Доступен релиз десктоп-ориентированного дистрибутива GhostBSD 20.02, построенного на базе платформы TrueOS и предлагающего пользовательское окружение MATE. По умолчанию в GhostBSD применяется система инициализации OpenRC и файловая система ZFS. Поддерживается как работа в Live-режиме, так и установка на жесткий диск (используется собственный инсталлятор ginstall, написанный на языке Python). Загрузочные образы сформированы для архитектуры x86_64 (2.2 Гб). В новой версии в инсталлятор добавлен интерфейс для редактирования разделов ZFS и обеспечена возможность установки GhostBSD на раздел ZFS, размещённый на диске, на котором уже имеются разделы с Windows, Linux или macOS. Системные компоненты синхронизированы с пакетной базой TrueOS (1201512). Улучшен установщик дополнительных приложений Software … Читать далее Выпуск GhostBSD 20.02

Доступен релиз пакета wayland-protocols 1.20, содержащего набор протоколов и расширений, дополняющих возможности базового протокола Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений. Выпуск 1.20 был сформирован почти сразу после 1.19, из-за невключения некторых файлов (README.md, GOVERNANCE.md, MEMBERS.md) в архив. В новой версии обновлён протокол xdg-shell, в который добавлена возможность изменения позиции уже привязанных popup-диалогов. В протоколы «presentation time» и xdg-shell добавлены новые атрибуты enum и bitfield. В состав добавлен документ GOVERNANCE.md, описывающий процессы создания новых протоколов Wayland и обновления существующих в наборе wayland-protocols. Внесены незначительные дополнения в существующие протоколы, улучшена документация и устранены выявленные ошибки. В … Читать далее Выпуск wayland-protocols 1.20

Исследователи из китайской компании Chaitin Tech выявили уязвимость (CVE-2020-1938) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Уязвимости присвоено кодовое имя Ghostcat и критический уровень опасности (9.8 CVSS). Проблема позволяет в конфигурации по умолчанию через отправку запроса по сетевому порту 8009 прочитать содержимое любых файлов из каталога web-приложения, в том числе файлов с настройками и исходных текстов приложения. Уязвимость также даёт возможность импортировать другие файлы в код приложения, что позволяет организовать выполнение кода на сервере, если приложение допускает загрузку файлов на сервер (например, атакующий может загрузить JSP-скрипт под видом картинки через форму … Читать далее Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и получить файлы web-приложений

Сформирован выпуск прослойки DXVK 1.5.5, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Добавлены некоторые отсутствующие возможности Direct3D 9; Улучшена совместимость реализации Direct3D 9 со старым оборудованием Intel; Устранены регрессивные изменения, приводящие при использовании Vulkan-драйвера Intel ANV … Читать далее Выпуск DXVK 1.5.5, реализации Direct3D 9/10/11 поверх API Vulkan

Доступен релиз прослойки JPype 0.7.2, позволяющей организовать полный доступ Python-приложений к библиотекам классов на языке Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения, сочетающие код на Java и Python. В отличие от Jython, интеграция с Java достигается не через создание варианта Python для JVM, а через взаимодействие на уровне обеих виртуальных машин, используя разделяемую память. Предложенный подход позволяет не только добиться хорошей производительности, но и предоставляет доступ ко всем библиотекам CPython и Java. Код проекта распространяется под лицензией Apache 2.0. Основные изменения: Исключения, выброшенные в C++ и Java коде, теперь предоставляют стек исключений … Читать далее Релиз JPype 0.7.2, библиотеки для доступа к Java-классам из Python

Доступен релиз пакета Rakudo Star 2020.01, включающего компилятор Rakudo, виртуальную машину MoarVM, документацию, модули и инструменты, необходимые для разработки на языке Raku (новое название языка Perl 6 после переименования). Компилятор соответствует спецификации Raku v6.d, за исключением поддержки расширенных макросов, неблокирующего ввода/вывода и ряда мелких особенностей, которые планируется довести до рабочего состояния в будущих выпусках. В качестве виртуальной машины для исполнения байткода предлагается MoarVM, которая проходит все тесты (альтернативный бэкенд на базе JVM пока не обладает всей необходимой функциональностью). В новой версии добавлен новый исполняемый файл raku, который заменил собой perl6, а также добавлены новые опции, в которых название perl заменено … Читать далее Выпуск Rakudo Star 2019.03, дистрибутива языка Raku (бывший Perl 6)

