Доступен релиз дистрибутива Parrot 4.11, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены несколько iso-образов с окружением MATE (полный 4.3 ГБ и сокращённый 1.9 ГБ), с рабочим столом KDE (2 ГБ) и с рабочим столом Xfce (1.7 ГБ). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, … Читать далее Выпуск дистрибутива Parrot 4.11 с подборкой программ для проверки безопасности

После более года разработки компания Red Hat опубликовала стабильный релиз пакета Cygwin 3.2.0, включающего DLL-библиотеку для эмуляции базового Linux API в Windows, позволяющую с минимальными изменениями собирать созданные для Linux программы. В пакет также входят непосредственно собранные для выполнения в Windows стандартные Unix-утилиты, серверные приложения, компиляторы, библиотеки и заголовочные файлы. Основные изменения: Переработана поддержка псевдоконсоли, которая теперь активируется только при запуске приложений не из состава cygwin. Добавлен новый C11 API для работы с потоками: call_once, cnd_broadcast, cnd_destroy, cnd_init, cnd_signal, cnd_timedwait, cnd_wait, mtx_destroy, mtx_init, mtx_lock, mtx_timedlock, mtx_trylock, mtx_unlock, thrd_create, thrd_current, thrd_detach, thrd_equal, thrd_exit, thrd_join, thrd_sleep, thrd_yield, tss_create, tss_delete, tss_get, tss_set. В … Читать далее Новая версия Cygwin 3.2.0, GNU-окружения для Windows

Джон Салливан (John Sullivan) объявил об уходе с поста исполнительного директора Фонда свободного ПО, который он занимал с 2011 года. Подробности переходного периода и детали передачи управления новому директору Джон пообещал опубликовать в ближайшие дни. Отмечается только, что сотрудники Фонда СПО заслуживают полного доверия и для него было честью служить Фонду и работать вместе его работниками, членами и добровольцами. Тем временем, число подписавших письмо в поддержку Столлмана преодолело отметку в четыре тысячи подписей. Для сравнения письмо против Столлмана подписало 2830 человек. Источник: http://www.opennet.ru/opennews/art.shtml?num=54859 Читать далее Фонд свободного ПО покинул исполнительный директор

Разработчики проекта PHP предупредили о компрометации Git-репозитория проекта и обнаружении двух вредоносных коммитов, добавленных 28 марта в репозиторий php-src от имени Расмуса Лердорфа, основателя PHP, и Никиты Попова, одного из ключевых разработчиков PHP. Так как нет уверенности в надёжности сервера, на котором был размещён Git-репозиторий, разработчики решили, что поддержание своими силами Git-инфраструктуры создаёт дополнительные риски безопасности и перенесли эталонный репозиторий на платформу GitHub, которую предлагается использовать в качестве первичной. Все изменения отныне следует отправлять на GitHub, а не на git.php.net, в том числе при разработке теперь можно использовать web-интерфейс GitHub. В первом вредоносном коммите под видом исправления опечатки в файле … Читать далее В Git-репозитории проекта PHP выявлены вредоносные изменения

В NPM-пакете node-netmask, насчитывающем около 3 млн загрузок в неделю и используемом в качестве зависимости у более 270 тысяч проектов на GitHub, выявлена уязвимость (CVE-2021-28918), позволяющая обойти проверки, в которых сетевая маска используется для определения вхождения в диапазоны адресов или для фильтрации. Проблема устранена в выпуске node-netmask 2.0.0. Уязвимость позволяет добиться обработки внешнего IP-адреса как адреса из внутренней сети и наоборот, а при определённой логике использования модуля node-netmask в приложении совершить атаки SSRF (Server-side request forgery),RFI (Remote File Inclusion) и LFI (Local File Inclusion) для обращения к ресурсам во внутренней сети и включения в цепочку выполнения внешних или локальных файлов. … Читать далее Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектах

В соответствии с ранее предложенным процессом изменения управления Фондом СПО, Джеффри Кнаут (Geoffrey Knauth), президент Фонда СПО, объявил о включении в совет директоров нового участника с правом голоса, который будет представлять мнение персонала и которого выбрали обычные сотрудники Фонда СПО. В совет вошёл системный администратор Ян Келлинг (Ian Kelling). Одновременно заявлено об уходе из совета директоров Фонда СПО юриста Кэт Уолш (Kat Walsh), которая принимала участие в создании лицензии Creative Commons 4.0, входила в совет попечителей Wikimedia Foundation и управляющий совет Xiph.org Foundation. Кэт отметила, что уход не следует воспринимать как отказ от идей сводного ПО. Совершённый шаг стал следствием … Читать далее Изменения в составе совета директоров Фонда СПО

Опубликован выпуск 4MLinux 36.0, минималистичного пользовательского дистрибутива, не являющегося ответвлением от других проектов и использующего графическое окружение на базе JWM. 4MLinux может использоваться не только в качестве Live-окружения для воспроизведения мультимедийных файлов и решения пользовательских задач, но и в роли системы для восстановления после сбоев и платформы для запуска серверов LAMP (Linux, Apache, MariaDB и PHP). Размер iso-образа составляет 930 МБ (i686, x86_64). В новом выпуске добавлена поддержка протокола NBD (Network Block Device). Добавлены утилиты exfatprogs для работы с файловой системой exFAT и встроена поддержка exFAT в редактор разделов GParted. В состав включены: система шифрования дисковых разделов VeraCrypt, программа для … Читать далее Выпуск дистрибутива 4MLinux 36.0

Представлен выпуск новой стабильной ветки WebKitGTK 2.32.0, порта браузерного движка WebKit для платформы GTK. WebKitGTK позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: Прекращена поддержка плагинов NPAPI. Обеспечено корректное применение системных параметров масштабирования шрифтов. Добавлен запрос полномочий при обращении к API MediaKeySystem. Предложен API для удаления отдельных скриптов и стилей через WebKitUserContentManager. В режиме инспектирования обеспечен показ детальной информации о кадрах, … Читать далее Релиз браузерного движка WebKitGTK 2.32.0

Опубликован выпуск графического редактора GIMP 2.10.24, в котором продолжено оттачивание функциональности и повышение стабильности ветки 2.10. Для установки в ближайшее время будут доступны пакеты в форматах flatpak и snap. Выпуск в основном включает исправления ошибок и улучшение поддержки форматов изображений. Все усилия по наращиванию функциональности сосредоточены на подготовке ветки GIMP 3, которая находится на стадии тестирования предварительных выпусков. Из улучшений в GIMP 2.10.24 выделяется поддержка метаданных GeoTIFF (метки о местоположении, встроенные в TIFF файлы), улучшение интерфейса для просмотра и редактирования метаданых, улучшение импорта и экспорта форматов HEIF, PSP, TIFF, JPEG, PNG, PDF, DDS, BMP и PSD, возможность импорта RAW-изображений через … Читать далее Выпуск графического редактора GIMP 2.10.24

В связи c политикой Twitter в отношении навязывания JavaScript энтузиасты разработали Nitter — свободный фронтенд для Twitter, работаюзщий без навязывания JavaScript, аналитики, трекеров и ресурсов на стороне Google, CloudFlare и прочих сторонних сервисов. Код проекта написан на языке Nim и распространяется под лицензией AGPLv3. Особенности проекта: Без JavaScript или рекламы Все запросы идут через бэкэнд, клиент не общается с Twitter. Бэкенд не обязательно запускать на своём оборудовании, энтузиастами поддерживается несколько десятков публично доступных серверов для подключения. Предотвращает отслеживание Twitter-ом IP-адреса пользователя и отпечатка браузера. Использует неофициальное API Twitter (без ограничений на частоту запросов и без наличия аккаунта разработчика, но с … Читать далее nitter.cc — свободная замена GUI Twitter

