Началось тестирование второго кандидата в релизы дистрибутива Devuan Jessie 1.0, форка Debian GNU/Linux 8.0 «Jessie», поставляемого без системного менеджера systemd. Если будут выполнены критерии качества, то на следующей стадии кодовая база будет переведена в состояние первого стабильного релиза, для которого будет обеспечен длительный цикл поддержки (LTS). Для загрузки подготовлены сборки (minimal 305 Мб, install 645 Мб и live 832 Мб) для архитектур AMD64 и i386, а также образы для устройств на базе архитектуры ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и др.). Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. По сравнению с первым кандидатом … Читать далее Второй кандидат в релизы Devuan, форка Debian без systemd

Компании Haivision и Wowza, развивающие платформы для организации потокового видеовещания, учредили организацию SRT Alliance, нацеленную на продвижение нового открытого транспортного протокола SRT для безопасной доставки высококачественного потокового видео с минимальными задержками. Код эталонной реализации клиентской и серврной части SRT написан на языке Си и открыт под лицензией LGPLv2. Для добавления поддержки SRT в приложения подготовлена разделяемая библиотека. В отличие от передачи видео абонентам кабельных сетей, доставка потокового видео через обычный интернет сопряжена с рядом проблем, связанных с усложнениями при построении сетевой инфраструктуры, кэшировании CDN-сетями и перекодированием видео, а также возможными сетевыми перегрузками в области «последней мили«. Протокол SRT разработан для … Читать далее Представлен SRT, открытый протокол для потоковой передачи видео

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль над аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4. Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER[‘SERVER_NAME’], значение … Читать далее Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

22-25 июня под Гродно пройдет тринадцатая международная конференция разработчиков и пользователей свободного ПО «Linux Vacation / Eastern Europe» . Мероприятие объединяет общение и отдых специалистов и энтузиастов в области свободного ПО, включая платформу GNU/Linux, но не ограничиваясь ею. Формат конференции включает доклады, краткие выступления и workshop’ы; возможны также круглые столы и код-спринты. Тематика — разработка, сопровождение, внедрение, администрирование свободного ПО, особенности свободных лицензий. Конференция охватывает широкий круг платформ – от рабочих станций и серверов до встраиваемых систем и мобильных устройств. К началу конференции планируется издание печатного сборника. Как обычно в это время, LVEE пройдёт на турбазе Химик посреди лесного заказника, … Читать далее В конце июня в Беларуси пройдёт конференция LVEE 2017

Юния Валенте (Junia Valente) обратила внимание на полное отсутствие защиты (CVE-2017-3209) в квадрокоптерах компании DBPOWER, оснащённых HD-камерой и встроенной точкой беспроводного доступа. Устройство создавало открытую WiFi-сеть, подключившись к которой можно не только перехватить снимаемый камерой видеопоток, но и получить полный доступ к SD-карте устройства, в том числе к системным файлам и сохранённым видео- и фото-материалам. Для атаки достаточно подключиться к предоставляемой устройством публичной беспроводной сети и зайти на устройство по FTP, который поддерживает анонимный вход без пароля. Предоставляемый по FTP анонимный доступ осуществляется под пользователем root и позволяет изменять системные файлы. Например, показано, как можно при помощи команды «curl -T … Читать далее Квадрокоптеры UDI предоставляют полный доступ к системе через анонимный FTP

Представлен новый стабильный выпуск кроссплатформенного тулкита wxWidgets 3.0.3, позволяющего создавать графические интерфейсы для Linux, Windows, macOS, UNIX и мобильных платформ. Выпуск полностью совместим с wxWidgets 3.0.0 на уровне API и ABI и содержит большую порцию исправлений важных недоработок и ошибок. Кроме того, в новой версии добавлена возможность компиляции при помощи MinGW 4.9 и 5, реализована поддержка платформ macOS 10.10+, обеспечена совместимость с GStreamer 1.0 (ранее поддерживались только выпуски 0.x), в wxGTK устранены недоработки в поддержке GTK+ 3, в wxGLCanvas обеспечен запрос современных версий OpenGL (3.x+). Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library Licence, одобренной Фондом … Читать далее Релиз графического тулкита wxWidgets 3.0.3

