Доступен релиз web-браузера Pale Moon 28.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как … Читать далее Выпуск браузера Pale Moon 28.1

Опубликованы корректирующие выпуски пакета Bitcoin Core 0.14.3, 0.15.2 и 0.16.3, а также ответвления Bitcoin Knots 0.16.3, в которых устранена удалённая DoS-уязвимость (CVE-2018-17144), способная вызвать крах Bitcoin-клиентов bitcoind и Bitcoin-Qt (дополнение: при подготовке исправления в ветках 0.15 и 0.16 всплыла критическая инфляционная уязвимость, которая может привести к двойной трате средств). Проблема возникает при обработке полученного от майнера блока, включающего транзакцию, которая пытается дважды провести одни и те же входные данные. Эксплуатация уязвимости достаточно затратна, так как приводящие к краху блоки являются некорректными и могут быть созданы только майнером, готовым пожертвовать доходом от создания блока как минимум на сумму 12.5 BTC (около … Читать далее Критическая уязвимость в Bitcoin Core

О публикован выпуск сервера приложений NGINX Unit 1.4, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. Основные изменения: Добавлена поддержка TLS для шифрования клиентских соединений; Добавлен API для управления хранением TLS-сертификатов; Реализована библиотека libunit для интеграции в приложения модулей поддержки языков программирования; … Читать далее Выпуск сервера приложений NGINX Unit 1.4

Опубликованы корректирующие выпуски пакета Bitcoin Core 0.14.3, 0.15.2 и 0.16.3, а также ответвления Bitcoin Knots 0.16.3, в которых устранена удалённая DoS-уязвимость (CVE-2018-17144), способная вызвать крах Bitcoin-клиентов bitcoind и Bitcoin-Qt. Проблема возникает при обработке полученного от майнера блока, включающего транзакцию, которая пытается дважды провести одни и те же входные данные. Эксплуатация уязвимости достаточно затратна, так как приводящие к краху блоки являются некорректными и могут быть созданы только майнером, готовым пожертвовать доходом от создания блока как минимум на сумму 12.5 BTC (около 80 тысяч долларов). Потенциально указанная уязвимость может быть использована для организации масштабной атаки на криптовалюты (например, уязвимость проявляется в Litecoin … Читать далее Уязвимость в Bitcoin Core, приводящая к краху процесса bitcoind

Для обсуждения в списке рассылки разработчиков ядра Linux предложен набор патчей с реализацией пространства имён для времени. После завершения разработки обсуждаемый механизм позволит раздельно управлять временем в каждом контейнере, давая возможность выставлять своё дату/время, синхронизировать время независимо от базового окружения и корректно возобновлять показания таймеров при восстановления контейнера после заморозки. В текущем виде ядро Linux предоставляет общие счётчики всех видов времени для контейнеров, что создаёт трудности при миграции контейнеров между узлами и восстановлении после заморозки их состояния. При восстановлении остановленного на какое-то время контейнера важно не столько изменение показания календарного времени (CLOCK_REALTIME), сколько правильность восстановления значений монотонных часов (CLOCK_MONOTONIC) и … Читать далее Для ядра Linux предложен механизм раздельного учёта времени в контейнерах

Компания Oracle завершила процесс передачи организации Eclipse Foundation открытого сервера приложений GlassFish c эталонной реализацией спецификации Java EE. Передача осуществлена в рамках инициативы по передаче разработки и управления проектом Java EE (Java Platform Enterprise Edition) независимому сообществу. Код GlassFish перемещён в репозиторий Eclipse и теперь будет развиваться в составе проекта Eclipse EE4J (Jakarta EE) под именем Eclipse GlassFish. Получив контроль за эталонной реализацией Java EE организация Eclipse Foundation приступила к подготовке платформы Jakarta EE для приёма изменений от представителей сообщества. Из пока не перенесённых проектов остаётся фреймворк Krazo с реализацией Model View Controller API. Статус миграции остальных компонентов Java EE: Читать далее Oracle передал код GlassFish организации Eclipse Foundation

В выпускаемых компанией Western Digital сетевых хранилищах My Cloud выявлена уязвимость (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации. Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, установив Cookie «username=admin», и система предоставляла доступ с правами администратора не запрашивая пароль входа. Для генерации сессионного ключа для продолжения сеанса и обращения к другим скриптам с правами администратора можно отправить POST-запрос «cmd=cgi_get_ipv6flag=1». Успешная атака позволяет полностью контролировать настройки устройства, а также читать, модифицировать и удалять любые данные в хранилище. Компания Western Digital была информирована о проблеме ещё в апреле, но до сих пор не выпустила обновления. … Читать далее Уязвимость в сетевых хранилищах WD MyCloud, позволяющая получить доступ без аутентификации