Опубликовано девятое корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 45 обновлений с устранением проблем со стабильностью и 30 обновлений с устранением уязвимостей. Из изменений в Debian 10.9 выделяется обновление до свежей стабильной версии пакета postgresql-11 и добавление в fwupd поддержки UEFI SBAT (Secure Boot Advanced Targeting). Для загрузки и установки «с нуля» в ближайшие часы будут подготовлены установочные сборки, а также live iso-hybrid c Debian 10.9. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 10.9, через штатную систему установки обновлений. Исправления проблем безопасности, включённые … Читать далее Обновление Debian 10.9

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 6.5. С момента выпуска версии 6.4 было закрыто 25 отчётов об ошибках и внесено 413 изменений. Наиболее важные изменения: Обеспечена поддержка спецификации OpenCL 1.2, определяющей API и расширения языка С для организации кросс-платформенных параллельных вычислений с использованием многоядерных CPU, GPU, FPGA, DSP и других специализированных чипов. В библиотеке MSHTML добавлена поддержка дополнительных режимов совместимости с Internet Explorer. Улучшена работа форм RichEdit в безоконном режиме (windowless). В библиотеку WinRT добавлены новые заглушки. Закрыты отчёты об ошибках, связанные с работой игр и приложений: Zoo Tycoon, TOCA Touring Car Championship, The Sims, Conquest: Frontier Wars, … Читать далее Выпуск Wine 6.5

Опубликовано несколько значительных обновлений библиотеки декодирования изображений SAIL, предоставляющей переписанный на С ребрендинг кодеков из давно не поддерживаемой программы просмотра изображений KSquirrel, но с наличием высокоуровневого абстрактного API и многочисленными улучшениями. Библиотека готова для использования, но всё ещё непрерывно улучшается. Бинарная и API совместимость пока не гарантируется. Демонстрация. Особенности SAIL Быстрая и простая в использовании библиотека; Написана на C11 c биндингами к C++17; Поддержка форматов изображений реализована динамически загружаемыми кодеками, которые можно удалять и добавлять независимо от клиентской части; Чтение из файла, памяти, собственных источников; Поддержка многостраничных и анимированных изображений; Поддержка популярных форматов всё же делается с помощью соответствующих библиотек … Читать далее Выпуск библиотеки декодирования изображений SAIL 0.9.0-pre12

Из кодовой базы, на основе которой формировался релиз FreeBSD 13, был со скандалом удалён код с реализацией протокола VPN WireGuard, разработанной по заказу компании Netgate без консультаций с разработчиками оригинального WireGuard, и уже включённой в стабильные выпуски дистрибутива pfSense. После проверки кода Джейсоном Доненфилдом (Jason A. Donenfeld), автором оригинального WireGuard, выяснилось, что предложенная для FreeBSD реализация WireGuard представляла собой образец низкосортного кода, изобилующего переполнениями буфера и нарушающего лицензию GPL. В реализации были найдены катастрофические огрехи в коде криптографии, в реализации была пропущена часть протокола WireGuard, присутствовали ошибки, приводившие к краху ядра и обходу методов защиты, для входных данных использовались буферы … Читать далее Во FreeBSD 13 чуть не оказалась халтурная реализация WireGuard с нарушением лицензии и уязвимостями

Опубликован релиз языка системного программирования Rust 1.51, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Автоматическое управление памятью в Rust избавляет разработчика от ошибок при манипулировании указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения … Читать далее Выпуск языка программирования Rust 1.51

Состоялся выпуск сервера приложений NGINX Unit 1.23, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии добавлена поддержка TLS-расширения SNI, предназначенного для организации работы на одном IP-адресе нескольких HTTPS-сайто через передачу имени хоста в открытом виде в сообщении … Читать далее Выпуск сервера приложений NGINX Unit 1.23.0

