![]() | 04.03.2021 | В KDE Neon реализована поддержка offline-обновлений (87 –2) |
Разработчики проекта KDE Neon, в рамках которого формируются Live-сборки с актуальными версиями программ и компонентов KDE, сообщили о начале тестирования в сборках KDE Neon Unstable Edition механизма обновления системы в offline-режиме, предоставляемом системным менеджером systemd.
Offline-режим подразумевает установку обновлений не во время работы, а на начальном этапе загрузки системы, на котором обновляемые компоненты не могут привести к конфликтам и проблемам в работе уже запущенных приложений. В качестве примера проблем, которые возникали при установке обновлений на лету, упоминается необходимость перезапуска Firefox, крахи запущенных экземпляров файлового менеджера Dolphin и сбои в работе экрана блокировки системы. При инициировании обновления системы через интерфейс Discover обновления теперь не будут устанавливаться сразу - после загрузки необходимых пакетов будет выведено уведомление о необходимости перезагрузки системы для завершения обновления. При использовании других интерфейсов управления пакетами, таких как pkcon и apt-get, обновления как и раньше будут установлены сразу. Прежнее поведение также сохранится для пакетов в форматах flatpak и snap. Напомним, что проект KDE neon создан Джонатаном Ридделом (Jonathan Riddell), смещённым с поста лидера дистрибутива Kubuntu, с целью предоставления возможности установки свежих версий программ и компонентов KDE. Сборки и связанные с ними репозитории обновляются сразу после выхода релизов KDE, без необходимости ожидания появления новых версий в репозиториях дистрибутивов. В инфраструктуре проекта задействован сервер непрерывной интеграции Jenkins, который периодически сканирует содержимое серверов на предмет появления новых релизов. При выявлении новых компонентов стартует специальный сборочный контейнер на базе Docker, в котором оперативно формируется обновление пакетов.
| ||
Обсуждение (87 –2) |
Тип: Программы |
| ||
![]() | 03.03.2021 | openSUSE Leap 15.3 перешёл на стадию бета-тестирования (37 +5) |
Опубликован бета-выпуск дистрибутива openSUSE Leap 15.3, сформированного на основе базового набора пакетов дистрибутива SUSE Linux Enterprise с некоторыми пользовательскими приложениями из репозитория openSUSE Tumbleweed. Для загрузки доступна универсальная DVD-сборка, размером 4.3 ГБ (x86_64, aarch64, ppc64les, 390x). Релиз openSUSE Leap 15.3 ожидается в июле 2021 года.
В отличие от прошлых выпусков openSUSE Leap, версия 15.3 построена не через пересборку src-пакетов SUSE Linux Enterprise, а с использованием единого с SUSE Linux Enterprise 15 SP 3 набора бинарных пакетов. Предполагается, что использование одних и тех же бинарных пакетов в SUSE и openSUSE упростит миграцию от одного дистрибутива к другому, сэкономит ресурсы на сборку пакетов, распространение обновлений и тестирование, унифицирует различия в spec-файлах и позволит отойти от диагностики разных сборок пакетов при разборе сообщений об ошибках. Рабочий стол Xfce обновлён до ветки 4.16.
| ||
Обсуждение (37 +5) |
Тип: Программы |
| ||
![]() | 03.03.2021 | Выпуск дистрибутива NomadBSD 1.4 (48 +4) |
Доступен выпуск Live-дистрибутива NomadBSD 1.4, представляющего собой редакцию FreeBSD, адаптированную для использования в качестве переносного рабочего стола, загружаемого с USB-накопителя. Графическое окружение основано на оконном менеджере Openbox. Для монтирования накопителей применяется DSBMD (поддерживается монтирование CD9660, FAT, HFS+, NTFS, Ext2/3/4). Размер загрузочного образа 2.4 Гб (x86_64).
В новом выпуске:
| ||
Обсуждение (48 +4) |
Тип: Программы |
| ||
![]() | 02.03.2021 | Выпуск браузера Pale Moon 29.1 (185 +34) |
Доступен релиз web-браузера Pale Moon 29.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License).
Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum. В новой версии:
| ||
Обсуждение (185 +34) |
Тип: Программы |
| ||
![]() | 02.03.2021 | Опубликованы Linux From Scratch 10.1 и Beyond Linux From Scratch 10.1 (57 +21) |
Представлены новые выпуски руководств Linux From Scratch 10.1 (LFS) и Beyond Linux From Scratch 10.1 (BLFS), а также редакций LFS и BLFS с системным менеджером systemd. В Linux From Scratch приведены инструкции по созданию с нуля базовой Linux-системы, используя лишь исходные тексты необходимого программного обеспечения. Beyond Linux From Scratch дополняет инструкции LFS информацией о сборке и настройке около 1000 программных пакетов, охватывающих различные области применения, от СУБД и серверных систем, до графических оболочек и медиапроигрывателей.
