Loading...
Normal, Gallery, Tree

Нетворкинг

Сетевой режим был деактивирован после атаки на >>82788
Replies: >>91053
>>86686
ШЕРЕТО
Дэниэл Бернштейн (Daniel J. Bernstein), известный эксперт в области криптографии и создания защищённого ПО, разработавший такие проекты, как qmail, djbdns, NaCl, Ed25519, Curve25519 и ChaCha20-Poly1305, опубликовал новую библиотеку djbsort с реализацией высокопроизводительного алгоритма сортировки массивов целых чисел.
В web-браузере qutebrowser, предоставляющем минимальный графический интерфейс и систему навигации в стиле Vim, выявлена уязвимость (CVE-2018-10895). Позволяющая выполнить CSRF-атаку со вставкой на страницы обращения к URL "qute://settings", что позволяет изменить настройки браузера при открытии подконтрольного атакующим сайта. В том числе атакующие могут изменить значение параметра editor.command и выполнить любой код в системе пользователя. Проблема.
Раскрыты сведения о двух новых уязвимостях в механизме спекулятивного выполнения инструкций в процессорах. Уязвимости основываются на тех же принципах, что и метод атаки Spectre 1, поэтому им присвоены кодовые имена Spectre 1.1 (CVE-2018-3693) и Spectre 1.2 (CVE пока не назначен). Наличие проблем подтверждено в процессорах Intel и ARM, подверженность уязвимостям процессоров AMD пока находится под вопросом. В рамках программы по выплате вознаграждений за выявление уязвимостей компания Intel выплатила исследователям 100 тысяч долларов.
Объявлено о включении представителей Debian в консультативный совет KDE (KDE Advisory Board), основной целью которого является информирование о потребностях различных компаний и организаций, использующих KDE в своих продуктах. Через Совет участники могут доводить до разработчиков свои пожелания и рекомендации, а также выражать точку зрения заинтересованных в продукте лиц и высказывать мнения о вводимых изменениях с позиции стороннего наблюдателя. Кроме Debian в консультативном совете представлены компании Canonical, SUSE и Blue Systems, организации OSI (Open Source Initiative), Фонд СПО, Document Foundation (LibreOffice), Qt Company и Free Software Foundation Europe.
Гвидо ван Россум (Guido van Rossum) сообщил о намерении покинуть пост великодушного пожизненного диктатора (BDFL) проекта Python и полностью отстраниться от участия в процессах принятия решений. Гвидо продолжит участие в проекте, но на позиции обычного core-разработчика и наставника. Он также не намерен назначать приемника на пост BDFL и поэтому предложил другим разработчикам обсудить возможность перехода на новую модель управления. До реструктуризации модели управления пост BDFL сохраняется, но формально Гвидо теперь находится в бессрочном отпуске.
Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен iptables 1.8.0, новый значительный релиз инструментария для управления пакетным фильтром Linux.
Администраторы репозитория NPM уведомили пользователей о компрометации пакетов eslint-scope и [[https://www.npmjs.com/package/eslint-config-eslint]], в рамках которых поставлялся популярный анализатор JavaScript-кода, насчитывающий более 2 млн загрузок в неделю.
Доступен выпуск сервера приложений NGINX Unit 1.3, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Проект пока находится на стадии бета-тестирования и не рекомендован для промышленного использования. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе прошлого выпуска.
Организация Linux Foundation объявила об образовании коалиции LF Energy, в рамках которой планируется развивать открытые проекты, связанные с энергетикой и охватывающие различные аспекты деятельности от создания адаптивных систем энергоснабжения до автоматизации процессов управления генерацией и передачей энергии. Инициативу поддержал RTE, крупнейший в Европе оператор электросетей, который передал под покровительство Linux Foundation и открыл исходные тексты трёх программных продуктов.
После семи месяцев разработки состоялся релиз свободного гипервизора Xen 4.11. По сравнению с прошлым выпуском в Xen 4.11 внесено 1206 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, AMD, Intel, Amazon, Google, Oracle, EPAM Systems, Huawei, DornerWorks и Qualcomm.
Доступно пятое корректирующее обновление дистрибутива Debian 9, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 91 обновление с устранением проблем со стабильностью и 100 обновлений с устранением уязвимостей.
Состоялся выпуск панели Latte Dock 0.8, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Plasma и требует для работы Plasma 5.12, KDE Frameworks 5.38 и Qt 5.9 или более новые выпуски. Код проекта распространяется под лицензией GPLv2. Установочные пакеты сформированы для Ubuntu, Debian, Fedora и openSUSE.
Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, входивший в координационный технический комитет Linux Foundation, опубликовал результаты анализа безопасности различных систем контейнерной изоляции, включая традиционные контейнеры Docker, недавно представленную систему Nabla, нацеленную на минимизацию выполняемых в основном ядре системных вызовов, и гибридные системы gVisor и Kata Containers с изоляцией на базе гипервизоров.
Представлен релиз набора системных утилит GNU Binutils 2.31, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, strings, strip.
Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В настоящее время расширение SNI подразумевает передачу имени хоста на стадии согласования соединения в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи.
25 лет назад, 17 июля 1993 года, Патрик Фолькердинг (Patrick Volkerding) представил первый релиз дистрибутива Slackware Linux. Slackware Linux является старейшим из ныне существующих дистрибутивов, оказавшим влияние на многие проекты. Наиболее известным ответвлением от Slackware являются SUSE Linux. Из продолжающих развитие модификаций Slackware можно отметить Salix (позиционируется как MiniSlack), Zenwalk и Absolute Linux.
В системе печати CUPS выявлено несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian и Ubuntu, но проблема не затрагивает дистрибутивы на базе RHEL).
Опубликован релиз HTTP-сервера Apache 2.4.34, в котором представлено 38 изменений, не связанных с безопасностью.
В рамках проекта rav1e разработчики из сообществ Xiph и Mozilla развивают экспериментальный кодировщик для формата кодирования видео AV1, написанный на языке Rust и отличающийся от эталонного кодировщика libaom более высокой скоростью кодирования и повышенным вниманием к обеспечению безопасности. AV1 заметно опережает x264 и libvpx-vp9 по уровню сжатия, но из-за усложнения алгоритмов предложенная реализация кодировщика требует существенно больше времени для кодирования (по скорости кодирования libaom отстаёт от libvpx-vp9 в сотни раз, а от x264 в тысячи раз). Новый вариант кодировщика на языке Rust в настоящее время обеспечивает производительность кодирования на уровне 5 кадров в секунду для видео с качеством 480p.
Сформировано обновление операционной системы Solaris 11.3 SRU 34, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования.
Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.16, в котором отмечено 3 исправления. В новой версии решены проблемы с установкой в окружении openSUSE 15.0, а также внесены различные исправления в сборки для дистрибутивов. В коде поддержки формата OVF для улучшения совместимости с другими системами обеспечен разбор значений атрибутов из манифеста без учёта регистра символов.
Группа исследователей из Техасского университета в Остине разработала новую файловую систему TxFS, предоставляющую встроенную поддержку транзакций, удовлетворяющих требованиям ACID (атомарность, согласованность, изолированность, надежность). Код ФС доступен только в виде модифицированный исходных текстов ядра Linux 3.18, патчей для других версий пока нет.
В свободный компилятор LDC, развиваемый на базе наработок проекта LLVM, добавлена поддержка компиляции кода на языке D в промежуточный код WebAssembly для выполнения в web-браузерах. Представленная возможность позволяет создавать обработчики на языке D, которые можно использовать в web-приложениях. Поддержка кросс-компиляции в WebAssembly интегрирована в тестовую версию LDC 1.11.0-beta2, опубликованную несколько дней назад.
Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 334 уязвимости, в том числе в некоторые продукты внесены исправления для блокирования новых вариантов атак Spectre.
Европейская комиссия признала применяемые компанией Google методы продвижения платформы Android нарушающими антимонопольное законодательство Евросоюза и наложила штраф в размера 4.3 миллиарда евро (5 миллиардов долларов). Это крупнейший штраф в истории подобных разбирательств. Google вменяется злоупотребление доминирующим положением платформы Android для навязывания своих поисковых сервисов и продвижения браузера Chrome в форме ущемляющей конкурирующие продукты, а создание препятствий для поставки сторонних ответвлений Android на производимых устройствах.
Представлен выпуск интегрированной среды разработки Qt Creator 4.7.0, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается как разработка классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется JavaScript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками.
Подготовлен релиз инструментария для управления изолированными Linux-контейнерами Docker 18.06, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Код Docker написан на языке Go и распространяется под лицензией Apache 2.0.
В ночные сборки Firefox, которые лягут в основу выпуска Firefox 63, в качестве временного эксперимента интегрирована система композитинга Servo WebRender, написанная на языке Rust и выносящая а плечи GPU операции отрисовки содержимого страницы. При включении WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются возможности GPU, что позволяет добиться существенного увеличения скорости отрисовки.
Опубликован релиз развиваемого проектом Qt сборочного инструментария Qbs 1.12 (Qt Build Suite), который заменит qmake в Qt 6. В отличие от qmake, Qbs не привязан к Qt и изначально рассчитан на организацию сборки любых проектов. Qbs использует упрощённый вариант языка QML для определения сценариев сборки проекта, что позволяет определять достаточно гибкие правила сборки, в которых могут подключаться внешние модули, использоваться функции на JavaScript и создаваться произвольные правила сборки.
Издание Bloomberg опубликовало официально неподтверждённую инсайдерскую информацию об обсуждении внутри компании Google возможности замены платформы Android на ОС Fuchsia для всех поставляемых под брендом Google устройств, таких как Google Pixel. На базе Fuchsia планируется сформировать единую универсальную операционную систему, способную работать на любых типах устройств, на которых сейчас используются платформы Android, Chrome OS или сборки Linux для встраиваемых устройств.
В рамках проекта ASan Nightly разработчики Mozilla начали публикацию ежедневно обновляемых сборок Firefox, собранных с AddressSanitizer для выявления проблем в процессе работы с памятью, в том числе вызванных обращением к областям памяти после их освобождения (user-after-free) и различными вариантами переполнения буферов и стека.
Разработчики проекта проекта LineageOS, пришедшего на смену CyanogenMod после отказа от проекта компании Cyanogen Inc, рассказали об улучшениях, реализованных за последние несколько месяцев.
Facebook опубликовал собственную реализацию обработчика нехватки памяти в системе (OOM, Out Of Memory), работающую в пространстве пользователя. Как и представленный в начале месяца проект earlyoom, разработка Facebook нацелена на более оперативное и выборочное завершение работы процессов, потребляющих слишком много памяти, на стадии до срабатывания OOM-обработчика ядра Linux. Код oomd написан на языке C++ и поставляется под лицензией GPLv2. Oomd уже используется в инфраструктуре Facebook и хорошо зарекомендовал себя при промышленных нагрузках.
Компании Google, Microsoft, Twitter и Facebook анонсировали совместную инициативу Data Transfer Project (DTP), в рамках которого планируют разработать набор спецификаций, моделей данных, протоколов и открытых фреймворков для организации переноса данных между провайдерами разных online-сервисов. Развиваемые в рамках проекта клиентские и серверные библиотеки, API, адаптеры переноса данных и аутентификации распространяются под лицензией Apache 2.0.
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.13. С момента выпуска версии 3.12 было закрыто 28 отчётов об ошибках и внесено 222 изменения.
Компания Microsoft анонсировала модуль Python Language Server, в который вынесены компоненты для анализа и автодополнения кода на языке Python, ранее поставляемые в составе проприетарной среды разработки Visual Studio. После завершения тестирования код модуля будет открыт под лицензий Apache 2.0. Python Language Server является обособленным компонетом и может применяться для обеспечения поддержки языка Python в любых интегрированных средах разработки, поддерживающих протокол LSP (Language Server Protocol), например, в свободных продуктах Visual Studio Code, Nuclide и Atom.
Доступен новый значительный релиз операционной системы NetBSD 8.0, в котором реализована очередная порция новых возможностей. Для загрузки подготовлены установочные образы размером 730 Мб. Релиз NetBSD 8.0 официально доступен в сборках для 58 системных архитектур и 16 различных семейств CPU.
Подготовлен первый выпуск утилиты Gitleaks, предназначенной для анализа присутствия конфиденциальных данных в заданном Git-реопзитории, случайно добавленных в результате недосмотра или ошибки настройки. Например, не редкость, когда в репозиторий попадают файлы конфигурации с паролями к СУБД или секретные ключи для доступа или создания цифровых подписей.