В сервере NFS (NFSv2 и NFSv3), входящем в состав ядра Linux, выявлена удалённо эксплуатируемая уязвимость (CVE-2017-7895), позволяющая прочитать содержимое произвольных областей памяти ядра и пространства пользователя (от 1 до 4 Мб) через отправку специально оформленных запросов к NFS. Для успешного проведения атаки необходимо наличие доступного на запись NFS-раздела, примонтированного в системе с которой совершается атака. Проблема вызвана ошибкой, внесённой при добавлении изменения в код fs/nfsd более 10 лет назад (при подготовке ядра 2.6.22). Уязвимость устранена в выпусках 4.11 и 4.10.13. В дистрибутивах проблема пока остаётся неисправленной (Debian, RHEL, Ubuntu, SUSE). Читать далее Уязвимость в реализации NFS-сервера, поставляемой в ядре Linux

Выпущены новые версии фреймворка Redisson, основанного на Redis и представляющего полный набор Java-объектов и сервисов, которые необходимы для создания распределенных приложений. Код проекта написан на языке Java и поставляется под лицензией Apache 2.0. Redisson может работать с любыми конфигурациями Redis: Master/Slave, Sentinel, Cluster, а также в облачной инфраструктуре AWS Elasticache и Azure Redis Cache. Предоставляется более 30 распределенных объектов, коллекций, локов и сервисов. Также есть интеграция с Tomcat, Hibernate и Spring. В версиях 2.9.0 и 3.4.0 появилась реализация фреймворка MapReduce для всех коллекций типа Map, List и Set. Читать далее Выпуск Redisson 2.9.0 и 3.4.0, In-Memory Data Grid для Java

Состоялся релиз GStreamer 1.12, написанного на языке Си кроссплатформенного набора компонентов для создания широкого спектра мультимедиа приложений, от медиаплееров и конвертеров аудио/видео файлов, до VoIP-приложений и систем потокового вещания. Код GStreamer распространяется под лицензией LGPLv2.1. Одновременно доступны обновления плагинов gst-plugins-base 1.12, gst-plugins-good 1.12, gst-plugins-bad 1.12, gst-plugins-ugly 1.12, а также обвязка gst-libav 1.12 и сервер потокового вещания gst-rtsp-server 1.12. На уровне API и ABI новый выпуск обратно совместим с веткой 1.0. Бинарные сборки в скором времени будут подготовлены для Android, iOS, macOS и Windows (в Linux рекомендуется использовать пакеты из дистрибутива). Ключевые улучшения GStreamer 1.12: Новый плагин msdk, позволяющий использовать Intel … Читать далее Выпуск мультимедийного фреймворка GStreamer 1.12

В системе управления web-контентом WordPress выявлена уязвимость (CVE-2017-8295), позволяющая получить контроль за аккаунтом через манипуляции с формой сброса пароля. В частности, атакующий может без прохождения необходимой аутентификации организовать отправку владельцу аккаунта письма с кодом сброса пароля и подконтрольным email в поле отправителя (From/Return-Path). Несмотря на то, что информация об уязвимости несколько раз отправлялась разработчикам WordPress (первое уведомление было отправлено летом прошлого года), проблема до сих пор остаётся неисправленной и проявляется во всех версиях WordPress, включая самый свежий выпуск 4.7.4. Возможность подстановки своего значения email отправителя вызвано тем, что WordPress формирует содержимое полей From и Return-Path на основе переменной $_SERVER[‘SERVER_NAME’], значение … Читать далее Уязвимость, позволяющая получить контроль за WordPress через форму сброса пароля

Представлен проект Kryptonite, предлагающий хранить закрытые ключи SSH на смартфоне, вместо размещения в файле ~/.ssh/id_rsa. Kryptonite состоит из двух частей — ssh-агента, запускаемого на стороне рабочих станций, и мобильного приложения для Android и iOS, занимающегося хранением ключей. Агент написан на языке Go и распространяется в исходных текстах, но лицензия на код пока не определена. Kryptonite может рассматриваться как подобие двухфакторной аутентификации для доступа к SSH-ключам. Все операции с ключами выполняются на смартфоне, а размещаемый на локальной системе агент лишь получает результат операции, выполненной на стороне смартфона с закрытым ключом. На локальной системе ключи не фигурируют ни в каком виде. Каждая … Читать далее Проект Kryptonite развивает систему хранения закрытых ключей SSH на смартфоне

