Компания Google включила компилятор для языка программирования Rust в состав исходных текстов платформы Android, что позволяет использовать данный язык для сборки компонентов Android или для проведения тестов. В состав также добавлены репозиторий android_rust со скриптами для сборки Rust для Android и crate-пакеты byteorder, remain и libc. Следует отметить, что аналогичным образом в состав репозитория с кодом Android входят языки Go, Python, Perl, M4, Java (JDK11), а также GCC и LLVM.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51133

Представлен выпуск дистрибутива Slackel 7.2, построенного на наработках проектов Slackware и Salix, и полностью совместимого с предлагаемыми в них репозиториями. Ключевой особенностью Slackel является использование постоянно обновляемой ветки Slackware-Current. Графическое окружение основано на оконном менеджере Openbox. Размер загрузочного образа, способного работать в Live-режиме, 1.5 Гб (32 и 64 бит). Дистрибутив может использоваться на системах с 512 МБ ОЗУ.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51137

Состоялся релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.15, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51135

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.7 (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Об особенностях LKRG можно прочитать в первом анонсе проекта.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51139

18 июля вышла новая версия NetSurf — быстрого и легковесного веб-браузера, ориентированного на слабые устройства и работающего, помимо собственно GNU/Linux и других *nix, на RISC OS, Atari, AmigaOS, Windows, а также имеющего неофициальный порт на KolibriOS. Браузер использует собственный движок и поддерживает HTML4 и CSS2 (HTML5 и CSS3 на ранней стадии разработки), а также JavaScript (ES2015; DOM API реализован частично). Основные изменения: Добавлена поддержка CSS Media Queries (level 4). Добавлена поддержка формата изображений WebP. Полноценная поддержка CSS-пикселей, что улучшает поддержку HiDPI экранов. u2015 Множество мелких исправлений и улучшений. Также в версии 3.8, новости про которую на ЛОРе не было, была добавлена поддержка HSTS, CMYK/YCCK JPEG и новых единиц измерения CSS (rem, vw/vh и других). >>> [ Полный список изменений ]( https://download.netsurf-browser.org/netsurf/releases/ChangeLog.txt )
Ссылка: https://www.linux.org.ru/news/internet/15121833

