Loading...
Normal, Gallery, Tree

Сетевой режим активирован

119 posts to bumplimit
Все рыбы уплыли сквозь открытую сеть в >>81702
>>82786
Внезапная перемога.
Копипастота!
Replies: >>82793
>>82791
???
Replies: >>82800
Группа исследователей из Амстердамского и Кипрского университетов разработала метод атаки, позволяющий удалённо эксплуатировать уязвимость RowHammer в чипах памяти DRAM и добиться изменения содержимого отдельных битов в ОЗУ через манипуляцию с сетевыми пакетами, отправляемыми на целевую систему по локальной сети. Проблема RowHammer была выявлена в 2012 году, но до сих пор остаётся актуальной в виду трудности устранения уязвимости на аппаратном уровне. Вариант атаки с использованием сетевых адаптеров получил название "Throwhammer".
Пользователи Ubuntu обратили внимание на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb, в частности проблема присутствует в пакете hextris.
>>82793
Эти треды, очевидно же.
Состоялся релиз независимого легковесного Linux-дистрибутива CRUX 3.4, развиваемого с 2001 года в соответствии с концепцией KISS (Keep It Simple, Stupid) и ориентированного на опытных пользователей. Целью проекта является создание простого и прозрачного для пользователей дистрибутива, основанного на BSD-подобных скриптах инициализации, имеющего максимально упрощённую структуру и содержащего относительно небольшое число готовых бинарных пакетов. CRUX поддерживает систему портов, позволяющую легко устанавливать и обновлять приложения в стиле FreeBSD/Gentoo. Размер iso-образа, подготовленного для архитектуры x86-64, составляет 777 Мб.
Сформирован первый бета-выпуск FreeBSD 11.2. Выпуск FreeBSD 11.2-BETA1 доступен для архитектур amd64, i386, powerpc, powerpc64, sparc64, aarch64 и armv6 (BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, RPI-B, RPI2, PANDABOARD, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 11.2 запланирован на 27 июня.
Представлен релиз двухпанельного файлового менеджера Кrusader 2.7.0, построенного с использованием Qt5, технологий KDE и библиотек KDE Frameworks 5. В Кrusader имеется поддержка архивов (ace, arj, bzip2, gzip, iso, lha, rar, rpm, tar, zip, 7zip), проверки контрольных сумм (md5, sha1, sha256-512, crc и т.п.), обращения к внешним ресурсам (FTP, SAMBA, SFTP, SCP) и функции массового переименования по маске. Присутствуют встроенные менеджер для монтирования разделов, эмулятор терминала, текстовый редактор и просмотрщик содержимого файлов. В интерфейсе поддерживаются вкладки, закладки, инструменты для сравнения и синхронизации содержимого каталогов.
Replies: >>82812
>>82811
Закопать!
Replies: >>82829
Себастьян Шинцель (Sebastian Schinzel), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN), предупредил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на шифровании с использованием PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе шифрованных писем отправленных ранее. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC).
>>82812
Чойта мы вдруг на тебя работать будем? Сам закапывайся.
Replies: >>82832
>>82829
Но я не крестоносец.
Replies: >>82853
>>82832
Не доказано.
Исследователи раскрыли (PDF) детали уязвимости системах шифрования электронной почты, не дожидаясь намеченного времени публикации. В целом, предположения разработчиков GnuGP оказались верными, а предупреждение о критичности слишком преувеличенными. Предложено два варианта проведения атаки.
Разработчики проекта openSUSE представили транзакционные обновления (Transactional Updates), новую значительную возможность дистрибутива, которая будет предложена в выпуске openSUSE Leap 15, намеченном на 25 мая. Транзакционные обновления позволяют обновить операционную систему и связанные с ней пакеты в атомарном режиме, без раздельного применения новой версии каждого пакета.
Прошли очередные полгода и проект Repology, в рамках которого регулярно собирается и сравнивается информация о версиях пакетов во множестве репозиториев, публикует очередной отчёт.
В скрипте интеграции с NetworkManager, входящем в состав пакета dhcp-client, предлагаемого в Red Hat Enterprise Linux и Fedora, выявлена критическая уязвимость (CVE-2018-1111), которая позволяет удалённо выполнить код с правами root. Проблема может быть эксплуатирована при обработки специально оформленного DHCP-ответа в системах c NetworkManager, настроенной на получение конфигурации сети через протокол DHCP.
В файловый менеджер Nautilus принято изменение, запрещающее запуск исполняемых файлов и приложений. Двойной клик на пиктограмме приложения теперь не будет приводить к запуску. По мнению разработчиков, после того как в прошлом году из GNOME была убрана возможность размещения пиктограмм на рабочем столе, функция запуска программ через Nautilus потеряла смысл, так как она в основном применялась для запуска приложений и desktop-файлов с рабочего стола.
Фонд Свободного ПО представил программатор Zerocat Chipflasher "board-edition-1", получивший сертификат "Respect Your Freedom", который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Основным назначением Zerocat Chipflasher является перепрошивка устройств для замены проприетарных компонентов на свободные аналоги. В том числе Chipflasher подходит для замены проприетарных загрузчиков и прошивок в ноутбуках, на свободное ПО, такое как Libreboot.
После четырёх лет разработки представлен первый стабильный релиз операционной системы AsteroidOS, предназначенной для использования на портативных носимых устройствах, таких как умные часы. Сборки подготовлены для устройств Asus Zenwatch 1/2/3, LG G Watch.
Компания Canonical официально прокомментировала недавний инцидент, связанный с выявлением в Ubuntu Snap Store двух вредоносных пакетов, осуществляющих скрытый майнинг криптовалюты. В заявлении Canonical утверждается, что майнинг в приложениях в Snap Store явно не запрещён и не относится к числу незаконных операций, поэтому проблема формально сводится к появлению приложений со скрытой функциональностью и к введению пользователей в заблуждение.
Сформировано обновление операционной системы Solaris 11.3 SRU 32, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования.
Сформирован релиз дистрибутива Endless OS 3.4, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Приложения распространяются в виде самодостаточных пакетов в формате Flatpak. Размер предлагаемых загрузочных образов составляет от 1.7 до 14 ГБ.
Компания Google опубликовала корректирующее обновление Chrome 66.0.3359.181, в котором отменила представленную в ветке Chrome 66 блокировку автоматического воспроизведения звука через Web Audio API. Для тегов video и audio запрет на автовоспроизведение (свойство autoplay) контента со звуком на текущей вкладке оставлен в силе.
Разработчик пользовательского дистрибутива Korora, построенного на пакетной базе Fedora Linux, объявил о приостановке разработки на неопределённое время и прекращении формирования обновлений. Проект развивается всего одним разработчиком, который решил взять бессрочный отпуск чтобы избежать полного выгорания из-за рутины и освежить интерес к проекту. Примечательно, что в 2007 году разработка проекта уже прекращалась на три года.
Подготовлен корректирующий выпуск Firefox 60.0.1, в котором устранено несколько ошибок. Решённые проблемы.
Доступен релиз Proxmox Virtual Environment 5.2, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 611 Мб.
Сенат США проголосовал за отмену изменений, внесённых Федеральным агентством по связи (FCC) в правила соблюдения сетевого нейтралитета. За отмену проголосовало 52 сенатора, против - 47. Если число сторонников и противников сетевого нейтралитета среди законодателей примерно равно, то при опросе обычных граждан, 86% склоняются в пользу обеспечения сетевого нейтралитета.
Опубликован выпуск проекта isomorphic-git 0.13.0, в рамках которого развивается реализация Git на языке JavaScript, нацеленная на предоставление 100% переносимости с классическим Git и способная выполняться в web-браузере или в качестве модуля для платформы Node.js. Код проекта поставляется под лицензией MIT.