Компания Mozilla опубликовала первый выпуск Firefox Reality, специализированного браузера для систем виртуальной реальности. Предложенный браузер предоставляет трёхмерный интерфейс пользователя для навигации по сайтам внутри виртуального мира или в составе систем дополненной реальности. Браузер оформлен в виде приложения для платформы Android и требуется для сборки Android NDK r17b. Поддерживается использование 3D-шлемов Samsung Gear VR, Oculus Go, Qualcomm ODG, VIVE Focus, Google Daydream. Для тестирования без 3D-шлема браузер может быть запущен на обычном смартфоне на базе Android. Сборки Firefox Reality размещены в каталогах приложений Oculus, Daydream и Viveport. Кроме предназначенного для управления через 3D-шлем интерфейса, позволяющего просматривать традиционные двумерные страницы, браузер предлагает … Читать далее Представлен первый выпуск Firefox для устройств виртуальной реальности

В подсистеме vmacache ядра Linux обнаружена уязвимость (CVE-2018-17182), которая потенциально может быть использована для создания эксплоита для повышения привилегий локального пользователя в системе. Уязвимость вызвана отсутствием проверки переполнения 32-разрядного номера последовательности, что можно использовать для обращения к уже освобождённому блоку памяти (use-after-free). Проблема присуствует в ядрах с 3.16 по 4.18.8. Исправление пока доступно в виде патча. Обновления пакетов для дистрибутивов ещё не сформированы (Debian, Ubuntu, RHEL, SUSE, Fedora). Также можно отметить оперативное выявление в ядре Linux уязвимости (CVE-2018-14641) в коде для обработки фрагментированных IPv4 пакетов. Уязвимость позволяет удалённо вызвать крах ядра при обработке специально оформленных фрагментированных пакетов. Проблема не вышла … Читать далее Уязвимость в ядре Linux, потенциально позволяющая поднять привилегии

После шести месяцев разработки сформирован релиз проекта LLVM 7.0 (Low Level Virtual Machine) — GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Из новых возможностей LLVM 7.0 отмечается возможность мультиверсионирования функций в Clang, улучшение поддержки предкомпилированных заголовков PCH в clang-cl, предварительная поддержка формата отладочной информации DWARF v5, начальная поддержка NVIDIA PTX для ускорения вычислений в OpenMP 4.5, поддержка OpenCL C++, поддержка MSan, X-Ray и libFuzzer во FreeBSD, начальная поддержка UBSan, … Читать далее Релиз набора компиляторов LLVM 7.0

Компания Canonical предупредила о скором истечении пятилетнего срока выпуска обновлений для Ubuntu 14.04 LTS. Начиная с 30 апреля 2019 года официальная публичная поддержка дистрибутива Ubuntu 14.04 будет прекращена, но для пользователей, которые не успевают перевести свои системы на Ubuntu 16.04 или 18.04, предложена программа ESM (Extended Security Maintenance), в рамках которой будет продолжена публикация обновлений с устранением уязвимостей для ядра и наиболее важных системных пакетов. Доступ к этим обновлениям будет ограничен только для пользователей платной подписки на услуги технической поддержки. Читать далее Компания Canonical продлевает поддержку Ubuntu 14.04 для платных подписчиков

Для включения в кодовую базу, на основе которой будет сформирован релиз Chrome 70, предложено изменение, убирающие отображение схемы «file://» из адресной строки при доступе к локальным файлам текущей системы. Путь к файлу будет показан как есть, а для информирования о доступе к локальным ресурсам в начале адресной строки будет показываться специальный индикатор «File». Читать далее В Chrome 70 планируют прекратить отображение "file://" в адресной строке

Доступен релиз мультимедиа проигрывателя SMPlayer 18.9, предоставляющего графическую надстройку над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows. В новой версии добавлена эксперименатальная функция для организации вещания на внешние мобильные устройства. В меню «Play» появилась опция «Cast to — Smartphone/tablet», при выборе которой отображается QR-код. Отсканировав данный код на смартфоне или планшете можно просмотреть открытое в … Читать далее Новая версия медиапроигрывателя SMPlayer 18.9

Департамент по лицензированию в штате Вашингтон признал возможность применения свободного пакета GnuPG для заверения нотариальных актов. В июле в ходе рассмотрения заявления о продлении сертификата на осуществление нотариальной деятельности, комиссия отвергла попытку применения GnuPG в качестве приложения для создания цифровых подписей. В качестве причины отказа было указано на несоответствие GnuPG утверждённым требованиям и правилам. Заявитель направил ответный запрос с требованием предоставить детальное обоснование и привёл свои аргументы, по пунктам разобрав соответствие GnuPG всем требованиям. Департамент по лицензированию согласился с предоставленными доводами и разрешил применение GnuPG в качестве технологической платформы для заверения нотариальных электронных записей. Читать далее GnuPG признан пригодным для заверения нотариальных актов в штате Вашингтон