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 5.3. С момента выпуска версии 5.2 было закрыто 29 отчётов об ошибках и внесено 350 изменений. Наиболее важные изменения: Продолжена работа по обеспечению возможности использования ucrtbase в качестве C runtime; Добавлена полная поддержка нормализации Unicode-строк; Улучшена обработка папок оболочки (Shell Folders, специальные каталоги для размещения определённых типов контента, например, «My Pictures»). В winecfg добавлены новые стандартные папки Downloads и Templates. Устранена проблема со сбросом настроек Shell Folders после каждого обновления wine; Закрыты отчёты об ошибках, связанные с работой игр и приложений IKEA Home Planner 2010, Lotus Approach, Neocron, Age of empires III … Читать далее Выпуск Wine 5.3 и Wine Staging 5.3

Опубликован первый выпуск проекта Monado, нацеленного на создание открытой реализации стандарта OpenXR, который определяет универсальный API для создания приложений виртуальной и дополненной реальности, а также набор прослоек для взаимодействия с оборудованием, абстрагирующим особенности конкретных устройств. Стандарт подготовлен консорциумом Khronos, развивающим также такие стандарты, как OpenGL, OpenCL и Vulkan. Код проекта написан на языке Си и распространяется под совместимой с GPL свободной лицензией Boost Software License 1.0, основанной на лицензиях BSD и MIT, но не требующей упоминания при распространении производной работы в бинарном виде. Monado предоставляет runtime, полностью соответствующий требованиям OpenXR, который может использоваться для организации работы с виртуальной и дополненной … Читать далее Первый выпуск Monado, платфломы для устройств виртуальной реальности

Проект Archive.org (Internet Archive Wayback Machine), хранящий архив изменений сайтов с 1996 года, сообщил о совместной инициативе с разработчиками web-браузера Brave, в результате которой при попытке открытия в Brave несуществующей или недоступной страницы браузер будет осуществлять проверку наличия страницы в archive.org и в случае обнаружения выводить подсказку с предложением открытия архивной копии. Новшество реализовано в выпуске Brave Browser 1.4.95. Для Safari, Chrome и Firefox подготовлены дополнения с реализацией похожей функциональности. Проверка осуществляется при возвращении сайтом кодов ошибок 404, 408, 410, 451, 500, 502, 503, 504, 509, 520, 521, 523, 524, 525 и 526. Примечательно, что после реализации данной возможности сразу … Читать далее В браузер Brave интегрировано обращение к archive.org для просмотра удалённых страниц

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch и рабочего стола Unity8, после того как от них отстранилась компания Canonical, объявил о продолжении разработки развиваемого им форка Unity8 под новым именем Lomiri. В качестве основной причины переименования упоминается пересечение названия с игровым движком «Unity», что вызывает путаницу среди пользователей, которые считают проекты связанными (например, задают вопрос как импортировать 3D-модели и меши в Unity8). Кроме того, в процессе создания пакетов с Unity8 для Debian и Fedora возникли вопросы, связанные с использованием торговой марки «ubuntu», которая используется в именах некоторых компонентов Unity8 (например, «ubuntu-ui-toolkit», «ubuntu-download-manager», «qtubuntu»). После переименования … Читать далее Развиваемое проектом UBports окружение Unity8 переименовано в Lomiri