В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлено две уязвимости (CVE-2018-10994, CVE-2018-11101), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0, мобильные приложения проблемам не подвержены.
Компания Google сообщила о готовящихся в осенних выпусках Chrome изменениях индикации безопасности соединения. Так как общей целью является повсеместный переход на HTTPS и начиная с Chrome 68, релиз которого ожидается в июле, все открытые по HTTP страницы будут снабжены индикатором, предупреждающим об установке небезопасного соединения, то теперь нет смысла отдельно помечать HTTPS индикатором безопасного соединения.
Состоялся релиз инструментария для построения инсталляторов Calamares 3.2, не зависящего от конкретных дистрибутивов Linux. Разработчикам дистрибутивов предоставлено несколько десятков готовых модулей c реализацией различных возможностей, востребованных в инсталляторах. Код написан на языке С++, графический интерфейс основан на библиотеке Qt 5 (используется QML), для разработки модулей могут применяться языки C++ и Python. Calamares уже используется для организации установки дистрибутивов Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva и KDE neon. Проект развивается при участии сообществ KDE, Fedora, Kubuntu и Maui.
После почти двух лет разработки состоялся релиз текстового редактора Vim 8.1, который отнесён к категории незначительных выпусков, в котором устранены накопившиеся ошибки и предложены единичные новшества.
Replies: >>83044
>>83040
Воистину, нет редактора кроме вима, и :wq пророк его!
В Web API, предоставляемом сервисом LocationSmart, выявлена уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как AT&T, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus.
Уилл Кук (Will Cooke), менеджер по разработке десктоп-систем в компании Canonical, опубликовал предварительный план развития рабочего стола в осеннем выпуске Ubuntu 18.10. Среди планируемых новшеств отмечены.
Разработчики из компании Google представили вторую версию коммуникационного протокола Git, который используется для обмена данными при удалённом подключении клиента к Git-серверу. При подготовке второй версии основное внимание было уделено повышению эффективности обмена данными, оптимизации для работы поверх HTTP и решению проблемы с расширяемостью. Реализация нового протокола уже принята в основной состав Git и ожидается в версии Git 2.18.
Компания Qualys опубликовала результаты аудита набора procps-ng, включающего библиотеку libprocps и утилиты для работы с псевдофайловой системы /proc (например, в состав входят такие утилиты free, kill, pgrep, pmap, ps, sysctl, top, uptime, vmstat, w и watch). В ходе исследования выявлено 7 уязвимостей, из которых две могут привести к повышению своих привилегий в системе, а одна позволяет скрывать непривилегированные процессы. Проблемы пока остаются неисправленными в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE).
Представлен двадцать третий альфа-выпуск свободной игры 0 A.D., которая представляет собой стратегию реального времени с качественной 3D-графикой и игровым процессом во многом похожим на игры серии "Age of Empires". Исходные тексты игры были открыты компанией Wildfire Games под лицензией GPL после 9 лет разработки в качестве проприетарного продукта. Сборка игры доступна для Linux (Ubuntu, Gentoo, Debian, openSUSE, Fedora и Arch Linux), FreeBSD, OpenBSD, macOS и Windows. Текущая версия поддерживает сетевую игру и однопользовательскую игру с ботами на заранее смоделированных, либо динамически создаваемых картах. Игра охватывает более десяти цивилизаций, существовавших в диапазоне с 500 года до нашей эры до 500 года нашей эры.
Разработчики дистрибутива Lubuntu сообщили о решении окончательно перейти на окружение рабочего стола LXQt (Qt Lightweight Desktop Environment), развиваемое объединённой командой разработчиков проектов LXDE, Razor-qt и Hawaii. Выпуск Lubuntu 18.10 выйдет официально с LXQt.
Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.13, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 июня.
Опубликован релиз проекта CoreBoot 4.8, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие 124 разработчика, которые подготовили 1198 изменений.
После двух месяцев разработки опубликован релиз свободной реализации OpenGL API - Mesa 18.1. Первый выпуск ветки Mesa 18.1.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 18.1.1.
Доступен релиз консольного почтового клиента Mutt 1.10.0, в котором представлено несколько заметных изменений.
Представлен новый выпуск графического редактора GIMP 2.10.2, который в основном носит корректирующий характер и устраняет 44 проблемы, выявленные в релизе GIMP 2.10. Кроме исправления ошибок в новой версии также представлено несколько новшеств.
Организация Software Freedom Conservancy сообщила об успешном урегулировании вопроса по соблюдению компанией Tesla условий лицензии GPL. Первые замечания о нарушении лицензии GPL в информационных системах автомобилей Tesla, в которых активно используется Linux и открытое ПО, были направлены ещё в 2013 году, но только сейчас дело сдвинулось с мёртвой точки и компания начала открытие исходных текстов системных компонентов, в которых используется свободное программное обеспечение, распространяемое под копилефт лицензиями, требующими открытия кода производных работ.
Сформирован второй бета-выпуск FreeBSD 11.2. Выпуск FreeBSD 11.2-BETA2 доступен для архитектур amd64, i386, powerpc, powerpc64, sparc64, aarch64 и armv6 (BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, RPI-B, RPI2, PANDABOARD, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 11.2 запланирован на 27 июня.
Разработчики Kubutnu решили отказаться от формирования 32-разрядных сборок (kubuntu-*-desktop-i386.iso). Публикация 32-разрядных сборок будет прекращена начиная с выпуска Kubutnu 18.10, для загрузки будут предлагаться только сборки для архитектуры x86_64. Поддержка репозитриев с пакетами для архитектуры i386 пока будет сохранена, но в отдалённой перспективе их сопровождение находится под вопросом. Для новых установок рекомендуется использовать iso-образы LTS-выпуска Kubutnu 18.04, поддержка которого составит 3 года (в отличие от Ubuntu, который поддерживается 5 лет). Из планов на будущее отмечается рассмотрение возможности создание сборок для архитектуры ARM, в частности для плат Raspberry Pi и компактных ARM-нетбуков.
Replies: >>83188
>>83186
>Kubutnu
Состоялся релиз дистрибутива Parrot 4.0, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены два варианта iso-образов: полный (3.7 Гб) и сокращённый (1.8 Гб).
Представлен релиз пользовательского окружения LXQt 0.13 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu, Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux.
Компания Intel раскрыла информацию о двух новых уязвимостях в механизме спекулятивного выполнения инструкций. Для полного устранения проблем требуется установка обновления микрокода и внесение изменений на стороне операционной системы. Бета-версия обновления микрокода Intel пока предоставлена только OEM-производителям. Для ядра Linux уже предложены необходимые патчи (защита действует только при обновлённом микрокоде). Обновления пакетов с ядром сформированы для RHEL и Ubuntu, и ожидаются для Debian и SUSE. По предварительной оценке исправление проблем приведёт к снижению производительности на 2-8%.
После полугода разработки представлен релиз кроссплатформенного фреймворка Qt 5.11. Исходные тексты компонентов Qt поставляются под лицензиями LGPLv3 и GPLv2, инструменты Qt для разработчиков, такие как Qt Creator и qmake, а также некоторые модули поставляются под лицензией GPLv3.
Replies: >>83306
>>83304
Однозначный торт, надо ставить.
Состоялся первый выпуск проекта Kata Containers, в рамках которого развивается стек для организации выполнения контейнеров с использованием изоляции на базе полноценных механизмов виртуализации, созданный компаниями Intel и Hyper путём объединения технологий Clear Containers и runV. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Развитие проекта курирует рабочая группа, созданная под эгидой независимой организации OpenStack Foundation, в которой участвуют такие компании, как Canonical, China Mobile, Dell/EMC, EasyStack, Google, Huawei, NetApp, Red Hat, SUSE и ZTE.