После более трёх лет разработки состоялся релиз многопользовательской пошаговой стратегической игры Freeciv 2.6, развиваемой под впечатлением от серии игр Civilization. В новой версии представлен полностью переписанный на Qt 5 игровой клиент, значительно улучшен набор правил civ2civ3 (игровой процесс из Civilization III с системой сражений из Civilization II), добавлен новый набор правил Sandbox для тестирования новых экспериментальных возможностей, в число возможных факторов победы добавлено развитие культурного наследия, добавлен графический интерфейс для создания собственных правил, максимальное число игроков увеличено c 126 до 150, а число городов и юнитов в одной игре с 65 до 250 тысяч.
Состоялся релиз свободной автоматизированной системы проектирования печатных плат KiCad 5.0.0. KiCad предоставляет средства для работы с шаблонами в формате Gerber, управления проектами, редактирования электрических схем и печатных плат, 3D-визуализации платы, работы с библиотекой элементов электрических цепей. Сборки подготовлены для Windows, macOS и различных дистрибутивов Linux. Код написан на C++ с использованием библиотеки wxWidgets, и распространяется под лицензией GPLv3.
Подготовлен релиз компактного Live-дистрибутива Slax 9.5. Начиная с прошлого года дистрибутив переведён с наработок проекта Slackware на пакетную базу Debian, пакетный менеджер APT и систему инициализации systemd. Графическое окружение построено на основе оконного менеджера FluxBox и рабочего стола/интерфейса запуска программ xLunch, специально разработанного для Slax участниками проекта.
В Firefox 63 планируется добавить новый режим блокирования контента, который заменит собой ранее предлагаемый режим блокирования кода для отслеживания перемещений. Новый блокировщик не будет ограничен только работой в режиме приватного просмотра и сможет включаться для отдельных сайтов. Кнопка для активации блокировки будет добавлена в основное меню и в информационную панель с параметрами безопасности сайта.
Представлен релиз операционной системы ReactOS 0.4.9, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows. Это восьмой выпуск, подготовленный после перехода проекта к более оперативному формированию релизов, которые теперь выходят не раз в год, а раз в три месяца. Операционная система находится на "альфа"-стадии разработки. Для загрузки подготовлены установочный ISO-образ (108 Мб) и Live-сборка (в zip-архиве 77 Мб). Код проекта распространяется под лицензиями GPLv2 и LGPLv2.
Replies: >>87612
Лидер проекта Pale Moon, ответвившегося от кодовой базы Firefox, пояснил позицию по поддержке XUL-дополнений. Pale Moon продолжит использование технологии XUL для разработки дополнений и не намерен поддерживать WebExtensions в каком бы то ни было виде. При этом, начиная со следующего выпуска Pale Moon 28, первого выпуска на базе платформы UXP (Unified XUL Platform), все XUL-дополнения для Firefox будут считаться неподдерживаемыми - их использование может быть продолжено, но на страх и риск пользователей.
Группа исследователей из Калифорнийского университета в Риверсайде раскрыла сведения о новой уязвимости SpectreRSB, затрагивающей механизм спекулятивного выполнения инструкций в процессорах. Уязвимость базируется на принципе восстановления данных, оставшихся в процессорном кэше в результате спекулятивного выполнения инструкций, ставшим известным под именем Spectre и позднее получившим развитие в атаках SpectrePrime, SgxPectre, BranchScope, Spectre 1.1, Spectre 1.2, LazyFP, Spectre 3a и Spectre 4.
>>87553
Кто-нибудь пробовал?
Игры уже идут?
Подготовлен выпуск основной ветки nginx 1.15.2, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).
Группа Bluetooth SIG объявила об обновлении спецификаций, в связи с выявлением уязвимости (CVE-2018-5383), затрагивающей различие реализации технологии беспроводной связи Bluetooth и позволяющей полностью контролировать обмен данных между устройствами, несмотря на применение шифрования.
Компания Google представила релиз web-браузера Chrome 68. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.
Подготовлен новый выпуск платформы для создания децентрализованных социальных сетей Hubzilla. Код проекта написан на языке PHP и распространяется под лицензией MIT.
Разработчики Mozilla приняли решение удалить из Firefox встроенный просмотрщик RSS-лент и поддержку режима Live Bookmarks, позволяющего просматривать новости по подписке в форме обновляющихся закладок. Указанные подсистемы намечены для удаления в выпусках Firefox 63 или 64, которые ожидаются в октябре или декабре нынешнего года. В Firefox 60 ESR поддержка RSS и Live Bookmarks сохранится, но в следующем ESR-выпуске данные возможности будут удалены. Имеющиеся подписки будут экспортированы в формате OPML для добавления в сторонние системы чтения новостей.
Компания Trend Micro объявила о расширении инициативы Zero Day Initiative (ZDI) и расширение списка проектов, за выявление уязвимостей в которых выплачиваются вознаграждения. За выявление ранее неизвестной уязвимости в NGINX или Apache httpd, которая может быть эксплуатирована в окружении Ubuntu Server 18.04, исследователь может получить вознаграждение в размере 200 тысяч долларов США. За уязвимости в WordPress предусмотрена награда в 35 тысяч долларов, а в.
Сформирован релиз проекта Mongoose OS 2.4, предлагающего фреймворк для разработки прошивок для устройств интернета вещей (IoT), реализованных на базе микроконтроллеров ESP32, ESP8266, CC3220, CC3200 и STM32F4. Имеются встроенная поддержка интеграции с платформами AWS IoT, Google IoT Core, Microsoft Azure, Samsung Artik, Adafruit IO, а также с любыми MQTT-серверами. Код проекта распространяется под лицензией Apache 2.0.
Проект NetBSD объявил об изменении процесса формирования и сопровождения релизов. Начиная с NetBSD 8 будет формироваться только основная ветка c последующим выпуском корректирующих обновлений. Например, сейчас актуальна ветка netbsd-8, на базе которой сформирован значительный выпуск NetBSD 8.0, а в дальнейшем будут предложены корректирующие обновления 8.1 и 8.2, вместо 8.0.1 и 8.0.2. Следующим значительным выпуском станет NetBSD 9.0, а не NetBSD 8.1.
Представлен первый корректирующий выпуск дистрибутива Ubuntu 18.04.1 LTS, в который включены обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. В новой версии также исправлены ошибки в инсталляторе и загрузчике. Релиз Ubuntu 18.04.1 ознаменовал прохождение базовой стабилизации LTS-выпуска - пользователям Ubuntu 16.04 теперь будет предложено осуществить обновление до ветки 18.04.
Группа исследователей из Грацского технического университета (Германия), ранее известная разработкой.
Replies: >>87715
>>87712
>Группа исследователей из Грацского технического университета (Германия), ранее известная разработкой.
Охуенная новость.
Подготовлено четвёртое обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемых под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer (Chatzilla, DOM Inspector и Lightning в базовый состав теперь не входят). Пакет доступен в сборках для платформ Linux, Windows и macOS.
Группа исследователей из центра EURECOM разработала технику атаки (PDF) на комбинированные аналогово-цифровые чипы (Mixed-signal) с компонентами для обеспечения беспроводной связи (WiFi, Bluetooth). Исследователям удалось разработать метод атаки по сторонним каналам, которые позволяет воссоздать ключ шифрования на основе анализа шумов, вызванных наводками в процессе вычислений. Все компоненты, необходимые для проведения атаки опубликованы на GitHub.
Доступен релиз набора Turnkey Linux 15, в рамках которого сформирована коллекция из 113 минималистичных сборок Debian, пригодных для использования в системах виртуализации и облачных окружениях (обновлено пока только 47 сборок). Средний размер каждой сборки - 300 Мб.
Разработчики блокировщика рекламы AdGuard сообщили о выявлении серии дополнений к Chrome и Firefox, а также мобильных приложений для Android и iOS, в которых скрыто осуществляется отправка сведений персонального характера и информации о посещаемых пользователем ресурсах. Все проблемные дополнения так или иначе связаны с компанией Big Star Labs и имеют аудиторию около 11 млн пользователей.
Разработчики блокировщика рекламы AdGuard сообщили о выявлении серии дополнений к Chrome и Firefox, а также мобильных приложений для Android и iOS, в которых скрыто осуществляется отправка сведений персонального характера и информации о посещаемых пользователем ресурсах. Все проблемные дополнения так или иначе связаны с компанией Big Star Labs и имеют аудиторию около 11 млн пользователей.
Спустя 9 месяцев разработки появился на свет очередной корректирубщий релиз LEDE (Linux Embedded Development Environment), дистрибутива для применения в сетевых устройствах, таких как маршрутизаторы и точки доступа. Это первый выпуск после слияния проектов OpenWrt и LEDE, продолжающий развитие ветки LEDE 17.04. Сборки подготовлены для 32 целевых платформ.
Тео де Раадт (Theo de Raadt) представил патч, активирующий дополнительную защиту при помощи нового системного вызова unveil(), который планируется включить в состав выпуска OpenBSD 6.4 и дополняет механизм ограничения доступа к системным вызовам pledge(). В настоящее время код для защиты добавлен в 37 приложений из базовой системы, активировать патч планируется когда число приложений будет доведено до 50.
Компания Google опубликовала новую утилиту embiggen-disk (не является официальным проектом Google), предназначенную для изменения размера файловой системы после изменения размера дисковых разделов, например, после увеличения размера виртуального диска для систем виртуализации. Поддерживаются файловые системы ext2, ext3, ext4, xfs и btrfs, логические и физические тома LVM (LV и PV), а также таблицы разделов MBR и GPT. Код написан на языке Go и распространяется под лицензией Apache 2.0.
В ночные сборки Firefox, на основе которых будет сформирован релиз Firefox 63, намеченный на 23 октября, принят код с реализацией видеокодека AV1. По умолчанию кодек пока отключен - для активации в about:config следует установить опцию "media.av1.enabled = true". Решение по активации данной настройки по умолчанию в Firefox 63 пока не принято и, в зависимости от готовности нового sandbox-режима, может быть перенесено на выпуск Firefox 64.
Разработчики свободной операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows, сообщили о реализации возможности загрузки с дискового раздела с файловой системой Btrfs. Если в самой ОС поддержка Btrfs на базе свободного драйвера WinBtrfs была добавлена ещё в прошлом году (также поддерживаются NTFS, FAT, Ext2, Ext3, Ext4, ReiserFS, FFS и NFS), то теперь код для доступа к содержимому разделов с Btrfs также добавлен в загрузчик Freeloader. После решения ряда всплывших в процессе разработки проблем, в том числе устранения мешавшей загрузке ошибки в VirtualBox, загрузка ReactOS с использованием Btrfs теперь работает достаточно стабильно.
Организации Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 9.0. Это первый релиз, подготовленный под эгидой Фонда Apache, после передачи кода NetBeans компанией Oracle. В настоящее время проект ещё находится в инкубаторе Apache, в котором проводится подготовка инфраструктуры, аудит лицензионной чистоты и проверка способности соблюдения принятых в сообществе Apache принципов разработки. В дальнейшем, как только проект покажет себя готовым для самостоятельного существования, не требующего дополнительного надзора, он будет переведён в число первичных проектов Apache.
Сообщество freedesktop.org, поддерживающее такие проекты, как X.Org, Wayland, D-Bus, systemd, Mesa и GStreamer, занимающееся разработкой открытых стандартов и обеспечением совместимости различных десктоп-окружений, объявило о создании новой инфраструктуры разработки (gitlab.freedesktop.org) на основе платформы GitLab.
Подготовлен выпуск дистрибутива для создания маршрутизаторов и межсетевых экранов - IPFire 2.21 Core 122. IPFire отличается предельно простым процессом установки и организацией настройки через интуитивно понятный web-интерфейс, изобилующий наглядными графиками. Размер установочного iso-образа составляет 210 Мб (x86_64, i586, ARM).
Дизайнеры из компании Mozilla предложили на суд общественности два варианта нового оформления логотипа Firefox и связанных с ним элементов брендинга.
Состоялся релиз libjpeg-turbo 2.0.0, высокопроизводительной библиотеки для кодирования и декодирования изображений в формате JPEG. Libjpeg-turbo представляет собой совместимый на уровне API/ABI форк классической библиотеки libjpeg, нацеленный на обеспечение максимальной скорости кодирования и декодирования. Кроме стандартного libjpeg API библиотека предоставляет собственный TurboJPEG API и ряд расширений с моделями представления цвета, дающих возможность сжимать изображения в 32-разрядные пиксельные буферы (RGBX, XBGR) или декодировать из них. Код распространяется под тремя BSD-подобными лицензиями IJG, модифицированой BSD и zlib, бинарные сборки подготовлены для Linux (rpm, deb), macOS и Windows.
Сформирован выпуск дистрибутива для создания межсетевых экранов OPNsense 18.7, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (250 Мб).