[ Free as in Freedom на русском: Глава 1. Роковой принтер ]( https://www.linux.org.ru/news/doc/15052378 ) [ Free as in Freedom на русском: Глава 2. 2001: Хакерская одиссея ]( https://www.linux.org.ru/news/doc/15056810 ) [ Free as in Freedom на русском: Глава 3. Портрет хакера в юности ]( https://www.linux.org.ru/news/doc/15063931 ) [ Free as in Freedom на русском: Глава 4. Развенчай бога ]( https://www.linux.org.ru/news/doc/15071024 ) [ Free as in Freedom на русском: Глава 5. Ручеёк свободы ]( https://www.linux.org.ru/news/doc/15092180 ) [ Free as in Freedom на русском: Глава 6. Коммуна Emacs ]( https://www.linux.org.ru/news/doc/15113843 ) Дилемма абсолютной морали В половину первого ночи 27 сентября 1983 года в Usenet-группе net.unix-wizards появилось необычное сообщение за подписью rms@mit-oz. Сообщение называлось коротко и крайне заманчиво: «Новая реализация UNIX». Но вместо некой готовой новой версии Unix читатель обнаруживал призыв: В этот День Благодарения я начинаю писать новую, полностью совместимую с Unix операционную систему, которая будет называться GNU (GNU’s Not Unix). Я буду свободно раздавать её всем желающим. Мне очень нужны ваше время, деньги, код, оборудование – любая помощь. В глазах опытного Unix-разработчика сообщение выглядело смесью идеализма с высоким самомнением. Автор не просто брался воссоздать с нуля целую операционную систему, весьма развитую и мощную, но ещё и улучшить её. Система GNU должна была вмещать в себя все нужные компоненты вроде текстового редактора, командной оболочки, компилятора, а также «ряд других вещей». Обещались и крайне привлекательные возможности, которых не было в существующих Unix-системах: графический интерфейс на языке программирования Lisp, устойчивая к сбоям файловая система, сетевые протоколы на основе сетевой архитектуры МТИ. «GNU сможет запускать Unix-программы, но не будет идентичен системе Unix, – писал автор, – мы сделаем все нужные улучшения, которые назрели за годы работы в различных операционных системах». Предвидя скептическую реакцию на своё сообщение, автор дополнил его кратким автобиографическим отступлением под заголовком: «Кто я такой?»: Я Ричард Столлман, создатель оригинального редактора EMACS, один из клонов которого вы наверняка встречали. Работаю в Лаборатории ИИ Массачусетского технологического института. Имею большой опыт разработки компиляторов, редакторов, отладчиков, командных интерпретаторов, операционных систем ITS и Lisp Machine. Реализовал независимую от терминалов поддержку экрана в ITS, а также отказоустойчивую файловую систему и две оконные системы для Lisp-машин. Так уж вышло, что затейливый проект Столлмана стартовал не в День Благодарения, как обещалось. Только в январе 1984 года Ричард с головой погрузился в разработку программного обеспечения в стиле Unix. С точки зрения системного архитектора ITS, это было всё равно что перейти от возведения мавританских дворцов к строительству пригородных торговых центров. Впрочем, разработка Unix-системы открывала и преимущества. ITS, при всей своей мощи, имела слабое место – работала лишь на компьютере PDP-10 от компании DEC. В начале 80-х годов Лаборатория отказалась от PDP-10, и ITS, которую хакеры сравнивали с оживлённым городом, превратилась в город-призрак. Unix же был изначально разработан с прицелом на переносимость с одной компьютерной архитектуры на другую, так что подобные беды ему не грозили. Разработанный младшими научными сотрудниками AT&T, Unix проскользнул мимо корпоративных радаров и нашёл спокойное пристанище в некоммерческом мире научных центров. Имея меньше ресурсов, чем их собратья-хакеры в МТИ, разработчики Unix приспособили свою систему к работе на зоопарке разносортного оборудования. Главным образом – на 16-битной PDP-11, которую хакеры Лаборатории считали непригодной для серьёзных задач, но также и на 32-битных мейнфреймах вроде VAX 11/780. К 1983 году такие компании, как Sun Microsystems, создали относительно компактные настольные компьютеры – «рабочие станции», сравнимые по мощности со старым мейнфреймом PDP-10. На этих рабочих станциях тоже поселился вездесущий Unix. Переносимость Unix обеспечивалась дополнительным слоем абстракции между приложениями и оборудованием. Вместо того, чтобы писать программы в машинных кодах конкретного компьютера, как это делали хакеры Лаборатории, разрабатывая программы для ITS на PDP-10, разработчики Unix использовали высокоуровневый язык программирования С, который не был привязан к конкретной аппаратной платформе. При этом разработчики сосредоточили внимание на стандартизации интерфейсов, через которые части операционной системы взаимодействовали друг с другом. В итоге получилась система, где любую часть можно было переделать, не затрагивая все остальные части и не нарушая их работу. И чтобы перенести систему с одной аппаратной архитектуры на другую, тоже достаточно было переделать только одну часть системы, а не переписывать её всю целиком. Специалисты по достоинству оценили такой фантастический уровень гибкости и удобства, поэтому Unix быстро распространился по компьютерному миру. Столлман решил создать систему GNU из-за кончины ITS, любимого детища хакеров Лаборатории ИИ. Смерть ITS была ударом для них, в том числе и для Ричарда. Если история с лазерным принтером Xerox открыла ему глаза на несправедливость собственнических лицензий, то кончина ITS подтолкнула его от неприятия закрытого софта к активному противодействию ему. Причины гибели ITS, как и её код, уходили далеко в прошлое. К 1980 году большинство хакеров Лаборатории уже работали над Lisp-машиной и операционной системой для неё. Lisp – элегантный язык программирования, прекрасно подходящий для работы с данными, структура которых заранее неизвестна. Его создал пионер исследований искусственного интеллекта и создатель самого термина «искусственный интеллект» Джон Маккарти, который работал в МТИ во второй половине 50-х годов. Название языка – сокращение от «LISt Processing» или «обработка списков». После того, как Маккарти ушёл из МТИ в Стэнфорд, хакеры Лаборатории несколько изменили Lisp, создав его местечковый диалект MACLISP, где первые 3 буквы обозначали проект MAC, благодаря которому, собственно, и появилась Лаборатория ИИ в МТИ. Под руководством системного архитектора Ричарда Гринблатта хакеры Лаборатории разработали Lisp-машину – специальный компьютер для выполнения программ на языке Lisp, а также операционную систему для этого компьютера – тоже, конечно, написанную на Lisp. К началу 80-х годов конкурирующие группы хакеров основали две компании по производству и продаже Lisp-машин. Компания Гринблатта называлась Lisp Machines Incorporated или просто LMI. Он рассчитывал обойтись без внешних инвестиций и создать чисто «хакерскую компанию». Но большинство хакеров присоединились к Symbolics, обычному коммерческому стартапу. В 1982 году они уже полностью покинули МТИ. Тех, кто остался, можно было по пальцам одной руки пересчитать, так что программы и машины чинились всё дольше и дольше, или не чинились вовсе. И что хуже всего, по словам Столлмана – в Лаборатории начались «демографические изменения». Хакеры, которые и раньше были в меньшинстве, почти исчезли, оставив Лабораторию в полное распоряжение преподавателей и студентов, чьё отношение к PDP-10 было откровенно неприязненным. В 1982 году Лаборатория ИИ получила замену своему 12-летнему PDP-10 – DECSYSTEM 20. Приложения, написанные для PDP-10, работали на новом компьютере без проблем, потому что DECSYSTEM 20 был, по сути, обновлённым PDP-10, но вот прежняя операционная система совсем не подходила – ITS нужно было портировать на новый компьютер, а значит – почти полностью переписать. И это в то время, когда из Лаборатории ушли почти все хакеры, которые могли бы этим заняться. Так что на новом компьютере быстро воцарилась коммерческая операционная система Twenex. Немногие хакеры, что остались в МТИ, могли только смириться с этим. «Без хакеров, которые потянули бы создание и сопровождение операционной системы, мы обречены, – говорили сотрудники факультета и студенты, – нам нужна коммерческая система, которую поддерживает какая-нибудь компания, чтобы она сама решала проблемы с этой системой». Столлман вспоминает, что этот аргумент оказался жестокой ошибкой, но в тот момент он звучал убедительно. Поначалу хакеры видели в Twenex очередное воплощение авторитарной корпократии, которое так и хотелось сломать. Даже в названии отразилась неприязнь хакеров – вообще-то, система называлась TOPS-20, указывая на преемственность с TOPS-10, тоже коммерческой системой DEC для PDP-10. Но архитектурно TOPS-20 не имела ничего общего с TOPS-10. Её сделали на основе системы Tenex, которую компания Bolt, Beranek and Newman разработала для PDP-10. . Называть систему «Twenex» начал Столлман, просто чтобы не называть её TOPS-20. «Системе было далеко до топовых решений, так что называть её официальным именем язык не поворачивался, – вспоминает Столлман, – поэтому я вставил в ‘Tenex’ букву ‘w’, чтобы получилось ‘Twenex’». (Это название обыгрывает слово «twenty», т.