Компания Qualcomm передала музею компьютерной истории исходные тексты, торговую марку, домены eudora.com/eudora.org и все права на один из старейших почтовых клиентов Eudora (первый релиз был выпущен в 1988) переданы. Музей также получил право перелицензировать код и опубликовать его под лицензией BSD. Перед публикацией код очищен от использования обсценной лексики в комментариях и сторонних проприетарных компонентов, на которые у Qualcomm нет прав.
Доступен выпуск инструментария Tor 0.3.3.6, используемого для организации работы анонимной сети Tor. Tor 0.3.3.6 признан первым стабильным выпуском ветки 0.3.3, которая развивалась последние пять месяцев. Новая ветка примечательна появлением поддержки встраивания Tor в другие приложения и поставкой первого полнофункционального модуля на языке Rust.
Проект Wine представил первый релиз пакета vkd3d, предоставляющего реализацию Direct3D 12, работающую через трансляцию вызовов в API Vulkan. В состав пакета входят базовые библиотеки libvkd3d с реализаций Direct3D 12, libvkd3d-shader c транслятором 4 и 5 модели шейдеров, libvkd3d-utils с функциями для упрощения портирования приложений Direct3D 12 и набор демонстрационных примеров, включая порт glxgears на Direct3D 12. Код проекта распространяется под лицензией LGPLv2.1.
Проект CentOS представил выпуск минималистичной операционной системы CentOS Atomic Host 7.1804, которая поставляется в форме монолитного целиком обновляемого образа и предоставляет базовое окружение, которое содержит только минимальный набор компонентов (systemd, journald, docker, rpm-OSTree, geard и т.п.), необходимых для запуска и управления изолированными контейнерами Docker. Все пакеты, обеспечивающие работу конечных приложений, поставляются непосредственно в составе контейнеров, а хост-система не содержит ничего лишнего.
Разработчики рабочего стола Budgie приняли решение о возвращении к работе под эгидой проекта Solus и сообщили о намерении повторно рассмотреть все ранее принятые кардинальные решения, связанные с миграцией с GTK+ и библиотек GNOME на Qt, в том числе будет рассмотрена возможность применения Wayland и GTK+4.
Неизвестный злоумышленник, обладающий доступом к огромным вычислительным ресурсам, сумел воплотить в жизнь атаку по двойной трате средств (double spend attack) для криптовалюты Bitcoin Gold (не путать с Bitcoin), занимающей 18 место в рейтинге криптовалют (размер капитализации Bitcoin Gold на момент атаки составлял 827 млн долларов). На связанном с атакой кошельке в настоящее время находится.
Компания Cisco сообщила о выявлении вредоносного ПО VPNFilter, поразившего более 500 тысяч домашних и офисных маршрутизаторов, NAS и точек доступа. Благодаря модульной организации вредоносного ПО, оно может поражать различные модели устройств производства Linksys, MikroTik, Netgear, TP-Link и QNAP. После внедрения вредоносное ПО подключает устройство к ботнету, обрабатывает поступающие извне управляющие команды и может выполнять такие действия как вылавливание параметров аутентификации из транзитного трафика, проведение атак на другие устройства и запуск прокси для запутывания следов при совершении целевых атак.
Консорциум ISC опубликовал новую ветку DNS-сервера BIND 9.13. Прошлая ветка 9.12 была выпущена в январе и на её подготовку было потрачено два года. Столь существенное сокращение сроков между значительными номерами версий обусловлено переходом проекта на новую схему нумерации версий. Нечётные номера релизов отныне будут присваиваться экспериментальным веткам, в которых будут развиваться функциональность для будущих стабильных веток, имеющих чётный номер выпуска.
Сформировано обновление iso-образов и шаблонов контейнеров OpenVZ стабильной ветки Openwall GNU/*/Linux (Owl) 3.1-stable. По сравнению с прошлым обновлением iso-образов, выпущенным в августе 2016 года, в состав нового выпуска включены накопившиеся обновления с устранением уязвимостей, в том числе исправлены уязвимости в ядре Linux, glibc, openssl, procps-ng, db4, openssh, bind и gnupg. Также обновлены шаблоны контейнеров для OpenVZ и сборки находящейся в разработке ветки Owl-current, которая последние несколько лет не развивается и находится в состоянии сопровождения (устраняются только критические уязвимости).
После десяти месяцев разработки состоялся релиз дистрибутива openSUSE Leap 15. Для загрузки доступна универсальная DVD-сборка, размером 4.7 Гб, а также Live-сборки с KDE (859 Мб) и GNOME (909 Мб). Репозиторий openSUSE Leap 15 насчитывает около 10 тысяч пакетов, из которых более 1500 импортированы из SUSE Linux Enterprise.
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.9. С момента выпуска версии 3.8 было закрыто 33 отчёта об ошибках и внесено 230 изменений.
Организация GNOME Foundation сообщила о появлении анонимного благотворителя, который намерен в следующие два года пожертвовать на развитие GNOME до миллиона долларов США. GNOME Foundation планирует использовать данные средства для увеличения персонала с целью оптимизации работы и расширения поддержки проекта и связанной с ним экосистемы. Детальное описание областей, в которые планируется вложить полученные средства, будет представлено в ближайшие недели.
Группа исследователей из Общества имени Фраунгофера разработали технику атаки SEVered, позволяющую обойти механизм защиты AMD Secure Encrypted Virtualization (AMD SEV) и получить полный доступ к зашифрованному содержимому памяти виртуальной машины, защищённой при помощи SEV.
Компьютерная группа реагирования на чрезвычайные ситуации (CERT) опубликовала окружение для анализа сетевого трафика Tapioca 2.0, созданное с целью изучения стойкости приложений против MITM-атак, проверки поддержки современных криптографических стандартов и анализа общей сетевой активности приложения для выявления скрытых коммуникаций. Например, Tapioca может применяться для тестирования мобильных приложений на предмет корректной проверки SSL-сертификатов и изучения реакции в случае их подмены. Код проекта написан на языке Python и распространяется под лицензией BSD.
На конференции openSUSE Conference 2018 объявлено о создании форка платформы для управления инфраструктурой Linux-серверов Spacewalk, который будет развиваться независимым сообществом в рамках новообразованного проекта.
Марк Реинхольд (Mark Reinhold), главный архитектор платформы Java, считает, что добавление в 1997 году в язык Java поддержки сериализации объектов было страшной ошибкой, которую приходится расхлёбывать в виде всё вновь и вновь всплывающих критических уязвимостей в различных продуктах на Java. По мнению Реинхольда от трети до половины всех уязвимостей в Java-проектах связаны с сериализацией, которая в силу простоты применения для решения многих задач провоцирует разработчиков на необдуманное использование.
Группа исследователей из Колумбийского университета представила на конференции SIGGRAPH 2018 технику FontCode для встраивания в текст скрытых сообщений, закодированных внутри применяемых для вывода текста глифов шрифта. Данные кодируются через внесение контролируемых искажений в параметры отрисовки символов векторного шрифта (незначительно изменяется наклон линий и радиус кривых).
В Firefox 63 запланировано расширение возможностей системы блокирования отслеживания перемещений, по умолчанию предлагаемой в режиме "инкогнито". Помимо блокирования внешних JavaScript-скриптов, изображений и iframe-страниц с сайтов, занесённых в чёрный список disconnect.me, будут добавлены средства для противодействия скриптам для майнинга криптовалют и скриптам, применяемым для идентификации пользователя. Как правило, JavaScript-скрипты для майнинга криптовалют внедряются на сайты в результате взломов или как метод монетизации, и приводят к существенному увеличению нагрузки на процессор в системе пользователя.
