Подготовлен выпуск распределенной системы управления исходными текстами Git 2.19.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. По сравнению с прошлым выпуском в новую версию принято 769 изменений, подготовленных при участии 72 разработчиков, из которых 16 впервые приняли участие в разработке. Основные новшества: Добавлена команда «git range-diff», позволяющая сравнить разные наборы коммитов. В отличие от «git … Читать далее Выпуск распределенной системы управления исходными текстами Git 2.19

После двух лет разработки состоялся релиз библиотеки OpenSSL 1.1.1 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения, не нарушающие обратную совместимость на уровне API и ABI, т.е. все приложения, собранные с OpenSSL 1.1.0, продолжат работу без пересборки и в большинстве случаев смогут обеспечить поддержку TLSv1.3 путём замены версии библиотеки. Поддержка выпуска OpenSSL 1.1.1 будет осуществляться в течение как минимум пяти лет. Основные новшества OpenSSL 1.1.1: Поддержка TLS 1.3 (RFC 8446), который представляет собой улучшенную версию протокола TLS и отличается удалением устаревших и ненадёжных криптографических примитивов (MD5, SHA-224) и возможностей (сжатие, повторное согласование, не-AEAD шифры, статический обмен … Читать далее Значительный выпуск криптографической библиотеки OpenSSL 1.1.1

На состоявшемся сегодня заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено предложение по удалению из репозиториев пакетов, в которых остаются незакрытыми уязвимости. В частности, пакеты будут помечаться кандидатами на удаление, если в момент ответвления ветки для нового релиза Fedora у них имеются активные уведомления об опасных или критических уязвимостях, неисправленные в течение 4 недель. Для уязвимостей средней и низкой степени опасности удаление будет производиться в случае отсутствия исправления на протяжении 6 месяцев. Далее в течение 8 недель мэйнтейнерам будет направляться еженедельные предупреждение о наличии неисправленных проблем. Если после истечение этого срока уязвимость … Читать далее Из Fedora будут исключать пакеты с неисправленными уязвимостями

Исследователи из Техасского университета в Сан-Антонио изучили возможность применения умных ламп для организации передачи данных из изолированных систем, на которые имеется подконтрольное атакующим устройство, но оно не имеет возможность передать данные через интернет. Исследователями продемонстрирована два вида атак. Первая атака проводится в пассивном режиме, без необходимости получения доступа к устройствам, и демонстрирует возможность определения предпочтений человека на основе анализа изменения яркости и цвета умной лампы с включённой функцией адаптивной подсветки (например, лампы LIFX и Philips Hue могут изменять яркость и цвет в такт звука и в зависимости от характера изображения на экране телевизора). В ходе эксперимента было показано, что состояние … Читать далее Умные лампы как источник утечки информации

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-4 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04. Пользователям стабильной ветки OTA-3 обновление до OTA-4 не будет предложено автоматически. Из-за наличия отдельных нерешённых проблем (не перенесены некоторые приложения, недостаточно стабилен браузер … Читать далее Четвёртое обновление прошивки UBports, пришедшей на смену Ubuntu Touch

Представлен выпуск инструментария GNU Mes 0.17, обеспечивающего процесс бутстрэппинга (bootstrap) для GCC. Mes 0.17 является первым выпуском после перевода разработки под крыло проекта GNU. Инструментарий решает задачу верифицированной начальной сборки компилятора в дистрибутивах, разрывая цепочку цикличной пересборки. Для сборки пакетов в дистрибутиве необходим компилятор, но для сборки этого компилятора требуются исполняемые файлы уже собранного компилятора. Например, для сборки новой версии GCC используются уже готовые сборки одной из прошлых версий. Возникает порочный круг и система становится привязанной к бинарным сборкам компилятора, что мешает обеспечению замкнутого цикла пересборки из исходных текстов и полной верификации дистрибутива (бинарные сборки компилятора являются потенциальным источником скрытых … Читать далее Выпуск GNU Mes 0.17, инструментария для самодостаточной сборки дистрибутивов

Разработчики Firefox утвердили план включения нового системного дополнения Firefox Monitor, которое ранее было предложено для тестирования ограниченному числу пользователей Firefox 61. 5 сентября в день выхода Firefox 62 новое дополнение планируется по умолчанию активировать для 0.5% англоязычных пользователей. Если не будет выявлено серьёзных проблем 25 сентября дополнение Firefox Monitor будет включено для всех англоязычных пользователей Firefox 62. В этот же день на сайте monitor.firefox.com, на котором сейчас размещена информационная страница, будет введён в строй рабочий web-сервис. При желании, дополнение можно включить или выключить вручную при помощи настройки extensions.fxmonitor.enabled в about:config. Напомним, что Firefox Monitor обеспечивает вывод предупреждения в случае компрометации … Читать далее В Firefox 62 планируют активировать системное дополнение Firefox Monitor

