Доступен новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.11.13, в котором реализованы следующие изменения: В директивы proxy_next_upstream, fastcgi_next_upstream, scgi_next_upstream и uwsgi_next_upstream добавлен новый параметр http_429, определяющий HTTP-код ответа 429 при котором, запрос будет передан следующему серверу; Исправлены ошибки в коде обработки выделения памяти; На Linux-платформах устранено зависание запросов при использовании директив sendfile и timer_resolution; Исправлено зависание запросов при использовании директив sendfile и aio_write с подзапросами (subrequests); Исправлены ошибки в модуле ngx_http_v2_module; Устранён крах (segmentation fault) в рабочем процессе, который мог возникать при использовании протокола HTTP/2; Исправлено зависание запросов при использовании с подзапросами (subrequests) директив limit_rate, sendfile_max_chunk, limit_req или метода $r-sleep(), … Читать далее Выпуск nginx 1.11.13

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали результаты обратного инжиниринга прошивки проприетарного WiFi-чипа Broadcom. Используя уязвимости (CVE-2017-0561), выявленные в процессе изучения прошивки, исследователям удалось подготовить рабочий эксплоит, позволяющий организовать удалённое выполнение кода в контексте Wi-Fi SoC с последующим получением контроля над всей системой. Атака осуществляется через отправку по беспроводной сети специально оформленных управляющих кадров. Wi-Fi чипы Broadcom представляют собой специализированный процессор (ARM Cortex R4 со своим 640KB ПЗУ и 768KB ОЗУ), на котором выполнятся подобие своей операционной системы с реализаций своего беспроводного стека 802.11 (FullMAC). FullMAC позволил снизить энергопотребление, … Читать далее Удалённо эксплуатируемая уязвимость в беспроводном стеке Broadcom

В апрельском обновлении платформы Android в сетевой подсистеме ядра Linux устранена критическая уязвимость (CVE-2016-10229), позволяющая выполнить код на уровне ядра, отправив специально оформленный набор UDP-пакетов, который приводит к некорректному вычислению контрольной суммы в процессе выполнения системного вызова recv с флагом MSG_PEEK. Ошибка, вызвавшая уязвимость, была устранена больше года назад в выпусках основного ядра Linux 4.5 и 4.4.21, поэтому проблеме подвержены только версии ядра, младше 4.4.21. Уязвимость не проявляется в Debian и SUSE, но вероятно присутствует в openSUSE 42.1. Информации о подверженности проблеме Ubuntu и RHEL пока нет. Кроме уязвимости в UDP-стеке и уже ранее упомянутых проблем в беспроводном стеке Broadcom … Читать далее В Android и старых ядрах Linux устранена уязвимость, эксплуатируемая через отправку UDP-пакетов

В корректирующих выпусках коммуникационной платформы Asterisk 13.14.1 и 14.3.1 устранена уязвимость, позволяющая потенциально организовать выполнение кода на сервере. Уязвимость вызвана отсутствием проверки длины при записи в CDR (Call Detail Record) поля с параметрами пользователя, что позволяет передать слишком длинную строку, хвост которой будет записан за пределами выделенного буфера. Проблеме подвержены системы, использующие CDR в сочетании с канальным драйвером chan_sip с включенной опцией ‘useclientcode’ (атака может быть совершена через заголовок ‘X-ClientCode’ в сообщении SIP INFO). Также атака может быть совершена при вызове CDR dialplan из AMI или при использовании AMI Monitor через создание длинного файлового пути. Читать далее Обновление Asterisk 13.14.1 и 14.3.1 с устранением удалённой уязвимости

После четырёхлетнего затишья в разработке опубликован выпуск системы распознавания речи Simon 0.4.80, который позиционируется как альфа-версия будущей ветки Simon 0.5. Код системы распространяется под лицензией GPLv2 и развивается под эгидой проекта KDE. Ключевыми улучшениями в новой версии является поддержка протокола MPRIS, определяющего средства для удалённого управления медиапроигрывателями, и реализация порта для платформы macOS. Simon предоставляет средства для распознавания речи и организации управления голосом, в том числе можно организовать управление рабочим столом или роботами при помощи голосовых команд, создавать голосовые диалоговые системы и системы голосового ввода текста, проводить аутентификацию по голосу и т.п. В качестве бэкендов для распознавания речи поддерживаются CMU … Читать далее Тестовый выпуск свободной системы распознавания речи Simon 0.4.80

