В трех популярных плагинах для системы управления web-контентом WordPress, насчитывающих более 400 тысяч установок, выявлены критические уязвимости: Уязвимость в плагине InfiniteWP Client, имеющем более 300 тысяч активных установок, позволяет подключиться без прохождения аутентификации в качестве администратора сайта. Так как плагин предназначен для унификации управления несколькими сайтами на сервере, атакующий может получить контроль сразу за всеми сайтами, обслуживаемыми с использованием InfiniteWP Client. Для атаки достаточно знать логин пользователя, имеющего права администратора, после чего через отправку специально оформленного POST-запроса (указав параметр «add_site» или «readd_site») можно войти в интерфейс управления с правами данного пользователя. Уязвимость вызвана ошибкой в реализации функции автоматического входа. Проблема … Читать далее Критические уязвимости в WordPress-плагинах, имеющих более 400 тысяч установок

Проект Nextcloud, развивающий форк свободного облачного хранилища ownCloud, представил новую платформу Nextcloud Hub, предоставляющую самодостаточное решение для организации совместной работы сотрудников предприятий и команд, развивающих различные проекты. По решаемым задачам Nextcloud Hub напоминает Google Docs и Microsoft 365, но позволяет развернуть полностью контролируемую инфраструктуру совместной работы, функционирующую на своих серверах и не привязанную к внешним облачным сервисам. Исходные тексты Nextcloud распространяются под лицензией AGPL. Nextcloud Hub объединяет в единую среду несколько открытых приложений-надстроек над облачной платформой Nextcloud, позволяющих совместно работать с офисными документами, файлами и информацией для планирования задач и мероприятий. Платформа также включает надстройки для доступа к электронной почте, … Читать далее Представлена платформа Nextcloud Hub для организации совместной работы

Разработчики проекта Fedora объявили о стабилизации дистрибутива Fedora CoreOS и его готовности для широкого использования. Fedora CoreOS продвигается как единое решение для запуска окружений на базе изолированных контейнеров, пришедшее на смену продуктам Fedora Atomic Host и CoreOS Container Linux. Поддержка дистрибутива CoreOS Container Linux будет прекращена через 6 месяцев, а прекращение поддержки Fedora Atomic Host ожидается в конце ноября. Fedora CoreOS нацелен на предоставление минимального окружения, атомарно обновляемого в автоматическом режиме без участия администратора и унифицированного для массового развёртывания серверных систем, предназначенных исключительно для запуска контейнеров. Дистрибутив предоставляет только минимальный набор компонентов, достаточный для выполнения изолированных контейнеров — ядро Linux, … Читать далее Первый стабильный выпуск Fedora CoreOS

Состоялся релиз GNU Guile 3.0, свободной реализации функционального языка программирования Scheme, поддерживающей возможность встраивания кода в приложения на других языках программирования. Guile позволяет легко интегрировать в приложения расширяющие функциональность дополнения, модули и скрипты, даёт возможность пользователям менять поведение приложения без углубления в его внутреннюю организацию. Guile является официальным языком разработки расширений для операционной системы GNU. Основу Guile составляет эффективная виртуальная машина, которая выполняет переносимый набор инструкций, генерируемый специальным оптимизирующим компилятором. Виртуальная машина Guile легко интегрируется с кодом приложений на языках Си и Си++. Кроме языка Scheme, для которого реализована поддержка спецификаций R5RS, R6RS и R7RS, в рамках проекта Guile разработаны … Читать далее Увидел свет GNU Guile 3.0

Объявлено о начале поставки всем желающим первой редакции смартфона PinePhone (Braveheart Edition), развиваемого сообществом Pine64. Как и заявлялось изначально, стоимость смартфона составляет 149 долларов. Устройство рассчитано на энтузиастов, которые устали от Android и хотят получить полностью контролируемое и защищённое окружение на базе альтернативных открытых Linux-платформ. Начало широкого массового производства намечено 20 марта 2020 года. Аппаратная начинка рассчитана на использование заменяемых компонентов — большинство модулей не впаяно, а подключено через отсоединяемые шлейфы, что позволяет, например, при желании заменить предлагаемую по умолчанию посредственную камеру на более качественную. Утверждается, что полная разборка телефона может быть произведена за 5 минут. Для установки на PinePhone … Читать далее Linux-смартфон PinePhone доступен для заказа

