Ежегодно проводимое компанией Digital Ocean мероприятие Hacktoberfest невольно привело к значительной спам-атаке, из-за которой различные проекты, ведущие разработку на GitHub, столкнулись с волной мелких или бесполезных pull-запросов. Изменения в подобных запросах сводились, как правило, к замене отдельных символов в файлах Readme или добавлению фиктивных примечаний. Причиной спам-атаки стала публикация в YouTube-блоге CodeWithHarry, имеющем около 700 тысяч подписчиков, демонстрации как можно с минимальными усилиями получить футболку от Digital Ocean, отправив любому открытому проекту на GitHub pull-запрос с мелкой правкой. В ответ на обвинения в организации атаки на сообщество автор YouTube-канала пояснил, что опубликовал видео для обучения пользователей отправке pull-запросов и хотел … Читать далее Желание получить футболку от Hacktoberfest привело к спам-атаке на GitHub-репозитории

Компания Google представила инициативу Android Partner Vulnerability, в рамках которой планируется раскрывать данные об уязвимостях в Android-устройствах различных OEM-производителей. Инициатива сделает более прозрачным доведение до пользователей сведений об уязвимостях, специфичных для прошивок с модификациями от сторонних производителей. До сих пор в официальных отчётах об уязвимостях (Android Security Bulletins) отражались только проблемы в основном коде, предложенном в репозитории AOSP, но не учитывались проблемы, специфичные для модификаций от OEM-производителей. Уже раскрытые проблемы затрагивают таких производителей, как ZTE, Meizu, Vivo, OPPO, Digitime, Transsion и Huawei. Среди выявленных проблем: В устройствах Digitime вместо проверки дополнительных полномочий для доступа к API сервиса установки OTA-обновлений был … Читать далее Google будет раскрывать сведения об уязвимостях в сторонних Android-устройствах

Компания Red Hat выпустила новую версию графического интерфейса для управления виртуальными окружениями — Virt-Manager 3.0.0. Оболочка Virt-Manager написана на Python/PyGTK, является надстройкой над libvirt и поддерживает управление такими системами как Xen, KVM, LXC и QEMU. Код проекта распространяется под лицензией GPLv2. Программа предоставляет средства для наглядной оценки статистики о производительности и потреблении ресурсов виртуальными машинами, создания новых виртуальных машин, настройки и перераспределения системных ресурсов. Для подключения к виртуальным машинами предоставляется просмотрщик с поддержкой протоколов VNC и SPICE. В состав дополнительно входят утилиты командной строки для создания и клонирования виртуальных машин, а также редактирования настроек libvirt в формате XML и создания … Читать далее Выпуск virt-manager 3.0.0, интерфейса для управления виртуальными окружениями

Опубликован выпуск проекта Stratis 2.2, развиваемого компанией Red Hat и сообществом Fedora для унификации и упрощения средств настройки и управления пулом из одного или нескольких локальных накопителей. Stratis предоставляет такие возможности, как динамическое выделение места в хранилище, снапшоты, обеспечение целостности и создание слоёв для кэширования. Код проекта написан на языке Rust и распространяется под лицензией MPL 2.0. Система во многом повторяет по своим возможностям расширенные средства управления разделами ZFS и Btrfs, но реализована в виде прослойки (демон stratisd), работающей поверх подсистемы device-mapper ядра Linux (используются модули dm-thin, dm-cache, dm-thinpool, dm-raid и dm-integrity) и файловой системы XFS. В отличие от ZFS … Читать далее Выпуск Stratis 2.2, инструментария для управления локальными хранилищами

После десяти лет неактивности возобновлена работа группы Fedora Mobility, нацеленной на разработку официальной редакции дистрибутива Fedora для мобильных устройств. Развиваемый в настоящее время вариант Fedora Mobility рассчитан на установку на смартфоне PinePhone, развиваемом сообществом Pine64. В дальнейшем ожидается появление редакций Fedora и других смартфонов, таких как Librem 5 и OnePlus 5/5T, после появления их поддержки в штатном ядре Linux. В настоящее время в репозиторий Fedora 33 (rawhide) уже добавлен набор пакетов для мобильных устройств, в который входит управляемая с сенсорного экрана пользовательская оболочка Phosh. Оболочка Phosh развивается компанией Purism для смартфона Librem 5, использует композитный сервер Phoc, работающий поверх Wayland, … Читать далее Представлена редакция Fedora Linux для смартфонов

