Дженс Эксбо (Jens Axboe), мэйнтейнер подсистемы блочных устройств, подготовил патч, решающий проблему с файловой системой ext4 в ядре Linux 4.19, которая может привести к повреждению данных. Проблема проявляется при сборке ядра с опцией «CONFIG_SCSI_MQ_DEFAULT=y», которая выставляется по умолчанию начиная с версии 4.19. Необходимым условием также является работа без планировщика ввода-вывода (/sys/devices/virtual/block/*/queue/scheduler содержит значение «none»). Так как источник проблемы не специфичен для ext4 и присутствует в слое разделения очередей для блочных устройств («blk-mq»), то теоретически проблема могла затрагивать и другие файловые системы, но в силу популярности проявление проблемы пока зафиксировано только для Ext4 (дополнение: пользователи ZFS зафиксировали появление в логах предупреждений … Читать далее Выпущен патч, решающий проблему с blq-mq в ядре Linux 4.19, которая приводит к потере данных

Дженс Эксбо (Jens Axboe), мэйнтейнер подсистемы блочных устройств, подготовил патч, решающий проблему с файловой системой ext4 в ядре Linux 4.19, которая может привести к повреждению данных. Проблема проявляется при сборке ядра с опцией «CONFIG_SCSI_MQ_DEFAULT=y», которая выставляется по умолчанию начиная с версии 4.19. Необходимым условием также является работа без планировщика ввода-вывода (/sys/devices/virtual/block/*/queue/scheduler содержит значение «none»). Так как источник проблемы не специфичен для ext4 и присутствует в слое разделения очередей для блочных устройств («blk-mq»), то теоретически проблема могла затрагивать и другие файловые системы, но в силу популярности проявление проблемы пока зафиксировано только для Ext4 (дополнение: пользователи ZFS зафиксировали появление в логах предупреждений … Читать далее Выпущен патч, решающий проблему с ext4 в ядре Linux 4.19

Разработчики FreeBSD сообщили об устранении уязвимости (CVE-2018-17160) в гипервизоре bhyve, которая позволяла получить контроль над хост-системой из гостевого окружения. Эксплуатация уязвимости производится через манипуляции с образом прошивки на стороне гостевой системы и потенциально может привести к выполнению кода в контексте хост-системы с правами root. Уязвимость затрагивает все поддерживаемые ветки FreeBSD (stable/11). Проблема вызвана некорректной проверкой допустимых границ при помещении данных в буфер и присутствует в реализации фонового процесса bhyve, обеспечивающего эмуляцию виртуализированных устройств для гостевых окружений. В качестве обходного пути для блокирования уязвимости можно использовать для загрузки гостевых систем bhyveload или grub2-bhyve, которые не активируют для гостевых систем код «device … Читать далее Уязвимость в гипервизоре bhyve, позволяющая получить доступ к хост-системе

Состоялся релиз платформы оркестровки контейнеров Kubernetes 1.13, позволяющей как единым целым управлять кластером Linux-контейнеров, созданных с использованием таких инструментариев как Docker и rkt. В новой версии устранена критическая уязвимость (CVE-2018-1002105), позволяющая любому пользователю получить полный контроль за кластером изолированных контейнеров. Проблема также устранена в обновлениях 1.10.11, 1.11.5 и 1.12.3. Для совершения атаки достаточно отправить через API специально оформленный запрос определения доступных бэкентов (discovery-запрос). Из-за ошибки данный тип запросов оставляет открытым сетевое соединение, что позволяет использовать сервер API (kube-apiserver) в качестве посредника для отправки запросов любому бэкенду, воспользовавшись соединением, установленным с сервером API. Соответственно, перенаправляемые через подобные соединения запросы будут обработаны … Читать далее В Kubernetes 1.13 устранена критическая уязвимость, позволяющая поднять свои привилегии

Компания CodeWeavers выпустила релиз пакета Crossover 18.1, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 18.1 можно загрузить на данной странице. В новой версии для платформы Linux добавлена поддержка Visio 2016. Для macOS решены проблемы с запуском финансового пакета Quicken 2016-2018 и загрузкой игр из Steam. Возвращена возможность использования игровых контроллеров для Steam. Читать далее Релиз CrossOver 18.1 для Linux и macOS

