Лидия Пинчер (Lydia Pintscher), президент некоммерческой организации KDE e.V., курирующей развитие проекта KDE, в своей приветственной речи на конференции Akademy 2019 представила новые цели проекта, которым будет уделено повышенное внимание при разработке в ближайшие два года. Цели выбраны на основе голосования, проведённого в сообществе. Прошлые цели были определены в 2017 году и затрагивали повышение удобства работы с базовыми приложениями, обеспечение конфеденциальности данных пользователей и создание комфортных условий для новых участников сообщества. Новые цели: Завершение перехода на Wayland. Wayland рассматривается как будущее рабочего стола, но в текущем виде поддержка данного протокола в KDE ещё не доведена до уровня, необходимого чтобы полностью … Читать далее KDE сосредоточит внимание на поддержке Wayland, унификации и доставке приложений

Сформировано первое корректирующее обновление дистрибутива Debian 10, в которое включены обновления пакетов, выпущенные за два месяца с момента релиза новой ветки, и устранены недоработки в инсталляторе Выпуск включает 102 обновления с устранением проблем со стабильностью и 34 обновления с устранением уязвимостей. Из изменений в Debian 10.1 можно отметить удаление 2 пакетов: pump (без сопровождения и с неисправленными уязвимостями) и rustc (rust-doc?). Обновлены до свежих стабильных версий пакеты android-sdk-meta, dpdk, enigmail, fdroidserver, firmware-nonfree, mariadb, python-django, raspi3-firmware, slirp4netns, webkit2gtk. Для загрузки и установки «с нуля» в ближайшие часы будут подготовлены установочные сборки, а также live iso-hybrid c Debian 10.1. Системы, установленные ранее … Читать далее Новые версии Debian 9.10 и 10.1

Компании Purism опубликовала график поступления в продажу смартфона Librem 5, включающего ряд программных и аппаратных мер для блокирования попыток отслеживания и сбора информации о пользователе. Смартфон планируется сертифицировать в Фонде СПО по программе «Respects Your Freedom«, подтверждающей предоставление пользователю полного контроля над устройством и оснащение только свободным ПО, включая драйверы и прошивки. Смартфон будет поставляться с полностью свободным Linux-дистрибутивом PureOS, использующим пакетную базу Debian и адаптированное для смартфонов окружение GNOME (в качестве опций возможна установка KDE Plasma Mobile и UBports). Цена Librem 5 составит $699. Поставка будет разделена на несколько серий (выпусков), по мере формирования которых будет оттачиваться аппаратное обеспечение … Читать далее Анонсирована дата начала продаж смартфона Librem 5

Разработчики Friefox объявили о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах. Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны проблемы с оптимизацией трафика в сетях доставки контента, родительским контролем и … Читать далее Mozilla переходит к включению по умолчанию DNS-over-HTTPS в Firefox

После почти трёх лет разработки доступен выпуск программы для манипуляций с изображениями LazPaint 7.0.5, по функциональности напоминающей графические редакторы PaintBrus и Paint.NET. Изначально проект развивался для демонстрации возможностей графической библиотеки BGRABitmap, которая предоставляет расширенные функции рисования в среде разработки Lazarus. Приложение написано на языке Pascal с использованием платформы Lazarus (Free Pascal) и распространяется под лицензией GPLv3. Бинарные сборки подготовлены для Linux, Windows и macOS. Предоставляются такие возможности как открытие и запись графических файлов в различных форматах, включая многослойные изображения и 3D-файлы, типовые инструменты для рисования с поддержкой слоёв, средства для выделения частей изображений с поддержкой сглаживания и изменения по маске. … Читать далее Выпуск графического редактора LazPaint 7.0.5

