Компании Mozilla, Microsoft, Google и Samsung договорились объединить усилия в области подготовки единой унифицированной документации для web-разработчиков, охватывающей поддерживаемые в современных браузерах технологии, включая JavaScript, CSS, HTML и различные Web API. Работа будет организована на площадке Mozilla Developer Network и курироваться комитетом, в который войдут представители вышеотмеченных компаний и консорциума W3C. В итоге, планируется сформировать качественную кроссбраузерную документацию, которая не будет привязана к конкретным продуктам. Читать далее Mozilla, Microsoft, Google, W3C и Samsung унифицируют документацию по Web-технологиям

После пятнадцати месяцев разработки компания Oracle опубликовала релиз системы виртуализации VirtualBox 5.2. Готовые установочные пакеты доступны для Linux (Ubuntu, Fedora, openSUSE, Debian, SLES, RHEL), Solaris, macOS и Windows. Основные изменения: Поддержка экспорта виртуальных машин в Oracle Cloud (OPC); Режим автоматизированной установки гостевых систем, похожий на функцию «Easy Install» в VMware и позволяющий без лишних настроек запустить гостевую систему, лишь выбрав необходимый для запуска образ; Новый графический интерфейс выбора виртуальных машин; Улучшение средств для людей с ограниченными возможностями; Поддержка определения звуковых устройств и автоматизированный выбор драйвера для звукового бэкенда. Возможность горячего подключения внешних звуковых карт; Эмуляция звуковых устройств HDA переведена на … Читать далее Релиз системы виртуализации VirtualBox 5.2

Разработчики GNOME объявили о готовности проекта Fleet Commander к широкому применению. Fleet Commander представляет собой набор компонентов для организации развёртывания и сопровождения настроек для большого числа рабочих станций на базе Linux и GNOME. Предоставляется единый централизованный интерфейс для управления настройками рабочего стола, прикладных программ и сетевых подключений. Проект можно рассматривать как аналог объектов групповых политик в Active Directory. Код Fleet Commander написан на языке Python и распространяется под лицензией LGPLv2.1. Готовые пакеты добавлены в штатный репозиторий Fedora 26 и готовятся для включения в репозиторий EPEL для CentOS/RHEL. Fleet Commander включает в себя три базовых компонента: Плагин к FreeIPA для хранения … Читать далее Объявлено о готовности Fleet Commander, системы для централизованной настройки Linux-десктопов

Компания Google представила релиз web-браузера Chrome 62. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Основные изменения в Chrome 62: Расширен спектр ситуаций при которых выводится сообщение о небезопасном соединении при обращении к сайтам по HTTP. Помимо уже выставляемой метки небезопасного соединения при заполнении форм ввода пароля и номеров кредитных карт, аналогичное предупреждение теперь будет выводиться при заполнении любых форм данных на страницах открытых по … Читать далее Выпуск web-браузера Chrome 62

Продолжают всплывать уязвимости в обработчике RAW-сокетов AF_PACKET из состава ядра Linux. Проблема вызвана обращением у уже освобождённому блоку памяти и может привести к повышению привилегий в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Уязвимость устранена в обновлении ядра 4.14-rc2. Это пятая уязвимость в подсистеме AF_PACKET за последний год (1, 2, 3, 4). Так как для обращения к AF_PACKET требуется наличие полномочий CAP_NET_RAW, атака имеет смысл только из изолированных контейнеров с пользователем root, запущенных с применением пространств имён идентификаторов пользователей (user namespaces) и изолированного сетевого стека (net namespaces). В Debian и Red Hat Enterprise Linux поддержка user … Читать далее Пятая уязвимость в реализации сокетов AF_PACKET ядра Linux

На завершившейся несколько дней назад конференции LibreOffice Conference 2017 был представлен отчёт о создании VCL-плагина на базе Qt 5 и KDE Frameworks 5, который позволит привести интерфейс LibreOffice к общему стилю рабочего стола KDE Plasma. Применяемый ныне плагин для KDE основан на Qt4 и kdelibs4, и плохо сочетается с KDE 5. Новый плагин даст возможность не только задействовать штатный диалог выбора файлов из Plasma 5 и обеспечит более плотную интеграцию с рабочим столом, но и предоставит корректную поддержку Wayland и Hi-DPI. Подcистема VCL (Visual Components Library) позволяет абстрагировать оформление LibreOffice от различных тулкиотов, предоставляя возможность использования родных для каждого графического … Читать далее Оформление LibreOffice будет оптимизировано для KDE Plasma 5

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, представил выпуск mod_md 1.0, модуля к http-серверу Apache для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). При помощи mod_md можно упростить процесс сопровождения сертификатов на серверах с большим числом сайтов или в системах массового хостинга. При наличии mod_md пользователям не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в сервисе Let’s Encrypt при первом запуске, организует их загрузку в mod_ssl (указание директив SSLCertificate* не требуется) и периодически будет обновлять сертификаты при приближении к истечению срока действия. Модуль mod_md уже … Читать далее Проект Let’s Encrypt представил модуль для http-сервера Apache

