Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого сайта (для входа достаточно отредактировать сессионную Cookie). Проблема вызвана использованием в предлагаемом по умолчанию файле конфигурации airflow.cfg временного ключа, одинакового для всех установок. При данных настройках сессионная Cookie, заверенная на одном сервере Airflow, подходила для другого сервера. В качестве обходного пути блокирования уязвимости рекомендуется изменить значение «[webserver] secret_key» в файле конфигурации (по умолчанию испльзуется «temporary_key»). Проблема устранена в выпусках 1.10.14 и 2.0.0. Дополнительно в новых выпусках … Читать далее Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах

Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora, утвердил предложение о прекращении использовании имени master в git-репозиториях проекта, так как данное слово считается последнее время неполиткорректным, напоминает о рабстве и воспринимается как оскорбительное для некоторых участников сообщества. Ожидается, что прекращение использования имени master повысит инклюзивность и привлечёт в проект новых участников. В качестве имени ветки по умолчанию в git-пепозиториях вместо master будет использовано имя «main». В репозиториях с пакетами, такими как src.fedoraproject.org/rpms, вместо «master» будет использована ветка «rawhide», доступная также через дополнительную символическую ссылку с именем «main». Переименование будет проведено в несколько стадий. Вначале, 5 … Читать далее Fedora отказывается от использовании имени master в репозиториях

Состоялся релиз проекта Bareos 20.0.0, развивающего форк клиент-серверной системы резервного копирования Bacula. Код проекта распространяется под лицензией AGPLv3. Готовые сборки сформированы для различных дистрибутивов Linux, Windows и macOS. Bareos был создан участниками из сообщества в ответ на смещение разработки Bacula в сторону развития закрытой коммерческой редакции, появления проблем с приёмом патчей и урезания возможностей открытой версии. Три года назад компания Bacula Systems SA попыталась инициировать судебное разбирательство в отношении нарушения своих авторских прав, но компания Bareos GmbH & Co выдвинула встречные претензии и дело было закрыто по соглашению сторон. После ответвления от Bacula в Bareos были добавлены такие возможности, как … Читать далее Доступна система резервного копирования Bareos 20

Состоялся выпуск дистрибутива Q4OS 3.13, основанного на пакетной базе Debian и поставляемого с рабочими столами KDE Plasma 5 и Trinity. Дистрибутив позиционируется как нетребовательный к аппаратным ресурсам и предлагающий классическое оформление рабочего стола. В состав входит несколько приложений собственной разработки, включая ‘Desktop profiler’ для быстрой установки тематических наборов ПО, ‘Setup utility’ для установки сторонних приложений, ‘Welcome Screen’ для упрощения начальной настройки, скрипты для установки альтернативных окружений LXQT, Xfce и LXDE. Размер загрузочного образа 730 МБ (x86_64, i386). В новом выпуске осуществлена синхронизация пакетной базы с Debian 10.7. Из состава сборок для рабочего стала удалён фоновый процесс Snap и все связанные … Читать далее Выпуск дистрибутива Q4OS 3.13

Доступен релиз web-браузера Pale Moon 28.17, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 28.17

Опубликован выпуск пакетного менеджера NPM 7.3, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.3, не дожидаясь новой версии Node.js, можно выполнить команду «npm i -g npm@7». В NPM 7.3 добавлена возможность установки или извлечения разом нескольких параметров конфигурации через команду «npm config». Например, теперь можно использовать команды подобные «npm config get foo bar baz» и «npm config set email=me@example.com _auth=xxxx». Кроме того, в команде «npm rebuild» реализована поддержка указания файловых путей в … Читать далее Выпуск пакетного менеджера NPM 7.3

20 декабря 2000 года французский математик Фабрис Беллар (Fabrice Bellard), основавший в своё время проект QEMU, опубликовал первую версию пакета FFmpeg, включающего набор приложений и библиотек для операций над различными мультимедиа-форматами. С 2004 года и до настоящего времени ключевую роль в сопровождении проекта играет Майкл Нидермайер (Michael Niedermayer). До 2015 года Нидермайер считался официальным лидером FFmpeg, принимающим конечные решения об архитектуре и развитию разработки, но в 2015 году для урегулирования конфликта с разработчиками форка Libav он сложил с себя полномочия и с тех пор проект формально остаётся без лидера, но Нидермайер продолжает отвечать за выпуск релизов и сохраняет позицию мэйнтейнера … Читать далее Проекту FFmpeg исполнилось 20 лет