Правозащитная организация Software Freedom Conservancy (SFC) представила новую стратегию обеспечения соблюдения требований лицензии GPL в устройствах, прошивки которых построены на основе Linux. Для воплощения в жизнь предложенной инициативы Фонд ARDC (Amateur Radio Digital Communications) уже выделил организации SFC грант, размером 150 тысяч долларов. Работу планируют вести в трёх направлениях: Принуждение производителей к соблюдению GPL и устранению имеющихся нарушений. Проведение совместно с другими организациями продвижения идеи, что соответствие продукта GPL является важной деталью для защиты конфиденциальности и прав потребителей. Развитие проекта Firmware Liberation по созданию альтернативных прошивок. По мнению Бредли Куна (Bradley M. Kuhn), исполнительного директора SFC, предпринимаемые ранее усилия по … Читать далее SFC готовит иск против нарушителей GPL и будет развивать альтернативные прошивки

Представлен бета-выпуск дистрибутива Ubuntu 20.10 «Groovy Gorilla», который ознаменовал полную заморозку пакетной базы и перешёл к итоговому тестированию и исправлению ошибок. Релиз запланирован на 22 октября. Готовые тестовые образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu и UbuntuKylin (редакция для Китая). Основные изменения: Обновлены версии приложений. Рабочий стол обновлён до выпуска GNOME 3.38, а ядро Linux до версии 5.8. Обновлены версии Python, Ruby, Perl и PHP. Предложено новый выпуск офисного пакета LibreOffice 7.0. Обновлены системные компоненты, такие как PulseAudio, BlueZ и NetworkManager. Осуществлён переход на использование по умолчанию пакетного фильтра nftables. Для сохранения … Читать далее Бета-выпуск Ubuntu 20.10

Опубликован корректирующий выпуск Firefox 81.0.1, в котором исправлены следующие проблемы: Устранено пропадание содержимого обучающих курсов на базе платформы BlackBoard. Исправлена проблема с некорректным масштабирование Flash-контента на системах macOS с экранами HiDPI. Решены проблемы с выводом на печать. Решена проблема с установкой настроек в Windows через GPO (Group Policy Object). Убран показ кнопок управления режимом «картинка в картинке» для элементов, содержащих только звук. Исправлена проблема, приводившая к проблемам с отзывчивостью при наличии дополнений, потребляющих много памяти, таких как Disconnect. Устранён крах при использовании WebGL, проявляющийся при просмотре Google Maps. Устранён крах при использовании client.openWindow. Устранён крах, проявляющийся при открытии вкладок при … Читать далее Обновление Firefox 81.0.1. Включение поддержки OpenH264 в пакете с Firefox для Fedora

Сегодня ряд крупных DNS-сервисов и производителей DNS-серверов проведут совместное мероприятие DNS flag day 2020, призванное сфокусировать внимание на решении проблем с IP-фрагментацией при обработке DNS-сообщений большого размера. Это второе подобное мероприятие, в прошлом году «DNS flag day» был сосредоточен на корректной обработке запросов EDNS. Участники инициативы DNS flag day 2020 призывают зафиксировать рекомендованные размеры буферов для EDNS до значений на уровне 1232 байтов (размер MTU 1280 минус 48 байт для заголовков), а также перевести обработку запросов по TCP в разряд обязательно поддерживаемых на серверах. В RFC 1035 обязательной помечена только поддержка обработки запросов по UDP, а TCP указан как желательный, … Читать далее Инициатива DNS flag day 2020 для решения проблем с фрагментацией и поддержкой TCP

Проект OpenJDK, развивающий эталонную реализацию языка Java, успешно завершил миграцию с системы управления версиями Mercurial на Git и платформу совместной разработки GitHub. Разработка новой ветки OpenJDK 16 уже началась на новой платформе. Для упрощения перехода с Mercurial на Git был подготовлен инструментарий skara, учитывающий особенности трансляции изменений в списки рассылки и интеграцию с системой отслеживания ошибок, а также автоматизирующий перевод сборок в системе непрерывной интеграции на технологию GitHub Actions. Ожидается, что миграция позволит повысить производительность операций с репозиторием, увеличить эффективность хранения, обеспечить доступность в репозиторий изменений за всю историю проекта, улучшить поддержку рецензирования кода и задействовать API для автоматизации рабочих … Читать далее Разработка OpenJDK переведена на Git и GitHub