Группа исследователей из университетов Израиля и США разработали (PDF) технику определения содержимого экрана при помощи анализа звуковых колебаний, исходящих от LCD-мониторов. Представлено несколько прототипов атак, которые позволяют определить открываемые в браузере типовые сайты, распознать вводимые через виртуальную клавиатуру символы и даже с определённой вероятностью воссоздать текст, вводимый в полях ввода. Атаке оказались подвержены различные модели мониторов от разных производителей, включая мониторы от Dell, Samsung, HP, ViewSonic, Philips, Soyo и Apple. Самый старый из протестированных мониторов был выпущен в 2003 году, а самый новый в 2017. Суть метода состоит в сопоставлении незначительных высокочастотных звуков, которые монитор издаёт во время вывода изображения, … Читать далее Воссоздание содержимого на экране через анализ звуковых колебаний от LCD-монитора

Компания Sangoma Technologies, производящая оборудование для IP-телефонии, объявила о покупке компании Digium, развивающей открытую коммуникационную платформу Asterisk. Сумма сделки составила 28 млн долларов. Ранее в руки Sangoma перешёл проект FreePBX, в рамках которого велась разработка интерфейса для управления Asterisk и готовый дистрибутив для быстрого развёртывания VoIP-систем. Sangoma продолжит развитие Asterisk в виде открытого проекта и будет поддерживать сложившееся сообщество. Компания также намерена инвестировать дополнительные ресурсы в разработку Asterisk и поддерживать независимых участников проекта. Читать далее Коммуникационная платформа Asterisk перешла в руки компании Sangoma

25 августа 1991 года после пяти месяцев разработки 21-летний студент Линус Торвальдс объявил в телеконференции comp.os.minix о создании рабочего прототипа новой операционной системы Linux, для которой было отмечено завершение портирования bash 1.08 и gcc 1.40. Первый публичный выпуск ядра Linux был представлен 17 сентября. Ядро 0.0.1 имело размер 62 Кб в сжатом виде и содержало около 10 тысяч строк исходного кода. Современное ядро Linux насчитывает более 25 млн строк кода. По данным исследования, проведённого в 2010 году по заказу Евросоюза, приблизительная стоимость разработки с нуля проекта, аналогичного современному ядру Linux, составила бы более миллиарда долларов США, по другим оценкам — … Читать далее Ядру Linux исполнилось 27 лет

Представлен стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.16, а также развиваемого параллельно композитного сервера Weston 5.0. Отмечается, что в дальнейшем планируется формировать новые выпуски Wayland по мере подготовки новой функциональноcти или устранения серьёзных ошибок, а не по заранее определённому фиксированному графику. Выпуски Weston, как и раньше, продолжат выходить через заранее определённые промежутки времени, но они не будут больше синхронизированы с выпусками Wayland. В рамках очередного цикла разработки кодовые базы Wayland и Weston переведены с cgit, Bugzilla, Patchwork и ikiwiki на новую инфраструктуру совместной разработки на базе платформы GitLab. Внедрена система непрерывной интеграции. Ветка Wayland 1.16 обратно совместима … Читать далее Выпуск Wayland 1.16 и композитного сервера Weston 5.0

Подготовлен релиз языка программирования Go 1.11, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Релиз языка программирования Go 1.11

После пяти месяцев разработки представлен релиз OpenSSH 7.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные новшества: В ssh-keygen осуществлён переход на использование по умолчанию формата OpenSSH для хранения закрытых ключей, вместо предлагаемого в OpenSSL формата PEM. Формат OpenSSH обеспечивает лучшую защиту от перебора паролей и поддерживает размещение комментариев в закрытых ключах. Для использования формата PEM теперь следует явно запускать ssh-keygen с опцией «-m PEM» при генерации или обновлении ключа; В sshd удалена встроенная поддержка многофакторной аутентификации S/Key (для использования S/Key теперь следует использовать внешние реализации через PAM или BSD auth); Код ssh почищен … Читать далее Релиз OpenSSH 7.8

Состоялся релиз анонимной сети I2P 0.9.36 (эталонная реализация на Java), а также релиз i2pd 2.20 (I2P Daemon), полнофункциональной реализации клиента I2P на языке C++. Новые версии примечательны добавлением поддержки нового транспортного протокола NTCP2. Новый протокол сделан на основе Noise Protocol Framework и дополнительно использует хэш HMAC-SHA256 и систему обмена ключами x25519 на основе эллиптических кривых. Главными особенностями NTCP2 являются возможность эффективно противостоять системам распознавания трафика (DPI) и снижение нагрузки на CPU в процессе работы. Из-за применения более быстрых алгоритмов шифрования NTCP2 подходит для применения на маломощных встраиваемых устройствах, смартфонах и домашних маршрутизаторах. По сравнению с ранее предлагаемым протоколом NTCP в … Читать далее Релиз анонимной сети I2P 0.9.36 и C++-клиента i2pd 2.20 с поддержкой нового протокола

Компания Intel приняла во внимание мнение сообщества и устранила в лицензионном соглашении на микрокод все замечания, высказанные Брюсом Перенсом и разработчиками Debian. В частности, из соглашения убраны запреты на публикацию результатов тестирования производительности и исключён пункт, предписывавший предварительное принятие лицензионного соглашения перед началом загрузки. Более того, текст нового лицензионного соглашения кардинально сокращён (с 331 до 12 строк), по сути возвращено старое соглашение, которое ранее на протяжении многих лет использовалось для распространения файлов с прошивками в формате «dat». Анализ предложенной лицензии показал, что она подходит для распространения в составе секции non-free в Debian и других дистрибутивах. Тем не менее, разработчики Debian … Читать далее Intel устранил все замечания в новой лицензии на микрокод

Опубликовано обновление операционной системы Solaris 11.3 SRU 35, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования. Основные изменения в Solaris 11.3 SRU 35: Добавлены новые версии с устранением уязвимостей: python 3.4.8, BIND 9.10.6-P1, Apache Tomcat 8.5.3, kerberos 5 1.16.1, Wireshark 2.6.2, Thunderbird 52.9.1, libvorbis1.3.6, MySQL 5.7.23, gdk-pixbuf, libtiff, jansson, procmail, libgcrypt, libexif; Обновлены версии программ: Oracle VM Server 3.5.0.3, The Java 8, Java 7, Java 6, Explorer 18.3, gnu-gettext 0.19.8, bison 3.0.4, at-spi2-atk 2.24.0, at-spi2-core 2.24.0, gtk+3 3.18.0; … Читать далее Компания Oracle выпустила обновление Solaris 11.3 SRU 35

Брюс Перенс (Bruce Perens), один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и второй лидер проекта Debian (в 1996 году сменил на посту Яна Мердока), обратил внимание на появление в лицензионном соглашении о поставке обновления микрокода для процессоров Intel пункта, запрещающего публикацию итогов тестирования производительности и результатов сравнительных тестов. По мнению Брюса Перенса, микрокод применяется при выполнении всех процессорных инструкций, что распространяет применяемые к микрокоду ограничения на весь процессор, т.е. при установке нового микрокода пользователь лишается права запускать любые тесты производительности на своей системе, даже написанные собственными руками, если результаты данных тестов предоставляются … Читать далее Intel запретил публиковать результаты тестирования производительности нового микрокода

Объявлено о создании компании Foundries.io, которая предоставила две open source платформы для разработки прошивок для IoT устройств: Zephyr microPlatform на основе операционной системы реального времени Zephyr и Linux microPlatform на базе ядра Linux и системного окружения Open Embedded/Yocto с компонентами для поддержки запуска приложений в контейнерах Docker. Сборки Linux microPlatform подготовлены для систем на базе процессоров ARM, Intel и RISC-V, в том числе поддерживаются такие платы, как Toradex Colibri i.MX7 SoM, Raspberry Pi 3, Qualcomm DragonBoard 410C и 820C, TI BeagleBone Black Wireless, Intel NUC 7 и SiFive Unleashed. Zephyr microPlatform поддерживает все устройства, для которых доступны сборки Zephyr RTOS, … Читать далее Foundries.io представила платформы для разработки безопасных прошивок для IoT устройств

В пакетном менеджере APT выявлена уязвимость (CVE-2018-0501) в реализации метода «mirror://», позволяющая обойти проверку пакета по цифровой подписи. При использовании конфигурации с зеркалами (протокол mirror:// в sources.list) атакующий, контролирующий трафик (MiTM), может спровоцировать ситуацию в которой проверка подписи файла InRelease производится некорректно, что может использоваться для подмены содержимого пакетов. Проблема проявляется в ветках 1.6.x и 1.7.x и устранена в выпусках 1.6.3ubuntu0.1, 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian и Ubuntu. Читать далее Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами

Сальвадор Санфилиппо (Salvatore Sanfilippo), создатель СУБД Redis, пояснил ситуацию с изменением лицензионной политики проекта, вокруг которого стали возникать домыслы о переводе Redis в разряд проприетарного ПО. Изменения не касаются базовой части Redis, которая как и раньше будет поставляться под лицензией BSD. Но для некоторых дополнительных модулей (например, RediSearch, Redis Graph, ReJSON, Redis-ML и Rebloom), в которых предлагаются расширенные возможности для корпоративных пользователей, будет применена новая схема лицензирования. Вместо ранее применяемой лицензии AGPL подобные модули будут поставляться в исходных текстах под лицензией Apache 2.0, но с дополнительной оговоркой — Commons Clause, которая вводит дополнительные требования. Модули могут свободно использоваться в любых … Читать далее Изменение лицензионной политики проекта Redis

Компания Valve представила проект Proton, в рамках которого на базе Wine подготовлено решение для запуска в Linux сборок игровых приложений, созданных для Windows. Цель проекта — обеспечить возможность запуска под Linux всех Windows-игр из каталога Steam. На данный момент объявлено о 100% поддержке 26 игр. Наработки проекта опубликованы под лицензией BSD (работа велась в тесном сотрудничестве с Wine и многие изменения уже перенесены в оригинальный Wine и сопутствующие проекты, такие как DXVK и vk3d). В 2010 году компания Valve объявила о выпуске сервиса Steam Play, позволяющего при помощи единственного платежа получить доступ к играм для любой из трёх ОС: Windows, … Читать далее Компания Valve представила проект Proton для запуска Windows-игр в Linux