Алан Дэй Allan Day, входящий в совет директоров GNOME Foundation, рассказал о грядущих изменениях в дизайне интерфейса в выпуске GNOME 40, намеченном на 24 марта 2021 года. Наиболее заметная переработка коснётся обзорного режима (Activities Overview), в котором будет предложена новая пространственная компоновка. В новом обзорном режиме виртуальные рабочие столы располагаются горизонтально, приближены к фактическому внешнему виду и отображаются в виде непрерывно прокручиваемой слева направо цепочки. На каждом показываемом в обзорном режиме рабочем столе наглядно показаны имеющиеся окна, которые дополнительно снабжены пиктограммой приложения и заголовком, появляющимся при наведении курсора. Доработан интерфейс для навигации по доступным приложениям (App grid). Концептуальные изменения уже … Читать далее В GNOME 40 ожидаются значительные изменения интерфейса GNOME Shell

Компания Veracode, специализирующаяся на разработке средств для проведения аудита безопасности, опубликовала результаты сравнения языков программирования в контексте безопасности написанного на них кода. Отчёт подготовлен на основе результатов статического анализа более 130 тысяч приложений. Проблемы с безопасностью были выявлены в 76% проверенных приложений, при этом у 24% приложений найденные проблемы были отнесены к категории опасных. В каждом третьем приложении большая часть проблем была вызвана использованием стороннего кода и внешних библиотек. В разрезе языков программирования опасные проблемы найдены в 59% проанализированных приложений на языке С++, 52.6% приложений на PHP, 25% — .NET, 23.8% — Java, 9.6% — Python и 8.6% — JavaScript. … Читать далее Анализ зависимости безопасности кода от используемого языка программирования

Карстен Уэйд (Karsten Wade), работающий в компании Red Hat и входящий в управляющий совет CentOS с момента его создания, попытался пояснить мотивы изменений в проекте CentOS. В 2003 году компания Red Hat разделила дистрибутив Red Hat Linux на два проекта — коммерческий Red Hat Enterprise Linux и свободный Fedora Linux, который позиционировался как динамично развивающийся дистрибутив с коротким циклом поддержки, подходящий для обкатки новых технологий для будущих новых веток RHEL. Возможность бесплатной установки Red Hat Linux была потеряна и, в ответ на потребность в стабильном, консервативно обновляемом и длительно сопровождаемом дистрибутиве, энтузиастами был создан проект CentOS. CentOS закрывал нишу бесплатно … Читать далее Red Hat объясняет трансформацию CentOS желанием сделать более открытой разработку RHEL

Доступен выпуск легковесного оконного менеджера IceWM 2.0. Из особенностей IceWM можно отметить полноценное управление через клавиатурные комбинации, возможность использования виртуальных рабочих столов, панели задач и меню-приложений. Оконный менеджер настраивается через достаточно простой файл конфигурации, возможно использование тем оформления. Доступны встроенные апплеты для мониторинга CPU, памяти, трафика. Отдельно развивается несколько сторонних GUI для настройки, реализаций рабочего стола и редакторов меню. Код написан на языке С++ и распространяется под лицензией GPLv2. Наиболее значительными изменениями в новом выпуске стали удаление устаревших свойств _WIN_PROTOCOL и реализация поддержки движка отрисовки изображений Imlib2, который теперь по умолчанию используется вместо gdk-pixbuf-xlib. Из других изменений можно отметить обеспечение … Читать далее Релиз оконного менеджера IceWM 2.0

