Организация Linux Foundation представила платформу CommunityBridge, нацеленную на организацию взаимодействия разработчиков СПО с компаниями и частными лицами, готовыми оказать финансовую поддержку определённым разработчикам или важным проектам. Для разработчиков платформа предоставляет инструменты для обеспечения прозрачного процесса сбора средств (организации совместного финансирования), а для доноров позволяет распределить пожертвования между интересующими проектами. Разработчик назначает цель — размер желаемых средств, и определяет имеющиеся у открытого проекта затраты, которые хотелось бы покрыть совместным финансированием. Поддерживается организация разовых сборов средств для проведения различных мероприятий и встреч разработчиков. Кроме того, проект охватывает такую область, как связывание новичков, желающих присоединиться к разработке открытого кода, с наставниками, согласными поделиться … Читать далее Новые проекты Linux Foundation по финансированию, безопасности и совместной разработке СПО

Проблемы с энтропией при генерации серийных номеров при помощи инструментария для удостоверяющих центров EJBCA привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее количество проблемных сертификатов было выписано компаниями Apple, GoDaddy, Google, Actalis и SSL.com. Проблема связана с использованием при формирования серийных номеров случайного числа, включающего 63 бита энтропии, вместо 64 бит. Соответственно сложность подбора каждого числа снизилась с 264 до 263 комбинаций (разница около 9 квинтиллионов). Требования, регламентирующие деятельность удостоверяющих центров, с сентября 2016 года предписывают применение как минимум 64-разрядных серийных номеров, поэтому все находящиеся в обиходе проблемные сертификаты подлежат отзыву и замене. Использование 63 бит вместо 64 обусловлено … Читать далее Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией

Состоялся релиз функционального языка программирования Erlang 21.3, нацеленного на разработку распределённых отказоустойчивых приложений, обеспечивающих параллельную обработку запросов в режиме реального времени. Язык получил распространение в таких областях, как телекоммуникации, банковские системы, электронная коммерция, компьютерная телефония и организация мгновенного обмена сообщениями. Одновременно выпущен релиз OTP 21.3 (Open Telecom Platform) — сопутствующего набора библиотек и компонентов для разработки распределённых систем на языке Erlang. Основные новшества: В обработчик логов logger_std_h добавлена возможность задавать интервал ротации логов; В Erl_interface добавлена поддержка плагинов с собственными реализациями сокетов; Сообщения об ошибках при установлении SSL-соединения стали более информативны и лучше документированы. Переработан и оптимизирован код модуля SSL, … Читать далее Релиз Erlang/OTP 21.3

Опубликован корректирующий релиз системы управления web-контентом WordPress 5.1.1, в котором устранена CSRF-уязвимость, позволяющая совершить атаку на администратора сайта для выполнения кода на сервере. Предложенная атака требует, чтобы администратор сайта на базе WordPress открыл в своём браузере подготовленную злоумышленниками страницу, содержащую код для эксплуатации CSRF-уязвимости в обработчике комментариев WordPress. Уязвимость проявляется только на сайтах с включенной поддержкой отправки комментариев. При открытии вредоносной страницы в браузере администратора, от его имени создаётся комментарий к одной из записей на сайте. Так как администратор обладает расширенными полномочиями по использованию HTML-тегов в комментариях, имеется возможность через манипуляцию с текстом, подставляемым в атрибут «title» тега «а href», … Читать далее В WordPress 5.1.1 устранена уязвимость, позволяющая получить контроль над сайтом

Доступны корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей в системе управления пакетами RubyGems: CVE-2019-8324: возможность выполнения кода при установке непроверенного пакета (атакующий может разместить код в gemspec и этот код будет выполнен через вызов eval в ensure_loadable_spec на стадии проверки перед установкой); CVE-2019-8320: возможность удаления каталогов через манипуляции с символическими ссылками при распаковке файлов tar; CVE-2019-8321: возможность подстановки escape-последовательностей через обработчик Gem::UserInteraction CVE-2019-8322: возможность подстановки escape-последовательностей через команду «gem owner»; CVE-2019-8323: возможность подстановки escape-последовательностей в обработчике API (Gem::GemcutterUtilities#with_response); CVE-2019-8325: возможность подстановки escape-последовательностей через обработчики ошибок (Gem::CommandManager#run вызывает alert_error без экранирования символов). Кроме того, представлено … Читать далее Обновление Ruby и Rails с устранением уязвимостей

