Представлен релиз фреймворка Kirigami 2.1, развиваемого сообществом KDE для быстрой разработки приложений с адаптивным интерфейсом, работающим без изменения на настольных и мобильных системах. Фреймворк является надстройкой над Qt Quick Controls и использует в качестве основы уже предоставляемые в Qt Quick элементы, такие как кнопки и поля ввода. Приложения, использующие Kirigami, автоматически адаптируются к размеру экрана и доступным методам ввода, что позволяет комфортно работать с ними на настольных системах, планшетах с относительно большими сенсорными экранами и смартфонах с ограниченным экранным пространством. Kirigami даёт возможность комбинировать элементы Qt Quick в готовые блоки построения интерфейса, например, позволяет построить интерфейс в форме набора горизонтально … Читать далее Выпуск Kirigami 2.1, фреймворка для построения интерфейса от проекта KDE

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.11. Среди наиболее заметных изменений: поддержка журналирования в программном RAID 4/5/6, новый тип сокетов SMC-R, встроенная реализация SipHash, системный вызов statx(), поддержка протокола Opal для работы самошифруюемыми накопителями, раздельные буферы с историей прокрутки для консолей. В новую версию принято около 12 тысяч исправлений от 1500 разработчиков, размер патча — 39 Мб (изменения затронули 12479 файлов, добавлено 530154 строк кода, удалено 232358 строк). Около 48% всех представленных в 4.11 изменений связаны с драйверами устройств, примерно 20% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 14% связано с сетевым стеком, … Читать далее Релиз ядра Linux 4.11

Состоялся релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 17.04. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3. Основные изменения: Поддержка WebAssembly. Совсем недавно разработчики популярных веб-браузеров Chrome и Firefox объявили о поддержке WebAssembly в стабильных версиях программ. Эта перспективная технология призвана исключить некоторые недочеты JavaScript, улучшить производительность и уменьшить размер исполняемых модулей. Разработчики Blend4Web подготовили WebAssembly-сборку физического движка Uranium.js (форк Bullet). Пока сборка … Читать далее Релиз движка для создания браузерных 3D-приложений Blend4Web 17.04

Состоялся релиз Node-to-Node copy (NNCP), набора утилит для безопасной передачи файлов и электронной почты в режиме store-and-forward. Поддерживается работа на POSIX-совместимых операционных системах. Утилиты написаны на языке Go и распространяются под лицензией GPLv3+. Утилиты ориентированы на помощь в построении небольших одноранговых friend-to-friend сетей (дюжины узлов) со статической маршрутизацией для безопасной передачи файлов в режиме fire-and-forget, запросов на файлы и электронной почты. Все передаваемые пакеты зашифрованы (end-to-end) и явно аутентифицируются по известным публичным ключам знакомых. Луковое (как в Tor) шифрование применяется для всех промежуточных пакетов. Каждый узел может выступать как в роли клиента, так и сервера и использовать и push и … Читать далее Релиз NNCP 0.7, утилит для безопасной передачи файлов/почты в режиме store-and-forward

Представлен релиз фреймворка Kirigami 2.0, развиваемого сообществом KDE для быстрой разработки приложений с адаптивным интерфейсом, работающим без изменения на настольных и мобильных системах. Фреймворк является надстройкой над Qt Quick Controls и использует в качестве основы уже предоставляемые в Qt Quick элементы, такие как кнопки и поля ввода. Приложения, использующие Kirigami, автоматически адаптируются к размеру экрана и доступным методам ввода, что позволяет комфортно работать с ними на настольных системах, планшетах с относительно большими сенсорными экранами и смартфонах с ограниченным экранным пространством. Kirigami даёт возможность комбинировать элементы Qt Quick в готовые блоки построения интерфейса, например, позволяет построить интерфейс в форме набора горизонтально … Читать далее Релиз Kirigami 2.1, фреймворка для построения интерфейса от проекта KDE

Состоялся релиз дистрибутива Lakka 2.0 который позволяет превратить компьютер, телеприставку или плату, подобную Raspberry Pi, в полноценную игровую консоль для запуска ретро игр. Проект построен в форме модификации дистрибутива LibreELEC, изначально рассчитанного на создание домашних кинотеатров. Для экономии средств при помощи Lakka можно сделать игровую консоль из Raspberry Pi или Odroid, используя пульты от уже имеющихся игровых приставок, включая Playstation 3, Dualshock 3, 8bitdo, XBox 1 и XBox360. В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых игр при помощи шейдеров, перемотка … Читать далее Доступна открытая игровая консоль Lakka 2.0

