В Moodle (Modular Object-Oriented Dynamic Learning Environment), свободной модульной системе для организации дистанционного обучения, выявлена критическая узявимость (CVE-2017-2641), позволяющая осуществить подстановку SQL-кода и организовать выполнение произвольного PHP-кода на сервере. На основе Moodle построены обучающие системы многих известных университетов. В каталоге Moodle зарегистрировано более 78 тысяч обучающих сайтов, в том числе 2160 в России, 655 — Украине, 151 — Беларуси и 116 — Казахстане. В ветке Moodle 3.2 уязвимость могут эксплуатировать зарегистрированные пользователи через манипуляции с настройками профиля пользователя в web-интерфейсе. В более ранних выпусках атака возможна только через API для взаимодействия в web-сервисами при наличии соответствующих расширенных прав доступа. Уязвимость … Читать далее Критическая уязвимость в обучающей среде Moodle

Компания Google анонсировала предварительный выпуск следующей редакции открытой мобильной платформы Android — Android O Developer Preview. Релиз Android O, который будет поставляться под номером Android 8, ожидается в третьем квартале 2017 года. До этого времени периодически будут выпускаться предварительные выпуски Developer Preview, предоставляющие средства для разработки приложений с учётом новых возможностей платформы. Для оценки новых возможностей платформы предложена программа бета-тестирования, в рамках которой экспериментальную ветку можно установить и поддерживать в актуальном виде через штатный интерфейс установки обновлений (OTA, over-the-air), без необходимости ручной замены прошивки. Обновления доступны для пользователей устройств Nexus 5X, Nexus 6P, Nexus Player, Pixel и Pixel XL. Ключевые … Читать далее Предварительный выпуск платформы Android 8

После десяти месяцев разработки компания Red Hat представила релиз дистрибутива Red Hat Enterprise Linux 6.9. RHEL 6.9 является первым выпуском, подготовленным в рамках второй стадии сопровождения, на которой приоритеты сместились в сторону исправления ошибок и проблем безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем. Включение значительных функциональных улучшений прекращено. Установочные образы RHEL 6.9 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal. 10 мая 2017 года ветка Red Hat Enterprise Linux 6 перейдёт на третью стадию поддержки, на которой будут формироваться только обновления с устранением уязвимостей и особо важных ошибок. Внесение изменений, связанных с поддержкой нового … Читать далее Выпуск Red Hat Enterprise Linux 6.9

Подготовлен стабильный релиз программы для управления коллекцией фотографий Shotwell 0.26.0. Shotwell предоставляет удобные возможности каталогизации и навигации по коллекции, поддерживает группировку по времени и тегам, предоставляет инструменты для импорта и конвертации новых фотографий, поддерживает выполнение типовых операций по обработке изображений (вращение, устранение эффекта красных глаз, корректировка экспозиции, оптимизация цветности и т.п.), содержит средства для публикации в социальных сетях, таких как Facebook, Flickr и Picasa (для MediaGoblin существует экспериментальный плагин). В новом выпуске: Добавлен инструмент для усиления контраста изображения; Добавлена поддержка тегов ACDSEE; Обеспечена совместимость с новой версией компилятора Vala; Переработан код аутентификации для web-сервисов. Код для аутентификации во внешних службах … Читать далее Выпуск менеджера фотографий Shotwell 0.26

GitHub сообщил о внедрении системы определения и блокирования атак, связанных с использования коллизий SHA-1 в Git-репозиториях. Несмотря на то, что пока не зафиксировано реальных атак по подмене объектов в Git через манипуляцию коллизиями SHA-1, GitHub решил перестраховаться и предоставил превентивную защиту. Напомним, что существующая атака на PDF, позволяющая создать два документа с одним хэшем и разным содержанием, основана на задействовании уже рассчитанной коллизии SHA-1. Атака строится на использовании шаблона, состоящего из вызывающей коллизию известной последовательности и дополняющего эту последовательность набора данных, который подобран таким образом, чтобы не влиять на итоговый хэш SHA-1. Так как во всех атаках используется один и … Читать далее GitHub добавил защиту от атак, использующих коллизии SHA-1