Компания Google опубликовала график прекращения поддержки специализированных web-приложений Chrome Apps в браузере Chrome. В марте 2020 года в Chrome Web Store будет прекращён приём новых приложений Chrome Apps (возможность обновления существующих программ продлится до июня 2022 года). В июне 2020 года поддержка Chrome Apps будет прекращена в версиях браузера Chrome для Windows, Linux и macOS, но до декабря будет оставлена опция, позволяющая вернуть Chrome Apps для пользователей Chrome Enterprise и Chrome Education. В июне 2021 будет полностью прекращена поддержка API NaCl (Native Client), PNaCl (Portable Native Client, вытеснен WebAssembly) и PPAPI (Pepper API для разработки плагинов, пришедший на смену NPAPI), … Читать далее Google опубликовал план прекращения поддержки Chrome Apps, NaCl, PNaCl и PPAPI

Представлен релиз дисплейного сервера Mir 1.7, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04-19.10 (PPA) и Fedora 29/30/31. Код проекта распространяется под лицензией GPLv2. В новом выпуске в основном предложены исправления ошибок, связанных с экспериментальной поддержкой запуска X11-приложений … Читать далее Выпуск дисплейного сервера Mir 1.7

Доступно обновление браузера Chrome 79.0.3945.130 в котором устранены четыре уязвимости, одной из которых присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали о критической уязвимости (CVE-2020-6378) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в компоненте для распознавания речи. Остальные три уязвимости помечены как опасные. Уязвимость CVE-2020-6379 также связана с обращением к уже освобождённому блоку памяти (Use-after-free) в коде распознавания речи. Проблема CVE-2020-6380 вызвана ошибкой верификации сообщений от дополнений. Ещё одно изменение связано с добавлением защиты от уязвимости CVE-2020-0601 в Crypto API платформы Windows, … Читать далее Обновление Chrome 79.0.3945.130 с устранением критической уязвимости

IBM, Microsoft, Mozilla, Creative Commons, Open Source Initiative, Wikimedia Foundation, Software Freedom Conservancy (SFC) и многие другие ассоциации и компании (всего 21) выступили в роли независимых участников (Amicus Curiae) возобновившегося в Верховном суде разбирательства между компанией Google и Oracle, связанного с использованием Java API в платформе Android. Компании предоставили суду заключение со своей экспертной оценкой разбирательства, воспользовавшись правом участия в судебном процессе третьего лица, не относящегося к одной из сторон, но заинтересованного в вынесении судом адекватного решения. Ожидается, что Верховный суд вынесет своё решение в июне. Компания IBM считает, что отнесение доступных в открытом виде компьютерных интерфейсов к объектам авторского … Читать далее IBM, Microsoft и Mozilla поддержали Google в судебном разбирательстве с Oracle

В находящейся в разработке экспериментальной ветке рабочего стола Xfce 4.15, на базе которого будет сформирован стабильный релиз 4.16, осуществлён перевод интерфейса на виджет GtkHeaderBar, позволивший реализовать декорирование окон на стороне клиента (CSD, client-side decorations), при котором заголовок и рамки окна отрисовываются не оконным менеджером, а самим приложением. Применение CSD дало возможность по аналогии с GNOME добиться размещения меню, кнопок и других элементов интерфейса в заголовке окна, а также обеспечить скрытие рамок в диалогах. Использование GtkHeaderBar для отрисовки интерфейса интегрировано в библиотеку libxfce4ui, что привело к автоматическому применению CSD для почти всех диалогов, без необходимости внесения изменений в код существующих проектов. … Читать далее В Xfce осуществлён перевод диалогов на декорирование окон на стороне клиента

