После четырёх месяцев разработки подготовлен релиз мультимедиа проигрывателя SMPlayer 18.2.2, выполненного в форме графической надстройки над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows. В новом выпуске добавлена возможность отображения субтитров на полупрозрачной подложке. Настройка степени прозрачности фона блока с субтитрами может быть произведена через меню «Preferences — Subtitles — Font and colors». Кроме того, в … Читать далее Новая версия медиапроигрывателя SMPlayer 18.2.2

Состоялся релиз SuiteCRM 7.10, CRM-системы для организации взаимодействия с клиентами на предприятии, обеспечения работы службы продаж, ведения партнёрской сети, предоставления сервисов и планирования работы сотрудников. В том числе предоставляются модули для работы с контрактами, накладными, PDF-шаблонами, котировками, базой продуктов, формирования отчётов и диаграмм, управления событиями. SuiteCRM позиционируется в качестве полноценной открытой альтернативы проприетарному продукту SugarCRM, а также таким системам, как SalesForce и Microsoft Dynamics. Код системы и модулей написан на PHP и поставляется под лицензией GPLv3. В качестве СУБД по умолчанию предлагается использовать MariaDB. SuiteCRM развивается компанией SalesAgility, использующей бизнес-модель, подразумевающую неограниченное распространение и разработку полностью открытого продукта, с получением … Читать далее Выпуск CRM-системы SuiteCRM 7.10

Доступен начальный прототип нового эмулятора 2ine, нацеленного на выполнение исполняемых файлов OS/2 в Linux по аналогии с тем как Wine позволяет запускать исполняемые файлы Windows. В текущем виде проект уже может выполнять консольные приложения, такие как порты GCC и Watcom C для OS/2, сетевые приложения (например, FTP.EXE) и простейшие графические программы для Presentation Manage. Работа графики симулируется через SDL. Проект развивает в качестве эксперимента Райан Гордон (Ryan C. Gordon), который является автором системы MojoELF, позволяющей запускать приложения Linux в окружении macOS. Райан также принимал участие в портировании огромного количества игр и программ для Linux (Google Earth, Quake 3, Unreal Tournament, … Читать далее Опубликован прототип эмулятора для запуска исполняемых файлов OS/2 в Linux

Некоммерческая организация KDE e.V., курирующая развитие проекта KDE, сообщила о получении пожертвования в размере 200 тысяч долларов (18.7 BTC) от благотворительного фонда Pineapple. Фонд Pineapple был учреждён анонимным биткоиновым миллионером для содействия развитию важных некоммерческих проектов и уже выделил средства 57 организациям, среди которых как Фонд СПО ($1 млн), Electronic Frontier Foundation ($1 млн), Apache Software Foundation ($1 млн), Let’s Encrypt ($250 тысяч), OpenStreetMap Foundation ($150 тысяч) и OpenBSD Foundation ($50 тысяч). Читать далее Фонд Pineapple пожертвовал 200 тысяч долларов проекту KDE

Состоялся релиз фреймворка DPDK (Data Plane Development Kit), предоставляющего средства для создания высокопроизводительных сетевых приложений, напрямую работающих с сетевым оборудованием и обрабатывающих пакеты минуя сетевой стек ядра. В качестве первичной платформы заявлен Linux, но имеется ограниченный по своим возможностям вариант для FreeBSD. Исходные тексты библиотек и драйверов поставляются под лицензией BSD, а компоненты для ядра Linux доступны под GPLv2. Разработчикам предлагается набор библиотек для низкоуровневой работы с сетевыми адаптерами, взаимодействия в многоядерных системах, задействования кольцевых буферов и больших страниц памяти («huge page»). При помощи данных библиотек можно принимать и отправлять сетевые пакеты с выполнением минимального числа циклов CPU (около 80 … Читать далее Выпуск DPDK 18.02, фреймворка для высокопроизводительных сетевых приложений

После десяти месяцев разработки представлен релиз asciinema 2.0, программы для записи сеансов работы в терминале и их распространения в форме анимированных текстовых скринкастов (ascii-кастов), в которых в отличие от видео можно выделять и копировать текст. Записанные аscii-касты можно одной командой загрузить на сервер asciinema.org и интегрировать в свой блог или в статью. Проект написан на языке Python и распространяется под лицензией GPLv3. Новый выпуск примечателен переходом на использование нового формата asciicast v2, позволяющего записывать и воспроизводитель сеансы любой продолжительности при минимальном потреблении памяти. Новый формат также позволил реализовать инкрементальную запись (продолжение записи после прерывания сеанса) и потоковое вещание. Среди новых … Читать далее Выпуск asciinema 2.0, программы для записи текстовых скринкастов