Представлен выпуск новой стабильной ветки WebKitGTK+ 2.16.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: Аппаратное ускорение теперь включается только при выполнении 3D-операций и не активно по умолчанию. Ранее аппаратное ускорение было включено постоянно, что приводило к накладным расходам и значительному потреблению памяти в Epiphany при работе с большим числом открытых вкладок. Задействование … Читать далее Выпуск браузерного движка WebKitGTK+ 2.16

На очередной встрече разработчиков KDE рассмотрена работа по расширению интеграции браузера в окружение Plasma. На рабочий стол будет добавлена поддержка вывода уведомлений от web-приложений, реализован индикатор загрузки файлов через браузер и преложена функция управления воспроизведением мультимединой информации. Для реализации подобных возможностей будет подготовлено специальное дополнение для web-браузеров, организующее обмен информацией между браузером и оболочкой Plasma. KDE также экспериментирует с новыми путями распространения приложений, используя для этого самодостаточные пакеты, что предоставит разработчикам приложений больший контроль над жизненным циклом продукта, а также даст возможность не привязываться к циклам разработки KDE и более оперативно выпускать обновления. Кроме того, так как сборка подобных пакетов … Читать далее Разработчики KDE обсудили интеграцию web-браузера с рабочим столом Plasma

Разработчики PVS-Studio, коммерческого статического анализатора кода на языках C, C++ и C#, выступили с инициативой выявления в открытых проектах ошибок, которые могут привести к возникновению уязвимостей. Для упрощения анализа подобных ошибок составлена таблица соответствия предупреждений PVS-Studio и идентификаторов CWE (Common Weakness Enumeration), определяющих типовые ошибки, которые могут привести к появлению уязвимостей. Для примера продемонстрировано несколько предупреждений в Apache httpd, которые потенциально представляют угрозу безопасности. Анализатор PVS-Studio всегда умел искать слабые места (потенциальные уязвимости) в коде программ, но исторически сложилось, что PVS-Studio позиционировался как инструмент для поиска ошибок, а не потенциальных уязвимостей. Станет та или иная ошибка в коде причиной уязвимости … Читать далее Использование PVS-Studio для поиска дефектов безопасности (реклама)

Компания EYEO, курирующая разработку блокировщика рекламы Adblock Plus, представила первых членов независимого комитета по приемлемой рекламе, который возьмет контроль над программой Acceptable Ads. Комитет включает представителей 9 групп, разделённых на три коалиции — представители лиц, получающих прибыль от размещения рекламы, защитники интересов пользователей и эксперты. В первую коалицию вошли рекламодатели, разработчики рекламных технологий, рекламные агентства, рекламные агенты, издатели и создатели контента. Во второй коалиции представлены представители организаций по защите цифровых прав и пользователи, а в третьей исследователи, разработчики браузеров и «творческие агенты». Независимый комитет получит полный контроль над критериями приемлемой рекламы и формированием белых списков. Это поможет достичь компромисса между … Читать далее Adblock Plus объявил состав независимого комитета по приемлемой рекламе

Сформирован релиз OpenSSH 7.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В OpenSSH также временно оставлена поддержка протоколов SSH 1.3 и 1.5 на стороне клиента (серверная часть уже удалена), которая требует сборки со специальной опцией. Летом 2017 года планируется полностью прекратить поддержку SSHv1 и удалить компоненты с реализаций шифров Blowfish и RC4, а также RIPE-MD160 HMAC, которые в настоящее время по умолчанию отключены в настройках. В будущих выпусках также планируют запретить использование RSA-ключей размером менее 1024 бит и отключить по умолчанию поддержку шифров CBC на стороне SSH-клиента (в сервере CBC был отключен несколько лет … Читать далее Релиз OpenSSH 7.5

Истёк срок действия последнего патента, охватывающего технологию многоканального кодирования звука AC-3 (Dolby Digital), применяемую в стандартах цифрового телевидения (ATSC, DVB), на дисках DVD и Blu-ray, в системах потокового интернет-вещания с поддержкой объёмного звука 5.1. Ранее производители телевизоров, музыкальных центров, домашних кинотеатров, игровых приставок, аппаратных и программных мультимедийных проигрывателей вынуждены были оплачивать отчисления при реализации стандартов, в которых используется AC-3. Если изначально объектом сбора отчислений были в основном производители звуковой техники и аппаратных устройств, то в 2012 году компания Dolby провела кампанию против разработчиков программ для воспроизведения видео, потребовав у них начать выплачивать отчисления или удалить поддержку Dolby Digital. Отныне появилась … Читать далее Истёк срок действия последнего патента на технологию AC-3 (Dolby Digital)

