Сайт проекта Devuan, развивающего форк Debian GNU/Linux без системного менеджера systemd, оказался захвачен неизвестными злоумышленниками. В настоящее время при попытке открытия сайта выполняется проброс на страницу devuan.org/pwned.html (копия) с заявлением злоумышленников и предложением использовать Gopher для обращения к web-ресурсам проекта. Разработчикам пока не удаётся восстановить доступ к серверу после взлома, но утверждается, что атака не коснулась репозитория пакетов. Сообщается, что скорее всего серверы pkgmaster и amprolla, на которых размещался основной репозиторий, а также хосты pkgmaster.devuan.org, packages.devuan.org и deb.devuan.org, не были затронуты атакой (следов чужого присутствия на них пока не выявлено), так как размещались в отдельной инфраструктуре. Кроме того, для контроля … Читать далее Взлом инфраструктуры Devuan оказался неудачной шуткой разработчиков проекта

После полутора лет разработки подготовлен релиз двухпанельного файлового менеджера GNOME Commander 1.10.0, оптимизированного для использования в пользовательском окружении GNOME. GNOME Commander представляет такие возможности как вкладки, доступ к командной строке, закладки, изменяемые цветовые схемы, режим пропуска каталогов при выделении файлов, доступ к внешним данным через FTP и SAMBA, расширяемые контекстные меню, автоматическое монтирование внешних накопителей, доступ к истории навигации, поддержка плагинов, встроенный просмотрщик текста и изображений, функции поиска, переименования по маске и сравнения директорий. Ключевые изменения: Настройки перемещены в GSettings и теперь представлены в рамках иерархии «org.gnome.gnome-commander». Старые настройки, ранее размещённые в каталогах «~/.gnome2/gnome-commander» и «~/.gnome-commander/», переносятся в GSettings автоматически; … Читать далее Доступен файловый менеджер GNOME Commander 1.10

Компания Wave Computing, поглотившая предприятие MIPS Technologies, представила первый релиз проекта MIPS Open, нацеленного на открытие компонентов архитектуры набора команд MIPS и связанных с ней архитектурных расширений. В рамках программы предоставлен полный доступ к шестому поколению 32- и 64-разрядных наборов команд MIPS R6 (MIPS32 и MIPS64 ISA). Спецификации, необходимые для создания MIPS-совместимых микропроцессоров, распространяются бесплатно с освобождением от оплаты лицензионных отчислений и с предоставлением безвозмездного доступа к запатентованным технологиям MIPS. Компоненты проекта распространяются под пермиссивной открытой лицензией MIPS Open, не требующей открытия производных работ и внесённых усовершенствований. Компания Wave Computing надеется, что проект MIPS Open повысит интерес производителей чипов и … Читать далее Опубликованы первые компоненты открытой микроархитектуры MIPS R6

Разработчики PHP официально утвердили план включения JIT-компилятора в состав следующей ветки PHP 8, но отвергли предложение по интеграции JIT в следующий значительный релиз PHP 7.4, намеченный на конец 2020 года. Решение не спешить с внедрением JIT связано с желанием переосмыслить внутреннюю структуру проекта, чтобы избежать усложнения кодовой базы, а также с необходимостью получить дополнительное время для тестирования и ознакомления разработчиков с особенностями JIT. Перед выполнением PHP транслирует исходные тексты PHP-скриптов в промежуточное представление (байткод), которое затем выполняется в виртуальной машине Zend VM. JIT поможет дополнительно поднять производительность за счёт преобразования байткода в специфичный для текущей аппаратной платформы машинный код, который … Читать далее В PHP 8 будет добавлен JIT-компилятор

В каталоге дополнений Mozilla опубликован прототип дополнения, позволяющего использовать ответы на CAPTCHA для обнаружения подмены TLS-сертификатов на стороне сайтов, невзирая на то, что JavaScript не предоставляет доступ данным TLS-сертификата. Дополнение в специально помеченном поле обнаруживает ответ пользователя на CAPTCHA, присоединяет его к отпечатку TLS-сертификата посещаемого сайта, и записывает хеш полученного результата в Cookies, которые затем передаются на сайт при последующих запросах. Для реализации проверки на стороне сервера требуется выполнить аналогичные действия по вычислению хеша и сверить его с полученным от пользователя. Несовпадение хешей будет означать, что пользователь ввёл неверный ответ, либо что TLS-сертификат подменён. Читать далее Дополнение к Firefox, позволяющее сайтам обнаруживать подмену TLS-сертификата