Компания Mozilla объявила о добавлении в списки отозванных сертификатов корневого сертификата, использованного в декабрьских учениях по перехвату HTTPS-трафика в Казахстане. Аналогичные действия предприняли компании Google, Apple и Microsoft, которые также добавили казахский MITM-сертификат в свои списки отозванных сертификатов. Использование нового корневого сертификата, внедряемого для перехвата трафика в Казахстане, теперь будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium, Edge и Safari, а также в производных продуктах. Аналогичная блокировка сертификата была предпринята в прошлом году, после попытки навязывания в Казахстане «национального сертификата безопасности». Напомним, что в начале декабря в рамках учений «Кибербезопасность Нур-Султан 2020» клиенты нескольких крупных казахских провайдеров … Читать далее В Firefox, Chrome, Edge и Safari заблокирован сертификат, используемый для перехвата трафика в Казахстане

Состоялся релиз авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.4, предназначенного для организации отдачи DNS-зон. По данным разработчиков проекта, PowerDNS Authoritative Server обслуживает примерно 30% из общего числа доменов в Европе (если рассматривать только домены с подписями DNSSEC, то 90%). Код проекта распространяется под лицензией GPLv2. PowerDNS Authoritative Server предоставляет возможность хранения информации о доменах в различных базах данных, включая MySQL, PostgreSQL, SQLite3, Oracle, и Microsoft SQL Server, а также в LDAP и обычных текстовых файлах в формате BIND. Отдача ответа может быть дополнительно отфильтрована (например, для отсеивания спама) или перенаправлена при помощи подключения собственных обработчиков на языках Lua, Java, Perl, … Читать далее Выпуск PowerDNS Authoritative Server 4.4

Компания Huawei опубликовала бета-версию редакции операционной системы HarmonyOS 2.0 для смартфонов и планшетов, развиваемой в качестве альтернативы платформам Android и Fuchsia. Сборки подготовлены для смартфонов Huawei P40, P40 Pro, Mate30 и Mate30 Pro, а также для планшета MatePad Pro. Пользовательский интерфейс основан на оболочке EMUI 11, которая также используется в устройствах Huawei на базе платформы Android. Первые смартфоны на базе новой ОС планируется выпустить в продажу в октябре 2021 года. Напомним, что проект Harmony находится в разработке начиная с 2017 года и представляет собой микроядерную операционную систему. Наработки проекта по мере готовности публикуются под лицензией BSD в рамках проекта OpenHarmony, … Читать далее Компания Huawei начала тестирование бета-версии HarmonyOS 2.0 для сматрфонов

В WordPress-дополнении Contact Form 7 5.3.2, имеющем более 5 млн активных установок, выявлена уязвимость (CVE-2020-35489), позволяющая организовать выполнение PHP-кода на сервере. Дополнение Contact Form 7 предназначено для добавления на сайты произвольных форм обратной связи с посетителями. Уязвимость проявляется при включении функции отправки файлов в формах (например, при прикреплении изображения) и позволяет помимо явно разрешённых типов файлов загрузить на сервер файлы с любыми расширениями. Для обхода проверки на допустимость загружаемого файла достаточно указать символ-разделитель в имени файла, отделив им допустимое расширение. Например, при передаче файла с именем «test.phpt.png» дополнение посчитает, что передана картинка в формате PNG но на диск будет сохранён … Читать далее Уязвимость в WordPress-дополнении Contact Form 7, насчитывающем 5 млн установок

Доступен выпуск почтового клиента Thunderbird 78.6.0. В новой версии в реализации OpenPGP решены проблемы при импорте и определении ключей, улучшен разбор встроенных PGP-подписей, а также продолжено расширение функциональности для дополнений (MailExtensions): Реализован метод browser.windows.openDefaultBrowser() для открытия страницы в браузере. В окне написания нового сообщения включён API для манипуляций с меню. В функции windows.create реализован аргумент allowScriptsToClose. В API, возвращающие accountId, теперь будут возвращать идентификатор учётной записи, связанный с сообщением, а не указанный в заголовке письма. Источник: http://www.opennet.ru/opennews/art.shtml?num=54280 Читать далее Обновление почтового клиента Thunderbird 78.6.0