Представлен релиз дистрибутива OpenWrt 18.06, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов.
После шести месяцев разработки подготовлен релиз системной библиотеки GNU C Library (glibc) 2.28, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2008. В состав нового выпуска включены исправления от 58 разработчиков.
В Firefox 63 выполнение дополнений на базе WebExtensions на платформе Linux будет вынесено в отдельный процесс, по аналогии с тем как это уже сделано для Windows и macOS, начиная с выпусков Firefox 56 и Firefox 61. Выполнение в отдельном процессе позволит изолировать дополнения и снизить влияние ошибок в дополнениях на стабильность работы браузера.
Доступен одиннадцатый кандидат в релизы свободного web-браузера Otter, нацеленного на воссоздание классического интерфейса Opera 12, независимого от конкретных браузерных движков и ориентированного на продвинутых пользователей, не принимающих тенденции по упрощению интерфейса и сокращению возможностей кастомизации. Браузер написан на языке C++ с использованием библиотеки Qt5 (без QML). Исходные тексты доступны под лицензией GPLv3.
Дискуссионная площадка Reddit уведомила пользователей об инциденте, в результате которого в руки злоумышленников попала архивная база данных с хэшами паролей, адресами электронной почты и личными сообщениями пользователей сервиса.
Разработчики дистрибутива Lubuntu анонсировали изменение целей проекта. В связи с миграцией с рабочего стола LXDE на LXQt проект теперь не будет позиционироваться только как дистрибутив только для устаревшего оборудования. В качестве новой цели называется превращение в функциональный модульный дистрибутив, позволяющий пользователю рационально использовать все возможности своего компьютера.
Компания Collabora представила новый драйвер для программной отрисовки OpenGL, построенный с использованием предлагаемого в Mesa фреймворка Gallium и использующий механизмы, предоставляемые подсистемой KMS на уровне ядра Linux.
Состоялся релиз LDAP-сервера ReOpenLDAP 1.1.9 "Airborne Positive" — форка проекта OpenLDAP, с устранением массы ошибок и ряда доработок для стабильной работы репликации. Проект ориентирован на надежность и производительность при использовании в решениях с высокой нагрузкой и промышленных системах в сфере телекоммуникаций.
Для включения в основной состав ядра Linux представлены патчи с реализацией VPN-интерфейса от проекта WireGuard, который развивается последние три года, прошёл аудит криптоалгоритмов и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. До сих пор WireGuard поставлялся в виде отдельного модуля к ядру, но сейчас разработчики считают, что проект достиг готовности для включения в основное ядро. WireGuard сочетает применение проверенных современных методов шифрования с предоставлением минималистичной реализации, очень быстрой, простой в использовании и лишённой усложнений. Подробнее о проекте можно прочитать в первом анонсе.
Опубликовано финальное обновление дистрибутива Ubuntu 16.04.5 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Kubuntu 16.04.4 LTS, Xubuntu 16.04.5 LTS, Mythbuntu 16.04.5 LTS.
Журнал IEEE Spectrum, издаваемый Институтом инженеров электротехники и электроники (IEEE), опубликовал новую редакцию рейтинга популярности языков программирования. Лидером рейтинга остаётся язык Python. Второе место занимает язык C++, который по сравнению с прошлой редакцией переместился с четвёртого места, обогнав Си и Java, вытесненные на 3 и 4 места. Язык JavaScript отпустился с 7 на 8 место, а PHP поднялся с 8 на 6 место.
Компания Mozilla представила выпуск Things Gateway 0.5, который представляет собой универсальную прослойку для организации доступа к различным категориям потребительских и IoT-устройств, скрывающую за собой особенности каждой платформы и не требующую использования специфичных для каждого производителя приложений. Код проекта написан на языке JavaScript с использованием серверной платформы Node.js. Для взаимодействия шлюза с IoT-платформами можно использовать протоколы ZigBee и ZWave, WiFi или прямое подключение через GPIO. Прошивки с шлюзом подготовлены для различных моделей Raspberry Pi.
Разработчики Mozilla приняли решение об отмене блокировки отправки телеметрии для сеансов в приватном режиме просмотра. В частности речь ведётся об отправке на серверы Mozilla сведений о числе открытых сайтов и URL (счётчики доменов и URL) без детализации и привязки к пользователю. Изменение вступит в силу в выпуске Firefox 62. Для отключения отправки телеметрии со счётчиками URL в about:config предусмотрена специальная настройка "browser.engagement.total_uri_count.pbm".
Состоялся релиз KnotDNS 2.7.0, высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским реестром имен CZ.NIC и распространяется под лицензией GPLv3. Сервер отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).
Движок текстографических игр INSTEAD (Simple Text Adventure, The Interpreter) получил новый модуль (МЕТАПАРСЕР3), позволяющий разрабатывать игры с текстовым вводом. Первой игрой, использующей этот способ управления, стала игра "ДРУГОЙ МАРС". Игра написана по мотивам рассказов Р. Шекли и распостроняется под лицензией CC-SA. Кроме модуля текстового ввода, в игре используются графические и звуковые возможности движка INSTEAD.
Представлен релиз web-фреймворка Django 2.1, написанного на языке Python и предназначенного для разработки веб-приложений. Ветка Django 2.1 отнесена к категории выпусков с обычным сроком поддержки и будет получать обновления до декабря 2019 года. LTS-ветка 1.11 будет поддерживаться до апреля 2020 года.
Канадский web-разработчик Ник Хеер (Nick Heer) написал эссе, в котором поднял проблему необдуманного усложнения и нагромождения при создании современных сайтов, что приводит к тому, что несмотря на кардинальный рост пропускной способности клиентских каналов связи многие известные сайты в настоящее время грузятся значительно дольше, чем 20 лет назад во времена модемных соединений. Ник охарактеризовал данное явление как 'Bullshit Web'.
Недавняя подстановка вредоносного ПО в несколько популярных NPM-модулей, привела к отправке злоумышленникам SSH-ключей доступа, хранящихся в домашней директории. Многие разработчики не придали этому должного внимания из-за того, что их ключи были зашифрованы с использованием пароля. Тем не менее по умолчанию в SSH для закрытых RSA-ключей применяется устаревший и ненадёжный метод шифрования, использующий блочный шифр AES с ключом в виде MD5-хэша от заданного пользователем пароля (с солью). Для ключей на базе эллиптических кривых (Ed25519) применяется функция bcrypt_pbkdf, обеспечивающая должную защиту от подбора.
Компания Silicon Studio открыла под лицензией MIT исходные тексты игрового движка Xenko 3.0, который можно применять для 3D-игр, реалистичного рендеринга и систем виртуальной реальности. Для разработки применяется язык C#. Поддерживаются платформы Linux, Windows, macOS, iOS и Android. В состав движка входит визуальный редактор для создания и управления контентом для игр и графических приложений.
Компания Blind Mind Studios открыла исходные тексты игры Star Ruler 2, сочетающей стратегию в реальном времени с жанром 4X. Star Ruler 2 моделирует процесс построения космической империи с изучением окружающего мира, колонизацией планет, накоплением ресурсов и экспансией в галактике. Изначально игра была выпущена в 2015 году и отличалась от похожих космических стратегий детализированным процессом создания юнитов (мощные средства конструирования космических кораблей) и проработанными звёздными системами на основе моделирования физических процессов.
Доступен релиз видеоредактора Shotcut 18.08, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3.
Компания Google представила первый выпуск нового открытого проекта Filament, в рамках которого развивается система физически корректного рендеринга (PBR), позволяющая генерировать высококачественные 2D и 3D сцены с симуляцией при отрисовке физических процессов отражения, поглощения, рассеивания и преломления света с учётом фактуры и типов поверхностей. Код проекта опубликован под лицензией Apache 2.0. Поддерживается работа на платформах Android, Windows, Linux и macOS.
Спустя 16 месяцев с момента публикации прошлого значительного выпуска состоялся релиз почтового клиента Thunderbird 60, развиваемого силами сообщества и основанного на технологиях Mozilla. Новый выпуск отнесён к категории версий с длительным сроком поддержки, обновления для которых выпускаются в течение года. Новый выпуск примечателен переходом на технологию WebExtensions вместо XUL, задействованием нового web-движка Quantum и адаптацией новых элементов интерфейса, предложенных пользователям в Firefox 57. Thunderbird 60 основан на кодовой базе ESR-выпуска Firefox 60.
Компания Google опубликовала релиз открытой мобильной платформы Android - Android 9 ("Pie"). Связанные с новым выпуском исходные тексты размещены в Git-репозиторий проекта (ветка android-9.0.0_r1). Обновления прошивки будут доставлены пользователям устройств Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Essential Phone, Nokia 7 plus, Oppo R15 Pro, Sony Xperia XZ2, Vivo X21UD, Vivo X21 и Xiaomi Mi Mix 2S в течение следующей недели.
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о завершении работы по обеспечению доверия к корневому сертификату Let's Encrypt. Корневой сертификат Let’s Encrypt (ISRG Root X1) теперь упомянут как заслуживающий доверия во всех списках доверительных корневых сертификатов, включая списки Microsoft, Google, Apple, Mozilla, Oracle и Blackberry.
В TCP-стеке ядра Linux выявлена опасная уязвимость (CVE-2018-5390), которая позволяет удалённо вызвать отказ в обслуживании из-за истечения доступных ресурсов. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый TCP-порт. Атака может быть совершена только с реального IP-адреса (без спуфинг).
Компания Mozilla объявила о расширении инициативы Test Pilot, которая предоставляет пользователям возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Для участия в программе необходимо установить специальное дополнение Test Pilot (учетная запись в системе Firefox Account при этом не обязательна), в котором будет доступен список предлагаемых для тестирования возможностей. В процессе работы Test Pilot осуществляется сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями.
Увидел свет релиз языка программирования Dart 2. Dart 2 является не столько новой значительной веткой, сколько общим переосмыслением целей и задач проекта. Разработчики видят Dart 2 в качестве языка для Web и мобильных систем, оптимизированного для разработки компонентов, выполняемых на стороне клиента.
Компания Lenovo подключилась к работе проекта LVFS (Linux Vendor Firmware Service), через который пользователи Linux без лишних усложнений теперь смогут оперативно получать обновления прошивок для оборудования ThinkPad, ThinkStation и ThinkCenter.
Компания Google представила релиз операционной системы Chrome OS 68, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 68. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач.
Организация The Document Foundation опубликовала релиз офисного пакета LibreOffice 6.1. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker.
Проект GNU LibreJS 7.15, дополнения к Firefox, позволяющего отказаться от выполнения несвободного JavaScript-кода. По мнению Ричарда Столлмана, проблема с JavaScript состоит в том, что код загружается без ведома пользователя, не давая возможности оценить степень его свободности перед загрузкой и воспрепятствовать выполнению проприетарного JavaScript-кода. Определение применяемой в JavaScript-коде лицензии производится через указание на сайте специальных меток или через анализ наличия упоминания лицензии в комментариях к коду. Кроме того, по умолчанию допускается выполнение тривиального JavaScript-кода, известных библиотек и кода с сайтов, занесённых пользователем в белый список.
Компания AMD опубликовала выпуск набора драйверов AMD Radeon Pro 18.Q3 для Linux, основанного на свободном модуле ядра AMDGPU, развиваемого в рамках инициативы по унификации графического стека AMD для проприетарных и открытых видеодрайверов. В рамках AMD Radeon Pro в одном наборе интегрированы открытый и проприетарный стеки драйверов. Драйверы amdgpu-pro и amdgpu-all-open (vulkan-драйвер RADV и OpenGL-драйвер RadeonSE, основанные на коде из Mesa) теперь предлагаются в одном пакете и пользователь на своё усмотрение может выбрать открытые или закрытые драйверы.
После более двух лет разработки представлен релиз дистрибутива Whonix 14, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Загрузочные образы Whonix сформированы для VirtualBox, KVM и для использования в операционной системе Qubes. Образ гостевой системы Whonix-Gateway занимает 1.7 GB, а Whonix-Workstation - 2 GB. Наработки проекта распространяются под лицензией GPLv3.
Утверждён новый руководитель проекта AOSP (Android Open Source Project), в рамках которого координируется работа с исходными текстами выпусков платформы Android, открытых компанией Google. Новым техническим лидером проекта стал Джеф Бейли (Jeff Bailey), более двадцати лет участвующий в жизни сообщества разработчиков открытого ПО. Джеф является сооснователем хостинга открытого кода Savannah, 15 лет является разработчиком проекта Debian и входит в число ключевых (core) разработчиков Ubuntu. Работая в Google Джеф входил в команду Google Open Source team и участвовал в открытии кода платформы Android в 2008 году.