Доступен выпуск рабочего стола Jade 0.6, написанного с использованием языка Python и web-технологий. Проектом реализуется принципиально иная концепция рабочего стола, предлагающая собственное представление об организации взаимодействия с пользователем, напоминающее работу в браузере.
После года разработки и семи предварительных выпусков сформирован первый стабильный релиз новой ветки СУБД MariaDB 10.2, в рамках которой развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с полностью открытым и прозрачным процессом разработки, не зависящим от отдельных вендоров. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL, SUSE, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.
Продолжается развитие свободного проекта DragonBox Pyra, нацеленного на создание миниатюрного гибрида ноутбука и игровой консоли на процессоре ARM (OMAP5432). Устройство развивается в соответствии с требованиями проводимой Фондом СПО сертификации "Respects Your Freedom", т.е. поставляется только со свободными драйверами и прошивками, предоставляет пользователю полный контроль за оборудованием и возможность замены прошивок, предлагает по умолчанию полностью свободный GNU/Linux дистрибутив. Разработку ведут те же люди, которые сейчас продают аналогичный свободное устройство Pandora.
Проект GNU опубликовал релиз текстового редактора GNU Emacs 26.1. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года.
Компания Huawei прекращает предоставление кодов для разблокировки загрузчика для Android-устройств, выводимых на рынок после 25 мая. Для уже выпускаемых моделей коды разблокировки загрузчика будут выдаваться ещё в течение 60 дней, после чего работа сервиса будет остановлена. В качестве причины называется желание защитить пользователей от потенциальных проблем, возникающих из-за замены прошивок, таких как возникновение системных сбоев, снижение эффективности работы от аккумулятора и риски компрометации данных.
Организация The NetBSD Foundation оплатила проведение аудита безопасности сетевого стека, который после пяти месяцев работы находится на заключительном этапе. В кодовую базу NetBSD внесены сотни исправлений, направленных на улучшение качества кода и устранение выявленных в ходе аудита проблем, в том числе удалённо эксплуатируемых уязвимостей. Опубликован первый отчёт о выявленных уязвимостях, многие из которых не специфичны для NetBSD и проявляются в других BSD-системах.
Организация The NetBSD Foundation оплатила проведение аудита безопасности сетевого стека, работа по выполнению которого после пяти месяцев работы находится на заключительном этапе. В кодовую базу NetBSD внесены сотни исправлений, направленных на улучшение качества кода и устранение выявленных в ходе аудита проблем, в том числе удалённо эксплуатируемых уязвимостей. Опубликован первый отчёт о выявленных уязвимостях, большинство из которых не специфичны для NetBSD и проявляются в других BSD-системах.
Компания Intel представила проект NLP Architect, в рамках которого открыты наработки в области применения методов глубинного машинного обучения для обработки и распознавание смысла информации на естественном языке (NLP/NLU, Natural Language.
Сервис BGPMon зафиксировал попытку подстановки фиктивного BGP-маршрута для перенаправления трафика подсети 1.1.1.0/24, в которой находится недавно запущенный компанией Cloudflare общедоступный DNS-сервер с поддержкой "DNS over TLS". Трафик был направлен в автономную систему 58879, анонсировавшую префикс 1.1.1.0/24 для своей сети.
Replies: >>83998
Представлены корректирующие выпуски всех поддерживаемых веток системы управления исходными текстами Git (2.17.1, 2.13.7, 2.14.4, 2.15.2, 2.16.4), в которых устранены две уязвимости.
Изменения в настройках сервера репозитория NPM привели к неработоспособности сервиса. Проблему усложняло то, что столкнувшиеся с проблемой пользователи были введены в заблуждение странным кодом и сообщением об ошибке "ERR! 418 I'm a teapot", который возвращался в ответ на попытки обновления или установки пакета. При этом страница status.npmjs.org показывала, что все подсистемы отвечают и работают в штатном режиме, а откат на прошлую версию NPM на стороне клиента не решал проблемы.
>>83964
Не успели выкатить фичу – уже взломано.
Компания Google представила релиз web-браузера Chrome 67. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.
Replies: >>84000
>>83999
>opennet
>делать отдельную новость для релиза закрытого форка хромиума
Представлен релиз языка программирования Groovy 2.5, который с 2015 года развивается под эгидой Фонда Apache. Язык Groovy заимствовал некоторые полезные качества Ruby, Haskell и Python, но создан для работы внутри виртуальной машины Java (JVM) и поддерживает тесную интеграцию с Java-приложениями. За годы существования Groovy вокруг данного языка сформировалась экосистема из связанных проектов, таких как MVC web-фреймворк Grails, swing-ориентированный фреймворк Griffon, системы сборки Gant и Gradle, инструментарий для интеграции с Google App Engine - Gaelyk, система параллельного программирования Gpars, тестовый комплект Spock, инструменты для контроля качества CodeNarc и GMetrics.
Replies: >>84035
>>84034
Дохлое говно для дохлого градла.
Фонд Свободного ПО объявил о присвоении устройству Minifree Libreboot X200 (гибрид ноутбука и планшета) сертификата соответствия требованиям обеспечения приватности и свободы пользователей, выдаваемый в рамках инициативы "Respect Your Freedom". Планшет является вариантом выпускаемой с 2010 года серийной модели Lenovo ThinkPad X200 Tablet, который поставляется с полностью свободным дистрибутивом Trisquel GNU/Linux и прошивкой Libreboot (полностью свободный вариант Coreboot) вместо штатного BIOS.
Проект Nebulet развивает микроядро, способное выполнять модули на WebAssembly, разработанном для браузеров универсальном низкоуровневом промежуточном коде, который может быть скомпилирован из различных языков программирования. Более того, модули WebAssembly могут выполняться с правами нулевого кольца защиты процессора (ring 0) в одном адресном пространстве с ядром, вместо традиционного для непривилегированного кода третьего кольца. Проект написан на языке Rust и поставляется под лицензией MIT.
Организация GNOME Foundation объявила о завершении перехода проекта на использование платформы совместной разработки GitLab. По мнению представителей GNOME подобный шаг позволит увеличить эффективность процесса разработки, привлечь новых участников и усилить сотрудничество с другими проектами.
В ветку linux-next, на основе которой формируется начинка будущего ядра Linux 4.18, приняты патчи c реализацией нового пакетного фильтра bpfilter, который развивается командой проекта NetFilter и в отдалённой перспективе может вытеснить ныне предлагаемые инструменты фильтрации пакетов nftables и iptables.
Replies: >>84081
>>84080
>мы сделаем nftables потому что iptables плохой и неудобный
>мы сделаем bpfilter потому что nftables плохой и неудобный
Леннарт напрягся.
Компания Яндекс опубликовала исходные тексты специализированного прокси-сервераOdyssey, предназначенного поддержания пула открытых соединений к СУБД PostgreSQL и организации маршрутизации запросов. Приложение построено с использование изощрённой многопоточной архитектуры, базирующейся на движке сопрограмм machinarium, позволяющем создавать приложения для обработки событий в асинхронном режиме с использованием традиционных методов процедурного программирования без применения callback-вызовов. Код написан на языке Си и распространяется под лицензией BSD.
Подошёл к концу срок сопровождения LTS-ветки дистрибутива Debian 7 Wheezy, сформированного в 2013 году. Напомним, что в рамках инициативы по применению расширенной поддержки (LTS), время выпуска связанных с безопасностью обновлений было продлено для Debian 7 с 31 мая 2016 года до 31 мая 2018 года, таким образом, общий срок выпуска обновлений составил 5 лет.
Разработчики GIMP сообщили о переходе на предоставляемую проектом GNOME инфраструктуру совместной разработки на основе платформы Gitlab. Кроме GIMP на GitLab также переведена разработка библиотек GEGL и babl.
Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 2.2.0. Сборки подготовлены для устройств Jolla 1, Jolla C и Sony Xperia X, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт через неделю).
Гао Сян (Gao Xiang) из компании Huawei представил в списке рассылки разработчиков ядра Linux новую файловую систему EROFS (Extendable Read-Only File System), разработанную для использования на носителях, доступных в режиме только для чтения. В Huawei ФС EROFS рассчитывают использовать на монтируемых в режиме только для чтения разделов платформы Android.
По сведениям издания Business Insider, полученным из неофициальных источников, Microsoft и GitHub обсуждают возможность продажи сервиса. Отмечается, что последние годы представители Microsoft и GitHub уже безуспешно общались по вопросам продажи, но несколько недель назад начались более серьёзные переговоры. В качестве ориентировочной стоимости упоминается сумма в 5 миллиардов долларов (в 2015 году GitHub оценивался в 2 миллиарда) и пока не ясно, согласится ли на такую цену Microsoft.
Компания Autodesk подготовила вариант системы автоматизированного проектирования AutoCAD, скомпилированный в промежуточный код WebAssembly для выполнения web-браузерах. На сайте проекта заявлено, что поддерживается только работа в Chrome на платформах Windows и macOS, но, судя по отзывам пользователей, данное ограничение искусственное и WebAssembly-сборка AutoCAD прекрасно работает в браузерах под Linux после смены User Agent на идентификатор браузера Chrome для Windows или macOS.
Опубликована новая версия HTTP-сервера H2O 2.2.5. H2O относится к новому поколению высокопроизводительных HTTP-серверов и обеспечивает полную поддержку HTTP/2, TLS, приоритизации трафика и технологии Server Push. Код проекта распространяется под лицензией MIT.
Сформирован кандидат в релизы FreeBSD 11.2. Выпуск FreeBSD 11.2-RC1 доступен для архитектур amd64, i386, powerpc, powerpc64, sparc64, aarch64 и armv6 (BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, RPI-B, RPI2, PANDABOARD, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 11.2 запланирован на 27 июня.
Доступен девятый кандидат в релизы свободного web-браузера Otter, нацеленного на воссоздание классического интерфейса Opera 12, независимого от конкретных браузерных движков и ориентированного на продвинутых пользователей, не принимающих тенденции по упрощению интерфейса и сокращению возможностей кастомизации. Браузер написан на языке C++ с использованием библиотеки Qt5 (без QML). Исходные тексты доступны под лицензией GPLv3.
Подготовлены новые сборки BlackArch Linux, специализированного дистрибутива для исследований в области безопасности и изучения защищённости систем. Дистрибутив построен на пакетной базе Arch Linux и включает около 2000 связанных с безопасностью утилит. Поддерживаемый проектом репозиторий пакетов совместим с Arch Linux и может использоваться в обычных установках Arch Linux.
Разработчики Tor и Mozilla основали совместный проект Fusion, нацеленный на интеграцию поддержки Tor в Firefox. У разработчиков уже имеется давний опыт сотрудничества, в рамках которого в Firefox из Tor Browser переносились некоторые изменения, связанные с усилением защиты и обеспечением приватности (например, усилена изоляция процессов и добавлена защита от идентификации конкретного экземпляра браузера). Целью данного сотрудничества было в основном упрощение сопровождения кодовой базы Tor Browser за счёт снижения различий в кодовых базах и увеличение защищённости Firеfox.
Состоялся релиз открытого проекта OpenDUNE, в рамках которой предпринята попытка воссоздать игру Dune II с использованием современных технологий. Код написан на языке Си и распространяется под лицензией GPLv2. Для запуска требуются оригинальные файлы с ресурсами от игры Dune2 1.07.
Исследователи из компании Imperva проанализировали состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 6379 в сервисе Shodan выявило 72 тысячи принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как правило выполняющим майнинг криптовалют.
Разработчики операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows, сообщили о достижении возможности собственной пересборки. Из Live-обкружения ReactOS теперь можно собрать полностью работоспособную сборку ReactOS, без применения сборочного окружения на базе другой ОС. Последним недостающим для самодостаточной пересборки компонентом стала реализация qsort, которая была портирована из FreeBSD.
Компания Huawei раскрыла информацию о нескольких уязвимостях в своих серверных системах. Некоторые из выявленных проблем позволяют получить доступ к оболочке BMC-контроллера без прохождения аутентификации и повысить свои привилегии в системе. Проблемы присутствуют в различных моделях серверов Huawei линейки XH, RH и CH, оснащённых чипом iBMC (Intelligent Baseboard Management Controller). iBMC предоставляет управляющий интерфейс для низкоуровневого доступа к серверу в обход операционной системы, позволяющий управлять прошивками и дисками, загрузить собственную ОС по сети, организовать работу консоли удалённого доступа. Для устранения проблем уже выпущены обновления прошивок.
Доступен выпуск консольного файлового менеджера Midnight Commander 4.8.21, распространяемого в исходных текстах под лицензией GPLv3+.
В основной состав OpenBSD принят код библиотеки libcsi (Crypto Simplified Interface), которая предоставляет упрощённый API для выполнения криптографических операций среднего уровня, востребованных в приложениях. В частности предоставляются функции обмена ключами c использованием протокола Диффи — Хеллмана. Libcsi дополняет ранее добавленную библиотеку libtls с реализацией упрощённого интерфейса для использования TLS в клиентских и серверных приложениях.
Доступен релиз видеоредактора Shotcut 18.06, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3.
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.17. Несмотря на то, что в процессе цикла разработки ядра 4.17 был преодолён рубеж в 6 млн объектов в Git, Линус решил сохранить интригу и не воспользовался данным поводом для увеличения номера значительной версии ядра, как это делалось для веток 3.x и 4.x. По ощущениям Линуса переходить на нумерацию 5.x ещё рано и скорее всего это произойдёт ко времени выпуска 4.20.
Replies: >>84458
>>84457
Ядрышкоооо, да ещё лишний код поудаляли! Красота!
Вся суть опеннетика.
По сведениям от издания Bloomberg компания Microsoft согласовала все основные вопросы, касающиеся сделки о покупке GitHub. Компании пока отказываются от комментариев, но публичные сведения о сделке планируется опубликовать в течение сегодняшнего дня.
Компания Microsoft официально объявила о заключении соглашения по покупке сервиса совместной разработки GitHub за 7.5 миллиардов долларов, что больше на 2.5 милларда долларов, чем прогнозировали аналитики. Сделку планируется завершить до конца года, после согласования с антимонопольными службами США и Евросоюза. Потенциально согласование может вызвать проблемы, так как Microsoft предлагает систему совместной разработки Visual Studio Team Services, конкурирующую с GitHub.
Мартин Флюзар (Martin Flöser) объявил о снятии с себя полномочий мэйнтейнера оконного менеджера KWin после 8 лет нахождения на этом посту, а также о прекращении активного участия в разработке (Мартин был ключевым разработчиком KWin и одним из основных создателей порта для Wayland). В качестве основной причины ухода называется потеря мотивация в связи с несогласием с изменениями, которые сообщество стремиться реализовать в KDE. Мартин считает текущий вектор развития KDE ошибочным, но не намерен вставать на пути у сообщества, которое решило, что выбран верный путь.
По данным общемирового рейтинга Net Applications, доля Firefox за год снизилась с 12.63% в июне 2017 года до 9.92% в мае 2018 года. При этом продолжают укрепляться позиции Chrome, который за год повысил своё присутствие с 60.08% до 62.85%.