Google поглотил компанию Neverware, выпускавшую дистрибутив CloudReady, представляющий собой сборку Chromium OS для устаревшего оборудования и устройств, изначально не укомплектованных Chrome OS. Сумма сделки не разглашается. Компания Google намерена сохранить бесплатную редакцию CloudReady Home, которая отличается от коммерческой версии отсутствием инструментов для централизованного управления группой компьютеров в образовательных учреждениях и на предприятиях. Более того, Google намерен интегрировать наработки CloudReady в основной состав Chrome OS и предложить официальный продукт для использования Chrome OS на произвольном оборудовании, а не только на устройствах Chromebook и Chromebox. Текущие пользователи получат возможность обновить свои системы до нового варианта Chrome OS. Поддержка нового продукта будет осуществляться … Читать далее В Chrome OS появится возможность установки на любое оборудование

В каталогах Chrome Web Store и Microsoft Edge Add-ons выявлено 28 дополнений с вредоносным кодом, суммарно насчитывающих более трёх миллионов установок. Большинство дополнений реализуют функциональность для загрузки изображений, видео и прочего контента из популярных социальных сетей и сервисов, таких как Facebook, VK, Odnoklassniki, Instagram, Vimeo и Spotify. Помимо штатных возможностей дополнения включают также вредоносный код, который осуществляет отправку на внешние серверы персональных данных и перенаправление на фишинговые сайты и рекламные страницы. В частности, дополнения отправляют на внешний хост информацию о каждом переходе пользователя на новый сайт. В ответ дополнению может быть возвращена команда для перенаправления пользователя на другой сайт вместо … Читать далее Серия вредоносных дополнений в Chrome Web Store и модулей в RubyGems

Проект FreeBSD объявил о начале миграции основного репозитория с исходными текстами из централизованной системы управления исходными текстами Subversion в децентрализованную систему Git. Если не произойдёт непредвиденных изменений 20 декабря в час ночи (MSK) обращения к SVN репозиторию будут перенаправлены на заглушку для внедрения Git. В 6 утра (MSK) 20 декабря будет выполнен последний коммит в SVN, после чего доступ к SVN будет сразу закрыт и запущен процесс преобразования актуального SVN-репозитория в Git. Примерно через сутки начнётся распространение Git-репозитория по зеркалам. Приём изменений в Git будет открыт 22 декабря в два часа дня (MSK). Источник: http://www.opennet.ru/opennews/art.shtml?num=54276 Читать далее Проект FreeBSD анонисировал переход на Git в ближайшие дни

Опубликованы два отчёта с обобщением статистки по участникам разработки GTK 4 и GNOME. При рассмотрении динамики числа участников разработки GNOME пик приходится на 2010 год, в котором в написании кода участвовало более 1400 человек. После 2010 года активность пошла на спад, который продолжался до 2017 года. Пик коррелирует с разработкой GNOME 3.0, которая началась в 2009 году и продолжалась весь 2010 год параллельно с веткой GNOME 2.x. Большая часть разработчиков, участвующих в написании кода для GNOME трудоустроена в компании Red Hat. Разработчики из Red Hat последние годы генерируют 70-80% от всех изменений. С 2017 года также заметно возросло число разработчиков … Читать далее Анализ вклада в разработку GNOME и GTK 4

Началось тестирование альфа-версии дистрибутива openSUSE Leap 15.3, сформированного на основе базового набора пакетов дистрибутива SUSE Linux Enterprise с некоторыми пользовательскими приложениями из репозитория openSUSE Tumbleweed. Для загрузки доступна универсальная DVD-сборка, размером 4.2 ГБ (x86_64, aarch64, ppc64les, 390x). В отличие от прошлых выпусков openSUSE Leap, версия 15.3 построена не через пересборку src-пакетов SUSE Linux Enterprise, а с использованием единого с SUSE Linux Enterprise 15 SP 3 набора бинарных пакетов. Предполагается, что использование одних и тех же бинарных пакетов в SUSE и openSUSE упростит миграцию от одного дистрибутива к другому, сэкономит ресурсы на сборку пакетов, распространение обновлений и тестирование, унифицирует различия в … Читать далее Началось альфа-тестирование openSUSE Leap 15.3