Состоялся выпуск сервера приложений NGINX Unit 1.10, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии: Добавлена начальная поддержка встроенного сервера WebSocket, который пока доступен только для Node.js и скоро появится для Java. Для обработки соединений WebSocket в … Читать далее Выпуск сервера приложений NGINX Unit 1.10.0

Компания Google выступила с инициативой Privacy Sandbox, в рамках которой предложила для реализации в браузерах несколько API, позволяющих достичь компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Практика показывает, что конфронтация лишь усугубляет ситуацию. Например, внедрение блокировки используемых для отслеживания Cookie привело к более интенсивному использованию альтернативных техник, таких как методы косвенной идентификации (browser fingerprinting), пытающихся выделить пользователя из общей массы, полагаясь на применяемые им специфичные настройки (установленные шрифты, MIME-типы, режимы шифрования и т.п.) и особенности оборудования (экранное разрешение, специфичные артефакты при отрисовке и т.п.). Google предлагает предоставить штатный Floc API, который даст … Читать далее Компания Google представила инициативу Privacy Sandbox

Проект Qt представил редакцию фреймворка для микроконтроллеров и маломощных устройств — Qt for MCUs. Из достоинств проекта отмечается возможность создания графических приложений для микроконтроллеров, используя привычный API и инструменты разработчика, применяемые также для создания полноценных GUI для настольных систем. Интерфейс для микроконтроллеров создаётся с использованием не только C++ API, но и применяя QML c виджетами Qt Quick Controls, переработанными для небольших экранов, обычно применяемых в бытовой электронике, носимых устройствах, промышленном оборудовании и системах умного дома. Для достижения высокой производительности сценарии QML транслируются в код на C++, а отрисовка осуществляется при помощи отельного графического движка, оптимизированного для создания графических интерфейсов в … Читать далее Представлены варианты Qt5 для микроконтроллеров и OS/2

Опубликовано обновление операционной системы Solaris 11.4 SRU 12, в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: Набор компиляторов GCC обновлён до версии 9.1; В состав включена новая ветка Python 3.7 (3.7.3). Ранее поставлялся Python 3.5. Добавлены новые Python-модули atomicwrites, attrs, hypothesis, pathlib2, pluggy и scandir; Обновлена база идентификаторов PCI- и USB-устройств; Добавлены новые библиотеки XMLSec (реализация шифрования и цифровых подписей для LibXML2) и Lasso (реализация стандарта Free Liberty Alliance на базе XMLSec); Для http-сервера apache добавлен модуль mod_auth_mellon для аутентификации на базе … Читать далее Выпуск Solaris 11.4 SRU12

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-10 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04. Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на Ubuntu 15.04, а начиная с OTA-4 осуществлён переход на Ubuntu 16.04). Как … Читать далее Десятое обновление прошивки UBports, пришедшей на смену Ubuntu Touch

Определено время и место выступления Ричарда Столлмана в Москве. 27 августа с 18-00 до 20-00 каждый желающий сможет абсолютно бесплатно посетить выступление Столлмана, которое состоится по адресу ул. Большая Семеновская, 38. Аудитория А202 (Факультет информационных технологий Московского политехнического университета). Посещение бесплатное, но требуется предварительная регистрация. Тема доклада — «Авторское право и общество — противостояние в век компьютерных сетей«. Источник: http://www.opennet.ru/opennews/art.shtml?num=51328 Читать далее 27 августа в Московском Политехе выступит Ричард Столлман

Представлен выпуск Девятой платформы (p9) — новой стабильной ветки репозиториев ALT, основанных на репозитории свободных программ Сизиф (Sisyphus). Платформа предназначена для разработки, тестирования, распространения, обновления и поддержки комплексных решений широкого спектра — от встроенных устройств до серверов предприятий и датацентров; создана и развивается командой ALT Linux Team, поддерживается компанией «Базальт СПО». ALT p9 содержит репозитории пакетов и инфраструктуру для работы с восемью архитектурами: четырьмя основными (синхронная сборка, открытые репозитории): x86_64, i586, aarch64 (ARMv8), ppc64le (Power8/9); двумя дополнительными (догоняющая сборка, открытые репозитории): mipsel (32-битный MIPS), armh (ARMv7); двумя закрытыми (отдельная сборка, образы и репозитории доступны владельцам оборудования по запросу): e2k (Эльбрус-4С), … Читать далее Девятая платформа ALT

