В Lhasa, открытой библиотеке с реализацией форматов сжатия LZH и LHA, выявлена критическая уязвимость (CVE-2016-2347), позволяющая выполнить произвольный код во время обработки специально оформленных сжатых данных. Проблема вызвана отсутствием проверки на указание слишком малых значений в заголовке (integer underflow), что позволяет инициировать выделение буфера ненадлежащего размера, в который не вмещаются фактически имеющиеся данные. Проблема устранена в выпуске Lhasa 0.3.1 Уязвимость может проявиться в различных инструментах и программах, использующих Lhasa для работы с архивами в форматах LZH и LHA. Например, атаке подвержены различные системы фонового сканирования содержимого файловых архивов и проверки почтовых вложений, которые автоматически обрабатывают данные в редко используемых форматах. Читать далее Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия LZH и LHA

Состоялся релиз дистрибутива NixOS 16.03, основанного на пакетном менеджере Nix и предоставляющего ряд собственных разработок, упрощающих настройку и сопровождение системы. Например, в NixOS используется единый файл системной конфигурации (configuration.nix), предоставляется возможность быстрого отката обновлений, присутствует поддержка переключения между различными состояниями системы, поддерживается установка индивидуальных пакетов отдельными пользователями (пакет ставится в домашнюю директорию), возможна одновременная установка нескольких версий одной программы. Размер установочного образа 910 Мб. В новом выпуске осуществлён переход на новые версии ядра Linux 4.4 (было 3.18), Systemd 229, GCC 5.3 (было 4.9), Glibc 2.23, Binutils 2.26, Perl 5.22. Проведена работа по организации повторяемых сборок, при которых сборка одной программы … Читать далее Доступен дистрибутив NixOS 16.03, использующий пакетный менеджер Nix

Группа энтузиастов рассказала о своём опыте создания базовой станции (BTS) для развёртывания собственной сети GSM, используя недорогой программно определяемый передатчик BladeRF x40, две внешние антенны SMA и плату Raspberry Pi 3. Программная начинка основана на Linux-дистрибутиве Raspbian, открытом пакете EvilBTS (ответвление от YateBTS ) и web-интерфейсе NIB. После запуска системы можно создать свою GSM-сеть с поддержкой GPRS, к которой сможет подключиться любой телефон. Манипулируя параметрами MCC, MNC и LAC также можно развернуть фиктивную базовую станцию уже существующей GSM-сети, в том числе создать прокси к легальному SMC (Short Message Center) или организовать перехват незашифрованного GSM-трафика. Читать далее Создание собственной базовой станции GSM из подручных средств

Доступен очередной экспериментальный выпуск открытой реализации Win32 API — Wine 1.9.7. С момента выпуска версии 1.9.6 было закрыто 42 отчёта об ошибках. Наиболее важные изменения: Продолжена реализация обособленного потока обработки команд WineD3D; Расширена поддержка шейдеров Shader Model 5; Добавлена обработка исключений C++ на системах x86-64. Поддержка Windows-стиля импорта статических библиотек; Решены проблемы с производительностью XML writer; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Powerpoint viewer 2003 2007, Microsoft Publisher 2007 2010 CSPRO 4, Civilization II, ElsterFormular, Internet Explorer 8, Alien8, GoodSync, Camtasia Studio 8, CLM Explorer, EveHQ2. Читать далее Выпуск Wine 1.9.7

Подборка первоапрельских шуток: Фонд свободного ПО сообщил о судебном преследовании со стороны компании Apple, которая развязала разбирательство, связанное с нарушением своей торговой марки в приложении GNU Emacs. Название Emacs пересекается с принадлежащей Apple торговой маркой eMac (education Mac). В приложенных к делу материалах также опубликованы ранее скрытые от общественности переговоры между Apple и FSF, касающиеся использования продуктов Apple, которое использует Ричард Столлман, в рекламной кампании устройства Apple iThings. За передачу прав на имя Столлману был предложен миллион долларов, но он отказался. Интересно, что по недосмотру Фонд СПО опубликовал шутку 31 марта; Для включения в состав ядра Linux предложен патч с … Читать далее Подборка первоапрельских шуток 2016 года

