В конце апреля истёк срок действия последнего патента (US6009399A), затрагивающего формат цифрового кодирования звука MP3. Компания Technicolor официально закрыла программу лицензирования, в рамках которой производился сбор отчислений с производителей оборудования и ПО, реализующих кодировщики и декодировщики MP3. В действии остаются два сторонних патента (5924060 до 29 августа 2017 года и 5703999 до 30 декабря 2017 года), описывающие расширенные техники оптимизации в высококачественных кодировщиках, но они не охватывают все реализации и не подпадают под официальную программу лицензирования. Реализации декодировщиков и базовых кодировщиков MP3 теперь могут быть включены в состав дистрибутивов, не допускающих поставку пакетов, обременённых патентами на ПО. Проект Fedora осенью … Читать далее Истёк срок действия патентов на MP3

После года разработки состоялся релиз свободного набора компиляторов GCC 7.1, первый значительный выпуск в новой ветке GCC 7.x. Релиз приурочен к 30-летию с момента формирования первого выпуска GCC 1.0. В соответствии с новой схемой нумерации выпусков, версия 7.0 использовалась в процессе разработки, а незадолго до выхода GCC 7.1 уже ответвилась ветка GCC 8.0, на базе которой будет сформирован следующий значительный релиз GCC 8.1. GCC 7.1 примечателен удалением из состава компилятора для языка Java, реализацией экспериментальной поддержки грядущего стандарта C++17, расширением средств диагностики, реализацией новых оптимизаций, поддержкой OpenMP 4.5 для GPGPU NVidia PTX, поддержкой набора инструкций RISC-V, поддержкой операционной системы Fuchsia, … Читать далее Релиз набора компиляторов GCC 7

Компания Intel сообщила об устранении критической уязвимости, позволяющей непривилегированному атакующему получить доступ к функциям удалённого управления оборудованием. Проблема затрагивает серверные системы с чипами, предоставляющими независимые интерфейсы Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology (SBT), применяемые для мониторинга и управления оборудованием. Утверждается, что уязвимость проявляется в версиях прошивок с 6 по 11.6 включительно. Персональные компьютеры на чипах Intel проблеме не подвержены. Описывается два возможных вектора атаки — сетевой и локальный. При сетевой атаке злоумышленник может получить привилегии для управления системой через AMT и ISM (сетевые порты 16992 и 16993, проброс на которые осуществляется автоматически … Читать далее Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)

После более четырёх лет разработки состоялся релиз проекта Rockbox 3.14, в рамках которого развивается альтернативная прошивка для многих моделей аудиоплееров. По сравнению с штатными прошивками Rockbox обеспечивает поддержку дополнительных форматов, набор расширенных функций и большую коллекцию плагинов. Проект не основан на Linux и поставляется с POSIX-совместимым ядром собственной разработки. Rockbox распространяется под лицензией GPL и может быть загружен с карты памяти, без удаления основной прошивки плеера. Среди доступных в Rockbox функций: будильник, просмотр документов, фотографий и видео (3gp), голосовой интерфейс, поддержка Cue, возможность вывода текстов песен и обложек альбомов, гибкая система закладок, диктофон, запись с FM Radio, простой файловый менеджер. … Читать далее Релиз Rockbox 3.14, открытой прошивки для аудиоплееров

Доступен релиз растрового графического редактора Krita 3.1.3, развиваемого для художников и иллюстраторов. Редактор поддерживает многослойную обработку изображений, предоставляет средства для работы с различными цветовыми моделями и обладает большим набором средств для цифровой живописи, создания скетчей и формирования текстур. Для установки подготовлены самодостаточные образы в форматах AppImage и Snap для Linux (для Ubuntu дополнительно подготовлен PPA), а также бинарные сборки для macOS и Windows. Кроме исправления ошибок в новой версии добавлена возможность одновременно запуска нескольких экземпляров Krita, реализована функция для масштабирования вокруг точки привязки, для инструмента по умолчанию представлено контекстное меню с опциями копирования, вырезания, вставки и группировки объектов. Также предложен … Читать далее Выпуск растрового графического редактора Krita 3.1.3

Представлен релиз пакета Rakudo Star 2017.04, включающего компилятор Rakudo, виртуальную машину MoarVM, документацию, модули и инструменты, необходимые для разработки на языке Perl 6. Компилятор соответствует спецификации Perl v6.c, за исключением поддержки расширенных макросов, неблокирующего ввода/вывода и ряда мелких особенностей, которые планируется довести до рабочего состояния в будущих выпусках. В качестве виртуальной машины для исполнения байткода предлагается MoarVM, которая проходит все тесты (альтернативный бэкенд на базе JVM пока не обладает всей необходимой функциональностью). В новой версии отмечается большая порция важных улучшений в подсистеме ввода/вывода и утилите для установки модулей «zef«. В состав также включена новая версия модуля DBIish с поддержкой pg-consume-input … Читать далее Выпуск Rakudo Star 2017.04, дистрибутива Perl 6