После 6 месяцев разработки подготовлен релиз десктоп-окружения Trinity R14.0.6, продолжающего развитие кодовой базы KDE 3.5.x и Qt 3. Готовые бинарные пакеты в ближайшее время будут подготовлены для Ubuntu, Debian, RHEL/CentOS, Fedora, openSUSE и других дистрибутивов. Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в … Читать далее Релиз десктоп-окружения Trinity R14.0.6, продолжающего развитие KDE 3.5

Доступен выпуск криптографической библиотеки Botan 2.10.0, применяемой в проекте NeoPG, форке GnuPG 2. Библиотека предоставляет большую коллекцию готовых примитивов, используемых в протоколе TLS, сертификатах X.509, шифрах AEAD, модулях TPM, PKCS#11, хэшировании паролей и постквантовой криптографии. Библиотека написана на языке C++11 и поставляется под лицензией BSD. Среди изменений в новом выпуске: Задействована более быстрая и стойкая к атакам реализация класса Memory_Pool; Внесены оптимизации в реализации хэшей SHA-512 и SHA-3. SHA-3 стал работать на 10-12% быстрее. Добавлена реализация SHA-512 и SHA-3 на базе инструкций BMI2, которая работает на 25-35% быстрее; Добавлена поддержка хранения сертификатов с использованием keychain-интерфейса macOS; Добавлен класс Thread_Pool, который … Читать далее Выпуск криптографической библиотеки Botan 2.10.0

Доступен перевод статьи Людвика Курте, в которой рассказано как в дистрибутиве GNU Guix связать повторяемые сборки, позволяющие убедиться в тождественности бинарных файлов эталонным исходным текстам, с загрузкой исходных текстов из архива кода Software Heritage. Software Heritage ставит перед собой задачу создания полного архива всех доступных в Сети исходных текстов. Код загружается из разных источников (GitHub, репозитории Debian, коллекции GNU и т.п.) с автоматичкеским переносом информации об изменениях, формируя таким образом историю развития кода разных проектов (можно посмотреть каким код был в разное время). В Guix можно использовать Software Heritage для получения кода, если репозиторий из которого собран пакет, перестал существовать. … Читать далее Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage

Проект Debian сообщил о получении пожертвования в размере 300 тысяч долларов США. Пожертвование передано сообществом Handshake.org. Средства планируется потратить на обновление серверного оборудования и проведение работы по повышению надёжности инфраструктуры. Напомним, что в рамках кампании по совместному финансированию проекта Handshake.org удалось собрать более 10.2 млн долларов на развитие платформы, что значительно больше, чем нужно; поэтому 70% от полученной суммы было решено потратить на помощь значительным свободным проектам. Кроме Debian сообщество Handshake.org выступило с поддержкой Фонда СПО (миллион долларов), GNOME ($400 тыс), KDE ($300 тыс), Apache, Arch Linux, Babel, Debian, EFF, GNU, Internet Archive, LibreJS, LibreSSL, Mozilla, Open Source Initiative, OpenSSL, … Читать далее Сообщество Handshake пожертвовало 300 тысяч долларов проекту Debian

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 4.5. С момента выпуска версии 4.4 было закрыто 30 отчётов об ошибках и внесено 385 изменений. Наиболее важные изменения: Добавлена поддержка графического API Vulkan 1.1 (ранее поддерживалась спецификация 1.0); Улучшена поддержка объектов ядра в драйверах устройств; Расширено число поддерживаемых вызовов API Media Foundation; В MSHTML реализована поддержка элементов SVG; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Regedit, FileAlyzer 1.6.0.4, Settlers III, Settlers Heritage of Kings, Solidworks 2016, League Of Legends, Biamp Systems Nexia v3.3, Star Citizen, Belarc Advisor Computer Inventory 9.0, The Sims, PS4 Remote Play installer 2.8.x, … Читать далее Выпуск Wine 4.5