Организация Apache Software Foundation объявила о присвоении Apache Traffic Control статуса первичного проекта Apache. В июле 2016 года Traffic Control был передан под покровительство фонда Apache, в котором проект находился в инкубаторе, где была проверена способность следования принципам разработки и управления, принятым в сообществе Apache и основанным на идеях меритократии. Теперь Apache Traffic Control признан готовым для самостоятельного существования, не требующего дополнительного надзора. Компоненты проекта поставляются под лицензией Apache 2.0. Большая часть кода написана на языках Perl и Go. В качестве СУБД применяется PostgreSQL.
Вместе с анонсом предстоящего выпуска macOS 10.14 "Mojave" компания Apple объявила о переводе OpenGL и OpenCL в разряд устаревших технологий. В macOS 10.14 данные графические API ещё будут поддерживаться, но с пометкой "deprecated". О сроках полного удаления OpenGL и OpenCL из macOS ничего не говорится. Разработчикам игр и приложений для работы с графикой рекомендовано перейти на использование проприетарного API Metal, доступного только для iOS, macOS и tvOS. Вместо OpenCL для вычислений на GPU предлагается применять Metal Performance Shaders.
Компания Siemens представила выпуск свободного гипервизора Jailhouse 0.9, компоненты для гостевых систем которого уже включены в состав основного ядра Linux. Гипервизор поддерживает работу на системах x86_64 с расширениями VMX+EPT или SVM+NPT (AMD-V), а также на процессорах ARMv7 (Banana Pi, NVIDIA Jetson TK1, Versatile Express с Cortex-A15 или A7) и ARMv8/ARM64 (AMD Seattle, LeMaker HiKey, NVIDIA Jetson TX1, Xilinx ZCU102 ) с расширениями для виртуализации. Код проекта распространяется под лицензией GPLv2.
Проект Mozilla объявил о расширении инициативы Test Pilot, которая предоставляет пользователям возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Для участия в программе необходимо установить специальное дополнение Test Pilot (учетная запись в системе Firefox Account при этом не обязательна), в котором будет доступен список предлагаемых для тестирования возможностей. В процессе работы Test Pilot осуществляется сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями.
Представлен первый выпуск новой основной ветки nginx 1.15, в рамках которой будет продолжено развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).
Анонсирована уязвимость Zip Slip, которая позволяет переписать или сохранить файлы за пределами базового каталога при распаковке архивов с использованием функций распаковки, предоставляемых различными библиотеками на Java, JavaScript и .NET. В анонсе достаточно много PR и заметно преувеличена степень опасности, в то время как уязвимость по сути повторяет проблемы, устранённые 10-20 лет назад в штатных утилитах распаковки архивов, перенося их на современные фреймворки.
Разработчики платформы совместной работы с Git-репозиториями GitLab, которая позволяет развернуть web-сервис управления проектом на своём подконтрольном сервере, сообщили, что отныне студенты и разработчики некоммерческого ПО под стандартными открытыми лицензиями могут бесплатно получить коммерческую версию GitLab Ultimate, в которой предоставляются некоторые расширенные возможности, отсутствующие в свободной версии. Кроме того, тем же категориям пользователей может быть открыт бесплатный доступ к платному облачному хостингу GitLab.com, соответствующий тарифному плану Gold. Как и прежде, базовая версия GitLab и базовый хостинг продолжают предоставляться под свободной лицензией без ограничений.
Год назад компания Microsoft представила открытый проект "GVFS" (Git Virtual File System) с реализацией виртуальной файловой системы для Git, что вызвало недовольство части сообщества из-за использования имени, уже применяемого проектом GNOME (GVFS - Gnome Virtual File System) для своей виртуальной ФС с 2007 года. Несколько раз в Microsoft отправлялись заявки с просьбой сменить имя, но они игнорировались компанией.
Facebook ввёл в строй собственный сервис для отслеживания степени внедрения IPv6 в различных странах. По данным предложенного сервиса в конце мая доля IPv6 трафика в США впервые преодолела отметку в 50%. Кроме США среди лидеров по степени внедрения IPv6 выделяются Бельгия (49.51%), Индия (49.36%) и Германия (39.2%). В России доля IPv6 составляет 1.53%, Китае - 0.69%, Украине - 0.26%, Белорусии - 0.01%. Общемировой уровень внедрения IPv6 оценивается в 19.75%.
Проект TrueOS (ранее PC-BSD) объявил о превращении из надстройки над FreeBSD с графическим рабочим столом в обособленную операционную систему, которую можно рассматривать как "downstream" форк FreeBSD. Помимо ранее предлагаемых окружения рабочего стола Lumina, файловой системы ZFS и системы инициализации OpenRC, начинка TrueOS будет расширена дополнительными возможностями, которые позволят рассматривать проект как свежую и инновационную ОС. В итоге планируется подготовить модульную, функциональную и качественную платформу, нацеленную на удовлетворение потребностей продвинутых пользователей и любителей кастомизации.
Подготовлен корректирующий выпуск Firefox 60.0.2, в котором устранена критическая уязвимость и исправлено несколько ошибок. Информация о критической уязвимости пока не раскрывается, в отчёте упоминается только проблема CVE-2018-6126 в библиотеке Skia, которая может привести к краху браузера из-за переполнения буфера при растеризации специально оформленных изображений в формате SVG при выключенном сглаживании.
В состав компилятора Clang, используемого для сборки базовой системы OpenBSD, интегрирован механизм защиты RETGUARD, нацеленный на усложнение выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming).
Поле шести лет разработки состоялся стабильный релиз файлового менеджера Thunar 1.8.0, развиваемого в рамках проекта Xfce. При разработке Thunar основное внимание уделяется обеспечению высокой скорости работы и отзывчивости интерфейса, в сочетании с предоставлением простого в использовании интерфейса, интуитивно понятного и избавленного от излишеств.
Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек y ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.
Компания Cloudflare продолжила развитие своего публичного DNS-сервера 1.1.1.1 и для тех кто не хочет раскрывать свой IP-адрес при обращении к DNS ввела в строй DNS-резолвер, реализованный в виде onion-сервиса для пользователей Tor. Компания также напомнила, что для DNS-сервера 1.1.1.1, а также сопутствующих сервисов "DNS over HTTPS" и "DNS over TLS", действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа.
Доствпен выпуск сервера приложений NGINX Unit 1.2, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Проект пока находится на стадии бета-тестирования и не рекомендован для промышленного использования. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе прошлого выпуска.
Компания "Базальт СПО" объявила о подготовлен нового дистрибутива "ОС АЛЬТ", адаптированного для работы на серверах «Эльбрус-4.4» и рабочих станциях «Эльбрус-401» и «Эльбрус-801». Дистрибутив основан на наработках проекта Sisyphus, в рамках которого была выполнена работа по портированию на процессоры с архитектурой «Эльбрус» системного окружения Linux и прикладных пакетов. Все компоненты дистрибутива запускаются в основном режиме процессора (в двоичных кодах «Эльбрус», а не в режиме эмуляции CPU x86), что позволило добиться более высокой производительности по сравнению с режимом бинарной трансляции.
Представлен релиз SQLite 3.24.0, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg.
Компания Google представила релиз операционной системы Chrome OS 67, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 67. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач.
Подготовлен новый выпуск php-parser, библиотеки для синтаксического разбора исходного кода на языке PHP в абстрактное синтаксическое дерево. Полностью поддерживается синтаксис PHP 5 и PHP 7, включая разбор пространств имён.
Представлен первый экспериментальный выпуск проекта libOS (HermitCore), развивающего специализированное ядро (unikernel), предоставляющее runtime для сборки самодостаточных приложений, способных работать без дополнительных прослоек поверх гипервизора. При сборке приложение связывается с библиотекой, которая самостоятельно реализует всю необходимую функциональность, не привязываясь к ядру ОС и системным библиотекам. Код проекта распространяется под лицензией BSD.
