Организация The Document Foundation представила релиз офисного пакета LibreOffice 6.4. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. При подготовке выпуска 75% изменений внесены сотрудниками курирующих проект компаний, таких как Collabora, Red Hat и CIB, а 25% изменений добавлены независимыми энтузиастами. Ключевые новшества: Для документов, показываемых на стартовой странице, обеспечено отображение пиктограмм с индикаторами приложений, позволяющих сразу оценить тип документа (презентация, электронная таблица, текстовый документ и т.п.); В интерфейс встроен генератор QR-кодов, позволяющий вставить в документ QR-код с указанной пользователем ссылкой или произвольным текстом, который затем можно быстро … Читать далее Выпуск офисного пакета LibreOffice 6.4

Разработчики проекта Heptapod, развивающего форк открытой платформы совместной разработки GitLab Community Edition, адаптированный для использования системы управления исходными текстами Mercurial, объявили о введении в строй публичного хостинга для Open Source проектов (foss.heptapod.net), использующих Mercurial. Код Heptapod, как и GitLab, распространяется под свободной лицензией MIT и может применяться для развёртывания аналогичных хостингов кода на своих серверах. Запущенный сервис допускает бесплатное размещение любых свободных и открытых проектов, применяющих лицензии, одобренные в OSI. При этом имеется одно условие — требуется размещение логотипов спонсоров Heptapod (Clever Cloud и Octobus) на официальной web-странице проекта (например, на странице с инструкцией для разработчиков). В связи с прекращением … Читать далее Анонсирован публичный хостинг Heptapod для открытых проектов, использующих Mercurial

Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в своих продуктах, Android-приложениях и различном открытом ПО. Общая сумма выплаченных в 2016 году вознаграждений составила 6.5 млн долларов, из которых $2.1 млн выплачено за уязвимости в сервисах Google, $1.9 млн — в Android, $1 млн — в Chrome и $800 тысяч — в приложениях Google Play (остальные средства были выделены на пожертвования). Для сравнения в 2018 году в сумме было выплачено 3.4 млн долларов, а в 2015 — 2 млн долларов. За 9 лет суммарный размер выплат составил 21 млн долларов. Вознаграждения получили 461 исследователей. Самую большую выплату в … Читать далее В 2019 году Google выплатил 6.5 млн долларов вознаграждений за выявление уязвимостей

В развиваемом проектом OpenBSD почтовом сервере OpenSMTPD выявлена критическая уязвимость (CVE-2020-7247), позволяющая удалённо выполнить shell-команды на сервере с правами пользователя root. Уязвимость выявлена в ходе повторного аудита, проведённого компанией Qualys Security (прошлый аудит OpenSMTPD проводился в 2015 году, а новая уязвимость присутствует с мая 2018 года). Проблема устранена в выпуске OpenSMTPD 6.6.2. Всем пользователям рекомендуется срочно установить обновление (для OpenBSD исправление можно установить через syspatch). Предложено два варианта атаки. Первый вариант работает в конфигурации OpenSMTPD по умолчанию (приём запросов только с localhost) и позволяет эксплуатировать проблему локально, когда атакующий имеет возможность обратиться к локальному сетевому интерфейсу (loopback) на сервере (например, … Читать далее Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с правами root

Компания Google представила новый сервис Android Flash Tool (flash.android.com), позволяющий использовать браузер для установки прошивок на подключённые к компьютеру Android-смартфоны. Сборки формируются на основе свежих срезов master-ветки AOSP (Android Open Source Project), прошедшей проверку в системе непрерывной интеграции, и могут быть интересны разработчикам, желающим протестировать свежие изменения в коде Android или проверить работу своих приложений. Для работы Android Flash Tool требуется браузер с поддержкой API WebUSB, например, Chrome 79. Поддерживается установка прошивок на устройства Pixel и платы HiKey. Источник: http://www.opennet.ru/opennews/art.shtml?num=52266 Читать далее Google опубликовал браузерное приложение для установки Android-прошивок

