GitHub выявил вредоносное ПО, поражающее проекты в интегрированной среде разработки NetBeans и использующее процесс сборки для своего распространения. Расследование показало, что при помощи рассматриваемого вредоносного ПО, которому присвоено имя Octopus Scanner, были скрыто интегрированы бэкдоры в 26 открытых проектов, имеющих репозитории на GitHub. Первые следы проявления Octopus Scanner датированы августом 2018 года. Вредоносное ПО способно выявлять файлы с проектами NetBeans и добавлять свой код в файлы проекта и собираемые JAR-файлы. Алгоритм работы сводится к нахождении каталога NetBeans с проектами пользователя, перебору всех проектов в данном каталоге, копированию вредоносного сценария в nbproject/cache.dat и внесению изменений в файл nbproject/build-impl.xml для вызова этого … Читать далее Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты

Фонд свободного ПО объявил о введении в строй сервиса для проведения видеоконференций, основанного на свободной платформе Jitsi Meet, которая недавно использовалась для проведения конференции LibrePlanet в online. Сервис доступен только участникам, оплачивающим членские взносы (размер минимального взноса для членов FSF составляет 10 долларов в месяц (для студентов — $6), при условии использования видеоконференций для персональных или некоммерческих целей. Сервер, координирующий проведение видеоконференций, размещён в инфраструктуре Фонда СПО, который выступает гарантом соблюдения конфиденциальности и свободы. На сервере не сохраняются записи видео, голосовых сеансов и сообщений, а логи настроены на минимальный уровень, необходимых для отслеживания проблем и злоупотреблений. При общении между двумя … Читать далее Фонд СПО запустил сервис видеоконференций на основе Jitsi Meet

Компания Collabora представила выпуск проекта Monado 0.2, нацеленного на создание открытой реализации стандарта OpenXR. Monado предоставляет runtime, полностью соответствующий требованиям OpenXR, который может использоваться для организации работы с виртуальной и дополненной реальности на смартфонах, планшетах, ПК и любых других устройствах. Стандарт OpenXR подготовлен консорциумом Khronos и определяет универсальный API для создания приложений виртуальной и дополненной реальности, а также набор прослоек для взаимодействия с оборудованием, абстрагирующим особенности конкретных устройств. Код проекта написан на языке Си и распространяется под свободной лицензией Boost Software License 1.0, совместимой с GPL. Среди добавленных улучшений: В композитном сервере появилась поддержка многослойной отрисовки, позволяющей приложениям размещать несколько … Читать далее Второй выпуск Monado, платформы для устройств виртуальной реальности

Проект Raspberry Pi анонсировал расширенный вариант платы Raspberry Pi 4, поставляемый с 8 ГБ ОЗУ. Стоимость нового варианта платы составляет $75. Для сравнения платы с 2 и 4 Гб ОЗУ продаются за 35 и 55 долларов США соответственно. Используемый в плате чип BCM2711 позволяет адресовать до 16 ГБ памяти, но в момент разработки платы в прошлом году в продаже отсутствовали подходящие чипы LPDDR4 SDRAM. Теперь компания Micron выпустила необходимые чипы c 8 ГБ, на базе которых и построен новый вариант Raspberry Pi 4. Поставка более энергоёмкого чипа 8 ГБ LPDDR4 SDRAM также потребовала небольшой модернизации цепей питания и перемещения импульсного … Читать далее Доступна плата Raspberry Pi 4 с 8 ГБ ОЗУ

Компания Google сообщила о решении включить в выпуске Chrome 84, намеченном на 14 июля, систему защиты от назойливых уведомлений, например, спама запросами на получение push-уведомлений. Так как подобные запросы прерывают работу пользователя и отвлекают внимание на действия в диалогах подтверждения, вместо отдельного диалога в адресной строке будет отображаться не требующая действий от пользователя информационная подсказка с предупреждением о блокировке запроса полномочий, которая автоматически сворачивается в индикатор с изображением зачёркнутого колокола. При клике на индикатор можно активировать или отклонить запрошенное полномочие в любой удобный момент. Новый режим автоматически будет применяться для сайтов, уличённых в злоупотреблении уведомлениями (например, выводящих фиктивные сообщения, напоминающие … Читать далее В Chrome 84 по умолчанию включат защиту от назойливых уведомлений

