В Rubygems, системе управления пакетами для приложений на языке Ruby, выявлена критическая уязвимость (CVE-2017-0903), позволяющая инициировать удалённое выполнение кода на сервере RubyGems.org при загрузке специально оформленного gem-пакета или на системе пользователя при установке gem-пакета. Проблема устранена в выпуске RubyGems 2.6.14. Уязвимость вызвана ошибкой в коде разбора контрольных сумм для компонентов пакета и связана с возможностью десериализации объектов. Контрольные суммы хранятся в формате YAML и до устранения уязвимости загружались при помощи вызова YAML.load, который автоматически обрабатывает сериализированные объекты на языке Ruby. Злоумышленник может подготовить файл с контрольными суммами, содержащий сериализированные объекты в блоке YALM, что приведёт к выполнению заданного атакующем Ruby-кода … Читать далее В RubyGems выявлена удалённо эксплуатируемая уязвимость

Компания Cisco опубликовала релиз Snort 2.9.11.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Реализована гибкая система распределения памяти для препроцессоров, освобождающая неиспользуемую или недавно использованную память при необходимости и позволяющая обойтись без перезапуска Snort при изменении распределения памяти; Добавлена поддержка хранения имён файлов в Unicode для протокола SMB; Для определения и блокирования BitTorrent представлена система версионирования hostPortCache для неизвестных типов потоков в AppID; Улучшен разбор метаданых RTSP для определения RTSP-трафика через Windows Media; Увеличена производительность в ситуациях достижения лимита на интенсивность SYN-пакетов и … Читать далее Релиз системы обнаружения атак Snort 2.9.11.0

Доступен выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.13.6, в котором реализованы следующие изменения: В модуле stream исправлена ошибка, проявляющаяся при использовании директивы ‘ssl_preread’ (не работало переключение на следующий бэкенд); Внесены исправления в модуль ngx_http_v2_module; Исправлена ошибка на 32-битных платформах с 64-битным time_t, на которых не поддерживались даты после 2038 года; Внесены исправления в обработку дат до 1970 года и после 10000 года; В модуле stream исправлена ошибка, из-за которой таймауты ожидания UDP-пакетов от бэкендов не заносились в лог или заносились с классом info вместо error; Исправлена ошибка при использовании протокола HTTP/2, из-за которой nginx мог вернуть ошибку 400, не указав … Читать далее Выпуск nginx 1.13.6

Студия Wonder Unit развивает открытый пакет Storyboarder, упрощающий проведение работы по раскадровке в процессе подготовки к съёмке фильма/анимации/рекламы или просто для визуализации возникающих идей. Под раскадровкой понимается создание серии картинок, предварительно визуализирующих состав будущих сцен, показывающих размещение персонажей и важных объектов, и их последовательность в соответствии с сюжетной линией. Код Storyboarder написан на языке JavaScript и распространяется под лицензией MIT c дополнительными исключениями: запрет на продажу и требование указать ссылку на оригинал при распространении. На днях вышел 13 выпуск программы, которая пока не вышла из стадии бета-тестирования. Бинарные сборки поставляются для Linux (AppImage), macOS и Windows. Storyboarder берёт на себя … Читать далее Представлен Storyboarder, свободный пакет для раскадровки сцен

Представлен стабильный выпуск дистрибутива Q4OS 2.4, основанного на пакетной базе Debian и поставляемого с рабочим столом Trinity, продолжающим развитие кодовой базы KDE 3.5.x. Дистрибутив позиционируется как нетребовательный к аппаратным ресурсам и предлагающий классическое оформление рабочего стола. Размер загрузочного образа 635 Мб (x86_64, i386 и i686 PAE, в дальнейшем также планируется выпустить сборки для 64- и 32-разрядных систием ARM). Q4OS 2.4 отнесён к выпускам с длительной поддержкой, обновления для которого будут выпускаться в течение 5 лет. В новой версии осуществлён переход на пакетную базу Debian Stretch 9.2. Заявлено обновление рабочего стола Trinity до несуществующего выпуска 14.0.5 (вероятно имеется в виду срез … Читать далее Выпуск дистрибутива Q4OS 2.4, поставляемого с рабочим столом Trinity