Компания Cisco представила новый значительный выпуск свободного антивирусного пакета ClamAV 0.101.0. Напомним, что проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2. Ключевые улучшения: Добавлена поддержка извлечения данных из архивов, созданных в пятой версии утилиты RAR. Вместо ранее используемого распаковщика unrar задействована распространяемая компанией RarLabs библиотека UnRAR 5.6.5. Лицензия на связующую библиотеку libclamunrar_iface изменена с LGPL на BSD; Проведена реструктуризация опций и директив в утилите clamscan и файле конфигурации clamd.conf. Опции, связанные с выводом предупреждений на основе эвристического анализа теперь снабжены префиксами «Alert*» и «—alert-*». Настройка AlgorithmicDetection … Читать далее Компания Cisco выпустила свободный антивирусный пакет ClamAV 0.101

Состоялся релиз Proxmox Virtual Environment 5.3, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 641 Мб. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 5.3, дистрибутива для организации работы виртуальных серверов

Компания Microsoft продолжила открытие составных частей платформы .NET и в дополнение к ранее открытым компонентам .NET Core и ASP.NET Core, позволяющим создавать консольные, web- и серверные приложения, перевела в разряд свободного ПО WPF (Windows Presentation Foundation), Windows Forms и WinUI (Windows UI XAML Library), дающие возможность разрабатывать приложения с графическим интерфейсом пользователя. Код открыт под лицензией MIT и размещён на GitHub (желающие могут подключиться к разработке, репозитории открыты для приёма изменений со стороны). Одновременно опубликован тестовый выпуск открытой платформы .NET Core 3.0 Preview 1, в состав которой вошёл фреймворк для разработки клиентских приложений WPF, позволяющий создавать кроссплатформенные интерфейсы пользователя с … Читать далее Microsoft открыл код WPF, Windows Forms и WinUI

Компания Blueway Software Works, которая выкупила права на проект PC/GEOS после смерти его владельца, открыла полученные наработки под свободной лицензией Apache 2.0. PC/GEOS представляет собой графическое окружение пользователя, выполненное в виде надстройки над операционной системой DOS, и набор сопутствующих пользовательских приложений (офисный пакет, браузер, почтовый клиент, графический редактор). Код рабочего стола и низкоуровневых компонентов PC/GEOS написан на ассемблере, приложения в основном написаны на Си. Наработки PC/GEOS могут представлять интерес для любителей низкоуровневого программирования и людей, интересующихся историей операционных систем. Проект PC/GEOS был основан в 1990 году и обновлялся вплоть до 2009 года в форме пропритеарного ПО. Версия для ПК изначально … Читать далее Открыты исходные тексты графического окружения PC/GEOS

Компания Microsoft ведёт разработку нового web-браузера, который планируется поставлять по умолчанию в Windows 10 вместо Edge. Проект развивается под кодовым именем Anaheim и примечателен переходом на наработки свободного проекта Chromium вместо развития собственного браузерного движка EdgeHTML. Пока не ясно под каким брендом будет предложен новый браузер и изменится ли интерфейс пользователя. Не исключено, что новый браузер будет преподнесён как значительное обновление к Edge и продолжит поставляться под тем же именем с сохранением основных элементов интерфейса. Например, выпуски Edge для iOS и Android изначально не применяют EdgeHTML, а используют штатные движки отрисовки web-контента, предоставляемые мобильными платформами. В качестве причины прекращения разработки … Читать далее Microsoft заменит Edge браузером на основе свободного движка Chromium

Социальная сеть Quora, специализирующаяся на обмене знаниями и ответах на вопросы, раскрыла сведения об инциденте, произошедшем 30 ноября, в результате которого неизвестные злоумышленники получили неавторизированный доступ в к серверам инфраструктуры проекта. В результате взлома в руки атакующих попали параметры учётных записей приблизительно 100 млн пользователей, а также приватная переписка, не опубликованные заметки и данные экспортированные из других социальных сетей (адресные книги). В том числе атакующие получили доступ к хэшам паролей пользователей (метод хэширования не сообщается) и указанным в профиле персональным данным, таким как ФИО, адрес, телефон и email. Читать далее Взлом инфраструктуры Quora привёл к утечке хэшей паролей 100 млн пользователей

Фонд свободного ПО сообщил о получении пожертвования в размере миллион долларов США. Пожертвование передано сообществом Handshake.org. Примечательно, что это второй пожертвованный Фонду СПО миллион долларов в этом году — в феврале аналогичная сумма была получена от фонда Pineapple. Полученные от Handshake.org средства планируется потратить следующим образом: $400 тысяч будет потрачено на организационные расходы, публикации, обучение, популяризацию СПО, лицензирование и различные инициативы активистов, таких как проект Defective by Design, выступающий против технических средств защиты авторских прав (DRM), ограничивающих свободу пользователя; $200 тысяч получит проект Replicant, в рамках которого развивается полностью открытый вариант платформы Android, избавленный от проприетарных компонентов и закрытых драйверов. … Читать далее Сообщество Handshake пожертвовало миллион долларов Фонду свободного ПО

Доступен выпуск основной ветки nginx 1.15.7, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: В модуль stream добавлена директива «proxy_requests«, задающее число датаграмм, полученных от клиента, по достижении которого удаляется привязка между клиентом и существующей UDP-сессией. После получения указанного количества датаграмм следующая датаграмма, полученная от того же клиента, начинает новую сессию; Добавлен новый параметр «delay» в директиве limit_req», задающий лимит, по достижении которого избыточные запросы задерживаются; Устранены утечки памяти в случае ошибок при переконфигурации; Внесены исправления, связанные с работой переменных $upstream_response_time, $upstream_connect_time и … Читать далее Выпуск nginx 1.15.7

Доступен релиз DragonFlyBSD 5.4, операционной системы с гибридным ядром, созданной в 2003 году с целью альтернативного развития ветки FreeBSD 4.x. Из особенностей DragonFly BSD можно выделить распределённую версионную файловую систему HAMMER, поддержку загрузки «виртуальных» ядер системы как пользовательских процессов, возможность кэширования данных и мета-данных ФС на SSD-накопителях, учитывающие контекст вариантные символические ссылки, возможность заморозки процессов с сохранением их состояния на диске, гибридное ядро, использующее легковесные потоки (LWKT). Основные улучшения, добавленные в DragonFlyBSD 5.4: Осуществлён переход на GCC 8 в качестве базового компилятора, используемого по умолчанию. Поддержка GCC 4.7.4 и GCC 5.4 пока сохранена. Все три версии могут применяться для сборки … Читать далее Релиз операционной системы DragonFly BSD 5.4

Доступны новые выпуски дистрибутивов CentOS 7.6.1810 и Scientific Linux 7.6, вобравшие в себя изменения из Red Hat Enterprise Linux 7.6. Дистрибутивы полностью бинарно совместимы с RHEL 7.6, внесенные в пакеты изменения, как правило, сводятся к ребрендингу и замене художественного оформления. Сборки CentOS 7.6 доступны для архитектур x86_64, Aarch64 (ARM64), i386, ppc64le, Power9 и ARMv7 (armhfp). Для архитектуры x86_64 подготовлены установочные DVD-сборки (4.5 Гб), образ NetInstall для установки по сети (530 Мб), минимальная серверная сборка (960 Мб), полный образ для USB Flash (10 Гб) и Live-сборки с GNOME (1.4 Гб) и KDE (1.9 Гб). Сборки для контейнеров, Vagrant, Cloud и Atomic … Читать далее Выпуск дистрибутивов CentOS 7.6 и Scientific Linux 7.6

Компания NVIDIA перевела движок симуляции физических процессов PhysX в разряд свободных проектов. В качестве причины открытия PhysX упоминается назревшая необходимость применения симуляции физических процессов в областях, выходящих за рамки компьютерных игр, а именно востребованность в проектах, связанных с искусственным интеллектом, робототехникой, компьютерным зрением, беспилотными транспортными средствами и высокопроизводительными вычислениями. Код движка и связанного с ним SDK открыт под лицензией BSD. Поддерживается сборка для платформ Windows, Linux, macOS, iOS и Android. В текущем виде PhysX SDK представляет собой многоплатформенное решение для многопоточной симуляции физических процессов в играх, масштабируемое для различного оборудования, от смартфонов до мощных рабочих станций с многоядерными CPU и … Читать далее Компания NVIDIA открыла код движка симуляции физических процессов PhysX

Компании Mozilla и Google удалили Anti-Paywall из каталогов дополнений к браузерам Chrome и Firefox после поступления жалобы о нарушении действующего в США Закона об авторском праве в цифровую эпоху (DMCA, Digital Millennium Copyright Act). По сведениям Mozilla аналогичные запросы на удаление поступили и для других дополнений, в которых имеются функции обхода механизма ограничения доступа «Paywall«. Например, из каталогов Chrome WebStore и Mozilla AMO также удалены дополнения Bypass Paywalls и Bypass. Проблема состоит в том, что функции дополнений для обхода Paywall обычно сводятся к замене идентификатора браузера и для обхода блокировки при помощи данной технологии можно использовать любое дополнение, позволяющее пользователю … Читать далее Дополнения для обхода Paywall удалены из каталогов Chrome и Mozilla

Сформирован корректирующий выпуск интерпретатора языка программирования Perl 5.28.1, в котором устранена опасная уязвимость (CVE-2018-18311). Проблема позволяет инициировать целочисленное переполнение, которое в дальнейшем приводит к переполнению буфера, при присвоении переменной окружения очень большого значения (более 4 Гигабайт). Уязвимости подвержены приложения на языке Perl, которые выставляют переменные окружения через хэш %ENV с использованием в них значений на основе передаваемых пользователем данных. Проблема вызвана переполнением 32-разрядного счётчика размера строки в функции Perl_my_setenv. Кроме того, в обновлении Perl 5.28.1 устранены три уязвимости в обработчике регулярных выражений (regcomp.c), которые могут привести к переполнению буфера: CVE-2018-18312 (reg_node), CVE-2018-18313 (S_grok_bslash_N) и CVE-2018-18314 (S_regatom). Уязвимости могут использоваться для … Читать далее Уязвимости в интерпретаторе Perl, связанные с обработкой переменных окружения и regexp

Следом за Ubuntu Server, Ubuntu Desktop, Ubuntu MATE, Ubuntu Studio, Ubuntu Kylin и Ubuntu Budgie разработчики проекта Xubuntu приняли решение отказаться от формирования 32-разрядных установочных сборок (xubuntu-*i386.iso). За данный шаг проголосовали 6 из 10 членов команды Xubuntu Team. Весенний релиз Xubuntu 19.04 будет подготовлен только в сборках для 64-разрядных систем. Поддержка репозиториев с пакетами для архитектуры i386 пока будет сохранена. Читать далее Xubuntu прекращает подготовку 32-разрядных сборок

Доступен стабильный выпуск 4MLinux 27.0, минималистичного пользовательского дистрибутива, не являющегося ответвлением от других проектов и использующего графическое окружение на базе JWM. 4MLinux может использоваться не только в качестве Live-окружения для воспроизведения мультимедийных файлов и решения пользовательских задач, но и в роли системы для восстановления после сбоев и платформы для запуска серверов LAMP (Linux, Apache, MariaDB и PHP). Размер iso-образа составляет 1.2 Гб (i686, x86_64). В новом выпуске добавлена опция для отключения PulseAudio одним кликом (полезно для запуска классических видеоигр, таких как DOOM). Реализована поддержка видеокодека AV1 (кодирование через FFmpeg, а декодирование через VLC и mpv). Улучшена работа под управления систем … Читать далее Выпуск минималистичного дистрибутива 4MLinux 27.0

Подготовлен выпуск инструментария out-of-tree 0.2, позволяющего автоматизировать сборку и тестирование модулей ядра или проверку работоспособности эксплоитов с различными версиями ядра Linux. Out-of-tree формирует виртуальное окружение (используется QEMU и Docker) с произвольной версией ядра и выполняет указанные действия по сборке, тестированию и запуску модулей или эксплоитов. Код проекта написан на языке Go и распространяется под лицензией AGPLv3. Сценарий проверки задаётся в файле .out-of-tree.toml и может охватывать сразу несколько выпусков ядра (например, можно протестировать работу эксплоита или разрабатываемого модуля с разными версиями ядра). Пример сценария «.out-of-tree.toml» для выявления версий ядра 4.4.x и 4.8.x, в которых работоспособен определённый эксплоит: name = «CVE-XXXX-YYYYY exploit» … Читать далее Доступен out-of-tree 0.2, инструментарий для проверки кода с разными ядрами Linux