Проект Tor опубликовал значительный релиз специализированного браузера Tor Browser 6.0, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и примечателен тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и OS X. Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее использовать шифрование трафика на всех … Читать далее Выпуск Tor Browser 6.0

В пакетах ImageMagick и GraphicsMagick выявлена ещё одна опасная уязвимость (CVE-2016-5118), позволяющая выполнить произвольные команды shell при обработке специально оформленного имени файла. Проблема связана с передачей в вызов popen имени файла, без его проверки на наличие спецсимволов, что позволяет использовать модификатор «|», отвечающий за ответвление процесса для создания канала ввода-вывода. Передав вместо имени файла аргумент «|имя» можно выполнить произвольный код, например: convert ‘|echo Hello hello.txt;’ null: Кроме эксплуатации приложений, для преобразования форматов изображений вызывающих утилиту convert, атака может быть проведена при обработке специально оформленных SVG- или MVG-файлов, в которых вместо ссылки на изображение может применяться конструкция: SVG: xlink:href=»|echo Hello hello.txt; … Читать далее Новая критическая уязвимость в GraphicsMagick и ImageMagick

Организация Open Source Initiative (OSI) ввела в строй API (api.opensource.org), предоставляющий средства доступа к метаданным базы открытых лицензий, соответствующих требованиям OSI, в том числе централизованный список идентификаторов, статус проверок и ссылки на сторонние источники. Для идентификации лицензий используется формат SPDX (Software Package Data Exchange). При помощи API можно автоматизировать проверку выбранной лицензии на предмет её соответствия требованиям OSI, посмотреть характеристики лицензии в машиночитаемом формате (например, api.opensource.org/license/GPL-3.0) и выбрать лицензии соответствующие определённому параметру (например, для вывода списка лицензий копилефт — api.opensource.org/licenses/copyleft). Напомним, что деятельность организации Open Source Initiative связана с проверкой лицензий на предмет соответствия критериям Open Source, а также поддержанием … Читать далее Организация Open Source Initiative представила API для доступа к открытым лицензиям

Комментируя итоги судебного разбирательства с Google, в котором использование Java API было признано добросовестным использованием в случае копирования для создания переносимого свободного программного обеспечения, юристы компании Oracle заявили, что это решение может убить лицензию GPL. По мнению Oracle, модель двойного лицензирования «GPL+коммерческая лицензия» показала свою несостоятельность, так как она может быть сведена к «добросовестному использованию», сводящему на нет условия коммерческого лицензирования. В частности, в OpenJDK распространяется под GPLv2 и коммерческой лицензией, а Java-компоненты Android под пермиссивной лицензией Apache, не совместимой с GPL. При открытии кода Java лицензия GPLv2 для OpenJDK была выбрана с учетом необходимости дополнительного лицензирования технологий Java в … Читать далее Юристы Oracle считают, что победа Google нанесла серьёзный удар по лицензии GPL

Спустя семь месяцев после релиза NetBSD 7.0 подготовлен корректирующий выпуск NetBSD 7.0.1, в котором проведена работа по устранению проблем, влияющих на стабильность и безопасность. Из исправлений можно отметить устранение краха ядра при извлечении примонтированного USB-накопителя, краха в NFS и проблем с устройствами gif. Читать далее Релиз операционной системы NetBSD 7.0.1

В Debian 7 Wheezy, который недавно перешёл на стадию расширенной поддержки (LTS), прекращён выпуск обновлений с устранением уязвимостей для Mediawiki, VLC, libv8 и SOGo. Ранее поддержка также была прекращена для пакетов chromium-browser, virtualbox и typo3-src. Под вопросом прекращение поддержки asterisk, openswan, movabletype-opensource и mantis. Пользователям данных программ рекомендуется обновить свои системы до Debian 8 «Jessie». Что касается Mediawiki, то из-за окончания времени жизни ветки 1.19 поддержка данного пакета также прекращена не только в Wheezy, но и в актуальной стабильной ветке Debian 8 «Jessie». Читать далее В Debian 7 Wheezy прекращена поддержка Mediawiki, VLC, libv8 и SOGo