Андрей Коновалов из компании Google обнаружил 15 уязвимостей в USB-драйверах, предлагаемых в ядре Linux. Это вторая порция проблем, найденных при проведении fuzzing-тестирования — в 2017 году данный исследователь нашёл в USB-стеке ещё 14 уязвимостей. Проблемы потенциально могут быть эксплуатируемы при подключении к компьютеру специально подготовленных USB-устройств. Атака возможна при наличии физического доступа к оборудованию и может привести как минимум к краху ядра, но не исключаются и другие проявления (например, для выявленной в 2016 году похожей уязвимости в USB-драйвере snd-usbmidi удалось подготовить эксплоит для выполнения кода на уровне ядра). Из 15 проблем 13 уже устранены в актуальных обновлениях ядра Linux, но … Читать далее В USB-драйверах из состава ядра Linux выявлено 15 уязвимостей

Во FreeBSD устранена уязвимость (CVE-2019-5611), позволяющая вызвать крах ядра (packet-of-death) через отправку специально фрагментированных пакетов ICMPv6 MLD (Multicast Listener Discovery). Проблема вызвана отсутствием необходимой проверки в вызове m_pulldown(), что может привести к возврату не непрерывных цепочек mbufs, вопреки ожидания вызывающей стороны. Уязвимость устранена в обновлениях 12.0-RELEASE-p10, 11.3-RELEASE-p3 и 11.2-RELEASE-p14. В качестве обходного пути защиты можно отключить поддержку фрагментации для IPv6 или фильтровать на межсетевом экране опции в заголовке HBH (Hop-by-Hop). Интересно, что приводящая к уязвимости ошибка была выявлена ещё в 2006 году и устранена в OpenBSD, NetBSD и macOS, но осталась неисправленной во FreeBSD, несмотря не то, что разработчики FreeBSD … Читать далее Удалённая DoS-уязвимость в IPv6-стеке FreeBSD

Google, Mozilla и Apple объявили о помещении внедряемого в Казахстане «национального сертификата безопасности» в списки отозванных сертификатов. Использование данного корневого сертификата отныне будет приводить к выводу предупреждения о нарушении безопасности в Firefox, Chrome/Chromium и Safari, а также в основанных на их коде производных продуктах. Напомним, что в июле в Казахстане была предпринята попытка установки государственного контроля за защищённым трафиком к зарубежным сайтам по предлогом защиты пользователей. Абонентам ряда крупных провайдеров было предписано установить на свои компьютеры специальный корневой сертификат, который позволил бы на уровне провайдеров незаметно перехватывать шифрованный трафик и вклиниваться в HTTPS-соединения. В то же время были зафиксированы попытки … Читать далее В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане «национальный сертификат»

Компания IBM объявила о переводе архитектуры набора команд (ISA) Power в разряд открытых. В 2013 году компания IBM уже учредила консорциум OpenPOWER, в рамках которого предоставила возможность лицензирования связанной с POWER интеллектуальной собственности и предоставила полный доступ к спецификациям. При этом за получение лицензии на производство чипов продолжали собираться отчисления. Отныне, создание собственных модификаций чипов на базе архитектура набора команд Power станет общедоступным и не требующим отчислений. В том числе предоставляется право безвозмездно использовать все связанные с Power патенты IBM, а управление проектом передаётся сообществу, которое теперь будет вовлечено в процессы принятия решений. Курирующая разработку организация OpenPOWER Foundation будет переведена … Читать далее IBM объявил об открытии архитектуры процессоров Power

Представлен первый выпуск проекта notqmail, в рамках которого началось развитие форка почтового сервера qmail. Qmail был создан Дэниелом Бернштейном (Daniel J. Bernstein) в 1995 году в целью предоставления более безопасной и быстрой замены sendmail. Последний выпуск qmail 1.03 был опубликован в 1998 году и с тех пор официальная поставка не обновлялась, но сервер остаётся примером качественного и безопасного ПО, поэтому продолжает применяться до сих пор и оброс многочисленными патчами и надстройками. В своё время на базе qmail 1.03 и накопившихся патчей был сформирован дистрибутив netqmail, но сейчас он находится в заброшенном виде и не обновлялся с 2007 года. Амитай Шлеер … Читать далее Представлен notqmail, форк почтового сервера qmail