В Linux From Scratch 10.1 осуществлён переход на Glibc 2.33, ядро Linux 5.10.17, SysVinit 2.98 и Systemd 247. Обновлены 40 пакетов, включая Binutils 2.36.1, Autoconf 2.71, Bash 5.1, Eudev 3.2.10, Grep 3.6, Inetutils 2.0, IPRoute2 5.10.0, Meson 0.57.1, Perl 5.32.1, Python 3.9.2, Tar 1.34, Tcl 8.6.11, Util-Linux 2.36.2, Vim 8.2.2433, Zstd 1.4.8. Исправлены ошибки в загрузочных скриптах, выполнены редакторские работы в пояснительных материалах по всей книге. В Beyond Linux From Scratch 10.1 обновлено около 850 программ, среди которых GNOME 3.38, KDE Plasma 5.21, KDE Applications 20.12.2, LibreOffice 7.1, Fmpeg 4.3.2, GIMP 2.10.22, Inkscape 1.0.2, Thunderbird 78.8.0, Firefox 78.8.0, SeaMonkey 2.53.6 и т.п. Кроме LFS и BLFS в рамках проекта ранее выпускалось несколько дополнительных книг:
| ||
Обсуждение (57 +21) |
Тип: Программы |
| ||
![]() | 02.03.2021 | Доступно второе издание книги "Программирование: введение в профессию" (193 +46) |
Андрей Столяров опубликовал в свободном доступе второе издание книги "Программирование: введение в профессию". Книга также доступна в бумажном варианте, напечатанном издательством МАКС Пресс. Издание включает три тома:
| ||
Обсуждение (193 +46) |
Тип: Обобщение |
яз. русский
| ||
![]() | 02.03.2021 | Опасные уязвимости в системе управления конфигурацией SaltStack (33 +8) |
В новых выпусках системы централизованного управления конфигурацией SaltStack 3002.5, 3001.6 и 3000.8 устранена уязвимость (CVE-2020-28243) позволяющая непривилегированному локальному пользователю хоста повысить свои привилегии в системе. Проблема вызвана ошибкой в обработчике salt-minion, применяемом для приёма команд с центрального сервера. Уязвимость была выявлена в ноябре, но исправлена только сейчас.
При выполнении операции "restartcheck" имеется возможность осуществить подстановку произвольных команд через манипуляции с именем процесса. В частности, запрос наличия пакета осуществлялся через запуск пакетного менеджера с передачей аргумента, полученного на основе имени процесса. Пакетный менеджер запускается через вызов функции popen в режиме запуска shell, но без экранирования спецсимволов. Изменив имя процесса и используя символы подобные ";" и "|" можно организовать выполнение своего кода. Кроме отмеченной проблемы в SaltStack 3002.5 устранено ещё 9 уязвимостей:
| ||
Обсуждение (33 +8) |
Тип: Проблемы безопасности |
| ||
![]() | 02.03.2021 | Опубликован разбор инцидента с потерей контроля над доменом perl.com (29 +10) |
Брайан Фой (brian d foy), основатель организации Perl Mongers, опубликовал подробный разбор инцидента, в результате которого домен perl.com был захвачен посторонними лицами. Захват домена не затронул серверную инфраструктуру проекта и был совершён на уровне смены владельца и замены параметров DNS-серверов у регистратора. Утверждается, что компьютеры ответственных за домен также не были скомпрометированы и атакующие пользовались методами социальной инженерии для введения регистратора Network Solutions в заблуждение и смены данных о владельце, используя фальшивые документы для подтверждения прав на владение доменом.