Разработчики почтового клиента Thunderbird объявили о переводе разработки проекта в отдельную компанию MZLA Technologies Corporation, которая является дочерним предприятием Mozilla Foundation. До сих пор Thunderbird находился под покровительством организации Mozilla Foundation, которая курировала финансовые и юридические вопросы, но инфраструктура и разработка Thunderbird были отделены от Mozilla и проект развивался обособленно. Перевод в отдельное подразделение обусловлен желанием более явно отделить процессы, связанные с разработкой, и обработку поступающих пожертвований. Отмечается, что увеличившийся в последние годы объём пожертвований от пользователей Thunderbird теперь позволяет проекту самостоятельно успешно развиваться. Перенос в отдельную компанию увеличит гибкость процессов, например, даст возможность самостоятельно нанимать персонал, более оперативно действовать … Читать далее Разработка Thunderbird переведена в MZLA Technologies Corporation

Разработчики криптовалюты Bitcoin Gold (не путать с Bitcoin), занимающей 24 место в рейтинге криптовалют и имеющей размер капитализации 208 млн долларов, сообщили о выявлении двух атак по двойной трате средств (double spend attack). Для осуществления двойной траты средств атакующему потребовалось получить доступ к вычислительной мощности, составляющей как минимум 51% от всей имеющейся в сети Bitcoin Gold мощности расчёта хэшей. Атаки на Bitcoin Gold были совершены 23 и 24 января и привели к успешному вторичному начислению 1900 и 5267 BTG на бирже, что по сегодняшнему курсу составляет примерно 85430 долларов. Удалось ли атакующим извлечь данные средства из биржи неизвестно (предполагается, что … Читать далее Зафиксированы две атаки по двойной трате средств в криптовалюте Bitcoin Gold

Опубликована утилита TrafficToll 1.0.0, позиционируемая как Linux-аналог проприетарной программы NetLimiter для Windows. Программа упрощает установку ограничения пропускной способности в разрезе отдельных локальных приложений, а также уже запущенных процессов. Например, можно урезать пропускную способность для программы загрузки файлов и увеличить для видеочата. Настройки определяются в простом текстовом файле конфигурации. Код написан на языке Python и распространяется под лицензией GPLv3. Источник: http://www.opennet.ru/opennews/art.shtml?num=52262 Читать далее Представлена утилита TrafficToll 1.0.0 для выборочного ограничения трафика приложений

Состоялся выпуск открытого видеоплеера MPV 0.32, несколько лет назад ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного бэкпортирования новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения остающегося GPL-кода можно использовать опцию «—enable-lgpl». В новой версии: Добавлена поддержка воспроизведения из архивов RAR5; В модуле вывода cocoa-cb (macOS) добавлена поддержка отрисовки на отдельном GPU и использования жеста «щипок» для изменения размера окна; В модуле w32_common (Windows) в экранном интерфейсе … Читать далее Релиз видеоплеера MPV 0.32

Компания Intel раскрыла сведения о двух новых уязвимостях в CPU Intel, вызванных утечкой данных из кэша L1D (CVE-2020-0549, L1DES — L1D Eviction Sampling) и векторных регистров (CVE-2020-0548, VRS — Vector Register Sampling). Уязвимости относятся к классу MDS (Microarchitectural Data Sampling) и основываются на применении методов анализа по сторонним каналам к данным в микроархитектурных структурах. AMD, ARM и другие процессоры проблемам не подвержены. Наибольшую опасность представляет уязвимость L1DES, которая допускает утечку блоков прокэшированных данных (cache line), вытесняемых из кэша первого уровня (L1D), в неиспользованный буфер заполнения (L1D Fill Buffer). Для определения осевших в буфере заполнения данных применимы методы анализа по сторонним … Читать далее L1DES (CacheOut) и VRS — новые уязвимости в микроархитектурных структурах CPU Intel

Компания Qt Company объявила об изменении модели лицензирования фреймворка Qt, которое может оказать существенное влияние на сообщества и дистрибутивы, использующие Qt. Начиная с версии 5.15 LTS-ветки Qt будут доступны только пользователям коммерческой лицензии. Выпуски Qt под свободной лицензией будут поддерживаться в рамках стандартного годичного цикла поддержки (обновления для LTS-веток выпускаются три года). Предполагается, что подобный шаг позволит увеличить число компаний, пользующихся коммерческой лицензии на Qt, стоимость которой составляет $5508 в год на одного разработчика (для стартапов и малых предприятий — $499 в год). Разработчики дистрибутивов, имеющих длительные сроки поддержки (RHEL, Debian, Ubuntu, Linux Mint, SUSE) будут вынуждены либо поставлять устаревшие … Читать далее LTS-версии Qt будут доступны только под коммерческой лицензией

