Опубликован первый выпуск проекта Qt for Python, в рамках которого подготовлен набор модулей для создания графических приложений на языке Python с использованием Qt5. Продукт Qt for Python основан на модуле PySide2 и продолжает его развитие (по сути под новым именем предлагается первый выпуск PySide с поддержкой Qt 5). В отличие от PySide новый продукт призван предоставить целостное решение для использования Qt в Python-приложениях, включающие сопутствующие сервисы, такие как оказание коммерческой технической поддержки. Читать далее Выпуск Qt for Python 5.11

Компания Intel опубликовала сведения о новой уязвимости (CVE-2018-3665) в механизме спекулятивного выполнения инструкций, которая получила кодовое название LazyFP. Проблема затрагивает только процессоры линейки Intel Core и проявляется при использовании «ленивого» (lazy) режима переключения контекста FPU, при котором реальное восстановление состояния регистров производится не сразу после переключения контекста, а только при выполнении первой инструкции, которая манипулирует восстанавливаемыми регистрами. На чипах Intel Atom/Knights и CPU AMD проблема не проявляется. Уязвимости присвоен средний уровень опасности (CVSS 4.3 из 10) — через проведение атаки по сторонним каналам атакующий может определить значения регистров FPU, MMX, SSE, AVX и AVX-512, используемых другим процессом. Например, в данных … Читать далее LazyFP

В ответ на большое число жалоб о злоупотреблениях с навязыванием установки дополнений компания Google объявила об упразднении возможности установки дополнений по запросу со сторонних сайтов. Для предотвращения мошеннических действий и блокирования попыток навязывания установки непрошенных дополнений, дополнения теперь можно будет установить только после перехода на сайт Chrome Web Store. Inline-режим, позволяющий начать установку дополнений без перехода в каталог дополнений, больше поддерживаться не будет. Вместо начала процесса установки вызов chrome.webstore.install() из JavaScript-кода на сайте теперь будет приводить к открытию новой вкладки со страницей дополнения в каталоге Chrome Web Store. Изменения уже начали действовать для всех новых дополнений, опубликованных начиная с 12 … Читать далее В Chrome будет прекращена поддержка установки дополнений по запросу сторонних сайтов

В каталоге Docker Hub выявлено 17 образов контейнеров, которые содержали бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов. В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня — 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно настроенные системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к … Читать далее Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

Компания Microsoft опубликовала deb-пакет (microsoft-r-open-mro-3.5.0) с инструментарием Open R (вариант языка R от Microsoft) для Debian и Ubuntu, в установочном сценарии которого обнаружена серия недопустимых оплошностей. В частности, скрипт настройки, вызываемый после установки пакета (postinstall), удаляет /bin/sh, после чего создаёт символическую ссылку /bin/sh на /bin/bash. Если в системе нет /bin/bash то /bin/sh остаётся удалённым и пользователь получает неработающее окружение. Примечательно, что на идентичный код удаления /bin/sh в RPM-пакетах пользователи обращали внимание ещё в 2016 году. В то время проблема осталась нерешённой, а представитель Microsoft лишь пояснил, что /bin/sh заменяется, так как в Ubuntu в качестве shell по умолчанию применяется dash, … Читать далее Подготовленный в Microsoft deb-пакет с Open R принудительно заменяет /bin/sh на bash

Состоялся релиз системы диспетчерского управления и сбора данных OpenSCADA 0.9 LTS, предназначенной для сбора, архивирования, визуализации информации, выдачи управляющих воздействий, а также выполнения других операций, характерных для полнофункциональной SCADA-системы. Система может использоваться на промышленных объектах, во встраиваемых системах, в качестве среды исполнения (в том числе и PLC), для построения различных моделей (технологических, химических, физических, электрических процессов), на персональных компьютерах, серверах и кластерах для сбора, обработки, представления и архивации информации о системе и её окружении. Код проекта распространяется под лицензией GPLv2. Новый выпуск отнесён к категории стабильных релизов с длительным сроком поддержки, пригодных для промышленного применения. Обновление для прошлой LTS-ветки OpenSCADA … Читать далее Релиз OpenSCADA 0.9 LTS