Опубликован первый значительный выпуск инструментария out-of-tree 1.0, позволяющего автоматизировать сборку и тестирование модулей ядра или проверку работоспособности эксплоитов с различными версиями ядра Linux. Out-of-tree формирует виртуальное окружение (используется QEMU и Docker) с произвольной версией ядра и выполняет указанные действия по сборке, тестированию и запуску модулей или эксплоитов. Сценарий проверки может охватывать сразу несколько выпусков ядра (например, можно протестировать работу эксплоита или разрабатываемого модуля с разными версиями ядра). Код проекта написан на языке Go и распространяется под лицензией AGPLv3. В новой версии добавлена команда genall для генерации всех определённых в сценарии версий ядра для указанного дистрибутива. Добавлены команды для анализа сборочных … Читать далее Выпуск out-of-tree 1.0 и kdevops для тестирования кода с ядрами Linux

Разработчики Xfce подвели итоги подготовки ветки Xfce 4.14, на разработку которой ушло более 4 лет, и выразили желание придерживаться изначально принятого проектом более короткого шестимесячного цикла разработки. В Xfce 4.16 не ожидается столь кардинальных изменений, как переход на GTK3, поэтому намерение выглядит вполне реалистичным и ожидается, что с учётом того, что на стадии планирования и тестирования уйдёт ещё шесть месяцев, новый значительный релиз может быть сформирован примерно через год. Никаких конкретных целей на Xfce 4.16 пока не определено, но переход на Wayland и GTK4 в следующей ветке не будет входить в число приоритетных задач. Из инфраструктурных изменений отмечается желание следом … Читать далее Xfce 4.16 ожидается в следующем году

Платформа для хостинга кода Bitbucket прекращает поддержку системы управления исходными текстами Mercurial в пользу Git. Напомним, что изначально сервис Bitbucket ориентировался только на Mercurial, но начиная с 2011 года также стал предоставлять поддержку Git. Отмечается, что Bitbucket эволюционирует из инструментария для управления версиями в платформу для полного управления циклом разработки ПО, нацеленной на разработчиков, придерживающихся парадигме DevOps. В нынешнем году развитие Bitbucket будет сконцентрировано в области расширения средств автоматизации и совместной разработки, которые помогут упростить планирование, кодирование и развёртывание проектов. Поддержка двух систем управления версиями тормозит и усложняет реализацию намеченных планов, поэтому решено сосредоточить всё внимание только на Git и … Читать далее Bitbucket прекращает поддержку Mercurial

В популярном gem-пакете rest-client, насчитывающем в сумме 113 миллиона загрузок, выявлена подстановка вредоносного кода (CVE-2019-15224), который загружает исполняемые команды и отправляет информацию на внешний хост. Атака была произведена через компрометацию учётной записи разработчика rest-client в репозитории rubygems.org, после чего злоумышленники 13 и 14 августа опубликовали выпуски 1.6.10-1.6.13, включающие вредоносные изменения. До блокировки вредоносных версий их успели загрузить около тысячи пользователей (атакующие чтобы не привлекать внимание выпустили обновления старых версий). Вредоносное изменение переопределяет метод «#authenticate» в классе Identity, после чего каждый вызов метода приводит к отправке переданного при попытке аутентификации email и пароля на хост злоумышленников. Таким образом осуществляется перехват параметров … Читать далее В rest-client и ещё 10 Ruby-пакетах выявлен вредоносный код

