Опубликован релиз языка программирования Julia 1.5, сочетающего такие качества как высокая производительность, поддержка динамической типизации и встроенные средства для параллельного программирования. Синтаксис Julia близок к MATLAB с заимствованием некоторых элементов из Ruby и Lisp. Метод манипуляции строками напоминает Perl. Код проекта распространяется под лицензией MIT. В новой версии: Проведена оптимизация размещения структур в памяти, которая позволила значительно сократить число операций распределения памяти в куче (за счёт inline-развёртывания или размещения в стеке), уменьшить потребление памяти и повысить производительность. Улучшена поддержка многопоточности и стабилизирован API для работы с потоками. Предоставлена возможность выбора уровня оптимизации, используемого при сборке отдельных модулей. При передаче аргумента … Читать далее Выпуск языка программирования Julia 1.5

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.8. Среди наиболее заметных изменений: детектор состояний гонки KCSAN, универсальный механизм доставки уведомлений в пространство пользователя, поддержка оборудования для inline-шифрования, расширенные механизмы защиты для ARM64, поддержка российского процессора Baikal-T1, возможность раздельного монтирования экземпляров procfs, реализация для ARM64 механизмов защиты Shadow Call Stack и BTI. Ядро 5.8 стало самым крупным по числу изменений из всех ядер за всё время существования проекта. При этом изменения не связаны с какой-то одной подсистемой, а охватывают разные части ядра и в основном связаны с внутренними переработками и чисткой. Больше всего изменений наблюдается в драйверах. В … Читать далее Релиз ядра Linux 5.8

В WordPress-плагине wpDiscuz, который установлен на более чем 80 тысячах сайтов, выявлена опасная уязвимость, позволяющая без аутентификации загрузить любой файл на сервер. В том числе можно загрузить PHP-файлы и добиться выполнения своего кода на сервере. Проблеме подвержены версии с 7.0.0 по 7.0.4 включительно. Уязвимость устранена в выпуске 7.0.5. Плагин wpDiscuz предоставляет возможность использования AJAX для динамической отправки комментариев без перезагрузки страницы. Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям. Для ограничения загрузки произвольных файлов вызывалась функция определения MIME-типа по содержимому, которую было легко обойти для загрузки PHP-файлов. Расширение файла не ограничивалось. Например, можно … Читать далее Критическая уязвимость в WordPress-плагине wpDiscuz, насчитывающем 80 тысяч установок

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 5.14. С момента выпуска версии 5.13 было закрыто 26 отчётов об ошибках и внесено 302 изменения. Наиболее важные изменения: Продолжена работа по реструктуризации поддержки консоли. Предложена начальная версия шрифта Webdings. Началось преобразование библиотек MSVCRT в формат PE. Закрыты отчёты об ошибках, связанные с работой игр и приложений: AOL 9.0, Largo Winch, DOSCenter, StarCraft: Brood War, Bayonetta, Star Wars: The Force Unleashed II, Toontown Rewritten, Helm Standalone/VST plugin, PassMark PerformanceTest 10, Diablo III, Chaos Legion, Tableau Desktop, Battle.net, TES4:Oblivion. Источник: http://www.opennet.ru/opennews/art.shtml?num=53475 Читать далее Выпуск Wine 5.14

Опубликовано пятое корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 101 обновление с устранением проблем со стабильностью и 62 обновление с устранением уязвимостей. Из изменений в Debian 10.5 выделяется устранение уязвимости в GRUB2, позволяющей обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Для решения проблемы обновлены инсталлятор, загрузчик GRUB2, пакеты с ядром, fwupd-прошивки и shim-прослойка, которые поставляются с новой цифровой подписью. До свежих стабильных версий обновлены пакеты ClamAV, cloud-init, dbus, dpdk, fwupd, mariadb, nvidia-graphics-drivers и postfix. Удалены пакеты golang-github-unknwon-cae, janus, mathematica-fonts, matrix-synapse, selenium-firefoxdriver, которые остались без сопровождения … Читать далее Обновление Debian 10.5