е. «двадцать») Компьютер, на котором работал Twenex/TOPS-20, иронично называли «Оз». Дело в том, что DECSYSTEM 20 требовал маленькую машину PDP-11 для работы терминала. Один хакер, впервые увидев подключение PDP-11 к этому компьютеру, сравнил это с пафосным представлением Волшебника из страны Оз. «Я великий и ужасный Оз! – продекламировал он. – Только не смотрите на мелюзгу, от которой я работаю». А вот в операционной системе нового компьютера не было уже ничего смешного. Безопасность и контроль доступа были встроены в Twenex на базовом уровне, и её утилиты с приложениями тоже были разработаны с учётом безопасности. Снисходительные шутки над системами безопасности Лаборатории превратились в серьёзную битву за управление компьютером. Администраторы утверждали, что без систем безопасности Twenex будет нестабильна и неустойчива к ошибкам. Хакеры уверяли, что стабильности и надёжности куда быстрее можно достигнуть редактированием исходного кода системы. Но их в Лаборатории было уже так мало, что к ним никто не прислушивался. Хакеры подумали, что обойти ограничения безопасности можно, выдав всем пользователям «рулевые привилегии» – повышенные права, дающие возможность делать многое из того, что обычному пользователю запрещено. Но в этом случае любой пользователь мог отобрать «рулевые привилегии» у любого другого пользователя, и тот не мог вернуть их себе за неимением прав доступа. Поэтому хакеры решили получить контроль над системой, отобрав «рулевые привилегии» у всех, кроме себя. Подбор паролей и запуск отладчика во время загрузки системы ничего не дали. Потерпев неудачу в «государственном перевороте», Столлман разослал сообщение всем работникам Лаборатории. «До сих пор аристократы были повержены, – писал он, – но теперь они взяли верх, и попытка захватить власть не увенчалась успехом». Ричард подписал сообщение: «Radio Free OZ», чтобы никто не догадался, что это он. Отличная маскировка, если учесть, что все в Лаборатории знали об отношении Столлмана к системам безопасности и его издевательствах над паролями. Впрочем, отвращение Ричарда к паролям было известно далеко за пределами МТИ. На компьютеры Лаборатории под учётной записью Столлмана ходил чуть ли не весь ARPAnet – прообраз интернета тех времён. Таким «туристом» был, например, Дон Хопкинс, программист из Калифорнии, который через хакерское сарафанное радио узнал, что войти в прославленную систему ITS в МТИ можно просто введя 3 буквы инициалов Столлмана в качестве логина и пароля. «Я бесконечно благодарен МТИ за то, что я и многие другие люди могли свободно пользоваться их компьютерами, – говорит Хопкинс, – это очень много значило для всех нас». Эта «туристическая» политика длилась много лет, пока жила система ITS, и руководство МТИ смотрело на неё снисходительно. . Но когда машина Оз стала основным мостом из Лаборатории в ARPAnet, всё изменилось. Столлман всё так же предоставлял доступ к своему аккаунту под известными логином и паролем, но администраторы потребовали от него изменить пароль и никому его больше не давать. Ричард, ссылаясь на свою этику, вообще отказался работать на машине Оз.. «Когда пароли начали появляться на компьютерах Лаборатории ИИ, я решил следовать своему убеждению, что паролей быть не должно, – говорил позже Столлман, – а поскольку я считал, что компьютерам не нужны системы безопасности, я не должен был поддерживать эти меры по их внедрению». Отказ Столлмана преклонить колени перед великой и ужасной машиной Оз показывал, что между хакерами и начальством Лаборатории росла напряжённость. Но напряжённость эта была лишь бледной тенью того конфликта, что бушевала в самом хакерском коллективе, который разделился на 2 лагеря: LMI (Lisp Machines Incorporated) и Symbolics. Symbolics получила немало вложений извне, чем привлекла многих хакеров Лаборатории. Они работали над системой Lisp-машины и в МТИ, и за его пределами. К концу 1980 года компания наняла 14 сотрудников Лаборатории в качестве консультантов для разработки собственной версии Lisp-машины. Остальные хакеры, не считая Столлмана, работали на LMI. Ричард решил не занимать ничью сторону, и по привычке был сам по себе. Первое время хакеры, нанятые Symbolics, продолжали работать и в МТИ, совершенствуя систему Lisp-машины. Они, как и хакеры от LMI, использовали для своего кода лицензию MIT. Она требовала возвращать изменения в МТИ, но не требовала от МТИ распространять эти изменения. Тем не менее, в течение 1981 года хакеры придерживались джентльменского соглашения, по которому все их улучшения вносились в Lisp-машину от МТИ и распространялись среди всех пользователей этих машин. Такое положение вещей ещё сохраняло какую-то стабильность хакерского коллектива. Но 16 марта 1982 года – Столлман хорошо помнит этот день, потому что это был его день рождения – джентльменскому соглашению пришёл конец. Это произошло по воле руководства Symbolics, оно таким образом хотело придушить своего конкурента – компанию LMI, на которую работало намного меньше хакеров. Руководители Symbolics рассудили так: если у LMI в разы меньше сотрудников, то получается, что общая работа над Lisp-машиной выгодна именно ей, и если прекратить этот обмен наработками, то LMI будет уничтожена. С этой целью они решили злоупотребить буквой лицензии. Вместо того, чтобы вносить изменения в МТИ-версию системы, которой могла воспользоваться LMI, они начали поставлять в МТИ Symbolics-версию системы, которую они могли править как угодно. Выходило, что любое тестирование и редактирование кода Lisp-машины в МТИ шло только в пользу Symbolics. Как человек, ответственный за сопровождение лабораторной Lisp-машины (первые несколько месяцев – при помощи Гринблатта), Столлман пришёл в ярость. Хакеры Symbolics предоставили код с сотнями изменений, которые вызывали ошибки. Расценив это как ультиматум, Столлман отключил линию связи Лаборатории с Symbolics, поклялся больше никогда не работать на машинах этой компании, и объявил о присоединении к работе над Lisp-машиной МТИ для поддержки LMI. «В моих глазах Лаборатория была нейтральной страной, как Бельгия во Вторую Мировую войну, – рассказывает Столлман, – и если Германия вторгается в Бельгию, та объявляет Германии войну и присоединяется к Британии и Франции». Когда руководители Symbolics заметили, что их последние новшества всё так же появляются и на МТИ-версии Lisp-машины, они разозлились и стали обвинять хакеров Лаборатории в воровстве кода. Но Столлман нисколько не нарушал закона об авторском праве. Он изучил код, предоставленный Symbolics, и сделал логичные предположения о будущих исправлениях и усовершенствованиях, которые и стал реализовывать с нуля для Lisp-машины МТИ. Руководители Symbolics не верили этому. Они установили шпионскую программу на терминал Столлмана, которая записывала всё, что Ричард делал. Так они надеялись собрать улики воровства кода и показать их администрации МТИ, но даже к началу 1983 года показывать было почти нечего. Всё, что у них было, это какая-то дюжина мест, где код двух систем выглядел немного схоже. Когда администраторы Лаборатории показали доказательства Symbolics Столлману, он опроверг их, сказав, что код был именно похожим, но не одинаковым. И обратил логику руководства Symbolics против него самого: если эти крупицы похожего кода – всё, что на него смогли накопать, то это лишь доказывает, что Столлман на самом деле не воровал код. Этого было достаточно, чтобы управляющие Лабораторией одобрили работу Столлмана, и он продолжал её до конца 1983 года. . Но свой подход Столлман изменил. Чтобы максимально обезопасить себя и проект от претензий Symbolics, он совсем перестал смотреть в их исходные коды. Он стал писать код исключительно по документации. Самые большие новшества Ричард не ждал от Symbolics, а реализовывал сам, потом лишь добавлял интерфейсы для совместимости с реализацией Symbolics, опираясь на их документацию. Также он читал список изменений в коде Symbolics, чтобы понять, какие ошибки они исправляли, и исправлял эти ошибки самостоятельно, другими способами. Происходящее укрепило решимость Столлмана. Создав аналоги новых функций Symbolics, он склонил сотрудников Лаборатории к МТИ-версии Lisp-машины, что обеспечило хороший уровень тестирования и поиска ошибок. А МТИ-версия была полностью открыта для LMI. «Я хотел наказать Symbolics любой ценой», – рассказывает Столлман. Это заявление говорит не только о том, что характер Ричарда далёк от пацифизма, но и о том, что конфликт вокруг Lisp-машины задел его за живое. Отчаянную решимость Столлмана можно понять, если учесть, как происходящее выглядело для него – «разрушением» его «дома», то есть хакерского сообщества и культуры Лаборатории ИИ. Позднее Леви брал у Столлмана интервью по электронной почте, и Ричард там сравнивал себя с Иши – последним известным представителем индейской народности Яхи, которую истребили в индейских войнах 1860-1870-х годов. Эта аналогия придаёт излагаемым событиям эпический, почти мифологический размах. Хакеры, что работали на Symbolics, видели это в несколько другом свете: их компания не разрушала и не истребляла, а только делала то, что давно нужно было сделать. Переместив Lisp-машину в поле коммерции, Symbolics сменила подход к проектированию программ – вместо кройки их по твердолобым лекалам хакеров стали использоваться более мягкие и человечные нормы менеджеров. И Столлмана они расценивали не как противника-бойца на страже правого дела, а как носителя устаревшего мышления. Масла в огонь подлили и личные раздоры. Ещё до появления Symbolics многие хакеры сторонились Столлмана, а теперь ситуация ухудшилась многократно. «Меня больше не звали в поездки до Чайна-тауна, – вспоминает Ричард, – Гринблатт дал начало обычаю: когда ты хочешь пообедать, ты обходишь коллег и зовёшь их с собой, или же шлёшь им сообщение. Где-то в 1980-1981 году меня перестали звать. Они не только не приглашали меня, но и, как признался мне потом один человек, давили на остальных, чтобы никто не говорил мне о планируемых поездах на обед».
Ссылка: https://www.linux.org.ru/news/doc/15124327