Компания Amazon представила проект «Open Distro for Elasticsearh«, в рамках которого будет развиваться полностью открытая редакция платформы поиска, анализа и хранения данных Elasticsearch. Опубликованная редакция пригодна для применения на предприятиях и включает расширенные возможности, доступные только в коммерческой версии оригинального продукта, такие как поддержка SQL, генерация уведомлений, механизмы диагностики кластера и дополнительные средства для обеспечения безопасности. Все компоненты проекта распространяются под лицензией Apache 2.0. Проект создан совместно с компаниями Expedia Group и Netflix в ответ на изменение политики компании Elasticsearch B.V., которая последнее время сосредоточила основное внимание на разработке проприетарной редакции Elasticsearch и почти прекратила развитие открытого продукта. Целью создания … Читать далее Amazon представил редакцию Elasticsearch, решающую проблемы с открытостью кода

Опубликован релиз свободной реализации API OpenGL и Vulkan — Mesa 19.0.0. Первый выпуск ветки Mesa 19.0.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 19.0.1. В Mesa 19.0 предоставляется полная поддержка OpenGL 4.5 для драйверов i965, radeonsi и nvc0, поддержка Vulkan 1.1 для карт Intel и AMD, а также частичная поддержка стандарта OpenGL 4.6. Наиболее заметные изменения: Объявлена устаревшей сборочная система на основе autotools. По умолчанию для сборки теперь применяется Meson. Для продолжения сборки с autotools при запуске autogen.sh следует указать опцию «—enable-autotools». В следующем выпуске 19.1 планируется полностью удалить поддержку autotools; В драйвер ANV … Читать далее Выпуск Mesa 19.0.0, свободной реализации OpenGL и Vulkan

Состоялся выпуск новой стабильной ветки WebKitGTK 2.24.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: По аналогии с GTK название проекта изменено с WebKitGTK+ на WebKitGTK; Добавлен API для подключения пользовательских фильтров контента; Реализована поддержка изменчивых шрифтов (variable fonts), в которых толщина, ширина и другие стилистические характеристики глифа могут произвольно меняться; Обеспечена полноценная … Читать далее Релиз браузерного движка WebKitGTK 2.24.0

После шести месяцев разработки представлен выпуск десктоп-окружения GNOME 3.32. По сравнению с прошлым выпуском было внесено более 26 тысяч изменений, в реализации которых приняли участие 798 разработчиков. Для быстрой оценки возможностей GNOME 3.32 подготовлены специализированные Live-сборки на основе openSUSE и Ubuntu. Основные новшества: Обновлён визуальный стиль элементов интерфейса, рабочего стола и пиктограмм. Тема оформления приведена к более современному виду. Проведена корректировка цветовой схемы — цвета стали более яркими, а панели и кнопки более элегантными и лёгкими. Более современного внешнего вида удалось добиться при помощи инвертирования яркости, избавления от выделяющихся рамок и чуть большего скругления углов. В светлом варианте темы оформления … Читать далее Выпуск пользовательского окружения GNOME 3.32

Компания Google представила релиз web-браузера Chrome 73. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 74 запланирован на 23 апреля. Основные изменения в Chrome 73: В версию для Android добавлен режим «Lite pages», позволяющий ускорить загрузку сайтов и сократить трафик за счёт обращения через прокси в Google, на лету осуществляющий оптимизацию запрашиваемых страниц для просмотра на мобильном устройстве. На серверы Google передаётся … Читать далее Релиз web-браузера Chrome 73

Разработчики проекта Debian сообщили о переводе пакетной базы Debian 10 «Buster» на стадию полной заморозки, при которой процесс переноса пакетов из unstable в testing остановлен и начался этап интенсивного тестирования и исправления блокирующих релиз проблем. В особых случаях пакеты из unstable могут быть перенесены вручную, но для этого требуется получение одобрения от команды, ответственной за подготовку релиза. Напомним, что 21 января 2019 года была выполнена первая стадия заморозки пакетной базы Debian 10, в рамках которой было прекращено выполнение «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing). 12 февраля состоялась мягкая заморозка … Читать далее Debian 10 "Buster" перешёл на стадию полной заморозки перед релизом