Проект LVFS (Linux Vendor Firmware Service), при помощи которого пользователи Linux без лишних усложнений могут получать обновления прошивок для различного оборудования, объявил о переходе под покровительство организации Linux Foundation. Linux Foundation выступит нейтральной площадкой для взаимодействия с производителями и позволит привлечь к проекту новых участников. В настоящее время к распространению прошивок через LVFS уже подключились такие компании, как Dell, Lenovo, HP, Intel, Foxconn и Logitech. Из ближайших целей проекта отмечается доведение до 95% охвата поддержки нового потребительского оборудования, выпущенного в этом году. В настоящее время LVFS предоставляет прошивки для 72 устройств от 30 производителей. Через сервис пользователям уже доставлено около … Читать далее Сервис доставки обновлений прошивок для Linux перешёл под крыло Linux Foundation

Александр Ларсон (Alexander Larsson), разработчик Flatpak и активный участник проекта GNOME, рассказал о грядущих изменениях в развиваемом им GDK-бэкенде Broadway для отрисовки вывода библиотеки GTK в окне web-браузера (например, данный бэкенд применяется в LibreOffice Online для совместной удалённой работы с офисным пакетом через Web). В GTK 4 существенно изменились методы отрисовки и вместо вывода в буфер теперь применяется модель на основе узлов отрисовки (render nodes), при которой вывод компонуется в форме дерева высокоуровневых операций, эффективно обрабатываемых GPU при помощи OpenGL и Vulkan. Broadway не вписывается в подобную модель так как манипулирует готовыми битмапами в формате PNG — содержимое передаётся клиенту … Читать далее В GTK 4 будет переработан бэкенд, отображающий интерфейс через web-браузер

Следом за технологией WASI (WebAssembly System Interface), нацеленной на использование WebAssembly вне браузера, представлен проект Lucet, предлагающий компилятор lucetc и runtime для выполнения программ в формате WebAssembly. Lucet позволяет скомпилировать модули в псевдокоде WebAssembly (.wasm или .wat) в машинный код, пригодный прямого исполнения. Результат сохраняется в виде разделяемой библиотеки или объектных файлов, которые можно связать с приложениями на языках Си или Rust. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0. Основной задачей проекта является предоставление возможности безопасного исполнения сторонних программ на WebAssembly внутри других приложений (например, для реализации плагинов). Исходные приложения для встраивания могут быть написаны … Читать далее Представлен Lucet, компилятор для WebAssembly

Александр Ларсон (Alexander Larsson), разработчик Flatpak и активный участник проекта GNOME, рассказал о грядущих изменениях в развиваемом им GDK-бэкенде Broadway для отрисовки вывода библиотеки GTK в окне web-браузера. В GTK 4 существенно изменились методы отрисовки и вместо вывода в буфер теперь применяется модель на основе узлов отрисовки (render nodes), при которой вывод компонуется в форме дерева высокоуровневых операций, эффективно обрабатываемых GPU при помощи OpenGL и Vulkan. Broadway не вписывается в подобную модель так как манипулирует готовыми битмапами в формате PNG — содержимое передаётся клиенту в виде копий слоев и блоков, описывающих изменения между изображениями. Как вариант можно было задействовать бэкенд … Читать далее В GTK 4 будет переработан бэкенд, позволяющий отображать интерфейс через web-браузер

Мэтью Гаррет (Matthew Garrett), известный разработчик ядра Linux, в своё время получивший от Фонда СПО премию за вклад в развитие свободного ПО, обнаружил уязвимость в устройстве TP-Link SR20, сочетающем функции беспроводного маршрутизатора и шлюза для управления устройствами в умном доме (Zigbee/ZWave hub). Уязвимость позволяет получить полный контроль за устройством и выполнить на нём произвольные команды с правами root при наличии доступа к домашней локальной сети (например, в случае взлома одного из незащищённых IoT-устройств, атака может быть перенесена на маршрутизатор для полного контроля за локальной сетью). Проблема связана с реализацией протокола TDDP (TP-Link Device Debug Protocol), обработчик которого запускается по умолчанию. … Читать далее Уязвимость в TP-Link SR20, позволяющая получить root-доступ из локальной сети

Представлен бета-выпуск дистрибутива Ubuntu 19.04 «Disco Dingo», который ознаменовал переход к первой стадии заморозки пакетной базы и смещение вектора разработки от развития новых возможностей к тестированию и исправлению ошибок. Готовые тестовые образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu и UbuntuKylin (редакция для Китая). Релиз Ubuntu 19.04 запланирован на 18 апреля. Основные новшества: Рабочий стол обновлён до GNOME 3.32 с переработанным стилем элементов интерфейса, рабочего стола и пиктограмм, прекращением поддержки глобального меню и экспериментальной поддержкой дробного масштабирования (в примечании к выпуску Ubuntu Desktop 19.04 перечислено около 10 пользовательских улучшений, но это старые данные, … Читать далее Бета-выпуск Ubuntu 19.04