Подготовлен корректирующий выпуск Firefox 61.0.2, в котором устранено несколько ошибок и добавлена поддержка автоматического восстановления сеанса после перезапуска Windows (данная возможность пока не включена по умолчанию для всех пользователей, но будет активирована в ближайшие недели).
Разработчики проекта KDE Neon, в рамках которого формируются Live-сборки с актуальными версиями программ и компонентов KDE, подготовили тестовые сборки на базе нового LTS-выпуска Ubuntu 18.04. Предложено несколько вариантов сборок KDE Neon: User Edition на базе последних стабильных релизов KDE, Developer Edition Git Stable на базе кода из beta- и stable- веток Git-репозитория KDE и Developer Edition Git Unstable на базе находящихся в разработке веток из Git.
Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.8.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.8.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 6.4.
Доступны корректирующие выпуски DNS-сервера BIND 9.9.13-P1, 9.10.8-P1, 9.11.4-P1, 9.12.2-P1 c устранением уязвимости (CVE-2018-5740), которая может привести к отказу в обслуживании. Отправка специальным образом оформленных запросов может привести к аварийному завершению работы процесса named. Проблема проявляется только при применении в настройках опции "deny-answer-aliases", включающей защиту от атак "DNS rebinding".
Разработчики проекта openSUSE объявили о продлении времени поддержки выпуска openSUSE Leap 42.3 до июля 2019 года. Выпуск openSUSE Leap 42.3 основан на пакетной базе SUSE Linux Enterprise Server 12 Service Pack 3 и компания SUSE согласилась продлить публикацию обновлений Leap 42.3 на дополнительные 6 меясцев. Таким образом openSUSE Leap 42.3, выпущенный год назад, будет поддерживаться два года вместо традиционных 18 месяцев.
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 10.5, 9.6.10, 9.5.14, 9.4.19 и 9.3.24, в которых представлена порция исправлений ошибок. Выпуск обновлений для ветки 9.3 продлится до сентября 2018 г., 9.4 до декабря 2019 г., 9.5 до января 2021 г., 9.6 - до сентября 2021 года, 10 - до октября 2022 года.
Спустя шесть лет с момента первого анонса сформирован первый стабильный релиз языка программирования Julia 1.0, сочетающего такие качества как высокая производительность, поддержка динамической типизации и встроенные средства для параллельного программирования. Синтаксис Julia близок к MATLAB с заимствованием некоторых элементов из Ruby и Lisp, метод манипуляции строками напоминает Perl. Код проекта распространяется под лицензией MIT.
У домена bzip.org, на котором размещался официальный сайт проекта bzip2 и поставлялись исходные тексты данной утилиты, несколько дней назад истёк срок продления и теперь он содержит рекламу сервиса перепродажи доменов и доступен для продажи третьим лицам. Домен bzip.org теперь никак не связан с проектом bzip2, но всё ещё занимает первые места в поисковой выдаче Google при запросах "bzip2" и "bzip2 source".
Представлен релиз Ring-KDE 3.0.0, альтернативной реализации клиента децентрализованной коммуникационной платформы Ring, развиваемой проектом KDE на базе технологий KDE (основной клиент Ring базируется на GTK+).
Академия кинематографических искусств и наук и Linux Foundation учредили новую организацию Academy Software Foundation, которая нацелена на продвижение использования открытого ПО в процессах создания фильмов. В состав новой организации вошли такие компании, как Animal Logic, Autodesk, Blue Sky Studios, Cisco, DNEG, DreamWorks, Epic Games, Foundry, Google Cloud, Intel, SideFX, Walt Disney Studios и Weta Digital.
Кристофер Домас (Christopher Domas) представил на конференции Black Hat 2018 отчёт с анализом возможных бэкдоров ноутбутах, ПК и встраиваемых моделях процессоров на базе архитектуры x86. В том числе продемонстрирован рабочий эксплоит, активирующий аппаратный бэкдор в процессорах VIA, позволяющий из третьего кольца защиты выполнить код с привилегиями нулевого кольца через выполнение определённой последовательности машинных инструкций. Бэкдор присутствует только в линейке процессоров VIA C3, в более новых моделях проблема не проявляется.
Обладатели десктоп-клиента для работы с облачным сервисом Dropbox получили увеломление о скором прекращении поддержки синхронизации данных с облаком в случае использования файловых систем, отличных от Ext4. Начиная с 7 ноября синхронизация содержимого каталогов с Dropbox.
Йенс Штойбе (Jens "atom" Steube), создатель программы для подбора паролей hashcat, представил новую технику атаки на беспроводные сети с аутенитификацией на базе механизмов WPA или WPA2. Предложенный метод существенно упрощает получение идентификатора PMKID (Pairwise Master Key Identifier), который затем может быть использован для подбора пароля подключения к беспроводной сети.
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.18. Среди наиболее заметных изменений в ядре 4.18: возможность монтирования ФС на базе FUSE непривилегированным пользователем, пакетный фильтр bpfilter, подсистема AF_XDP (eXpress Data Path), новый тип модулей ядра umh (usermode helper), device-mapper модуль writecache, поддержка.
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола TLS 1.3 и опубликовал связанную с ним спецификацию под идентификатором RFC 8446. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.
Компания Blackmagic Design, специализирующаяся на производстве профессиональных видеокамер и систем обработки видео, опубликовала выпуск проприетарной системы цветокоррекции и нелинейного монтажа DaVinci Resolve 15, используемой многими известными голливудскими киностудиями в процессе производства фильмов, сериалов, рекламных роликов, телепрограмм и видеоклипов. DaVinci Resolve объединяет в одном приложении средства для монтажа, цветоустановки, наложения звука, финальной обработки и создания конечного продукта.
После нескольких месяцев затишья произошел релиз открытой биллинговой системы Ubilling, выступающий надстройкой над Stargazer, свободной системы учёта и авторизации в локальных, домашних и офисных сетях. Код Ubilling написан на PHP и распространяется под лицензией GPLv2. Для предварительного ознакомления с системой запущен демонстрационный web-интерфейс.
Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей.
Компания Kryptowire представила на конференции DEF CON результаты своего исследования прошивок различных Android-смартфонов, в результате которого было выявлено 47 уязвимостей, затрагивающих 27 различных моделей смартфонов от Alcatel, ASUSE, LG, ZTE, Sony, Nokia, Orbic, Oppo, MXQ и ряда других производителей.
Компания Intel раскрыла сведения о группе из трёх новых уязвимостях в механизме спекулятивного выполнения CPU, представленных под кодовым именем Foreshadow или L1 Terminal Fault (L1TF).
Представлен релиз проекта QEMU 3.0.0. Значительное изменение номера версии связано с переходом проекта на новую схему нумерацию выпусков, в соответствии с которой первая цифра в номере версии будет увеличиваться раз в год. Никаких кардинальных изменений или нарушений совместимости изменение первой цифры не отражает.
Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.18, в котором отмечено 4 исправления. В новой версии внесены изменения в Virtual Machine Manager (VMM), устранена проблема с загрузкой через VMM свежих версий binutils и собственных сборок VirtualBox, решены проблемы с работой режима трансляции адресов "–nataliasmode sameports", устранена проблема с завершением процесса виртуальной машины при отсоединении клиента VRDP при включенной поддержке 3D.
Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов.
Пользователи игрового сервиса Steam заметили среди файлов с описанием элементов интерфейса появление упоминания новой прослойки Steam Play, нацеленной на запуск Windows-игр в окружении SteamOS на базе Linux. Steam Play пока официально не анонсирован и не документирован, но, судя по описанию в GUI-файлов, обеспечит автоматическую установку инструментария для обеспечения совместимости, позволяющего запускать игры независимо от используемой операционной системы. Предполагается, что инструментарий будет основан на наработках проекта Wine.
Проект Debian празднует своё двадцатипятилетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdoch) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии с духом полной открытости, свойственной Linux и GNU, а также стремление к техническому совершенству и надёжности.
В OpenSSH выявлена проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователей с данным именем в системе.
В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которого на сторонний сервер отправлялись данные о страницах, открываемых пользователем.
Разработчики фреймворка для создания трёхмерных веб-приложений Verge3D опубликовали плагин для экспорта моделей под свободной лицензией GPLv3. Данный плагин для трёхмерного пакета Blender позволяет экспортировать модели в формате glTF 2.0 и создавать трёхмерный контент для публикации в социальной сети Facebook.
Состоялся релиз web-браузера Pale Moon 28.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64).
Доступен релиз набора KDE Applications 18.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить на данной странице.
После инцидента с отправкой дополнением "Web Security" информации об открываемых пользователем страницах, инженеры Mozilla провели расследование и выявили ещё три дополнения (Browser Security, Browser Privacy и Browser Safety), которые также были заявлены как обеспечивающие дополнительную защиту конфиденциальных данных пользователя, а на деле отправляли на внешний сервер информацию о всех открываемых пользователем страницах (во всех случаях данные отправлялись на хост 136.243.163.73).
Разработчики Lubuntu опубликовали план перевода дистрибутива на систему Wayland вместо традиционного X-сервера. Переход будет выполнен через портирование оконного менеджера Openbox на использование дисплейного сервера Mir, применяемого в качестве композитного сервера для Wayland, и задействование API QtLayerShell. Для запуска X-приложений в окружении на базе Wayland будет применяться DDX-компонент XWayland. Переход на Wayland запланирован на выпуск Lubuntu 20.10, который выйдет осенью 2020 года.
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.13. С момента выпуска версии 3.13 было закрыто 36 отчётов об ошибках и внесено 352 изменения.
Исследовательское подразделение компании Microsoft опубликовало новое открытое хранилище FASTER, манипулирующее данными в формате ключ/значение и ориентированное на обеспечение распараллеливания обработки запросов и очень высокой скорости выборки в условиях большой интенсивности обновления данных. Хранилище оформлено в виде встраиваемой библиотеки, доступной в вариантах для языков C++ и C#, и распространяемой под лицензией MIT.
Спустя почти два года с момента прошлого выпуска подготовлен релиз десктоп-окружения Trinity R14.0.5, продолжающего развитие кодовой базы KDE 3.5.x и Qt 3. Готовые бинарные пакеты в ближайшее время будут подготовлены для Ubuntu, Debian, RHEL/CentOS, Fedora, Mageia, openSUSE и PCLinuxOS.
В кодовую базу, на основе которой 5 сентября будет сформирован релиз Firefox 62, приняты наработки по модернизации поиска на стартовой странице, отображаемой при открытии новой вкладки. Помимо ключей для быстрого обращения из адресной строки к поисковым системам, индивидуально определяемым в настройках поисковых систем (about:preferences#search), добавлены служебные ключи для партнёрских поисковиков, например, для Google добавлен ключ "@google", а для Amazon - "@amazon". Данные ключи можно использовать для быстрого формирования запросов к Google и Amazon из адресной строки.
Replies: >>88976
Подготовлен выпуск графического редактора GIMP 2.10.6, в котором продолжено оттачивание функциональности стабильной ветки 2.10.
Сформирован первый выпуск новой стабильной ветки инструментария Flatpak 1.0, который отмечен как готовый к повсеместному применению. Flatpak предоставляет систему для сборки самодостаточных пакетов, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатной программе управления приложениями GNOME.
Представлен релиз дистрибутива Deepin 15.7, основанного на пакетной базе Debian, но развивающего собственный рабочий стол Deepin Desktop Environment и ряд пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект развивается группой разработчиков из Китая, но поддерживает и русский язык. Все наработки распространяются под лицензией GPLv3. Размер загрузочного iso-образа 2.5 Гб (amd64).
Группа исследователей из нескольких университетов США и Китая провела исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей. Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS. Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов.
>>88868
@google, плиз, не пиши больше сюда.
Компания Mozilla анонсировала начало блокировки старых Firefox-дополнений в addons.mozilla.org (AMO). 6 сентября будет прекращён приём обновлений для дополнений на основе технологии XUL, а в начале октября подобные дополнения будут заблокированы и исключены из поисковой выдачи. При этом разработчикам будет оставлена возможность загрузки новых версий старых дополнений, переведённых на API WebExtensions.
Компания Valve представила проект Proton, в рамках которого на базе Wine подготовлено решение для запуска в Linux сборок игровых приложений, созданных для Windows. Цель проекта - обеспечить возможность запуска под Linux всех Windows-игр из каталога Steam. На данный момент объявлено о 100% поддержке 26 игр. Наработки проекта опубликованы под лицензией BSD.