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.5. Среди наиболее заметных изменений: возможность назначения сетевым интерфейсам альтернативных имён, интеграция криптографических функций из библиотеки Zinc, возможность зеркалирования на более чем 2 диска в Btrfs RAID1, механизм отслеживания состояния Live-патчей, фреймворк unit-тестирования kunit, повышена производительность беспроводного стека mac80211, возможность доступа к корневому разделу через протокол SMB, реализована верификация типов для BPF. Основные новшества: Дисковая подсистема, ввод/вывод и файловые системы Для файловой системы Btrfs добавлена поддержка алгоритмов расчёта контрольных сумм xxhash64, blake2b и sha256. В реализация RAID1 обеспечена возможность зеркалирования данных на три (raid1c3) или четыре (raid1c4) устройства (ранее зеркалирование … Читать далее Релиз ядра Linux 5.5

В связи с прекращением 14 января поддержки Windows 7, Фонд свободного ПО адресовал компании Microsoft петицию с призывом перевести Windows 7 в категорию свободного программного обеспечения, чтобы дать возможность сообществу изучать и улучшать данную ОС. Отмечается, что Microsoft уже переводила некоторые свои программы в категорию СПО, а также, что раз поддержка уже завершена, то и терять Microsoft нечего. По мнению Фонда СПО, окончание поддержки Windows 7 предоставляет прекрасную возможность для Microsoft опубликовать исходный код, «замолив» тем самым грехи Windows 7, в числе которых упоминаются препятствование обучению, нарушение приватности и безопасности пользователей. Целью кампании является сбор по меньшей мере 7777 подписей … Читать далее Фонд СПО опубликовал петицию с призывом опубликовать код Windows 7

За последние две недели компания Mozilla удалила из каталога addons.mozilla.org (AMO) 197 дополнений, выполняющих код, загружаемый со сторонних сайтов, передающих конфиденциальные данные на внешние серверы, совершающих вредоносные действия или применяющих методы запутывания исходного кода. 129 удалённых дополнений распространялось компанией 2Ring, специализирующейся на B2B-решениях. Указанные дополнения удалены за загрузку и исполнение кода со внешнего сервера (правила каталога AMO запрещают динамическую загрузку исполняемых частей). По той же причине удалены шесть дополнений от Tamo Junto Caixa и три дополнения c подделками известных продуктов. В связи с передачей пользовательских данных удалены дополнения Rolimons Plus, RoliTrade, Pdfviewer, WeatherPool, Your Social и ещё одно дополнение без … Читать далее За последние две недели компания Mozilla заблокировала 197 дополнений к Firefox

Увидел свет релиз Linux-дистрибутива Solus 4.1, не основанного на пакетах других дистрибутивов и развивающего собственный рабочий стол Budgie, установщик, пакетный менеджер и конфигуратор. Код наработок проекта распространяется под лицензией GPLv2, для разработки используются языки Си и Vala. Дополнительно предоставляются сборки с рабочими столами GNOME, KDE Plasma и MATE. Размер iso-образов 1.7 Гб (x86_64). Дистрибутив придерживается гибридной модели разработки, в соответствии с которой периодически выпускаются значительные выпуски, в которых предлагаются новые технологии и значительные улучшения, а в промежутке между значительными выпусками дистрибутив развивается с применением rolling-модели обновления пакетов. Для управления пакетами задействован пакетный менеджер eopkg (форк PiSi из Pardus Linux), предоставляющий … Читать далее Выпуск дистрибутива Solus 4.1, развивающего рабочий стол Budgie

Опубликован стабильный релиз композитного сервера Weston 8.0, развивающего технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и других пользовательских окружениях. Разработка Weston нацелена на предоставление высококачественной кодовой базы и рабочих примеров для использования Wayland в десктоп-окружениях и встраиваемых решениях, таких как платформы для автомобильных информационно-развлекательных систем, смартфонов, телевизоров и прочих потребительских устройств. Выпуск протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.18 намечен на 11 февраля. Смена значительного номера версии Weston обусловлена изменениями ABI, нарушающими совместимость. Изменения в новой ветке Weston: Повышена эффективность задействования в DRM (Direct Rendering Manager) аппаратных механизмов манипуляции с регионами памяти, используемыми для хранения … Читать далее Выпуск композитного сервера Weston 8.0