Консорциум Khronos, занимающийся разработкой графических стандартов, опубликовал спецификацию Vulkan 1.2, определяющую API для доступа к графическим и вычислительным возможностям GPU. Новая спецификация вобрала в себя накопившиеся за два года исправления и расширения. Драйверы с поддержкой новой версии Vulkan уже выпустили компании Intel, AMD, ARM, Imagination Technologies и NVIDIA. В Mesa поддержка Vulkan 1.2 предложена для драйверов RADV (карты AMD) и ANV (Intel). Поддержка Vulkan 1.2 также реализована в отладчике RenderDoc 1.6, LunarG Vulkan SDK и наборе примеров Vulkan-Samples. Основные новшества: Доведена до готовности к повсеместному применению реализация языка программирования шейдеров HLSL, разработанного компанией Microsoft для DirectX. Поддержка HLSL в Vulkan … Читать далее Опубликован графический стандарт Vulkan 1.2

Компания Mozilla объявила о проведении реструктуризации. Доходы Mozilla продолжают сильно зависеть от отчислений за использование поисковых систем. Последнее время наблюдается снижение подобных отчислений, которые в 2019 и 2020 годах планировалось компенсировать за счёт развития новых платных сервисов (например, Firefox Premium и Private Network) и областей, не связанных с поисковыми системами. В конечном счёте, прогнозы не оправдались и на развитие новых платных сервисов потребовалось больше времени, чем ожидалось, поэтому Mozilla намерена начать «жить по средствам» и заранее адаптироваться к возможным пессимистичным финансовым прогнозам, для чего принято решение сократить расходы за счёт увольнения сотрудников. В настоящее время в Mozilla по всему миру … Читать далее На фоне реструктуризации из Mozilla уволено 70 сотрудников

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.2, в котором отмечено 16 исправлений. Одновременно также выпущены корректирующие релизы VirtualBox 6.0.16 и 5.2.36. Основные изменения в выпуске 6.1.2: Устранено 18 уязвимостей, из которых 6 имеют высокую степень опасности (CVSS Score 8.2 и 7.5). Подробности не сообщаются, но, судя по уровню CVSS, некоторые проблемы позволяют из окружения гостевой системы выполнить код на стороне хост-системы; На стороне хоста добавлена поддержка ядра Linux 5.5 (в гостевых системах пока не поддерживается); В дополнениях для гостевых систем при использовании драйвера VMSVGA улучшена обработка многомониторных конфигураций и изменения размера рабочей области; Повышена производительность virtio-scsi; Добавлена поддержка … Читать далее Выпуски VirtualBox 6.1.2, 6.0.16 и 5.2.36

Представлен выпуск дистрибутива CentOS 1911, вобравший в себя изменения из Red Hat Enterprise Linux 8.1. Дистрибутив полностью бинарно совместим с RHEL 8.1, внесенные в пакеты изменения, как правило, сводятся к ребрендингу и замене художественного оформления. Сборки CentOS 1911 подготовлены (7 Гб DVD и 550 Мб netboot) для архитектур x86_64, Aarch64 (ARM64) и ppc64le. Пакеты SRPMS, на основе которых произведена сборка бинарных файлов, и debuginfo доступны через vault.centos.org. Параллельно продолжает развиваться непрерывно обновляемая редакция CentOS Stream, в которой предоставлен доступ к пакетам, формируемым для следующего промежуточного выпуска RHEL (rolling-вариант RHEL). Помимо новых возможностей, появившихся в RHEL 8.1, в CentOS 1911 можно … Читать далее Выпуск CentOS 8.1 (1911)

Компания Google объявила о намерении в течение ближайших двух лет полностью прекратить в Chrome поддержку сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. Подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики. Как и заявленное вчера намерение унифицировать заголовок User-Agent, отказ от сторонних Cookie продвигается в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. До конца этого года в режиме origin trial ожидается включение в браузер дополнительных API для измерения конверсии и … Читать далее Google намерен до 2022 года прекратить поддержку сторонних Cookie в Chrome

