Компания Google представила релиз операционной системы Chrome OS 70, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 70. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 70 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 70: Добавлена возможность монтирования сетевых хранилищ Windows и Samba с использованием … Читать далее Релиз Chrome OS 70

Опубликован выпуск сервера приложений NGINX Unit 1.5, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go и JavaScript/Node.js). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. Основные изменения: Добавлена начальная поддержка Node.js, ограниченная пока простым транспортом HTTP, обрабатывающим соединения в форме запрос-ответ (WebSockets не поддерживается). Пакет для интеграции Node.js с NGINX Unit … Читать далее Выпуск сервера приложений NGINX Unit 1.5 с поддержкой Node.js

Йоанна Рутковская (Joanna Rutkowska) объявила об уходе из проекта Qubes, в котором на протяжении последних 9 лет она развивала идею использования гипервизора для строгой изоляции приложений и компонентов ОС. По мнению Йоанны операционная система Qubes уже обрела форму готового самодостаточного продукта, вокруг которого сформировалось целостное сообщество разработчиков. Общая концепция Qubes уже проработана и из основных задач на будущее остаётся улучшение совместимости с оборудованием и развитие интерфейса пользователя. Работа по обеспечению безопасности данных на конечных устройствах последние годы сильно продвинулась вперёд и привлекает большое внимание экспертов. Тем не менее всё больше информации пользователей перемещается из локальных систем в облачные хранилища, в … Читать далее Йоанна Рутковская покинула проект Qubes и присоединилась к работе над платформой Golem

Состоялся релиз языка системного программирования Rust 1.30, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Релиз языка программирования Rust 1.30

Опубликован первый выпуск Qt Design Studio 1.0, окружения для проектирования интерфейса пользователя и разработки графических приложений на базе Qt. Qt Design Studio позволяет упростить совместную работу дизайнеров и разработчиков над созданием рабочих прототипов сложных и масштабируемых интерфейсов. Дизайнеры могут сосредоточится только над графическим макетом оформления, в то время как разработчики могут уделить основное внимание разработке логики работы приложения, используя автоматически сгенерированный для макетов дизайнера QML-код. При помощи предлагаемого в Qt Design Studio рабочего процесса можно в считанные минуты превратить подготовленные в Photoshop или других графических редакторах макеты в рабочие прототипы, которые можно запустить на реальных устройствах. Продукт распространяется бесплатно, но … Читать далее Проект Qt представил среду разработки Qt Design Studio 1.0

Опубликован релиз X.Org Server 1.20.3, в котором устранена опасная уязвимость (CVE-2018-14665), позволяющая повысить свои привилегии или перезаписать любой файл в системе. Проблема проявляется только при запуске X-сервера в режиме запуска с повышенными привилегиями (когда исполняемый файл x-сервера поставляется с установленным битом setuid root и любой непривилегированный пользователь может запустить x-сервер). Суть уязвимости в том, что при запуске X-сервера пользователь может поменять путь к модулям при помощи опции «-modulepath» и добиться загрузки своего модуля, который будет запущен на этапе до сброса привилегий с правами root. Второй вариант атаки связан с использованием опции «-logfile», при помощи которой локальный злоумышленник может направить вывод … Читать далее Выпуск X.Org Server 1.20.3 с устранением локальной root-уязвимости

Подготовлен релиз СУБД Redis 5.0, относящейся к классу NoSQL-систем. Redis предоставляет похожие на Memcached функции для хранения данных в формате ключ/значение, расширенные поддержкой структурированных форматов данных, таких как списки, хэши и множества, а также возможностью выполнения на стороне сервера скриптов-обработчиков на языке Lua. Код проекта поставляется под лицензией BSD. В отличие от Memcached, Redis обеспечивает постоянное хранение данных на диске и гарантирует сохранность БД в случае аварийного завершения работы. Исходные тексты проекта распространяются в рамках лицензии BSD. Клиентские библиотеки доступны для большинства популярных языков, включая Perl, Python, PHP, Java, Ruby и Tcl. Redis поддерживает транзакции, позволяющие выполнить за один шаг … Читать далее Выпуск СУБД Redis 5.0

Доступен релиз специализированного дистрибутива Tails 3.10.1 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 Гб. В новом выпуске при разблокировании шифрованных разделов VeraCrypt скрыта опция PIM, поддержка которой появится только в Tails 4.0. В диалоге подтверждения начала установки добавлены привычные кнопки Install, Upgrade и Cancel. Ядро Linux обновлено … Читать далее Релиз дистрибутива Tails 3.10.1 и браузера Tor Browser 8.0.3

