Компания GitLab предупредила пользователей об увеличении активности злоумышленников, связанной с эксплуатацией критической уязвимости CVE-2021-22205, позволяющей удалённо без прохождения аутентификации выполнить свой код на сервере, на котором используется платформа для организации совместной разработки GitLab. Проблема проявляется в GitLab начиная с версии 11.9 и была устранена ещё в апреле в выпусках GitLab 13.10.3, 13.9.6 и 13.8.8. Тем не менее, судя по проведённому 31 октября сканированию глобальной сети из 60 тысяч публично доступных экземпляров GitLab, на 50% систем продолжают использоваться устаревшие версии GitLab, подверженные уязвимости. Необходимые обновления установлены только на 21% из проверенных серверов, а на 29% систем определить номер используемой версии не … Читать далее Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак

После полугода разработки состоялся релиз пользовательского окружения LXQt 1.0 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux. Изначально выпуск 1.0 намеревались приурочить к реализации … Читать далее Выпуск графического окружения LXQt 1.0

Состоялся релиз бесплатного проприетарного торрент-клиента Tixati 2.86, доступного для Windows и Linux. Tixati отличается предоставлением пользователю расширенного контроля над торрентами при потреблении памяти, сравнимом с такими клиентами как µTorrent и Halite. Linux-версия использует интерфейс GTK2. Основные изменения: Значительно переделан WebUI: Реализованы категории, а также возможность добавлять, удалять, перемещать, фильтровать раздачи и ряд других действий. Названия раздач теперь имеют индикаторы «частный», «созданный» или «частичный». Список пиров теперь показывает дополнительную информацию, такую как флаг и местоположение. Значительно улучшен вывод в форме списка («list layout»), который стал более компактным. Добавлены подсказки для очень длинных имён файлов. Обеспечена подстановка CSS напрямую в шаблон HTML, … Читать далее Релиз проприератного BitTorrent-клиента Tixati 2.86

Компания Mozilla предупредила об изменении правил каталога дополнений к Firefox (Mozilla AMO) с целью повышения безопасности и конфиденциальности пользователей, а также отражения новых потребностей экосистемы. Новая редакция правил каталога вступит в силу 1 декабря 2021 года. Ключевые изменения: Сбор сведений об активности пользователя при навигации по сайтам, таких как информация о просмотренных URL, истории посещений и вводимых на страницах данных, разрешён только в дополнениях, явно заявляющих данную функциональность в качестве основной. Скрытый сбор сведений об активности пользователей как и раньше запрещён. В каталоге addons.mozilla.org запрещено размещение дополнений, ограниченных только функциями продвижения, загрузки, установки или открытия другого сайта, web-приложения или дополнения. … Читать далее Изменение правил каталога дополнений к Firefox

В поставляемой в ядре Linux реализации сетевого протокола TIPC (Transparent Inter-process Communication) выявлена критическая уязвимость (CVE-2021-43267), позволяющая удалённо через отправку специально оформленного сетевого пакета добиться выполнения своего кода с привилегиями ядра. Опасность проблемы сглаживает то, что для атаки требуется явное включение поддержки TIPC в системе (загрузка и настройка модуля ядра tipc.ko), которая в неспециализированных дистрибутивах Linux не производится по умолчанию. Протокол TIPC поддерживается начиная с ядра Linux 3.19, но приводящий к уязвимости код был включён в состав ядра 5.10. Уязвимость устранена ядрах 5.15.0, 5.10.77 и 5.14.16. Проблема проявляется и пока не устранена в Debian 11, Ubuntu 21.04/21.10, SUSE (в ещё … Читать далее Удалённая уязвимость в реализации протокола TIPC в ядре Linux

Злоумышленникам удалось получить контроль над NPM-пакетом coa и выпустить обновления 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3, включающие вредоносные изменения. Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service. Администрация NPM уже удалила выпуск с вредоносными изменениями и заблокировала публикацию новых версий до возвращения доступа к репозиторию основного разработчика. Атака была совершена через взлом учётной записи разработчика проекта. Добавленные вредоносные изменения аналогичны тем, что использовались в совершённой две недели назад атаке на пользователей NPM-пакета UAParser.js, но ограничились атакой только на платформу … Читать далее В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО

Компания Google представила стабильный релиз платформы Knative 1.0, предназначенной для создания инфраструктуры бессерверных вычислений, развёртываемой поверх системы контейнерной изоляции на базе платформы Kubernetes. Кроме Google в разработке Knative также принимают участие такие компании, как IBM, Red Hat, SAP и VMware. Выпуск Knative 1.0 ознаменовал стабилизацию API для разработки приложений, который отныне не будет меняться и сохранит обратную совместимость. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Предлагаемая в Knative бессерверная модель разработки приложений (serverless) предоставляет дополнительный уровень абстракции для облачных систем, позволяющий выполнять функции как сервисы (FaaS, Functions as a service). Суть бессерверной модели в том, … Читать далее Google представил платформу бессерверных вычислений Knative 1.0

Объявлено об открытии исходных текстов и публикации первого отдельного выпуска языка программирования Luau, продолжающего развитие языка Lua и обратно совместимого с Lua 5.1. Язык Luau предназначен в основном для встраивания обработчиков сценариев в приложения и нацелен на достижение высокой производительности и низкого потребления ресурсов. Код проекта написан на языке C++ и открыт под лицензией MIT. Luau расширяет Lua возможностями для проверки типов и некоторыми новыми синтаксическими конструкциями, такими как строковые литералы. Язык обратно совместим с Lua 5.1 и частично с более новыми версиями. Поддерживается API Lua Runtime, что позволяет использовать Luau с уже существующим кодом и привязками (binding). Языковой runtime … Читать далее Открыт код Luau, варианта языка Lua с проверкой типов

Сформирован выпуск основной ветки nginx 1.21.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.20 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Прекращена поддержка установки HTTP/2-соединений с использованием расширения NPN (Next Protocol Negotiation) вместо ALPN; Обеспечено закрытие SSL-соединений при использовании клиентом расширения ALPN, если в процессе согласования соединений не выбран поддерживаемый протокол; В директиве «sendfile_max_chunk» значение по умолчанию изменено на 2 мегабайта; В модуле stream добавлена директива proxy_half_close, при помощи которой можно настроить поведение при закрытии проксируемого соединения TCP на одной из сторон («TCP half-close»); В модуле stream добавлена директива ssl_alpn … Читать далее Выпуск nginx 1.21.4

Компания Red Hat представила первую бета-версию дистрибутива Red Hat Enterprise Linux 9. Готовые установочные образы подготовлены для зарегистрированных пользователей Red Hat Customer Portal (для оценки функциональности также можно использовать iso-образы CentOS Stream 9). Репозитории с пакетами доступны без ограничений для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64). Исходные тексты rpm-пакетов Red Hat Enterprise Linux 9 размещены в Git-репозиторий CentOS. Релиз ожидается в первой половине следующего года. В соответствии с 10-летним циклом поддержки дистрибутива RHEL 9 будет сопровождаться до 2032 года. Обновления для RHEL 7 продолжат выпускаться до 30 июня 2024 года, RHEL 8 — до 31 мая … Читать далее Началось бета-тестирование Red Hat Enterprise Linux 9

После года разработки состоялся релиз новой стабильной ветки открытой коммуникационной платформы Asterisk 19, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходные тексты проекта доступны под лицензией GPLv2. Asterisk 19 отнесён к категории выпусков с обычной поддержкой, обновления для которых формируются в течение двух лет. Поддержка прошлой LTS-ветки Asterisk 18 продлится до октября 2025 года, а ветки Asterisk 16 до октября 2023 года. Поддержка LTS-ветки 13.x и промежуточной ветки 17.x прекращена. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание функциональности. … Читать далее Релиз коммуникационной платформы Asterisk 19 и дистрибутива FreePBX 16