Сформирован релиз дистрибутива Bodhi Linux 5.0, поставляемого с десктоп-окружением Moksha. Moksha развивается как форк кодовой базы Enlightenment 17 (E17), созданный для продолжения разработки Enlightenment как легковесного рабочего стола, в результате несогласия с политикой развития проекта, разрастания окружения Enlightenment 19 (E19) и ухудшения стабильности кодовой базы. Для загрузки предлагается три установочных образа: обычный (740 Мб), сокращённый для устаревшего оборудования (760 Мб) и расширенный с дополнительным набором приложений (1.5 Гб). Новый выпуск примечателен обновлением пакетной базы до Ubuntu 18.04 LTS.
Разработчики проекта Debian обратили внимание на изменение текста лицензионного соглашения в июльском обновлении микрокода для процессоров Intel, в котором были предложены важные дополнения, необходимые для блокирования новых уязвимостей Spectre и L1TF, такие как MSR-бит SSBD (Speculative Store Bypass Disable) и операция L1D_FLUSH.
В пакетном менеджере APT выявлена уязвимость (CVE-2018-0501) в реализации метода "mirror://", позволяющая обойти проверку пакета по цифровой подписи. При использования конфигурации с зеркалами (протокол mirror:// в sources.list) атакующий, контролирующий трафик (MiTM), может спровоцировать ситуацию в которой проверка подписи файла InRelease производится некорректно, что может использоваться для подмены содержимого пакетов. Проблема проявляется в ветках 1.6.x и 1.7.x и устранена в выпусках 1.6.3ubuntu0.1, 1.6.4 и 1.7.0~alpha3. Обновления с устранением уязвимости уже выпущены для Debian и Ubuntu.
Сальвадор Санфилиппо (Salvatore Sanfilippo), создатель СУБД Redis, пояснил ситуацию с изменением лицензионной политики проекта, вокруг которого стали возникать домыслы о переводе Redis в разряд проприетарного ПО. Изменения не касаются базовой части Redis, которая как и раньше будет поставляться под лицензией BSD. Но для некоторых дополнительных модулей (например, RediSearch, Redis Graph, ReJSON, Redis-ML и Rebloom), в которых предлагаются расширенные возможности для корпоративных пользователей, будет применена новая схема лицензирования.
Брюс Перенс (Bruce Perens), один из авторов определения Open Source, соучредитель организации OSI (Open Source Initiative), создатель пакета BusyBox и один из первых лидеров проекта Debian (в 1996 году сменил на посту Яна Мердока), обратил внимание на появлении в лицензионном соглашении о поставке обновления микрокода для процессоров Intel пункта запрещающего публикацию итогов тестирования производительности программного обеспечения или результатов сравнительных тестов.
Опубликовано обновление операционной системы Solaris 11.3 SRU 35, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования.
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller, выявлена уязвимость (CVE-2018-11776), позволяющая удалённому злоумышленнику выполнить свой код в системе через отправку специально оформленного запроса. Проблема устранена в выпусках Struts 2.3.35 и 2.5.17 и проявляется в приложениях, в которых не выставлено пространство имён для всех определённых в конфигурации результатов.
Состоялся релиз анонимной сети I2P 0.9.36 (эталонная реализация на Java), а также релиз i2pd 2.20 (I2P Daemon), полнофункциональной реализации клиента I2P на языке C++.
Компания Intel приняла во внимание мнение сообщества и устранила в лицензионном соглашении на микрокод все замечания, высказанные Брюсом Перенсом и разработчиками Debian. В частности, лицензионное соглашение кардинально сокращено, из него убраны запреты на публикацию результатов тестирования производительности и исключён пункт, предписывавший получение предварительного согласия с соглашением перед началом загрузки. Текст нового соглашения сокращён с 331 до 12 строк, по сути возвращено старое соглашение, которое ранее на протяжении многих лет использовалось для распространения файлов с прошивками в формате "dat".
После пяти месяцев разработки представлен релиз OpenSSH 7.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.
25 августа 1991 года после пяти месяцев разработки 21-летний студент Линус Торвальдс объявил в телеконференции comp.os.minix о создании рабочего прототипа новой операционной системы Linux, для которой было отмечено завершение портирования bash 1.08 и gcc 1.40. Первый публичный выпуск ядра Linux был представлен 17 сентября. Ядро 0.0.1 имело размер 62 Кб в сжатом виде и содержало около 10 тысяч строк исходного кода. Современное ядро Linux насчитывает более 24 млн строк кода. По данным исследования, проведённого в 2010 году по заказу Евросоюза, приблизительная стоимость разработки с нуля проекта, аналогичного современному ядру Linux, составила бы более миллиарда долларов США, по другим оценкам - более 3 миллиардов.
Представлен стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.16, а также развиваемого параллельно композитного сервера Weston 5.0. Отмечается, что в дальнейшем планируется формировать новые выпуски Wayland по мере подготовки новой функциональноcти или устранения серьёзных ошибок, а не по заранее определённому фиксированному графику. Выпуски Weston, как и раньше, продолжат выходить через заранее определённые промежутки времени, но они не будут больше синхронизированы с выпусками Wayland.
Подготовлен релиз языка программирования Go 1.11, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD.
Replies: >>89156
>>89141
Оно ещё движется?!
Группа исследователей из университетов Израиля и США разработали (PDF) технику определения содержимого экрана при помощи анализа звуковых колебаний, исходящих от LCD-мониторов. Представлено несколько прототипов атак, которые позволяют определить типовые сайты, открываемые в браузере, распознать вводимые через виртуальную клавиатуру символы и даже с определённой вероятностью воссоздать текст, вводимый в типовых полях ввода.
Разработчики Firefox утвердили план включения нового системного дополнения Firefox Monitor, которое ранее было предложено для тестирования ограниченному числу пользователей Firefox 61. 5 сентября в день выхода Firefox 62 новое дополнение планируется по умолчанию активировать для 0.5% англоязычных пользователей.
Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-4 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04.
Представлен выпуск инструментария GNU Mes 0.17, обеспечивающего процесс бутстрэппинга (bootstrap) для GCC. Mes 0.17 является первым выпуском после перевода разработки под крыло проекта GNU. Инструментарий решает задачу верифицированной начальной сборки компилятора в дистрибутивах, разрывая цепочку цикличной пересборки.
На состоявшемся сегодня заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено предложение по удалению из репозиториев пакетов, для которых остаются не закрытыми уязвимости.
Исследователи из Техасского университета в Сан-Антонио изучили возможность применения умных ламп для организации передачи данных из изолированных систем, на которые имеется подконтрольное атакующим устройство, но оно не имеет возможность передать данные через интернет. Исследователями продемонстрирована два вида атак.
После трёх лет разработки разработки компания Oracle опубликовала релиз операционной системы Solaris 11.4. Установочные образы доступны для архитектур x86_64 и SPARC.
<pДоступен выпуск основной ветки nginx 1.15.3, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).
В рамках инициативы по увеличению прозрачности обработки данных, поступающих в результате отправки телеметрии и обращения пользователей к серверам проекта, компания Mozilla начала публикацию отчётов (Firefox Public Data Report), в которых обобщена основная статистика по активности пользователей и использованию браузера.
Компания Intel представила новый проект "The Intel Safety Critical Project for Linux OS", в рамках которого началась работа над высоконадёжным дистрибутивом Linux, пригодным для применения в областях, критичных к возникновению сбоев. В настоящее время проект находится на стадии планирования и подготовки инфраструктуры. Развиваемые в рамках проекта наработки будут публиковаться под свободными лицензиями. Дистрибутив сможет применяться там, где требуется гарантированное обеспечение надёжности и любой системный сбой может иметь фатальные последствия. Например, в качестве областей применения называется оснащения производственных систем, роботов, дронов и автомобилей.
Спустя менее недели с момента обнаружения прошлой проблемы в OpenSSH, позволявшей определить существует ли пользователь с данным именем в системе, выявлена ещё одна аналогичная уязвимость (CVE-2018-15919). Проблема присутствует с 2011 года и проявляется в том числе в несколько дней назад опубликованном выпуске OpenSSH 7.8.
В Packagist, крупнейшем репозитории пакетов на языке PHP, ежемесячно обслуживающем более 400 млн загрузок и по умолчанию применяемом в пакетной менеджере Composer, выявлена критическая уязвимость, позволяющая выполнить код на сервере проекта через передачу специально оформленных значений в форму добавления нового пакета.
Разработчики Firefox опубликовали макет интерфейса, рекомендующего дополнения в зависимости от активности пользователя. Предложение по установке дополнений вырабатывается на основе анализа текущего содержимого адресной строки, например, при обращении к сайту Amazon пользователю будет предложено дополнение для более тесной интеграции с данным сервисом.
После почти четырёх лет нахождения на стадии альфа-версии представлен первый бета выпуск полностью переработанной системы предотвращения атак Snort 3.0, также известной как проект Snort++, работа над которым с перерывами ведётся ещё с 2005 года.
Компания Mozilla объявила о кардинальном изменении политики в отношении отслеживания перемещений пользователей между сайтами. Представители Mozilla признают, что недооценивали вред от неконтролируемого сбора данных о пользователях.
Компания Google представила новую открытую криптографическую библиотеку Tink, нацеленную на предоставление простого для корректного применения криптографического API, при использовании которого трудно допустить ошибки, способные привести к снижению с безопасности. Предоставляется полноценная поддержка языков Java (в том числе для Android), C++ и Obj-C, а также экспериментальная поддержка Go и JavaScript. Код поставляется под лицензией Apache 2.0.
Проект Openwall опубликовал выпуск модуля ядра LKRG 0.4 (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Об особенностях LKRG можно прочитать в первом анонсе проекта.
Доступен релиз инструментария GnuPG 2.2.10 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, в своём выступлении на конференции Open Source Summit North America раскритиковал действия компании Intel по координации устранения уязвимостей Meltdown и Spectre до публичного раскрытия информации о данных проблемах.
Разработчики FreeBSD сообщили о решении обеспечить поддержку порта с рабочим столом KDE 4 только до конца 2018 года, после чего KDE4 будет удалён из дерева портов. В качестве причины удаления упоминается прекращение сопровождения Qt 4 и проблемы с поддержанием в рабочем виде устаревшей кодовой базы KDE 4, написанной на языке C++ образца 2003 года, который не совсем корректно обрабатывается современным компилятором Clang.
После более трёх лет разработки опубликован выпуск альтернативной сборки дистрибутива Linux Mint - Linux Mint Debian Edition 3, выполненной на основе пакетной базы Debian Testing (классический Linux Mint базируется на пакетной базе Ubuntu). Кроме использования пакетной базы Debian, важным отличием LMDE от Linux Mint является постоянный цикл обновления пакетной базы (модель непрерывных обновлений: частичный роллинг-релиз, semi-rolling release), при котором обновления пакетов выходят постоянно и пользователь в любой момент имеет возможность перейти на последние версии программ.
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.15. С момента выпуска версии 3.14 было закрыто 44 отчёта об ошибках и внесено 343 изменения.
Доступна новая встраиваемая СУБД LiteTree, представляющая собой модифицированный движок SQLite, переработанный для поддержки ветвления, по аналогии с Git. Наработки проекта распространяются под лицензией MIT.
Replies: >>89563
>>89516
Дайте вгадаю, база от этой хуйни разрастатимется, как деревья на Ттюхе?
Доступен двенадцатый кандидат в релизы свободного web-браузера Otter, нацеленного на воссоздание классического интерфейса Opera 12, независимого от конкретных браузерных движков и ориентированного на продвинутых пользователей, не принимающих тенденции по упрощению интерфейса и сокращению возможностей кастомизации. Браузер написан на языке C++ с использованием библиотеки Qt5 (без QML). Исходные тексты доступны под лицензией GPLv3.
29 августа на 57 году жизни в результате сердечного приступа умер Владимир Бутенко, легендарный программист, в 1980-х годах собственноручно написавший первую советскую UNIX-подобная операционную систему MISS для ЭВМ ЕС-10xx, сопоставимую по возможностям с UNIX v7 (включая редактор vi), компилятор Fortran 77 с интегрированной средой разработки и SQL-совместимую СУБД. Владимир был одним из активных участников русскоговорящего Linux/Unix-сообщества, и известен многим по телеконференциям RU.UNIX.BSD и RU.LINUX, а также В начале 90-х годов Владимир основал компанию Stalker Software (ныне CommuniGate Systems), выпускающую коммуникационную платформу CommuniGate Pro.
Доступен новый выпуск пошаговой стратегии FreeOrion 0.4.8, развиваемой под впечатлением от игры Master of Orion. В ходе игры игроки конкурируют друг с другом на поприще колонизации космоса, развивая собственные цивилизации, производя ресурсы, конструируя космические корабли, проводя исследования и наращивая технологический уровень. Готовые сборки подготовлены для Windows и macOS (для Linux предлагается собрать игру из исходных текстов). Код проекта распространяется под лицензией GPL.