Доступен релиз инструментария Flatpak 0.8.5 (бывший xdg-app), в рамках которого развивается система для сборки самодостаточных пакетов, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатной программе управления приложениями GNOME. В новом выпуске устранена уязвимость в dbus-proxy, вызванная обращением у уже освобождённым блокам памяти. По мнению разработчиков, маловероятно, что проблема может быть использована для создания рабочего эксплоита. Также устранена проблема с безопасностью, которая через организацию MITM-атаки позволяла откатить … Читать далее Обновление системы самодостаточных пакетов Flatpak 0.8.5

После полутора лет разработки состоялся релиз Xonotic 0.8.2, свободного 3D-шутера от первого лица, ориентированного на игру по сети. Проект является форком игры Nexuiz, созданным почти пять лет назад в результате конфликта ключевых разработчиков проекта и компании IllFonic, после намерения коммерциализировать процесс разработки игры. Из особенностей Xonotic можно отметить хорошие графические возможности, продвинутый 3D-движок, разнообразие карт, обилие режимов игры. В новом выпуске: Реализовано «быстрое меню», вызываемое клавишей F8, отображаемое поверх изображения и позволяющее обратиться к желаемым функциям без назначения отдельных горячих клавиш, например, через данное меню можно изменить настройки, отправить приватное сообщение или начать чат; Добавлены две новые карты Boil и … Читать далее Выпуск многопользовательского 3D-шутера Xonotic 0.8.2

Проект Scientific Linux объявил об окончании времени жизни ветки Scientific Linux 5, выпуск обновлений для которой прекращён 31 марта. В этот же день прекращена поддержка RHEL 5 и CentOS 5, после 10 лет существования данных веток. Все связанные с Scientific Linux 5 пакеты перемещены в архив, что нарушит работу yum-репозиториев с Scientific Linux 5, использующих официальные серверы. Пользователям рекомендуется обновить свои системы до Scientific Linux/RHEL/CentOS 6 или 7. Для пользователей RHEL дополнительно предложена платная подписка Extended Life Cycle Support (ELS), в рамках которой до 2020 года будут выпускаться обновления с исправлением критических проблем для ветки RHEL 5. Читать далее Объявление о прекращении поддержки Scientific Linux 5, CentOS 5 и RHEL 5

По данным сервиса StatCounter, осуществляющего мониторинг общемировой статистики использования web-браузеров и операционных систем, платформа Windows впервые смещена на второе место в рейтинге популярности операционных систем. Новым лидером стала основанная на ядре Linux открытая платформа Android, доля которой составляет 37.93%. Примечательно, что пять лет назад доля Android составляла всего 2.4%. Суммарная доля настольных и мобильных редакций Windows снизилась до 37.91%. Доля дистрибутивов Linux составляет 0.75%, а если рассматривать только рейтинг настольных систем — 1.54%. Доля macOS оценивается в 5.17%, а iOS — 13.09%. Позиции Android укрепились в основном за счёт азиатских стран, доля данной платформы в которых составляет 52.2%, а Windows … Читать далее Платформа Android опередила по популярности Windows в рейтинге StatCounter

Дискуссионная площадка Stack Over опубликовала результаты опроса, в котором приняло участие более 64 тысяч разработчиков ПО. Наиболее часто используемым участниками опроса языком стал JavaScript, на втором месте SQL, на третьем Java. С++ и C на 7 и 8 местах (22% и 19% опрошенных), что объясняется тем, что большинство из опрошенных web-разработчики или участники нишевых сообществ на Stack Overlow (например, Node.js и AngularJS используют 25.8% и 24.3% из опрошенных). Наиболее любимый язык: Наиболее избегаемый язык: Наиболее желанный язык: Используемые СУБД: Используемые платформы (32.9% используют Linux на рабочем столе, 41% — Windows): Читать далее Результат опроса предпочтений разработчиков от Stack Overflow

