Доступны корректирующие релизы PHP 7.3.11, 7.1.33 и 7.2.24, в которых устранена критическая уязвимость (CVE-2019-11043) в расширении PHP-FPM (менеджер процессов FastCGI), позволяющая удалённо выполнить свой код в системе. Для атаки на серверы, использующие для запуска PHP-скриптов PHP-FPM в связке с Nginx, уже публично доступен рабочий эксплоит. Атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи «fastcgi_split_path_info», но без предварительной проверки существования файла директивой «try_files $fastcgi_script_name» или конструкцией «if (!-f $document_root$fastcgi_script_name)». Проблема в том числе проявляется в настройках, предлагаемых для платформы NextCloud. Например, уязвимы конфигурации с конструкциями вида: location ~ [^/].php(/|$) { fastcgi_split_path_info ^(.+?.php)(/.*)$; … Читать далее Уязвимость php-fpm, позволяющая удалённо выполнить код на сервере

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-11 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04. Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на Ubuntu 15.04, а начиная с OTA-4 осуществлён переход на Ubuntu 16.04). Как … Читать далее Одиннадцатое обновление прошивки UBports, пришедшей на смену Ubuntu Touch

Доступен релиз Node.js 13.0, платформы для выполнения сетевых приложений на языке JavaScript. Одновременно завершена стабилизация прошлой ветки Node.js 12.x, которая переведена в категорию выпусков с длительным сроком поддержки, обновления для которых выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 10.0 продлится до апреля 2021 года, а позапрошлой LTS-ветки 8.0 до января 2020 года. Основные улучшения: Движок V8 обновлён до версии 7.8, в которой задействованы новые методы оптимизации производительности, улучшена деструктуризация объектов, сокращено потребление памяти и сокращено время подготовки к выполнению WebAssembly; По умолчанию включена полная поддержка интернационализации и Unicode на базе библиотек ICU (International Components for Unicode), позволяющая разработчикам … Читать далее Выпуск серверной JavaScript-платформы Node.js 13.0

Компания GitLab, развивающая одноимённую платформу для совместной разработки, ввела в строй новое соглашения по использованию своих продуктов. Всем пользователям коммерческих продуктов для предприятий (GitLab Enterprise Edition) и облачного хостинга GitLab.com предложено согласиться с новыми условиями в обязательном порядке. До принятия новых условий доступ к web-интерфейсу и к Web API будет заблокирован. Изменение начинает действовать с релиза GitLab 12.4. Важным изменением в условиях является упоминание включения на страницах облачных сервисов и коммерческих продуктов GitLab кода для сбора телеметрии. При этом определено, что телеметрия может отправляться не только на серверы компании GitLab, но и в сторонние службы аналитики. В том числе явно … Читать далее GitLab вводит сбор телеметрии для пользователей облачных и коммерческих продуктов

Разработчики Mozilla опубликовали план реализации поддержки дополнений в мобильном браузере Firefox Preview (Fenix), который развивается для замены редакции Firefox для платформы Android. Новый браузер основан на движке GeckoView и наборе библиотек Mozilla Android Components, и изначально не предоставляет API WebExtensions для разработки дополнений. В первом квартале 2020 года данный недостаток планируется устранить и в GeckoView/Firefox Preview появятся средства для подключения дополнений, предоставляющие функциональность, достаточную для поддержки дополнений из рекомендованного списка. Источник: http://www.opennet.ru/opennews/art.shtml?num=51745 Читать далее В мобильном браузере Firefox Preview появится поддержка дополнений

Компания AMD присоединилась к программе Blender Development Fund в качестве основного спонсора (Patron), перечисляющего на развитие свободной системы 3D-моделирования Blender более 120 тысяч евро в год. Полученные средства планируется вложить в общую разработку системы 3D-моделирования Blender, миграцию на графический API Vulkan и обеспечение качественной поддержки технологий AMD. Кроме AMD в число основных спонсоров Blender ранее также вошли компании NVIDIA и Epic Games. Подробности финансового участия NVIDIA и AMD не сообщаются, а компания Epic Games выделила 1.2 млн на финансирование Blender в течение трех лет. О поддержке Blender также объявили компании Embark Studios и Adidas, которые вошли в категории «золотых» и … Читать далее AMD, Embark Studios и Adidas стали участниками Blender Development Fund

Подготовлен релиз платформы Electron 7.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 78, платформы Node.js 12.8 и JavaScript-движка V8 7.8. Ранее ожидавшееся прекращение поддержки 32-разрядных систем Linux пока отложено и выпуск 6.0 в том числе доступен в 32-разрядных сборках. Среди изменений в API, специфичных для Electron: Добавлены методы ipcRenderer.invoke() и ipcMain.handle() для организации асинхронного IPC в стиле запрос/ответ, который рекомендовано использовать вместо модуля «remote»; Добавлен API nativeTheme для чтения и обработки изменений в системной теме оформления и цветовой … Читать далее Релиз Electron 7.0.0, платформы создания приложений на базе движка Chromium