Разработчики Fedora Linux столкнулись с заслуживающей внимания проблемой, связанной с ненадлежащей работой предоставляемых в GCC дополнительных проверок для блокирования проблем, вызванных ошибками форматирования строки. Начиная с Fedora 21 пакеты в дистрибутиве собираются с опцией «-Werror=format-security», которая приводит к выводу ошибки в случае выявления компилятором GCC проблем с форматированием строк, которые потенциально могут привести к появлению уязвимостей. В процессе тестирования новой ветки Fedora, в которой будет задействован GCC 7 (релиз GCC 7 ожидается в апреле), разработчики столкнулись с ошибкой, вызванной тем, что флаг «-Werror=format-security» игнорировался при определённом стечении обстоятельств. В итоге возникла ситуация когда массовая пересборка всех пакетов проходила без ошибок, … Читать далее Ошибка в GCC привела к игнорированию режима выявления проблем с форматированием строк

Подготовлен релиз языка программирования Rust 1.16, развиваемого проектом Mozilla, обеспечивающего автоматическое управление памятью и предоставляющего средства для высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Параллельно с Rust совместно с компанией Samsung развивается экспериментальный браузерный движок Servo, написанный на языке Rust и отличающийся поддержкой многопоточного рендеринга web-страниц и распараллеливанием операций с DOM (Document Object Model). На Rust также разрабатывается операционная система Redox, использующая концепцию экзоядра и продвигающая принцип «все есть URL». В подготовке нового выпуска приняли участие 137 разработчиков. Основные новшества: В пакетном менеджере Cargo реализована команда «cargo check», при указании которой компилятором выполняются все … Читать далее Доступен язык программирования Rust 1.16

Cостоялся релиз мозаичного (тайлового) оконного менеджера Awesome 4.1, предоставляющего интерфейс на основе неперекрывающихся окон. Awesome построен на базе переработанных исходных текстов оконного менеджера dwm и отличается поддержкой использования языка Lua в файлах конфигурации для контроля всех аспектов работы оконного менеджера и создания дополнений. Код проекта распространяется под лицензией GPLv2 и написан с использованием асинхронной библиотеки XCB вместо Xlib для обеспечения хорошей отзывчивости интерфейса. Awesome позволяет оптимизировать выполнение типового рабочего процесса и организовать управление окнами с использованием только клавиатуры, без необходимости передвижения мыши. Вместо виртуальных рабочих столов в Awesome предлагается группировка по тегам c возможностью отображения разом только окон соответствующих заданному … Читать далее Релиз мозаичного оконного менеджера Awesome 4.1

Майкл Керриск (Michael Kerrisk) анонсировал версию 4.10 коллекции системных руководств (man) для Linux. Более 40 участников внесли свой вклад в процесс подготовки новой версии, было внесено более 600 изменений, охвативших 160 страниц. Эти изменения включают себя, среди прочего, добавление одиннадцати новых страниц и существенную переработку ещё трёх. Краткий обзор изменений: Существенно переработаны и расширены страницы add_key(2), keyctl(2) и request_key(2), описывающие системные вызовы для работы с подсистемой хранения криптографических ключей; При содействии Дэвида Хоуэллса, разработчика подсистемы хранения криптографических ключей и библиотеки libkeyutils, ряд страниц руководства был перенесён в проект man-pages, так как они описывают интерфейсы ядра keyrings(7), persistent-keyring(7), process-keyring(7), session-keyring(7), thread-keyring(7), … Читать далее Обновление набора системных руководств Linux man-pages 4.10

Сформирован новый выпуск дистрибутива Wayland Live CD (Rebecca Black Linux), нацеленного на ознакомление с последними наработками по обеспечению поддержки Wayland в различных десктоп-окружениях и приложениях. Дистрибутив построен на пакетной базе Debian Testing и включает свежий выпуск библиотек Wayland (срез из master-ветки), композитный сервер Weston и преднастроенные для работы поверх Wayland окружения KDE, GNOME, Enlightenment E21, Orbital и Liri, а также мозаичные оконные менеджеры Orbment и Sway. Выбор окружения производится через меню менеджера входа, при этом возможен запуск оболочки из уже запущенного окружения в форме вложенного сеанса. Для загрузки доступны два вида iso-образов — расширенный 2 Гб для разработчиков и обычный … Читать далее Выпуск Live-дистрибутива для тестирования Wayland с новым десктоп-окружением Liri