Среди факторов, способствовавших атаке, также упоминаются отключение двухфакторной аутентификации в интерфейсе регистратора и использование контактного email, указывающего на тот же домен. Захват домена был совершён ещё в сентябре 2020 года, в декабре домен был переведён китайскому регистратору BizCN, а в январе для запутывания следов был передан немецкому регистратору Key-Systems GmbH. До декабря домен оставался в Network Solutions в соответствии с требованиями ICANN, запрещающими передачу домена другому регистратору в течение 60 дней после изменения контактной информации. В случае если бы информация о захвате домена раскрылась до декабря процесс возврата домена существенно бы упростился, поэтому злоумышленники длительное время не меняли DNS-серверы и домен продолжал работать не вызывая подозрений, что помешало своевременному выявлению атаки. Проблема всплыла только в конце января, когда мошенники перенаправили трафик на свой сервер и попытались продать домен на сайте Afternic за 190 тысяч долларов. Из связанных с языком Perl событий также можно отметить отказ архива модулей CPAN от использования зеркал в пользу применения сети доставки контента, снимающей нагрузку с основного сервера. В июне планируется полностью очистить список зеркал, в котором останется только одна запись - www.cpan.org. Возможность ручной настройки клиента CPAN для работы через явно указанное зеркало сохранится.
| ||
Обсуждение (29 +10) |
Тип: Проблемы безопасности |
| ||
![]() | 02.03.2021 | Выпуск aTox 0.6.0, приватного и безопасного мессенджера для Android (260 +23) |
Состоялся выпуск aTox 0.6.0 - новой версии свободного мобильного мессенджера, использующего протокол Tox (c-toxcore). Tox предлагает децентрализованную P2P-модель распространения сообщений, использующую криптографические методы для идентификации пользователя и защиты транзитного трафика от перехвата. Приложение написано на языке программирования Kotlin. Исходный код и готовые сборки приложения распространяются под лицензией GNU GPLv3.
Особенности aTox:
![]() История изменений aTox 0.6.0:
В последующих версиях aTox разработчик планирует добавить следующие крупные функции (от более приоритетных к менее приоритетным): аудиозвонки, видеозвонки, групповые чаты. А также множество других, более мелких новых функций и улучшений. Загрузить пакеты с aTox можно с GitHub и F-Droid (версия 0.6.0 будет добавлена в ближайшее время, а вместе с ней будет убрано и неприятное предупреждение о "несвободных сетевых сервисах").
| ||
![]() | 01.03.2021 | Выпуск командной оболочки fish 3.2 (63 +13) |
Опубликован релиз интерактивной командной оболочки fish 3.2.0 (friendly interactive shell), развивающейся как более дружественная пользователю альтернатива bash и zsh. Fish поддерживает такие возможности как подсветка синтаксиса с автоматическим выявлением ошибок ввода, предложение возможных вариантов ввода на основе истории прошлых операций, автодополнение ввода опций и команд с использованием их описания в man-руководствах, комфортная работа из коробки без необходимости дополнительной настройки, упрощённый язык написания сценариев, поддержка буфера обмена X11, удобные средства поиска в истории выполненных операций. Код проекта распространяется под лицензией GPLv2. Готовые пакеты сформированы для Ubuntu, Debian, Fedora, openSUSE и RHEL.
Среди добавленных новшеств:
| ||
Обсуждение (63 +13) |
Тип: Программы |
| ||
![]() | 01.03.2021 | Уязвимость в wpa_supplicant, не исключающая удалённое выполнение кода (75 +21) |
В пакете wpa_supplicant, используемом для организации подключения к беспроводной сети во многих дистрибутивах GNU/Linux, NetBSD и Android, выявлена уязвимость (CVE-2021-27803), которая потенциально может быть использована для выполнения кода злоумышленника при обработке специально оформленных управляющих кадров Wi-Fi Direct (Wi-Fi P2P). Для проведения атаки злоумышленник должен находиться в пределах досягаемости беспроводной сети, чтобы отправить жертве специально оформленный набор кадров.
Проблема вызвана ошибкой в обработчике Wi-Fi P2P, из-за которой обработка некорректно оформленного кадра PDR (Provision Discovery Request) может привести к состоянию, при котором запись о старом P2P-пире будет удалена и информация будет записана в уже освобождённый блок памяти (use-after-free). Проблеме подвержены выпуски wpa_supplicant с 1.0 по 2.9, собранные с опцией CONFIG_P2P. Уязвимость будет устранена в выпуске wpa_supplicant 2.10. В дистрибутивах обновление с исправлением опубликовано для Fedora Linux. Статус публикации обновлений другими дистрибутивами можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Arch Linux. В качестве обходного пути блокирования уязвимости достаточно отключить поддержку P2P, указав в настройках "p2p_disabled=1" или выполнив в CLI-интерфейсе команду "P2P_SET disabled 1".
| ||
Обсуждение (75 +21) |
Тип: Проблемы безопасности |
| ||
![]() | 01.03.2021 | Федеральный Суд США обязал предоставить исходные тексты ПО для анализа ДНК (112 +63) |
Федеральный Суд США вынес решение о необходимости предоставления стороне защиты исходных текстов программного обеспечения TrueAllele, использовавшегося для анализа ДНК подозреваемого в совершении тяжкого преступления. Суд согласился с позицией адвокатов, которые утверждали, что применяемое при сборе доказательств программное обеспечение может содержать ошибки, способные исказить результаты и привести к осуждению невиновного. Поэтому адвокаты настаивали на предоставлении им доступа к коду программы, применявшейся для анализа ДНК, для проведения независимого аудита.
