Проект Xen сообщил об устранении в гипервизоре порции уязвимостей, из которых отдельного внимания заслуживает проблема CVE-2015-7835 (XSA-148). Уязвимость позволяет привилегированному пользователю паравиртуализированной гостевой системы получить полный контроль над хост-системой и другими виртуальными окружениями. Проблема была выявлена инженерами компании Alibaba, которые недавно подключились к разработке Xen. Проблема вызвана ошибкой в коде «маппинга» больших страниц памяти в паравиртуализированных гостевых системах (PV) и позволяет получить доступ на запись к страницам памяти, рассчитанным на обращение только в режиме чтения. По мнению разработчиков операционной системы Qubes, выявленная проблема является самой опасной уязвимостью за всю историю существования проекта Xen. То, что проблема присутствует в кодовой базе … Читать далее Критическая уязвимость в Xen, позволяющая получить контроль над хост-системой

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, опубликовал RFC 7686 с описанием формата адресации скрытых сервисов Tor. RFC получил статус «Предложенного стандарта». Работа по стандартизации выполнена совместными усилиями проекта Tor и компании Facebook (к социальной сети уже около года можно получить анонимный доступ через скрытый сервис facebookcorewwwi.onion). Используемый для адресации домен первого уровня «.onion» получил статус доменного имени, зарезервированного для специального использования (Special Use Domain Name). Доменные имена с данным статусом выведены из под контроля ICANN и не могут быть проданы. Технология скрытых сервисов Tor (Hidden Services) позволяет создавать анонимные серверные приложения, принимающие соединения по … Читать далее Адресация скрытых сервисов Tor переведена в категорию интернет-стандарта

Компания Symantec сообщила о выявлении вредоносного ПО, поражающего сервера с СУБД MySQL с целью их использования для совершения DDoS-атак. На первой стадии проникновения, путём эксплуатации уязвимостей в web-приложениях, позволяющих осуществить подстановку SQL-кода, в СУБД загружается вредоносная встраиваемая процедура, которая загружает и выполняет на сервере троянскую программу Chikdos, подключающую хост к ботнету для осуществления DDoS-атак. Большинство поражённых систем зафиксировано в Индии, Китае, Бразилии и Нидерландах. Поражаются только сборки MySQL для платформы Windows, но теоретически атака может быть адаптирована и для Linux (применяемый троян Chikdos доступен и для Linux). Читать далее Атака на сервера MySQL с целью совершения DDoS-атак

Организация The Document Foundation объявила о выходе альфа-версии офисного пакета LibreOffice 5.1 и пригласила всех заинтересованных пользователей принять участие в мероприятии «Охота на ошибки». Сообщается, что за последние 12 месяцев было внесено более 19 тысяч правок, реализованных при участии примерно 300 разработчиков. Кроме традиционных улучшений, таких как увеличения быстродействия и совместимости с форматами файлов MS Office (в том числе MS Office 2016) можно отметить следующие нововведения: Для диаграмм представлена боковая панель, позволяющая быстро изменять настройки; Упрощена работа с данными в облачных сервисах Google Drive, OneDrive и SharePoint. В меню File добавлен диалог для открытия и сохранения файлов с внешних хранилищ; … Читать далее Альфа-выпуск LibreOffice 5.1

Спустя более года с момента прошлого корректирующего выпуска представлен релиз офисного пакета Apache OpenOffice 4.1.2, который вобрал в себя накопившиеся исправления ошибок и уязвимостей. В новой версии также обновлены файлы с переводами, обновлён словарь для английского языка, проведена оптимизация производительности, улучшена совместимость с десктоп-окружениями Linux и улучшена поддержка форматов Microsoft Office. Основные изменения: В состав включён набор улучшений, подготовленных в рамках внедрения OpenOffice в госучреждениях итальянского региона Эмилия-Романья. В частности, улучшена работа файловых блокировок, расширена поддержка WebDAV и обеспечено корректное взаимодействие с Microsoft Sharepoint; Переработан диалог экспорта в формате PDF, который оптимизирован для корректного отображения на небольших экранах; Обновлены входящие … Читать далее Выпуск офисного пакета Apache OpenOffice 4.1.2