Разработчики Wayland представили первый выпуск нового пакета wayland-utils, в составе которого будут поставляться утилиты, связанные с Wayland, по аналогии с тем, как в пакете wayland-protocols поставляются дополнительные протоколы и расширения. В настоящее время в состав включена только одна утилита wayland-info, предназначенная для отображения информации о протоколах Wayland, поддерживаемых текущим композитным сервером. Утилита представляет собой обособленный вариант weston-info, выделенный из репозитория Weston. Источник: http://www.opennet.ru/opennews/art.shtml?num=53471 Читать далее Опубликован пакет wayland-utils 1.0.0

В X.Org Server и libX11 выявлены две уязвимости: CVE-2020-14347 — отсутствие инициализации памяти при выделении буферов для пиксельных карт при помощи вызова AllocatePixmap() может привести к утечке X-клиенту содержимого памяти из кучи, когда X-сервер работает с повышенными привилегиями. Указанную утечку можно использовать для обхода технологии рандомизации адресного пространств (ASLR). В сочетании с другими уязвимостями проблема может использоваться при создании эксплоита для повышения привилегий в системе. Исправления пока доступны в виде патчей. Публикация корректирующего выпуска X.Org Server 1.20.9 ожидается в ближайшие дни. CVE-2020-14344 — целочисленное переполнение в реализации XIM (Input Method) в libX11, которое может привести к повреждению областей памяти в … Читать далее Уязвимости в X.Org Server и libX11

Доступен новый выпуск прослойки JPype 1.0.2, позволяющей организовать полный доступ Python-приложений к библиотекам классов на языке Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения, сочетающие код на Java и Python. В отличие от Jython, интеграция с Java достигается не через создание варианта Python для JVM, а через взаимодействие на уровне обеих виртуальных машин, используя разделяемую память. Предложенный подход позволяет не только добиться хорошей производительности, но и предоставляет доступ ко всем библиотекам CPython и Java. Код проекта распространяется под лицензией Apache 2.0. Основные изменения: В вызов методов добавлен кэш, позволяющий избежать разрешения перегрузок, что … Читать далее Обновление JPype 1.0.2, библиотеки для доступа к Java-классам из Python

После пяти месяцев разработки представлен релиз системного менеджера systemd 246. В новом выпуске реализована поддержка заморозки unit-ов, возможность верификации образа корневого диска по цифровой подписи, поддержка сжатия журнала и core-дампов с использованием алгоритма ZSTD, возможность разблокировки переносимых домашних каталогов при помощи токенов FIDO2, поддержка разблокировки разделов Microsoft BitLocker через /etc/crypttab, выполнено переименование BlackList в DenyList. Основные изменения: Добавлена поддержка cgroup-контроллера freezer, при помощи которого можно остановить работу процессов и временно высвободить некоторые ресурсы (CPU, ввод/вывод и потенциально даже память) для выполнения других задач. Управление заморозкой и разморозкой unit-ов осуществляется при помощи новой команды «systemctl freeze» или через D-Bus. Добавлена поддержка … Читать далее Выпуск системного менеджера systemd 246

В развиваемом проектом KDE менеджере архивов Ark выявлена уязвимость (CVE-2020-16116), позволяющая при открытии в приложении специально оформленного архива перезаписать файлы вне каталога, указанного для раскрытия архива. Проблема в том числе проявляется при раскрытии архивов в файловом менеджере Dolphin (пункт Extract в контекстном меню), который использует функциональность Ark для работы с архивами. Уязвимость напоминает давно известную проблему Zip Slip. Эксплуатация уязвимости сводится к добавлению в архив путей, содержащих символы «../», при обработке которых Ark может выйти за пределы базового каталога. Например, при помощи указанной уязвимость можно перезаписать сценарий .bashrc или разместить скрипт в каталог ~/.config/autostart для организации запуска своего кода с … Читать далее Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива

Опубликован финальный экспериментальный выпуск фреймворка GTK 3.99.0, в котором реализованы все возможности, запланированные для GTK 4. Ветка GTK 4 развивается в рамках нового процесса разработки, который пытается предоставить разработчикам приложений стабильный и поддерживаемый в течение нескольких лет API, который можно использовать не опасаясь, что каждые полгода придётся переделывать приложения из-за изменения API в очередной ветке GTK. Релиз GTK 4 ожидается осенью этого года. Из наиболее существенных изменений в GTK 4 можно отметить: Метод раскладки элементов на основе ограничений (constraint layout), при котором расположение и размер дочерних элементов определяется, отталкиваясь от расстояния до границ и размера других элементов. Модуль отрисовки на … Читать далее Выпуск GTK 3.99.0 ознаменовал готовность функциональности, запланированной для GTK 4

GitHub объявил о решении отказаться от поддержки парольной аутентификации при выполнении операций с Git. Прямое подключение к Git будет возможно только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Аналогичное ограничение также будет применяться для REST API. Новые правила аутентификации для API будут применены 13 ноября, а ужесточение доступа к Git запланировано на середину следующего года. Исключение будет предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые смогут подключаться к Git по паролю и дополнительному коду подтверждения. Предполагается, что ужесточение требований к аутентификации позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, … Читать далее GitHub ограничит доступ к Git аутентификацией по токенам и SSH-ключам

Доступен релиз почтового клиента Thunderbird 78.1, развиваемого силами сообщества и основанного на технологиях Mozilla. Thunderbird 78 основан на кодовой базе ESR-выпуска Firefox 78. Выпуск доступен только для прямой загрузки, автоматическое обновление с прошлых выпусков будет сформировано только в версии 78.2. В новой версии признана пригодной для широкого использования и активирована по умолчанию поддержка сквозного шифрования переписки и заверения писем цифровой подписью на основе открытых ключей OpenPGP. Ранее подобная функциональность обеспечивалась дополнением Enigmail, поддержка которого в ветке Thunderbird 78 прекращена. Встроенная реализация является новой разработкой, которая подготовлена при участии автора Enigmail. Основным отличием является использование библиотеки RNP, предоставляющей функциональность OpenPGP, вместо … Читать далее Обновление почтового клиента Thunderbird 78.1 с включением поддержки OpenPGP

Некоторые пользователи RHEL 8 и CentOS 8 столкнулись с проблемами после установки вчерашнего обновления загрузчика GRUB2 с устранением критической уязвимости. Проблемы проявляются в невозможности загрузки после установки обновления, в том числе на системах без UEFI Secure Boot. На некоторых системах (например, HPE ProLiant XL230k Gen1 без UEFI Secure Boot) проблема проявляется в том числе на свежеустановленном в минимальной конфигурации RHEL 8.2. После обновления пакетов и перезагрузки наблюдается зависание и даже не показывается меню GRUB. Похожие проблемы с загрузкой отмечаются для RHEL 7 и CentOS 7, а также для Ubuntu и Debian. Пользователям имеет смысл до прояснения ситуации повременить с установкой … Читать далее В обновлении GRUB2 выявлена проблема, приводящая к невозможности загрузки

Компания IBM объявила об открытии исходных текстов тулкита FHE (IBM Fully Homomorphic Encryption) с реализацией системы полного гомоморфного шифрования для обработки данных в шифрованном виде. FHE позволяет создавать сервисы для конфиденциальных вычислений, в которых данные обрабатываются зашифрованными и не фигурируют в открытой форме ни на одном из этапов. Результат также формируется зашифрованным. Код написан на языке С++ и распространяется под лицензией MIT. Помимо версии для Linux, параллельно развиваются аналогичные тулкиты для macOS и iOS, написанные на Objective-C. В ближайшее время ожидается публикация варианта для Android. FHE поддерживает полные гомоморфные операции, позволяющие выполнять сложение и умножение зашифрованных данных (т.е. можно реализовать … Читать далее IBM открыл тулкит гомоморфного шифрования для Linux

Аналитическая компания RedMonk опубликовала новую редакцию рейтинга языков программирования, построенный на основе оценки сочетания популярности на GitHub c активностью обсуждений на Stack Overflow. Из наиболее заметных изменений отмечается попадание языка Rust в 20 самых популярных языков и вытеснение из двадцатки языка Haskell. По сравнению с прошлой редакций, опубликованной полгода назад, также перемещение C++ на пятое место, перемещение Scala с 14 на 13 место. R сдвинулся с 13 на 14 место, язык Java потерял одну позицию и оказался на третьем месте (в прошлом рейтинге он разделял второе место с Python). 1 JavaScript 2 Python 3 Java 4 PHP 5 C++ 5 … Читать далее Rust вошёл в 20 самых популярных языков по рейтингу Redmonk