Компания Google представила новый сервис, на котором наглядно показана динамика изменения публично доступных в JavaScript браузерных API и объём специфичных для Firefox, Chrome, Edge и Safari программных интерфейсов. Код скриптов, используемых для сборка метрик и обеспечения работы сервиса, открыт под лиценизией BSD.
15 сентября 2018 года в Киеве состоится ежегодная конференция разработчиков и пользователей свободного программного обеспечения OSDNConf 2018. Участие бесплатное. Количество мест ограничено (сейчас осталось 63). Регистрация возможна до 14 сентября включительно.
Опубликованы новые выпуски руководств Linux From Scratch 8.3 (LFS) и Beyond Linux From Scratch 8.3 (BLFS), а также редакций LFS и BLFS с системным менеджером systemd. В Linux From Scratch приведены инструкции по созданию с нуля базовой Linux-системы, используя лишь исходные тексты необходимого программного обеспечения. Beyond Linux From Scratch дополняет инструкции LFS информацией о сборке и настройке около 1000 программных пакетов, охватывающих различные области применения, от СУБД и серверных систем, до графических оболочек и медиапроигрывателей.
Исполнилось 10 лет с момента первого анонса web-браузера Chrome. За эти годы Chrome занял лидирующую позицию на рынке, почти вытеснив Firefox и Microsoft Internet Explorer/Edge. Предложенные в Chrome многопроцессорная архитектура и sandbox-изоляция переняли и остальные браузеры, а формат разработки дополнений вытеснил XUL. Порождённая появлением Chrome конкуренция не только привела к кардинальному увеличению производительности JavaScript-движков, но и способствовала унификации Web API и усилению совместимости между разными браузерами.
В поставляемом в составе ядра Linux гипервизоре KVM выявлена уязвимость (CVE-2018-10853), позволяющая непривилегированному пользователю гостевой системы выполнить код с правами ядра в данной гостевой системе.
Доступны исходные тексты третьего тестового (milestone) выпуска мобильной платформы Tizen 4.0. Выпуск ориентирован на ознакомление разработчиков с новыми возможностями платформы. Проект развивается под покровительством организации Linux Foundation, последнее время в основном силами компании Samsung. Платформа продолжает развитие проектов MeeGo и LiMO, и отличается предоставлением возможности использования Web API и web-технологий (HTML5/JavaScript/CSS) для создания мобильных приложений. Графическое окружение построено на основе протокола Wayland и наработках проекта Enlightenment, для управления сервисами применяется Systemd.
Состоялся выпуск новой стабильной ветки WebKitGTK+ 2.22.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany).
Подготовлен релиз операционной системы NetBSD 7.2, который рекомендован для пользователей ветки NetBSD 7, которые по тем или иным причинам не могут перейти на NetBSD 8.0. Для загрузки подготовлены установочные образы размером 396 Мб. Релиз NetBSD 7.2 официально доступен в сборках для 58 системных архитектур и 16 различных семейств CPU.
Подготовлен выпуск новой стабильной ветки многоплатформенного тулкита для создания графического интерфейса пользователя - GTK+ 3.24.0, сформированный после двух лет существования ветки 3.22 и применения эмбарго на формирование значительных релизов GTK 3.x, вносящих изменения на уровне API.
Доступен релиз панели Dash to Dock 64, которая выполнена в виде расширения к оболочке GNOME Shell. На основе Dash to Dock построена панель Ubuntu Dock, которая поставляется в составе Ubuntu вместо оболочки Unity. Ubuntu Dock главным образом отличается настройками по умолчанию и необходимостью использования иного имени для организации обновления с учётом специфики поставки через основной репозиторий Ubuntu, а разработка функциональных изменений производится в рамках основного проекта Dash to Dock.
Компания Artifex Software выпустила релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.24. Ghostscript позволяет обрабатывать как язык Postscript так и документы PDF, переводить их в растровые форматы для показа на экране или для вывода на печать на принтерах без поддержки Postscript. Код проекта распространяется под лицензией AGPLv3, а содержимое каталога CMap по специальной лицензии Adobe.
Чешский исследователь безопасности Владимир Смитка (Vladim&#237;r Smitka) провёл сканирование около 320 млн доменов и выявил, что на 390 тысячах сайтов доступны для загрузки каталоги ".git", которые по недосмотр выставили в публичное пространство без ограничения доступа. В подобных каталогах можно обнаружить закрытую информацию, в некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать из для поиска уязвимостей), а также пароли и ключи доступа к СУБД, API и облачным сервисам.
Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за более чем 7500 маршрутизаторами MikroTik. На захваченных устройствах было организовано перенаправление трафика пользователя на подконтрольный атакующим хост.
Состоялся релиз основного эталонного компилятора DMD 2.082.0, который поддерживает системы GNU/Linux, Windows, macOS и FreeBSD, и архитектуры x86, x86_64, x64.
Компания Google представила релиз web-браузера Chrome 69, который приурочен к празднованию десятилетия проекта и включает в себя несколько заметных новшеств, таких как обновлённый интерфейс пользователя, возможность настройки стартовой страницы и новый компилятор WebAssembly. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.
Состоялся релиз web-браузера Firefox 62, а также мобильной версии Firefox 62 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.2.0. Поддержка Firefox 52, последней ESR-ветки, в которой было возможно выполнение XUL-дополнений, прекращено. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 63, релиз которой намечен на 23 октября.
28-30 сентября 2018 года в городе Калуга состоится пятнадцатая конференция разработчиков свободных программ. Конференция ставит целью наладить личные контакты между специалистами, обсудить перспективы развития свободного программного обеспечения, инициировать новые проекты. Планируется издание в РИНЦ сборника тезисов докладов к началу работы конференции.
После шести месяцев разработки официально представлен выпуск десктоп-окружения GNOME 3.30. По сравнению с прошлым выпуском было внесено почти 26 тысяч изменений, в реализации которых приняли участие 838 разработчиков. Для быстрой оценки возможностей GNOME 3.30 подготовлены специализированные Live-сборки на основе openSUSE и Ubuntu.
После восьми месяцев разработки сформирован значительный релиз специализированного браузера Tor Browser 8.0, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 60. Браузер ориентирован на обеспечение анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS.
Доступен релиз специализированного дистрибутива Tails 3.9 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 Гб.
Состоялся релиз отладчика GDB 8.2, поддерживающего отладку на уровне исходных текстов для широкого спектра языков программирования (Ada, C, C++, Objective-C, Pascal, Go и т.д.) на различных аппаратных (i386, amd64, ARM, Power, Sparc и т.д.) и программных платформах (GNU/Linux, *BSD, Unix, Windows, macOS).
В официальном Chrome-дополнении MEGA, предоставляющем доступ к одноимённому облачному хранилищу и установленном у 1.6 млн пользователей, выявлен вредоносный код, осуществлявший накопление и передачу сведений об учётных записях и связанных с ними паролей. Перехват паролей выполнялся для избранных сайтов, среди которых сервисы Google, Facebook, Amazon, GitHub и Microsoft Live/OneDrive, а также разнообразные web-кошельки и интерфейсы для работы с криптовалютой, включая MyEtherWallet, MyMonero и idex.market.
Организация GNOME Foundation передала 100 тысяч долларов на развитие растрового графического редактора GIMP. Деньги выделены из средств, полученных от сообщества Handshake.org, развивающего новую децентрализованную систему доменных имён и цифровых сертификатов, которая может использоваться как независимая, надёжная и верифицируемая альтернатива корневым серверам DNS и удостоверяющим центрам, не подконтрольная конкретным лицам и не подверженная цензуре. Проект Handshake не нацелен на вытеснение протокола DNS, а ставит перед собой задачу ухода от централизованных корневых зон и корневых серверов в пользу распределённой базы, построенной на базе блокчейна и P2P-коммуникаций.
Компания Google намерена уйти от отображения традиционного URL в адресной строке в пользу упрощённой и более понятной непросвещённым пользователям системы информирования о текущей странице. По мнению Эдриенн Портер Фелт (Adrienne Porter Felt), менеджера по инжинирингу в Google, URL не лучший способ идентификации сайта - обычным пользователям трудно понять URL, его трудно читать и по нему сразу не понятно какие из частей адреса заслуживают доверия (имеется ввиду фишинг, когда злоумышленники подставляют чужой домен как часть параметров ссылки и пользователи не способны это разобрать).
Replies: >>89879, >>90033
>>89874
Они там совсем ебанулись, видимо.
Участники сообщества WordPress, не согласные с грядущей кардинальной переработкой интерфейса, основали форк, который будет развиваться под именем ClassicPress. Причиной создания форка стало решение по переводу будущего выпуска WordPress 5.0 по умолчанию на новый визуальный интерфейс редактирования Gutenberg, позволяющем создавать страницы в режиме drag&drop. Поддержка классического интерфейса редактирования контента будет удалена из WordPress 5.0, но останется доступной в виде внешнего плагина.
Разработчики анонимной сети Tor представили первый тестовый выпуск нового мобильного браузера, сфокусированного на обеспечении анонимности, безопасности и приватности пользователей. Как и настольная версия Tor Browser новый браузер поддерживает работу только через сеть Tor, блокируя любые попытки установки прямого сетевого соединения.
Состоялся релиз свободной реализации API OpenGL и Vulkan - Mesa 18.2. С прошлого выпуска внесено около 2200 изменений от примерно 130 разработчиков. Первый выпуск ветки Mesa 18.2.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 18.2.1. В Mesa 18.2 предоставляется полная поддержка OpenGL 4.5 для драйверов i965, radeonsi и nvc0, поддержка Vulkan 1.1 для карт Intel и AMD, а также частичная поддержка стандарта OpenGL 4.6.
В сентябрьском рейтинге популярности языков программирования, публикуемом компанией TIOBE Software, наблюдается рост популярности языка Python (7.653%), который переместился на третье место, вытеснив с него язык C++ (7.396%). Первое и второе места как и раньше удерживают языки Java (17.436%) и С (15.447%). По сравнению с сентябрём прошлого года в рейтинге также отмечается рост популярности языков Go, Visual Basic .NET, Objective-C, SQL, Delphy/Pascal, Mathlab, Rust, Groovy и Assembler.
Проект GNU LibreJS 7.16, дополнения к Firefox, позволяющего отказаться от выполнения несвободного JavaScript-кода. По мнению Ричарда Столлмана, проблема с JavaScript состоит в том, что код загружается без ведома пользователя, не давая возможности оценить степень его свободности перед загрузкой и воспрепятствовать выполнению проприетарного JavaScript-кода. Определение применяемой в JavaScript-коде лицензии производится через указание на сайте специальных меток или через анализ наличия упоминания лицензии в комментариях к коду. Кроме того, по умолчанию допускается выполнение тривиального JavaScript-кода, известных библиотек и кода с сайтов, занесённых пользователем в белый список.
Состоялся релиз консольного текстового редактора GNU nano 3.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения.
В кодовую базу Firefox, на основе которой будет сформирован октябрьский релиз, добавлена возможность перевода страниц с использованием сервиса Google Translate. Следует отметить, что несколько лет назад в Firefox уже была добавлена поддержка перевода при помощи сервисов перевода Yandex и Bing, но она отключена по умолчанию.
Спустя восемь лет с момента прошлого стабильного выпуска представлен релиз Linux-дистрибутива Elive 3.0, построенного на пакетной базе Debian 8, композитного менеджера Compiz и десктоп-технологиях проекта Enlightenment 17. Дистрибутив предлагает приятно оформленное окружение рабочего стола в стиле macOS, которое не требовательно к ресурсам и может функционировать на устаревшем оборудовании. В качестве минимальных требований к системе заявлено 256 MB ОЗУ и CPU с частотой 500 Mhz. Размер iso-образа составляет 3 Гб.
В рамках проекта Zero ведётся разработка экспериментальной многослойной файловой системы с реализацией идеи хранения данных в локальной ФС с вытеснением давно не используемых данных во внешнее облачное хранилище. Код предлагаемого для тестирования прототипа написан на языке Python, использует подсистему FUSE и поставляется под лицензией MIT.
После семи месяцев разработки представлен выпуск облачной платформы Nextcloud 14, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными. Ключевым отличием Nextcloud от ownCloud является намерение предоставить в едином открытом продукте все расширенные возможности, ранее поставляемые только в коммерческой версии ownCloud. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL.
Компания Zerodium, скупающая сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser.
Replies: >>90032
>>90009
Что-то много пошло уязвимостией с выходом новых версий. То андроид, теперь тор. Что, сложно закладки в старых версиях поддерживать, что перегоняют пользоваетелей на новые?
>>89874
Современно, нужно. А подводные камни всегда всплывают, когда что-то делаешь, если ничего не делать, конечно их меньше.
