сахарова, д. 4). Требуется предварительная регистрация. Доклады: «JSON or not JSON» — Олег Бартунов, генеральный директор, Postgres Professional «Обзор возможностей резервного копирования в PostgreSQL и Postgres Pro» — Иван Фролков. Ведущий инженер Postgres Professional «SQL vs NoSQL» — Дмитрий Адмакин, руководитель отдела разработки «БАРС Груп» Источник: http://www.opennet.ru/opennews/art.shtml?num=55807 Читать далее В Нижнем Новгороде состоится конференция по PostgreSQL

Компания Mozilla представила новую систему рекомендаций Firefox Suggest, выводящую дополнительные предложения во время ввода в адресной строке. От рекомендаций на основе локальных данных и обращения к поисковой системе, новая функция отличается возможностью предоставления информации от сторонних партнёров, которыми могут выступать как некоммерческие проекты, такие как Wikipedia, так и платные спонсоры. Например, при начале ввода в адресной строке названия города будет предложена ссылка на описание наиболее подходящего города в Wikipedia, а при вводе товара — ссылка на покупку в интернет-магазине eBay. Предложения также могут включать рекламные ссылки, полученные в рамках партнёрской программы с компанией adMarketplace. Включить или отключить дополнительные рекомендации можно … Читать далее Mozilla представила Firefox Suggest и новый интерфейс браузера Firefox Focus

Разработчики десктоп окружения Budgie приняли решение уйти от использования библиотеки GTK в пользу библиотек EFL (Enlightenment Foundation Library), развиваемых проектом Enlightenment. Результаты миграции будут предложены в выпуске Budgie 11. Примечательно , что это не первая попытка ухода от использования GTK — в 2017 году проект уже принимал решение о переходе на Qt, но позднее пересмотрел планы, в надежде, что в GTK4 ситуация изменится. К сожалению GTK4 не оправдал ожиданий разработчиков из-за продолжения полной ориентации только на потребности проекта GNOME, разработчики которого не прислушиваются к мнению альтернативных проектов и не желают учитывать их потребности. Основным стимулом для ухода от применения GTK … Читать далее Рабочий стол Budgie переходит с GTK на библиотеки EFL от проекта Enlightenment

После шести месяцев разработки компания Oracle выпустила платформу Java SE 17 (Java Platform, Standard Edition 17), в качестве эталонной реализации которой используется открытый проект OpenJDK. За исключением удаления некоторых устаревших возможностей в Java SE 17 сохранена обратная совместимость с прошлыми выпусками платформы Java — большинство ранее написанных Java-проектов без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 17 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64, AArch64), Windows (x86_64) и macOS (x86_64, AArch64). Разработанная в рамках проекта OpenJDK эталонная реализация Java 17 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими … Читать далее Выпуск Java SE 17

В большинстве клиентских приложений для платформы децентрализованных коммуникаций Matrix выявлены уязвимости (CVE-2021-40823, CVE-2021-40824), позволяющие получить сведения о ключах, использованных для передачи сообщений в чатах со сквозным шифрованием (E2EE). Атакующий, скомпрометировав одного из пользователей чата, может расшифровать сообщения, ранее отправленные этому пользователю из уязвимых клиентских приложений. Для успешной эксплуатации требуется наличие доступа к учётной записи получателя сообщений. Доступ может быть получен как через утечку параметров учётной записи, так и через взлом Matrix-сервера, через который подключается пользователь. Наибольшую опасность уязвимости представляют для пользователей шифрованных чат-комнат, к которым подключены Matrix-серверы, подконтрольные злоумышленникам. Администраторы подобных серверов могут попытаться выдать себя за пользователей сервера для … Читать далее Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования

В ночные сборки, на основе которых будет сформирован выпуск Firefox 94, добавлено изменение, включающее по умолчанию новый бэкенд отрисовки для графических окружений, использующих протокол X11. Новый бэкенд примечателен использованием для вывода графики интерфейса EGL вместо GLX. Бэкенд поддерживает работу с открытыми OpenGL-драйверами Mesa 21.x и c проприетарными драйверами NVIDIA 470.x. Проприетарные OpenGL-драйверы AMD пока не поддерживаются. Применение ЕGL решает проблемы с gfx-драйверами и позволяет расширить спектр устройств, для которых доступно ускорение видео и WebGL. Ранее для активации нового бэкенда для X11 требовался запуск с переменной окружения MOZ_X11_EGL, после установки которой Webrender и компоненты композитинга OpenGL переключались на использование EGL. Новый … Читать далее В Friefox 94 вывод для X11 будет переведён на использование EGL по умолчанию