Компания Oracle выпустила корректирующий релиз системы виртуализации VirtualBox 5.1.22, в котором отмечено 6 исправлений. В новой версии устранены внесённые в прошлом выпуске регрессивные изменения, из-за которых на платформе Linux перестал работать бэкенд для вывода звука при помощи подсистемы ALSA, наблюдались проблемы с загрузкой библиотек OpenGL и не работала с символическими ссылками утилита mount.vboxsf. Также исправлены проблемы с программной виртуализацией на хостах с Solaris и устранены потенциальные крахи и зависания в подсистеме работы с хранилищем, проявляющиеся при редком стечении обстоятельств (например, при выполнении слияния снапшотов при отключенном асинхронном вводе/выводе). Читать далее Выпуск VirtualBox 5.1.22

Группа исследователей из Мичиганского университета опубликовала доклад о безопасности мобильных приложений для платформы Android, которые открывают сетевые порты в слушающем режиме и принимают на них соединения. Отмечается, что обработка внешних сетевых запросов создаёт угрозу для безопасности мобильных устройств, которая обычно упускается из виду из-за не серверной специфики мобильных приложений. Исследователи разработали специализированную утилиту OPAnalyzer для статического анализа кода, которая выявляет открытие сетевых портов и оценивает наличие типовых уязвимостей в реализации. Проверив более 100 тысяч приложений из каталога Google Play были выявлены 1632 программы, принимающие сетевые соединения, половина из которых насчитывает более 500 тысяч загрузок. Исследователи пришли к выводу, что почти … Читать далее Анализ уязвимостей в Android-приложениях с открытыми сетевыми портами

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 2.7. С момента выпуска версии 2.6 был закрыт 31 отчёт об ошибках. Наиболее важные изменения: В WebServices добавлена поддержка TCP- и UDP-соединений; В Direct3D 11 внесены улучшения, связанные с поддержкой шейдеров; Улучшены средства для настройки high DPI; Частично реализована библиотека GLU (OpenGL Utility Library); Добавлена поддержка свежих версий API OSMesa; Улучшено управление окнами в macOS; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Stronghold 2, Need for Speed: Carbon demo, Purge, Dirt 3, Photoshop CS6, DeSmuME 0.9.8, The Witcher 3, Nox, Transcendence, Steuer-Spar-Erklärung 2017, Tree of Savior, The Technomancer, … Читать далее Выпуск Wine 2.7

Исследователи безопасности из компании Cisco обнаружили наличие скрытой учётной записи для входа на точки доступа Moxa AWK-3131A, ориентированные на развёртывание беспроводной сети для управления объектами промышленной автоматизации. Используя недокументированную учётную запись (логин 94jo3dkru4, пароль moxaiwroot) любой злоумышленник может получить root-доступ к устройству по протоколам SSH или Telnet, которые включены по умолчанию. Для решения проблемы рекомендуется отключить сервисы SSH и Telnet, так как удаление учётной записи будет действовать только до перезагрузки. Примечательно, что две недели назад в беспроводных точках доступа Moxa также нашли серию уязвимостей. Например, устройства подвержены CSRF-атакам, через форму ping-проверки можно выполнить любой код в системе, файл конфигурации и … Читать далее Серия уязвимостей и инженерный пароль в беспроводных точках доступа Moxa

Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась. Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной … Читать далее Зафиксировано перенаправление трафика крупнейших финансовых сервисов через BGP

Разработчики Debian опубликовали новый отчёт о подготовке следующей значительной ветки Debian — «Stretch». Уже почти три месяца пакетная база Debian 9 находится на стадии полной заморозки перед релизом, при которой процесс переноса пакетов из unstable в testing полностью остановлен. В настоящее время насчитывается 143 критических для формирования релиза ошибок, при этом только одна из этих проблем помечена как блокирующая и остаётся неисправленной в Debian Sid. Точная дата релиза по-прежнему не определена, наиболее вероятно, что релиз выйдет в начале лета. Для ускорения формирования релиза разработчики решились на компромисс и вывели обеспечение поддержки UEFI Secure Boot из категории блокирующих релиз, опасаясь того, … Читать далее Статус подготовки Debian 9

В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена уязвимость (CVE-2017-8301), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx и IRC-сервер InspIRCd. Уязвимость выявлена разработчиками дистрибутива Alpine Linux. Проблема проявляется начиная с выпуска LibreSSL 2.5.1 и присутствует в актуальном выпуске 2.5.3. Обновление с исправлением пока находится в процессе разработки. Подключение с некорректным сертификатом возможно только если callback-обработчик всегда возвращает значение 1 и следом результат верификации оценивается через вызов функции SSL_get_verify_result(). Проблема может затрагивать как серверы, к которым выполняется подключение по клиентским сертификатам, так и … Читать далее Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx

Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значитеальная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась. Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной … Читать далее Зафиксировано перенаравление трафика крупнейших финансовых сервисов через BGP

