В репозитории NPM выявлена вредоносная активность в четырёх пакетах, включающих preinstall-скрипт, который перед установкой пакета отправлял на GitHub комментарий с информацией об IP-адресе, местоположении, логине, модели CPU и домашнем каталоге пользователя. Вредоносный код был найден в пакетах electorn (255 загрузок), lodashs (78 загрузок), loadyaml (48 загрузок) и loadyml (37 загрузок). Проблемные пакеты были размещены в NPM c 17 по 24 августа для распространения с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия других популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка. Судя по числу загрузок на … Читать далее В репозитории NPM выявлены четыре пакета, пересылающие данные о пользователе

Введён в строй сервис идентификации MyKDE, призванный унифицировать вход пользователей на различные сайты проекта KDE. MyKDE пришёл на смену системе единого входа identity.kde.org, которая была реализована в форме простой PHP-надстройки над OpenLDAP. В качестве причины создания нового сервиса отмечается завязка identity.kde.org на устаревшие технологии, которые мешают обновлению некоторых других систем KDE, а также такие проблемы, как трудоёмкий ручной процесс удаления учётных записей, очень большие задержки перед завершением регистрации (до 30 секунд), неэффективное масштабирование групп, слишком топорные меры против спама. MyKDE написан на языке Python с использованием фреймворка Django и модуля Django-OAuth-Toolkit. Для хранения учётных записей применяется MySQL. Код MyKDE является … Читать далее Представлены сервис идентификации MyKDE и механизм запуска KDE при помощи systemd

Фонд свободного ПО празднует своё тридцатипятилетие. Празднование состоится в форме online-мероприятия, которое намечено на 9 октября (с 19 до 20 часов MSK). Среди способов отметить юбилей также предлагается поэкспериментировать с установкой одного из полностью свободных дистрибутивов GNU/Linux, попытаться освоить GNU Emacs, перейти на свободные аналоги проприетарных программ, поучаствовать в продвижении freejs или перейти на использование каталога Android-приложений F-Droid. В 1985 году, спустя год после основания проекта GNU, Ричард Столлман учредил организацию Free Software Foundation. Организация была создана с целью защиты от компаний с сомнительной репутацией, уличенных в присвоении кода и пытающихся продавать некоторые из первых инструментов проекта GNU, разработанных Столлманом … Читать далее Фонду свободного ПО исполнилось 35 лет

Компания МЦСТ представила выпуск дистрибутива Эльбрус Линукс 6.0, построенного с использованием наработок Debian GNU/Linux. Дистрибутив Эльбрус является не пересборкой, а отдельным ответвлением, развиваемым разработчиками архитектуры Эльбрус. Поддерживаются системы с процессорами Эльбрус (Эльбрус-16С, Эльбрус-12С, Эльбрус-2С3, Эльбрус-8СВ, Эльбрус-8С, Эльбрус-1С+, Эльбрус-1СК и Эльбрус-4С), SPARC V9 (R2000, R2000+, R1000) и x86_64. Сборки для процессоров Эльбрус поставляются на коммерческой основе, а редакция для систем x86_64 заявлена как распространяемая свободно и бесплатно (iso-образы, размером 4 и 3 ГБ). Компиляция приложений осуществляется при помощи проприетарного компилятора LCC 1.25, совместимого с GCC. В LCC 1.25 обеспечена экспериментальная поддержка стандарта C++ 20 и повышен уровень совместимости с GCC. Для разработчиков … Читать далее Выпуск дистрибутива Эльбрус 6.0

Разработчики проекта Mesa обсуждают возможность использования языка Rust для разработки драйверов OpenGL/Vulkan и компонентов графического стека. Инициатором обсуждения стала Алиса Розенцвейг (Alyssa Rosenzweig), развивающая драйвер Panfrost для GPU Mali на базе микроархитектур Midgard и Bifrost. Инициатива находится на стадии обсуждения, конкретных решений пока не принято. Сторонники использования Rust выдвигают на передний план возможность повышения качества работы с памятью и избавление от таких проблем, как обращение к области памяти после её освобождения, разыменование нулевых указателей и выход за границы буфера. Поддержка Rust также позволила бы включить в состав Mesa сторонние наработки, такие как система программного рендеринга Kazan с реализацией графического API … Читать далее Разработчики Mesa обсуждают возможность добавления кода на языке Rust