Компания Google представила новую инициативу по защите Android от патентных претензий, продвигаемую под именем PAX. Участники PAX получают возможность безвозмездно использовать патенты, которые находятся в совместном патентном пуле, в обмен передавая другим участникам право использования своих патентов в продуктах, связанных с платформой Android и приложениями Google Applications. В настоящее время к PAX уже подключились такие компании, как Google, Samsung Electronics, LG Electronics, Foxconn Technology Group, HMD Global, HTC, Coolpad, BQ и Allview. Общее число патентов, доступных для коллективного использования, составляет более 230 тысяч. Присоединиться к PAX может любая компания, независимо от размера и числа патентов. Участие бесплатное. Основной целью создания … Читать далее Google представил инициативу по кросс-лицензированию патентов, связанных с Android

Маттиас Класен (Matthias Clasen), лидер Fedora Desktop Team и участник GNOME Release Team, представил выпуск тулкита для создания графического интерфейса пользователя GTK+ 3.90, который позиционируется как тестовая ветка для подготовки будущего стабильного релиза GTK+ 4. GTK+ 4 развивается в рамках нового процесса разработки, который пытается предоставить разработчикам приложений стабильный и поддерживаемый в течение нескольких лет API, который можно использовать не опасаясь, что каждые полгода придётся переделывать приложение из-за изменения API в очередной ветке GTK+. В отличие от ветки 3.89.x, выпуски 3.90.x позиционируются как пригодные для создания экспериментальных портов приложений для опробования изменений API. При этом разработчики не гарантируют стабильность данного … Читать далее GTK+ 3.90 ознаменовал новый этап подготовки GTK+ 4

Компания Red Hat опубликовала новый значительный релиз пакета Cygwin 2.8.0, включающего DLL-библиотеку для эмуляции базового Linux API в Windows, позволяющую с минимальными изменениями собирать созданные для Linux программы. В пакет также входят непосредственно собранные для выполнения в Windows стандартные Unix-утилиты, серверные приложения, компиляторы, библиотеки и заголовочные файлы. Основные изменения: Добавлена поддержка API timingsafe_bcmp, timingsafe_memcmp, dladdr и getloadavg; В cygcheck и strace теперь всегда генерируется вывод только с кодом перевода строки и без возврата каретки (Unix LF вместо DOS/Windows CR LF); В fork() обеспечено сохранение порядка загрузки модулей, вызванных через dlopen(); Поведение pthread_cond_wait приближено к версии для Linux и BSD; Заголовочный … Читать далее Релиз Cygwin 2.8, GNU-окружения для Windows

Компания Oracle объявила о формировании сборок Oracle Linux для архитектуры SPARC. Для загрузки подготовлены iso-образы и исходные тексты пакетов для SPARC на основе Oracle Linux 6 Update 7. Также доступен yum-репозиторий с пакетами и обновлениями для SPARC, в котором в том числе присутствуют пакеты с префиксом «devel», содержащие инструменты для разработчиков, включая GCC с поддержкой оптимизаций для CPU M7. Поддерживается установка на системы с 64-разрядными процессорами SPARC T4, T5 и T7 (M7, M5). Платформа SPARC S7 пока не поддерживается. О планах по подготовке Oracle Linux 7 для SPARC ничего не сообщается, Oracle Linux 6 выбран для релиза так как являлся … Читать далее Опубликована редакция Oracle Linux для архитектуры SPARC

В рамках проекта USB Canary развивается небольшая утилита для отслеживания активности USB-портов и отправки уведомления в случае, если подключение нового устройства обнаружено во время блокировки экрана или в нерабочее время. Утилита может оказаться полезной для организаций со строгими правилами использования USB-накопителей или людей параноидально относящихся к безопасности, которые хотят быть уверенными, что во время оставления компьютера без пресмотра, он не будет атакован через USB-порт, например, при помощи специального устройства или инструментария BadUSB. Уведомление может быть отправлено через SMS (используется API Twilio) или добавлено в канал Slack. Читать далее USB Canary