Состоялся релиз языка программирования Go 1.10, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Релиз языка программирования Go 1.10

Исследователи из компании Check Point выявили одну из крупнейших атак по майнингу криптовалют на уявзимых серверах. В результате запуска вредоносного кода на уязвимых системах непрерывной интеграции Jenkins, злоумышленникам удалось добыть криптовалюты Monero более, чем на 3.3 млн долларов (10800 Monero). Для получения доступа к серверам использовалась исправленная в прошлом году уязвимость (CVE-2017-1000356) в платформе Jenkins, позволяющая выполнить произвольный код на сервере без прохождения аутентификации. Атакующие поражают в основном необновлённые конфигурации Jenkins, установленные на компьютерах разработчиков под управлением Windows (злоумышленники используют программу для майнинга minerxmr.exe). По предварительной оценке в сети присутствует около 25 тысяч публично доступных Jenkins-серверов, сколько из них уязвимы … Читать далее Атакующие заработали 3.3 млн долларов, организовав майнинг на уязвимых серверах Jenkins

Представлена новая версия торрент-клиента qBittorrent 4.0.4, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности. Кроме исправления нескольких десятков ошибок в новом выпуске в контекстное меню добавлена опция для принудительной переотправки анонса. В интерфейсе для создания Torrent-ов максимальный размер элемента увеличен до 32 Мб и добавлено поле с источником данных. Читать далее Доступен торрент-клиент qBittorrent 4.0.4

Сформирован новый релиз программы LaTeX2HTML 2018, предназначенной для преобразования исходных документов в формате LaTeX в web-страницы с разметкой HTML. Поддерживается разбиение документа на несколько связанных HTML-файлов с автоматически генерируемыми панелями для навигации, перекрёстными ссылками, оглавлением и сносками. Сложные формулы и таблицы могут экспортироваться в виде изображений, для которых возможно inline-встраивание в HTML без сохранения в отдельных файлах. Код проекта поставляется под лицензией GPLv2. Для русскоязычного сообщества наиболее интересное изменение в новой версии связано с добавлением поддержки русской локали, включая поддержку кодировок KOI8-R, CP1251 и UTF-8. Читать далее Выпуск LaTeX2HTML 2018

Себастьян Лакнер (Sebastian Lackner) и Майкл Мюллер (Michael Müller) сообщили, что они больше не имеют возможности выпускать новые версии проекта Wine Staging, в рамках которого формировались расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, перед их интеграцией в основное дерево исходных текстов Wine. Себастьян и Майкл, занимавшие пост мэйнтейнеров Wine Staging, пояснили, что работают над проектом исключительно в своё свободное время, которого последнее время сильно не хватает в связи с окончанием обучения и трудоустройством в режиме полного рабочего дня. Для тех кому необходима дополнительная функциональность, такая как поддержка Windows ACL, CUDA/PhysX/NVENC для видеокарт NVIDIA, EAX 1, API Vulkan, … Читать далее Проект Wine Staging прекращает подготовку релизов

В Rubygems, системе управления пакетами для приложений на языке Ruby, устранено семь уязвимостей. Проблемы исправлены в выпуске RubyGems 2.7.6 . Всем пользователям рекомендуется обновить RubyGems (gem update —system) или установить патчи. Среди выявленных проблем: возможность выхода за корневой каталог с содержимым пакета, небезопасная десериализация объектов, некорректная интепретация полей в заголовках, возможность размещения дубликатов файлов в пакете, подстановка некорректных URL и проведение XSS-атаки через атрибут homepage. Читать далее В RubyGems устранено 7 уязвимостей

Следом за React, Jest, Flow, Immutable.js и GraphQL компания Facebook выполнила перелицензирование кодовых баз проектов React Native и Yoga, которые переведены с лицензии BSD с дополнительным соглашением об использовании патентов («BSD+Patent») на лицензию MIT. Изменение лицензии позволит добиться совместимости кода React Native и Yoga с проектами фонда Apache. Напомним, что в июле 2017 года Фонд Apache добавил «BSD+Patent» в список несовместимых лицензий, код под которыми не разрешается использовать в проектах Apache. Проектам Apache было предписано избавиться от зависимостей под лицензией «BSD+Patent». Вначале Facebook отказался сменить лицензию, указав, что патентное дополнение, в котором фонд Apache усмотрел несбалансированное перекладывание рисков на потребителей … Читать далее Facebook сменил лицензию на React Native и Yoga