Представлен выпуск инструментария Tor 0.4.1.5, используемого для организации работы анонимной сети Tor. Tor 0.4.1.5 признан первым стабильным выпуском ветки 0.4.1, которая развивалась последние четыре месяца. Ветка 0.4.1 будет сопровождаться в рамках штатного цикла сопровождения — выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.2.x. Длительный цикл поддержки (LTS) обеспечен для ветки 0.3.5, обновления для которой будут выпускаться до 1 февраля 2022 года. Основные новшества: Реализована экспериментальная поддержка добавочного заполнения на уровне цепочек, позволяющего усилить защиту от методов определения трафика Tor. Клиент теперь добавляет добавочные ячейки (padding cells) вначале цепочек INTRODUCE и RENDEZVOUS, делая трафик … Читать далее Выпуск новой стабильной ветки Tor 0.4.1

Представлен корректирующий релиз медиаплеера VLC 3.0.8, в котором устранены накопившиеся ошибки и устранено 13 уязвимостей, среди которых три проблемы (CVE-2019-14970, CVE-2019-14777, CVE-2019-14533) могут привести к выполнению кода злоумышленника при попытке воспроизведения специально оформленных мультимедийных файлов в форматах MKV и ASF (переполнение буфера на запись и две проблемы с обращением к памяти после её освобождения). Четыре уязвимости в обработчиках форматов OGG, AV1, FAAD, ASF вызваны возможностью чтения данных из областей памяти вне выделенного буфера. Три проблемы приводят к разыменованием указателя NULL в распаковщиках форматов dvdnav, ASF и AVI. Одна уязвимость позволяет добиться целочисленного переполнения в распаковщике MP4. Проблема в распаковщике формата … Читать далее Обновление медиапроигрывателя VLC 3.0.8 с устранением уязвимостей

Представлен выпуск дистрибутива Runtu XFCE 18.04.3, основанный на пакетной базе Xubuntu 18.04.3 LTS, оптимизированный для русскоязычных пользователей и поставляемый с мультимедийными кодеками и расширенным набором приложений. Дистрибутив собран с помощью debootstrap и предлагает рабочий стол Xfce 4.12 с оконным менеджером LightDM. Размер iso-образа 829 Мб. В новом выпуске предложено ядро Linux 5.0 и компоненты графического стека (x.org server 1.20.4), портированные из Ubuntu 19.04. В состав входят: офисный пакет LibreОffice 6.3.0, графический редактор GIMP 2.10, файловый менеджер Thunar 1.6.15, подсистема печати CUPS, браузер Firefox 68.0.2, менеджер загрузок uGet, торрент-клиент Transmission, текстовый редактор Geany 1.32, видеопроигрыватель VLC 3.0.7, аудиоплеер DeaDBeeF 1.8.2, почтовый … Читать далее Релиз дистрибутива Runtu XFCE 18.04.3

В пакете Webmin, предоставляющем средства для удалённого управления сервером, выявлен бэкдор (CVE-2019-15107), найденный в официальных сборках проекта, распространяемых через Sourceforge и рекомендованных на основном сайте. Бэкдор присутствовал в сборках с 1.882 по 1.921 включительно и позволял удалённо без прохождения аутентификации выполнить произвольные shell-команды в системе с правами root. Для атаки достаточно наличия открытого сетевого порта с Webmin и активности в web-интерфейсе функции смены устаревшего пароля (по умолчанию включена в сборках 1.890, но в остальных версиях выключена). Проблема устранена в обновлении 1.930. В качестве временной меры для блокирования бэкдора достаточно убрать настройку «passwd_mode=» из файла конфигурации /etc/webmin/miniserv.conf. Для тестирования подготовлен прототип … Читать далее В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root

Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora, утвердил прекращение формирования основных репозиториев для архитектуры i686. Напомним, что изначально рассмотрение данного предложения было отложено для изучения возможного негативного влияния прекращения поставки пакетов для i686 на локальные сборки модулей. Решение дополняет уже воплощённое в ветке rawhide решение по прекращению формирования загрузочного образа ядра Linux для архитектуры i686. Прекращение поставки пакета с ядром делает опасным предоставление возможности обновления уже установленных систем из репозиториев, так как пользователи будут вынуждены применять устаревшие пакеты с ядром, содержащие неисправленные уязвимости. Формирование multi-lib репозиториев для окружений x86_64 будет сохранено и i686 пакеты … Читать далее Утверждено прекращение формирования репозиториев для архитектуры i686 в Fedora 31