Состоялся релиз пользовательской оболочки Plasma 5.11, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу нового выпуска можно через Live-сборку от проекта openSUSE и сборки от проекта KDE neon. Пакеты для различных дистрибутивов можно найти на данной странице. . Основные улучшения: Новое оформление конфигуратора, в котором упрощена навигация и предоставлена возможность быстрого доступа к часто используемым разделам настроек. Для пользователей, привыкших к старому интерфейсу, предоставлена возможность переключиться на ранее предлагавшиеся варианты оформления в виде сетки пиктограмм или дерева; Реализована возможность просмотра истории уведомлений, которая позволяет легко найти пропущенные или … Читать далее Релиз рабочего стола KDE Plasma 5.11

Состоялся релиз системы резервного копирования BorgBackup 1.1.0, несколько лет назад ответвившейся от проекта Attic. Система поддерживает дедупликацию, шифрование и сжатие данных в хранилище резервных копий. Основной код проекта написан на языке Python 3, но около 9% критичных к производительности частей оформлены на языке Си. Исходные тексты распространяются под лицензией BSD. Сборки подготовлены для FreeBSD, Linux и macOS. Отличия от системы Attic сводятся к открытому процессу разработки с более простой организацией приёма изменений, устранению нерешённых в Attic проблем, более компактному и потребляющему меньше памяти формату индекса дедуплицированных блоков, более быстрой реализацией кэша синхронизации, поддержке хранения данных в сжатом виде, использованию шифрования … Читать далее Релиз системы резервного копирования BorgBackup 1.1.0

Эрик Реймонд (Eric S. Raymond), один из основателей организации OSI (Open Source Initiative), представил первый стабильный выпуск NTPsec 1.0, форка эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированного на переработке кодовой базы с целью повышения безопасности. В развитии NTPsec участвуют некоторые разработчики оригинального NTP Classic, инженеры из компаний Hewlett Packard и Akamai Technologies, а также участники проектов GPSD и RTEMS. Исходные тексты NTPsec размещены в репозитории на GitLab. NTPsec 1.0 подвёл итог двух с половиной лет работы над проектом и позиционируется как первый выпуск, пригодный для промышленного внедрения. В ходе работы кодовая база была сокращена на 76% от состояния в … Читать далее Первый стабильный релиз NTPsec, защищённого форка NTPD

Представлен новый выпуск свободной, кросс-платформенной UNIX-подобной операционной системы OpenBSD 6.2. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году, после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается 13 аппаратных платформ), стандартизация, корректная работа, активная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 6.2 составляет 340 Мб. Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили … Читать далее Выпуск OpenBSD 6.2

Компании Purism удалось собрать 1.5 млн долларов на производство смартфона Librem 5, оснащённого прошивкой на базе Debian, свободного ПО и специально адаптированных оболочек KDE Plasma Mobile и GNOME. Устройство планируется выпустить в продажу в первом квартале 2019 года по цене 599 долларов. Телефон будет поставляться в металлическом корпусе, с 5-дюймовым экраном, CPU i.MX8 (окончательное решение ещё не принято), GPU Vivante (будет задействован свободный драйвер Etnaviv), 3 ГБ ОЗУ, 32 ГБ eMMC, MicroSD, USB Host, USB Type-C, WiFi 802.11, Bluetooth 4, 2G/3G/4G, GSM, UMTS и LTE. На устройстве будут блокироваться любые попытки отслеживания и сбора информации о пользователе. Например, будут жестко … Читать далее Успешно собраны средства на производство свободного смартфона Librem 5

Состоялся релиз дистрибутива с непрерывным циклом выпуска обновлений Chakra Linux 2017.10, основанного на наработках проекта Arch Linux. Дистрибутив поставляется с десктоп-окружением KDE Plasma 5, снабжён графическим инсталлятором и конфигураторами, упрощающими настройку оборудования и системных параметров. Chakra может работать в Live-режиме и устанавливаться на жёсткий диск. Для загрузки доступна DVD-сборка для архитектуры x86_64, размером 1.9 Гб. В репозитории проекта представлено более 5 тыс. пакетов, которые могут быть установлены при помощи пакетного менеджера pacman. В новом выпуске обеспечена поддержка библиотеки libglvnd, в которой реализован программный диспетчер, осуществляющий перенаправление команд от 3D-приложения к той или иной реализации OpenGL, давая возможность сосуществовать драйверам Mesa … Читать далее Выпуск дистрибутива Chakra Linux 2017.10