Доступен тестовый выпуск GNU Wget 2, полностью переработанного варианта программы для автоматизации рекурсивной загрузки контента GNU Wget. GNU Wget 2 спроектирован и переписан с нуля и примечателен выносом базовой функциональности web-клиента в библиотеку libwget, которая может обособленно применяться в приложениях. Утилита поставляется под лицензией GPLv3+, а библиотека под LGPLv3+. Wget 2 переведён на многопоточную архитектуру, поддерживает HTTP/2, сжатие zstd, распараллеливание запросов и учёт HTTP-заголовка If-Modified-Since, что позволяет добиться значительного увеличения скорости загрузки, по сравнению с веткой Wget 1.x. Из особенностей новой версии также можно отметить поддержку протокола OCSP (Online Certificate Status Protocol), TLS 1.3, режим быстрого открытия TCP-соединений (TCP FastOpen) … Читать далее Началось тестирование GNU Wget 2

Опубликован корректирующий выпуск Exim 4.92.2 с устранением критической уязвимости (CVE-2019-15846), которая в конфигурации по умолчанию может привести к удалённому выполнению кода злоумышленника с правами root. Проблема проявляется только при включении поддержки TLS и эксплуатируется через передачу специально оформленного клиентского сертификата или модифицированного значения в SNI. Уязвимость выявлена компанией Qualys. Проблема присутствует в обработчике экранирования спецсимволов в строке (string_interpret_escape() из string.c) и вызвана тем, что символ » в конце строки интерпретируется перед нулевым символом (‘’) и экранирует его. При экранировании последовательность » и следующий далее нулевой код конца строки обрабатывается как один символ и указатель сдвигается на данные за пределами строки, … Читать далее Раскрыты подробности критической уязвимости в Exim

Компания TrendMicro опубликовала информацию об уязвимости (CVE не присвоен) в драйвере v4l2, позволяющей непривилегированному локальному пользователю выполнить свой код в контексте ядра Linux. Сведения об уязвимости приводятся в контексте платформы Android, не детализируя, специфична ли данная проблема для ядра из Android или проявляется и в обычном ядре Linux. Для эксплуатации уязвимости требуется локальный доступ злоумышленника к системе. В Android для атаки вначале нужно получить контроль над непривилегированным приложением, имеющим полномочия обращения к подсистеме V4L (Video for Linux), например, над программой для работой камерой. Наиболее реалистичным применением уязвимости в Android является включение эксплоита в подготовленные злоумышленниками вредоносные приложения для повышения привилегий … Читать далее Уязвимость в драйвере v4l2, затрагивающая платформу Android

Ричард Столлман принял приглашение Microsoft и выступил с докладом перед сотрудниками компании в штаб-квартире Microsoft в Редмонде. До недавних пор подобное выступление выглядело маловероятным из-за активной критики и негативного отношения Столлмана к Microsoft (в свою очередь Стив Балмер сравнивал GPL с раковой опухолью). Алесандро Сегала (Alessandro Segala), менеджер по открытым продуктам в Azure, характеризовал состоявшееся выступление так — «Если сегодня наступит конец света, то вы знайте почему.». В своём докладе, кроме стандартного рассказа о важности свободного ПО, лицензии GPLv3 и взаимодействии GNU и Linux, Столлман также высказал ряд предложений о стимулировании пользователей GitHub к выбору лучших лицензий, работе с производителями … Читать далее Ричард Столлман выступил перед сотрудниками Microsoft

Сообщество State of the Art представило новую версию Handy 3D Scanner 0.5.1 и опубликовало исходные тексты проекта на GitHub. Проект развивает портативный интерфейс для трёхмерного сканирования объектов и местности, применяя доступные стерео-камеры Intel RealSense D400. Код написан на языке С++ (интерфейс на Qt5) и распространяется под лицензией Apache 2.0. Поддерживается Linux и Android. Программа обладает достаточной функциональностью, чтобы собрать сравнительно дешёвый (~$140) программно-аппаратный комплекс для решения задач детального переноса объектов из реального мира в виртуальный. Проект уже готов для повседневного использования при подготовке детальных моделей для решения таких задач, как сканирование для последующей 3D-печати, создание аватаров, подготовка 3D-моделей на основе … Читать далее Открыт код системы сканирования 3D-объектов Handy 3D Scanner