Уилл Кук (Will Cooke), с 2014 года возглавлявший разработку десктоп-редакции Ubuntu, объявил о своём уходе из компании Canonical. Новым местом работы Уилла станет компания, развивающая открытую СУБД InfluxDB. После Уилла пост директора по разработке десктоп-систем в Canonical займёт Мартин Вимпрес Martin Wimpress, сооснователь редакции Ubuntu MATE, входящий в Core Team проекта MATE. В Canonical Мартин работал над инструментарием Snapcraft. Источник: http://www.opennet.ru/opennews/art.shtml?num=51740 Читать далее В компании Canonical сменился директор по разработке десктоп-систем

Сформирован выпуск основной ветки nginx 1.17.5, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Добавлена поддержка вызова ioctl(FIONREAD), если он доступен, чтобы избежать чтения из быстрого соединения в течение долгого времени; Решена проблема с игнорирование неполных закодированных символов в конце URI-запроса; Решена проблема с нормализацией последовательностей «/.» и «/..» в конце URI-запроса; Внесены исправления в директивы merge_slashes и ignore_invalid_headers; Исправлена ошибка, проявляющаяся при сборке nginx в MinGW-w64 gcc 8.1 и новее. Источник: http://www.opennet.ru/opennews/art.shtml?num=51735 Читать далее Выпуск nginx 1.17.5

Компания Google представила релиз web-браузера Chrome 78. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 79 запланирован на 10 декабря. Основные изменения в Chrome 78: Реализована экспериментальная поддержка «DNS поверх HTTPS» (DoH, DNS over HTTPS), которая будет выборочно включена для отдельных категорий пользователей, в системных настойках которых уже указаны DNS-провайдеры, поддерживающие DoH. Например, если у пользователя в системных настройках указан DNS … Читать далее Релиз Chrome 78

Представлен релиз специализированного дистрибутива Tails 4.0 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ (1 ГБ), способный работать в Live-режиме. Основные изменения: Осуществлён переход на пакетную базу Debian 10 «Buster». Применены накопившиеся исправления проблем с безопасностью; Менеджер паролей KeePassX заменён на более активно развиваемый сообществом форк KeePassXC; До версии 1.3.2 обновлено приложение OnionShare, позволяющее … Читать далее Релиз дистрибутива Tails 4.0

После пяти месяцев разработки опубликован значительный релиз специализированного браузера Tor Browser 9.0, сосредоточенного на обеспечении анонимности, безопасности и приватности. Весь трафик в Tor Browser направляется только через сеть Tor, а обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android. Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. … Читать далее Доступен Tor Browser 9.0

Разработчики офисного пакета Apache OpenOffice сообщили о том, что опубликованный месяц назад выпуск офисного пакета Apache OpenOffice 4.1.7 был загружен 1.6 миллиона раз. 71% всех загрузок приходится на сборки для платформы Windows, сборки для Linux загружены только 17 тысяч раз (около 1%). Наибольшее число загрузок произведено из США (13%), а также из Германии, Италии, Франции и Саудовской Аравии. Всего с момента первого выпуска Apache OpenOffice в мае 2012 года было зафиксировано 294 миллиона загрузок. Рубеж в 200 млн загрузок был достигнут в конце ноября 2016 года, а 100 млн — в апреле 2014 года. Несмотря на стагнацию проекта и остановку … Читать далее Apache OpenOffice 4.1.7 за месяц загрузили 1.6 млн раз

25 октября в 15:00 в Москве состоится семинар «Open Source — новая философия бизнеса», посвящённый использованию ПО с открытым кодом в корпоративных системах. Семинар будет проведён при участии управляющего и технического директоров SUSE в России и СНГ. Из практических тем на семинаре будет рассказано о применении пространств имён сетевой подсистемы (network namespaces) для изоляции приложений в Linux. Продолжительность семинара: 2 часа. Участие бесплатное, но требуется предварительная регистрация (тел. (495)967-66-70). Место проведения: Москва, Доброслободская ул., 5. Источник: http://www.opennet.ru/opennews/art.shtml?num=51728 Читать далее 25 октября в Москве состоится семинар «Open Source — новая философия бизнеса»

Состоялся релиз web-браузера Firefox 70, а также мобильной версии Firefox 68.2 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.2.0 (сопровождение прошлой ESR-ветки 60.x прекращено). В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 71, в соответствии с новым циклом разработки релиз которой намечен на 3 декабря. Основные новшества: Вместо кнопки «(i)» в адресной строке размещён индикатор уровня приватности, который позволит судить об активации режимов блокировки отслеживания перемещений. Индикатор становится серым, когда в настройках включён режим блокирования отслеживания перемещений и на странице не зафиксировано элементов подлежащих блокировке. Индикатор становится синим, когда на странице блокированы те или … Читать далее Релиз Firefox 70