Доступен релиз распределённой СУБД TiDB 4.0, развиваемой под впечатлением от технологий Google Spanner и F1. TiDB относится к категории гибридных систем HTAP (Hybrid Transactional/Analytical Processing), способных как обеспечивать выполнение транзакций в реальном времени (OLTP), так и выполнять обработку аналитических запросов. Проект написан на языке Go и распространяется под лицензией Apache 2.0. Особенности TiDB: Поддержка SQL и предоставление клиентского интерфейса, совместимого с протоколом MySQL, что упрощает адаптацию для TiDB существующих приложений, написанных для MySQL, а также позволяет задействовать распространённые клиентские библиотеки. Кроме протокола MySQL для обращения к СУБД можно использовать API на базе JSON и коннектор для Spark. Из возможностей SQL … Читать далее Выпуск распределённой СУБД TiDB 4.0

Состоялся релиз операционной системы Chrome OS 83, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 83. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 83 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Выпуск Chrome OS 82 был пропущен из-за перевода разработчиков на работу на дому в условиях пандемии коронавируса SARS-CoV-2. … Читать далее Выпуск Chrome OS 83

Представлен релиз свободной реализации API OpenGL и Vulkan — Mesa 20.1.0. Первый выпуск ветки Mesa 20.1.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 20.1.1. В Mesa 20.1 реализована полная поддержка OpenGL 4.6 для GPU Intel (драйверы i965, iris) и AMD (radeonsi), поддержка OpenGL 4.5 для GPU AMD (r600) и NVIDIA (nvc0), OpenGL 4.3 для virgl (виртуальный GPU Virgil3D для QEMU/KVM), а также поддержка Vulkan 1.2 для карт Intel и AMD. Среди изменений: Добавлена прослойка для выбора активного устройства для API Vulkan в системах с несколькими GPU с поддержкой Vulkan, работающая по аналогии с DRI_PRIME … Читать далее Релиз Mesa 20.1.0, свободной реализации OpenGL и Vulkan

Состоялся релиз пакета UDisks 2.9.0, включающего системный фоновый процесс, библиотеки и инструментарий для организации доступа и управления дисками, устройствами хранения и связанными с ними технологиями. UDisks предоставляет D-Bus API для работы с дисковыми разделами, настройки MD RAID, работы с блочными устройствами в файле (loop-монтирование), манипуляций с файловыми системами и т.п. Дополнительно поставляются модули для мониторинга и управления BCache, BTRFS, iSCSI, libStorageManagement, LVM2, LVM Cache и zRAM. Например, UDisks иcпользуется в приложениях GNOME для работы с дисковыми разделами GNOME и различных графических конфигураторах. В новой версии: Реализовано управление опциями монтирования для файловых систем. Через UDisks теперь можно менять предлагаемые по умолчанию … Читать далее Выпуск UDisks 2.9.0 с поддержкой переопределения опций монтирования

Состоялся выпуск минималистичного многоплатформенного web-браузера NetSurf 3.10, способного работать на системах с несколькими десятками мегабайт ОЗУ. Выпуск подготовлен для Linux, Windows, Haiku, AmigaOS, RISC OS и различных Unix-подобных систем. Код браузера написан на языке Си и распространяется под лицензией GPLv2. Браузером поддерживаются вкладки, закладки, отображение эскизов страниц, автодополнение URL в адресной строке, масштабирование страниц, HTTPS, SVG, интерфейс для управления Cookie, режим сохранения страниц с изображениями, стандарты HTML 4.01, CSS 2.1 и частично HTML5. Предоставляется ограниченная поддержка JavaScript, которая по умолчанию отключена. Страницы отображаются при помощи собственного браузерного движка, основу которого составляют библиотеки Hubbub, LibCSS и LibDOM. Для обработки JavaScript применяется … Читать далее Выпуск web-браузера NetSurf 3.10

