Компания Microsoft объявила о включении в Microsoft Office 2021 и Microsoft 365 Office 2021 поддержки открытой спецификации ODF 1.3 (OpenDocument), которая доступна в приложениях Word, Excel и PowerPoint. Ранее возможность работы с документами в формате ODF 1.3 была доступна только в LibreOffice 7.x, а MS Office ограничивался поддержкой спецификации ODF 1.2. Отныне MS Office позволяет работать с актуальной версией формата ODF, которая предлагается наряду с поддержкой собственного формата OOXML (Office Open XML), применяемого в файлах с расширениями .docx, .xlsx и .pptx. При экспорте в ODF документы сохраняются только в формате ODF 1.3, но старые альтернативные офисные пакеты смогут обрабатывать данные … Читать далее Microsoft обеспечил поддержку открытого формата ODF 1.3 в MS Office 2021

Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутренних функций, например можно запретить «system, exec, passthru, popen, proc_open и shell_exec» для блокирования вызова внешних программ, «eval» для защиты от выполнения строк с PHP-кодом и fopen для запрета открытия файлов. Примечательно, что в предложенном эксплоите используется уязвимость, о которой разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность. Предложенный метод атаки основан на изменении значений параметров в памяти процесса и работает во … Читать далее Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini

Опубликован выпуск Linux-дистрибутива Bottlerocket 1.3.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров. Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети … Читать далее Выпуск Bottlerocket 1.3, дистрибутива на базе изолированных контейнеров

Компания Canonical представила первый выпуск оболочки Ubuntu Frame, предназначенной для создания интернет-киосков, терминалов самообслуживания, информационных стендов, цифровых вывесок, умных зеркал, промышленных экранов, IoT-устройств и других подобных применений. Оболочка рассчитана на предоставление полноэкранного интерфейса для одного приложения и базируется на использовании дисплейного сервера Mir и протокола Wayland. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены пакеты в формате snap. Ubuntu Frame можно использования для запуска приложений на базе GTK, Qt, Flutter и SDL2, а также программ на базе Java, HTML5 и Electron. Возможен запуск как приложений, собранных с поддержкой Wayland, так и программ на базе протокола X11 (используется Xwayland). Для … Читать далее Компания Canonical представила оболочку Ubuntu Frame

После пяти месяцев разработки и семи с половиной лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.11, в котором предложено 12 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. В новом выпуске устранены три уязвимости: CVE-2021-33035 — позволяет добиться выполнения кода при открытии специально оформленного файла в формате DBF. Проблема вызвана тем, что при выделении памяти OpenOffice полагался на значения fieldLength и fieldType в заголовке файлов DBF, не проверяя при этом соответствие фактического типа данных в полях. Для совершения атаки можно указать в значении fieldType тип INTEGER, но разместить данные большего размера и указать … Читать далее Выпуск Apache OpenOffice 4.1.11

После трёх лет разработки представлен стабильный релиз прокси-сервера Squid 5.1, готовый для использования в рабочих системах (выпуски 5.0.x имели статус бета-версий). После придания ветке 5.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 6.0. Пользователям прошлой стабильной ветки 4.x рекомендуется спланировать переход на ветку 5.x. Основные новшества Squid 5: В реализацию протокола ICAP (Internet Content Adaptation Protocol), используемого для интеграции с внешними системами проверки контента, добавлена поддержка механизма присоединения данных (trailer), позволяющего прикрепить к ответу дополнительные заголовки с метаданными, размещаемые … Читать далее Стабильный релиз прокси-сервера Squid 5

Представлен релиз дисплейного сервера Mir 2.5, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 20.04/20.10/21.04 (PPA) и Fedora 32/33/34. Код проекта распространяется под лицензией GPLv2. В новой версии предложены дополнительные средства для упрощения создания интернет-киосков, демонстрационных стендов, терминалов самообслуживания … Читать далее Выпуск дисплейного сервера Mir 2.5

Доступен выпуск легковесного оконного менеджера IceWM 2.8. IceWM предоставляет полноценное управление через клавиатурные комбинации, возможность использования виртуальных рабочих столов, панели задач и меню-приложений. Оконный менеджер настраивается через достаточно простой файл конфигурации, возможно использование тем оформления. Доступны встроенные апплеты для мониторинга CPU, памяти, трафика. Отдельно развивается несколько сторонних GUI для настройки, реализаций рабочего стола и редакторов меню. Код написан на языке С++ и распространяется под лицензией GPLv2. В новом выпуске увеличена производительность и масштабируемость меню со списком окон. Добавлена поддержка группировки вместе окон одинаковых приложений. В утилите icesh улучшена фильтрация по свойству WM_CLASS и добавлены опции «+group» и «+Class». Повышена эффективность … Читать далее Релиз оконного менеджера IceWM 2.8