Состоялся релиз PipelineDB 1.0, дополнения к СУБД PostgreSQL с реализацией средств для непрерывной обработки потока данных в формате временного ряда (срезы значений параметров через заданные промежутки времени). PipelineDB позволяет при помощи непрерывно выполняемых SQL-запросов обрабатывать и агрегировать постоянно поступающий поток данных, таких как показания датчиков, метрики системы мониторинга или статистика рекламных сетей. Код проекта распространяется под лицензией Apache 2.0. PipelineDB может на лету агрегировать, фильтровать и вычищать поступающий поток данных, суммируя входящие данные в разрезе фиксированных временных промежутков (1 сек, 2 мин, 1 день, 30 дней и т.п.). Результат первичной обработки сохраняются в таблицы или отбрасывается (PipelineDB не сохраняет все … Читать далее Выпуск PipelineDB 1.0.0, надстройки к PostgreSQL для непрерывной обработки потоков

Компания AMD опубликовала выпуск набора драйверов AMD Radeon 18.40 для Linux, основанного на свободном модуле ядра AMDGPU, развиваемого в рамках инициативы по унификации графического стека AMD для проприетарных и открытых видеодрайверов. В AMD Radeon в одном наборе интегрированы открытый и проприетарный стеки драйверов — драйверы amdgpu-pro и amdgpu-all-open (vulkan-драйвер RADV и OpenGL-драйвер RadeonSI, основанные на коде из Mesa) предлагаются в одном пакете и пользователь на своё усмотрение может выбрать открытые или закрытые драйверы. Драйвер поддерживает API OpenGL 4.5, GLX 1.4, OpenCL 1.2, Vulkan 1.1 и VDPAU/VAAPI, включает базовые средства для управления экраном и питанием, поддерживает интерфейсы KMS (Kernel Mode Setting) … Читать далее Выпуск набора видеодрайверов AMD Radeon 18.40

В каталоге Python-пакетов PyPI обнаружен вредоносный пакет «colourama», который маскировался под популярную библиотеку «colorama» и включал копию её кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносный пакет также включал код для загрузки и установки в систему скрипта на Visual Basic, активировавшийся в момент установки пакета на платформе Windows. После установки в систему скрипт вызывался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. … Читать далее В каталоге PyPI выявлены вредоносные пакеты

Состоялся релиз свободного дистрибутива OpenIndiana 2018.10, пришедшего на смену бинарному дистрибутиву OpenSolaris, развитие которого было прекращено компанией Oracle. OpenIndiana предоставляет пользователю рабочее окружение, построенное на базе свежего среза кодовой базы проекта Illumos. Непосредственно разработка технологий OpenSolaris продолжается проектом Illumos, в котором развивается ядро, сетевой стек, файловые системы, драйверы, а также базовый набор пользовательских системных утилит и библиотек. Для загрузки сформировано три вида iso-образов — серверная редакция с консольными приложениями (670 Мб), минимальная сборка (486 Мб) и сборка с графическим окружением MATE (1.5 Гб). Основные изменения в OpenIndiana 2018.10: Рабочий стол MATE обновлён до выпуска 1.20; В поставку добавлен Python 3.5 … Читать далее Выпуск дистрибутива OpenIndiana 2018.10, продолжающего развитие OpenSolaris

Разработчики Fedora Linux объявили о начале тестирования инструментария Fedora Toolbox, призванного упростить жизнь разработчикам, которым необходимо часто устанавливать различные дополнительные библиотеки и приложения, в условиях применения сборок Fedora Silverblue, которые в недалёком будущем могут заменить классический Fedora Workstation (поставка Fedora Silverblue в качестве приоритетной сборки для рабочих столов рассматривается уже в Fedora 30). Напомним, что редакция Fedora Silverblue отличается от Fedora Workstation поставкой в монолитном виде, без разделения базовой системы на отдельные пакеты, с применением атомарного механизма обновления. Все дополнительные приложения устанавливаются в виде flatpak-пакетов, запускаемых в изолированных контейнерах. Системный образ неделим и формируется с использованием технологии OSTree (отдельные пакеты … Читать далее Началось тестирование инструментария Fedora Toolbox

Опубликован релиз HTTP-сервера Apache 2.4.37 (выпуск 2.4.36 был пропущен), в котором представлено 17 изменений. Наиболее заметные изменения: В mod_ssl добавлена поддержка OpenSSL 1.1.1 и протокола TLSv1.3; Устранены проблемы с работой HTTP/2 при сборке с OpenSSL 1.1.1; Устранён крах mod_ssl при повторном согласовании SSL-соединения при выставленной опции OptRenegotiate, в случае если клиентский сертификат тот же, что в изначальном соединении, но требует верификации; В mod_brotli и mod_deflate восстановлена раздельная обработка ответов «304 Not Modified»; Улучшена обработка ошибок в mod_proxy_scgi и mod_proxy_uwsgi; В mod_http2 в обработчик конца потока добавлен код для защиты от ситуации пропуска сигнала окончания потока (eos buckets) от обработчика запроса; … Читать далее Релиз http-сервера Apache 2.4.37 с поддержкой TLSv1.3