Израильская компания Ceemple Software открыла исходные тексты C++ компилятора Zapcc, основанного на наработках Clang/LLVM и отличающегося очень высокой скоростью компиляции, благодаря активному применению кэширования различных этапов сборки. Компилятор может выступать в роли прозрачной замены clang и gcc, и поддерживает интеграцию с любыми системами сборки. Исходные тексты открыты под лицензией LLVM. Особенно заметное увеличение скорости сборки наблюдается для проектов на C++ с большим число заголовочных файлов с шаблонами, таких как ScyllaDB, Webkit и LLVM. Для проектов на Си ускорение менее заметно. Например, при тестировании производительности типовая повторная пересборка Boost.Math при помощи Zapcc производится в 10-50 раз быстрее по сравнению с Clang, … Читать далее Открыт код C++ компилятора Zapcc

Разработчики из Google приурочили к 31-летию графического формата GIF публикацию утилиты gif-for-cli, которая позволяет преобразовывать анимированные GIF-файлы в форму анимированной ASCII-графики. Например, при помощи данной утилиты можно организовать отображение в терминале видеозаставки в виде ASCII-графики, добавив вызов gif-for-cli в .bashrc или .profile. Код утилиты написан на языке Python и опубликован под лицензией Apache 2.0. После запуска утилиты, она преобразует GIF-файл при помощи ffmpeg в набор JPG-кадров, которые затем преобразуются в ASCII-графику и кэшируются в каталоге ~/.cache/gif-for-cli, после чего сменяя друг друга выводятся на терминал. Утилита автоматически определяет возможности текущего терминала и число поддерживаемых цветов, формируя оптимальное ACSII-изображение. Читать далее Google опубликовал утилиту для преобразования GIF в анимированную ASCII-графику

Исследователи из компании NCC Group разработали новый метод атаки по сторонним каналам (CVE-2018-0495, PDF), позволяющий воссоздать применяемые для создания цифровых подписей закрытые ключи ECDSA и DSA, используя технику извлечения информации из процессорного кэша для оценки изменения задержки при выполнении вычислений. Для атаки необходимо наличие непривилегированного доступа к хосту, на котором выполняется генерация цифровой подписи, или к соседней виртуальной машине. В ходе атаки в момент создания очередной цифровой подписи осуществляется определение значения базовых параметров, путём перебора нахождения вероятных значений в кэше и оценки времени выполнения математических вычислений. Проверяемые значения выбираются с учётом того, что в библиотеках используются математическая операция вычисления модуля, … Читать далее Представлена техника атаки для определения ключей ECDSA и DSA

Доступен выпуск strace 4.23, утилиты для диагностики и отладки программ для ОС, использующих ядро Linux. Утилита позволяет отслеживать и (начиная с версии 4.15) вмешиваться в процесс взаимодействия программы и ядра, включая происходящие системные вызовы, возникающие сигналы и изменения состояния процесса. Для своей работы strace использует механизм ptrace. Начиная с версии 4.13, формирование выпусков программы синхронизировано с выходом новых версий Linux. Код проекта распространяется под лицензией BSD. Основные изменения: 64-битные системные вызовы (например, readv), вызываемые в x32 ABI, теперь снабжаются суффиксом «#64» вместо ранее используемого префикса «64:». В отличие от старого, новый формат имени может быть использован при спецификации системных вызовов … Читать далее Выпуск strace 4.23

Консорциум ISC представил релиз DHCP-сервера Kea 1.4.0, идущего на смену классическому ISC DHCP. Исходные тексты проекта распространяются под лицензией Mozilla Public License (MPL) 2.0, вместо ранее применяемой для ISC DHCP лицензии ISC License. DHCP-сервер Kea основан на технологиях BIND 10 и построен с использованием модульной архитектуры, подразумевающей разбиение функциональности на разные процессы-обработчики. Продукт включает в себя полнофункциональную реализацию сервера с поддержкой протоколов DHCPv4 и DHCPv6, способную заменить собой ISC DHCP. В Kea встроены средства динамического обновления DNS-зон (Dynamic DNS), поддерживаются механизмы обнаружения серверов, назначения адресов, обновления и переподключения, обслуживания информационных запросов, резервирования адресов для хостов и PXE-загрузки. В реализации DHCPv6 … Читать далее Доступен DHCP-сервер Kea 1.4, развиваемый консорциумом ISC