Компания Google сформировала обновление Chrome 93.0.4577.82, в котором исправлены 11 уязвимостей, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-30632) вызвана ошибкой, приводящей к записи за границу буфера в JavaScript-движке V8, а вторая проблема (CVE-2021-30633) присутствует в реализации API Indexed DB и связана с обращением к области памяти после её освобождения (use-after-free). Среди других уязвимостей: две проблемы, вызванные обращением к памяти после её освобождения в API Selection и Permissions; неправильная обработка типов (Type Confusion) в движке Blink; переполнения буфера в прослойке ANGLE (Almost Native Graphics Layer Engine). Все … Читать далее Обновление Chrome 93.0.4577.82 с устранением 0-day уязвимостей

Сообщество разработчиков СУБД PostgreSQL столкнулось с попыткой захвата торговых марок проекта. Некоммерческая организация Fundación PostgreSQL, не связанная с сообществом разработчиков PostgreSQL, зарегистрировала в Испании торговые марки «PostgreSQL» и «PostgreSQL Community», а также подала заявки на регистрацию аналогичных торговых марок в США и Евросоюзе. Управлением связанной с проектом PostgreSQL интеллектуальной собственностью, включая торговые марки Postgres и PostgreSQL, занимается команда PostgreSQL Core Team. Официальные торговые марки проекта зарегистрированы в Канаде на организацию PGCAC (PostgreSQL Community Association of Canada), представляющую интересы сообщества и действующую от имени PostgreSQL Core Team. Торговые марки доступны для свободного использования при условии соблюдения определённых правил (например, использование слова … Читать далее Сторонняя организация пытается зарегистрировать торговую марку PostgreSQL в Европе и США

Опубликован второй выпуск стартовых наборов на Десятой платформе Альт. Эти образы подходят для начала работы со стабильным репозиторием тем опытным пользователям, которые предпочитают самостоятельно определять список пакетов приложений и настраивать систему (вплоть до создания собственных производных). Как составные произведения они распространяются на условиях лицензии GPLv2+. Варианты включают в себя базовую систему и одно из окружений рабочего стола или набор специализированных приложений. Сборки подготовлены для архитектур i586, x86_64, aarch64 и http://nightly.altlinux.org/p10-armh/release/. Также собраны варианты Engineering на p10 (live/install-образ с инженерным ПО; установщик добавлен для возможности более точного выбора требуемых дополнительных пакетов) и cnc-rt (live с ядром реального времени и программным ЧПУ … Читать далее Осеннее обновление стартовых наборов ALT p10

Группа исследователей из американских, австралийских и израильских университетов предложила новую технику атаки по сторонним каналам для эксплуатации уязвимостей класса Spectre в браузерах на базе движка Chromium. Атака, которая получила кодовое имя Spook.js, позволяет через запуск JavaScript-кода обойти механизм изоляции сайтов и прочитать содержимое всего адресного пространства текущего процесса, т.е. получить доступ к данным страниц, запущенных в других вкладках, но обрабатываемых в одном процессе. Так как Chrome запускает разные сайты в разных процессах, то возможность совершения практических атак ограничена сервисами, позволяющими разным пользователям размещать свои страницы. Метод позволяет со страницы, в которую атакующий имеет возможность встроить свой JavaScript-код, определить наличие других … Читать далее Новая техника эксплуатации уязвимостей класса Spectre в Chrome

Компания HashiCorp пояснила причину недавнего добавления в репозиторий открытой платформы управления конфигурацией Terraform примечания о временной приостановке рецензирования и приёма pull-запросов, отправленных представителями сообщества. Примечание было воспринято некоторыми участниками как кризис в открытой модели разработки Terraform. Разработчики Terraform поспешили успокоить сообщество и заявили, что добавленное примечание не так поняли и оно было добавлено лишь для пояснения снижения активности по разбору изменений от сообщества в связи с нехваткой персонала. Отмечается, что после после опубликованного летом первого стабильного релиза Terraform 1.0, наблюдается взрывной рост популярности платформы, к которому компания HashiCorp оказалась не готова. Из-за роста популярности платформы и увеличения числа коммерческих клиентов … Читать далее HashiCorp временно приостановил приём изменений от сообщества в проекте Terraform

Разработчики проекта MidnightBSD, развивающего десктоп-ориентированную операционную систему на основе FreeBSD с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD, предупредили пользователей о выявлении следов взлома одного из серверов. Взлом был совершён через эксплуатацию обнаруженной в конце августа уязвимости CVE-2021-26084 в проприетарном движке для организации совместной работы Confluence (компания Atlassian предоставляла возможность бесплатного использования данного продукта для некоммерческих и открытых проектов). На сервере также выполнялась СУБД проекта и размещалось хранилище файлов, используемое в том числе для промежуточного хранения новых версий пакетов перед публикацией на первичном FTP-сервере. По предварительным данным основной репозиторий пакетов и доступные для загрузки iso-образы не скомпрометированы. Судя по … Читать далее Сервер проекта MidnightBSD подвергся взлому