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, опубликовал RFC 7686 с описанием формата адресации скрытых сервисов Tor. RFC получил статус «Предложенного стандарта». Работа по стандартизации выполнена совместными усилиями проекта Tor и компании Facebook (к социальной сети уже около года можно получить анонимный доступ через скрытый сервис facebookcorewwwi.onion). Используемый для адресации домен первого уровня «.onion» получил статус доменного имени, зарезервированного для специального использования (Special Use Domain Name). Доменные имена с данным статусом выведены из под контроля ICANN и не могут быть проданы. Технология скрытых сервисов Tor (Hidden Services) позволяет создавать анонимные серверные приложения, принимающие соединения по … Читать далее Адресация скрытых сервисов Tor переведена в категорию RFC-стандарта интернет

Доступен релиз открытой биллинговой системы Ubilling 0.7.2, выступающий надстройкой над Stargazer, свободной системы учёта и авторизации в локальных, домашних и офисных сетях. Код Ubilling написан на PHP и распространяется под лицензией GPLv2. Основные изменения в новом выпуске: Изменения в структуре БД, см дамп. alter.ini: Новая опция FREEZEMONTH_COST указывающая сумму, которая снимается при вызове freezemonth из RemoteAPI. alter.ini: Новая опция FREEZEMONTH_CASHTYPE, указывающая тип оплат для снятия средств за заморозку. alter.ini: Новая опция USERSIDE_API, включающая возможность экспорта данных в UserSide. alter.ini: Новая необязательная опция TEMPLATE_CURRENCY, указывающая тип валюты для сумм прописью. alter.ini: Новая опция VLANMACHISTORY, включающая модуль истории маков и вланов пользователя. … Читать далее Релиз открытой биллинговой системы Ubilling 0.7.2

В рамках проекта Asteroid развивается новая открытая мобильная платформа для умных часов. При разработке использованы многие технические и философские решения, применяемые в таких проектах для смартфонов, как SailfishOS, NemoMobile, WebOS-Ports, SHR и Ubuntu Touch, которые переработаны и модернизированы с учётом специфики работы на умных часах. Исходные тексты Asteroid опубликованы на GitHub. Системная часть Asteroid построена с использованием окружения OpenEmbedded, предоставляющего средства для сборки GNU/Linux дистрибутивов для встраиваемых систем. Графическая оболочка реализована на основе Qt5, QML и фреймворка lipstick, также применяемого для создания пользовательского интерфейса в Sailfish OS. Графический стек базируется на протоколе Wayland. Взаимодействие с оборудованием базируется на прослойке libhybris, … Читать далее Asteroid

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) объявила об успешном завершении инициативы по продвижению поправок в «Закон об авторском праве в цифровую эпоху» (DMCA, Digital Millennium Copyright Act), вносящих автомобильное ПО в список исключений, на которые не распространяются ограничения на анализ и модификацию. Раз в три года в Библиотеке Конгресса США созывается специальная комиссия, которая в ходе публичных слушаний принимает решение о пересмотре списка исключений с описанием ситуаций к которым закон DMCA не может быть применим. Данный список формируется для защиты от возможных злоупотреблений и необоснованных ограничений, которые могут продвигаться под прикрытием DMCA, не являясь при этом объектом нарушения авторских … Читать далее В закон DMCA внесены исключения, разрешающие анализ и изменение автомобильного ПО

На конференции Toorcon продемонстрирован новый вид атаки на браузеры, позволяющей выяснить какие сайты пользователь посещал ранее. Атака применима к сайтам, на которых включена поддержка протокола HSTS для автоматизации проброса на области HTTPS при запросе ресурса с использованием протокола HTTP, и проявляется даже если пользователь очистил историю посещений. Для демонстрации уязвимости подготовлена специальная страница, анализирующая открытие в прошлом некоторых популярных ресурсов. Проблема успешно проявляется в Firefox и Chrome, но также затрагивает и другие браузеры, поддерживающие HSTS. В Tor Browser проблема не проявляется из-за ограничения точности таймера. Техника атаки основывается на том, что CSP запросив несуществующее изображение на сайте с использованием протокола … Читать далее Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей

Доступно обновление высокопроизводительного web-фреймворка Zotonic 0.13.5, написанного на языке Erlang. Код фреймворка распространяется под лицензией Apache 2. В новой версии: Исправлена ошибка полнотекстового поиска, приводившая к многократному морфологическому разбору (стеммингу) текста запроса, Исправлена ошибка с многократной компиляцией шаблонов, Добавлена возможность принудительного выбора языка, Исправлена ошибка с push-отправкой данных при работе через comet и postback, Исправлена проблема в модуле mod_video, связанная с несовместимостью с QuickTime, Исправлена проблема с разрешением sudo для групп пользователей. Обновлён включённый в комплект редактор TinyMCE. Читать далее Обновление web-фреймворка Zotonic 0.13.5

Представлен выпуск браузера Opera 33, доступный для платформ Linux, OS X и Windows. Это восьмой стабильный выпуск новой ветки браузера, основанной на кодовой базе Chromium, в которой реализована поддержка Linux. В новой версии: В сборке для Linux добавлена поддержка проприетарных кодеков H.264 для видео и MP3 для звука. Представлен новый логотип, отражающий изменения в бренде Opera, и новая пиктограмма «О» на кнопке с меню и панели инструментов. Интересным шагом является использование разных пиктограмм для разных категорий выпусков — каркас для начальных тестовых версий, частично закрашенный логотип для beta-версии и полноценное изображение для финального выпуска; В сборке для OS X представлена … Читать далее Выпуск браузера Opera 33

Доступен новый выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.9.6, в котором представлено только исправление ошибок. В том числе устранён крах, проявляющийся при использовании протокола HTTP/2 и незаполнение переменной $server_protocol. Дополнительно можно отметить публикацию в блоке компании NGINX Inc статьи с советами по увеличению производительности конфигураций с HTTP/2, а также общих рекомендаций по оптимизации отдачи динамического контента и оптимизации связки с WordPress. Читать далее Выпуск nginx 1.9.6

Представлен отчёт о развитии проекта FreeBSD с июля по сентябрь 2015 года. Основные достижения: Система Представлен системный менеджер nosh, включающий набор средств для инициализации, загрузки, ведения логов, управления фоновыми процессами и терминалами. Nosh позиционируется как замена систем BSD init и NetBSD rc.d, вобравшая в себя черты таких систем, как Solaris SMF, daemontools-encore, UCSPI и средств IBM AIX по раздельному управлению системой и сервисами. Предоставляется набор прослоек для использования команд, ставших привычных в других системах, импорта существующих конфигурационных файлов /etc/fstab, /etc/rc.conf, /etc/rc.local и /etc/ttys, а также настроек изолированных окружений Jail и PC-BSD Warden. Система переносимая, не зависит от особенностей ядра и … Читать далее Отчёт о состоянии развития FreeBSD за третий квартал 2015 года

Началось тестирование четвёртого альфа-выпуска инсталлятора следующего значительного релиза Debian — «Stretch». Основные изменения: Прекращено формирование полных наборов образов на CD, которые в настоящее время включают более 80 компакт-дисков и почти не востребованы пользователями. Поставка минималистичных CD-образов netinst будет продолжена. Кроме того, на базе Xfce будет сформирована однодисковая CD-сборка для десктоп-систем; Из интерфейса установки удалены все опции выбора альтернативных вариантов первого CD, так как начиная с Jessie выбор типа рабочего стола осуществляется через систему tasksel. Для приложений на базе gtk2, Qt4 и Qt5 по умолчанию включены средства для людей с ограниченными возможностями, позволяющие при необходимость запускать систему голосового чтения с экрана; … Читать далее Четвёртый альфа-выпуск инсталлятора Debian 9 "Stretch" с прекращением формирования CD-образов

Началось тестирование интегрированной среды программирования KDevelop 5, основанной на библиотеках KDE/Qt и полностью поддерживающей процесс разработки для KDE. Ключевой особенностью новой ветки является портирование компонентов KDevelop для работы с KDE Frameworks 5 и Qt 5. Вторым важным изменением является поддержка Clang и замена старого парсера для языка C++ и плагина семантического анализа на новые компоненты, основанные на использовании Clang. Применение встроенных механизмов LLVM/Clang позволило значительно расширить возможности по анализу кода, сократить кодовую базу плагина и упростить добавление новых языков. Среди других улучшений отмечается замена собственной реализации интерпретатора CMake на компоненты основного проекта CMake, интеграция модуля поддержки семантики для QML и … Читать далее Бета-выпуск KDevelop 5.0.0