Опубликованы корректирующие выпуски языка программирования PHP 7.1.3 и 7.0.17, в которых внесено 24 изменения. В том числе устранены проблемы с производительностью при обработке больших POST-запросов, крахи при вложенном вызове генераторов или выполнении тестового набора Symfony, чтение из области вне границ буфера в zend_mm_alloc_small, нарушение работы аккаунтинга в php-fpm при использовании keepalive, некорректное вычисление хэша gost-crypto для данных с длинными последовательностями 0xFF, повреждение данных при вызове fetch_array в Mysqlnd, крах в Opcache, утечка памяти при вызове openssl_encrypt(). Читать далее Обновление PHP 7.1.3 и 7.0.17

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 2.4. С момента выпуска версии 2.3 было закрыто 35 отчётов об ошибках. Напомним, что начиная с ветки 2.x проект Wine перешёл на новую схему нумерации версий: каждый стабильный релиз отныне будет приводить к увеличению первой цифры в номере версии (2.0.0, 3.0.0, 4.0.0), а обновления к стабильным релизам будут выпускаться с изменением третьей цифры (2.0.1, 2.0.2, 2.0.3). Экспериментальные версии, развиваемые в процессе подготовки следующего значительного релиза, теперь выпускаются с изменением второй цифры (2.1, 2.2, 2.3, 2.4). Наиболее важные изменения: Добавлена встроенная реализация криптографических хэшей; Обновлён движок Mono; Продолжена реализация обособленного потока обработки … Читать далее Выпуск Wine 2.4

Проект GNU объявил о выходе GNU APL 1.7, полностью удовлетворяющего требованиям стандарта ISO 13751 («Programming Language APL, Extended») интерпретатора для одного из старейших языков программирования — APL. Язык APL отличается оптимизацией для работы с массивами произвольной вложенности и поддержкой комплексных чисел, что делает его востребованным для научных расчётов и обработки данных. В начале 1970-х годов идея APL-машины дала толчок к созданию первого в мире персонального компьютера IBM 5100. APL также пользовался большой популярностью на советских ЭВМ начала 80-х годов. Из современных систем, основанных на идеях APL, можно отметить вычислительные среды Mathematica и MATLAB. В новой версии добавлен интерфейс для обращения … Читать далее Выпуск GNU APL 1.7

Доступен корректирующий выпуск Firefox 52.0.1 c устранением уязвимости (CVE-2017-5428), которой присвоен критический уровень опасности. Уязвимость была продемонстрирована командой Chaitin Security Research Lab в рамках конкурса Pwn2Own 2017. В сочетании с системной уязвимостью в ядре Windows, позволившей выйти за пределы sandbox-окружения, проблема в Firefox дала возможность организовать выполнение кода в системе при открытии в браузере специально оформленной web-страницы. Проблема вызвана целочисленным переполнением в функции createImageBitmap(). Для блокирования уязвимости разработчики Firefox временно отключили экспериментальный API createImageBitmap. Вызов createImageBitmap() был добавлен в Firefox 42 и позволял получить картинку из содержимого тегов canvas, img и video, в том числе сохранить соответствующий заданным координатам блок. Читать далее В Firefox 52.0.1 устранена критическая уязвимость

Проект Fedora предупредил о скором окончании времени поддержки репозитория EPEL 5 (Extra Packages for Enterprise Linux), предоставляющего дополнительный набор пакетов для Red Hat Enterprise Linux 5 и совместимых дистрибутивов, таких как Scientific Linux 5 и CentOS 5. Выпуск обновлений для EPEL 5 будет прекращён 31 марта, после 10 лет существования, одновременно с прекращением поддержки Red Hat Enterprise Linux 5 и CentOS 5. 6 апреля архив /pub/epel/5/ будет удалён с основного сервера и зеркал. В лучшие годы в репозитории EPEL 5 поставлялось около 5000 src-пакетов, а популярность доходила до 240 тысяч уникальных IP в день. Поддержка RHEL 6 и EPEL 6 … Читать далее Объявление о прекращении поддержки Red Hat Enterprise Linux 5 и репозитория EPEL 5