После трёх месяцев разработки представлен релиз OpenSSH 8.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новом выпуске добавлена защита от атаки на scp, позволяющей серверу передать другие имена файлов, отличающиеся от запрошенных (в отличие от прошлой уязвимости, атака не даёт возможность сменить выбранный пользователем каталог или glob-маску). Напомним, что в SCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Суть выявленной проблемы в том, что если системный вызов utimes завершается ошибкой, то содержимое файла интерпретируется как метаданные файла. Данная особенность при подключении … Читать далее Релиз OpenSSH 8.3 с устранением уязвимости в scp

Исследователи из компании NCC Group опубликовали результаты аудита свободного проекта Zephyr, развивающего операционную систему реального времени (RTOS), нацеленную на оснащение устройств, соответствующих концепции «Интернет вещей» (IoT, Internet of Things). В ходе аудита было выявлено 25 уязвимостей в Zephyr и 1 уязвимость в MCUboot. Разработка Zephyr ведётся при участии компаний Intel. В сумме было выявлено 6 уязвимостей в сетевом стеке, 4 — в ядре, 2 — в командной оболочке, 5 в обработчиках системных вызовов, 5 в подсистеме USB и 3 в механизме обновления прошивки. Двум проблема присвоен критический уровень опасности, двум — высокий, 9 умеренный, 9 — низкий и 4 — … Читать далее 25 уязвимостей в RTOS Zephyr, в том числе эксплуатируемые через ICMP-пакет

Представлен первый выпуск новой основной ветки nginx 1.19, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Добавлена возможность поверки клиентских сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol). Для включения проверки предложена директива ssl_ocsp, для настройки размера кэша — ssl_ocsp_cache, для переопределения URL OCSP-обработчика, указанного в сертификате — ssl_ocsp_responder. Исправлена возникающая в процессе работы бэкендов gRPC ошибка «upstream sent frame for closed stream», выводимая при отправке кадров в закрытый поток. Устранена проблема с не работой OCSP stapling, … Читать далее Выпуск nginx 1.19.0

Представлен релиз кроссплатформенного фреймворка Qt 5.15. Исходные тексты компонентов Qt поставляются под лицензиями LGPLv3 и GPLv2. В декабре будет опубликована новая ветка Qt 6, в которой ожидаются значительные архитектурные изменения. Для сглаживания будущего перехода на ветку Qt 6 в Qt 5.15 включены предварительные реализации некоторых новшеств и добавлены предупреждения о скором прекращении поддержки функциональности, намеченной для удаления в Qt 6. Qt 5.15 отнесён к выпускам с длительным сроком поддержки (LTS). При этом для сообщества обновления ветки 5.15 будут выпускаться до формирования очередного значительного выпуска, т.е. примерно полгода. Расширенный LTS-цикл, подразумевающий формирование обновлений в течение трёх лет, будет ограничен пользователями с … Читать далее Релиз фреймворка Qt 5.15

Опубликовано обновление Protox, мобильного приложения для обмена сообщениями между пользователями без участия сервера, реализованного на основе протокола Tox (с-toxcore). На данный момент поддерживается только OS Android, однако, так как программа написана на кроссплатформенном фреймворке Qt с использованием QML, в будущем возможно портировать приложение и под другие платформы. Программа является альтернативой Tox-клиентам Antox, Trifa и Tok, почти все из которых были заброшены. Код проекта распространяется под лицензией GPLv3. Список изменений, начиная с версии 1.4.2: Добавлена передача файлов в обе стороны. Добавлены соответствующие кнопки для передачи файлов. Добавлены оповещения для передачи файлов. Добавлена кнопка, позволяющая выбрать каталог сохранения загружаемых файлов (по умолчанию … Читать далее Выпуск пре-релизной версии Protox 1.5beta_pre, Tox-клиента для мобильных платформ

Эдуард Шишкин анонсировал новые возможности, развиваемые в рамках проекта Reiser5. Reiser5 представляет собой существенно переработанный вариант файловой системы ReiserFS, в котором на уровне файловой системы, а не блочного устройства, реализована поддержка параллельно масштабируемых логических томов, позволяющая эффективно распределять данные по логическому тому. Из развиваемых в последнее время новшеств отмечается предоставление пользователю возможности добавить небольшое высокопроизводительное блочное устройство (напр. NVRAM), называемое прокси-диском, к относительно большому логическому тому, скомпонованному из медленных бюджетных дисков. При этом будет создаваться впечатление, что весь том скомпонован из таких же дорогостоящих высокопроизводительных устройств, как и «прокси-диск». В основу реализованного метода легло простое наблюдение, что на практике запись … Читать далее В Reiser5 анонсирована поддержка Burst Buffers (Data Tiering)

