Исследователи из Гамбургского и Кёльнского университетов разработали новую технику атак на сети доставки контента и кэширующие прокси — CPDoS (Cache-Poisoned Denial-of-Service). Атака позволяет добиться отказа доступа к странице, через отравление кэша. Проблема связана с тем, что CDN кэшируют не только успешно выполнение запросы, но и ситуации, когда http-сервер возвращает ошибку. Как правило, при проблемах с формированием запросов сервер выдаёт ошибку 400 (Bad Request), исключение составляет только IIS, который выдаёт для слишком больших заголовков ошибку 404 «Not Found»). Стандарт разрешает кэшировать только ошибки с кодами 404 (Not Found), 405 (Method Not Allowed), 410 (Gone) и 501 (Not Implemented), но некоторые CDN … Читать далее Атака CPDoS, позволяющая сделать недоступными страницы, отдаваемые через CDN

Компания Netflix представила новую интерактивную среду вычислений Polynote, предназначенную для сопровождения процесса научных исследований, обработки и визуализации данных (позволяет сочетать код с научными выкладками и материалами для публикации). Код Polynote написан на языке Scala и распространяется под лицензией Apache 2.0. Документы в Polynote представляют собой упорядоченный набор ячеек, которые могут содержать код или текст. Каждая ячейка редактируется и исполняется по отдельности. Допускается перегруппировка, удаление и добавление ячеек, но при этом состояние данных для каждой ячейки зависит от вычислений в прошлых ячейках (выполнение сверху-вниз). Подобный подход гарантирует повторяемость определённых в документе вычислений (повторное выполнение документа на любых системах приведёт к тому … Читать далее Netflix открыл код интерактивной среды вычислений Polynote

Состоялся релиз анонимной сети I2P 0.9.42 и C++-клиента i2pd 2.29.0. Напомним, что I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. I2pd представляет собой независимую реализацию клиента I2P на языке C++ и распространяется под модифицированной лицензией BSD. В выпуске I2P 0.9.43 доведена до финального вида поддержка формата LS2 … Читать далее Новые выпуски анонимной сети I2P 0.9.43 и C++-клиента i2pd 2.29

После негативной реакции пользователей на включение телеметрии компания GitLab отменила изменения в пользовательском соглашении и взяла таймаут, чтобы переосмыслить решение с учётом пожеланий пользователей. До пересмотра планов и выработки устраивающего всех решения GitLab пообещал не включать телеметрию в облачном сервисе GitLab.com и самодостаточных редакциях. GitLab также намерен заранее выставить на обсуждение сообществом будущие изменения правил, чтобы дать людям время выразить своё мнение по поводу новых предложений. Источник: http://www.opennet.ru/opennews/art.shtml?num=51751 Читать далее GitLab отложил включение телеметрии

Доступны корректирующие релизы PHP 7.3.11, 7.1.33 и 7.2.24, в которых устранена критическая уязвимость (CVE-2019-11043) в расширении PHP-FPM (менеджер процессов FastCGI), позволяющая удалённо выполнить свой код в системе. Для атаки на серверы, использующие для запуска PHP-скриптов PHP-FPM в связке с Nginx, уже публично доступен рабочий эксплоит. Атака возможна в конфигурациях nginx, в которых проброс в PHP-FPM осуществляется c разделением частей URL при помощи «fastcgi_split_path_info», но без предварительной проверки существования файла директивой «try_files $fastcgi_script_name» или конструкцией «if (!-f $document_root$fastcgi_script_name)». Проблема в том числе проявляется в настройках, предлагаемых для платформы NextCloud. Например, уязвимы конфигурации с конструкциями вида: location ~ [^/].php(/|$) { fastcgi_split_path_info ^(.+?.php)(/.*)$; … Читать далее Уязвимость php-fpm, позволяющая удалённо выполнить код на сервере

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-11 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04. Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на Ubuntu 15.04, а начиная с OTA-4 осуществлён переход на Ubuntu 16.04). Как … Читать далее Одиннадцатое обновление прошивки UBports, пришедшей на смену Ubuntu Touch

Доступен релиз Node.js 13.0, платформы для выполнения сетевых приложений на языке JavaScript. Одновременно завершена стабилизация прошлой ветки Node.js 12.x, которая переведена в категорию выпусков с длительным сроком поддержки, обновления для которых выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 10.0 продлится до апреля 2021 года, а позапрошлой LTS-ветки 8.0 до января 2020 года. Основные улучшения: Движок V8 обновлён до версии 7.8, в которой задействованы новые методы оптимизации производительности, улучшена деструктуризация объектов, сокращено потребление памяти и сокращено время подготовки к выполнению WebAssembly; По умолчанию включена полная поддержка интернационализации и Unicode на базе библиотек ICU (International Components for Unicode), позволяющая разработчикам … Читать далее Выпуск серверной JavaScript-платформы Node.js 13.0