Компания Red Hat объявила об отмене платной подписки для участников инициативы Red Hat Developer Program. Разработчики теперь смогут бесплатно использовать Red Hat Enterprise Linux Developer Suite, Red Hat Container Development Kit (CDK) и Red Hat JBoss Middleware при условии, что продукт запускается для разработки локальных приложений и не задействован для промышленного применения. Ранее стоимость лицензии для разработчика составляла $99. Набор Red Hat Enterprise Linux Developer Suite включает в себя полный набор компонентов, необходимых для разработки приложений, выполняемых в среде RHEL, в том числе дистрибутив Red Hat Enterprise Linux Server, расширения Red Hat Software Collections, Red Hat Developer Toolset и пакеты … Читать далее Red Hat делает бесплатной подписку на Red Hat Enterprise Linux для разработчиков

Мигель де Икаса (Miguel De Icaza) объявил о перелицензировании кодовой базы проекта Mono и её передаче под покровительство некоммерческой организации .NET Foundation, созданной Microsoft в сотрудничестве компанией Xamarin. Все компоненты Mono отныне будет распространяться под разрешительной лицензией MIT, не накладывающей ограничений на использование кода в закрытых проектах. Следует отметить, что изменение актуально в основном для Mono runtime, для которого ранее применялась модель двойного лицензирования (LGPLv2 и проприетарная лицензия), так как компилятор и библиотека классов и ранее были доступны под лицензией MIT. Смена лицензии на runtime снимает ограничения по смешиванию кода с открытыми компанией Microsoft проектами .NET Core Runtime (CoreCLR), WCF … Читать далее Проект Mono поменял лицензию на MIT и начал открытие проприетарных наработок Xamarin

Опубликованы корректирующие выпуски языка программирования PHP 7.0.5, 5.6.20 и 5.5.34, в которых внесено около 30 изменений, в том числе устранено несколько уязвимостей: выход за границы буфера в функциях php_url_decode и php_raw_url_encode, целочисленное переполнение в функции zend_mm_alloc_heap, переполнение буфера в функции finfo_open (модуль Fileinfo), некорректная работа с памятью в модуле Phar при обработке имён файлов с нулевым символом (), разыменование нулевого указателя в zend_hash_str_find_bucket (модуль Session), уязвимость форматирования строки в модуле SNMP Возможно исправлены и некоторые другие проблемы с безопасностью, так как уязвимости явно не отмечены в публикуемом списке изменений, сказано только, что они есть. Читать далее Обновление PHP 5.5.34, 5.6.20 и 7.0.5 с устранением уязвимостей

Проект UALinux обновил сборку Ubuntu GamePack 14.04, включающую более чем 5849 игр, как оригинальных, разработанных специально для платформы GNU/Linux, так и игр для Windows, запускаемых при помощи PlayOnLinux и Wine. Размер iso-образов (i386 и amd64) 1.8 Гб и 1.9 Гб. Дистрибутив собран на базе Ubuntu OEM (вариант Ubuntu 14.04.4 с ядром 4.2) и включает в себя все его возможности и обновления по март 2016 года. По умолчанию предлагается интерфейс GNOME Flashback, внешний вид которого напоминает классический GNOME. Как и раньше система включает в себя клиент Steam, но клиенты Desura и DJL были удалены из системы по причине их закрытия. Добавлена … Читать далее Обновлена платформа для запуска игр Ubuntu GamePack 14.04

Представлен новый релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 16.03. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3. Основные изменения: Очередная порция улучшений нодового редактора логики. Появилась возможность использовать глобальные переменные для обмена информацией между потоками выполнения, добавлены логические нода JSONи и Get Timeline. Логические ноды Play Animation и Stop Animation теперь могут применяться для анимации настроек окружения. Для демонстрации новых возможностей было … Читать далее Релиз движка для создания браузерных 3D-приложений Blend4Web 16.03

Компания CodeWeavers выпустила релиз пакета Crossover 15.1, основанного на коде Wine 1.8.1 и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 15.0 можно загрузить на данной странице. В новой версии решены проблемы с запуском игр Heroes of the Storm, World of Warcraft и Alekhine’s Gun, устранено зависание Microsoft Excel при вводе на не английском языке в редакторе методов ввода, исправлены недоработки инициализации шрифтов, внесена порция изменений, специфичных для OS X. Читать далее Релиз CrossOver 15.1 для Linux и OS X