GitHub объявил о доступности для всех пользователей сервиса Code scanning, который ранее предлагался только участникам ограниченной программы тестирования новых экспериментальных возможностей. Сервис обеспечивает сканирование каждой операции «git push» на предмет потенциальных уязвимостей. Результат прикрепляется непосредственно к pull-запросу. Проверка выполняется с использованием движка CodeQL, анализирующего шаблоны с типовыми примерами уязвимого кода (CodeQL позволяет сформировать шаблон уязвимого кода для выявления наличия подобной уязвимости в коде других проектов). За время бета-тестирования сервиса в ходе сканироваиня около 12 тысяч репозиториев было выявлено более 20 тысяч проблем с безопасностью, среди которых были и серьёзные проблемы, приводящие к удалённому исполнению кода и подстановке SQL-запросов. 72% из … Читать далее GitHub ввёл в строй сервис для выявления уязвимостей в коде

Компания Element, созданная ключевыми разработчиками проекта Matrix, объявила о покупке сервиса для создания чатов и мгновенного обмена сообщениями Gitter, который ранее принадлежал компании GitLab. Gitter планируют включить в экосистему Matrix и превратить в чат-платформу, использующую технологии децентрализованных коммуникаций Matrix. Сумма сделки не сообщается. В мае компания Element получила $4.6 млн инвестиций от создателей WordPress. Перевод Gitter на технологии Matrix планируют провести в несколько этапов. Первым делом планируется предоставить качественный шлюз для работы Gitter через сеть Matrix, который позволит пользователям Gitter напрямую общаться с пользователями сети Matrix, а участникам сети Matrix подключаться к чат-комнатам Gitter. Gitter сможет использоваться в форме полноценного … Читать далее Gitter переходит в экосистему Matrix и объединяется с Matrix-клиентом Element

Выпущена версия 0.9.1 библиотеки libmdbx (MDBX) с реализацией высокопроизводительной, компактной встраиваемой базы данных класса ключ-значение. Код libmdbx распространяется под лицензией OpenLDAP Public License. Текущая версия является компромиссом между намерением выпустить долговременную стабильную версию 1.0 с полноценной поддержкой C++ и нежеланием откладывать релизы из-за неготовности к заморозке нового C++ API. Представленный релиз является результатом 9 месяцев работы направленной на стабилизацию библиотеки и повышения удобства её использования, а также включает предварительную версию C++ API. Библиотека libmdbx является не просто «форком», а кардинально переработанным потомком LMDB — транзакционной встраиваемой СУБД класса «ключ-значение» на основе дерева B+ без упреждающей журнализации, которая позволяет многопоточным процессам … Читать далее Выпуск компактной встраиваемой СУБД libmdbx 0.9.1

После года разработки состоялся релиз пакетного менеджера RPM 4.16.0. Проект RPM4 развивается компанией Red Hat и используется в таких дистрибутивах, как RHEL (включая производные проекты CentOS, Scientific Linux, AsiaLinux, Red Flag Linux, Oracle Linux), Fedora, SUSE, openSUSE, ALT Linux, OpenMandriva, Mageia, PCLinuxOS, Tizen и многих других. Ранее независимой командой разработчиков развивался проект RPM5, который непосредственно не связан с RPM4 и в настоящее время заброшен (не обновлялся с 2010 года). Код проекта распространяется под лицензиями GPLv2 и LGPLv2. Наиболее заметные улучшения в RPM 4.16: Реализован новый бэкенд для хранения БД в СУБД SQLite. Данный бэкенд будет использован в Fedora Linux 33 … Читать далее Выпуск пакетного менеджера RPM 4.16

Концерн Khronos, отвечающий за разработку спецификаций семейства OpenGL, Vulkan и OpenCL, объявил о публикации финальных спецификаций OpenCL 3.0, определяющих API и расширения языка С для организации кросс-платформенных параллельных вычислений с использованием многоядерных CPU, GPU, FPGA, DSP и других специализированных чипов, от тех, что применяются в суперкомпьютерах и облачных серверах, до чипов, которые можно встретить в мобильных устройствах и встраиваемой технике. Стандарт OpenCL полностью открыт и не требует лицензионных отчислений. Одновременно опубликован открытый OpenCL SDK с инструментарием, примерами, документацией, заголовочными файлами, обвязками для C++ и Си-библиотеками для разработки приложений, совместимых с OpenCL 3.0. Также представлена начальная реализация OpenCL 3.0 на базе … Читать далее Опубликованы финальные спецификации OpenCL 3.0