Разработчики криптовалюты Syscoin, капитализация которой составляет около 130 млн долларов, раскрыли сведения об инциденте с безопасностью. Неизвестный злоумышленник 9 июня получил доступ к репозиторию проекта на GitHub, после чего встроил вредоносное ПО в распространяемые проектом установочные сборки для Windows. Проблема была замечена только 13 июня. Исходные код, а также сборки для macOS и Linux в результате атаки не пострадали. Всем пользователям Syscoin, загружавшим сборки для Windows (не заверенные цифровой подписью установочные файлы syscoincore-3.0.4-win32-setup.exe и syscoincore-3.0.4-win64-setup.exe, содержащие версию 3.0.4.1) с 9 до 13 июня, следует провести работу по проверке системы и удалению троянского ПО (Trojan:Win32/Feury.B!cl), которое после активации сохранялось в каталог … Читать далее Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin

Штефан Шперлинг (Stefan Sperling), мейнтейнер стека протоколов 802.11 в OpenBSD, опубликовал, с разрешения всех вовлечённых лиц, частную переписку с Мэти Ванхофом (Mathy Vanhoef), непосредственно касающуюся скандала с анонсом уязвимости KRACK, выявленной Ванхофом в прошлом году. Из переписки следует, что проект OpenBSD в лице Штефана получил явное разрешение на коммит в «тихом» виде, т.е. без привлечения внимания до официального разглашения информации. Несмотря на приложенные усилия коммит всё же привлёк повышенное внимание специалистов по безопасности, в результате чего эмбарго было снято досрочно, а проект OpenBSD был обвинён в его, эмбарго, нарушении. Причиной публикации послужил систематический отказ (как минимум) корпорации Intel сотрудничать с … Читать далее Разбор ситуации с обвинением OpenBSD в нарушении эмбарго при исправлении уязвимости KRACK

Разработчики открытой микроядерной операционной системы Genode OS Framework сформировали второй тестовый выпуск операционной системы Sculpt. В рамках проекта Sculpt на базе технологий Genode развивается операционная система общего назначения, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Второй выпуск примечателен формированием готового LiveUSB-образа (20 Мб), который позволяет оценить Sculpt в работе без выполнения работы по сборке системы. Сообщается, что Sculpt уже применяется разработчиками Genode в своей повседневной работе и начиная со второго выпуска оценивается как пригодный для ознакомления любопытными пользователями («The Curious»). Поддерживается работа на системах с процессорами и графической подсистемой Intel, … Читать далее Проект Genode опубликовал второй тестовый выпуск ОС общего назначения Sculpt

Сформировано обновление операционной системы Solaris 11.3 SRU 33, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования. Основные изменения в Solaris 11.3 SRU 33: Обновлены версии программ (в основном для устранения выявленных уязвимостей): HMP 2.4.4.0, curl 7.59.0, GNU binutils 2.30, GNU patch 2.6.7, Firefox 52.8.0esr, Thunderbird 52.8.0, Wireshark 2.6.1, FreeType 2.9.0, PHP 5.6.36 7.1.17, MySQL 5.5.60 5.6.40; AI Server (Automated Install) переведён на использование Apache httpd 2.4; В ZFS улучшена отправка данных в сжатом виде; В драйверы для сетевых … Читать далее Компания Oracle выпустила обновление Solaris 11.3 SRU 33

На прошедшей в Сан-Франциско конференции «All Hands 2018» среди разработчиков Mozilla состоялось обсуждение архитектуры системы для голосовой навигации в браузере. Проект находится на начальной стадии планирования и ещё не анонсирован официально, так как он пока не вышел из стадии мозгового штурма и обсуждений. В качестве основы Scout может послужить развиваемая в Mozilla открытая система распознавания речи. В качестве базовой функциональности в обсуждении рассматривался новый голосовой помощник «Scout», способный распознавать команды на естественном языке, по аналогии с тем, как это делают Apple Siri и Google Now. Например, для взаимодействия с голосовым интерфейсом Mozilla может быть использована фраза «Эй Скаут, прочитай мне … Читать далее Mozilla рассматривает возможность создания системы голосовой навигации для браузера