Компания Google опубликовала исходные тексты библиотеки «Differential Privacy» с реализацией методов дифференциальной приватности, позволяющих с достаточно высокой точностью выполнять статистические операции над набором данных без возможности идентификации отдельных записей в нём. Код библиотеки написан на языке C++ и открыт под лицензией Apache 2.0. Анализ с использованием методов дифференциальной приватности даёт возможность организациям производить аналитические выборки из статистических БД, не позволяя разделить данные и выделить из общей информации параметры конкретных лиц. Например, для выявления различий в уходе за больными исследователям можно предоставить информацию, позволяющую сравнить среднее количество времени пребывания пациентов в больницах, но при этом сохраняющую конфиденциальность пациентов и не допускающую … Читать далее Google открыл код библиотеки для конфиденциальной обработки данных

Организация The Document Foundation объявила о выходе LibreOffice 6.3.1, первого корректирующего выпуска из семейства LibreOffice 6.3 «fresh». Версия 6.3.1 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий подготовлено обновление стабилизированной ветки LibreOffice 6.2.7 «still». Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows. Версия 6.3.1 включает исправление 93 ошибок (RC1, RC2), а версия 6.2.7 — 32 (RC1). Кроме исправления ошибок в новых выпусках реализованы методы для блокирования дополнительных векторов для эксплуатации уязвимости, позволяющей при открытии вредоносных документов, содержащих инструкции LibreLogo, добиться выполнения любого кода на языке Python. Проблема … Читать далее Обновление LibreOffice 6.3.1 и 6.2.7

После пяти месяцев разработки представлен релиз системного менеджера systemd 243. Из новшеств можно отметить интеграцию в PID 1 обработчика нехватки памяти в системе, поддержку прикрепления собственных BPF-программ для фильтрации трафика unit-ов, многочисленные новые опции для systemd-networkd, режим мониторинга пропускной способности сетевых интерфейсов, задействование по умолчанию на 64-разрядных системах 22-битных номеров PID вместо 16-битных, переход на унифицированную иерархию cgroups, включение в состав systemd-network-generator. Основные изменения: В обработчик PID 1 добавлено распознавание генерируемых ядром сигналов о нехватке памяти (Out-Of-Memory, OOM) для перевода юнитов, достигших лимита в потреблении памяти, в специальное состояние с опциональной возможностью их принудительного завершения или остановки; Для unit-файлов реализованы … Читать далее Выпуск системного менеджера systemd 243

С опозданием на сутки сформирован релиз специализированного дистрибутива Tails 3.16 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 Гб. В новом выпуске Tails обновлены версии Tor Browser 8.5.5, Thunderbird 60.8 и ядра Linux (4.19.37-5+deb10u2), в котором устранена уязвимость SWAPGS (вариант Spectre v1). Из поставки удалено приложение LibreOffice Math, … Читать далее Релиз дистрибутива Tails 3.16 и браузера Tor Browser 8.5.5

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.0.12, в котором отмечено 17 исправлений. Основные изменения в выпуске 6.0.12: В дополнениях для гостевых систем c Linux решена проблема с невозможностью создания файлов внутри совместных каталогов непривилегированным пользователем; В дополнениях для гостевых систем c Linux улучшена совместимость vboxvideo.ko с системой сборки модулей ядра; Устранены проблемы сборки модулей ядра для хостов и гостевых систем с ядром из SLES 12 SP4; В функции экспорта в формате OCI обеспечена корректная обработка пустых дисковых образов; В звуковом драйвере AC97 обходным путём налажена работа с проблемными драйверами в гостевых системах, которые перепрограммируют частоту дискретизации; Решены проблемы … Читать далее Выпуск VirtualBox 6.0.12

