Джош Триплет (Josh Triplett), работающий в компании Intel и входящий в комитет, курирующий развитие Crates.io, в своём выступлении на конференции Open Source Technology Summit представил рабочую группу, нацеленную на доведение языка Rust до паритета с языком Си в области системного программирования. В рабочей группе, которая находится в процессе создания, разработчики Rust совместно с инженерами из компании Intel подготовят спецификации с определением функциональности, которую необходимо реализовать в Rust для системного программирования. Системное программирование часто требует низкоуровневых манипуляций, таких как выполнение привилегированных процессорных инструкций и получение детальных сведений о состоянии процессора. Из уже развиваемых для Rust подобных возможностей отмечается поддержка неименованных структур, … Читать далее Фреймворк для написания защищённых драйверов для ядра Linux на языке Rust

Состоялся релиз авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.1, предназначенного для организации отдачи DNS-зон. По данным разработчиков проекта, PowerDNS Authoritative Server обслуживает примерно 30% из общего числа доменов в Европе (если рассматривать только домены с подписями DNSSEC, то 90%). Код проекта распространяется под лицензией GPLv2. PowerDNS Authoritative Server предоставляет возможность хранения информации о доменах в различных базах данных, включая MySQL, PostgreSQL, SQLite3, Oracle, и Microsoft SQL Server, а также в LDAP и обычных текстовых файлах в формате BIND. Отдача ответа может быть дополнительно отфильтрована (например, для отсеивания спама) или перенаправлена при помощи подключения собственных обработчиков на языках Lua, Java, Perl, … Читать далее Выпуск PowerDNS Authoritative Server 4.2

Организация Linux Foundation представила выпуск специализированного гипервизора ACRN 1.2, рассчитанного на применение во встраиваемой технике и устройствах интернета вещей (IoT). Код гипервизора основан на развиваемом компанией Intel легковесном гипервизоре для встраиваемых устройств и распространяется под лицензией BSD. Гипервизор написан с оглядкой на готовность для выполнения задач реального времени и пригодность к использованию в критически важных системах, при работе на оборудовании с ограниченными ресурсами. Проект пытается занять нишу между гипервизорами, применяемыми в облачных системах и датацентрах, и гипервизорами для промышленных систем с жестким разделением ресурсов. В качестве примера использования ACRN приводятся электронные блоки управления, приборные панели и автомобильные информационные системы, но … Читать далее Выпуск гипервизора для встраиваемых устройств ACRN 1.2, развиваемого в Linux Foundation

Доступен релиз анонимной сети I2P 0.9.42 и C++-клиента i2pd 2.28.0. Напомним, что I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. I2pd представляет собой независимую реализацию клиента I2P на языке C++ и распространяется под модифицированной лицензией BSD. В выпуске I2P 0.9.42 продолжена работа по ускорению реализации транспорта UDP … Читать далее Новые выпуски анонимной сети I2P 0.9.42 и C++-клиента i2pd 2.28

Спустя две недели с момента обнаружения прошлой критической проблемы в Ghostscript выявлены ещё 4 похожие уязвимости (CVE-2019-14811 — CVE-2019-14814), которые позволяют через создание ссылки на «.forceput» обойти режим изоляции «-dSAFER». При обработке специально оформленных документов атакующий может получить доступ к содержимому ФС и добиться выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патчей (1, 2). За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian, Fedora, Ubuntu, SUSE/openSUSE, RHEL, Arch, FreeBSD. Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для … Читать далее Очередные 4 уязвимости в Ghostscript

Консорциум ISC опубликовал релиз DHCP-сервера Kea 1.6.0, идущего на смену классическому ISC DHCP. Исходные тексты проекта распространяются под лицензией Mozilla Public License (MPL) 2.0, вместо ранее применяемой для ISC DHCP лицензии ISC License. DHCP-сервер Kea основан на технологиях BIND 10 и построен с использованием модульной архитектуры, подразумевающей разбиение функциональности на разные процессы-обработчики. Продукт включает в себя полнофункциональную реализацию сервера с поддержкой протоколов DHCPv4 и DHCPv6, способную заменить собой ISC DHCP. В Kea встроены средства динамического обновления DNS-зон (Dynamic DNS), поддерживаются механизмы обнаружения серверов, назначения адресов, обновления и переподключения, обслуживания информационных запросов, резервирования адресов для хостов и PXE-загрузки. В реализации DHCPv6 … Читать далее Опубликован DHCP-сервер Kea 1.6, развиваемый консорциумом ISC