Ежегодно проводимое компанией Digital Ocean мероприятие Hacktoberfest невольно привело к значительной спам-атаке, из-за которой различные проекты, ведущие разработку на GitHub, столкнулись с волной мелких или бесполезных pull-запросов. Изменения в подобных запросах сводились, как правило, к замене отдельных символов в файлах Readme или добавлению фиктивных примечаний. Причиной спам-атаки стала публикация в YouTube-блоге CodeWithHarry, имеющем около 700 тысяч подписчиков, демонстрации как можно с минимальными усилиями получить футболку от Digital Ocean, отправив любому открытому проекту на GitHub pull-запрос с мелкой правкой. В ответ на обвинения в организации атаки на сообщество автор YouTube-канала пояснил, что опубликовал видео для обучения пользователей отправке pull-запросов и хотел … Читать далее Желание получить футболку от Hacktoberfest привело к спам-атаке на GitHub-репозитории

Компания Google представила инициативу Android Partner Vulnerability, в рамках которой планируется раскрывать данные об уязвимостях в Android-устройствах различных OEM-производителей. Инициатива сделает более прозрачным доведение до пользователей сведений об уязвимостях, специфичных для прошивок с модификациями от сторонних производителей. До сих пор в официальных отчётах об уязвимостях (Android Security Bulletins) отражались только проблемы в основном коде, предложенном в репозитории AOSP, но не учитывались проблемы, специфичные для модификаций от OEM-производителей. Уже раскрытые проблемы затрагивают таких производителей, как ZTE, Meizu, Vivo, OPPO, Digitime, Transsion и Huawei. Среди выявленных проблем: В устройствах Digitime вместо проверки дополнительных полномочий для доступа к API сервиса установки OTA-обновлений был … Читать далее Google будет раскрывать сведения об уязвимостях в сторонних Android-устройствах

Компания Red Hat выпустила новую версию графического интерфейса для управления виртуальными окружениями — Virt-Manager 3.0.0. Оболочка Virt-Manager написана на Python/PyGTK, является надстройкой над libvirt и поддерживает управление такими системами как Xen, KVM, LXC и QEMU. Код проекта распространяется под лицензией GPLv2. Программа предоставляет средства для наглядной оценки статистики о производительности и потреблении ресурсов виртуальными машинами, создания новых виртуальных машин, настройки и перераспределения системных ресурсов. Для подключения к виртуальным машинами предоставляется просмотрщик с поддержкой протоколов VNC и SPICE. В состав дополнительно входят утилиты командной строки для создания и клонирования виртуальных машин, а также редактирования настроек libvirt в формате XML и создания … Читать далее Выпуск virt-manager 3.0.0, интерфейса для управления виртуальными окружениями

Опубликован выпуск проекта Stratis 2.2, развиваемого компанией Red Hat и сообществом Fedora для унификации и упрощения средств настройки и управления пулом из одного или нескольких локальных накопителей. Stratis предоставляет такие возможности, как динамическое выделение места в хранилище, снапшоты, обеспечение целостности и создание слоёв для кэширования. Код проекта написан на языке Rust и распространяется под лицензией MPL 2.0. Система во многом повторяет по своим возможностям расширенные средства управления разделами ZFS и Btrfs, но реализована в виде прослойки (демон stratisd), работающей поверх подсистемы device-mapper ядра Linux (используются модули dm-thin, dm-cache, dm-thinpool, dm-raid и dm-integrity) и файловой системы XFS. В отличие от ZFS … Читать далее Выпуск Stratis 2.2, инструментария для управления локальными хранилищами

После десяти лет неактивности возобновлена работа группы Fedora Mobility, нацеленной на разработку официальной редакции дистрибутива Fedora для мобильных устройств. Развиваемый в настоящее время вариант Fedora Mobility рассчитан на установку на смартфоне PinePhone, развиваемом сообществом Pine64. В дальнейшем ожидается появление редакций Fedora и других смартфонов, таких как Librem 5 и OnePlus 5/5T, после появления их поддержки в штатном ядре Linux. В настоящее время в репозиторий Fedora 33 (rawhide) уже добавлен набор пакетов для мобильных устройств, в который входит управляемая с сенсорного экрана пользовательская оболочка Phosh. Оболочка Phosh развивается компанией Purism для смартфона Librem 5, использует композитный сервер Phoc, работающий поверх Wayland, … Читать далее Представлена редакция Fedora Linux для смартфонов