>>82300
100 подписчиков достигнуто
Доступен выпуск инструментария Tor 0.3.4.8, используемого для организации работы анонимной сети Tor. Tor 0.3.4.8 признан первым стабильным выпуском ветки 0.3.4, которая развивалась последние четыре месяца. Одновременно также выпущены корректирующие обновления прошлых веток Tor 0.2.9.17, 0.3.2.12 и 0.3.3.10, в которые включены накопившиеся исправления ошибок. Новая ветка 0.3.4 примечательна улучшением кода для противодействия DoS-атакам, оптимизацией для применения на встраиваемых и маломощных системах, продолжением перевода кода на модульную основу, расширением применения тестовых наборов и системы непрерывной интеграции Travis CI.
Подготовлен выпуск распределенной системы управления исходными текстами Git 2.19.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям задним числом используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. По сравнению с прошлым выпуском в новую версию принято 769 изменений, подготовленных при участии 72 разработчиков, из которых 16 впервые приняли своё участие в разработке.
После двух лет разработки состоялся релиз библиотеки OpenSSL 1.1.1 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения, нарушающие обратную совместимость на уровне API. Поддержка выпуска OpenSSL 1.1.1 будет осуществляться в течение пяти лет.
Гвидо ван Россум (Guido van Rossum) поставил точку в споре, возникшем среди разработчиков языка Python из-за изменений, предложенных Виктором Штиннером (Victor Stinner), работающим в Red Hat и входящим с число ключевых разработчиков Python. Виктор предложил вычистить код Python от упоминания слов "master" и "slave", так как их использование является неполиткорректным и ассоциируется с рабством и неравноправием. Несколько лет назад некоторые открытые проекты уже затронула череда подобных переименований, например, в Drupal термины "master" и "slave" были заменены на "primary" и "replica", а в Django и CouchDB на "leader" и "follower".
В кодовую базу Chrome OS принят код для доступа к сетевым хранилищам Windows и Samba с использованием протокола SMB. Функция подключения удалённого раздела встроена в штатный файловый менеджер Chrome OS. Настройка параметров монтирования осуществляется в конфигураторе (в программу Settings добавлен новый раздел "Network File Shares"). Новая возможность будет представлена пользователям в выпуске Chrome OS 70, намеченном на 23 октября.
Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил наличие в открытом доступе базы данных компании Veeam, специализирующейся на системах мониторинга и резервного копирования виртуальных окружений. Из-за ошибки в конфигурации СУБД MongoDB, размещённой в облачном хостинге Amazon, в интернет без аутентификации оказалась выставлена база данных, включающая более 445 млн записей.
Депутаты Европарламента проголосовали за противоречивые статьи 11 и 13. Самой критической из них является 13 статья, в которой говорится, что технологические платформы должны фильтровать всё, что люди публикуют, и на этапе загрузки проверять размещаемые материалы на предмет потенциального нарушения авторских прав.
Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 2.2.1. Сборки подготовлены для устройств Jolla 1, Jolla C и Sony Xperia X, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт через неделю).
Facebook перевёл в разряд отрытых продуктов LogDevice, распределённую систему хранения последовательно поступающих наборов данных, таких как логи, данные мониторинга, сведения об изменении конфигурации и потоки информации о событиях. Система ориентирована на надёжное и отказоустойчивое хранение логов, обеспечивает сохранение порядка поступления записей и может масштабироваться для обработки миллионов разных логов в одном кластере хранения. Код написан на языке С++ и опубликован под лицензией BSD.
После шести месяцев разработки подготовлен релиз Samba 4.9.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).
Доступен релиз проекта VeraCrypt 1.23, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Код VeraCrypt поставляется под лицензией Apache 2.0.
Доступен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.25, в котором продолжено исправление уязвимостей. После публикации выпуска Ghostscript 9.24, в котором были устранены критические уязвимости, исследователи безопасности пришли к выводу, что реализованный метод блокирования уязвимостей не охватывает все возможные векторы атаки. В частности, выявлено три новых варианта (CVE-2018-16802) эксплуатации уязвимости CVE-2018-15909, позволяющих через манипуляцию с инструкцией "pipe" в PostScript-файле добиться исполнения кода атакующего.
Гаэль Дюваль (Ga&#235;l Duval), создатель дистрибутива Mandrake Linux, объявил о начале бета-тестирования проекта /e/ (ранее Eelo), в рамках которого развивается дистрибутив для смартфонов, сосредоточенный на обеспечении конфиденциальности пользовательских данных. Тестовые сборки прошивки подготовлены для различных моделей Essential Phone, Fairphone, Google Nexus, HTC, Huawei, LeEco, LG, Motorola, OnePlus, Samsung и Xiaomi.
Разработчики Mozilla предложили пользователям принять участие в тестировании функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). После успешного эксперимента с включением DoH в ночных сборках, решено протестировать данную функциональность в бета-выпусках Firefox. В конце этой недели части пользователей Firefox Beta из США будет предложено активировать обращение к DNS через HTTPS (при нежелании принимать участие в тестировании пользователь сможет отказаться).
Компания ESET сообщила о выявлении вредоносного кода в репозиториях дополнений для свободного медиацентра Kodi. Пользователи Linux и Windows, устанавливавшие дополнения из репозиториев Bubbles, Gaia и XvBMC, были поражены вредоносным ПО, осуществляющего майнинг криптовалюты.
Исследователь безопасности Max Justicz, известный выявлением уязвимостей в репозиториях Packagist, NPM и RubyGems, опубликовал информацию о новой критической уязвимости в пакетном менеджере APK, применяемом в дистрибутиве Alpine Linux (используется по умолчанию для контейнеров Docker). Уязвимость несколько дней назад уже устранена в APK, а проект Alpine Linux выпустил обновление 3.8.1, в который включено данное исправление.
Компания Intel опубликовала открытый проект Slim Boootloader, в рамках которого подготовлена открытая прошивка, которая может выступать в роли замены BIOS для инициализации оборудования и организации процесса загрузки ОС. Slim Boootloader позиционируется как безопасное, легковесное и высоко оптимизированное решение, которое можно использовать совместно с инструментами и библиотеками фреймворка для разработки UEFI-прошивок EDK II. Исходные тексты Slim Boootloader открыты под лицензией BSD.
Подготовлен первый релиз WiX.Py, сборщика MSI-инсталляторов, предоставляющего возможность собирать MSI-пакеты для кроссплатформенных приложений без использования выделенного сервера на базе Windows, а также позволяющего проводить сборку в Docker-контейнерах. Применение WiX.Py позволяет сэкономить на инфраструктуре проекта и ускорить сборки с использованием систем непрерывной интеграции. Код проекта написан на языке Python и распространяется под лицензией GPLv3.
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.16. С момента выпуска версии 3.15 было закрыто 43 отчёта об ошибках и внесено 205 изменений.
Вышел релиз X.org-драйвера xf86-video-amdgpu 18.1.0, который является форком драйвера xf86-video-ati, адаптированным для работы поверх интегрированного в состав ядра Linux модуля AMDGPU, который также служит основой для нового гибридного драйвера AMDGPU-PRO. Драйвер xf86-video-amdgpu ориентирован на использование с такими семействами GPU, как Tonga, Carrizo, Iceland, Fiji и Stoney. Код для поддержки старых GPU, которые не могут работать с модулем amdgpu исключён из кодовой базы драйвера.
Подготовлен новый стабильный релиз интерфейса для упрощения настройки параметров сети - NetworkManager 1.14. Плагины для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN развиваются в рамках собственных циклов разработки.
Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.14, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 9 октября.
В Chrome 69 принято изменение, отменяющие автоматическое скрытие поддоменов "www" и "m" в адресной строке. Изменение принято в ответ на неоднозначное восприятие данного изменения сообществом и приведения примеров возможности осуществления спуфинга. Например, в системах позволяющий регистрировать поддомены, пользователь может получить поддомен "m", который отобразиться в адресной строке как основной сайт.
Представлен релиз SQLite 3.25.0, легковесной СУБД, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg.
Линус Торвальдс сообщил о временном уходе с поста координатора разработки ядра Linux. До возвращения Линуса его место займёт Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра. Основной задачей Грега станет доведение до конца разработки выпуска 4.19, который сейчас находится на стадии четвёртого кандидата в релизы. Точных сроков не называется, но ожидается, что Линус вернётся к работе к моменту открытия следующего окна приёма изменений, в рамках которого начнётся формирование ядра 4.20. В противном случае разработку ядра 4.20 также будет курировать Грег Кроа-Хартман.
Разработчики web-браузера Pale Moon, ответвившегося от кодовой базы Firefox для сохранения поддержки XUL и классического интерфейса пользователя, объявили о создании собственного сатйта-каталога thereisonlyxul.org. Сайт позиционируется как сводная площадка с информацией о проектах и дополнениях, использующих технологию XUL.
Опубликованы новые сборки дистрибутива Homeros для людей с нарушениями зрения. Дистрибутив основан на пакетной базе Ubuntu 16.04.5 и поставляется с речевым окружением Emacspeak в качестве основной рабочей среды. Система предназначена для опытных русскоязычных пользователей GNU/Linux.
Спустя три c половиной года с момента прошлого выпуска представлен релиз платформы для фильтрации спама - SpamAssassin 3.4.2. В SpamAssassin реализован комплексный подход в принятии решения о блокировании: сообщение подвергается ряду проверок (контекстный анализ, черные и белые списки DNSBL, обучаемые байесовские классификаторы, проверка по сигнатурам, аутентификация отправителя по SPF и DKIM и т.п.). После оценки сообщения разными методами, накапливается определенный весовой коэффициент. Если вычисленный коэффициент превышает определенный порог - сообщение блокируется или помечается как спам. Поддерживаются средства автоматического обновления правил фильтрации. Пакет может использоваться как на клиентских, так и на серверных системах. Код SpamAssassin написан на языке Perl и распространяется под лицензией Apache.
Представлен релиз программы для управления коллекцией фотографий Shotwell 0.30.0, которая предоставляет удобные возможности каталогизации и навигации по коллекции, поддерживает группировку по времени и тегам, предоставляет инструменты для импорта и конвертации новых фотографий, поддерживает выполнение типовых операций по обработке изображений (вращение, устранение эффекта красных глаз, корректировка экспозиции, оптимизация цветности и т.п.), содержит средства для публикации в социальных сетях, таких как Facebook, Flickr и Picasa (для MediaGoblin существует экспериментальный плагин).
18 сентября Фонд СПО в сотрудничестве с организациями Electronic Frontier Foundation, Open Rights Group, Public Knowledge, Creative Commons и Document Foundation проводит международный день против технических средств защиты авторских прав (DRM), ограничивающих свободу пользователя. По мнению сторонников акции пользователь должен иметь возможность полностью контролировать свои устройства, от автомобилей и медицинских устройств до телефонов и компьютеров.
Компания Versity объявила об открытии исходных текстов специализированной файловой системы ScoutFS, оптимизированной для хранения архивных данных. Утверждается, что ScoutFS стала первой открытой файловой системой для архивирования, нацеленной на предоставление промышленного уровня надёжности и масштабирования при хранении огромных массивов накопленной архивной информации. Код опубликован под свободной лицензией GPLv2, что позволяет со временем включить его в основной состав ядра Linux. В настоящее время ScoutFS распространяется в виде внешнего модуля для ядра Linux из состава RHEL/CentOS 7.x.
Русскоязычное сообщество KDE запустило обновлённый сайт KDE.ru. На сайте размещена основная информация о сообществе, ссылки для загрузки продуктов, инструкции для новых участников и список страниц в соцсетях. Сайт построен на движке Jekyll и размещён в основной инфраструктуре KDE на одном сервере c kde.org. Новый сайт заменил собой старый форум, утративший участников в последние годы, и призван помочь всем, кто начинает свой путь в мир свободного ПО.
Следом за ядром Linux проект PostgreSQL принял новый кодекс поведения (Code of Conduct) и сформировал комитет для разбора конфликтных ситуаций, которую возглавила Стейси Хэйслер (Stacey Haysler), занимающая должность финансового и операционного директора компании PostgreSQL Experts.
Компания Google представила релиз операционной системы Chrome OS 69, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 69. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач.
Для включения в кодовую базу, на основе которой будет сформирован релиз Chrome 70, предложено изменение, убирающие отображение схемы "file://" из адресной строки при доступе к локальным файлам текущей системы. Путь к файлу будет показан как есть, а для информирования о доступе к локальным ресурсам в начале адресной строки будет показываться специальный индикатор "File".