Тихо и незаметно, несколько минут назад ― состоялся минорный релиз Wire версии 3.35 для Android. Wire ― свободный кроссплатформенный месседжер c E2EE по умолчанию (то есть все чаты ― секретные), разрабатываемый [ Wire Swiss GmbH ]( https://github.com/wireapp ) и распространяемый под лицензиями GPLv3 (клиенты) и AGPLv3 ( [ сервер ]( https://github.com/wireapp/wire-server ) ). На данный момент месседжер является централизованным, но существуют планы для последующей федерации ( [ см. блогпост по поводу предстоящего доклада на BlackHat 2019 ]( https://wire.com/en/blog/wire_at_blackhat2019/ ) ) на основе будущих стандартов IETF для Messaging Layer Security (MLS): [ архитектура ]( https://datatracker.ietf.org/doc/draft-ietf-mls-architecture/ ) , [ протокол ]( https://datatracker.ietf.org/doc/draft-ietf-mls-protocol/ ) , [ федерация ]( https://datatracker.ietf.org/doc/draft-omara-mls-federation/ ) , разрабатываемых совместно с сотрудниками Google, INRIA, Mozilla, Twitter, Cisco, Facebook и University of Oxford. ( [ читать дальше... ]( https://www.linux.org.ru/news/security/15125078#cut ) )
Ссылка: https://www.linux.org.ru/news/security/15125078

