В популярном свободном движке для создания форумов phpBB выявлена уязвимость (CVE-2018-19274), позволяющая выполнить PHP-код на сервере и получить контроль за всей инфраструктурой форумов, имея полномочия администратора одного из форумов. Проблема устранена в выпуске phpBB 3.2.4. Уязвимость вызвана отсутствием проверки поступающих от пользователя данных, перед их использованием в функции file_exists(). Данная особенность позволяет применить для эксплуатации технику «Phar deserialization«, манипулирующую автоматической десериализацией метаданных при обработке файлов Phar (PHP Archive). Атакующий имеет возможность задать в панели управления абсолютный путь к исполняемому файлу с редактором изображений (ImageMagic). Перед применением новой настройки данный путь без проверки будет обработан функцией file_exists(), которая в случае указания … Читать далее Уязвимость в движке для создания форумов phpBB

Состоялся релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.13, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Основные улучшения: В команду cmake … Читать далее Релиз системы сборки CMake 3.13

Подготовлен новый выпуск модуля ngx_php с реализацией встраиваемого в nginx интерпретатора языка программирования PHP. Модуль позволяет создавать обработчики запросов на PHP, модифицировать запрос/ответ, фильтровать тело ответа и заголовки, создавать заглушки для блокирования уязвимостей в web-приложениях, организовывать проверку доступа. По сравнению с запуском PHP при помощи fpm модуль ngx_php обеспечивает доступ к внутренним API nginx и демонстрирует существенный прирост производительности (от 2 до 10 раз). location = /nginx_request { set $a 123; content_by_php ‘ echo ngx_request::document_uri(); echo «ngx::query_args()n»; var_dump(ngx::query_args()); $a = ngx_var::get(«a»); var_dump($a); ‘; } Дополнительно можно отметить вышедшую на днях статью о применении модуля njs (NGINX JavaScript module) для создания … Читать далее Выпуск ngx_php 0.0.13, модуля с интерпретатором PHP для nginx

Компания Mozilla развивает новую систему синтеза речи LPCNet, которая дополняет ранее запущенную инициативу по разработке системы распознавания речи. LPCNet обеспечивает более эффективный синтез речи благодаря комбинированию традиционных методов цифровой обработки сигналов (DSP) с механизмами синтеза на основе машинного обучения. Исходные тексты реализации LPCNet распространяются под лицензией BSD. Несмотря на то, что современные модели синтеза речи на основе нейронных сетей, такие как WaveNet, позволяют добиться превосходного качества синтеза, их реализация сильно усложнена и требует большой вычислительной мощности. Данная особенность затрудняет использование подобных систем для синтеза речи в режиме реального времени на таких устройствах, как телефоны. В качестве выхода в LPCNet предлагается … Читать далее Компания Mozilla представила систему синтеза речи LPCNet

Представлен релиз свободной библиотеки OpenCV 4.0 (Open Source Computer Vision Library), предоставляющей средства для обработки и анализа содержимого изображений. OpenCV предоставляет более 2500 алгоритмов, как классических, так и отражающих последние достижения в области компьютерного зрения и систем машинного обучения. Код библиотеки написан на языке С++ и распространяется под лицензией BSD. Биндинги подготовлены для различных языков программирования, включая Python, MATLAB и Java. Библиотека может применяться для распознавания объектов на фотографиях и видео (например, распознавание лиц и фигур людей, текста и т.п.), отслеживания движения объектов и камеры, классификации действий на видео, преобразования изображений, извлечения 3D-моделей, формирования 3D-пространства из изображения от стереокамер, создания … Читать далее Выпуск библиотеки компьютерного зрения OpenCV 4.0

Компания Apple представила первый стабильный релиз новой ветки открытой распределённой СУБД FoundationDB 6.0, позволяющей создавать хранилища для обработки очень больших наборов структурированных данных, распределённых на узлах кластера из типовых серверов. СУБД FoundationDB манипулирует данными в формате ключ/значение и рассчитана на создание распределённых хранилищ, в которых для всех операций с данными возможно использование полноценных транзакций, удовлетворяющих требованиям ACID (атомарность, согласованность, изолированность, надежность). Код СУБД написан на языке С++ и поставляется под лицензией Apache 2.0. Сборки подготовлены для Linux, macOS и Windows. СУБД готова для промышленного внедрения, что подтверждается активным применением в инфраструктуре Apple и ряда других крупных компаний. Распределённое хранилище основано … Читать далее Стабильный релиз СУБД FoundationDB 6.0, развиваемой компанией Apple

Линус Торвальдс предложил пересмотреть механизм активации патчей STIBP (Single Thread Indirect Branch Predictors), предлагающих дополнительную защиту от проявления уязвимостей класса Spectre v2. Данные патчи недавно были включены в находящуюся в разработке ветку 4.20 и бэкпортированы в стабильный выпуск 4.19.2. При применении STIBP в текущем виде пользователи отметили существенное снижение производительности выполнения некоторых приложений при применении технологии одновременной многопоточности (SMT или Hyper-Threading). Так как падение производительности достигает 50%, по мнению Линуса, применение STIBP в текущем виде лишено смысла, так как проще и надёжнее вообще отключить SMT/Hyper-Threading, что обычно и делают люди, озабоченные безопасностью. Возникает вопрос, нужно ли включать STIBP по умолчанию, … Читать далее Линус Торвальдс поднял вопрос целесообразности расширенной защиты от Spectre v2

Исследователи безопасности из компании Cisco выявили несколько уязвимостей в маршрутизаторах TP-Link TL-R600VPN (проблемы устранены в свежем обновлении прошивки): CVE-2018-3949 — ошибка в http-сервере, связанная с некорректной обработкой спецсимволов в путях, позволяет прочитать любой файл в системе, отправив запрос к страницам помощи, доступным без аутентификации. В ходе атаки, например, можно отправить запрос «/help/../../../../../../../../../../../../../../../../etc/shadow» для получения содержимого файла с хэшами паролей; CVE-2018-3951 — переполнение буфера при разборе HTTP-заголовков может быть использовано для выполнения кода с правами http-сервера (запускается под пользователем root) при отправке специально оформленного http-запроса к страницам «/fs/*». Для атаки требуется наличие аутентифицированного доступа (может быть получен через эксплуатацию первой уязвимости); … Читать далее Удалённо эксплуатируемые уязвимости в маршрутизаторах TP-Link TL-R600VPN

Компания Apple представила первый стабильный релиз новой ветки открытой распределённой СУБД FoundationDB 6.0, позволяющей создавать хранилища для обработки очень больших наборов структурированных данных, распределённых на узлах кластера из типовых серверов. СУБД FoundationDB манипулирует данными в формате ключ/значение и рассчитана на создание распределённых хранилищ, в которых для всех операций с данными возможно использование полноценных транзакций, удовлетворяющих требованиям ACID (атомарность, согласованность, изолированность, надежность). Код СУБД написан на языке С++ и поставляется под лицензией Apache 2.0. Сборки подготовлены для Linux, macOS и Windows. СУБД готова для промышленного внедрения, что подтверждается активным применением в инфраструктуре Apple и ряда других крупных компаний. Распределённое хранилище основано … Читать далее Выпуск распределённой СУБД FoundationDB 6.0, развиваемой компанией Apple

Спустя 10 месяцев разработки и четыре с половиной года с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.6, в котором предложено 13 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. Ключевые изменения в новом выпуске: Устранены ошибки, приводящие к краху или некорректной обработке формата MS-ODRAW (Microsoft Office Drawing Binary File); Входящая в поставку версия OpenSSL обновлена до выпуска 0.9.8zh, а библиотека curl до выпуска 7.61.1 (ранее поставлялся 7.19.7); Обеспечено корректное сохранение в формат Docbook на платформах Windows 7 и Windows 10; Исправлена ошибка, приводившая к генерации локали «en-US_uk» вместо локали «uk» для украинского языка; Обновлён … Читать далее Выпуск офисного пакета Apache OpenOffice 4.1.6

Состоялся релиз видеоредактора Shotcut 18.11 (следом выпущено обновление 18.11.18), который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3. В новом выпуске: Добавлен … Читать далее Выпуск видеоредакторов Shotcut 18.11 и DaVinci Resolve 15.2

Опубликован первый кандидат в релизы FreeBSD 12.0. Выпуск FreeBSD 12.0-RC1 доступен для архитектур amd64, i386, powerpc, powerpc64, powerpcspe, sparc64 и armv6, armv7 и aarch64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 12.0 запланирован на 11 декабря. Наиболее заметные изменения во FreeBSD 12.0-RC1 по сравнению с четвёртым бета-выпуском: В rc-скрипты добавлены новые ключевые слова «enable», «disable» и «delete» (помимо «yes» и «true»); В NFSv4 прекращена установка флагов наследования параметров ACL для элементов ФС, отличных от каталогов; Помечена устаревшей утилита ctm (зеркалирование исходных текстов FreeBSD); Обновлены драйверы amdsmn и amdtemp (появилась поддержка … Читать далее Доступен кандидат в релизы FreeBSD 12.0

Представлен релиз инструментария для управления изолированными Linux-контейнерами Docker 18.09, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Код Docker написан на языке Go и распространяется под лицензией Apache 2.0. Основные изменения: Начиная с Docker 18.09 время поддержки выпуска увеличено … Читать далее Выпуск cистемы управления контейнерной виртуализацией Docker 18.09

Компания Microsoft подготовила новый движок для исполнения сценариев на языке Lua. Ключевой особенностью представленного Lua VM является реализация на языке Go. В движке поддерживается синтаксис Lua 5.3, но пока отмечаются отдельные несовместимости (например, отсутствует поддержка сопрограмм) и требуется дополнительная стабилизация API. Код проекта открыт под лицензией MIT, которая также используется проектом Lua для распространения кода основного интерпретатора, написанного на языке Си. В отличие от уже существующих реализаций Lua VM на языке Go, таких как DCLua, GoLua, Golang Lua, go-lua-vm и glua, разработка Microsoft примечательна применением иной архитектуры виртуальной машины, нацеленной на упрощение отладки, расширение средств обработки ошибок, интеграцию встроенного отладчика … Читать далее Компания Microsoft опубликовала реализацию Lua VM, написанную на языке Go

В ночные сборки Firefox, на основе которых будет сформирован релиз Firefox 65, намеченный на 29 января, добавлена штатная поддержка работы в графическом окружении на основе протокола Wayland. Работа Firefox с использованием Wayland пока носит экспериментальный характер, но отмечается как достаточно стабильная для начала массового тестирования. Разработчики Fedora Linux ранее приняли решение поставлять сборку Firefox c Wayland в качестве опции в Fedora 29 и по умолчанию в Fedora 30. Код для поддержки Wayland уже достаточно давно развивается в кодовой базе Firеfox, но до сих пор для его акивации требовалась пересборка из исходных текстов. Представленные в новых сборках изменения включают поддержку Wayland … Читать далее В ночные сборки Firefox добавлена поддержка Wayland

После трёх месяцев разработки представлен релиз языка программирования Dart 2.1, в котором продолжено развитие кардинально переработанной ветки Dart 2, переориентированной на разработку для Web и мобильных систем и оптимизированной для создания компонентов, выполняемых на стороне клиента. Dart 2 отличается от изначального варианта языка Dart применением строгой статической типизации (типы могут выводиться автоматически, поэтому указание типов не является обязательным, но динамическая типизация больше не используется и вычисленный изначально тип закрепляется за переменной и в дальнейшем применяется строгая проверка типа). Для разработки Web-приложений предлагается набор специфичных библиотек, таких как dart:html, а также web-фреймворк Angular. Для создания мобильных приложений продвигается фреймворк Flutter, на … Читать далее Доступен язык программирования Dart 2.1

Компания Amazon представила проект Corretto, в рамках которого на основе OpenJDK подготовлен дистрибутив Java 8, который распространяется бесплатно, доступен в исходных текстах под лицензией GPLv2 и будет поддерживаться длительное время. Готовые сборки поставляются для Linux, Windows и macOS, а также для использования в контейнерах Docker. Проект Corretto стал продолжением развития дистрибутива Java, уже используемого во внутренней инфраструктуре Amazon для обеспечения работы тысяч рабочих сервисов. Продукт официально сертифицирован как соответствующий спецификациям Java SE и может быть использован для замены других дистрибутивов Java SE. В настоящее время дистрибутив имеет статус тестового выпуска (preview). Полноценный стабильный релиз, готовы к промышленному применению, планируется выпустить … Читать далее Amazon выпустил Corretto, дистрибутив OpenJDK с длительным сроком поддержки

Компания Oracle начала тестирование второго бета-выпуска системы виртуализации VirtualBox 6.0. По сравнению с первым бета-выпуском внесены следующие изменения: В интерфейсе пользователя предложен новый файловый менеджер, позволяющий работать с файловой системой гостевых окружений и копировать файлы между хост-системой и гостевым окружением; Внесены многочисленные мелкие улучшения в интерфейс пользователя; Улучшена интеграция с Oracle Cloud; Улучшена поддержка записи звука и видео; Добавлен новый вариант эмулируемого устройства BusLogic ISA; Реализована возможность прозрачного изменения размера дисковых образов во время их добавления; В дополнениях для гостевых систем улучшено автомонтирование совместно используемых каталогов; В дополнениях для гостевых систем OS/2 добавлена поддержка совместно используемых каталогов. Читать далее Второй тестовый выпуск VirtualBox 6.0

Доступен релиз компактного Live-дистрибутива Slax 9.6. Начиная с прошлого года дистрибутив переведён с наработок проекта Slackware на пакетную базу Debian, пакетный менеджер APT и систему инициализации systemd. Графическое окружение построено на основе оконного менеджера FluxBox и рабочего стола/интерфейса запуска программ xLunch, специально разработанного для Slax участниками проекта. Загрузочный образ занимает 260 Мб (amd64, i386). В новой версии выполнена синхронизация пакетной базы с Debian 9.6, устранены выявленные за последнее время ошибки, добавлен скрипт «pxe» для запуска сервера удалённой загрузки, часовой пояс по умолчанию изменён на UTC (GMT), в браузере Chromium по умолчанию отключено локальное кэширование открываемых страниц. Читать далее Выпуск дистрибутива Slax 9.6

Представлен выпуск сервера приложений NGINX Unit 1.6, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go и JavaScript/Node.js). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. Основное внимание при подготовке новой версии было сосредоточено на улучшении работы модуля поддержки платформы Node.js и обеспечении его совместимости с различными приложениями. Сборочная команда «make install» … Читать далее Выпуск сервера приложений NGINX Unit 1.6

Подготовлен корректирующий выпуск Firefox 63.0.3, в котором исправлено несколько ошибок: Устранено зависание WebGL-игр, использующих движок Unity, через некоторое время после их запуска; Исправлена ошибка, приводившая к замедлению работы некоторых конфигураций, использующих прокси; По умолчанию в фоновых вкладках отключено урезание пропускной способности HTTP-ответов, так как это приводит к проблемам при фоновом воспроизведении видео; Решены проблемы с открытием magnet-ссылок; Устранено несколько ошибок, приводящих к краху. Одновременно сформирован новый выпуск почтового клиента Thunderbird 60.3.1, в котором устранено шесть проблем. При аутентификации SMTP LOGIN и POP3 USER/PASS для паролей теперь используется только кодировка Latin-1 для решения проблемы с авторизацией в некоторых сервисах при использовании … Читать далее Обновление Firefox 63.0.3 и включение предупреждений о посещении взломанных сайтов