Доступны корректирующие обновления для всех поддерживаемых веток PostgreSQL: 9.5.2, 9.4.7, 9.3.12, 9.2.16 и 9.1.21, в которых устранено две уязвимости и представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.1 продлится до сентября 2016 г., 9.2 до сентября 2017 г., 9.3 до сентября 2018 г., 9.4 до декабря 2019 г., 9.5 до января 2021 г. Уязвимость CVE-2016-2193 позволяет повторно использовать план запроса для более чем одного пользователя (ROLE) в том же сеансе, что может привести к установке неверного набора RLS-правил (Row Level Security). Уязвимость CVE-2016-3065 может быть использована для инициирования краха сервера и получения доступа к нескольким байтам памяти сервера при … Читать далее Обновление PostgreSQL 9.5.2, 9.4.7, 9.3.12, 9.2.16 и 9.1.21 с устранением уязвимостей

Несмотря на февральское решение суда штата Юта об отклонении оставшихся претензий SCO к IBM и подготовке к соглашению о прекращении разбирательства, компания SCO передумала и подала апелляцию, что ознаменовало продолжение судебной тяжбы, длящейся уже 13 лет. Несмотря на повторяющиеся судебные неудачи SCO не теряет надежду получить с IBM компенсацию, заявленную в пять миллиардов долларов. В апелляции изложены дополнительные доводы, суть которых пока не разглашается. Напомним, что в 2003 году компания SCO обвинила IBM в передаче кода UNIX разработчикам ядра Linux, после чего было выяснено, что все права на код UNIX принадлежат не SCO, а компании Novell. Затем компания Novell подала … Читать далее Компания SCO подала апелляцию и продолжила тяжбу с IBM

Дастин Киркленд (Dustin Kirkland), входящий в команду, принимающую решения по разработке продуктов и определению стратегии развития в компании Canonical, раскрыл подробности совместного с Microsoft проекта по предоставлению пользователям Windows 10 возможности работы с пользовательским окружением Ubuntu Linux. Работа приложений организована без использования контейнеров, виртуализации, отдельной пересборки утилит и даже без использования ядра Linux — запуск родных исполняемых файлов Linux реализован путём включения специальной прослойки, на лету транслирующей системные вызовы Linux в системные вызовы Windows. По сути реализован обратный аналог системы Wine, получивший название «Windows Subsystem for Linux» (WSL) и практически не влияющий на производительность выполняемых приложений Linux. Для упрощения установки … Читать далее В Windows обеспечена поддержка запуска исполняемых файлов Linux (дополнено)

Представлена новая версия торрент-клиента qBittorrent 3.3.4, написанного с использованием тулкита Qt, и, по заверению автора, наиболее полно из существующих свободных торрент-программ приближённого к интерфейсу и функциям популярного µTorrent. В новой версии добавлена начальная поддержка сборки с использованием cmake, поддержка кросскомпиляции с MXE, проведена реструктуризация кода, расширен режим первоочередной загрузки первых и последних элементов в torrent-е, добавлена опция для скрытия полей с нулевыми значениями, сокращено время запуска сеанса, добавлен столбец для индикации оставшегося времени загрузки, реализована возможность записи лога в файл и фильтрации сообщений в логе по типам. Читать далее Выпуск торрент-клиента qBittorrent 3.3.4

Дзёити Ито (Joichi Ito), директор центра медиаисследований Массачусетского Технологического института (MIT Media Lab), который занимается проектами, направленными на сближение технологий, мультимедиа, науки, искусства и дизайна, сообщил об изменении процедуры публикации развиваемых в его центре программных продуктов, которая переработана для стимулирования открытия кода под свободными лицензиями. Если ранее для открытия исходного текста разработки требовалось получение разрешения от специально созываемой комиссии, то отныне разрешение предоставляется по умолчанию и код можно открыть сразу без дополнительных согласований. Читать далее Разработки MIT Media Lab по умолчанию будут публиковаться под свободными лицензиями