Компания WhiteSource опубликовала результаты анализа распределения уязвимостей в зависимости от применяемых в открытом ПО языков программирования. При рассмотрении общего распределения уязвимостей, 47% всех выявленных проблем с безопасностью затрагивают программы написанные на языке Си, 17% на PHP, 12% на Java и 11% на JavaScript. Данная статистика сильно коррелирует с популярностью того или иного языка и объёмом наработанной кодовой базы. Тем не менее, общие тенденции прослеживаются, например, язык PHP занимает в рейтинге Tiobe седьмое место по популярности, но находится на втором месте по числу уязвимостей в приложениях. Некоторые выводы: Активное внедрение автоматизированных систем тестирования, fuzzing-инструментов и программ выплаты вознаграждений за выявление уязвимостей … Читать далее Оценка типичных проблем с безопасностью для различных языков программирования

Компания Cloudflare представила BoringTun, новую реализацию VPN WireGuard, написанную на языке Rust и работающую целиком в пространстве пользователя. Код проекта распространяется под лицензией BSD. В текущем виде BoringTun уже вполне пригоден для экспериментов и начального внедрения (час назад выпущен первый релиз), но пока не рекомендован для повсеместного применения так как ещё не завершён внутренний аудит безопасности кода. Проект включает в себя исполняемый файл boringtun с обособленной реализацией WireGuard для Linux и macOS, а также библиотеку, которая может использоваться для интеграции функциональности клиента WireGuard в произвольные приложения для любых платформ, включая iOS и Android. Библиотека предоставляет только элементы протокола WireGuard без … Читать далее Cloudflare опубликовал реализацию VPN WireGuard на языке Rust

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, позволяющие выполнить код на сервере и осуществить подстановку SQL-запроса. Проблемы устранены в выпусках Magento 2.1.17, 2.2.8 и 2.3.1, в которых также исправлено 30 менее опасных уязвимостей, таких как межсайтовая подделка запроса (CSRF) и межсайтовый скриптинг (XSS). Наиболее опасная проблема позволяет добиться подстановки своего SQL-кода через отправку специального запроса к обработчику «/catalog/product/frontend_action_synchronize». Атака может быть проведена неаутентифицированным пользователем. Через манипуляции с содержимым БД атакующий может добиться выполнения своего кода на стороне сервера или загрузить конфиденциальные данные из БД, включая хэши паролей пользователей. … Читать далее Опасные уязвимости в платформе электронной коммерции Magento

Разработчики Mozilla представили проект WASI (WebAssembly System Interface), в рамках которого ведётся работа по определению программных интерфейсов, которые можно использовать для организации взаимодействия приложений, поставляемых в формате WebAssembly, с операционной системой. Целью проекта является предоставление API, расширяющего область использования WebAssembly и позволяющего создавать на базе данной технологии обычные программы, выполняемые вне браузера, переносимые на любые платформы и демонстрирующие высокий уровень безопасности. WASI даёт возможность из окружения для выполнения WebAssembly получить доступ к предоставляемым операционной системой функциям, таким как файлы, файловая система, сетевые сокеты, таймеры и генераторы случайных чисел. API WASI изначально развивается как не привязанный к браузерам и независящий от … Читать далее Mozilla развивает WASI для использования WebAssembly вне браузера

Разработчики Mozilla представили проект WASI (WebAssembly System Interface), в рамках которого ведётся работа по определению программных интерфейсов, которые можно использовать для организации взаимодействия приложений, поставляемых в формате WebAssembly, с операционной системой. Целью проекта является предоставление API, расширяющего область использования WebAssembly и позволяющего создавать на базе данной технологии обычные программы, выполняемые вне браузера, переносимые на любые платформы и демонстрирующие высокий уровень безопасности. WASI даёт возможность из окружения для выполнения WebAssembly получить доступ к предоставляемым операционной системой функциям, таким как файлы, файловая система, сетевые сокеты, таймеры и генераторы случайных чисел. API WASI изначально развивается как не привязанный к браузерам и независящий от … Читать далее Mozilla развивает WASI для использования WebAssembly вне браузера