Разработчики проекта Grsecurity поделились поучительной историей, демонстрирующей как необдуманное устранение предупреждений компилятора может привести к появлению уязвимостей в коде. В конце мая для ядра Linux было предложено исправление нового вектора эксплуатации уязвимости Spectre через системный вызов ptrace. В процессе тестирования патча разработчики обратили внимание, что при сборке компилятор выводит предупреждение о смешивании кода и определений из-за того что в исправлении структура была определена после кода: int index = n; if (n ptrace_bps[index]; Линус принял исправление в свою master-ветку, избавившись от предупреждения через использование конструкции: if (n ptrace_bps[index]; В июле исправление также было портировано в стабильные ветки ядра 4.4, 4.9, 4.14, … Читать далее Необдуманное исправление привело к неполному устранению уязвимости Spectre в ядре Linux

Представлен релиз языка программирования Go 1.13, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Релиз языка программирования Go 1.13

Разработчики свободной облачной платформы Nextcloud сообщили, что всё больше учреждений и компаний из Евросоюза отказываются от использования централизованных облачных систем в пользу приватных облачных хранилищ, развёрнутых на собственных мощностях. В основном европейские организации мигрируют с публичных облачных систем для соответствия требованиям закона GDPR и из-за юридических проблем, вызванных применением в США закона Cloud Act, определяющего меры доступа правоохранительных органов к данным пользователей в облачных хранилищах, принадлежащих американским компаниям, независимо от территориального размещения дата-центров (большинство публичных облачных платформ поддерживаются американскими компаниями). Nextcloud позволяет развернуть в своей сети полноценное облачное хранилище с поддержкой синхронизации и обмена данными, а также предлагающего такие сопутствующие … Читать далее Госучреждения Франции, Германии, Швеции и Нидерландов переходят на платформу Nextcloud

Компания Mozilla объявила, что несмотря на использование в Firefox системы дополнений на основе API WebExtensions, разработчики не намерены полностью следовать будущей третьей редакции манифеста на дополнения Chrome. В частности, в Firefox будет продолжена поддержка блокирующего режима работы работы API webRequest, позволяющего менять принимаемый контент на лету и востребованного в блокировщиках рекламы и системах фильтрации контента. Основной идеей перехода на API WebExtensions была унификация технологии разработки дополнений для Firefox и Chrome, поэтому в текущем виде в Firefox почти на 100% обеспечена совместимость с актуальной второй версией манифеста Chrome. Манифест определяет перечень возможностей и ресурсов, предоставляемых дополнениям. Из-за внесения в третью версию … Читать далее Mozilla не станет переносить все ограничения API WebExtensions из нового манифеста Chrome

Подготовлены корректирующие выпуски пакета Samba 4.10.8 и 4.9.13, в которых устранена уязвимость (CVE-2019-10197), позволяющая пользователю получить доступ к корневому каталогу, в котором размещён сетевой раздел Samba. Проблема проявляется при указании в настройках опции ‘wide links = yes’ в сочетании с ‘unix extensions = no’ или ‘allow insecure wide links = yes’. Доступ к файлам вне текущего совместного раздела ограничен правами доступа пользователя, т.е. атакующий может прочитать и записать файлы в соответствии со своим uid/gid. Проблема вызвана тем, что после первого запроса корня совместного раздела клиенту возвращается ошибка доступа, но smbd кэширует обращение к каталогу и не очищает кэш в случае … Читать далее Обновление Samba 4.10.8 и 4.9.13 с устранением уязвимости

Компания Google опубликовала релиз открытой мобильной платформы Android 10. Связанные с новым выпуском исходные тексты размещены в Git-репозиторий проекта (ветка android-10.0.0_r1). Обновления прошивки уже подготовлены для 8 устройств серии Pixel, в том числе для первой модели Pixel. В ближайшие месяцы обновления с Android 10 будут выпущены для актуальных смартфонов таких компаний, как Sony Mobile, Xiaomi, Huawei, Nokia, Vivo, OPPO, OnePlus, ASUS, LG и Essential. Основные новшества: Представлен проект Mainline, позволяющий обновлять отдельные системные компоненты без обновления платформы целиком. Подобные обновления загружаются через Google Play отдельно от OTA-обновлений прошивки от производителя. Предполагается, что прямая доставка обновлений не привязанных к оборудованию компонентов … Читать далее Выпуск мобильной платформы Android 10