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 4.15. С момента выпуска версии 4.14 было закрыто 28 отчётов об ошибках и внесено 244 изменения. Наиболее важные изменения: Добавлена начальная реализация сервиса HTTP (WinHTTP) и связанного с ним API для клиентских и серверных приложений, отравляющих и принимающих запросы при помощи протокола HTTP. Поддерживаются такие вызовы, как HttpReceiveHttpRequest(), HttpSendHttpResponse(), HttpRemoveUrl(), HttpCreateHttpHandle(), HttpCreateServerSession(), HttpCreateRequestQueue(), HttpAddUrl() и т.п. Также подготовлен драйвер Http.sys, осуществляющий обработку входящих HTTP-запросов. Для архитектуры ARM64 в ntdll добавлена поддержка раскрутки стека (stack unwinding). Добавлена поддержка подключения внешних библиотек libunwind; В kernelbase реализован вызов SetThreadStackGuarantee(), который использован в ntdll для … Читать далее Выпуск Wine 4.15

В корректирующих выпусках POP3/IMAP4-сервера Dovecot 2.3.7.2 и 2.2.36.4, а также в дополнении Pigeonhole 0.5.7.2 устранена критическая уязвимость (CVE-2019-11500), которая позволят добиться записи данных за пределы выделенного буфера через отправку специально оформленного запроса по протоколам IMAP или ManageSieve. Проблема может быть эксплуатирована на стадии до прохождения аутентификации. Рабочий эксплоит пока не подготовлен, но разработчики Dovecot не исключают возможноть использования уязвимости для организации атак по удалённому выполнению кода в системе или организации утечки конфиденциальных данных. Всем пользователям рекомендуется срочно установить обновления (Debian, Fedora, Arch Linux, Ubuntu, SUSE, RHEL, FreeBSD). Уязвимость присутствует в парсерах протоколов IMAP и ManageSieve и вызвана некорректной обработкой символов … Читать далее Критическая уязвимость в IMAP-сервере Dovecot

Крис Бирд (Chris Beard) объявил об уходе с поста руководителя (CEO) компании Mozilla Corporation, который он занимал с 2014 года с момента ухода Брендана Айка. До этого Крис с 2004 года руководил продвижением Firefox, курировал маркетинг в Mozilla, представлял проект на выставках и возглавлял сообщество Mozilla Labs. В качестве причин ухода упоминается желание сделать шаг назад и начать новую главу в своей жизни, в которой он сможет больше времени уделять семье, а не зацикливаться только на работе. Крис продолжит руководство до вступления в должность нового CEO и останется в совете директоров в роли консультанта. Для поиска нового руководителя совет директоров … Читать далее Крис Бирд покинул пост руководителя Mozilla Corporation

Разработчики языка Perl обсуждают возможность развития языка Perl 6 под другим именем. Изначально Perl 6 предлагалось переименовать в «Camelia», но затем внимание сместилось на предложенное Ларри Уоллом имя «Raku», которое короче, ассоциируется с существующим perl6-компилятором «Rakudo» и не пересекается с другими проектами в поисковых системах. Имя Camelia предложено так как это существующие название талисмана и логотипа Perl 6, торговая марка на который принадлежит Ларри Уоллу. Среди причин необходимости переименования называется возникновение ситуации, в которой сформировались два разных языка под одним именем, имеющих свои сообщества разработчиков. Perl 6 не стал следующей значительной веткой Perl, как ожидалось, и может рассматриваться как созданный … Читать далее Разработчики Perl рассматривают возможность смены имени для языка Perl 6