Команды разработчиков и дизайнеров из компании Canonical, отвечающие за визуальный стиль и рабочий стол в Ubuntu, планируют задействовать в Ubuntu 20.04 по умолчанию новую тему оформления, которая продолжит развитие текущей темы Yaru, предлагаемой, начиная с Ubuntu 18.10. Если в текущем варианте Yaru доступно два варианта оформления — тёмный (тёмные заголовки, тёмный фон и тёмные элементы управления) и светлый (темные заголовки, светлый фон и светлые элементы управления, то в новой теме появится третий, полностью светлый вариант. Из цветовых изменений также отмечается намерение заменить зелёный фон элементов переключателей на баклажановый цвет. Также ведутся эксперименты по задействованию новых пиктограмм каталогов, которые можно будет … Читать далее Canonical планирует поменять тему оформления в Ubuntu 20.04

Компания Valve опубликовала новый выпуск проекта Proton 4.11-12, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. В новой версии: Прослойка DXVK, предоставляющая реализацию DXGI … Читать далее Обновление Proton 4.11-12, пакета для запуска Windows-игр в Linux

Мэйнтейнер системы управления версиями Mercurial подвёл итог работы по переводу проекта с Python 2 на Python 3. Несмотря на то, что первые попытки портирования были предприняты ещё в 2008 году, а в форсированном режиме адаптация для работы с Python 3 началась в 2015 году, полноценная возможность использования Python 3 была реализована только в последней ветке Mercurial 5.2. Прогнозы о стабильности порта для Python 3 даются неутешительные. В частности, предполагается, что на протяжении нескольких лет в коде будут всплывать случайные ошибки, так как тесты не охватывают 100% кодовой базы, а многие проблемы незаметны при статическом анализе и проявляются только во время … Читать далее Ценой перевода Mercurial на Python 3 может стать шлейф непредвиденных ошибок

Опубликовано обновление операционной системы Solaris 11.4 SRU 17 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: Устранены проблемы в sudo, python 3.7, OpenSSH и sstored; Обновлены версии Mesa 18.1.9, accountsservice 0.6.43 и xkeyboard-config 2.24; Обновлены версии программ с устранением уязвимостей: libxkbcommon 0.8.4, OpenLDAP 2.4.48, oniguruma 6.9.4, Firefox 68.3.0esr, Thunderbird 68.3.0, MySQL 5.7 5.7.28, MySQL 5.6 5.6.46, Wireshark 2.6.13. Источник: http://www.opennet.ru/opennews/art.shtml?num=52183 Читать далее Обновление Solaris 11.4 SRU 17

Разработчики Chromium предложили унифицировать и заморозить от изменений содержимое HTTP-заголовка User-Agent, в котором передаётся название и версия браузера, а также ограничить доступ к свойству navigator.userAgent в JavaScript. Удалять заголовок User-Agent пока не планируют. Инициатива уже поддержана разработчиками Edge и Firefox, а также уже реализована в Safari. В соответствии с текущим планом, в Chrome 81, намеченном на 17 марта, будет объявлен устаревшим доступ к свойству navigator.userAgent, в Chrome 81 будет прекращено обновление версии браузера и унифицированы версии операционных систем, а в Chrome 85 будет унифицирована строка с идентификатором операционной системы (можно будет лишь определить настольная и мобильная ОС, а для мобильных … Читать далее Разработчики Chromium предложили унифицировать и объявить устаревшим заголовок User-Agent

Доступна для загрузки сборка Ubuntu GamePack 18.04, включающая в себя средства для запуска более чем 55 тысяч игр и приложений, как специально разработанных для платформы GNU/Linux, так и игр для Windows, запускаемых при помощи PlayOnLinux, CrossOver и Wine, а также старых игр для MS-DOS. Дистрибутив собран на базе Ubuntu 18.04 и включает в себя все обновления, по состоянию на январь 2020 года. По умолчанию предлагается интерфейс GNOME Flashback, внешний вид которого напоминает классический GNOME, но в качестве опции можно выбрать и другие окружения. Размер iso-образа 4.1 ГБ (x86_64). Так же доступно обновление прошлой ветки на базе Ubuntu 16.04, которая собрана … Читать далее Релиз платформы для запуска игр Ubuntu GamePack 18.04