Правозащитная организация Software Freedom Conservancy (SFC) представила новую стратегию обеспечения соблюдения требований лицензии GPL в устройствах, прошивки которых построены на основе Linux. Для воплощения в жизнь предложенной инициативы Фонд ARDC (Amateur Radio Digital Communications) уже выделил организации SFC грант, размером 150 тысяч долларов. Работу планируют вести в трёх направлениях: Принуждение производителей к соблюдению GPL и устранению имеющихся нарушений. Проведение совместно с другими организациями продвижения идеи, что соответствие продукта GPL является важной деталью для защиты конфиденциальности и прав потребителей. Развитие проекта Firmware Liberation по созданию альтернативных прошивок. По мнению Бредли Куна (Bradley M. Kuhn), исполнительного директора SFC, предпринимаемые ранее усилия по … Читать далее SFC готовит иск против нарушителей GPL и будет развивать альтернативные прошивки

Представлен бета-выпуск дистрибутива Ubuntu 20.10 «Groovy Gorilla», который ознаменовал полную заморозку пакетной базы и перешёл к итоговому тестированию и исправлению ошибок. Релиз запланирован на 22 октября. Готовые тестовые образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu и UbuntuKylin (редакция для Китая). Основные изменения: Обновлены версии приложений. Рабочий стол обновлён до выпуска GNOME 3.38, а ядро Linux до версии 5.8. Обновлены версии Python, Ruby, Perl и PHP. Предложено новый выпуск офисного пакета LibreOffice 7.0. Обновлены системные компоненты, такие как PulseAudio, BlueZ и NetworkManager. Осуществлён переход на использование по умолчанию пакетного фильтра nftables. Для сохранения … Читать далее Бета-выпуск Ubuntu 20.10

Опубликован корректирующий выпуск Firefox 81.0.1, в котором исправлены следующие проблемы: Устранено пропадание содержимого обучающих курсов на базе платформы BlackBoard. Исправлена проблема с некорректным масштабирование Flash-контента на системах macOS с экранами HiDPI. Решены проблемы с выводом на печать. Решена проблема с установкой настроек в Windows через GPO (Group Policy Object). Убран показ кнопок управления режимом «картинка в картинке» для элементов, содержащих только звук. Исправлена проблема, приводившая к проблемам с отзывчивостью при наличии дополнений, потребляющих много памяти, таких как Disconnect. Устранён крах при использовании WebGL, проявляющийся при просмотре Google Maps. Устранён крах при использовании client.openWindow. Устранён крах, проявляющийся при открытии вкладок при … Читать далее Обновление Firefox 81.0.1. Включение поддержки OpenH264 в пакете с Firefox для Fedora

Сегодня ряд крупных DNS-сервисов и производителей DNS-серверов проведут совместное мероприятие DNS flag day 2020, призванное сфокусировать внимание на решении проблем с IP-фрагментацией при обработке DNS-сообщений большого размера. Это второе подобное мероприятие, в прошлом году «DNS flag day» был сосредоточен на корректной обработке запросов EDNS. Участники инициативы DNS flag day 2020 призывают зафиксировать рекомендованные размеры буферов для EDNS до значений на уровне 1232 байтов (размер MTU 1280 минус 48 байт для заголовков), а также перевести обработку запросов по TCP в разряд обязательно поддерживаемых на серверах. В RFC 1035 обязательной помечена только поддержка обработки запросов по UDP, а TCP указан как желательный, … Читать далее Инициатива DNS flag day 2020 для решения проблем с фрагментацией и поддержкой TCP

Проект OpenJDK, развивающий эталонную реализацию языка Java, успешно завершил миграцию с системы управления версиями Mercurial на Git и платформу совместной разработки GitHub. Разработка новой ветки OpenJDK 16 уже началась на новой платформе. Для упрощения перехода с Mercurial на Git был подготовлен инструментарий skara, учитывающий особенности трансляции изменений в списки рассылки и интеграцию с системой отслеживания ошибок, а также автоматизирующий перевод сборок в системе непрерывной интеграции на технологию GitHub Actions. Ожидается, что миграция позволит повысить производительность операций с репозиторием, увеличить эффективность хранения, обеспечить доступность в репозиторий изменений за всю историю проекта, улучшить поддержку рецензирования кода и задействовать API для автоматизации рабочих … Читать далее Разработка OpenJDK переведена на Git и GitHub

GitHub объявил о доступности для всех пользователей сервиса Code scanning, который ранее предлагался только участникам ограниченной программы тестирования новых экспериментальных возможностей. Сервис обеспечивает сканирование каждой операции «git push» на предмет потенциальных уязвимостей. Результат прикрепляется непосредственно к pull-запросу. Проверка выполняется с использованием движка CodeQL, анализирующего шаблоны с типовыми примерами уязвимого кода (CodeQL позволяет сформировать шаблон уязвимого кода для выявления наличия подобной уязвимости в коде других проектов). За время бета-тестирования сервиса в ходе сканироваиня около 12 тысяч репозиториев было выявлено более 20 тысяч проблем с безопасностью, среди которых были и серьёзные проблемы, приводящие к удалённому исполнению кода и подстановке SQL-запросов. 72% из … Читать далее GitHub ввёл в строй сервис для выявления уязвимостей в коде