Компания NVIDIA представила первый выпуск новой стабильной ветки проприетарного драйвера NVIDIA 435.21. Драйвер доступен для Linux (ARM, x86_64), FreeBSD (x86_64) и Solaris (x86_64). Среди изменений: Добавлена поддержка технологии PRIME для выноса операций рендеринга в Vulkan и OpenGL+GLX на другие GPU (PRIME Render Offload). В nvidia-settings для GPU на базе микроархитектуры Turing добавлена возможность изменения уровня «цифровой вибрации» (Digital Vibrance), меняющим цветопередачу для повышения контраста изображения в играх. Добавлена экспериментальная поддержка механизма управления питанием D3 (RTD3) для применяемых в ноутбуках GPU на базе микроархитектуры Turing. Из поставки удалены варианты библиотек OpenGL, работающих не через GLVND (GL Vendor Neutral Dispatch Library, программный … Читать далее Выпуск проприетарного драйвера NVIDIA 435.21

Компания Google объявила о расширении программы выплаты вознаграждений за поиск уязвимостей в приложениях из каталога Google Play. Если раньше программа охватывала только наиболее значительные специально отобранные приложения Google и партнёров, то отныне премии начнут выплачивать за обнаружение проблем с безопасностью в любых приложениях для платформы Android, которые были загружены из каталога Google Play более 100 млн раз. Размер премии за выявления уязвимости, которая может привести к удалённому выполнению кода, увеличена с 5 до 20 тысяч долларов, а за уязвимости, позволяющие получить доступ к данным или приватным компонентам приложения, — с 1 до 3 тысяч долларов. Информация о найденных уязвимостях будет … Читать далее Google будет выплачивать премии за выявление уязвимостей в популярных Android-приложениях

Представлен релиз web-браузера Pale Moon 28.7, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 28.7.0

Опубликован первый выпуск командной оболочки nushell, сочетающей возможности Power Shell и классических unix shell. Код написан на языке Rust и распространяется под лицензией MIT. Проект изначально развивается как кросс-платформенный и поддерживает работу в Windows, macOS и Linux. Для расширения функциональности могут использоваться плагины, взаимодействие с которыми осуществляется по протоколу JSON-RPC. В оболочке применяется привычная для пользователей Unix система конвейеров в формате «команда|фильтры|обработчик вывода». По умолчанию вывод оформляется при помощи команды autoview, использующей табличный формат, но возможно и применения команд для отображения бинарных данных и информации в древовидном представлении. Сильной стороной nushell является возможность манипуляции структурированными данными. Оболочка позволяет структурировать вывод … Читать далее Представлена новая командная оболочка nushell

Исследователи из Лаборатории Касперского выявили наличие вредоносного кода в CamScanner, популярном Android-приложении для сканирования документов при помощи телефона. Приложение было загружено из Google Play более 100 миллионов раз. В одном из очередных обновлений в состав программы был добавлен вредоносный компонент Trojan-Dropper.AndroidOS.Necro.n, осуществляющий загрузку и выполнение произвольного кода со внешних серверов. В случае CamScanner вредоносная вставка загружала модуль для скрытой подстановки навязчивой рекламы на устройствах и активации платных подписок без ведома пользователя. Потенциально мог быть загружен и любой другой вредоносный модуль, например, для организации слежки через встроенную камеру. Программа запрашивает такие полномочия, как доступ к накопителю (чтение и модификация), камере, сети, … Читать далее Вредоносный код в Android-приложении CamScanner, загруженном более 100 млн. раз

Разработчики из компании NVIDIA представили libvdpau 1.3, новую версию открытой библиотеки с поддержкой API VDPAU (Video Decode and Presentation) для Unix. Библиотека VDPAU позволяет задействовать механизмы аппаратного ускорения для обработки видео в форматах h264, h265 и VC1. Сначала поддерживались только GPU от NVIDIA, но впоследствии появилась поддержка открытых драйверов Radeon и Nouveau. VDPAU позволяет GPU взять на себя такие задачи, как пост-обработка, слияние (compositing), отображение и декодирование видео. Дополнительно развивается библиотека libvdpau-va-gl с реализацией VDPAU API на базе OpenGL и технологии аппаратного ускорения Intel VA-API. Код libvdpau распространяется под лицензией MIT. Кроме исправления ошибок в libvdpau 1.3 реализована поддержка ускорения … Читать далее Компания NVIDIA выпустила библиотеку libvdpau 1.3