Разработчики проекта OpenBSD сообщили об удалении из кодовой базы OpenSSH всех компонентов, связанных в реализацией протокола SSH1. Таким образом следующий выпуск OpenSSH 7.5 будет лишён возможности сборки с поддержкой SSH1 на стороне клиента (серверная часть давно удалена), что не позволит использовать его для соединения с устаревшими системами и некоторым оборудованием (например, некоторые модели Cisco и HUAWEI). Во многих дистрибутивах OpenSSH уже достаточно давно собирается без SSH1, но до сих пор имелась возможность самостоятельно пересобрать OpenSSH с поддержкой SSH1. Напомним, что протокол SSHv1 был признан устаревшим около 10 лет назад. Кроме недостаточного уровня защиты, сохранение SSHv1 накладывает определённые ограничения на кодовую … Читать далее Из OpenSSH удалена поддержка протокола SSH1

Представлен релиз фреймворка Kirigami 2.1, развиваемого сообществом KDE для быстрой разработки приложений с адаптивным интерфейсом, работающим без изменения на настольных и мобильных системах. Фреймворк является надстройкой над Qt Quick Controls и использует в качестве основы уже предоставляемые в Qt Quick элементы, такие как кнопки и поля ввода. Приложения, использующие Kirigami, автоматически адаптируются к размеру экрана и доступным методам ввода, что позволяет комфортно работать с ними на настольных системах, планшетах с относительно большими сенсорными экранами и смартфонах с ограниченным экранным пространством. Kirigami даёт возможность комбинировать элементы Qt Quick в готовые блоки построения интерфейса, например, позволяет построить интерфейс в форме набора горизонтально … Читать далее Выпуск Kirigami 2.1, фреймворка для построения интерфейса от проекта KDE

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.11. Среди наиболее заметных изменений: поддержка журналирования в программном RAID 4/5/6, новый тип сокетов SMC-R, встроенная реализация SipHash, системный вызов statx(), поддержка протокола Opal для работы самошифруюемыми накопителями, раздельные буферы с историей прокрутки для консолей. В новую версию принято около 12 тысяч исправлений от 1500 разработчиков, размер патча — 39 Мб (изменения затронули 12479 файлов, добавлено 530154 строк кода, удалено 232358 строк). Около 48% всех представленных в 4.11 изменений связаны с драйверами устройств, примерно 20% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 14% связано с сетевым стеком, … Читать далее Релиз ядра Linux 4.11

Состоялся релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 17.04. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3. Основные изменения: Поддержка WebAssembly. Совсем недавно разработчики популярных веб-браузеров Chrome и Firefox объявили о поддержке WebAssembly в стабильных версиях программ. Эта перспективная технология призвана исключить некоторые недочеты JavaScript, улучшить производительность и уменьшить размер исполняемых модулей. Разработчики Blend4Web подготовили WebAssembly-сборку физического движка Uranium.js (форк Bullet). Пока сборка … Читать далее Релиз движка для создания браузерных 3D-приложений Blend4Web 17.04

Состоялся релиз Node-to-Node copy (NNCP), набора утилит для безопасной передачи файлов и электронной почты в режиме store-and-forward. Поддерживается работа на POSIX-совместимых операционных системах. Утилиты написаны на языке Go и распространяются под лицензией GPLv3+. Утилиты ориентированы на помощь в построении небольших одноранговых friend-to-friend сетей (дюжины узлов) со статической маршрутизацией для безопасной передачи файлов в режиме fire-and-forget, запросов на файлы и электронной почты. Все передаваемые пакеты зашифрованы (end-to-end) и явно аутентифицируются по известным публичным ключам знакомых. Луковое (как в Tor) шифрование применяется для всех промежуточных пакетов. Каждый узел может выступать как в роли клиента, так и сервера и использовать и push и … Читать далее Релиз NNCP 0.7, утилит для безопасной передачи файлов/почты в режиме store-and-forward

Представлен релиз фреймворка Kirigami 2.0, развиваемого сообществом KDE для быстрой разработки приложений с адаптивным интерфейсом, работающим без изменения на настольных и мобильных системах. Фреймворк является надстройкой над Qt Quick Controls и использует в качестве основы уже предоставляемые в Qt Quick элементы, такие как кнопки и поля ввода. Приложения, использующие Kirigami, автоматически адаптируются к размеру экрана и доступным методам ввода, что позволяет комфортно работать с ними на настольных системах, планшетах с относительно большими сенсорными экранами и смартфонах с ограниченным экранным пространством. Kirigami даёт возможность комбинировать элементы Qt Quick в готовые блоки построения интерфейса, например, позволяет построить интерфейс в форме набора горизонтально … Читать далее Релиз Kirigami 2.1, фреймворка для построения интерфейса от проекта KDE