В пакетном менеджере pacman, применяемом в дистрибутиве Arch Linux, выявлена уязвимость (CVE-2019-9686), позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля атакующим за за зеркалом репозитория или транзитным трафиком жертвы (например, при подключении пользователя через сетевой шлюз, VPN или беспроводную точку доступа, подконтрольные атакующему). Проблема устранена в обновлении pacman 5.1.3-1. Уязвимость напоминает недавно выявленную проблему в пакетном менеджере APT и также связана с возможностью подмены определённых полей в HTTP-ответах. В Arch Linux, как и большинстве других дистрибутивов, обращение к репозиториям может осуществляться по HTTP без шифрования трафика, но с применением верификация целостности и источника пакета … Читать далее Уязвимость в пакетном менеджере pacman, позволяющая выполнить код в ходе MITM-атаки

Доступен новый выпуск WineVDM, слоя совместимости, позволяющего запускать 16-разрядные приложения (Windows 1.x, 2.x, 3.x) на 64-разрядных версиях Windows. В своей работе WineVDM использует наработки проекта Wine. Код проекта распространяется под лицензией GPLv2. Для загрузки доступны сборки стабильной версии (0.7) и master-ветки (рекомендуется). WineVDM транслирует вызовы программ, написанных для Win16, в вызовы Win32. Поддерживается возможность ассоциации запускаемых программ с WineVDM, а также работа инсталляторов, что делает работу с 16-разрядными программами для пользователя неотличимой от работы с 32-разрядными. В новой версии можно отметить следующие улучшения: Исправления в системе диалогов: Civilization I теперь идёт без каких-либо проблем (раньше были проблемы с памятью); Поддержка … Читать далее Вышел WineVDM 0.7

Компания Mozilla запустила новый сервис Firefox Send, предоставляющий средства для обмена файлами между пользователями с применением оконечного шифрования (end-to-end). Изначально данный сервис проходил тестирование в рамках программы Test Pilot ещё в 2017 году, а теперь признан готовым для повсеместного использования. Firefox Send позволяет загрузить в хранилище на серверах Mozilla файл, размером до 1 Гб в анонимном режиме и 2.5 Гб при создании зарегистрированной учётной записи. На стороне браузера файл шифруется и передаётся на сервер уже в зашифрованном виде. После загрузки файла пользователю предоставляется ссылка, которая генерируется на стороне браузера и включает идентификатор и ключ для расшифровки. При помощи предоставленной ссылки … Читать далее Компания Mozilla ввела в строй сервис обмена файлами Firefox Send

Состоялся релиз системы фильтрации спама Rspamd 1.9, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки, на основе которых формируется итоговый вес сообщения, используемый для принятия решения о необходимости блокировки. Rspamd поддерживает практически все возможности, реализованные в SpamAssassin, и имеет ряд особенностей, позволяющих фильтровать почту в среднем в 10 раз быстрее, чем SpamAssassin, а также обеспечивать лучшее качество фильтрации. Код системы написан на языке Си и распространяется под лицензией Apache 2.0. Rspamd построен с использованием событийно-ориентированной архитектуры (Event-driven) и изначально рассчитан на применение в высоконагруженных системах, позволяя обрабатывать сотни сообщений в секунду. Правила для … Читать далее Доступна система фильтрации спама Rspamd 1.9

Под крылом некоммерческой организации Linux Foundation образован новый проект CHIPS Alliance (Common Hardware for Interfaces, Processors and Systems), нацеленный на продвижение открытых аппаратных систем и развитие решений на базе архитектуры RISC-V. Учредителями проекта выступили компании Google, SiFive, Western Digital и Esperanto Technologies. CHIPS Alliance позиционируется как нейтральная и независимая площадка, на которой различные производители оборудования могут совместно развивать проекты по созданию готовых реализаций открытых CPU и одночиповых систем (SoC), использующих архитектуру RISC-V. Если организация RISC-V Foundation занимается только архитектурой набора команд, но не касается конкретных реализаций, то задачей CHIPS Alliance является подготовка стандартного открытого дизайна чипов для мобильных устройств, вычислительных … Читать далее Google, SiFive и WD основали альянс для продвижения открытых чипов и SoC