После 6 месяцев разработки представлен релиз свободного дистрибутива OpenIndiana 2017.04, пришедшего на смену бинарному дистрибутиву OpenSolaris, развитие которого было прекращено компанией Oracle. OpenIndiana предоставляет пользователю рабочее окружение, построенное на базе свежего среза кодовой базы проекта Illumos. Непосредственно разработка технологий OpenSolaris продолжается проектом Illumos, в котором развивается ядро, сетевой стек, файловые системы, драйверы, а также базовый набор пользовательских системных утилит и библиотек. Для загрузки сформировано три вида iso-образов — серверная редакция с консольными приложениями (639 Мб), минимальная сборка (383 Мб) и сборка с графическим окружением MATE (1.5 Гб). Основные изменения в OpenIndiana 2017.04: В USB-стек добавлена поддержка устройств USB 3.0; Переработан … Читать далее Выпуск дистрибутива OpenIndiana 2017.04, продолжающего развитие OpenSolaris

В гипервизоре Xen выявлены три уязвимости (XSA-213, XSA-214 и XSA-215), каждая из которых позволяет выйди за пределы текущего гостевого окружения. Уязвимости также могут использоваться для обхода механизмов изоляции в ОС Qubes. Проблемы выявлены исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей. Исправления пока доступны в виде патчей. CVE-идентификатор пока не присвоен. Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации всех уязвимостей атакующий должен иметь доступ … Читать далее Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения

Разработчики проекта OpenBSD опубликовали выпуск переносимой редакции пакета LibreSSL 2.5.4, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. В новой версии: Отменено изменение, привязавшее код возврата и код ошибки при выполнении callback-обработчиков верификации сертификатов, что нарушало документированный API и приводило к пропуску проверки сертификатов в nginx и некоторых других программах (CVE-2017-8301); Реализация вызова getrandom() в Linux переведена на работу в неблокирующем режиме с задействованием запасного обработчика в случае сбоя, что позволяет … Читать далее Выпуск LibreSSL 2.5.4 с устранением уязвимости

Разработчики SeaMonkey поделились планами по дальнейшей разработке проекта, в условиях прекращения поддержки XUL-дополнений в ноябрьском выпуске Firefox 57 и полном переходе Mozilla на WebExtensions. XUL является ключевой технологией при построении интерфейса SeaMonkey и для перехода на WebExtensions требуется почти полная переработка проекта. SeaMonkey поддерживается небольшой группой энтузиастов (7 основных разработчиков), которые занимаются поддержанием проекта в своё свободное время и не имеют ресурсов для выполнения портирования на WebExtensions или создания форка кода для поддержки XUL. Ситуация такова, что имеющаяся команда кое-как справляется с сопровождением текущей кодовой базы и уход даже одного из ключевых участников скорее всего приведёт к невозможности поддерживать проект. … Читать далее Существование SeaMonkey в условиях прекращения поддержки XUL в Firefox

Компания Google представила релиз операционной системы Chrome OS 58, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 58. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 58 доступна для всех актуальных моделей Chromebook, за исключением Acer Chromebase 24, Acer Chromebook R11, AOpen Chromebase Mini, AOpen Chromebox Mini, Google Chromebook Pixel (2015), ASUS Chromebook Flip C100PA, Dell Chromebook 11 (3120), Lenovo ThinkPad 11e Chromebook и Samsung Chromebook Plus. Энтузиастами сформированы неофициальные … Читать далее Выпуск операционной системы Chrome OS 58