Проект Revolt развивает коммуникационную платформу, нацеленную на создание открытого аналога проприетарным мессенджерами Discord и Rocket. Как и Discord платформа Revolt ориентирована на создание площадок для организации общения сообществ и групп, имеющих общие интересы. Revolt позволяет запустить на своих мощностях собственный сервер для общения и при необходимости обеспечить его интеграцию с Web-сайтом или общаться при помощи доступных клиентских приложений. Для быстрого развёртывания сервера предлагается образ контейнера для Docker. Серверная часть Revolt написана на языке Rust, использует для хранения СУБД MongoDB и распространяется под лицензией AGPLv3. Клиентская часть написана на TypeScript и в варианте для настольных систем базируется на платформе Electron, в … Читать далее Проект Revolt развивает открытую альтернативу платформе Discord

Доступна новая версия пакета Ultimaker Cura 4.11, предоставляющего графический интерфейс для подготовки моделей к 3D-печати (slicing). На основе модели программа определяет сценарий работы 3D-принтера при последовательном нанесении каждого слоя. В простейшем случае достаточно импортировать модель в одном из поддерживаемых форматов (STL, OBJ, X3D, 3MF, BMP, GIF, JPG, PNG), выбрать настройки скорости, материала и качества и отправить задание на печать. Имеются плагины для интеграции с SolidWorks, Siemens NX, Autodesk Inventor​ и другими САПР. Для трансляции 3D-модели в набор инструкций 3D-принтера применяется движок CuraEngine. Код проекта написан на языке Python и распространяется под лицензией LGPLv3. GUI построен при помощи фреймворка Uranium, использующего … Читать далее Выпуск Ultimaker Cura 4.11, пакета для подготовки модели к 3D-печати

Компания Microsoft опубликовала обновление дистрибутива CBL-Mariner 1.0.20210901 (Common Base Linux Mariner), который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Проект нацелен на унификацию применяемых в Microsoft Linux-решений и упрощение поддержания Linux-систем различного назначения в актуальном состоянии. Наработки проекта распространяются под лицензией MIT. В новом выпуске: Началось формирование базового iso-образа (700 МБ). В первом выпуске готовые ISO-образы не предоставлялись, подразумевалось, что пользователь может сам создать образ с необходимой начинкой (cборочные инструкции подготовлены для Ubuntu 18.04). Реализована поддержка автоматического обновления пакетов, для чего в состав включено приложение Dnf-Automatic. Ядро Linux обновлено до … Читать далее Компания Microsoft опубликовала обновление Linux-дистрибутива CBL-Mariner

Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.17. С момента выпуска версии 6.16 было закрыто 12 отчётов об ошибках и внесено 375 изменений. Наиболее важные изменения: Во встроенных приложениях улучшена поддержка экранов с высокой плотностью пикселей (high-DPI). Программа WineCfg преобразована в формат PE (Portable Executable). Продолжена подготовка к реализации интерфейса системных вызовов GDI. В режиме Wow64 улучшена поддержка отладчика. Закрыты отчёты об ошибках, связанные с работой игры Imperiums: Greek Wars. Закрыты отчёты об ошибках, связанные с работой приложений: Trusteer Rapport, PDF Eraser, ProcessHacker, NewProcessFromToken, Samsung SDK, AFxW. Одновременно сформирован выпуск проекта Wine Staging 6.17, в рамках которого формируются … Читать далее Выпуск Wine 6.17 и Wine staging 6.17

В Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, выявлена критическая уязвимость (CVE-2021-3781), позволяющая выполнить произвольный код при обработке специально оформленного файла. Изначально на наличие проблемы обратил внимание Эмиль Лернер, который рассказал об уязвимости 25 августа на прошедшей в Санкт-Петербурге конференции ZeroNights X (в докладе было рассказано, как Эмиль в рамках программ bug bounty использовал уязвимость для получения премий за демонстрацию атак на сервисы компаний AirBNB, Dropbox и Яндекс.Недвижимость). 5 сентября в открытом доступе появился рабочий эксплоит, позволяющий атаковать системы с Ubuntu 20.04 через передачу выполняемому на сервере web-скрипту, использующему пакет php-imagemagick, специально оформленного … Читать далее Уязвимость в Ghostscript, эксплуатируемая через ImageMagick