Компания GitLab, развивающая одноимённую платформу для совместной разработки, ввела в строй новое соглашения по использованию своих продуктов. Всем пользователям коммерческих продуктов для предприятий (GitLab Enterprise Edition) и облачного хостинга GitLab.com предложено согласиться с новыми условиями в обязательном порядке. До принятия новых условий доступ к web-интерфейсу и к Web API будет заблокирован. Изменение начинает действовать с релиза GitLab 12.4. Важным изменением в условиях является упоминание включения на страницах облачных сервисов и коммерческих продуктов GitLab кода для сбора телеметрии. При этом определено, что телеметрия может отправляться не только на серверы компании GitLab, но и в сторонние службы аналитики. В том числе явно … Читать далее GitLab вводит сбор телеметрии для пользователей облачных и коммерческих продуктов

Разработчики Mozilla опубликовали план реализации поддержки дополнений в мобильном браузере Firefox Preview (Fenix), который развивается для замены редакции Firefox для платформы Android. Новый браузер основан на движке GeckoView и наборе библиотек Mozilla Android Components, и изначально не предоставляет API WebExtensions для разработки дополнений. В первом квартале 2020 года данный недостаток планируется устранить и в GeckoView/Firefox Preview появятся средства для подключения дополнений, предоставляющие функциональность, достаточную для поддержки дополнений из рекомендованного списка. Источник: http://www.opennet.ru/opennews/art.shtml?num=51745 Читать далее В мобильном браузере Firefox Preview появится поддержка дополнений

Компания AMD присоединилась к программе Blender Development Fund в качестве основного спонсора (Patron), перечисляющего на развитие свободной системы 3D-моделирования Blender более 120 тысяч евро в год. Полученные средства планируется вложить в общую разработку системы 3D-моделирования Blender, миграцию на графический API Vulkan и обеспечение качественной поддержки технологий AMD. Кроме AMD в число основных спонсоров Blender ранее также вошли компании NVIDIA и Epic Games. Подробности финансового участия NVIDIA и AMD не сообщаются, а компания Epic Games выделила 1.2 млн на финансирование Blender в течение трех лет. О поддержке Blender также объявили компании Embark Studios и Adidas, которые вошли в категории «золотых» и … Читать далее AMD, Embark Studios и Adidas стали участниками Blender Development Fund

Подготовлен релиз платформы Electron 7.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 78, платформы Node.js 12.8 и JavaScript-движка V8 7.8. Ранее ожидавшееся прекращение поддержки 32-разрядных систем Linux пока отложено и выпуск 6.0 в том числе доступен в 32-разрядных сборках. Среди изменений в API, специфичных для Electron: Добавлены методы ipcRenderer.invoke() и ipcMain.handle() для организации асинхронного IPC в стиле запрос/ответ, который рекомендовано использовать вместо модуля «remote»; Добавлен API nativeTheme для чтения и обработки изменений в системной теме оформления и цветовой … Читать далее Релиз Electron 7.0.0, платформы создания приложений на базе движка Chromium

Уилл Кук (Will Cooke), с 2014 года возглавлявший разработку десктоп-редакции Ubuntu, объявил о своём уходе из компании Canonical. Новым местом работы Уилла станет компания, развивающая открытую СУБД InfluxDB. После Уилла пост директора по разработке десктоп-систем в Canonical займёт Мартин Вимпрес Martin Wimpress, сооснователь редакции Ubuntu MATE, входящий в Core Team проекта MATE. В Canonical Мартин работал над инструментарием Snapcraft. Источник: http://www.opennet.ru/opennews/art.shtml?num=51740 Читать далее В компании Canonical сменился директор по разработке десктоп-систем

Сформирован выпуск основной ветки nginx 1.17.5, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Добавлена поддержка вызова ioctl(FIONREAD), если он доступен, чтобы избежать чтения из быстрого соединения в течение долгого времени; Решена проблема с игнорирование неполных закодированных символов в конце URI-запроса; Решена проблема с нормализацией последовательностей «/.» и «/..» в конце URI-запроса; Внесены исправления в директивы merge_slashes и ignore_invalid_headers; Исправлена ошибка, проявляющаяся при сборке nginx в MinGW-w64 gcc 8.1 и новее. Источник: http://www.opennet.ru/opennews/art.shtml?num=51735 Читать далее Выпуск nginx 1.17.5

Компания Google представила релиз web-браузера Chrome 78. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 79 запланирован на 10 декабря. Основные изменения в Chrome 78: Реализована экспериментальная поддержка «DNS поверх HTTPS» (DoH, DNS over HTTPS), которая будет выборочно включена для отдельных категорий пользователей, в системных настойках которых уже указаны DNS-провайдеры, поддерживающие DoH. Например, если у пользователя в системных настройках указан DNS … Читать далее Релиз Chrome 78