В поставляемых в составе Mesa драйверах Nouveau (nvc0, видеокарты NVIDIA на базе GPU Fermi и Kepler — GeForce 400/500/600) и RadeonSI уровень поддержки OpenGL официально поднят до версии 4.3. Кроме того, поддержка OpenGL 4.3 включена в драйвере i965 для чипов Intel Gen8+. Для драйвера i965 также подготовлены недостающие патчи с поддержкой расширений GL_ARB_vertex_attrib_64bit и GL_ARB_gpu_shader_fp64, отсутствие которых мешало заявить о совместимости с OpenGL 4.0 и 4.1. Читать далее В Mesa включена поддержка OpenGL 4.3 для Nouveau NVC0, RadeonSI и Intel i965

Проект OpenBSD перешёл на обязательное применение механизма защиты памяти W^X (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение. Таким образом, код может быть исполнен только после запрещения записи, а запись в страницу памяти возможна только после запрета исполнения. Механизм W^X помогает защитить приложения в пространстве пользователя от типовых атак, осуществляемых через переполнение буфера, в том числе от переполнений стека (записанный за пределы буфер код не может быть исполнен). Традиционно в Unix при маппинге памяти допускается модель «W|X», позволяющая одновременно осуществлять и запись, и исполнение, что является порочной практикой … Читать далее Проект OpenBSD перешёл на обязательное использование механизма защиты W^X

В рамках празднования двадцатилетия проекта, после двух лет разработки подготовлен новый значительный выпуск визуального редактора научных документов LyX 2.2.0, позволяющего создавать тексты с использованием разметки TeX/LaTeX, при этом наглядно редактируя макет документа в WYSIWYM-представлении. Итоговый документ сохраняется в формате LaTeX, но текст может быть импортирован и экспортирован в такие представления, как PDF, Postscript, DVI, ASCII, HTML, OpenDocument, RTF, ODF и DOC. Бинарные сборки подготовлены для Windows и OS X. Основные новшества: Поддержка сборки с использованием Qt5 (рекомендуется Qt 5.6). Поддержка Qt4 сохранена и пока предлагается по умолчанию; Адаптация интерфейса для экранов с высоким разрешением. Для отображении на экранах HiDPI в … Читать далее Выпуск текстового процессора LyX 2.2

Доступен очередной экспериментальный выпуск открытой реализации Win32 API — Wine 1.9.11. С момента выпуска версии 1.9.10 был закрыт 21 отчёт об ошибках. Наиболее важные изменения: В WinInet улучшена поддержка длинных URL; Различные улучшения в поддержке Direct3D 11; В DirectSound добавлена поддержка преобразования 5.1 surround в стерео (downmixing); Внесены косметические изменения в режим рабочего стола; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Safrosoft RoX, Starship Titanic, The Witcher, WBaduk, Thief: Deadly Shadows, SpinTires, Black Mirror 3, Cisco Jabber 11.6, Autodesk 123D Design, BitTorrent Sync. Читать далее Выпуск Wine 1.9.11

Спустя почти два года с момента выпуска прошлого LiveDVD проект Gentoo возобновил формирование Live-сборок. Для загрузки доступны два варианта Gentoo LiveDVD «Choice Edition»: гибридный x86/x86_64, который включает 32-разрядные программы и дополнительные 64-разрядные сборки библиотек и ядра Linux (gentoo64), что позволяет использовать один LiveDVD как на 32-х, так и на 64-разрядных системах, и образ для работы только на системах x86_64 (3 Гб). Из особенностей сборки отмечается поддержка UEFI и использование файловой системы AUFS с поддержкой записи поверх основы, доступной только на чтение, что позволяет устанавливать дополнительные пакеты. Предусмотрена возможность перемещения домашнего каталога ($HOME) на дополнительный раздел диска или Flash-накопителя. В состав … Читать далее Дистрибутив Gentoo Linux представил Live-сборку