Компания Element, созданная ключевыми разработчиками проекта Matrix, объявила о покупке сервиса для создания чатов и мгновенного обмена сообщениями Gitter, который ранее принадлежал компании GitLab. Gitter планируют включить в экосистему Matrix и превратить в чат-платформу, использующую технологии децентрализованных коммуникаций Matrix. Сумма сделки не сообщается. В мае компания Element получила $4.6 млн инвестиций от создателей WordPress. Перевод Gitter на технологии Matrix планируют провести в несколько этапов. Первым делом планируется предоставить качественный шлюз для работы Gitter через сеть Matrix, который позволит пользователям Gitter напрямую общаться с пользователями сети Matrix, а участникам сети Matrix подключаться к чат-комнатам Gitter. Gitter сможет использоваться в форме полноценного … Читать далее Gitter переходит в экосистему Matrix и объединяется с Matrix-клиентом Element

Выпущена версия 0.9.1 библиотеки libmdbx (MDBX) с реализацией высокопроизводительной, компактной встраиваемой базы данных класса ключ-значение. Код libmdbx распространяется под лицензией OpenLDAP Public License. Текущая версия является компромиссом между намерением выпустить долговременную стабильную версию 1.0 с полноценной поддержкой C++ и нежеланием откладывать релизы из-за неготовности к заморозке нового C++ API. Представленный релиз является результатом 9 месяцев работы направленной на стабилизацию библиотеки и повышения удобства её использования, а также включает предварительную версию C++ API. Библиотека libmdbx является не просто «форком», а кардинально переработанным потомком LMDB — транзакционной встраиваемой СУБД класса «ключ-значение» на основе дерева B+ без упреждающей журнализации, которая позволяет многопоточным процессам … Читать далее Выпуск компактной встраиваемой СУБД libmdbx 0.9.1

После года разработки состоялся релиз пакетного менеджера RPM 4.16.0. Проект RPM4 развивается компанией Red Hat и используется в таких дистрибутивах, как RHEL (включая производные проекты CentOS, Scientific Linux, AsiaLinux, Red Flag Linux, Oracle Linux), Fedora, SUSE, openSUSE, ALT Linux, OpenMandriva, Mageia, PCLinuxOS, Tizen и многих других. Ранее независимой командой разработчиков развивался проект RPM5, который непосредственно не связан с RPM4 и в настоящее время заброшен (не обновлялся с 2010 года). Код проекта распространяется под лицензиями GPLv2 и LGPLv2. Наиболее заметные улучшения в RPM 4.16: Реализован новый бэкенд для хранения БД в СУБД SQLite. Данный бэкенд будет использован в Fedora Linux 33 … Читать далее Выпуск пакетного менеджера RPM 4.16

Концерн Khronos, отвечающий за разработку спецификаций семейства OpenGL, Vulkan и OpenCL, объявил о публикации финальных спецификаций OpenCL 3.0, определяющих API и расширения языка С для организации кросс-платформенных параллельных вычислений с использованием многоядерных CPU, GPU, FPGA, DSP и других специализированных чипов, от тех, что применяются в суперкомпьютерах и облачных серверах, до чипов, которые можно встретить в мобильных устройствах и встраиваемой технике. Стандарт OpenCL полностью открыт и не требует лицензионных отчислений. Одновременно опубликован открытый OpenCL SDK с инструментарием, примерами, документацией, заголовочными файлами, обвязками для C++ и Си-библиотеками для разработки приложений, совместимых с OpenCL 3.0. Также представлена начальная реализация OpenCL 3.0 на базе … Читать далее Опубликованы финальные спецификации OpenCL 3.0

Сформирован выпуск основной ветки nginx 1.19.3, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: В состав включён модуль ngx_stream_set_module, позволяющий присвоить значение переменной server { listen 12345; set $true 1; } Добавлена директива proxy_cookie_flags для указания флагов для Cookie в проксируемых соединениях. Например, для добавления к Cookie «one» флага «httponly», а для всех остальных Cookie флагов «nosecure» и «samesite=strict» можно использовать конструкцию: proxy_cookie_flags one httponly; proxy_cookie_flags ~ nosecure samesite=strict; Похожая директива userid_flags для добавления флагов к Cookie также реализована для модуля ngx_http_userid. Одновременно … Читать далее Выпуск nginx 1.19.3 и njs 0.4.4