Состоялся релиз проекта srsLTE 19.09, развивающего открытый стек для развёртывания компонентов сотовых сетей LTE/4G без наличия спецоборудования, используя только универсальные программируемые приемопередатчики, форма сигнала и модуляция которых задаётся программно (SDR, Software Defined Radio). Код проекта поставляется под лицензией AGPLv3. SrsLTE включает реализацию LTE UE (User Equipment, клиентские компоненты для подключения абонента к сети LTE), базовой станции LTE (eNodeB, E-UTRAN Node B), а также элементов опорной сети LTE (MME — Mobility Management Entity для взаимодействия с базовыми станциями, HSS — Home Subscriber Server для хранения базы абонентов и информации о привязанных к абонентам услугах, SGW — Serving Gateway для обработки и … Читать далее Выпуск открытого 4G-стека srsLTE 19.09

5 и 9 ноября компания «Перкона» (Percona) проведёт в Рязани и Нижнем Новгороде два открытых семинара. Докладчик семинаров — Пётр Зайцев, генеральный директор компании Percona, один из авторов книги High Performance MySQL (в русской версии — «MySQL по максимуму»), бывший руководитель группы оптимизации производительности в компании MySQL AB. Программа мероприятия в обоих городах одинакова: «Что разработчик должен знать о базах данных» «Оптимизация и отладка открытых СУБД с помощью Percona Monitoring and Management 2.0» Время и место проведения: 5 ноября 2019, Рязань. АМАКС Конгресс-отель 4* (Первомайский проспект, 54). Сбор участников: 19:00, начало докладов: 19:30.Регистрация (TimePad). 9 ноября 2019, Нижний Новгород. Родионова, … Читать далее В ноябре Percona проведёт открытые семинары в Рязани и Нижнем Новгороде

Организация GNOME Foundation рассказала о действиях, предпринятых для защиты от судебного иска, выдвинутого компанией Rothschild Patent Imaging LLC, ведущей деятельность патентного тролля. Компания Rothschild Patent Imaging LLC предложила отозвать иск в обмен на покупку лицензии на использование патента в Shotwell. Сумма лицензии выражается пятизначным числом и, несмотря на то, что покупка лицензии была бы самым простым выходом, а судебное разбирательство потребует больших затрат и нервотрёпки, организация GNOME Foundation решила не соглашаться на сделку и бороться до конца. Согласие поставило бы под угрозу другие открытые проекты, которые потенциально могут стать жертвами указанного патентного тролля. До тех пор пока используемый для исков … Читать далее GNOME предпринял меры для противостояния атаке патентного тролля

Компания Paragon Software, поставляющая лицензированные в Microsoft проприетарные драйверы NTFS и exFAT для Linux, опубликовала в списке рассылки разработчиков ядра Linux начальную реализацию нового открытого драйвера exFAT. Код драйвера открыт под лицензией GPLv2 и временно ограничен работой в режиме только для чтения. В разработке находится вариант драйвера, поддерживающий режим записи, но он ещё не готов для публикации. Компания Paragon Software приветствовала действия Microsoft по публикации общедоступных спецификаций и предоставления возможности безвозмездного использования патентов на exFAT в Linux, и в качестве своего вклада подготовила открытый драйвер exFAT для ядра Linux. Отмечается, что драйвер оформлен в соответствии с требованиями по подготовке кода … Читать далее Компания Paragon Software открыла код драйвера с реализацией ФС exFAT

Доступен релиз пакетного менеджера Pacman 5.2, применяемого в дистрибутиве Arch Linux. Из изменений можно выделить: Полностью удалена поддержка delta-обновлений, позволяющих загружать только изменения. Возможность удалена из-за выявления уязвимости (CVE-2019-18183), позволяющей осуществить запуск произвольных команд в системе при использовании неподписанных БД. Для атаки необходимо чтобы пользователь загрузил подготовленные атакующим файлы с БД и delta-обновлением. Поддержка delta-обновлений была отключена по умолчанию и не получила широкого распространения. В будущем планируется полностью переписать реализацию delta-обновлений; В обработчике команды XferCommand устранена уязвимость (CVE-2019-18182), позволяющая при MITM-атаке и неподписанной БД добиться выполнения своих команд в системе; В makepkg добавлена возможность подключения обработчиков для загрузки исходных пакетов … Читать далее Выпуск пакетного менеджера Pacman 5.2

Состоялся релиз проекта MirageOS 3.6, позволяющего формировать операционные системы одного приложения, в которых приложение поставляется как самодостаточный «unikernel», способный выполняться без применения операционных систем, отдельного ядра ОС и каких-либо прослоек. Для разработки приложений применяется язык OCaml. Код проекта распространяется под свободной лицензией ISC. Вся низкоуровневая функциональность, свойственная операционной системе, реализована в форме библиотеки, прикрепляемой к приложению. Приложение может быть разработано в любой ОС, после чего компилируется в специализированное ядро (концепция unikernel), которое может запускаться напрямую поверх гипервизоров Xen, KVM, BHyve и VMM (OpenBSD), поверх мобильных платформ, в форме процесса в POSIX-совместимом окружении или в облачных окружениях Amazon Elastic Compute Cloud … Читать далее Выпуск MirageOS 3.6, платформы для запуска приложений поверх гипервизора