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита механизмов шифрования, применяемых в пакете OpenVPN 2.4.0. Работа выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки. Результаты пока не разглашаются и 7 апреля будут переданы разработчикам OpenVPN, которые подготовят корректирующий выпуск 2.4.2. Детали, касающиеся выявленных проблем, будут опубликованы одновременно с релизом OpenVPN 2.4.2. Читать далее Завершён аудит проекта OpenVPN

Представлен релиз SQLite 3.18.0, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Основные новшества: Добавлено выражение «PRAGMA optimize» для выполнения операции быстрой оптимизации БД для ускорения выполнения последующих запросов; В расширение JSON1 добавлена функция json_patch() с реализаций алгоритма MergePatch для изменения или удаления элементов объекта JSON; Внесены новые оптимизации для ускорения выполнения операции LIKE, которые действуют для произвольных выражений в левой части оператора … Читать далее Релиз СУБД SQLite 3.18.0

Подборка первоапрельских шуток: Проект Xen, понимая то, что язык Си был создан 45 лет назад и сильно устарел, принял решение переписать гипервизор на более современном языке программирования. В ходе долгих дебатов разработчики остановились на Rust и JavaScript. На Rust будет переписан код обработки исключений X86 и другие низкоуровневые компоненты, а на JavaScript и Node.js будет переписан инструментарий. Ожидается, что после перехода на новые языки эффективность и скорость разработки увеличится более, чем в 10 раз; В сообществе разработчиков ядра введено внешнее управление под предводительством Дональда Дрампфа (Donald Drumpf), устранено единоличное принятие решений Линусом и проведена чистка среди мэйнтейнеров подсистем. По мнению … Читать далее Подборка первоапрельских шуток 2017 года (дополнено)

Проект Scientific Linux объявил о скором окончании времени жизни ветки Scientific Linux 5, выпуск обновлений для которой будет прекращён 31 марта (в этот же день Red Hat прекратит поддержку RHEL 5 и CentOS 5, после 10 лет существования данных веток). Все связанные с Scientific Linux 5 пакеты будут перемещены в архив, что нарушит работу yum-репозиториев с Scientific Linux 5, использующих официальные серверы. Читать далее Объявление о прекращении поддержки Scientific Linux 5

Состоялся релиз дистрибутива NixOS 17.03, основанного на пакетном менеджере Nix и предоставляющего ряд собственных разработок, упрощающих настройку и сопровождение системы. Например, в NixOS используется единый файл системной конфигурации (configuration.nix), предоставляется возможность быстрого отката обновлений, присутствует поддержка переключения между различными состояниями системы, поддерживается установка индивидуальных пакетов отдельными пользователями (пакет ставится в домашнюю директорию), возможна одновременная установка нескольких версий одной программы. Размер полного установочного образа с KDE — 790 Мб, сокращённого консольного варианта — 315 Мб. В создании нового выпуска приняли участие 625 разработчиков, подготовивших 12479 изменений. Основные новшества: Добавлена возможность использования оверлеев для расширения или изменения пакетов Nixpkgs. Оверлеи могут применяться … Читать далее Доступен дистрибутив NixOS 17.03, использующий пакетный менеджер Nix

Компания Microsoft приняла решение закрыть развиваемый на протяжении последних 11 лет хостинг свободного кода CodePlex. Пользователям рекомендовано перевести свои проекты на GitHub, которым последнее время сам активно пользуется Microsoft. Совместно с GitHub подготовлен инструментарий для бесшовной миграции проектов с CodePlex. В качестве возможной платформы для перехода дополнительно упоминается Bitbucket, который поддерживает импорт репозиториев Mercurial. Средства для миграции с CodePlex также подготовил SourceForge. С момента анонса закрытия CodePlex создание новых проектов на данном хостинге остановлено. Работа средств для разработки всех уже существующих открытых проектов будет обеспечена до октября, после чего CodePlex будет переведён в режим только для чтения. 15 декабря CodePlex … Читать далее Компания Microsoft объявила о закрытии хостинга свободного кода CodePlex