В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер. Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты. Опасность уязвимости сглаживает то, что проблема проявляется только в недавно выпущенной версии 2.4.49 и не затрагивает все более ранние выпуски. В стабильных ветках консервативных … Читать далее Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта

Доступен выпуск проекта fheroes2 0.9.8, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Для существ, атакующих 2 клетки, добавлено отображение зоны поражения. Исправлена генерация рамки главного окна на высоких разрешениях. Улучшен ИИ. В том числе обновлен список объектов, с которыми он может взаимодействовать. Добавлен новый тип ярлыков в списке сценариев для карт «The Succession Wars» и «The Price of Loyalty». * Для пользователей Windows добавлен скрипт для … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.8

Состоялся релиз web-браузера Firefox 93. Кроме того, сформировано обновление веток с длительным сроком поддержки — 78.15.0 и 91.2.0. На стадию бета-тестирования переведена ветка Firefox 94, релиз которой намечен на 2 ноября. Основные новшества: Включена по умолчанию поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1. Поддерживаются цветовые пространства с полным и ограниченным диапазоном цветов, а также операции трансформации (поворот и отзеркаливание). Анимация пока не поддерживается. Для настройки соответствия спецификации в about:config предложен параметр «image.avif.compliance_strictness’. Значение HTTP-заголовка ACCEPT изменено по умолчанию на «image/avif,image/webp,*/*». Переведён в разряд обязательных движок WebRender, который написан на … Читать далее Релиз Firefox 93

После шести месяцев разработки представлен релиз проекта LLVM 13.0 — GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизаций). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Улучшения в Clang 13.0: Реализована поддержка гарантированных хвостовых вызовов (вызов подпрограммы в самом конце функции, образующий хвостовую рекурсию в случае, если подпрограмма вызывается саму себя). Поддержка гарантированных хвостовых вызовов обеспечена при помощи атрибута «[[clang::musttail]]» в C++ и «__attribute__((musttail))» в C, применяемых в выражении «return». Возможность позволяет реализовать оптимизации через развёртывание кода в … Читать далее Релиз набора компиляторов LLVM 13.0

Facebook столкнулся с крупнейшим сбоем в своей истории, в результате которого все сервисы компании, включая facebook.com, instagram.com и WhatsApp, оказались недоступны в течение 6 часов — с в 18:39 (MSK) в понедельник до 0:28 (MSK) во вторник. Источником сбоя стало изменение в настройках BGP на магистральных маршрутизаторах, управляющих трафиком между датацентрами, которое привело к каскадному нарушению связности датацентров Facebook с остальной глобальной сетью. Со стороны произошедшее выглядело так, как будто кто-то разом отключил кабели ото всех датацентов Facebook. Интересно, что сбой привёл к нарушению работоспособности внутренних информационных систем и систем связи, из-за чего сотрудники, большая часть которых работала удалённо, не … Читать далее Некорректные манипуляции с BGP привели к 6-часовой недоступности Facebook, Instagram и WhatsApp

После года разработки представлен значительный выпуск языка программирования Python 3.10. Новая ветка будет поддерживаться в течение полутора лет, после чего ещё три с половиной года для неё будут формироваться исправления с устранением уязвимостей. Одновременно началось альфа-тестирование ветки Python 3.11 (в соответствии с новым графиком разработки работа над новой веткой начинается за пять месяцев до релиза предыдущей ветки и к моменту очередного релиза достигает стадии альфа-тестирования). Ветка Python 3.11 будет находиться на стадии альфа-выпусков в течение семи месяцев, во время которых будут добавляться новые возможности и производиться исправление ошибок. После этого в течение трёх месяцев будет проводиться тестирование бета-версий, во время … Читать далее Выпуск языка программирования Python 3.10

Доступен выпуск набора OnlyOffice Desktop 6.4, предназначенного для работы с текстовыми документами, таблицами и презентациями. Редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Код проекта распространяется под свободной лицензией AGPLv3. В OnlyOffice заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины … Читать далее Выпуск офисного пакета OnlyOffice Desktop 6.4