После полутора лет разработки сформирован релиз Neovim 0.2, ответвления от редактора Vim, сфокусированного на повышении расширяемости и гибкости. В рамках проекта Neovim уже более трёх лет проводится агрессивная переработка кодовой базы Vim, в результате которой вносятся изменения, упрощающие сопровождение кода, предоставляющие средства разделения труда между несколькими мэйнтейнерами, отделяющие интерфейс от базовой части (интерфейс можно менять не трогая внутренности) и реализующие новую расширяемую архитектуру на основе плагинов. Из проблем Vim, побудивших к созданию Neovim, отмечается раздутая монолитная кодовая база, состоящая более чем из 300 тысяч строк кода на языке Си (C89). Во всех нюансах кодовой базы Vim разбирается всего несколько человек, … Читать далее Доступен Neovim 0.2, модернизированный вариант редактора Vim

Увидел свет свободный гипервизор Jailhouse 0.7, развиваемый компанией Siemens. Гипервизор поддерживает работу на системах x86_64 с расширениями VMX+EPT или SVM+NPT (AMD-V), а также на процессорах ARMv7 (Banana Pi, NVIDIA Jetson TK1, Versatile Express с Cortex-A15 или A7) и ARMv8/ARM64 (AMD Seattle, LeMaker HiKey, NVIDIA Jetson TX1, Xilinx ZCU102 ) с расширениями для виртуализации. Код проекта распространяется под лицензией GPLv2. Гипервизор реализован в виде модуля для ядра Linux и обеспечивает виртуализацию на уровне ядра. Для управления изоляцией используются предоставляемые современными CPU аппаратные механизмы виртуализации. Отличительными особенностями Jailhouse являются легковесная реализация и ориентация на привязку виртуальных машин к фиксированному CPU, области ОЗУ … Читать далее Представлен открытый гипервизор Jailhouse 0.7, развиваемый компанией Siemens

Доступен новый выпуск экспертной системы для проверки лицензий установленных программ, которая отображает лицензию, условия распространения, примерную стоимость (если программа платная) и свободно распространяемую замену (если есть). Интерфейс полностью на русском языке. Работает на операционных системах семейства Windows. Код распространяется под лицензией GPLv3. Функциональные возможности Lpro: Поиск платных, условно-бесплатных и свободных программ на компьютере; Поиск программ по названию в базе данных; Поиск следов программ в указанной папке; Просмотр информации об установленных на компьютере программах; Подбор свободно-распространяемой замены; Сортировка результатов поиска (по названию, по типу, по лицензии, по стоимости, по замене); Экспорт результатов поиска в HTML и CSV; Передача результатов поиска в … Читать далее Релиз Lpro 1.4.3, инструмента для проверки лицензий программ

Компания «Перкона» (Percona) объявила о выходе расширенной версии открытого продукта Percona XtraDB Cluster 5.7, предоставляющего решение для создания кластеров с синхронной репликаций между узлами, работающими в режиме multi-master и обеспечивающими бесперебойную работу приложений. Система основана на наработках Percona Server 5.7, и Codership Galera Replicator 3.17. Исходные тексты проекта распространяются под лицензией GPLv2. Версия 5.7.17-29.20 более стабильна, значительно ускоряет работу кластера для ряда сценариев использования, а также предлагает расширенные возможности мониторинга кластера и отслеживания передачи данных. Особенностями выпуска также являются улучшенная производительность, полная совместимость с ProxySQL, Percona XtraBackup, Percona Monitoring and Management, а также возможность запуска Percona XtraDB Cluster из контейнера … Читать далее Вышел Percona XtraDB Cluster 5.7.17-29.20

В конце апреля истёк срок действия последнего патента (US6009399A), затрагивающего формат цифрового кодирования звука MP3. Компания Technicolor официально закрыла программу лицензирования, в рамках которой производился сбор отчислений с производителей оборудования и ПО, реализующих кодировщики и декодировщики MP3. В действии остаются два сторонних патента (5924060 до 29 августа 2017 года и 5703999 до 30 декабря 2017 года), описывающие расширенные техники оптимизации в высококачественных кодировщиках, но они не охватывают все реализации и не подпадают под официальную программу лицензирования. Реализации декодировщиков и базовых кодировщиков MP3 теперь могут быть включены в состав дистрибутивов, не допускающих поставку пакетов, обременённых патентами на ПО. Проект Fedora осенью … Читать далее Истёк срок действия патентов на MP3