Компания Dropbox выпустила бета-версию новой ветки (77.3.127) десктоп-клиента для работы с облачным сервисом Dropbox, в которой для Linux добавлена поддержка XFS, ZFS, Btrfs и eCryptFS. Поддержка ZFS и XFS заявлена только для 64-разрядных систем. Кроме того в новой версии обеспечено отображение размера данных, сохранённых через функцию Smarter Smart Sync, и устранена ошибка, приводившая к неработоспособности кнопки "Open Dropbox Folder" в Ubuntu 19.04.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51140

Опубликован метод, позволяющий в любом дополнении к Chrome добиться выполнения внешнего JavaScript-кода без предоставления дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить только код, входящий в локальную поставку, но предложенный метод даёт возможность обойти данное ограничение и выполнить в контексте дополнения любой JavaScript, загруженный с внешнего сайта.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51142

22 – 25 августа под Минском пройдет летняя сессия Международной конференции разработчиков и пользователей свободного программного обеспечения Linux Vacation / Eastern Europe – LVEE 2019. Мероприятие объединяет общение и отдых специалистов и энтузиастов в области свободного ПО, включая платформу GNU/Linux, но не ограничиваясь ею.Заявки на участие и тезисы докладов принимаются до 4 августа.
Ссылка: https://www.linux.org.ru/news/conference/15124863

В подсистеме fbdev (Framebuffer) выявлена уязвимость, которая может привести к переполнению стека ядра на 64 байта при обработке некорректно оформленных параметров EDID. Эксплуатация может быть осуществлена через подключение к компьютеру вредоносного монитора, проектора или иного устройства вывода (например, специально подготовленного устройства, симулирующего монитор). Интересно, что на уведомление об уязвимости первым откликнулся Линус Торвальдс, который предложил собственноручно написанный патч с исправлением.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51143

Состоялся выпуск минималистичного многоплатформенного web-браузера NetSurf 3.9, способного работать на системах с несколькими десятками мегабайт ОЗУ. Выпуск подготовлен для Linux, Windows, Haiku, AmigaOS, RISC OS и различных Unix-подобных систем. Код браузера написан на языке Си и распространяется под лицензией GPLv2. Новый выпуск примечателен поддержкой CSS Media Queries, улучшением обработки JavaScript и исправлением накопившихся ошибок.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51147

Ubisoft объявил, что присоединится к фонду разработки Blender в качестве золотого участника (Gold Member). Ubisoft не только поможет финансировать разработку Blender, но также выделит разработчиков Ubisoft Animation Studio для участия в проектах Blender.
Ссылка: https://www.linux.org.ru/news/opensource/15125658

Организации Apache Software Foundation представила интегрированную среду разработки Apache NetBeans 11.1. Это третий релиз, подготовленный Фондом Apache после передачи кода NetBeans компанией Oracle и первый выпуск после перевода проекта из инкубатора в разряд первичных проектов Apache. Выпуск содержит поддержку языков программирования Java SE, Java EE, PHP, JavaScript и Groovy. Перенос поддержки C/C++ из переданной компанией Oracle кодовой базы ожидается в одном из следующих выпусков.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51148