Компания Canonical объявила о начале формирования отдельных системных образов дистрибутивов Ubuntu Core 20 и Ubuntu Desktop 20.04, оптимизированных для 11 поколения процессоров Intel Core (Tiger Lake, Rocket Lake), чипов Intel Atom X6000E и серий N и J Intel Celeron и Intel Pentium. В качестве причины создания отдельных сборок называется желание повысить эффективность использования Ubuntu в системах интернет вещей (IoT), построенных на чипах Intel. Из особенностей предложенных сборок отмечается: Оптимизация для выполнения задач в реальном режиме времени. Включение патчей для усиления безопасности и надёжности (задействованы новые возможности CPU для усиления изоляции контейнеров и обеспечения целостности). Перенос из свежих веток ядра Linux … Читать далее Компания Canonical представила сборки Ubuntu, оптимизированные для процессоров Intel

Проект openSUSE опубликовал первое обновление установочных образов дистрибутива openSUSE Leap 15.3 QU1 (15.3 Quarterly Update 1 или 15.3-2). Предложенные сборки включают все обновления пакетов, накопившиеся за четыре месяца после выпуска openSUSE Leap 15.3, а также устраняют недоработки в инсталляторе. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получили обновления через штатную систему установки обновлений. В дальнейшем обновления сборок планируется публиковать раз в квартал. Ожидается, что публикация дополнительных ежеквартальных обновлений позволяет снизить объём загружаемых по сети данных, необходимых для доведения свежеустановленного дистрибутива до актуального состояния. Источник: http://www.opennet.ru/opennews/art.shtml?num=56092 Читать далее Доступно первое ежеквартальное обновление openSUSE Leap 15.3-2

Состоялся релиз web-браузера Firefox 94. Кроме того, сформировано обновление веток с длительным сроком поддержки — 91.3.0. На стадию бета-тестирования переведена ветка Firefox 95, релиз которой намечен на 7 декабря. Основные новшества: Реализована новая служебная страница «about:unloads» на которой пользователь для сокращения потребления памяти может принудительно выгрузить из памяти наиболее ресурсоёмкие вкладки, не закрывая их (содержимое будет перезагружено при переходе на вкладку). На странице «about:unloads» имеющиеся вкладки перечислены в порядке приоритета вытеснения при нехватке оперативной памяти. Приоритет в списке выбирается в зависимости о времени доступа к вкладке, а не на основе потребляемых ресурсов. При нажатии кнопки Unload из памяти будет вытеснена … Читать далее Релиз Firefox 94

Представлен релиз Linux-дистрибутива Fedora 35. Для загрузки подготовлены продукты Fedora Workstation, Fedora Server, CoreOS, Fedora IoT Edition, а также набор «спинов» c Live-сборками десктоп-окружений KDE Plasma 5, Xfce, i3, MATE, Cinnamon, LXDE и LXQt. Сборки сформированы для архитектур x86_64, Power64, ARM64 (AArch64) и различных устройств с 32-разрядными процессорами ARM. Публикация сборок Fedora Silverblue задерживается. Наиболее заметные улучшения в Fedora 35: Рабочий стол Fedora Workstation обновлён до выпуска GNOME 41, в котором переработан интерфейс управления установкой приложений. В конфигуратор добавлены новые разделы для настройки управления окнами/рабочими столами и подключения через сотовых операторов. Добавлен новый клиент для удалённого подключения к рабочему столу … Читать далее Релиз Linux-дистрибутива Fedora 35

После шести лет разработки состоялся первый стабильный релиз статического анализатора PHPStan 1.0, позволяющего находить ошибки в коде на языке PHP без его выполнения и использования unit-тестов. Код проекта написан на языке PHP и распространяется под лицензией MIT. Анализатор предоставляет 10 уровней проверки, в которых каждый последующий уровень расширяет возможности предыдущего и предоставляет более строгие проверки: Базовые проверки, определение неизвестных классов, функций и методов ($this), неопределённых переменных, а также передачи неверного числа аргументов. Выявление вероятно неопределённых переменных, неизвестных magic-методов и свойств классов с __call и __get. Выявление неизвестных методов во всех выражениях, не ограничиваясь вызовом через $this. Проверка PHPDocs. Проверка возвращаемых … Читать далее Выпуск PHPStan 1.0, статического анализатора для кода на языке PHP