В драйвере для беспроводных устройств на чипах Marvell выявлены три уязвимости (CVE-2019-14814, CVE-2019-14815, CVE-2019-14816), которые могут привести к записи данных за пределы выделенного буфера при обработке специально оформленных пакетов, отправленных через интерфейс Netlink. Проблемы могут быть эксплуатированы локальным пользователем для вызова краха ядра на системах, использующих беспроводные карты Marvell. Не исключается также возможность эксплуатации уязвимостей для повышения своих привилегий в системе. Проблемы пока остаются неисправленными в дистрибутивах (Debian, Ubuntu, Fedora, RHEL, SUSE). Для включения в состав ядра Linux предложен патч. Источник: http://www.opennet.ru/opennews/art.shtml?num=51381 Читать далее Три уязвимости в wifi-драйвере marvell, входящем в состав ядра Linux

Проект GNU опубликовал релиз текстового редактора GNU Emacs 26.3. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта Джону Вигли (John Wiegley) осенью 2015 года. Из изменений в новом выпуске отмечается включение нового GPG-ключа для верификации пакетов из каталога GNU ELPA. Также предложена новая опция ‘help-enable-completion-auto-load’ для отключения представленной в выпуске Emacs 26.1 функции, осуществляющей загрузку файлов во время дополнения ввода через комбинации ‘C-h f’ и ‘C-h v’. Источник: http://www.opennet.ru/opennews/art.shtml?num=51379 Читать далее Выпуск текстового редактора GNU Emacs 26.3

Сторми Питерс (Stormy Peters) заняла пост директора подразделения открытых программ Microsoft (Open Source Programs Office). До этого Сторми возглавляла команду по взаимодействию с сообществом в компаниии Red Hat, а ещё раньше занимала пост директора по взаимодействию с разработчиками в Mozilla, была вице-президентом Cloud Foundry Foundation и возглавляла фонд GNOME Foundation. Сторми также известна как создатель подразделения по развитию открытых проектов в компании HP и основатель фонда Kids on Computers, занимающегося созданием компьютерных классов в школах развивающихся стран. Источник: http://www.opennet.ru/opennews/art.shtml?num=51378 Читать далее Сторми Питерс возглавила подразделение открытых программ Microsoft

Представлен значительный выпуск системы управления проектом Trac 1.4, предоставляющей web-интерфейс для работы с репозиториями Subversion и ​Git, встроенный Wiki, систему отслеживания ошибок и раздел планирования функциональности для новых версий. Код написан на языке Python и распространяется под лицензией BSD. Для хранения данных могут применяться СУБД ​SQLite, ​PostgreSQL и ​MySQL/MariaDB. Trac придерживается минималистичного подхода к управлению проектом и позволяет автоматизировать типовые рутинные операции с минимальным влиянием на уже сложившиеся в среде разработчиков процессы и правила. Встроенный wiki-движок даёт возможность использовать wiki-разметку в описаниях проблем, целей и коммитов. Поддерживается создания ссылок и организация связей между сообщениями об ошибках, задачами, изменениями в коде, … Читать далее Выпуск системы управления проектом Trac 1.4

Состоялся релиз многотрековой системы нелинейного видеомонтажа Flowblade 2.2, позволяющей компоновать фильмы и видеоролики из набора отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, их обработки при помощи фильтров и многоуровневой компоновки изображений для встраивания в видео. Имеется возможность произвольного определения порядка применения инструментов и корректировки поведения шкалы времени. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Сборки подготовлены в формате deb. Для организации редактирования видео применяется фреймворк MLT. Для обработки различных форматов видео, звука и изображений применяется библиотека FFmpeg. Интерфейс построен с использованием PyGTK. Для математических вычислений задействована … Читать далее Выпуск видеоредактора Flowblade 2.2