Опубликованы корректирующие выпуски языка программирования PHP 7.0.7, 5.6.22 и 5.5.36, в которых внесено 30 изменений, в том числе устранено несколько уязвимостей: Обращение к уже освобождённому блоку памяти (use-after-free) в функции error_reporting. Не исключается возможность эксплуатации, которая может привести к выполнению кода атакующего; Целочисленное переполнение в функции php_html_entities (CVE-2016-5094); Целочисленное антипереполнение (Integer underflow) в fread/gzread (CVE-2016-5096); Обращение к уже освобождённому блоку памяти в функции dba_open (расширение DBA); Чтение из области вне границ буфера в функции imagescale из состава расширения GD (CVE-2013-7456); Чтение из области вне границ буфера в функции get_icu_value_internal из состава расширения Intl (CVE-2016-5093); Разыменование нулевого указателя в функции mb_ereg_replace; … Читать далее Обновление PHP 5.5.36, 5.6.22 и 7.0.7 с устранением уязвимостей

Доступен релиз Linux-дистрибутива BackBox Linux 4.6, базирующегося на Ubuntu 14.04 и поставляемого с коллекцией инструментов для проверки безопасности системы и выявления скрытых или потерянных данных. Пользовательское окружение основано на Xfce. Размер iso-образа 2.2 Гб. В новой версии произведено обновление версий инструментов beef, dirsearch, metasploit, openvas, setoolkit, volatility, wpscan, wxhexeditor, yara и т.п. Задействовано ядро Linux 4.2 и Ruby 2.2. Читать далее Выпуск BackBox Linux 4.6, дистрибутива для тестирования безопасности

Возобновившаяся в этом году судебная тяжба между Oracle и Google, связанная с использованием Java API в платформе Android, завершилась в пользу Google. Перед присяжными был поставлен только один решающий вопрос — можно ли считать копирование Java API компанией Google добросовестным использованием (fair use) в рамках Закона об авторском праве? Присяжные единогласно ответили «Да», что закрепило правоту компании Google. Компания Oracle заявила о намерении подать апелляцию и не отказывается от оценки нанесённого платформой Android ущерба в 9 миллиардов долларов. Разбирательство тянется с 2010 года. В 2012 году суд вынес решение в пользу Google, но компания Oracle добилась в Федеральном апелляционном суде … Читать далее Google одержал победу над Oracle в разбирательстве, связанном с использованием Java API в Android

Состоялся релиз языка программирования Rust 1.9, развиваемого проектом Mozilla, обеспечивающего автоматическое управление памятью и предоставляющего средства для высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Параллельно с Rust совместно с компанией Samsung развивается экспериментальный браузерный движок Servo, написанный на языке Rust и отличающийся поддержкой многопоточного рендеринга web-страниц и распараллеливанием операций с DOM (Document Object Model). В состав нового выпуска принято около 1000 изменений, среди которых: В разряд стабильных переведён модуль std::panic, включающий API catch_unwind для перехвата и обработки процесса «размотки» (unwinding), запускаемого в случае краха из-за ошибки программы. API catch_unwind создаёт новый уровень изоляции в … Читать далее Увидел свет язык программирования Rust 1.9

После пяти месяцев разработки компания Red Hat сформировала новый значительный выпуск инструментария Ansible 2.1, предоставляющего средства для управления конфигурацией, оркестровки, централизованной установки приложений и параллельного выполнения типовых задач на группе систем. Код Ansible написан на языке Python и распространяется под лицензией GPLv3. Из особенностей Ansible можно отметить простой и читаемый язык управления конфигурацией, поддержку распараллеливания работ, отсутствие необходимости установки на удалённые системы специальных программ-агентов (все операции инициируются централизованно по SSH), возможность работы без прав root. Система Ansible не так усложнена, как cfengine, puppet и Chef, но при этом предоставляет достаточно широкие возможности и высокую гибкость управления. Ключевые новшества: В основной … Читать далее Компания Red Hat представила систему управления конфигурацией Ansible 2.1