Представлен релиз специализированного дистрибутива Tails 4.0 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ (1 ГБ), способный работать в Live-режиме. Основные изменения: Осуществлён переход на пакетную базу Debian 10 «Buster». Применены накопившиеся исправления проблем с безопасностью; Менеджер паролей KeePassX заменён на более активно развиваемый сообществом форк KeePassXC; До версии 1.3.2 обновлено приложение OnionShare, позволяющее … Читать далее Релиз дистрибутива Tails 4.0

После пяти месяцев разработки опубликован значительный релиз специализированного браузера Tor Browser 9.0, сосредоточенного на обеспечении анонимности, безопасности и приватности. Весь трафик в Tor Browser направляется только через сеть Tor, а обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android. Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех сайтах где это возможно. … Читать далее Доступен Tor Browser 9.0

Разработчики офисного пакета Apache OpenOffice сообщили о том, что опубликованный месяц назад выпуск офисного пакета Apache OpenOffice 4.1.7 был загружен 1.6 миллиона раз. 71% всех загрузок приходится на сборки для платформы Windows, сборки для Linux загружены только 17 тысяч раз (около 1%). Наибольшее число загрузок произведено из США (13%), а также из Германии, Италии, Франции и Саудовской Аравии. Всего с момента первого выпуска Apache OpenOffice в мае 2012 года было зафиксировано 294 миллиона загрузок. Рубеж в 200 млн загрузок был достигнут в конце ноября 2016 года, а 100 млн — в апреле 2014 года. Несмотря на стагнацию проекта и остановку … Читать далее Apache OpenOffice 4.1.7 за месяц загрузили 1.6 млн раз

25 октября в 15:00 в Москве состоится семинар «Open Source — новая философия бизнеса», посвящённый использованию ПО с открытым кодом в корпоративных системах. Семинар будет проведён при участии управляющего и технического директоров SUSE в России и СНГ. Из практических тем на семинаре будет рассказано о применении пространств имён сетевой подсистемы (network namespaces) для изоляции приложений в Linux. Продолжительность семинара: 2 часа. Участие бесплатное, но требуется предварительная регистрация (тел. (495)967-66-70). Место проведения: Москва, Доброслободская ул., 5. Источник: http://www.opennet.ru/opennews/art.shtml?num=51728 Читать далее 25 октября в Москве состоится семинар «Open Source — новая философия бизнеса»

Состоялся релиз web-браузера Firefox 70, а также мобильной версии Firefox 68.2 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.2.0 (сопровождение прошлой ESR-ветки 60.x прекращено). В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 71, в соответствии с новым циклом разработки релиз которой намечен на 3 декабря. Основные новшества: Вместо кнопки «(i)» в адресной строке размещён индикатор уровня приватности, который позволит судить об активации режимов блокировки отслеживания перемещений. Индикатор становится серым, когда в настройках включён режим блокирования отслеживания перемещений и на странице не зафиксировано элементов подлежащих блокировке. Индикатор становится синим, когда на странице блокированы те или … Читать далее Релиз Firefox 70

Состоялся релиз проекта srsLTE 19.09, развивающего открытый стек для развёртывания компонентов сотовых сетей LTE/4G без наличия спецоборудования, используя только универсальные программируемые приемопередатчики, форма сигнала и модуляция которых задаётся программно (SDR, Software Defined Radio). Код проекта поставляется под лицензией AGPLv3. SrsLTE включает реализацию LTE UE (User Equipment, клиентские компоненты для подключения абонента к сети LTE), базовой станции LTE (eNodeB, E-UTRAN Node B), а также элементов опорной сети LTE (MME — Mobility Management Entity для взаимодействия с базовыми станциями, HSS — Home Subscriber Server для хранения базы абонентов и информации о привязанных к абонентам услугах, SGW — Serving Gateway для обработки и … Читать далее Выпуск открытого 4G-стека srsLTE 19.09

5 и 9 ноября компания «Перкона» (Percona) проведёт в Рязани и Нижнем Новгороде два открытых семинара. Докладчик семинаров — Пётр Зайцев, генеральный директор компании Percona, один из авторов книги High Performance MySQL (в русской версии — «MySQL по максимуму»), бывший руководитель группы оптимизации производительности в компании MySQL AB. Программа мероприятия в обоих городах одинакова: «Что разработчик должен знать о базах данных» «Оптимизация и отладка открытых СУБД с помощью Percona Monitoring and Management 2.0» Время и место проведения: 5 ноября 2019, Рязань. АМАКС Конгресс-отель 4* (Первомайский проспект, 54). Сбор участников: 19:00, начало докладов: 19:30.Регистрация (TimePad). 9 ноября 2019, Нижний Новгород. Родионова, … Читать далее В ноябре Percona проведёт открытые семинары в Рязани и Нижнем Новгороде