Опубликованы корректирующие выпуски CУБД Redis 6.2.6, 6.0.16 и 5.0.14, в которых устранено 8 уязвимостей. Всем пользователям рекомендовано срочно обновить Redis до новых версий. Четыре уязвимости (CVE-2021-41099, CVE-2021-32687, CVE-2021-32628, CVE-2021-32627) могут привести к переполнению буфера при обработке специально оформленных команд и сетевых запросов, но для эксплуатации необходимо чтобы некоторые параметры конфигурации (proto-max-bulk-len, set-max-intset-entries, hash-max-ziplist-*, proto-max-bulk-len, client-query-buffer-limit) были выставлены в очень большие значения. Уязвимость CVE-2021-32762 может привести к переполнению буфера в redis-cli и redis-sentinel при разборе больших ответов на старых платформах. Уязвимость CVE-2021-32675 может привести к отказу в обслуживании при обработке интенсивно потупающих RESP-запросов с большим числом элементов. Уязвимость CVE-2021-32672 может привести … Читать далее Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей

Компания Google опубликовала релиз открытой мобильной платформы Android 12. Связанные с новым выпуском исходные тексты размещены в Git-репозиторий проекта (ветка android-12.0.0_r1). Обновления прошивки подготовлены для устройств серии Pixel, а также для смартфонов производства Samsung Galaxy, OnePlus, Oppo, Realme, Tecno, Vivo и Xiaomi. Дополнительно сформированы универсальные сборки GSI (Generic System Images), подходящие для разных устройств на базе архитектур ARM64 и x86_64. Основные новшества: Предложено одно из наиболее значительных обновлений оформления интерфейса в истории проекта. Новый дизайн реализует концепцию «Material You«, преподносимую как вариант Material Design следующего поколения. Новая концепция будет автоматически применена для всех платформ и элементов интерфейса, и не потребует … Читать далее Выпуск мобильной платформы Android 12

Проект Eigen столкнулся с техническими проблемами в работе основного репозитория. Несколько дней назад исходный код проекта, размещённый на сайте GitLab оказался недоступен. При доступе к странице выдаётся ошибка «No repository». Недоступными также оказались размещенные на страницы релизы пакета. Участники обсуждения отмечают, что длительная недоступность eigen уже нарушила сборку и непрерывное тестирование множества проектов, в том числе библиотеки Google Tensorflow. В настоящее время нет определённости относительно сроков восстановления репозитория и причинах сбоя. Закрытие репозитория могло быть связано с работой актора rmlarsen1, о чём в логе активности проекта сохранилась соответствующая запись. В то же время разработчики указывают, что соответствующий запрос был отправлен … Читать далее Недоступность репозитория проекта Eigen

На состоявшейся в Москве конференции Russian Open Source Summit, посвящённой использованию открытого программного обеспечения в России в условиях государственной политики на снижение зависимости от иностранных поставщиков, объявлены планы по созданию некоммерческой организации «Russian Open Source Foundation». Ключевые задачи, которыми будет заниматься организация Russian Open Source Foundation: Координировать деятельность сообществ разработчиков, образовательных и научных организаций. Участвовать в разработке плана мероприятий по реализации стратегии развития ПО с открытым кодом и определять показатели эффективности. Выполнять роль оператора отечественного репозитория или зеркал крупнейших зарубежных репозиториев. Обеспечивать грантовую поддержку разработки открытого ПО. Представлять российские сообщества открытого ПО в переговорах с международными общественными организациями в той … Читать далее В России планируют создать свой Фонд открытого ПО

Опубликован выпуск дистрибутива Nitrux 1.6.1, построенного на пакетной базе Debian, технологиях KDE и системе инициализации OpenRC. Дистрибутив развивает собственный рабочий стол NX Desktop, который представляет собой надстройку над пользовательским окружением KDE Plasma. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages. Размер загрузочных образов составляет 3.1 ГБ и 1.5 ГБ. Наработки проекта распространяются под свободными лицензиями. Рабочий стол NX Desktop предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений и мультимедийный апплет для регулирования громкости и управления воспроизведением мультимедийного контента. В поставку также входят приложения из набора MauiKit, среди которых … Читать далее Релиз дистрибутива Nitrux 1.6.1 с рабочим столом NX Desktop

Состоялся релиз легковесного http-сервера lighttpd 1.4.60. В новой версии представлено 437 изменений, в основном связанных с устранением ошибок и оптимизациями. Основные новшества: Добавлена поддержка заголовка Range (RFC-7233) для всех непотоковых ответов (ранее Range поддерживался только при отдаче статических файлов). Проведена оптимизация реализации протокола HTTP/2, в которой снижено потребление памяти и ускорена обработка интенсивно отправляемых начальных запросов. Проведена работа по снижению потребления памяти. Повышена производительность lua в модуле mod_magnet. Повышена производительность модуля mod_dirlisting и добавлена опция для настройки кэширования. В mod_dirlisting, mod_ssi и mod_webdav добавлены ограничения для предотвращения большого потребления памяти при экстремальных нагрузках. На стороне бэкенда добавлены отдельные ограничения на … Читать далее Выпуск http-сервера Lighttpd 1.4.60