Доступна для загрузки вторая версия плагина с поддержкой разработки на языке Perl для IDE от JetBrains. В новой версии появилась последняя из крупных запланированных возможностей — отладчик. Основные особенности отладчика: Отладчик работает через сокет и позволяет работать как локально, так и с удаленной машиной. Для работы необходим perl-модуль Devel::Camelcadedb, доступный для установки со CPAN. При сетевой отладки сервером может быть как IDE, так и отлаживаемый процесс, в зависимости от используемого сетевого окружения. Стандартный набор отладочных операций: step-in, step-out, step-over, run to cursor с возможностью форсирования перехода (пропуска точек останова по дороге). Точки останова с возможными условиями и аналогом actions из … Читать далее Вторая версия плагина с поддержкой языка Perl для IntelliJ IDEA

В разряд открытых продуктов переведена среда разработки Deco, ориентированная на разработку многоплатформенных мобильных приложений с использованием web-технологий и фреймворка React Native. Deco включает в себя все необходимые для разработки компоненты, достаточно загрузить и запустить IDE, без необходимости обустройства окружения разработчика. Код Deco написан на языке JavaScript с использованием платформы Electron, позволяющей создавать самодостаточные приложения на базе технологий Chromium и Node.js. Исходные тексты открыты под лицензией AGPLv3. Готовые сборки пока доступны только для OS X (ожидается поддержка Linux и Windows). Сильной стороной Deco является быстрое создание рабочих прототипов мобильных приложений, благодаря оптимизации рабочего процесса для активного повторного использования уже готовых компонентов … Читать далее Открыты исходные тексты интегрированной среды разработки Deco

Состоялся пятый выпуск проекта Pyston, в рамках которого компанией Dropbox, в которой работает Гвидо ван Россум, развивается высокопроизводительная реализация языка Python, созданная с использованием наработок проекта LLVM. Реализация примечательна применением современных технологий JIT-компиляции и нацелена на достижение высокой производительности, близкой к производительности традиционных системных языков, таких как C++. Код Pyston написан на языке C++ и распространяется под лицензией Apache. В отличие от проекта PyPy, также продвигающего идею применения JIT для ускорения выполнения Python-скриптов, в Pyston используется не трассирующий JIT, базирующийся на компиляции в машинный код часто выполняемых циклов, а применяемый в современных JavaScript-движках JIT на основе трансляции отдельных методов (method-at-a-time), … Читать далее Выпуск Pyston 0.5, реализации языка Python с JIT-компилятором

В официальный репозиторий AOSP (Android Open Source Project) добавлена заглушка для будущей поддержки плат Raspberry Pi 3. В настоящий момент описывающая оборудование структура device tree для Raspberry Pi 3 не заполнена и содержит лишь начальный коммит, позволяющий судить о намерении обеспечения поддержки данных плат в основной кодовой базе Android. В AOSP, как правило, доступна встроенная поддержка устройств Nexus и плат для разработчиков, появление в этом списке Raspberry Pi 3 существенно упростит создание сборок Android для данной платы. Читать далее Google обеспечит поддержку Android для платы Raspberry Pi 3

Возобновлена разработка проекта AQEMU, в рамках которого развивается графическая оболочка, упрощающая запуск и настройку виртуальных окружений QEMU и KVM. AQEMU позиционируется как альтернатива VirtualBox, не требующая загрузки отдельного модуля ядра (в модуле для VirtualBox периодически возникают несовместимости с новыми ядрами Linux, что требует ожидания нового выпуска VirtualBox). AQEMU может генерировать shell-скрипты для запуска QEMU и позволяет просматривать аргументы командной строки, используемые при выборе тех или иных настроек. Разработка ветки AQEMU на базе Qt4 была приостановлена около 5 лет назад. В рамках новой инициативы уже сформирован релиз 0.9.1, в котором внесены следующие улучшения: Выполнено портирование на Qt5 и C++-11; Осуществлён переход … Читать далее Продолжение разработки AQEMU, графической оболочки для QEMU и KVM