Сформирован выпуск основной ветки nginx 1.19.3, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: В состав включён модуль ngx_stream_set_module, позволяющий присвоить значение переменной server { listen 12345; set $true 1; } Добавлена директива proxy_cookie_flags для указания флагов для Cookie в проксируемых соединениях. Например, для добавления к Cookie «one» флага «httponly», а для всех остальных Cookie флагов «nosecure» и «samesite=strict» можно использовать конструкцию: proxy_cookie_flags one httponly; proxy_cookie_flags ~ nosecure samesite=strict; Похожая директива userid_flags для добавления флагов к Cookie также реализована для модуля ngx_http_userid. Одновременно … Читать далее Выпуск nginx 1.19.3 и njs 0.4.4

Состоялся релиз web-браузера Pale Moon 28.14, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 28.14

Разработчики проекта Xen объявили о реализации возможности использования Xen Hypervisor на платах Raspberry Pi 4. Адаптации Xen для работы на прошлых вариантах плат Raspberry Pi мешало применение нестандартного контроллера прерываний, не имеющего поддержки виртуализации. В Raspberry Pi 4 был применён обычный контроллер прерываний GIC-400, поддерживаемый в Xen, и разработчики рассчитывали, что проблем с запуском Xen не будет. Но на деле, всё оказалось не так как предполагалось и для обеспечения работы Xen на Raspberry Pi 4 пришлось вносить заментные изменение в код для работы с памятью. Первые варианты плат Raspberry Pi 4 ограничивали доступ только к адресному пространству первого гигабайта памяти, … Читать далее В гипервизове Xen реализована поддержка платы Raspberry Pi 4

Доступны обновления авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.3.1, 4.2.3 и 4.1.14, в которых устранены четыре уязвимости, две из которых потенциально могут привести к удалённому выполнению кода атакующего. Уязвимости CVE-2020-24696, CVE-2020-24697 и CVE-2020-24698 затрагивают код с реализацией механизма обмена ключами GSS-TSIG. Уязвимости проявляются только при сборке PowerDNS c поддержкой GSS-TSIG («—enable-experimental-gss-tsig», по умолчанию не используется) и могут быть эксплуатированы через отправку специально оформленного сетевого пакета. Уязвимости CVE-2020-24696 и CVE-2020-24698, вызванные состоянием гонки и двойным освобождением памяти (double-free), могут привести к краху или выполнению кода атакующего при обработке запросов с некорректно оформленными подписями GSS-TSIG. Уязвимость CVE-2020-24697 ограничивается отказом в обслуживании. Так … Читать далее Уязвимости в PowerDNS Authoritative Server

Началось тестирование бета-версии дистрибутива Fedora 33. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на конец октября. Выпуск охватывает Fedora Workstation, Fedora Server, Fedora Silverblue, Fedora IoT и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки подготовлены для архитектур x86_64, ARM (Raspberry Pi 2 и 3), ARM64 (AArch64) и Power. Наиболее заметные изменения в Fedora 33: Все варианты дистрибутива для рабочего стола (Fedora Workstation, Fedora KDE и т.п.) переведены на использование по умолчанию файловой системы Btrfs. Применение встроенного менеджера разделов Btrfs позволит решить … Читать далее Дистрибутив Fedora 33 перешёл на стадию бета-тестирования

Представлен релиз свободной реализации API OpenGL и Vulkan — Mesa 20.2.0. В Mesa 20.2 реализована полная поддержка OpenGL 4.6 для GPU Intel (драйверы i965, iris) и AMD (radeonsi), поддержка OpenGL 4.5 для GPU AMD (r600), NVIDIA (nvc0) и llvmpipe, OpenGL 4.3 для virgl (виртуальный GPU Virgil3D для QEMU/KVM), а также поддержка Vulkan 1.2 для карт Intel и AMD. Среди изменений: В драйвере llvmpipe, предназначенном для программной отрисовки, обеспечена поддержка OpenGL 4.5. В Vulkan-драйвере RADV (для карт AMD) по умолчанию задействован компилятор шейдеров «ACO«, который развивается компанией Valve в качестве альтернативы компилятору шейдеров LLVM. ACO написан на языке С++, разрабатывается с … Читать далее Релиз Mesa 20.2.0, свободной реализации OpenGL и Vulkan