Подготовлен релиз платформы Electron 3.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 66, платформы Node.js 10.2.0 и JavaScript-движка V8 6.6. Другие изменения: Добавлены новые API для кастомизации текстовых полей (TextField API) и кнопок (Button API), а также для динамического управления ведением логов (netLog API). Ранее доступеные API дополнены новыми вызовами: app.isPackaged, app.whenReady(), process.getHeapStatistics(), win.moveTop(). Обеспечена возможность использования webview в режиме sandbox-изоляции. Для node.js добавлены прослойки для доступа к реальным файловым путям (fs.realpathSync.native и fs.realpath.native). Вызов fs.readSync адаптирован для … Читать далее Релиз Electron 3.0.0, платформы создания приложений на базе движка Chromium

Компания Google представила релиз операционной системы Chrome OS 69, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 69. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 69 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 69: Задействован по умолчанию новый интерфейс пользователя, оформленный в стиле Material … Читать далее Релиз Chrome OS 69 с обновлённым интерфейсом и поддержкой Linux

Следом за ядром Linux проект PostgreSQL принял новый кодекс поведения (Code of Conduct) и сформировал комитет для разбора жалоб и разрешения конфликтных ситуаций. Комитет возглавила Стейси Хэйслер (Stacey Haysler), занимающая должность финансового и операционного директора компании PostgreSQL Experts. Принятый кодекс поведения подчёркивает открытость проекта для любых участников, независимо от уровня их знаний и квалификации. Кодекс также задаёт требования к манере общения в сообществе и определяет способы разрешения конфликтов. Например, кодекс определяет, что дискуссии должны вестись конструктивно и без перехода на личности, сосредотачиваясь на коде, технологиях, проектах и инфраструктуре. Читать далее Проект PostgreSQL принял кодекс поведения разработчиков

Русскоязычное сообщество KDE запустило обновлённый сайт KDE.ru. На сайте размещена основная информация о сообществе, ссылки для загрузки продуктов, инструкции для новых участников и список страниц в соцсетях. Сайт построен на движке Jekyll и размещён в основной инфраструктуре KDE на одном сервере c kde.org. Новый сайт заменил собой старый форум, утративший участников в последние годы, и призван помочь всем, кто начинает свой путь в мир свободного ПО. Читать далее Новый сайт русскоязычного сообщества KDE

18 сентября Фонд СПО в сотрудничестве с организациями Electronic Frontier Foundation, Open Rights Group, Public Knowledge, Creative Commons и Document Foundation проводит международный день против технических средств защиты авторских прав (DRM), ограничивающих свободу пользователя. По мнению сторонников акции пользователь должен иметь возможность полностью контролировать свои устройства, от автомобилей и медицинских устройств до телефонов и компьютеров. В рамках проводимой акции Фонд СПО предлагает на сутки воздержаться от использования устройств и online-сервисов, в которых поддерживается DRM. В нынешнем году мероприятие было перенесено на 18 сентября. В этот день исполнился ровно год с момента присвоения спецификации Encrypted Media Extensions (EME) статус web-стандарта (рекомендации … Читать далее 18 сентября проходит международный день против DRM

Компания Versity объявила об открытии исходных текстов специализированной файловой системы ScoutFS, оптимизированной для хранения архивных данных. Утверждается, что ScoutFS стала первой открытой файловой системой для архивирования, нацеленной на предоставление промышленного уровня надёжности и масштабирования при хранении огромного числа файлов. Код опубликован под свободной лицензией GPLv2, что позволяет в будущем включить его в основной состав ядра Linux. В настоящее время ScoutFS распространяется в виде внешнего модуля для ядра Linux из состава RHEL/CentOS 7.x. ScoutFS относится к категории кластерных систем, организующих доступ группы серверов к совместному хранилищу данных. В ScoutFS встроены сервисы для хранения метаданных, механизм индексации и средства для контроля целостности … Читать далее Компания Versity открыла исходные тексты файловой системы ScoutFS

Представлен релиз программы для управления коллекцией фотографий Shotwell 0.30.0, которая предоставляет удобные возможности каталогизации и навигации по коллекции, поддерживает группировку по времени и тегам, предоставляет инструменты для импорта и конвертации новых фотографий, поддерживает выполнение типовых операций по обработке изображений (вращение, устранение эффекта красных глаз, корректировка экспозиции, оптимизация цветности и т.п.), содержит средства для публикации в социальных сетях, таких как Facebook, Flickr и Picasa (для MediaGoblin существует экспериментальный плагин). В новом выпуске: Добавлена возможность распознавания лиц на фотографиях. В Shotwell теперь можно устанавливать метки в привязки к лицам и использовать подобные метки для группировки, сортировки и поиска людей на других фотографиях. … Читать далее Доступен менеджер фотографий Shotwell 0.30 с поддержкой распознавания лиц