Группа исследователей из Пекинского университета, Университета Цинхуа и Техасского университета в Далласе выявила новый класс DoS-атак — RangeAmp, основанный на использовании HTTP-заголовка Range для организации усиления трафика через сети доставки контента (CDN). Суть метода в том, что из-за особенности обработки Range-заголовков во многих CDN атакующий может запросить через CDN один байт из большого файла, но CDN загрузит с целевого сервера весь файл или значительно больший блок данных для помещения в кэш. Степень усиления трафика при такой атаке в зависимости от CDN составляет от 724 до 43330 раз, что может использоваться для снижения пропускной способности канала связи до сайта жертвы. Заголовок … Читать далее RangeAmp — серия атак на сайты и CDN, манипулирующая HTTP-заголовком Range

Состоялся релиз анонимной сети I2P 0.9.46 и C++-клиента i2pd 2.32.0. Напомним, что I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. I2pd представляет собой независимую реализацию клиента I2P на языке C++ и распространяется под модифицированной лицензией BSD. В выпуске I2P 0.9.46: Благодаря добавлению алгоритма контроля перегрузки Westwood+ существенно … Читать далее Новые выпуски анонимной сети I2P 0.9.46 и C++-клиента i2pd 2.32

Представлен релиз свободного звукового редактора Ardour 6.0, предназначенного для многоканальной записи, обработки и микширования звука. Имеется мультитрековая шкала времени, неограниченный уровень отката изменений на всем протяжении работы с файлом (даже после закрытия программы), поддержка разнообразных аппаратных интерфейсов. Программа позиционируется, как свободный аналог профессиональных средств ProTools, Nuendo, Pyramix и Sequoia. Код Ardour распространяется под лицензией GPLv2. Основные новшества: Внесены значительные архитектурные изменения, позволившие повысить надёжность и качестве работы приложения. Во всех компонентах, связанных с обработкой сигналов, задействованы средства полной компенсации задержек. Не важно каким образом осуществляется маршрутизация сигнала — шины, треки, плагины, элементы отправки, вставки и возвращения сигнала теперь полностью компенсированы … Читать далее Выпуск свободного звукового редактора Ardour 6.0

Открыта новая база поддерживаемого оборудования для BSD-систем, подготовленная создателями базы Linux-Hardware.org. Среди наиболее востребованных возможностей базы — поиск драйверов для устройств, тесты работоспособности, анонимизация собираемых системных логов, статистические отчёты. Варианты использования базы разнообразны — можно просто вывести список всех устройств, можно отправить логи разработчикам для исправления ошибки, можно сохранить «снимок» текущего состояния компьютера на будущее, чтобы сравнить с ним в случае возникновения неполадок и др. Как и для Linux-систем, база пополняется с помощью программы hw-probe (версия 1.6-BETA выпущена специально для BSD). Данная программа позволяет абстрагироваться от различий между BSD-системами и вывести список устройств в едином формате. Напомним, что в отличие … Читать далее Проект по формированию базы поддерживаемого оборудования для BSD-систем

Компания Microsoft опубликовала первый тестовый выпуск пакетного менеджера winget (Windows Package Manager), предоставляющего средства для установки приложений с использованием командной строки. Код написан на языке С++ и распространяется под лицензией MIT. Пакеты устанавливаются из репозитория, поддерживаемого при участии сообщества. В отличие от установки программ из каталога Windows Store, winget позволяет устанавливать приложения без лишнего маркетинга, изображений и рекламы. В текущем выпуске поддерживаются команды для поиска приложения (search), установки (install), показа информации о пакете (show), настройки репозиториев (source), работой с хэшами файлов установщика (hash) и проверки целостности метаданных (validate). В следующем выпуске ожидается появление команд uninstall, list и update. Параметры пакета … Читать далее Microsoft развивает новый открытый пакетный менеджер winget