Доступен релиз мультимедиа проигрывателя SMPlayer 18.9, предоставляющего графическую надстройку над MPlayer или MPV. SMPlayer отличается легковесным интерфейсом с возможностью смены тем оформления, поддержкой воспроизведения роликов с Youtube, поддержкой загрузки субтитров с opensubtitles.org, гибкими настройками воспроизведения (например, можно поменять скорость воспроизведения). Программа написана на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Бинарные сборки сформированы для Fedora, Ubuntu и Windows.
Департамент по лицензирвоанию в штате Вашингтон признал возможность применения свободного пакета GnuPG для заверения нотариальных актов.
Подготовлен релиз платформы Electron 3.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js.
После шести месяцев разработки сформирован релиз проекта LLVM 7.0 (Low Level Virtual Machine) - GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы.
Компания Canonical предупредила о скором истечении пятилетнего срока выпуска обновлений для Ubuntu 14.04 LTS. Начиная с 30 апреля 2019 года официальная публичная поддержка дистрибутива Ubuntu 14.04 будет прекращена, но для пользователей, которые не успевают перевести свои системы на Ubuntu 16.04 или 18.04, предложена программа ESM (Extended Security Maintenance), в рамках которой будет продолжена публикация обновлений с устранением уязвимостей для ядра и наиболее важных системных пакетов. Доступ к этим обновлениям будет ограничен только для пользователей платной подписки на услуги технической поддержки.
Компания Mozilla опубликовала первый выпуск Firefox Reality, специализированного браузера для систем виртуальной реальности. Предложенный браузер примечателен предоставлением трёхмерного интерфейса, позволяющий производить навигацию по сайтам внутри виртуального мира или в составе систем дополненной реальности. Сборки Firefox Reality размещены в каталогах приложений для 3D-шлемов Oculus.
Replies: >>90728
>>90727
Ну шо, теперь у нас две новые возможности:
1) Дрочить без всяких специальных приложений, просто открыв порнхаб в браузере.
2) Писать гневные комментарии в нацпол-тред.
В подсистеме vmacache ядра Linux обнаружена уязвимость (CVE-2018-17182), которая потенциально может быть использована для создания эксплоита для повышения привилегий локального пользователя в системе. Уязвимость вызвана отсутствием проверки переполнения 32-разрядного номера последовательности, что можно использовать для обращения к уже освобождённому блоку памяти (use-after-free). Проблема присуствует в ядрах с 3.16 по 4.18.8. Исправление пока доступно в виде патча. Обновления пакетов для дистрибутивов ещё не сформированы (Debian, Ubuntu, RHEL, SUSE, Fedora).
Компания Oracle завершила процесс передачи организации Eclipse Foundation открытого сервера приложений GlassFish c эталонной реализацией спецификации Java EE. Передача осуществлена в рамках инициативы по передаче разработки и управления проектом Java EE (Java Platform Enterprise Edition) независимому сообществу. Код GlassFish перемещён в репозиторий Eclipse и теперь будет развиваться в составе проекта.
В выпускаемых компанией Western Digital сетевых хранилищах My Cloud выявлена уязвимость (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации.
Для обсуждения в списке рассылки разработчиков ядра Linux предложен набор патчей с реализацией пространства имён для времени. Предложенный механизм позволит раздельно управлять временем в каждом контейнере, позволяя выставлять своё дату/время, синхронизировать время независимо от базового окружения и корректировать часы после восстановления контейнера после заморозки.
Опубликованы корректирующие выпуски пакета Bitcoin Core 0.14.3, 0.15.2 и 0.16.3, а также ответвления Bitcoin Knots 0.16.3, в которых устранена удалённая DoS-уязвимость (CVE-2018-17144), способная вызвать крах Bitcoin-клиентов bitcoind и Bitcoin-Qt. Проблема возникает при обработке полученного от майнера блока, включающего транзакцию, которая пытается дважды провести один и тот же ввод.
О публикован выпуск сервера приложений NGINX Unit 1.4, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска.
Доступен релиз web-браузера Pale Moon 28.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64).
Представлен релиз дисплейного сервера Mir 1.0, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10 (PPA) и Fedora 27/28/29.
Mozilla начала распространение системного дополнения "Telemetry coverage", которое обеспечивает сбор данных о числе пользователей, отключивших в настройках отправку телеметрии. Дополнение активировано примерно у 1% пользователей Firefox и отправляет сведения даже при отключении отправки статистики и отказе в настройках от участия в исследованиях Mozilla.
Подготовлен корректирующий выпуск Firefox 62.0.2, в котором исправлено несколько ошибок и устранена уязвимость (CVE-2018-12385), сопособная привести к краху при обработке определённым образом оформленных данных в локальном кэше.
Сформировано обновление сборок дистрибуитва Solus 3, не основанного на пакетах других дистрибутивов и развивающего собственный рабочий стол Budgie, установщик, пакетный менеджер и конфигуратор. Код наработок проекта распространяется под лицензией GPLv2, для разработки используются языки Си и Vala. Дополнительно предоставляются сборки с рабочими столами GNOME и MATE. Размер iso-образов 1.5 Гб (x86_64).
В сети выявлена автоматизированная массовая атака, поражающая сайты на базе системы управления контентом WordPress. В настоящее время доля WordPress среди десяти миллионов крупнейших сайтов по оценке лаборатории W3Techs составляет 30%. В ходе атаки поражаются сайты с необновлённым движком, при этом в ходе вредоносной активности эксплуатируются различные ранее исправленные уязвимости, как в самом движке WordPress, так и в плагинах к нему.
Стартап Whitewater Foundry подготовил дистрибутив WLinux, оптимизированный специально для подсистемы WSL (Windows Subsystem for Linux) и рассчитанный на запуск в окружении Windows. В дистрибутиве используется пакетная база Debian и установщик WSL-DistroLauncher, подготовленный Microsoft для запуска в WSL произвольных дистрибутивов Linux. Наработки проекта свободно распространяются под лицензией MIT, но готовое сборки доступны только через каталог Microsoft Store на платной основе. Авторы проекта обещают оперативно исправлять специфичные для Windows проблемы, связанные с работой в WSL.
Подготовлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.3. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS.
Мэттью Грин (Matthew Green), инициатор аудита OpenVPN и TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass, попытался привлечь внимание общественности к возможным проблемам с приватностью после внедрение в Chrome нового алгоритма подключения к учётной записи. Начиная с Chrome 69 компания Google унифицировала подключение браузера и сайтов Google к учётной записи. Например, если пользователь подключился к Gmail или YouTube, то Chrome автоматически привяжется к этой учётной записи, хочет того пользователь или нет. Авторизоваться на сайтах Google без автоматического входа в Chrome теперь не получится.
Пятнадцать лет назад компания Red Hat объявила о разделении дистрибутива Red Hat Linux на два проекта - развиваемый при участии сообщества Fedora Linux и коммерческий Red Hat Enterprise Linux. Проект Fedora был ориентирован на интенсивную разработку новых Linux-технологий и раннее продвижение новшеств, с доведением их до пользователей через более интенсивный цикл разработки и выпуска новых версий. Первый релиз Fedora Core 1 был выпущен спустя чуть более месяца с момента объявления о разделении.
Разработчики открытой микроядерной операционной системы Genode OS Framework сформировали третий тестовый выпуск операционной системы Sculpt. В рамках проекта Sculpt на базе технологий Genode развивается операционная система общего назначения, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Для загрузки предлагается LiveUSB-образ, размером 23 Мб. Поддерживается работа на системах с процессорами и графической подсистемой Intel.
Компания Cloudflare сообщила о реализации в своей сети доставки контента поддержки TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.
Опубликовано обновление операционной системы Solaris 11.4 SRU 1, в котором предложена первая серия исправлений и улучшений для недавно выпущенной ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду 'pkg update'. Формирование сервисных обновлений для ветки Solairs 11.3 прекращено.
Компания Siemens представила выпуск свободного гипервизора Jailhouse 0.10, компоненты для гостевых систем которого уже включены в состав основного ядра Linux. Гипервизор поддерживает работу на системах x86_64 с расширениями VMX+EPT или SVM+NPT (AMD-V), а также на процессорах ARMv7 (Banana Pi, NVIDIA Jetson TK1, Versatile Express с Cortex-A15 или A7) и ARMv8/ARM64 (AMD Seattle, LeMaker HiKey, NVIDIA Jetson TX1, Xilinx ZCU102 ) с расширениями для виртуализации. Код проекта распространяется под лицензией GPLv2.
Состоялся релиз системы фильтрации спама Rspamd 1.8, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки, на основе которых формируется итоговый вес сообщения, используемый для принятия решения о необходимости блокировки. Rspamd поддерживает практически все возможности, реализованные в SpamAssassin, и имеет ряд особенностей, позволяющих фильтровать почту в среднем в 10 раз быстрее, чем SpamAssassin, а также обеспечивать лучшее качество фильтрации. Код системы написан на языке Си и распространяется под лицензией BSD.
Вышла версия 2.0 набора DocBook-оформления для создания электронных и печатных документов по стандарту ГОСТ 19 (ЕСПД). В новую версию вошли многочисленные улучшения и исправления соответствия стандарту ГОСТ 19, а также некоторые элементы стандарта ЕСКД (ГОСТ 2).
Доступен выпуск основной ветки nginx 1.15.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).
Помимо скрытия тривиальных поддоменов и автоподключения к учётной записи в Chrome 69 всплыло ещё одно спорное изменение. После нажатия в настройках кнопки для очистки всех Cookie в браузере остаются сеансовые Cookie для сервисов Google, если активна привязка Chrome к учётной записи. Проблема в том, что привязка браузера к учётной записи теперь производится автоматически при аутентификации в любом сервисе Google, т.е. для очистки всех Cookie отныне вначале нужно отсоединиться от учётной записи, иначе Cookie Google останутся на месте.
Началось тестирование бета-версии дистрибутива Fedora 29. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 30 октября. Выпуск охватывает Fedora Workstation, Atomic Host, Fedora Server, Fedora Silverblue и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки подготовлены для архитектур x86_64, ARM (Raspberry Pi 2 и 3), ARM64 (AArch64) и Power.
Компания Mozilla объявила о публичной доступности сервиса Firefox Monitor, который позволяет проверить свой email на предмет возможной компрометации связанных с ним учётных записей. Кроме того, сервис позволяет подписаться на отправку уведомлений в случае если указанный email будет фигурировать в новых утечках паролей.
Компания Google учла недовольство пользователей, связанное с автоподключением к учётной записи и оставлением Cookie Google после применения функции удаления всех Cookie. В выпуске Chrome 70 решено добавить настройку "Allow Chrome sign-in", позволяющую выключить привязку входа в Chrome с входом в сервисы Google. Настройка будет присутствовать в штатном конфигураторе и не потребует манипуляций с "about:flags".
Доступен корректирующий выпуск GNOME 3.30.1, в который включены исправления ошибок, обновлена документация, улучшены переводы и внесены незначительные улучшения, направленные на увеличение стабильности.
После шести месяцев разработки компания Oracle выпустила платформу Java SE 11 (Java Platform, Standard Edition 11), в качестве эталонной реализации которой используется открытый проект OpenJDK. В Java SE 11 сохранена полная обратная совместимость с прошлыми выпусками платформы Java, все ранее написанные Java-проекты без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 11 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64), Solaris (SPARC), Windows и macOS. Разработанная в рамках проекта OpenJDK эталонная реализация Java 11 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими динамическое связывание с коммерческими продуктами.
Компания Qualys раскрыла информацию об уязвимости (CVE-2018-14634) в ядре Linux. Проблема вызвана целочисленным переполнением в функции create_elf_tables() и проявляется на 64-разрядных системах, имеющих более 32 Гб ОЗУ. Локальный атакующий может эксплуатировать уязвимость через исполняемый файл с флагом SUID root для получения полноценных root-привилегий в системе.
Спустя 10 лет с момента выхода предыдущего релиза доступна новая версия USBSnoop, системы для отслеживания URB-пакетов, передаваемых между системой и устройством USB. Основное применение данной утилиты - анализ поведения проприетарных драйверов USB-устройств в Windows для написания свободных аналогов. Код проекта распространяется под лицензией GPLv2.
Разработчики проекта KDE Neon, в рамках которого формируются Live-сборки с актуальными версиями программ и компонентов KDE, опубликовали стабильную сборку на базе LTS-выпуска Ubuntu 18.04. Предложено несколько вариантов сборок KDE Neon: User Edition на базе последних стабильных релизов KDE, Developer Edition Git Stable на базе кода из beta- и stable- веток Git-репозитория KDE и Developer Edition Git Unstable на базе находящихся в разработке веток из Git.
Reply to thread #86688 to message #
>qspoilerib// scodehint
Max total file size is 28.6 MB.
Max file number is 10.
Help