Компания Google сообщила о решении расширить спектр ситуаций при которых будет выводиться сообщение о небезопасном соединении при обращении к сайтам по HTTP. Помимо уже выставляемой метки небезопасного соединения при заполнение форм ввода пароля и номеров кредитных карт, начиная с октября 2017 года аналогичное предупреждение будет выводиться при заполнении любых форм данных на страницах открытых по HTTP, а также при открытии сайтов по HTTP в режиме инкогнито. По статистике Google предпринятые в Chrome 56 меры привели к сокращению обращений по HTTP к страницам с формами ввода паролей на 23%. В более отдалённом будущем компания Google намерена помечать небезопасными все обращения к … Читать далее В Chrome появятся дополнительные предупреждения о небезопасности HTTP

Исследователь Скот Хельме при поддержке издания BBC (Scott Helme) провёл тестирование устройства nomx, позиционируемого как реализация наиболее защищённого коммуникационного протокола («The world’s most secure communications protocol. Everything else is insecure.»). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством. Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов. Не меньшее удивление вызвала программная начинка — на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно … Читать далее Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности

Доступен выпуск web-браузера Vivaldi 1.9, разрабатываемого на базе движка Chromium и продолжающего развитие идей классического браузера Opera, предоставляя широкий спектр возможностей, включая удобную систему группировки вкладок, боковую панель, конфигуратор с большим числом настроек, режим блокировки изображений и нежелательного контента, систему ведения заметок, режим горизонтального отображения вкладок. Интерфейс браузера написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. Сборки Vivaldi подготовлены для Linux, Windows и macOS. Для прошлых выпусков проект распространяет под открытой лицензией исходные тексты изменений к Chromium. Реализация интерфейса Vivaldi написана на JavaScript, доступна в исходных текстах, но под проприетарной лицензией. Основные новшества: … Читать далее Выпуск web-браузера Vivaldi 1.9

Разработчики проекта Libreboot, в рамках которого развивается полностью свободное ответвление от CoreBoot, предоставляющее очищенную от бинарных вставок замену проприетарным прошивкам UEFI и BIOS, выступили с инициативой воссоединения с проектом GNU, отношения с которым были разорваны в результате конфликта в конце прошлого года. Одновременно Лия Роу (Leah Rowe), основной разработчик и основатель дистрибутива Libreboot, из-за решения которой были разорваны отношения с GNU, объявила об уходе с поста лидера проекта в пользу новой коллективной модели управления, принимающей решения на основе мнения сообщества. Первым совместным решением стал возврат в проект GNU, за что проголосовало большинство разработчиков и представителей сообщества Libreboot. В поддержку вынесенного … Читать далее Libreboot возвращается в проект GNU

Представлен выпуск инструментария Tor 0.3.0.6, используемого для организации работы анонимной сети Tor. Tor 0.3.0.6 является первым стабильным выпуском ветки 0.3.0, которая развивалась последние пять месяцев. Основные новшества: Задействована идентификация шлюзов по цифровой подписи с открытым ключом Ed25519 (вместо RSA1024), разработанной Дэниэлом Бернштейном и отличающейся очень высокой скоростью верификации и создания подписей при более высоким уровнем безопасности, чем ECDSA и DSA. Ed25519 не подвержен проблемам с коллизиями в хэшах, не чувствителен к атакам через определение скорости работы кэша (cache-timing attacks) и атакам по сторонним каналам (side-channel attacks). В настройках по умолчанию выставлен параметр AuthDirPinKeys, отклоняющий подключение узлов при совпадении RSA-ключей, но … Читать далее Первый стабильный выпуск ветки Tor 0.3.0

После почти пяти лет разработки официально представлен стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB 2.02 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, оборудование на основе MIPS-совместимого процессора Loongson 2E, системы Itanium, ARM, ARM64 и ARCS (SGI), устройства, использующие свободный пакет CoreBoot. Основные новшества: Добавлена поддержка новых платформ: ARM (U-Boot и EFI), ARM64 (EFI), Xen PV и Hyper-V Gen2 . Добавлена поддержка процессоров Loongson 2E, ноутбука Yeeloong 3A, отладочных USB-брелков, little-endian powerpc, систем Oracle sun4v с vnet-устройствами. Добавлена новая платформа «none», при выборе которой собираются только пользовательские … Читать далее Релиз менеджера загрузки GNU GRUB 2.02

Спустя два года с момента основания проекта состоялся выпуск операционной системы Redox 0.2, разработанной с использованием языка Rust и концепции микроядра. Наработки проекта распространяются под свободной лицензией MIT. После сборки систему можно опробовать при помощи VirtualBox или QEMU. Пользовательское окружение в Redox построено на базе графической оболочки Orbital. Операционная система использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях. Для совместимости с существующими приложениями предоставляется специальная POSIX-прослойка, позволяющая … Читать далее Доступна операционная система Redox 0.2, написанная на языке Rust