Опубликован релиз проекта CoreBoot 4.10, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие 198 разработчиков, которые подготовили 2538 изменений.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51155

Доступен выпуск основной ветки nginx 1.17.2, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.16 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51156

В ftp-сервере ProFTPD выявлена опасная уязвимость (CVE-2019-12815), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен уровень опасности 9.8 из 10, так как она может примеряться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51158

Разработчики почтового сервера Exim предупредили администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51157

В ProFTPd (популярный ftp-server) выявлена критическая уязвимость (CVE-2019-12815). Эксплуатация позволяет копировать файлы в пределах сервера без аутентификации при помощи команд «site cpfr» и «site cpto», в том числе и на серверах с анонимным доступом. Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов. Уязвимости подвержены все актуальные версии во всех дистрибутивах, кроме Fedora. На настоящий момент исправление доступно в виде [ патча ]( https://github.com/proftpd/proftpd/pull/816 ) . Как временное решение рекомендуется отключить mod_copy.
Ссылка: https://www.linux.org.ru/news/security/15129194

Девон О'Брайен (Devon O'Brien) из команды, отвечающей за безопасность браузера Chrome, объявил о намерении компании Google заблокировать промежуточные сертификаты DarkMatter в браузере Chrome и платформе Android. Также планируется отклонить заявку на включение корневого сертификата DarkMatter в хранилище сертификатов Google. Напомним, что ранее аналогичное решение было принято компанией Mozilla. Google согласился с высказанными представителями Mozilla доводами и посчитал имеющиеся претензии к DarkMatter достаточными.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51159

Разработчики Exim заявили об обнаружении уязвимости и предстоящем выпуске с обновлением, которое её устраняет. При этом отмечается что риск эксплуатации достаточно низкий, так как для эксплуатации необходимо иметь достаточно специфичную конфигурацию. Подробности пока не разглашаются, кроме того что эксплуатация возможна как локально, так и удаленно. Обновление будет выпущено 25 июля 2019 года, тогда же будет дополнительно обнародованы все подробности. В настоящий момент все актуальные версии потенциально уязвимы, но ни предложение конфигурации от разработчиков, ни пакет в Debian не подвержены опасности.
Ссылка: https://www.linux.org.ru/news/security/15129175

Состоялся очередной релиз в текущей mainline ветке веб-сервера nginx. В ветке 1.17 идёт активная разработка, в то время как в текущую стабильную ветку (1.16) вносятся только исправления ошибок. Изменение: минимальная поддерживаемая версия zlib - 1.2.0.4. Спасибо Илье Леошкевичу. Изменение: метод $r->internal_redirect() [ встроенного перла ]( https://nginx.org/ru/docs/http/ngx_http_perl_module.html ) теперь ожидает закодированный URI. Добавление: теперь с помощью метода $r->internal_redirect() встроенного перла можно перейти в именованный location. Исправление: в обработке ошибок во встроенном перле. Исправление: на старте или во время переконфигурации мог произойти segmentation fault, если в конфигурации использовалось значение [ hash bucket size ]( https://nginx.org/ru/docs/hash.html ) больше 64 килобайт. Исправление: при использовании методов обработки соединений select, poll и /dev/poll nginx мог нагружать процессор во время небуферизованного проксирования и при проксировании WebSocket-соединений. Исправление: в модуле ngx_http_xslt_filter_module. Исправление: в модуле ngx_http_ssi_filter_module.
Ссылка: https://www.linux.org.ru/news/opensource/15127966

В медиапроигрывателе VLC выявлена уязвимость (CVE-2019-13615), которая потенциально может привести к выполнению кода злоумышленника при воспроизведении специально оформленного видео в формате MKV (прототип эксплоита). Проблема вызвана обращением к области памяти вне выделенного буфера в коде распаковки медиаконтейнера MKV и проявляется в актуальном выпуске 3.0.7.1.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51161

Разработчики проекта Fedora объявили о начале тестирования первой предварительной версии новой редакции дистрибутива Fedora CoreOS, которая пришла на смену продуктам Fedora Atomic Host и CoreOS Container Linux в качестве единого решения для запуска окружений на базе изолированных контейнеров.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51165

Компания AMD опубликовала новый открытый фреймворк Caudron, предоставляющий средства для быстрой разработки прототипов игр и графических приложений, использующих API Vulkan или DirectX12. Фреймворк изначально применялся внутри компании для разработки демонстраций и примеров для SDK. Код проекта написан на языке C++11 и распространяется под лицензией MIT.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51162

Компания Jolla опубликовала релиз операционной системы Sailfish 3.1. Сборки подготовлены для устройств Jolla 1, Jolla C, Sony Xperia X, Gemini, и уже доступны в форме OTA-обновления. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer, который с апреля развивается как составная часть Sailfish, и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но их код планировалось открыть ещё в 2017 году.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51169

Доступен выпуск среды разработки Tizen Studio 3.3, пришедшей на смену Tizen SDK и предоставляющей набор инструментов для создания, сборки, отладки и профилирования мобильных приложений при помощи Web API и Native API Tizen. Среда построена на базе свежего выпуска платформы Eclipse, имеет модульную архитектуру и на этапе установки или через специальный пакетный менеджер позволяет устанавливать только необходимую функциональность.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51166