Опубликован выпуск инструментария GnuPG 2.2.8 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (CVE-2018-12020), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах.
Ресурс haveibeenpwned.com, отслеживающий факты компрометации учётных записей, опубликовал сведения о взломе сайта сообщества LinuxForums.org, который произошёл 1 мая и привёл к утечке базы пользователей, включающей имена, Email, IP-адреса и хэши паролей пользователей.
В мае компания Oracle открыла исходные тексты инструментария Java Mission Control (JMC), который ранее поставлялся только для платных подписчиков. Код был открыт под свободной лицензией UPL 1.0 (Universal Permissive License), совместимой с GPL. Как стало известно изданию InfoQ за открытием кода последовало увольнение всего персонала, ранее занимавшегося разработкой JMC и дальнейшая судьба проекта теперь целиком зависит от интереса сообщества.
Состоялся релиз системы динамической трассировки SystemTap 3.3, предоставляющий для платформы Linux средства отладки, похожие на технологию DTrace. SystemTap позволяет организовать доскональное наблюдение за работающей Linux-системой, производить сбор статистики о работе приложений, профилирование и контроль системных вызовов. Управление производится через интерфейс командной строки и специальный Си-подобный язык сценариев. Система протестирована с ядрами Linux начиная с версии 2.6.32 и заканчивая 4.18-rc0.
Увидел свет релиз дистрибутива Devuan 2.0 "ASCII", форка Debian GNU/Linux, поставляемого без системного менеджера systemd. Новая ветка примечательна переходом на пакетную базу Debian 9 "Stretch". Для загрузки подготовлены Live-сборки и установочные iso-образы для архитектур AMD64, i386 и ARM (Raspberry Pi, Banana Pi, СubieBoard, Odroid и др.). Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. Подготовлены инструменты для миграции на Devuan 2.0 с Devuan 1.0, Debian 8.x "Jessie" или Debian 9.x "Stretch".
Харальд Вельте (Harald Welte), известный разработчик ядра Linux, основатель организации gpl-violations.org и один из создателей netfilter/iptables, сообщил о возобновлении работы инициативы по выдаче свободным аппаратным и программным проектам идентификаторов устройств USB и префиксов MAC-адресов Ethernet. Изначально инициатива была запущена Харальдом в 2012 году, после чего из-за нехватки времени он делегировал работу по обработке заявок двум энтузиастам, которые через какое-то время прекратили отвечать на запросы, а сайт Openmoko перестал существовать. Теперь выдача идентификаторов возобновлена с использованием pull-запросов на GitHub.
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за раздел "staging" в ядре Linux, сообщил об удалении из ядра 4.18 кода кластерной файловой системы Lustre, которая применяется на 70% из 100 крупнейших кластеров. Код Lustre был включён в ядро пять лет назад, но с тех пор не продвинулся для перевода из экспериментальной ветки "staging" в основной состав. В качестве основных причин называется отсутствие должной активности по приведению имеющегося кода к соответствию с остальным ядром, плохая адаптация кода к изменениям в VFS, а также игнорирование проблем и периодическая публикация патчей, ломающих имеющуюся функциональность.
Суд удовлетворил иск Брюса Перенса (Bruce Perens) и взыскал возмещение судебных издержек с компании Open Source Security, которая развивает проект Grsecurity и ранее пытались отсудить у Перенса 3 млн долларов за публикацию в авторском блоге критики лицензионной политики Grsecurity. Ранее суд отклонил все претензии к Брюсу Перенсу, а теперь взыскал с Open Source Security и Брэда Спенглера (Brad Spengler, автор grsecurity) 259 тысяч долларов для покрытия расходов на юридическое сопровождение защиты. Размер выплаты сопоставим с годовым заработком компании Open Source Security, в которой работает только один сотрудник, а годовой доход составляет составляет 350 тысяч долларов.
Опубликован первый альфа-выпуск PHP 7.3. Релиз запланирован на 29 ноября.
Состоялся релиз Node-to-Node copy (NNCP), набора утилит для безопасной передачи файлов, электронной почты и команд для исполнения в режиме store-and-forward. Поддерживается работа на POSIX-совместимых операционных системах. Утилиты написаны на языке Go и распространяются под лицензией GPLv3+.
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.10. С момента выпуска версии 3.9 было закрыто 17 отчётов об ошибках и внесено 286 изменений.
Официально вступили в силу изменения правил Федерального агентства по связи США (FCC), касающиеся соблюдения сетевого нейтралитета. Отныне перестали действовать применяемые к провайдерам дополнения, запрещавшие платное повышение приоритета, блокирование доступа и ограничение скорости обращения к контенту и сервисам, распространяемым на законных основаниях. Нейтралитет был обеспечен в классификации "Title II", в рамках которой широкополосный доступ трактовался как "информационный сервис", а не "телекоммуникационный сервис", что ставило распространителей контента и операторов связи в один ранг и не допускало дискриминации одной из сторон.
В рамках проекта GitPub началась подготовка спецификации, расширяющей протокол ActivityPub средствами для объединения Git-сервисов в общую федеративную сеть. Изначально ActivityPub рассчитан на распространение контента, управление подписками и доставку уведомлений в децентрализованных социальных сетях (позволяет объединять контент социальных сетей на основе отличающихся платформ), но протокол создан с возможностью расширения и может быть легко адаптирован для организации взаимодействия между сервисами совместной разработки.
Представлен релиз пользовательской оболочки Plasma 5.13, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу нового выпуска можно через Live-сборку от проекта openSUSE и сборки от проекта KDE neon. Пакеты для различных дистрибутивов можно найти на данной странице.
Replies: >>85002
>>84999
ня!
Разногласия между основателями ставит вопрос о дальнейшей судьбе проекта Copperhead OS, в рамках которого развивается ответвление от мобильной платформы Android, включающее дополнительные средства защиты от различных классов атак и обеспечения неприкосновенности данных пользователя. Джеймс Дональдсон (James Donaldson), занимающий пост директора компании Copperhead, уволил Дэниела Микай (Daniel Micay), сооснователя проекта, и ограничил ему доступ к инфраструктуре.
Доступен выпуск инструментария Tor 0.3.3.7, используемого для организации работы анонимной сети Tor. В новом выпуске обеспечена совместимость с OpenSSL 1.1.1, перенесены некоторые исправления из ветки 0.3.4-alpha, добавлен IPv6-адрес для сервере директорий "dannenberg" и обновлены базы geoip и geoip6 (Maxmind GeoLite2 Country). Также несколько дней назад вышло обновление Tor Browser 7.5.5, в котором устранена уязвимость, выявленная в кодовой базе Firefox, и удалён код транспорта amazon-meek (после блокировок Роскомнадзором Amazon и Google прекратили поддержку техники "domain fronting", которая позволяла использовать CDN для обхода блокировок, благодаря возможности обращения по HTTPS к легитимному хосту, но указания в внтури TLS-сеанса другого домена в HTTP-заголовке Host).
Представлен релиз дистрибутива NethServer 7.5, предлагающего модульное решение для быстрого развёртывания серверов в небольших офисах или на предприятиях среднего размера. Дистрибутив основан на пакетной базе CentOS 7.5 и предоставляет web-интерфейс для управления доступными серверными компонентами. Размер установочного образа 1 Гб. Для ознакомления с возможностями интерфейса предоставляется online-демонстрация. Наработки проекта распространяются под свободными лицензиями.