Фонд свободного ПО добавил лицензию Eclipse Public License (EPL) 2.0 в список свободных лицензий, несовместимых с GPL. Несовместимость обусловлена тем, что EPL относится к категории слабого копилефта и включает пункт о выборе юрисдикции. При этом отмечается, что в отличие от EPL 1.0 в лицензии EPL 2.0 предоставлена возможность назначения GPLv2+ в качестве вторичной лицензии для кода. При подобном назначении обеспечивается явная совместимость с GPL, но без него EPL 2.0 остается несовместимой с GPL. Читать далее Фонд СПО добавил EPL 2.0 в список свободных лицензий, несовместимых с GPL

Представлен второй выпуск основной стабильной ветки nginx 1.12.2, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.12 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: Исправлена ошибка при которой клиентские SSL-соединения сразу закрывались при использовании отложенного accept и параметра proxy_protocol в директиве listen; Решена проблема с обрывом соединений при выполнении операции тестирования корректности конфигурации на платформе Linux, в случае использовании опции «reuseport» в директиве «listen»; Устранена проблема, приводившая к возвращению некорректной длины ответа на 32-разрядных системах при запросе более 4 Гб данных, разбитых несколько диапазонов (range); В модуле stream исправлена ошибка, … Читать далее Обновление nginx 1.12.2

В работающем на уровне ядра Linux коде звуковой системы ALSA выявлена уязвимость (CVE-2017-15265), позволяющая непривилегированному пользователю выполнить код с правами ядра. Уязвимость присутствует в модуле snd-seq.ko (/dev/snd/seq) и вызвана обращением к буферу после его освобождения (use-after-free) в функции snd_seq_create_port(). Проблема может быть эксплуатирована через ioctl при выполнении из разных нитей команд создания и удаления порта. Обновление уже выпущено для Fedora и Debian Unstable. Также подготовлен патч, который включён в состав ядра Linux 4.14-rc5. Читать далее Локальная уязвимость в звуковой подсистеме ALSA, позволяющая выполнить код с правами ядра

Технический совет организации Linux Foundation опубликовал документ, поясняющий отношение сообщества разработчиков ядра Linux к вопросу принуждения к соблюдению условий лицензии GPLv2, компаниями использующими ядро в своих продуктах. Документ, который подписали 102 известных разработчика ядра и одобрили такие компании как Linaro, Red Hat, SUSE, VMware, Collabora, Oracle и Samsung, войдёт в состав документации к выпуску 4.14. Инициативу также поддержала правозащитная организация Software Freedom Conservancy, которой некоторые разработчики передали свои имущественные права на код в ядре для отстаивания соблюдения лицензии GPL. Документ определяет добровольные обязательства, которые принимают одобрившие документ разработчики, в отношении расторжения лицензии GPLv2 и прекращении всех прав лицензиата, предоставленных ему … Читать далее Для ядра Linux адаптированы правила GPLv3 в отношении отзыва лицензии

Представлен выпуск проекта netutils-linux 2.5.0, в рамках которого развивается набор утилит для мониторинга и тюнинга производительности сетевого стека Linux. Исходные тексты проекта написаны на Python (поддерживаются python 2.6+ и 3.4+) и поставляются под лицензией MIT. Цель проекта — упростить и унифицировать процесс настройки сетевого стека и сетевых карт, снизив необходимость разбираться в устройстве сетевого стека для рядовых системных администраторов (и снизить объём вычислений в уме: маски CPU, соответствие CPU и номеров IRQ и т.д.). В состав входят такие программы, как network-top, irqtop, softirq-top, softnet-stat-top, link-rate, snmptop, rss-ladder, autorps, maximize-cpu-freq, rx-buffers-increase и server-info. Например, утилиты могут оказаться полезными при проведении работы … Читать далее Релиз netutils-linux 2.5, утилит для мониторинга и тюнинга сетевого стека Linux

В преддверии первого стабильного выпуска новой ветки 5.2 компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.1.30, в котором отмечено 5 исправлений. В новой версии: Решены проблемы со сборков в Linux-дистрибутивах на базе glibc 2.26; Обновлены переводы элементов интерфейса; На хостах с Solaris обеспечена возможность увеличения размера MTU до 9706 байт для поддержки jumbo-кадров; Устранена проблема с дублированием курсора при запуске GUI в macOS; В дополнениях для Windows устранён крах при использовании 3D. Читать далее Выпуск VirtualBox 5.1.30

После семи месяцев разработки сформирован релиз DragonFlyBSD 5.0, операционной системы с гибридным ядром, созданной в 2003 году с целью альтернативного развития ветки FreeBSD 4.x. Из особенностей DragonFly BSD можно выделить распределённую версионную файловую систему HAMMER, поддержку загрузки «виртуальных» ядер системы как пользовательских процессов, возможность кэширования данных и мета-данных ФС на SSD-накопителях, учитывающие контекст вариантные символические ссылки, возможность заморозки процессов с сохранением их состояния на диске, гибридное ядро, использующее легковесные потоки (LWKT). Из наиболее существенных новшеств DragonFlyBSD 5.0 отмечается поставка начальной реализации файловой системы HAMMER2, обновление пакетного фильтра ipfw, обновление графических драйверов для GPU Intel и гибридных графических подсистем, расширение максимально … Читать далее Релиз операционной системы DragonFly BSD 5.0