Dhall – это программируемый язык конфигурации, который можно описать как: JSON + функции + типы + импорт. ( [ читать дальше... ]( https://www.linux.org.ru/news/development/15130555#cut ) )
Ссылка: https://www.linux.org.ru/news/development/15130555

Во FreeBSD устранено шесть уязвимостей, которые позволяют повысить свои привилегии в системе или получить доступ к данным ядра. Проблемы исправлены в обновлениях 12.0-RELEASE-p8, 11.2-RELEASE-p12 и 11.3-RELEASE-p1.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51167

Опубликован релиз проекта XCP-NG 8.0, в рамках которого развивается свободная и бесплатная замена проприетарной платформе XenServer 8.0 для развертывания и управления работой облачной инфраструктуры. XCP-NG воссоздаёт функциональность, которую компания Citrix исключила из бесплатного варианта Citrix Xen Server, начиная c версии 7.3. XCP-NG 8.0 позиционируется как стабильный выпуск, пригодный для повсеместного использования. Поддерживается обновление XenServer до XCP-ng, обеспечивается полная совместимость с Xen Orchestra и возможно перемещение виртуальных машин из XenServer в XCP-ng и обратно. Для загрузки подготовлен установочный образ размером 520 Мб.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51170

Опубликован релиз пакета wayland-protocols 1.18, содержащего набор протоколов и расширений, дополняющих возможности базового протокола Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений. В версии 1.18 внесены незначительные дополнения в существующие протоколы, улучшена документация и устранены выявленные ошибки. Выпуск Weston 7.0 и Wayland 1.18 ожидается 23 августа.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51173

usbrip – это инструмент для форензики с интерфейсом командной строки, позволяющий отслеживать артефакты, оставляемые USB-устройствами. Написан на Python3. Анализирует логи для построения таблиц событий, которые могут содержать следующую информацию: дата и время подключения устройства, пользователь, идентификатор вендора, идентификатор продукта и др. Кроме этого инструмент может следующее: экспортировать собранную информацию как дамп JSON; формировать список авторизованных (доверенных) USB-устройств в виде JSON-а; обнаруживать подозрительные события, связанные с устройствами, которых нет в списке авторизованных устройств; создавать зашифрованные хранилища (7zip-архивы) для автоматического резервного копирования (это возможно при установке с флагом -s); поиск дополнительных сведений о конкретном USB-устройстве по его VID и/или PID.
Ссылка: https://www.linux.org.ru/news/opensource/15133195

Вот уже 20 лет, в последнюю пятницу июля, по традиции, заведённой 28 июля 1999 года Тедом Кекатосом (Ted Kekatos), системным администратором из Чикаго, празднуется System Administrator Appreciation Day, или День системного администратора.От автора новости: От всей души хочется поздравить людей, которые поддерживают телефонные и компьютерные сети, администрируют серверы и рабочие станции. Стабильного коннекта, безглючного железа и, конечно, любимую, не падающую ось!С праздником!
Ссылка: https://www.linux.org.ru/news/linux-general/15131538

Опубликован внеплановый выпуск почтового сервера Exim 4.92.1 в котором устранена критическая уязвимость (CVE-2019-13917), позволяющая организовать удалённое выполнение кода с правами root при наличии в конфигурации определённых специфичных настроек.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51174

Состоялся релиз библиотеки SDL 2.0.10 (Simple Direct Layer), нацеленной на упрощение написания игр и мультимедийных приложений. Библиотека предоставляет такие средства как аппаратно ускоренный вывод 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES и множество иных сопутствующих операций. Библиотека написана на языке Си и распространяется под лицензией zlib. Для использования возможностей SDL в проектах на различных языках программирования предоставляются биндинги.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51176

Компания Mozilla опубликовала новый выпуск продукта WebThings Gateway 0.9, а также обновление библиотек WebThings Framework 0.12, образующих платформу WebThings, предоставляющую компоненты для обеспечения доступа к различным категориям потребительских устройств и использования универсального Web Things API для организации взаимодействия с ними. Наработки проекта распространяются под лицензией MPL 2.0.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51178

Hugo – это статический генератор HTML и CSS веб-сайтов, написанный на Go. Улучшения следующие: Templates: Добавлена функция Merge. Развернут интерфейс Возможность конвертации цифровых значений в float64 и их сравнения. БОльшая детализация ошибок в Where. Возврат сообщения об ошибке при неверном вводе в In. Core: Добавлен symdiff тест. Тестовый файл добавлен в .gitignore. Предотвращена возможность параллельной перенастройки серверов. Добавлены OutputFormats.Get тесты. Добавлены тесты для in/uniq с использованием Pages. Добавлены тесты для Permalinkable. Добавлен тест для исходных ресурсов в шорткодах. И многое другое.
Ссылка: https://www.linux.org.ru/news/opensource/15131749

Доступен второй публичный выпуск Drawing, простой программы для рисования для Linux, напоминающей Microsoft Paint. В качестве основного графического окружения рассматривается GNOME, но имеются более традиционные варианты интерфейса в стиле elementaryOS, Cinnamon и MATE, и мобильная версия для смартфона Librem 5. Проект написан на языке Python и распространяется под лицензией GPLv3. Готовые пакеты подготовлены для Debian, Fedora и Arch, а также в формате Flatpack.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51177