Состоялся релиз дистрибутива Lakka 2.0 который позволяет превратить компьютер, телеприставку или плату, подобную Raspberry Pi, в полноценную игровую консоль для запуска ретро игр. Проект построен в форме модификации дистрибутива LibreELEC, изначально рассчитанного на создание домашних кинотеатров. Для экономии средств при помощи Lakka можно сделать игровую консоль из Raspberry Pi или Odroid, используя пульты от уже имеющихся игровых приставок, включая Playstation 3, Dualshock 3, 8bitdo, XBox 1 и XBox360. В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых игр при помощи шейдеров, перемотка … Читать далее Доступна открытая игровая консоль Lakka 2.0

Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.22, в котором отмечено 6 исправлений. В новой версии устранены внесённые в прошлом выпуске регрессивные изменения, из-за которых на платформе Linux перестал работать бэкенд для вывода звука при помощи подсистемы ALSA, наблюдались проблемы с загрузкой библиотек OpenGL и не работала с символическими ссылками утилита mount.vboxsf. Также исправлены проблемы с программной виртуализацией на хостах с Solaris и устранены потенциальные крахи и зависания в подсистеме работы с хранилищем, проявляющиеся при редком стечении обстоятельств (например, при выполнении слияния снапшотов при отключенном асинхронном вводе/выводе). Читать далее Выпуск VirtualBox 5.1.22

Группа исследователей из Мичиганского университета опубликовала доклад о безопасности мобильных приложений для платформы Android, которые открывают сетевые порты в слушающем режиме и принимают на них соединения. Отмечается, что обработка внешних сетевых запросов создаёт угрозу для безопасности мобильных устройств, которая обычно упускается из виду из-за не серверной специфики мобильных приложений. Исследователи разработали специализированную утилиту OPAnalyzer для статического анализа кода, которая выявляет открытие сетевых портов и оценивает наличие типовых уязвимостей в реализации. Проверив более 100 тысяч приложений из каталога Google Play были выявлены 1632 программы, принимающие сетевые соединения, половина из которых насчитывает более 500 тысяч загрузок. Исследователи пришли к выводу, что почти … Читать далее Анализ уязвимостей в Android-приложениях с открытыми сетевыми портами

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 2.7. С момента выпуска версии 2.6 был закрыт 31 отчёт об ошибках. Наиболее важные изменения: В WebServices добавлена поддержка TCP- и UDP-соединений; В Direct3D 11 внесены улучшения, связанные с поддержкой шейдеров; Улучшены средства для настройки high DPI; Частично реализована библиотека GLU (OpenGL Utility Library); Добавлена поддержка свежих версий API OSMesa; Улучшено управление окнами в macOS; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Stronghold 2, Need for Speed: Carbon demo, Purge, Dirt 3, Photoshop CS6, DeSmuME 0.9.8, The Witcher 3, Nox, Transcendence, Steuer-Spar-Erklärung 2017, Tree of Savior, The Technomancer, … Читать далее Выпуск Wine 2.7

Исследователи безопасности из компании Cisco обнаружили наличие скрытой учётной записи для входа на точки доступа Moxa AWK-3131A, ориентированные на развёртывание беспроводной сети для управления объектами промышленной автоматизации. Используя недокументированную учётную запись (логин 94jo3dkru4, пароль moxaiwroot) любой злоумышленник может получить root-доступ к устройству по протоколам SSH или Telnet, которые включены по умолчанию. Для решения проблемы рекомендуется отключить сервисы SSH и Telnet, так как удаление учётной записи будет действовать только до перезагрузки. Примечательно, что две недели назад в беспроводных точках доступа Moxa также нашли серию уязвимостей. Например, устройства подвержены CSRF-атакам, через форму ping-проверки можно выполнить любой код в системе, файл конфигурации и … Читать далее Серия уязвимостей и инженерный пароль в беспроводных точках доступа Moxa

Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась. Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной … Читать далее Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP

Разработчики Debian опубликовали новый отчёт о подготовке следующей значительной ветки Debian — «Stretch». Уже почти три месяца пакетная база Debian 9 находится на стадии полной заморозки перед релизом, при которой процесс переноса пакетов из unstable в testing полностью остановлен. В настоящее время насчитывается 143 критических для формирования релиза ошибок, при этом только одна из этих проблем помечена как блокирующая и остаётся неисправленной в Debian Sid. Точная дата релиза по-прежнему не определена, наиболее вероятно, что релиз выйдет в начале лета. Для ускорения формирования релиза разработчики решились на компромисс и вывели обеспечение поддержки UEFI Secure Boot из категории блокирующих релиз, опасаясь того, … Читать далее Статус подготовки Debian 9

В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена уязвимость (CVE-2017-8301), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx и IRC-сервер InspIRCd. Уязвимость выявлена разработчиками дистрибутива Alpine Linux. Проблема проявляется начиная с выпуска LibreSSL 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится в процессе разработки. Подключение с некорректным сертификатом возможно только если callback-обработчик всегда возвращает значение 1 и следом результат верификации оценивается через вызов функции SSL_get_verify_result(). Проблема может затрагивать как серверы, к которым выполняется подключение по клиентским сертификатам, так и … Читать далее Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx

Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значитеальная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась. Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной … Читать далее Зафиксировано перенаравление трафика крупнейших финансовых сервисов через BGP