Состоялся релиз легковесного окружения рабочего стола Lumina 0.8.7, развиваемого проектом PC-BSD. Компоненты окружения написаны с использованием библиотеки Qt5 (без применения QML), в качестве оконного менеджера применяется Fluxbox. Lumina изначально нацелен на работу во FreeBSD/PC-BSD и отталкивается от возможностей FreeBSD, отодвигая на второй план портирование для других платформ (что не мешает в его портировании). Код проекта написан на языке C++ и распространяется под лицензией BSD. Новый выпуск Lumina уже доступен через систему портов FreeBSD и добавлен в репозиторий PC-BSD «Edge» (x11/lumina[-i18n]). Lumina придерживается классического подхода к организации пользовательского окружения. В состав входит рабочий стол, панель приложений, менеджер сеансов, меню приложений, система … Читать далее Новая версия десктоп-окружения Lumina 0.8.7, развиваемого для FreeBSD и PC-BSD

Правительство Великобритании объявило о заключении сделки с компанией Collabora, связанной с внедрением GovOffice — версии офисного пакета LibreOffice, в которой будет учтена специфика работы в госучреждениях. GovOffice не ограничится сборками для настольных систем и будет предоставлять средства редактирования и просмотра документов через Web и с мобильных устройств, основанные на наработках проектов LibreOffice Viewer для Android и LibreOffice Online. По словам представителя правительства Великобритании использование свободного офисного пакета позволит существенно снизить издержки госучреждений на IT-инфраструктуру. Напомним, что компания Collabora развивает собственную коммерческую сборку LibreOffice-from-Collabora, примечательную трёхлетним сроком выпуска обновлений, улучшенной поддержкой проприетарных форматов Microsoft и Google Docs, интеграцией с корпоративным ПО. … Читать далее Для правительства Великобритании будет подготовлена специальная версия LibreOffice

Проект GNU представил выпуск LibreJS 6.0.10, дополнения к Firefox и GNU IceCat, позволяющего отказаться от выполнения несвободного JavaScript-кода. По мнению Ричарда Столлмана, проблема с JavaScript состоит в том, что код загружается без ведома пользователя, не давая возможности оценить степень его свободности перед загрузкой и воспрепятствовать выполнению проприетарного JavaScript-кода. Определение применяемой в JavaScript-коде лицензии производится через указание на сайте специальных меток или через анализ наличия упоминания лицензии в комментариях к коду. Кроме того, по умолчанию допускается выполнение тривиального JavaScript-кода, известных библиотек и кода с сайтов, занесённых пользователем в белый список. В версии LibreJS 6.0.10 осуществлён переход на использование нового инструментария сборки … Читать далее Выпуск GNU LibreJS 6.0.10, дополнения для блокирования несвободного JavaScript в Firefox

В рамках проекта Mimic реализована утилита для замены символов из набора ASCII на схожие по начертанию символы из таблиц Unicode. Утилита воплощает идею, высказанную одним из разработчиков из компании Twitter, что замена в исходном тексте программы символа точки с запятой (;) на визуально идентичный символ вопроса в греческом алфавите (;) превращает отладку программы в кошмар из-за того, что компилятор начинает указывать на ошибки в, на первый взгляд, корректных участках кода. Таблицы Unicode содержат множество омоглифов — похожих по начертанию символов. Подобные символы-двойники присутствуют для пробела, восклицательного знака, кавычек, запятых, тире, математических операций, некоторых цифр и различных букв. После обработки утилитой … Читать далее Mimic

Состоялся релиз Supertuxkart 0.9.1, свободной гоночной игры с большим количеством картов, трасс и возможностей. Код игры распространяется в рамках лицензии GPL v3. Бинарные сборки доступны для Linux, Windows и OS X. В состав нового выпуска включен новый трек ‘Carnaval del cacao’, который ранее был доступен в подарочном наборе, подготовленном для перечисливших пожертвования. Внесены улучшения в ранее доступные треки, в которых появилась поддержка возможностей нового игрового движка, в том числе расширен классический трек Oliver’s Math Class. Улучшена работа движка симуляции физических процессов. Значительно улучшена обработка звука. Представлена поддержка включения в треки скриптов с реализацией дополнительной динамики. Например, через скрипты в треке … Читать далее Релиз свободной гоночной игры SuperTuxKart 0.9.1