Группа исследователей из Принстонского университета и компании NVIDIA опубликовали новые варианты атак Meltdown и Spectre, получившие названия MeltdownPrime и SpectrePrime, которые отличаются иным способов воссоздания информации из процессорного кэша. Ключевым отличием новых методов является задействование двух ядер CPU для проведения атаки с применением в качестве канала утечки данных особенностей работы протокола согласования содержимого кэша для разных ядер CPU. Для организации атаки по сторонним каналам в классических Meltdown и Spectre применяется восстановление содержимого кэша на основе техники FLUSH+RELOAD, в то время как в новых вариантах применён метод «Prime and Probe«. Суть метода в том, что перед выполнением операции с кэшем, содержимое … Читать далее Представлены новые виды атак MeltdownPrime и SpectrePrime

Компания Intel представила новую инициативу по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия — $500). Для атак на оборудование по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов. Размер выплаты сильно зависит от уровня опасности уязвимости (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 — 10.0) в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых … Читать далее Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 3.2. С момента выпуска версии 3.1 было закрыто 34 отчётов об ошибках и внесено 340 изменений. Наиболее важные изменения: Отдельная реализация пользовательских управляющих элементов интерфейса для ComCtl32 v6 (Common Control library). В том числе добавлены классы ComboBox, ListBox, Button и Static; Поддержка мультисэмплинга текстур (Multisample texture) в реализации Direct3D; Поддержка геймпадов в HID-драйвере; Поддержка дополнительных событий в MSHTML; Удалён устаревший код DOS; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Tages Protection v5.x, notepad++, Visual C++ 2010 Express, Mindjet MindManager 14.x/15.x, MS Office Pro Plus 2010, B4A (Basic 4 … Читать далее Выпуск Wine 3.2

Состоялся релиз nEMU 1.4.0, консольного интерфейса к QEMU на базе библиотеки ncurses, упрощающего создание, настройку и управление виртуальными машинами. Код написан на языке C и распространяется под лицензией BSD-2. Пакеты подготовлены для Debian и Ubuntu, для Gentoo Linux доступен portage (app-emulation/nemu). Изменения: Импорт OVA/OVF; Полноценные снапшоты (необходима версия qemu-2.11.0 с патчем, который можно найти в составе исходных текстов nEMU (patches/qemu-qmp-savevm-2.11.0.patch); Новое меню действий над гостевой системой; Возможность поставить гостевую систему на паузу; Тильда в путях теперь раскрывается в $HOME; Добавлен поиск гостевой системы в списке; Полностью переделана работа с USB-устройствами; Исправлена возможность пересечения имён TAP интерфейсов. Читать далее Релиз nEMU 1.4.0, консольного интерфейса для управления QEMU

Состоялся релиз языка программирования Rust 1.24, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. По структуре язык Rust напоминает C++, но существенно отличается в некоторых деталях реализации синтаксиса и семантики. Автоматическое управление памятью избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается … Читать далее Релиз языка программирования Rust 1.24

Доступно второе обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.2 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого. Новый выпуск синхронизирован с кодовой базой Firefox 52.6 и включает все доступные в ней исправления. В Composer решены проблемы с невозможностью редактировать и добавлять свойства изображений. Устранены проблемы с исчезновением кнопок в … Читать далее Выпуск интегрированного набора интернет-приложений SeaMonkey 2.49.2

Организация The Document Foundation опубликовала статистику загрузок за две недели после релиза LibreOffice 6.0. Сообщается, что LibreOffice 6.0.0 и вышедший спустя неделю корректирующий выпуск LibreOffice 6.0.1 с устранением опасной уязвимости были загружены почти миллион раз. При этом не уточняется учтено ли то, что существенная часть пользователей загрузила как версию 6.0.0, так и 6.0.1 (т.е. не показано сколько из миллиона приходится на дублирующиеся загрузки). Примечательно, что практически не развивающийся последние годы проект Apache OpenOffice для опубликованного в конце декабря выпуска 4.1.5, включающего всего несколько исправлений, за месяц набрал 3.2 млн загрузок (за первые две недели 1.57 млн загрузок). Читать далее За две недели загружено около миллиона копий LibreOffice 6.0

Опубликован релиз пакета Quagga 1.2.3, предоставляющего реализации протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 для Unix-подобных систем. В новой версии устранено 4 уязвимости в bgpd, в том числе проблема (CVE-2018-5379) с двойным освобождением области памяти (double-free) при обработке сообщений UPDATE, в том числе отправленных не напрямую и доставленных через легитимного пира. Не исключается, что уязвимость может быть эксплуатирована для удалённого выполнения кода атакующего при использовании определённых реализаций malloc. Остальные проблемы могут быть использованы для инициирования краха (CVE-2018-5378, CVE-2018-5380) или зацикливания (CVE-2018-5381). Читать далее Обновление Quagga 1.2.3 с устранением уязвимостей в реализации BGP