Изначально сторона обвинения и компания-производитель Cybergenetics отказывались предоставить код под предлогом сохранения коммерческой тайны, но суд решил, что право обвиняемого оспорить предоставленные доказательства и опасность возникновения ложных выводов о совершении преступления из-за ошибок в сложном ПО перекрывает коммерческие интересы, и постановил предоставить исходные тексты стороне защиты. Код предоставлен на условиях неразглашения, но в прошлом уже был подобный инцидент - после того как защита сумела найти несколько изъянов в ПО, суд одобрил публикацию кода для проведения публичного аудита.
| ||
Обсуждение (112 +63) |
Тип: К сведению |
| ||
![]() | 28.02.2021 | Обновление компилятора языка программирования Vala 0.50.4 (56 +10) |
Вышла новая версия компилятора для языка программирования Vala 0.50.4.
Также была обновлена ветка с долгосрочной поддержкой (LTS) Vala 0.48.14 (упаковывается для Ubuntu 18.04) и экспериментальная ветка Vala 0.51.3.
Язык Vala является объектно-ориентированным языком программирования, предоставляет синтаксис, подобный языкам C# или Java. В качестве объектной модели используется Gobject (Glib Object System). Управление памятью осуществляется по владению (owned/unowned ссылки) либо с помощью ARC(подстановка деструкторов и декрементов счетчиков ссылок объектов на этапе компиляции). В языке имеется поддержка интроспекции, лямбда-функций, интерфейсов, делегатов и замыканий, сигналов и слотов, исключений, свойств, ненулевых типов, выведения типов для локальных переменных. В комплекте поставляется большое количество биндингов к библиотекам на языке C (vala-girs, vala-extra-vapis). Программы на языке Vala транслируются в представление на языке C, а затем компилируются штатным компилятором для языка C. Имеется возможность запуска программ в режиме сценария. Список изменений:
| ||
![]() | 28.02.2021 | Корректирующий релиз OpenVPN 2.5.1 (93 +18) |
Подготовлен корректирующий релиз OpenVPN 2.5.1, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.
Основные исправления:
| ||
![]() | 28.02.2021 | Void Linux возвращается с LibreSSL на OpenSSL (72 +19) |
Разработчики дистрибутива Void Linux утвердили рассматривавшееся с апреля прошлого года предложение по возвращению к использованию библиотеки OpenSSL. Замена LibreSSL на OpenSSL намечена на 5 марта. Предполагается, что изменение не повлияет на системы большинства пользователей, но существенно упростит сопровождение дистрибутива и позволит решить многие проблемы, например, даст возможность собирать OpenVPN со штатной TLS-библиотекой (сейчас из-за проблем с LibreSSL пакет собирается с Mbed TLS). Ценой возвращения на OpenSSL станет прекращение поддержки некоторых пакетов, которые завязаны на старый API OpenSSL, поддержка которого прекращена в новых ветках OpenSSL, но сохранялась в LibreSSL.
Ранее c LibreSSL на OpenSSL уже вернулись проекты Gentoo, Alpine и HardenedBSD. Основным мотивом возвращения OpenSSL стало нарастание несовместимости между LibreSSL и OpenSSL, которая приводила к необходимости поставки дополнительных патчей, усложняла сопровождение и затрудняла обновление версий. Например, разработчики Qt отказываются поддерживать LibreSSL, и перекладывают работу по решению проблем с совместимостью на разработчиков дистрибутивов, что требует большой дополнительной работы по портированию Qt6 при использовании LibreSSL. Кроме того, темп разработки OpenSSL в последние годы усилился, проведена основательная работа по повышению безопасности кодовой базы и добавлению специфичных для аппаратных платформ оптимизаций, предоставлена полноценная реализация TLS 1.3. Использование OpenSSL также позволит расширить поддержку алгоритмов шифрования в некоторых пакетах. Например, в Python при сборке с LibreSSL включался лишь ограниченный набор шифров.
| ||
Обсуждение (72 +19) |
Тип: К сведению |
| ||
Следующая страница (раньше) >> |
Закладки на сайте Проследить за страницей |
Created 1996-2021 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |