Опубликован релиз HTTP-сервера Apache 2.4.37 (выпуск 2.4.36 был пропущен), в котором представлено 17 изменений. Наиболее заметные изменения: В mod_ssl добавлена поддержка OpenSSL 1.1.1 и протокола TLSv1.3; Устранены проблемы с работой HTTP/2 при сборке с OpenSSL 1.1.1; Устранён крах mod_ssl при повторном согласовании SSL-соединения при выставленной опции OptRenegotiate, в случае если клиентский сертификат тот же, что в изначальном соединении, но требует верификации; В mod_brotli и mod_deflate восстановлена раздельная обработка ответов «304 Not Modified»; Улучшена обработка ошибок в mod_proxy_scgi и mod_proxy_uwsgi; В mod_http2 в обработчик конца потока добавлен код для защиты от ситуации пропуска сигнала окончания потока (eos buckets) от обработчика запроса; … Читать далее Релиз http-сервера Apache 2.4.37 с поддержкой TLSv1.3

В системе управления контентом Drupal выявлены две критические уязвимости, позволяющие выполнить код на сервере. Проблемы устранены в выпусках Drupal 7.60, 8.5.8 и 8.6.2. Первая уязвимость затрагивает Drupal 7 и Drupal 8 и связана с отсутствием должного экранирования спецсимволов в функции DefaultMailSystem::mail(). При отправке сообщения на email не все переменные проверяются, что позволяет передать утилите sendmail произвольные аргументы командной строки и инициировать выполнение своего кода. Вторая уязвимость присутствует только в Drupal 8 и вызвана отсутствием необходимой чистки контекстных ссылок в модуле Contextual Links. Через передачу специально оформленной контекстной ссылки атакующий может добиться выполнения своего кода в системе. Для атаки необходим доступ … Читать далее Уязвимости в Drupal

Представлен релиз Node.js 11.0.0, платформы для выполнения высокопроизводительных сетевых приложений на языке JavaScript. Одновременно завершена стабилизация прошлой ветки Node.js 10.x, которая переведена в категорию выпусков с длительным сроком поддержки, обновления для которых выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 8.0 продлится до 2021 года, а позапрошлой LTS-ветки 6.0 до 2020 года. Среди улучшений в Node.js 11.0: JavaScript-движок V8 обновлён до версии 7.0. Прекращена поддержка FreeBSD 10. Для дочерних процессов по умолчанию включена опция windowsHide для скрытия окна с консолью субпроцессов. В методе fs.read() теперь обязательно указание callback-обработчика. Модули http, https и tls переведены на использование нового парсера URL, … Читать далее Выпуск серверной JavaScript-платформы Node.js 11.0

Состоялся релиз web-браузера Firefox 63, а также мобильной версии Firefox 63 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 64, релиз которой намечен на 11 декабря. Основные новшества: Предложен набор настроек для управления блокированием контента. Пользователь может включить блокировку любых сторонних Cookie и скриптов, применяемых для отслеживания перемещений (блокировка по базе disconnect.me). Блокировщик пока предлагается опционально, но запланирован для включения по умолчанию в Firfox 65. Для каждого сайта в адресной строке показывается специальный значок, отображающий статус блокировки скриптов и Cookie. Предоставляется возможность добавления исключений для выбранных … Читать далее Релиз Firefox 63

В плагине jQuery-File-Upload выявлена поучительная уязвимость CVE-2018-9206, показавшая беспечность web-разработчиков и web-администраторов. jQuery-плагин jQuery-File-Upload предоставляет функциональный web-виджет для организации загрузки файлов на сайты, поддерживающий групповую загрузку, индикатор прогресса и возобновление прерванных загрузок. Основная функциональность jQuery-File-Upload реализована на JavaScript и выполняется на стороне браузера, при этом в состав также входит набор примеров серверных обработчиков для сохранения отправляемых файлов. Суть уязвимости в том, что в предлагаемых серверных обработчиках полностью отсутствовали фильтры для блокирования загрузки потенциально опасных типов контента и загружаемые файлы сохранялись на сервере под исходными именами, которые определял пользователь на сайте. Данные загружались в каталог «./files», находящийся в рабочей иерархии каталогов … Читать далее Неосмотрительное использование плагина jQuery-File-Upload делает многие сайты уязвимыми

Спустя год с момента формирования прошлой значительной ветки компания Oracle представила первый бета-выпуск системы виртуализации VirtualBox 6.0. Основные улучшения: Добавлена возможность экспорта виртуальных машин в OCI (Oracle Cloud Infrastructure); Модернизировано оформление интерфейса пользователя; Добавлена возможность подключения и отключения звуковых драйверов VRDE без остановки работы виртуальной машины; Расширен API управления гостевыми системами; Добавлен обходной путь для обеспечения сетевого взаимодействия в старых гостевых системах, в которых для virtio PCI-устройств не включается Bus mastering. Читать далее Бета-выпуск VirtualBox 6.0

Латиноамериканский Фонд свободного ПО опубликовал полностью свободный вариант ядра 4.19 — Linux-libre 4.19-gnu, очищенный от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. Кроме того, Linux-libre отключает функции ядра по загрузке несвободных компонентов, не входящих в поставку ядра, и удаляет упоминание об использовании несвободных компонентов из документации. Для очистки ядра от несвободных частей, в рамках проекта Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих … Читать далее Доступен полностью свободный вариант ядра Linux-libre 4.19

Сообщество RISC OS Open Ltd (ROOL), созданное в 2006 году для координации постепенного открытия кода RISC OS, объявило о сотрудничестве с компанией RISC OS Developments (ROD), которая после покупки компании Castle Technology Ltd (Castle) получила контроль за всей интеллектуальной собственностью, связанной с операционной системой RISC OS (ранее ОС развивалась разными компаниями, что приводило к большим спорам и конфликтам при лицензировании кода). Компания RISC OS Developments согласилась опубликовать исходные тексты RISC OS под лицензией Apache 2.0, что позволит привлечь к участию в проекте сторонников открытой модели разработки и позволит бесплатно использовать код RISC OS в сторонних коммерческих продуктах, без необходимости покупки … Читать далее Код RISC OS будет открыт под лицензией Apache 2.0

Ричард Столлман подготовил рекомендации по благожелательному общению в проекте GNU — «GNU Kind Communications Guidelines«. Популярные в различных сообществах кодексы поведения оформлены в виде правил, нарушение которых подразумевает наказание. Столлману не хотелось бы навязывать какие-то рамки, поэтому вместо жесткого указания что можно, а что нет, он разработал общие рекомендации, которые показывают, что доброжелательный стиль общения является предпочтительным в сообществе. При помощи таких рекомендаций можно сразу дать понять в каком русле должно быть поведение и помочь участнику сделать своё общение более дружественным, не дожидаясь пока дело дойдёт то серьёзных перепалок или оскорблений, на основании которых участника можно будет обвинить в нарушении … Читать далее Ричард Столлман опубликовал рекомендации по ведению дискуссий в сообществе GNU

После двух месяцев разработки Грег Кроа-Хартман представил релиз ядра Linux 4.19. Напомним, что в середине сентября Линус ненадолго отстранился от разработки ядра Linux и доведением ветки до финального вида занимался Грег Кроа-Хартман, отвечающий за поддержку стабильной ветки ядра. Среди наиболее заметных изменений в ядре 4.19: файловая система EROFS, алгоритм управления сетевыми очередями CAKE, поддержка Wi-Fi 6 (802.11ax), дополнительная защита для sticky-каталогов, контроллер задержек при вводе/выводе, повышение минимальной версии GCC с 3.2 до 4.6. В новую версию принято 15214 исправлений от 1879 разработчиков, размер патча — 44 Мб (изменения затронули 11694 файлов, добавлено 552510 строк кода, удалено 244696 строк). Около 43% … Читать далее Релиз ядра Linux 4.19

Сегодня ночью в инфраструктуре GitHub произошёл серьёзный сбой, который привёл к нарушению связанности между сегментами сети и последующему сбою базы данных. В итоге часть информации на сайте могла быть искажена. Для восстановления целости данных временно были отключены или приостановлены некоторые обработчики, что может привести к отображению устаревшей информации. Данные репозиториев пользователей не потеряны и после восстановления после сбоя информация будет актуализирована. Тем не менее сообщается, что пострадали хранимые в MySQL метаданные сайта, такие как issue и pull-запросы. Прогнозируемое время полного возврата GitHub в строй не сообщается, утверждается лишь, что работа по восстановлению продлится дольше, чем ожидалось. Читать далее GitHub предупредил о сбое СУБД

Подготовлен выпуск дистрибутива Elementary OS 5 «Juno», позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (1.4 Гб), доступные для архитектуры amd64 (при загрузки с сайта, для бесплатной загрузки в поле с суммой пожертвования необходимо ввести 0). При разработке оригинальных компонентов Еlementary OS используется GTK3+, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu и ядро Linux 4.15. … Читать далее Релиз дистрибутива Elementary OS 5 "Juno"

Компания Mozilla намерена начать эксперимент по поставке в Firefox встроенной возможности работы через VPN. Эксперимент стартует в понедельник 22 октября и затронет лишь небольшое число пользователей англоязычной сборки Firefox 62 из США. Случайно выбранным участникам эксперимента будет установлен системное дополнение, позволяющее подключаться к сайтам через шифрованный VPN. Доступ будет только платным (около $10 в месяц) и эти средства Mozilla планирует использовать как один из источников монетизации. Работа будет организована через коммерческий VPN-сервис ProtonVPN. Решение в пользу ProtonVPN было принято, так как данный сервис обеспечивает достаточно высокий уровень защиты канала связи ( поток шифруется при помощи AES-256, обмен ключами осуществляется на … Читать далее Mozilla экспериментирует с добавлением платного VPN в Firefox

Представлен релиз классической системы инициализации sysvinit 2.91, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart. В новом выпуске: Обеспечена возможность отслеживания уровней запуска на системах без utmp, например в дистрибутивах на базе системной библиотеки musl. Текущей уровень запуска сохраняется в файле /var/run/runlevel, который учитывается такими командами, как «runlevel», «halt» и «reboot». На системах с utmp процесс инициализации дополнительно отражает уровень запуска и в БД utmp; Порядок следования сборочных флагов откорректирован для упрощения изменения уровня оптимизациии (флаги оптимизации теперь могут задаваться в CFLAGS); В утилиту pidof добавлена опция «-q» для выполнения без вывода на экран (используется код … Читать далее Выпуск системы инициализации sysvinit 2.91

Организация Xiph.Org, занимающаяся разработкой свободных видео- и аудиокодеков, представила релиз аудиокодека Opus 1.3.0, обеспечивающего высокое качество кодирования и минимальную задержку как при сжатии потокового звука с высоким битрейтом, так и при сжатии голоса в ограниченных по пропускной способности приложениях VoIP-телефонии. Ключевые новшества Opus 1.3: Проведена работа по увеличению качества звукопередачи в режимах сжатия речи и музыки, сохраняя при этом полную совместимость с RFC 6716; Включена по умолчанию поддержка расширений и исправлений, описанных в RFC 8251 (изменения можно отключить опцией «—disable-rfc8251»); Предложен принципиально новый детектора речи и музыки, который базируется на применении рекуррентной нейронной сети (используются управляемые рекуррентные блоки) вместо ранее … Читать далее Доступен аудиокодек Opus 1.3

Представлен первый бета-выпуск FreeBSD 12.0. Выпуск FreeBSD 12.0-BETA1 доступен для архитектур amd64, i386, powerpc, powerpc64, powerpcspe, sparc64 и armv6, armv7 и aarch64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 12.0 запланирован на 4 декабря. Среди изменений: Новый модуль ipfw_nptv6 с транслятором ядресов для IPv6, В ipfw добавлена поддержка именованных динамических состояний (keep-state, limit и check-state снабжены дополнительным аргументом flowname, который назначается для динамического правила опкодом keep-state или limit); ); Переработана утилита top; В syslog и syslogd добавлена поддержка протокола RFC 5424; Поддержка zero-copy aio_write() для сокетов TOE, Реализована архитектура armv7 … Читать далее Началось бета-тестирование FreeBSD 12.0

Выпущена новая версия игры с открытым кодом AstroMenace, трехмерного скролл-шутера с возможностью модернизации корабля. В игре предлагается 22 уникальных космических корабля, 19 различных систем вооружения, 15 миссий и 100 типов врагов. Игрок может создать несколько профилей пилотов и переключаться между ними. Основные изменения: Миграция с libSDL 1.2 на libSDL 2; Определение предпочитаемого языка меню при первом запуске игры; Параметр запуска safe-mode переименован в reset-config; Исправлен код системы частиц для корректной прорисовки на низких FPS; Исправлена старая ошибка с вращающимися турелями при взрыве; Более 1300 небольших изменений и корректировок со времени последнего релиза. Читать далее Релиз AstroMenace 1.4.0

20 октября 2018 года исполнилось 60 лет с момента появления языка LISP и концепции функционального программирования, которые были созданы Джоном Маккарти для проведения работ в области искусственного интеллекта. Язык LISP подарил миру программирования множество новых возможностей и нестандартных решений, которые позднее нашли отражение во многих современных языках программирования, таких как Logo, Perl, Python, Smalltalk, Tcl и Ruby. Читать далее Языку программирования LISP исполнилось 60 лет

24 октября в Университете Дмитрия Пожарского пройдёт лекция швейцарского профессора Юрга Гуткнехта, соавтора языков Pascal и Oberon, коллеги легендарного Никлауса Вирта. В программе — совместная лекция и дискуссия «Проект Оберон: 30 лет». Мероприятие состоится 24 октября в 17:30, ЦЭМИ РАН (Нахимовский проспект, 47), аудитория 520. Регистрация и пропуск не требуется. Лекторы: Президент Швейцарского общества информатики, профессор ETH Zurich, д-р Юрг Гуткнехт Ведущий научный сотрудник отдела теоретической физики ИЯИ РАН, координатор проекта «Информатика-21», д.ф.-м.н. Фёдор Васильевич Ткачёв. Читать далее В Москве состоится лекция Юрга Гуткнехта "Проект Оберон: 30 лет"

В соответствии с релизным циклом вышла новая версия операционной системы общего назначения OpenBSD 6.4. Самые примечательные изменения в новой версии: Множество добавлений для платформы arm64; Улучшения в удобстве использования Wi-Fi; Продолжение работы над избавлением сетевого стека от использования глобальной блокировки ядра; Cистемный вызов unveil(), который предоставляет новый способ изоляции доступа к файловой системе; Механизм защиты RETGUARD, нацеленный на усложнение выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования; Переработка синтаксиса OpenSMTPD для значительного увеличения гибкости не в ущерб удобству; К сожалению, полагающаяся песня к моменту релиза ещё не была готова, анонс будет произведён отдельно. Список изменений: Улучшения … Читать далее Релиз OpenBSD 6.4, OpenSSH 7.9 и LibreSSL 2.8.2

Увидел свет новый выпуск открытой федеративной платформы публикаций Hubzilla 3.8. Код проекта написан на PHP и Javascript и распространяется под лицензией MIT. Hubzilla представляет собой коммуникационный сервер, интегрируемый с системами web-публикации, снабжённый прозрачной системой идентификации и средствами управления доступом в децентрилизованных сетях Fediverse. Проект сочетает в себе элементы социальной сети, облачного хранилища, блога, форума и системы управления контентом, которые интегрированы в общую децентрализованную сеть. Распределённая система управления доступом на базе nomadic identity позволяет обеспечить единый уровень доступа к любой публикации на уровне каналов и участников сети, в том числе для каналов на других серверах, по всей сети. Также обеспечивается возможность … Читать далее Релиз открытой федеративной платформы публикаций Hubzilla 3.8