После 11 месяцев разработки состоялся выпуск открытого видеоплеера MPV 0.34, в 2013 году ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного переноса новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения остающегося GPL-кода можно использовать опцию «—enable-lgpl». В новой версии: Реализована возможность переключения модулей вывода (vo) во время выполнения программы. В файле конфигурации input.conf добавлена поддержка одинарных кавычек и формы `XstringX`. В модуль ao_oss возвращена поддержка вывода через … Читать далее Релиз видеоплеера MPV 0.34

Доступен первый публичный выпуск проекта MangoDB, предлагающего прослойку с реализацией протокола документо-ориентированной СУБД MongoDB, работающую поверх СУБД PostgreSQL. Проект нацелен на предоставление возможности миграции приложений, использующих СУБД MongoDB, на PostgreSQL и полностью открытый программный стек. Код написан на языке Go и распространяется под лицензией Apache 2.0. Программа работает в форме прокси, транслирующего обращения к MangoDB в SQL-запросы к PostgreSQL, используя PostgreSQL в качестве фактического хранилища. Проект совместим с драйверами для MongoDB, но пока находится на стадии прототипа и не поддерживает расширенные возможности протокола MongoDB, хотя уже пригоден для перевода простых приложений. Потребность ухода от использования СУБД MongoDB может возникнуть из-за … Читать далее Проект MangoDB развивает реализацию протокола СУБД MongoDB поверх PostgreSQL

Исследователи из Кембриджского университета опубликовали новую технику незаметной подстановки вредоносного кода в рецензируемые исходные тексты. Подготовленный метод атаки (CVE-2021-42574) представлен под именем Trojan Source и базируется на формировании текста по разному выглядящего для компилятора/интерпретатора и человека, просматривающего код. Примеры применения метода продемонстрированы для различных компиляторов и интерпретаторов, поставляемых для языков C, C++, C#, JavaScript, Java, Rust, Go и Python. Метод основан на применении в комментариях к коду специальных Unicode-символов, меняющих порядок отображения двунаправленного текста. При помощи подобных управляющих символов одни части текста могут выводиться слева-направо, а другие справа-налево. Таким образом, при помощи отрывка текста, отображаемого справа-налево можно перекрыть уже имеющийся … Читать далее Атака Trojan Source для внедрения изменений в код, незаметных для разработчика

Опубликован релиз легковесного Live-дистрибутива AntiX 21, оптимизированного для установки на устаревшее оборудование. Выпуск основан на пакетной базе Debian 11, но поставляется без системного менеджера systemd и с eudev вместо udev. Для инициализации на выбор могут использоваться runit или sysvinit. Пользовательское окружение по умолчанию сформировано при помощи оконного менеджера IceWM. Для работы с файлами доступны zzzFM и ROX-Filer. Дистрибутив доступен в четырёх редакциях: Full, Base, Core и Net: antiX-full (antiX-21_x64-full.iso 1.4GB): 4 оконных менеджера — IceWM (по умолчанию), fluxbox, jwm и herbstluftwm плюс полный пакет LibreOffice. Сборки x86_64 поставляются с 2 ядрами Linux — 4.9 и 5.10. antiX-base (antiX-21_x64-base.iso 774MB – … Читать далее Новый выпуск легковесного дистрибутива antiX 21

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.15. Среди наиболее заметных изменений: новый драйвер NTFS с поддержкой записи, модуль ksmbd с реализацией SMB-сервера, подсистема DAMON для мониторинга доступа к памяти, примитивы блокировок для режима реального времени, поддержка fs-verity в Btrfs, системный вызов process_mrelease для систем реагирования на нехватку памяти, модуль удалённой аттестации dm-ima. В новую версию принято 13499 исправлений от 1888 разработчиков, размер патча — 42 МБ (изменения затронули 10895 файлов, добавлено 632522 строк кода, удалено 299966 строк). Около 45% всех представленных в 5.15 изменений связаны с драйверами устройств, примерно 14% изменений имеют отношение к обновлению кода, … Читать далее Релиз ядра Linux 5.15