GitHub опубликовал новую редакцию правил, определяющих политику в отношении соблюдения законодательства США в области регулирования экспорта. Правила регламентируют ограничения в отношении приватных репозиториев и корпоративных учётных записей компаний, работающих на территориях, подпадающих под санкции (Крым, Иран, Куба, Сирия, Судан, Северная Корея), но до сих пор они не применялись в отношении индивидуальных разработчиков некоммерческих проектов.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51180

Нашлась группа энтузиастов, подхвативших разработку дистрибутива Antergos, развитие которого было прекращено в мае из-за нехватки у оставшихся мэйнтейнеров свободного времени для поддержания проекта на должном уровне. Развитие Antergos будет продолжено новой командой разработчиков под именем Endeavour OS.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51172

Доступен новый выпуск проекта CFR (Class File Reader), в рамках которого развивается декомпилятор байткода виртуальной машины JVM, позволяющий воссоздать содержимое скомпилированных классов из jar-файлов в форме кода на языке Java. Поддерживается декомпиляция современных возможностей Java, включая большую часть элементов Java 9, 10 и 12. CFR также может декомпилировать в Java содержимое файлов с классами и от других языков, использующих JVM, таких как Kotlin, Scala и Groovy. Код проекта написан на языке Java и распространяется под лицензией MIT.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51181

Jakub Kądziołka опубликовал proof-of-concept, показывающий непосредственные проблемы, связанные с [ ошибкой в проекте компилятора Rust ]( https://github.com/rust-lang/rust/issues/25860 ) , которую разработчики безуспешно пытаются решить уже на протяжение четырех лет. Пример, разработанный Jakub, позволяет обойти Borrow Checker посредством очень простого трюка: fn main() { let boom = fake_static::make_static(&vec![0; 1
Ссылка: https://www.linux.org.ru/news/development/15135756

Вышла новая версия однопользовательской 2D игры Flare – 1.11. Действие разворачивается в мрачном фентезийном мире. Изменения следующие: Игроки теперь имеют свой личный тайник в дополнение к общему. Расширено значение переменной no_stash, чтобы была возможность делать несколько тайников. Элементы, которые в предыдущей версии нельзя было прятать, теперь могут быть помещены в личный тайник. ( [ читать дальше... ]( https://www.linux.org.ru/news/games/15137201#cut ) )
Ссылка: https://www.linux.org.ru/news/games/15137201

kitty – это полнофункциональный и кроссплатформенный эмулятор терминала. ( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/15137905#cut ) )
Ссылка: https://www.linux.org.ru/news/opensource/15137905

Созданная под эгидой Linux Foundation организация Academy Software Foundation, нацеленная на продвижение открытого ПО в киноиндустрии, представила свой первый совместный проект OpenTimelineIO (OTIO), изначально созданный анимационной студией Pixar и впоследствии развиваемый при участии Lucasfilm и Netflix. Пакет был использован при создании таких фильмов, как Тайна Коко, Суперсемейка 2 и История игрушек 4.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51183

Представлен релиз панели Latte Dock 0.9, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Plasma и требует для работы Plasma 5.12, KDE Frameworks 5.38 и Qt 5.9 или более новые выпуски. Код проекта распространяется под лицензией GPLv2. Установочные пакеты сформированы для Ubuntu, Debian, Fedora и openSUSE.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51182

GNU Stow – это программа для управления программными пакетами. Может использоваться для управления установкой ПО в масштабе как всей системы, так и файлами в каталогах пользователей. Изменения следующие: Добавлены внешние зависимости времени выполнения от Hash::Merge и Clone::Choose. Исправлена проблема с набором тестов. Улучшен процесс выпуска обновлений и документирования.
Ссылка: https://www.linux.org.ru/news/opensource/15137976

Компании Purism опубликовала финальную спецификацию смартфона Librem 5, разработчики которого предприняли ряд программных и аппаратных мер для блокирования попыток отслеживания и сбора информации о пользователе.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51184

Состоялся релиз Python-библиотеки для научных вычислений NumPy 1.17, ориентированной на работу с многомерными массивами и матрицами, а также предоставляющей большую коллекцию функций с реализацией различных алгоритмов, связанных с использованием матриц. NumPy является одной из наиболее востребованных библиотек, применяемых для научных расчётов. Код проекта написан на языке Python с применением оптимизаций на языке Си и распространяется под лицензией BSD.
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51186

Исследователи безопасности из компании Armis раскрыли информацию об 11 уязвимостях (PDF) в TCP/IP стеке IPnet, используемом в операционной системе VxWorks. Проблемам присвоено кодовое имя "URGENT/11". Уязвимости могут быть эксплуатированы удалённо через отправку специально оформленных сетевых пакетов, в том числе для некоторых проблем возможно совершение атаки при доступе через межсетевые экраны и NAT (например, если атакующий контролирует сервер DNS, к которому обращается размещённое во внутренней сети уязвимое устройство).
Ссылка: http://www.opennet.ru/opennews/art.shtml?num=51189