Alibaba, одна из крупнейших китайских IT-компаний, открыла исходные тексты распределённой системы доставки файлов Dragonfly, использующей механизмы P2P-коммуникаций для построения сети распространения контента. Система подходит для организации загрузки файлов, создания распределённых кэшей, систем доставки приложений и образов изолированных контейнеров. Код проекта написан на языках Go, Java и Python, и распространяется под лицензией Apache 2.0.
Опубликован первый выпуск проекта Qt for Python, в рамках которого подготовлен набор модулей для создания графических приложений на языке Python с использованием Qt5. Продукт Qt for Python основан на модуле PySide2 и продолжает его развитие (по сути под новым именем предлагается первый выпуск PySide с поддержкой Qt 5). В отличие от PySide новый продукт призван предоставить целостное решение для использования Qt в Python-приложениях, включающие сопутствующие сервисы, такие как оказание коммерческой технической поддержки.
Компания Intel опубликовала сведения о новой уязвимости (CVE-2018-3665) в механизме спекулятивного выполнения инструкций, которая получила кодовое название LazyPF. Проблема затрагивает только процессоры линейки Intel Core и проявляется при использовании "ленивого" (lazy) режима переключения контекста FPU при котором реальное восстановление состояния регистров производится не сразу после переключения контекста, а только при выполнении первой инструкции, которая манипулирует восстанавливаемыми регистрами. На чипах Intel Atom/Knights и CPU AMD проблема не проявляется.
В ответ на большое число жалоб о злоупотреблениях с навязыванием установки дополнений компания Google объявила об упразднении возможности установки дополнений по запросу со сторонних сайтов. Для предотвращения мошеннических действий и блокирования попыток навязывания установки непрошенных дополнений, дополнения теперь можно будет установить только после перехода на сайт Chrome Web Store. Inline-режим, позволяющий начать установку дополнений без перехода в каталог дополнений, больше поддерживаться не будет.
В каталоге Docker Hub выявлено 17 образов контейнеров, которые содержали бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.
Компания Microsoft опубликовала deb-пакет microsoft-r-open-mro-3.5.0 с инструментарием Open R (вариант языка R от Microsoft) для Debian и Ubuntu, в установочном сценарии которого обнаружена серия недопустимых оплошностей. В частности, скрипт настройки, вызываемый после установки пакета (postinstall), удаляет /bin/sh, после чего создаёт символическую ссылку /bin/sh на /bin/bash. Если в системе нет /bin/bash то /bin/sh остаётся удалённым и пользователь получает неработающее окружение.
Replies: >>85175
Разработчики из Google приурочили к 31-летию графического формата GIF публикацию утилиты gif-for-cli, которая позволяет преобразовывать анимированные GIF-файлы в форму анимированной ASCII-графики. Например, помощи данной утилиты можно организовать отображение в терминале видеозаставки в виде ASCII-графики, добавив вызов gif-for-cli в .bashrc или .profile. Код утилиты написан на языке Python и опубликован под лицензией Apache 2.0.
>>85127
Вот же микроговно!
Исследователи из компании NCC Group разработали новый метод атаки по сторонним каналам (CVE-2018-0495, PDF), позволяющий воссоздать применяемые для создания цифровых подписей закрытые ключи ECDSA и DSA, используя технику извлечения информации из процессорного кэша для оценки изменения задержки при выполнении вычислений.
Доступен выпуск strace 4.23, утилиты для диагностики и отладки программ для ОС, использующих ядро Linux. Утилита позволяет отслеживать и (начиная с версии 4.15) вмешиваться в процесс взаимодействия программы и ядра, включая происходящие системные вызовы, возникающие сигналы и изменения состояния процесса. Для своей работы strace использует механизм ptrace. Начиная с версии 4.13, формирование выпусков программы синхронизировано с выходом новых версий Linux. Код проекта распространяется под лицензией BSD.
Консорциум ISC представил релиз DHCP-сервера Kea 1.4.0, идущего на смену классическому ISC DHCP. Исходные тексты проекта распространяются под лицензией Mozilla Public License (MPL) 2.0, вместо ранее применяемой для ISC DHCP лицензии ISC License.
Разработчики криптовалюты Syscoin, капитализация которой составляет около 30 млн долларов, раскрыли сведения об инциденте с безопасностью. Неизвестный злоумышленник 9 июня получил доступ к репозиторию проекта на GitHub, после чего встроил вредоносное ПО в распространяемые проектом установочные сборки для Windows. Проблема была замечена только 13 июня. Исходные код, а также сборки для macOS и Linux не пострадали в результате атаки.
Штефан Шперлинг (Stefan Sperling), мейнтейнер стека протоколов 802.11 в OpenBSD, опубликовал, с разрешения всех вовлечённых лиц, частную переписку с Мэти Ванхофом (Mathy Vanhoef), непосредственно касающуюся скандала с анонсом уязвимости KRACK, выявленной Ванхофом в прошлом году. Из переписки следует, что проект OpenBSD в лице Штефана получил явное разрешение на коммит в «тихом» виде, т.е. без привлечения внимания до официального разглашения информации. Несмотря на приложенные усилия коммит всё же привлёк повышенное внимание специалистов по безопасности, в результате чего эмбарго было снято досрочно, а проект OpenBSD был обвинён в его, эмбарго, нарушении.
Разработчики открытой микроядерной операционной системы Genode OS Framework сформировали второй тестовый выпуск операционной системы Sculpt. В рамках проекта Sculpt на базе технологий Genode развивается операционная система общего назначения, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Для загрузки подготовлен готовый Live-образ, размером 20 Мб.
Сформировано обновление операционной системы Solaris 11.3 SRU 33, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования.
На прошедшей в Сан-Франциско конференции "All Hands 2018" среди разработчиков Mozilla состоялось обсуждение архитектуры системы для голосовой навигации в браузере. Проект находится на начальной стадии планирования и ещё не анонсирован официально, так как он пока не вышел из стадии мозгового штурма и обсуждений. В качестве основы Scout может послужить развиваемая в Mozilla открытая система распознавания речи.
В проекте yandex-disk-indicator, в рамках которого энтузиастами развивается индикатор для панелей задач различных рабочих столов, выполненный в виде обёртки над штатной консольной утилитой синхронизации yandex-disk, выявлена ошибка, из-за которой в процессе установки собранных из исходных текстов файлов осуществлялось удаление раздела /usr, если установочный скрипт был запущен по пользователем root.
Состоялся релиз системы диспетчерского управления и сбора данных OpenSCADA 0.9 LTS, предназначенной для сбора, архивирования, визуализации информации, выдачи управляющих воздействий, а также выполнения других операций, характерных для полнофункциональной SCADA-системы. Система может использоваться на промышленных объектах, во встраиваемых системах, в качестве среды исполнения (в том числе и PLC), для построения различных моделей (технологических, химических, физических, электрических процессов), на персональных компьютерах, серверах и кластерах для сбора, обработки, представления и архивации информации о системе и её окружении. Код проекта распространяется под лицензией GPLv2.
Израильская компания Ceemple Software открыла исходные тексты C++ компилятора Zapcc, основанного на наработках Clang/LLVM и отличающегося очень высокой скоростью компиляции, благодаря активному применению кэширования различных этапов сборки. Компилятор может выступать в роли прозрачной замены clang и gcc, и поддерживает интеграцию с любыми системами сборки. Исходные тексты открыты под лицензией LLVM.
Представлен релиз дистрибутива Deepin 15.6, основанного на пакетной базе Debian, но развивающего собственный рабочий стол Deepin Desktop Environment и ряд пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект развивается группой разработчиков из Китая, но поддерживает и русский язык. Все наработки распространяются под лицензией GPLv3. Размер загрузочного iso-образа 3,3 Гб (amd64).
Reply to thread #82788 to message #
>qspoilerib// scodehint
Max total file size is 28.6 MB.
Max file number is 10.
Help