Сформирован выпуск прослойки DXVK 1.5.2, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Добавлены некоторые отсутствующие в реализации Direct3D 9 операции с цепочками переключений виртуальных фреймбуферов (SwapChain), что решило проблемы с запуском таких приложений, как ATi ToyShop … Читать далее Выпуск проекта DXVK 1.5.2 с реализацией Direct3D 9/10/11 поверх API Vulkan

Исследователи из Мэрилендского университета в рамках проекта Geneva предприняли попытку создания движка для автоматизации определения методов, применяемых для цензурирования доступа к контенту. Вручную пытаться перебрать возможные бреши систем глубокого инспектирования пакетов (DPI) достаточно трудный и долгий процесс, в Geneva попытались использовать генетический алгоритм для оценки особенностей DPI, определения ошибок в реализации и выработки оптимальной стратегии обхода блокировки на стороне клиента. Код проекта написан на языке Python. Применяемое для блокировки DPI-оборудование имеет свои недоработки, позволяющие скрыть обращение к запрещённому ресурсу или избежать блокировки. Например, в простейшем случае при организации блокировки через подстановку фиктивного ответа достаточно на стороне клиента отбросить фиктивный ответ, … Читать далее Проект Geneva развивает движок для автоматизации обхода цензурирования трафика

Компания CyberMDX обнародовала сведения о шести уязвимостях, затрагивающих различные медицинские устройства компании GE Healthcare, предназначенные для слежения за состоянием пациентов. Пяти уязвимостям присвоен максимальный уровень опасности (CVSSv3 10 из 10). Уязвимости получили кодовое имя MDhex и в основном связаны с применением заранее известных предустановленных учётных данных, применяемых на всей серии устройств. CVE-2020-6961 — поставка на устройствах общего для всей линейки продуктов SSH-ключа, позволяющего подключиться к любому устройству и выполнить код на нём. Данный ключ также используется в процессе доставки обновлений. CVE-2020-6962 — общие для всех устройств предопределённые учётные данные для доступа на запись и чтение к файловой системе по протоколу … Читать далее Критические уязвимости в медицинских приборах для мониторинга состояния пациентов

Для свободной системе управления контентом Plone, написанной на языке Python с использованием сервера приложений Zope, опубликованы патчи с устранением 7 уязвимостей (CVE-идентификаторы пока не присвоены). Проблемы затрагивают все актуальные выпуски Plone, включая сформированный несколько дней назад выпуск 5.2.1. Проблемы планируется устранить в будущих выпусках Plone 4.3.20, 5.1.7 и 5.2.2, до публикации которых предлагается использовать hotfix. Уязвимости (детали пока не раскрываются): Повышение привилегий через манипуляцию с Rest API (проявляется только при включении plone.restapi); Подстановка SQL-кода из-за недостаточного экранирования SQL-конструкций в DTML и объектах для соединения с СУБД (проблема специфична для Zope и проявляется в других приложениях на его основе); Возможность перезаписи … Читать далее 7 уязвимостей в системе управления контентом Plone

Представлен выпуск инструментария GNU Mes 0.22, обеспечивающего процесс бутстрэппинга (bootstrap) для GCC и позволяющего добиться замкнутого цикла пересборки из исходных текстов. Инструментарий решает задачу верифицированной начальной сборки компилятора в дистрибутивах, разрывая цепочку цикличной пересборки (для сборки компилятора требуются исполняемые файлы уже собранного компилятора, а бинарные сборки компилятора являются потенциальным источником скрытых закладок, что не позволяет полностью гарантировать целостность сборок из эталонных исходных текстов). В GNU Mes предлагается самодостаточный (self-hosting) интерпретатор для языка Scheme, написанный на языке Си, и простейший компилятор для языка Си (MesCC), написанный на языке Scheme. Оба компонента взаимособираемы. Scheme-интерпретатор даёт возможность собрать Си-компилятор MesCC, который затем позволяет … Читать далее Выпуск GNU Mes 0.22, инструментария для самодостаточной сборки дистрибутивов