В библиотеке Infineon, которой оснащаются смарткарты и TPM-модули на базе чипов компании Infineon Technologies AG, выявлена уязвимость, существенно снижающая стойкость к факторизации параметров генерации ключа по имеющемуся открытому ключу. Атака получила название «ROCA» и касается RSA-ключей, сгенерированных с использованием смарткарт и вшитых в некоторые материнские платы чипов-криптоакселераторов. Уязвимость присутствует как минимум с 2012 года и затрагивает в том числе устройства, имеющие сертификаты безопасности NIST FIPS 140-2 и CC EAL 5+. Например, проблеме оказались подвержены 750 тысяч выпущенных в Эстонии идентификационных карт, снабжённых 2048-битными ключами RSA, а также ключи созданные с использованием TPM-модулей Infineon в устройствах Microsoft (BitLocker), Google (Chromebook), HP, … Читать далее Уязвимость в библиотеке Infineon, упрощающая факторизацию закрытого RSA-ключа

В работающем на уровне ядра Linux коде звуковой системы ALSA выявлена уязвимость (CVE-2017-15265), позволяющая непривилегированному пользователю выполнить код с правами ядра. Уязвимость вызвана обращением к буферу после его освобождения (use-after-free) в функции snd_seq_create_port() и может быть эксплуатирована через ioctl при выполнении из разных нитей команд создания и удаления порта. Обновление уже выпущено для Fedora и Debian Unstable. Также подготовлен патч, который включён в состав ядра Linux 4.14-rc5. Читать далее Локальная root-уязвимость в звуковой подсистеме ALSA

Раскрыты детали новой техники атаки KRACK (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа. Новая техники атаки сводит на нет уровень защиты WPA2, делая работу через WPA2 не более защищённой чем, работа в публичной WiFi-сети. Всем пользователям рекомендуется обязательно использовать дополнительные уровни защиты при работе с конфиденциальными данными при соединении через WPA2, такие как VPN или обращение к ресурсам только по HTTPS. Атака затрагивает концептуальную недоработку в стандарте WPA2, что делает уязвимыми все корректные реализации стандарта, независимо от применяемых шифров … Читать далее Атака против WPA2, позволяющая перехватить трафик в WiFi-сети

После шести месяцев разработки доступен мультимедиа-пакет FFmpeg 3.4, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Кроме изменений, созданных внутри проекта, в новую версию также включены все последние наработки, развиваемые в ветках ffmpeg-mt (многопоточное декодирование) и libav (форк FFmpeg). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 3.4, можно выделить: Новые фильтры: afir — наложение произвольных импульсных переходных функций для изменения частоты звука (Frequency Impulse Response); crossfeed — смешивает левый и правый каналы стерео для наушников (Crossfeed); surround — … Читать далее Выпуск мультимедиа-пакета FFmpeg 3.4

GutHub обновил отчёт с анализом статистики проектов. По сравнению с сентябрём 2016 года число пользователей GitHub возросло с 5.8 до 24 млн, организаций с 331 тысяч до 1.5 млн, а репозиториев с 19.4 до 67 млн (учтены только репозитории, в которых наблюдалась активность). За год было совершено более миллиарда коммитов и 1.3 млн pull-запросов, закрыто 68.8 уведомлений о проблемах, отправлено 1.4 млн комментариев. Общее число pull-запросов за всю историю существования GitHub достигло значения в 100 млн. Самым популярным языком на GitHub остаётся JavaScript для которого за год зафиксировано 2.3 млн pull-запросов, что на 30% больше, чем в прошлом году. Второе … Читать далее GitHub опубликовал статистику за 2017 год

Сформирован значительный выпуск проекта ProseMirror 1.0, в рамках которого развивается тулкит для создания кастомизированных визуальных редакторов для интеграции на сайты и в web-приложения. Ветку 1.x планируется поддерживать длительное время с сохранением обратной совместимости. Исходные тексты проекта написаны на JavaScript и поставляются под лицензией MIT. ProseMirror интересен тем, что для пользователя предоставляет удобные средства редактирования, но для разработчиков позволяет получить созданные в процессе редактирования данные в произвольном структурированном и семантически целостном представлении, занимая нишу между классическими WYSIWYG-редакторами и системами на базе Markdown. При этом ProseMirror является скорее низкоуровневым инструментарием для создания сложных и специфичных интерфейсов редактирования, для добавления простых типовых форм … Читать далее Представлен ProseMirror 1.0, тулкит для создания визуальных редакторов для Web

Доступен релиз языка программирования Rust 1.21, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. По структуре язык Rust напоминает C++, но существенно отличается в некоторых деталях реализации синтаксиса и семантики. Автоматическое управление памятью избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается … Читать далее Релиз языка программирования Rust 1.21