В системе управления контентом Drupal выявлены две критические уязвимости, позволяющие выполнить код на сервере. Проблемы устранены в выпусках Drupal 7.60, 8.5.8 и 8.6.2. Первая уязвимость затрагивает Drupal 7 и Drupal 8 и связана с отсутствием должного экранирования спецсимволов в функции DefaultMailSystem::mail(). При отправке сообщения на email не все переменные проверяются, что позволяет передать утилите sendmail произвольные аргументы командной строки и инициировать выполнение своего кода. Вторая уязвимость присутствует только в Drupal 8 и вызвана отсутствием необходимой чистки контекстных ссылок в модуле Contextual Links. Через передачу специально оформленной контекстной ссылки атакующий может добиться выполнения своего кода в системе. Для атаки необходим доступ … Читать далее Уязвимости в Drupal

Представлен релиз Node.js 11.0.0, платформы для выполнения высокопроизводительных сетевых приложений на языке JavaScript. Одновременно завершена стабилизация прошлой ветки Node.js 10.x, которая переведена в категорию выпусков с длительным сроком поддержки, обновления для которых выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 8.0 продлится до 2021 года, а позапрошлой LTS-ветки 6.0 до 2020 года. Среди улучшений в Node.js 11.0: JavaScript-движок V8 обновлён до версии 7.0. Прекращена поддержка FreeBSD 10. Для дочерних процессов по умолчанию включена опция windowsHide для скрытия окна с консолью субпроцессов. В методе fs.read() теперь обязательно указание callback-обработчика. Модули http, https и tls переведены на использование нового парсера URL, … Читать далее Выпуск серверной JavaScript-платформы Node.js 11.0

Состоялся релиз web-браузера Firefox 63, а также мобильной версии Firefox 63 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 64, релиз которой намечен на 11 декабря. Основные новшества: Предложен набор настроек для управления блокированием контента. Пользователь может включить блокировку любых сторонних Cookie и скриптов, применяемых для отслеживания перемещений (блокировка по базе disconnect.me). Блокировщик пока предлагается опционально, но запланирован для включения по умолчанию в Firfox 65. Для каждого сайта в адресной строке показывается специальный значок, отображающий статус блокировки скриптов и Cookie. Предоставляется возможность добавления исключений для выбранных … Читать далее Релиз Firefox 63

В плагине jQuery-File-Upload выявлена поучительная уязвимость CVE-2018-9206, показавшая беспечность web-разработчиков и web-администраторов. jQuery-плагин jQuery-File-Upload предоставляет функциональный web-виджет для организации загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Основная функциональность jQuery-File-Upload реализована на JavaScript и выполняется на стороне браузера, при этом в состав также входит набор примеров серверных обработчиков для сохранения отправляемых файлов. Суть уязвимости в том, что в предлагаемых серверных обработчиках полностью отсутствовали фильтры для блокирования загрузки потенциально опасных типов контента и загружаемые файлы сохранялись на сервере под исходными именами, которые определял пользователь на сайте. Данные загружались в каталог «./files», находящийся в рабочей иерархии каталогов … Читать далее Неосмотрительное использование плагина jQuery-File-Upload делает многие сайты уязвимыми

Спустя год с момента формирования прошлой значительной ветки компания Oracle представила первый бета-выпуск системы виртуализации VirtualBox 6.0. Основные улучшения: Добавлена возможность экспорта виртуальных машин в OCI (Oracle Cloud Infrastructure); Модернизировано оформление интерфейса пользователя; Добавлена возможность подключения и отключения звуковых драйверов VRDE без остановки работы виртуальной машины; Расширен API управления гостевыми системами; Добавлен обходной путь для обеспечения сетевого взаимодействия в старых гостевых системах, в которых для virtio PCI-устройств не включается Bus mastering. Читать далее Бета-выпуск VirtualBox 6.0

Латиноамериканский Фонд свободного ПО опубликовал полностью свободный вариант ядра 4.19 — Linux-libre 4.19-gnu, очищенный от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. Кроме того, Linux-libre отключает функции ядра по загрузке несвободных компонентов, не входящих в поставку ядра, и удаляет упоминание об использовании несвободных компонентов из документации. Для очистки ядра от несвободных частей, в рамках проекта Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих … Читать далее Доступен полностью свободный вариант ядра Linux-libre 4.19

Сообщество RISC OS Open Ltd (ROOL), созданное в 2006 году для координации постепенного открытия кода RISC OS, объявило о сотрудничестве с компанией RISC OS Developments (ROD), которая после покупки компании Castle Technology Ltd (Castle) получила контроль за всей интеллектуальной собственностью, связанной с операционной системой RISC OS (ранее ОС развивалась разными компаниями, что приводило к большим спорам и конфликтам при лицензировании кода). Компания RISC OS Developments согласилась опубликовать исходные тексты RISC OS под лицензией Apache 2.0, что позволит привлечь к участию в проекте сторонников открытой модели разработки и позволит бесплатно использовать код RISC OS в сторонних коммерческих продуктах, без необходимости покупки … Читать далее Код RISC OS будет открыт под лицензией Apache 2.0