Компания Collabora сообщила о реализации в драйвере Panfrost экспериментальной поддержки OpenGL ES 3.0. Изменения переданы в кодовую базу Mesa и войдут в состав следующего значительного выпуска. Для включения GLES 3.0 требуется запуск Mesa с выставленной переменной окружения «PAN_MESA_DEBUG=gles3». Драйвер Panfrost развивается на основе обратного инжиниринга оригинальных драйверов от компании ARM, рассчитан на работу с чипами на базе микроархитектур Midgard (Mali-T6xx, Mali-T7xx, Mali-T8xx) и Bifrost (Mali G3x, G5x, G7x). Для GPU Mali 400/450, применяемых во многих старых чипах на основе архитектуры ARM, отдельно развивается драйвер Lima. Источник: http://www.opennet.ru/opennews/art.shtml?num=52445 Читать далее В Mesa добавлена экспериментальная поддержка GLES 3.0 для GPU Mali

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о достижении рубежа в миллиард сгенерированных сертификатов, что в 10 раз больше, чем было зафиксировано три года назад. Ежедневно генерируется 1.2-1.5 миллионов новых сертификатов. Число активных сертификатов составляет 116 млн (сертификат действует три месяца) и охватывает около 195 млн доменов (год назад было охвачено 150 млн доменов, а два года назад — 61 млн).. По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 81% (год назад 77%, два года назад 69%, три года — 58%), а в США — 91%. Несмотря на то, … Читать далее Let’s Encrypt преодолел рубеж в миллиард сертификатов

В честь восьмилетия с момента начала производства организация Raspberry Pi Foundation объявила о снижении стоимости платы Raspberry Pi 4 с 2 Гб ОЗУ с 45 до 35 долларов, благодаря тому, что чипы памяти подешевели в прошлом году. Стоимость вариантов платы с 1 и 4 Гб ОЗУ осталась неизменной и составляет 35 и 55 долларов США соответственно. Напомним, что плата Raspberry Pi 4 оснащена SoC BCM2711 и включает в себя четыре 64-разрядных ядра ARMv8 Cortex-A72, работающих на частоте 1.5GHz, и графический ускоритель VideoCore VI, который поддерживает OpenGL ES 3.0 и способен декодировать видео H.265 с качеством 4Kp60 (или 4Kp30 на два … Читать далее Стоимость платы Raspberry Pi 4 с 2 Гб ОЗУ снижена до 35 долларов

Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется развитие порта платформы Android для архитектуры x86, опубликовали первый стабильный выпуск сборки на базе платформы Android 9 (android-9.0.0_r53). В сборку включены исправления и дополнения, улучшающие работу Android на архитектуре x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 9 для архитектур x86 32-bit (706 Мб) и x86_64 (922 Мб), пригодные для использования на типовых ноутбуках и планшетных ПК. Дополнительно подготовлены rpm-пакеты для установки Android-окружения в дистрибутивах Linux. Основные новшества, специфичные для сборки Android-x86: Поддержка как 64-разрядных, так и 32-разрядных сборок ядра Linux 4.19 и компонентов пространства пользователя; Применение Mesa 19.348 для поддержки … Читать далее Проект Android-x86 выпустил сборку Android 9 для платформы x86

Ростелеком, крупнейший в РФ оператор широкополосного доступа, обслуживающий около 13 млн абонентов, без лишней огласки ввёл в строй систему подстановки своих рекламных баннеров в незашифрованный HTTP-трафик абонентов. Так как подставляемые в транзитный трафик JavaScriopt-блоки включали обфусцированный код и обращение к недавно зарегистрированным сомнительным сайтам (p.analytic.press, d.d1tracker.ru и dmd.digitaltarget.ru), вначале возникло подозрение на компрометацию оборудования провайдера и внедрение вредоносного ПО во внутридомовой маршрутизатор. Но после отправки претензии представители Ростелекома указали на то, что подстановка рекламы осуществляется в рамках действующего с 10 февраля сервиса показа баннерной рекламы абонентам. Показ рекламы осуществляется через баннерную сеть mail.ru, а перемещения отслеживаются через d1tracker.ru. Как правило, … Читать далее Ростелеком начал подстановку своей рекламы в трафик абонентов