Состоялся релиз дистрибутива Bodhi Linux 3.2, пользователям которого предлагается десктоп-окружение Moksha. Moksha развивается как форк кодовой базы Enlightenment 17, созданный для продолжения разработки Enlightenment как легковесного рабочего стола, после несогласия с политикой развития Enlightenment, разрастания окружения Enlightenment 19 и ухудшения стабильности кодовой базы. Пакетная база Bodhi Linux 3.2 основана на Ubuntu 14.04. Для загрузки предлагается два установочных образа: обычный (566 Мб) и сокращённый для устаревшего оборудования (502 Мб). Из новшеств отмечается обновление рабочего стола Moksha до версии 0.2, в которой завершена работа по чистке модулей E17 и удалению лишней функциональности, осуществлён перевод репозиториев с Subversion на Git, расширена функциональность команды … Читать далее Релиз дистрибутива Bodhi Linux 3.2, предлагающего десктоп-окружение Moksha

В контроллерах систем управления доступом HID VertX и Edge, используемых во многих аэропортах, больницах, госучреждениях и предприятиях для организации доступа в помещения по картам, отпечаткам пальцев или NFC-аутентификации со смартфона, выявлены серьёзные недоработки в безопасности, позволяющие удалённо получить полный контроль над системой. Уязвимость позволяет любому злоумышленнику выполнить свой код с правами root, отправив на открытый сетевой порт 4070 специально оформленный UDP-пакет, без проведения какой-либо аутентификации. Уязвимость связана с передачей непроверенного пользовательского ввода внешней утилите через функцию system(), что позволяет выполнить любую команду shell, указав её внутри введённых параметров, например,»123`id`». Сервис принимает широковещательные пакеты, что можно использовать для одновременного открытия всех … Читать далее Контроллеры электронных замков HID оказались незащищены от тривиальных уязвимостей

Открытые проекты Copperhead, Guardian и F-Droid объявили о совместной работе по созданию верифицированной безопасной экосистемы для мобильных приложений, сервисов и оборудования. В итоге планируется разработать защищённый мобильный стек, включающий только верифицированные компоненты и использующий сеть доставки и обновления приложений, достоверность которых можно подтвердить при помощи криптографических методов. Проект Copperhead развивает ответвление от мобильной платформы CyanogenMod, включающее дополнительные средства защиты и обеспечения неприкосновенности данных пользователя. Guardian разрабатывает мобильные приложения для безопасного обмена сообщениями, шифрования данных и работы через сеть Tor. F-Droid представляет собой каталог открытых приложений для Android. Разработчики надеются, что совместив достижения и объединив усилия трёх сообществ можно вывести открытую … Читать далее Copperhead, Guardian и F-Droid объединили усилия в создании защищённой мобильной экосистемы

Проект UALinux обновил существующую сборку Ubuntu GamePack 14.04 — система, которая обеспечит гарантированный запуск более чем 5 849 игр, как оригинальных, разработанных специально для платформы GNU/Linux, так и значительного количества игр для MS Windows. Дистрибутив собран на базе Ubuntu OEM (https://ualinux.com/ubuntu-oem) и включает в себя все его возможности, а также: ✔ В систему включены все обновления по март 2016 года. ✔ Дистрибутив построен на базе последней Ubuntu 14.04.4 с ядром 4.2. Графический интерфейс пользователя по умолчанию — GNOME Flashback (внешне вид которого напоминает классический GNOME) Как и раньше система включает в себя менеджер цифрового распространения компьютерных игр и программ — … Читать далее Обновлен Ubuntu GamePack 14.04 — платформа для запуска игр

Проект KDE анонсировал новый фреймворк Kirigami UI, который позиционируется не только как набор компонентов для построения интерфейса, но и предоставляет новый подход к быстрой разработке удобных и интуитивно понятных приложений, работающих на широком спектре настольных и мобильных систем. В отличие от традиционных компонентов KDE для создания интерфейса, основанных на QWidgets, новый фреймворк является надстройкой над Qt Quick Controls, что решает проблемы с поддержкой сенсорных экранов. Используя в качестве основы уже предоставляемые в Qt Quick элементы, такие как кнопки и поля ввода текста, Kirigami дополняет их более высокоуровневыми элементами, реализующими собственный подход к дизайну и построению интерфейса. Например, работу в приложении … Читать далее Проект KDE представил фреймворк для построения интерфейса Kirigami UI