Доступен релиз легковесного дисплейного менеджера SDDM (Simple Desktop Display Manager) 0.16, поддерживающего управление сеансами X11 и Wayland. SDDM применяется по умолчанию в Fedora Linux при выборе рабочего стола KDE и развивается при участии проектов Maui, KDE и LXDE. Проект написан на языке C++ и состоит из бэкенда, работающего в режиме фонового процесса, и фронтэнда, написанного с использованием Qt/QML и отличающегося большой гибкостью в плане смены оформления. SDDM предоставляет гибкие возможности для создания оформления, предоставляя простой программный интерфейс с готовыми компонентами аутентификации, перехода в спящий режим, завершения работы и т.п. Оформление определяется с использованием QtQuick, который даёт возможность применять анимационные эффекты … Читать далее Выпуск дисплейного менеджера SDDM 0.16

На конференции Ekoparty продемонстрирован метод атаки по сторонним каналам, позволяющей записать звук, используя вместо микрофона информацию об отклонениях параметров работы жесткого диска, вызванных звуковыми колебаниями. Метод также применим для определения движения. Необходимые для повторения эксперимента исходные тексты опубликованы на GitHub. Для получения сведений о звуковых колебаниях используется особенность работы жестких дисков — возникающие вибрации вращающихся пластин приводят к микроскопическим задержкам при чтении данных, так требуется дополнительное время на ожидание погашения вибрации. Современные операционные системы предоставляют непривилегированным пользователям доступ к высокоточным таймерам, которые позволяют измерять временные промежутки с точностью до наносекунд, что достаточно для оценки возникновения задержек при чтении с пластин … Читать далее Эксперимент по использованию жесткого диска в качестве микрофона

Состоялся релиз многоплатформенного web-браузера QupZilla 2.2.0, построенного с использованием библиотеки Qt и модуля QtWebEngine, основанного на браузерном движке Blink и элементах Chromium. Это последний выпуск под именем QupZilla и в форме независимого проекта, следующие версии будут распространяться под новым именем Falkon и развиваться в составе сообщества KDE. Главной целью проекта QupZilla является создание полнофункционального браузера, поддерживающего лучшие возможности Firefox, Opera и Chrome, но потребляющего при этом значительно меньше ресурсов. Первостепенное внимание уделяется экономии потребления памяти, обеспечению высокого быстродействия и поддержанию отзывчивости интерфейса. Исходные тексты QupZilla распространяются под лицензией GPLv3. Бинарные сборки доступны для большинства дистрибутивов Linux (в том числе в … Читать далее Выпуск web-браузера QupZilla 2.2

После года разработки подготовлен релиз двухпанельного файлового менеджера GNOME Commander 1.8.0, оптимизированного для использования в пользовательском окружении GNOME. GNOME Commander представляет такие возможности как вкладки, доступ к командной строке, закладки, изменяемые цветовые схемы, режим пропуска каталогов при выделении файлов, доступ к внешним данным через FTP и SAMBA, расширяемые контекстные меню, автоматическое монтирование внешних накопителей, доступ к истории навигации, поддержка плагинов, встроенный просмотрщик текста и изображений, функции поиска, переименования по маске и сравнения директорий. Ключевые изменения: Реализована возможность вызова функции быстрого поиска при нажатии клавиши «a» без удержания Ctrl или Alt (можно изменить в настройках); Добавлены опции для включения/выключения записи истории … Читать далее Доступен файловый менеджер GNOME Commander 1.8.0

Вышел релиз HTTP-сервера Apache 2.4.28, в котором представлено 15 изменений, среди которых устранение уязвимости CVE-2017-9798, о которой сообщалось ранее. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и позволяет через манипуляции с настройками в файле .htaccess инициировать утечку отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга. Среди других изменений: налаживание совместимости с LibreSSL в mod_ssl, устранение проблем с добавлением заголовков через директиву ProxyAddHeaders в mod_proxy, возможность динамического обновления протокола в mod_proxy_wstunnel, исправление остановки обработки при записи более 32KB в приостановленный поток mod_http2. Также можно отметить выпуск проекта cowboy 2.0, в рамках которого … Читать далее Выпуск http-серверов Apache 2.4.28 и cowboy 2.0