Исследователи из компании Eset раскрыли на проходящей в эти дни конференции RSA 2020 сведения об уязвимости (CVE-2019-15126) в беспроводных чипах Cypress и Broadcom, позволяющей дешифровать перехваченный Wi-Fi трафик, защищённый с использованием протокола WPA2. Уязвимости присвоено кодовое имя Kr00k. Проблема охватывает чипы FullMAC (Wi-Fi стек реализован на стороне чипа, а не драйвера), применяемые в широком спектре потребительских устройств, от смартфонов известных производителей (Apple, Xiaomi, Google, Samsung), до умных колонок (Amazon Echo, Amazon Kindle), плат (Raspberry Pi 3) и точек беспроводного доступа (Huawei, ASUS, Cisco). Уязвимость вызвана некорректной обработкой ключей шифрования при отсоединении (диссоциации) устройства от точки доступа. При отсоединении выполняется обнуление … Читать далее Уязвимость в Wi-Fi чипах Cypress и Broadcom, позволяющая расшифровать трафик

Представлен релиз языка программирования Go 1.14, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Релиз языка программирования Go 1.14

Исследователи из компании Exodus Intelligence продемонстрировали слабое место в процессе исправлений уязвимостей в кодовой базе Chrome/Chromium. Проблема связана с тем, что Google устраняет уязвимости в движке V8 до фактической публикации релиза, но раскрывает сведения, что внесённые исправления имеют отношение к проблемам с безопасностью только после релиза. Какое-то время исправления проходят тестирование и возникает окно, в течение которого уязвимость становится исправленной в кодовой базе и доступно для анализа, но уязвимость остаётся неисправленной на системах пользователей. Изучая вносимые в репозиторий исправления исследователи обратили внимание на добавленное 19 февраля исправление и в течение трёх дней смоли подготовить рабочий эксплоит, поражающий актуальные выпуски Chrome. … Читать далее 0-day уязвимость в Chrome, выявленная через анализ изменений в движке V8

Исследователи из Стендфордского университета, Калифорнийского университета в Сан-Диего и Техасского университета в Остине разработали инструментарий RLBox, который может применяться как дополнительный уровень изоляции для блокирования уязвимостей в библиотеках функций. RLBox нацелен на решение проблемы с безопасностью незаслуживающих доверия сторонних библиотек, которые не подконтрольны разработчикам, но уязвимости в которых могут скомпрометировать основной проект. Компания Mozilla планирует задействовать RLBox в Linux-сборках Firefox 74 и macOS-сборках Firefox 75 для изоляции выполнения библиотеки Graphite, отвечающей за отрисовку шрифтов. При этом RLBox не специфичен для Firefox и может применяться для изоляции любых библиотек в произвольных проектах. Наработки RLBox распространяются под лицензией MIT. В настоящее время … Читать далее Mozilla начинает внедрение технологии изоляции библиотек RLBox

Доступен новый выпуск блокировщика нежелательного контента uBlock Origin 1.25, обеспечивающего блокирование рекламы, вредоносных элементов, кода для отслеживания перемещения, JavaScript-майнеров и других мешающих нормальной работе элементов. Дополнение uBlock Origin отличается высокой производительностью и экономным расходованием памяти, и позволяет не только избавиться от назойливых элементов, но и сократить потребление ресурсов и ускорить загрузку страниц. В новой версии для пользователей Firefox обеспечена блокировка новой техники отслеживания перемещений и подстановки рекламных блоков, основанной на создании в DNS отдельного поддомена в рамках домена текущего сайта. Создаваемый поддомен ссылается на сервер рекламной сети (например, создаётся CNAME-запись f7ds.liberation.fr, указывающая на сервер трекинга liberation.eulerian.net), поэтому рекламный код формально … Читать далее Выпуск uBlock Origin 1.25 с защитой от обхода блокировки через манипуляции с DNS

Состоялся релиз анонимной сети I2P 0.9.45 и C++-клиента i2pd 2.30.0. Напомним, что I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. I2pd представляет собой независимую реализацию клиента I2P на языке C++ и распространяется под модифицированной лицензией BSD. В выпуске I2P 0.9.45 решены проблемы с работой скрытого режима и … Читать далее Новые выпуски анонимной сети I2P 0.9.45 и C++-клиента i2pd 2.30