В проекте yandex-disk-indicator, в рамках которого энтузиастами развивается индикатор для панелей задач различных рабочих столов, выполненный в виде обёртки над штатной консольной утилитой синхронизации yandex-disk, выявлена ошибка, из-за которой в процессе установки собранных из исходных текстов файлов осуществлялось удаление содержимого раздела /usr, если установочный скрипт был запущен под пользователем root. Суть проблемы в том, что в файле install.sh для очистки локальной копии собранных файлов вместо команды «rm -r yd-tools/usr» по ошибке была добавлена строка «rm -r /usr». Проблема появилась в коде 20 мая в ходе переработки сборочных скриптов и была исправлена несколько часов назад. Проблема долго оставалась незамеченной так как … Читать далее Установочный скрипт проекта yandex-disk-indicator удалял раздел /usr

Представлен релиз пользовательской оболочки Plasma 5.13, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу нового выпуска можно через Live-сборку от проекта openSUSE и сборки от проекта KDE neon. Пакеты для различных дистрибутивов можно найти на данной странице. В процессе подготовки новой версии большое внимание уделено снижению времени запуска, повышению отзывчивости интерфейса, снижению потребления памяти и оптимизации производительности для комфортной работы на маломощных системах. Выпуск 5.13 также примечателен прекращением развития в KWin новых возможностей, специфичных для X11. При разработке KWin 5.13 реализуются только новшества, связанные с Wayland, а в … Читать далее Релиз рабочего стола KDE Plasma 5.13

Официально вступили в силу изменения правил Федерального агентства по связи США (FCC), касающиеся соблюдения сетевого нейтралитета. Отныне перестали действовать применяемые к провайдерам дополнения, запрещавшие платное повышение приоритета, блокирование доступа и ограничение скорости обращения к контенту и сервисам, распространяемым на законных основаниях. Нейтралитет был обеспечен в классификации «Title II», в рамках которой широкополосный доступ трактовался как «информационный сервис», а не «телекоммуникационный сервис», что ставило распространителей контента и операторов связи в один ранг и не допускало дискриминации одной из сторон. Отмечается, что у сторонников сетевого нейтралитета ещё остаётся шанс добиться отмены изменения правил через Конгресс США. Первая палата Конгресса (Сенат) уже проголосовала … Читать далее В FCC официально вступили в силу изменения, отменяющие правила сетевого нейтралитета

В рамках проекта GitPub началась подготовка спецификации, расширяющей протокол ActivityPub средствами для объединения Git-сервисов в общую федеративную сеть. Изначально ActivityPub рассчитан на распространение контента, управление подписками и доставку уведомлений в децентрализованных социальных сетях (позволяет объединять контент социальных сетей на основе отличающихся платформ), но протокол создан с возможностью расширения и может быть легко адаптирован для организации взаимодействия между сервисами совместной разработки. Первый черной вариант спецификации GitPub определяет API для трансляции между серверами pull-запросов и операций создания форков, а также оформления подписки на репозитории, предоставляемые web-сервисами наподобие GitHub, GitLab, RhodeCode, GitPrep, Kallithea, GitBucket, Gogs и Gitea. Спецификация поставляется под лицензией W3C Document … Читать далее Началась разработка GitPub, протокола для децентрализованных Git-сервисов

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 3.10. С момента выпуска версии 3.9 было закрыто 17 отчётов об ошибках и внесено 286 изменений. Наиболее важные изменения: В Direct 3D 12 добавлена поддержка цепочек переключений виртуальных фреймбуферов (SwapChain); Реализация API Vulkan приведена в соответствие с последним вариантом спецификации; Добавлена поддержка отладчика для процессов Wow64; Расширена поддержка планировщика запуска задач по расписанию (Task Scheduler); Закрыты отчёты об ошибках, связанные с работой игр и приложений: Max Payne 3, Tumblebugs 2, Neverwinter Nights 2, Brothers: A Tale of Two Sons, Broforce, Dead Space, Lego Star Wars Complete Saga, World of Tanks, Tomb … Читать далее Выпуск Wine 3.10