Состоялся релиз двухпанельного файлового менеджера GNOME Commander 1.12.0, оптимизированного для использования в пользовательском окружении GNOME. GNOME Commander представляет такие возможности как вкладки, доступ к командной строке, закладки, изменяемые цветовые схемы, режим пропуска каталогов при выделении файлов, доступ к внешним данным через FTP и SAMBA, расширяемые контекстные меню, автоматическое монтирование внешних накопителей, доступ к истории навигации, поддержка плагинов, встроенный просмотрщик текста и изображений, функции поиска, переименования по маске и сравнения каталогов. В новой версии в число зависимостей включён GIO, предоставляющий единый VFS API для абстрагирования доступа к локальным и удалённым файловым системам. Начался процесс миграции с GnomeVFS на GIO. В том … Читать далее Выпуск файлового менеджера GNOME Commander 1.12

Опубликован план голосования, с единственной опцией: поддержать петицию против Столлмана проекту Debian, как организации. Организатор голосования, Стив Лангашек (Steve Langasek) из компании Canonical, ограничил дискуссионный период неделей (ранее на обсуждение выделялось минимум 2 недели). В число учредителей голосования также вошли Нил МакГоверн (Neil McGovern), Стив Макинтаир (Steve McIntyre) и Сэм Хартман (Sam Hartman), в прошлые годы занимавшие пост лидера проекта Debian. Кроме того, к критике Столмана присоединилась организация The Document Foundation, курирующая разработку офисного пакета LibreOffice, которая заявила о приостановке участия представителя Фонда СПО в своём консультативном совете и о прекращении сотрудничества с Фондом СПО до тех пор, пока ситуация … Читать далее В Debian инициировано общее голосование по поддержке петиции против Столлмана

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k , в котором устранены две уязвимости, которым присвоен высокий уровень опасности: CVE-2021-3450 — возможность обхода проверки сертификата удостоверяющего центра при включении флага X509_V_FLAG_X509_STRICT, который отключён по умолчанию и применяется для дополнительной проверки наличия сертификатов в цепочке. Проблема внесена в появившейся в OpenSSL 1.1.1h реализации новой проверки, запрещающей использование сертификатов в цепочке, в которых явно закодированы параметры эллиптической кривой. Из-за ошибки в коде новая проверка переопределяла результат выполненной до этого проверки корректности сертификата удостоверяющего центра. В итоге сертификаты заверенные самоподписанным сертификатом, который не связан цепочкой доверия с удостоверяющим центром, обрабатывались как полностью заслуживающие доверия. … Читать далее Обновление OpenSSL 1.1.1k с устранением двух опасных уязвимостей

Проект GNU опубликовал релиз текстового редактора GNU Emacs 27.2. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта Джону Вигли (John Wiegley) осенью 2015 года. Отмечается, что выпуск Emacs 27.2 включает только исправления ошибок и не привносит новых возможностей, за исключением изменения поведения опции ‘resize-mini-frames’. При выставлении ‘resize-mini-frames’ в ненулевое значение, которое не является функцией, по умолчанию для изменения размера минифреймов теперь применяется новая функция ‘fit-mini-frame-to-buffer’, которая не пропускает лидирующие и завершающие пустые строки буфера. Среди добавленных улучшений: Источник: http://www.opennet.ru/opennews/art.shtml?num=54834 Читать далее Релиз текстового редактора GNU Emacs 27.2

Автор популярной Ruby-библиотеки mimemagic, насчитывающей более 100 млн загрузок, из-за нарушения в коде лицензии GPLv2 был вынужден сменить лицензию с MIT на GPLv2. В RubyGems были оставлены только версии 0.3.6 и 0.4.0, поставляемые под GPL, а все старые выпуски под лицензией MIT были удалены. Более того, разработка mimemagic была остановлена, а репозиторий на GitHub переведён в архивное состояние. Данные действия привели к нарушению возможности сборки проектов, использующих mimemagic в качестве зависимости и поставляемых под лицензиями, несовместимыми с GPLv2. При использовании новой версии mimemagic разработчики других проектов, включая пропритартные (лицензия MIT допускает такое использование), обязаны перелицензировать свой код под GPL. Проблему … Читать далее Устранение нарушения GPL в библиотеке mimemagic привело к сбою в Ruby on Rails