Разработчики операционной системы Redox, написанной с использованием языка Rust и концепции микроядра, сообщили о реализации возможности отладки приложений при помощи отладчика GDB. Для использования GDB следует раскомментировать строки с gdbserver и gnu-binutils в файле filesystem.toml и запустить прослойку gdb-redox, которая запустит собственный gdbserver и подключит его к gdb через IPC. Другой вариант подразумевает запуск отдельного gdbserver (принимает соединения на сетевом порту 64126) и подсоединение к нему по сети GDB, выполняемого на внешней Linux-системе. Источник: http://www.opennet.ru/opennews/art.shtml?num=53457 Читать далее В Redox OS, написанной на Rust, появилась возможность отладки программ при помощи GDB

Фонд Apache представил отчёт за 2020 финансовый год (c 1 мая 2019 по 30 апреля 2020 года). Объём активов за отчётный период составил 3.5 млн долларов, что на 300 тысяч меньше, чем за 2019 финансовый год. Размер собственного капитала за год уменьшился на 281 тысячу долларов и составил 2.16 млн долларов. Большая часть средств получена от спонсоров — в настоящее время насчитывается 10 платиновых спонсоров, 9 золотых, 11 серебряных и 25 бронзовых, а также 24 спонсора целевых проектов и 500 индивидуальных спонсора. Некоторая статистика: Совокупная стоимость разработки с нуля всех проектов Apache оценивается в 20 млрд долларов при расчёте с … Читать далее Фонд Apache опубликовал отчёт за 2020 финансовый год

Во FreeBSD приняты изменения, позволяющие выполнять операции поиска в VFS без блокировок (lockless lookup). Оптимизации реализованы для файловых систем TmpFS, UFS и ZFS, но пока не распространяется на ACL, Capsicum, доступ к файловым дескрипторам, символические ссылки и «..» в путях. Для указанных возможностей осуществляется откат на старый механизм определения файлов. Проведённый на TmpFS тест, измеряющий время доступа к разным файлам, показал увеличение производительности с 2165816 до 151216530 операций в секунду (прирост в 69 раз). Другой тест показал снижение времени выполнения задания с 23 до 14 секунд. Источник: http://www.opennet.ru/opennews/art.shtml?num=53442 Читать далее Во FreeBSD существенно оптимизированы операции поиска в VFS

В загрузчике GRUB2 выявлено 8 уязвимостей. Наиболее опасная проблема (CVE-2020-10713), которой присвоено кодовое имя BootHole, даёт возможность обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Особенностью данной уязвимости является то, что для её устранения не достаточно обновить GRUB2, так как атакующий может использовать загрузочный носитель со старой уязвимой версией, заверенной цифровой подписью. Атакующий может скомпрометировать процесс верификации не только Linux, но и других операционных систем, включая Windows. Проблема решается только обновлением в системе списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux. Некоторые производители оборудования уже … Читать далее Критическая уязвимость в загрузчике GRUB2, позволяющая обойти UEFI Secure Boot

Состоялся релиз консольного текстового редактора GNU nano 5.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения. В том числе утверждён переход на nano следующего выпуска Fedora Linux. В новом выпуске: При помощи опции «—indicator» или настройки ‘set indicator’ в правой части экрана теперь можно отобразить подобие полосы прокрутки, позволяющей судить о позиции в общем тексте. Добавлена клавиатурная комбинация «Alt+Insert», позволяющая пометить любые строки для последующего перехода между ближайшими метками, нажимая «Alt+PageUp» и «Alt+PageDown». В основном меню обеспечен доступ к строке ввода команд. Для эмуляторов терминалов, поддерживающих как минимум 256 цветов, … Читать далее Выпуск текстового редактора GNU nano 5.0