Доступно обновление почтового клиента Thunderbird 52.4.0. В новой версии представлено новое поведение при ответе на сообщения в списках рассылки. Ответ на сообщениях из рассылок теперь отправляется по адресу, указанному в заголовке From, а заголовок Reply-to игнорируется. Для возвращения отправки ответа на Reply-to можно использовать настройку «mail.override_list_reply_to». Кроме того, в новом выпуске устранена проблема, из-за которой при определённом стечении обстоятельств прикреплённые к письму изображения показывались обрезанными, если сообщения хранились в папках IMAP, не синхронизированных для работы в offline. Также исправлена ошибка, из-за которой не обрабатывались сообщения с IMAP UID больше 0x7FFFFFFF. Читать далее Обновление почтового клиента Thunderbird 52.4.0

Компания Amazon представила компилятор NNVM, предназначенный для компиляции предоставляемых системами машинного обучения высокоуровневых графов вычислений в оптимизированный набор машинных кодов. Код проекта распространяется под лицензией Apache 2.0. Система поддерживает компиляцию моделей в форматах OpenML (поддерживаются фреймворки Keras и Caffe), Apache MXNet и недавно представленного FaceBook и Microsoft открытого формата ONNX (Open Neural Network Exchange), при помощи которого могут передавать модели обучения из фреймворков Caffe2, PyTorch и CNTK (Cognitive Toolkit). На выходе может генерироваться код для различных бэкендов, включая ядра для вычислений на стороне GPU при помощи CUDA, OpenCL и Metal, а также промежуточный код LLVM, на основе которого могут формироваться … Читать далее Amazon открыл код компилятора NNVM для систем машинного обучения

Сформирована новая версия программатора PonyProg 3, предназначенного для работы с прошивками EEPROM и программирования различных микроконтроллеров. Программа поддерживает I²C Bus, Microwire, SPI eeprom, Atmel AVR и Microchip PIC, а также аппаратные интерфейсы AVR ISP (STK200/300), JDM/Ludipipo, EasyI2C и DT-006 AVR. Код проекта распространяется под лицензией GPLv2. В новой версии проведена большая работа по портированию исходных текстов с платформы V C++ GUI на Qt. Из новшеств: Полностью переработано и дополнено текстовой информацией окно программирования FUSE/LOCK-битов; Программа собирается с Qt версий 4.8 и выше, совместима с Qt 5; Проект собирается с компиляторами, поддерживающими параметр c++0x и выше. В том числе возможна сборка … Читать далее Представлен программатор PonyProg 3, портированный на Qt

Доступно второе корректирующее обновление дистрибутива Debian 9, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 87 обновлений с устранением проблем со стабильностью и 66 обновлений с устранением уязвимостей. Из изменений в Debian 9.2 можно отметить удаление пакета clapack, оставшегося без сопровождения форка lapack. В BIND9 добавлена поддержка нового ключа KSK-2017 (Key Signing Key) для DNSSEC, который начнёт применяться для корневых зон с 11 октября (старый ключ будет отозван в январе 2018 года). Во freerdp включена поддержка TLS 1.1 и более новых версий. В пакте ntp обеспечена сборка и установка /usr/bin/sntp. Обновлены до свежих стабильных версий … Читать далее Выпуск Debian 9.2

Компания Mozilla объявила (анонс на немецком языке) о намерении провести эксперимент, который затронет 1% пользователей новых установок Firefox в Германии, и приведёт к передаче данных, вводимых в адресной строке, сторонней коммерческой компании. Суть эксперимента в том, что у части пользователей будет включено дополнение Cliqz, которое ранее уже предлагалось для опционального тестирования в рамках проекта TestPilot, а теперь будет активировано по умолчанию. Дополнение Cliqz реализует новый режим быстрого доступа к поисковым системам из адресной строки, позволяющий по мере набора ключевых слов сразу наблюдать выводимый поисковыми системами результат с раскрытием некоторых видов информации. Например, при запросе «погода» сразу покажется прогноз погоды, «курс … Читать далее Эксперимент Mozilla приведёт к утечке данных, вводимых в адресной строке Firefox