Компания NGINX объявила о заключении сделки по продаже своего бизнеса компании F5 Networks, специализирующейся на предоставлении облачных приложений и сетей доставки приложений (ADN). Сумма сделки составит 670 млн долларов. F5 Networks продолжит развитие открытого проекта NGINX и поддержку сформировавшегося вокруг него сообщества. Игорь Сысоев и Максим Коновалов останутся в числе технических руководителей проекта NGINX. Развитие продуктов NGINX будет продолжено под теми же брендами. После завершения сделки компания F5 Networks намерена инвестировать дополнительные средства в развитие продуктов NGINX и интегрировать в них поддержку собственных технологий для управления микросервисами и обеспечения безопасности работы приложений на базе архитектуры Cloud-Native. Концепция микросервисов подразумевает разбиение … Читать далее Компания F5 Networks поглотила NGINX за 670 млн долларов

Компания Microsoft объявила о портировании системы динамической отладки DTrace для платформы Windows. Подготовленные в рамках проделанной работы изменения, за исключением драйвера ядра, размещены в форме отдельной ветки в репозитории проекта OpenDTrace, нацеленного на создание переносимой реализации DTrace, способной работать в различных операционных системах. В течение нескольких месяцев планируется добиться включения кода в основной состав OpenDTrace. Поддержка DTrace в Windows 10 доступна начиная с экспериментальной сборки 18342. Для включения следует активировать опцию dtrace («bcdedit /set dtrace on») и установить специально подготовленный msi-пакет. Для отладки событий в ядре Windows дополнительно требуется настройка режима удалённой отладки. Управление осуществляется при помощи штатной команды dtrace. … Читать далее Microsoft портировал DTrace для Windows

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола ACME (Automatic Certificate Management Environment) и опубликовал связанную с ним спецификацию под идентификатором RFC 8555. RFC получил статус «Предложенного стандарта», после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний. Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера, например, для автоматизации получения и обслуживания сертификатов. Запросы передаются в формате JSON поверх HTTPS. Стандартизирована вторая версия протокола ACMEv2, обеспечивающая поддержку масок в сертификатах, предоставляющая усовершенствованный механизм авторизации, поддерживающий операции переименования … Читать далее Разработанный проектом Let’s Encrypt протокол ACME утверждён в качестве интернет-стандарта

Представлен первый стабильный релиз композитного менеджера Sway 1.0, построенного с использованием протокола Wayland и полностью совместимого с мозаичным оконным менеджером i3 и панелью i3bar. Код проекта написан на языке Си и распространяется под лицензией MIT. Проект нацелен на использование в Linux и FreeBSD. Совместимость с i3 обеспечена на уровне команд, файлов конфигурации и IPC, что позволяет использовать Sway в качестве прозрачной замены i3, использующей Wayland вместо X11. Sway позволяет размещать окна на экране не пространственно, а логически. Окна располагаются, образуя сетку, оптимально использующую экранное пространство и позволяющую быстро манипулировать окнами только при помощи клавиатуры. Среди расширенных возможностей, появившихся в новой … Читать далее Выпуск пользовательского окружения Sway 1.0, использующего Wayland

После более чем 4 месяцев разработки представлен выпуск платформы для построения децентрализованных социальных сетей Hubzilla 4.0. Hubzilla предоставляет коммуникационный сервер, интегрируемый с системами web-публикации, снабжённый прозрачной системой идентификации и средствами управления доступом в децентрализованных сетях Fediverse. Код проекта написан на PHP и Javascript и распространяется под лицензией MIT. Hubzilla поддерживает единую систему аутентификации для работы в качестве социальной сети, форумов, дискуссионных групп, Wiki, систем для публикации статей и веб-сайтов. Также реализовано хранилище данных с поддержкой WebDAV и работа с событиями с поддержкой CalDAV. Распределённая система управления доступом на базе «Nomadic Identity» позволяет обеспечить единый уровень доступа к любой публикации на … Читать далее Релиз децентрализованной коммуникационной платформы Hubzilla 4.0