The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

19.08.2019 Утверждено прекращение формирования репозиториев для архитектуры i686 в Fedora 31 (17 –1)
  Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora, утвердил прекращение формирования основных репозиториев для архитектуры i686. Напомним, что изначально рассмотрение данного предложения было отложено для изучения возможного негативного влияния прекращения поставки пакетов для i686 на локальные сборки модулей.

Решение дополняет уже воплощённое в ветке rawhide решение по прекращению формирования загрузочного образа ядра Linux для архитектуры i686. Прекращение поставки пакета с ядром делает опасным предоставление возможности обновления уже установленных систем из репозиториев, так как пользователи будут вынуждены применять устаревшие пакеты с ядром, содержащие неисправленные уязвимости. Формирование multi-lib репозиториев для окружений x86_64 будет сохранено и i686 пакеты в них сохранятся.

  1. OpenNews: Инициатива по сокращению размера приложений в Fedora
  2. OpenNews: Представлен первый предварительный выпуск Fedora CoreOS
  3. OpenNews: Разработчики Fedora намерены прекратить формирование репозиториев для архитектуры i686
  4. OpenNews: Релиз Linux-дистрибутива Fedora 30
  5. OpenNews: Canonical пересмотрела планы по прекращению поддержки архитектуры i386 в Ubuntu
Обсуждение (17 –1) | Тип: К сведению |
19.08.2019 Релиз оконного менеджера IceWM 1.6 (98 +30)
  Доступен выпуск легковесного оконного менеджера IceWM 1.6. Из особенностей IceWM можно отметить полноценное управление через клавиатурные комбинации, возможность использования виртуальных рабочих столов, панели задач и меню-приложений. Оконный менеджер настраивается через достаточно простой файл конфигурации, возможно использование тем оформления. Доступны встроенные апплеты для мониторинга CPU, памяти, трафика. Отдельно развивается несколько сторонних GUI для настройки, реализаций рабочего стола и редакторов меню. Код написан на языке С++ и распространяется под лицензией GPLv2.

Основные изменения:

  • Добавлен режим прозрачности для пиктограмм (опция "--alpha"), при включении которого обеспечена поддержка отображения элементов с 32-разрядными составляющими глубины цвета;
  • Для задания цветов в настройках теперь можно использовать форму "rgba:" и префикс "[N]", где N определяет процентное соотношение составляющей;
  • Добавлена возможность отображения заставки при запуске;
  • В конфигурации предложены новые команды: sizeto, pid, systray, xembed, motif и symbol;
  • В утилиту icesh добавлена поддержка фильтров для выбора определённых открытых окон и возможность изменения GRAVITY-меток, которые можно применять в фильтрах;
  • Добавлено новое свойство окон "startClose" для мгновенного закрытия ненужных окон;
  • Улучшена поддержка сборки с использованием CMake;
  • Добавлены свойства _NET_SYSTEM_TRAY_ORIENTATION и _NET_SYSTEM_TRAY_VISUAL;
  • Снято ограничение на число виртуальных рабочих столов. Добавлена опция TaskBarWorkspacesLimit для определения числа отображаемых на панели пиктограмм виртуальных рабочих столов. Реализована возможность редактирования имён рабочих столов на панели;
  • Проведена оптимизация процесса запуска icewm;
  • Добавлены дополнительные настройки xrandr для использования второго внешнего монитора как первичного.

  1. OpenNews: Релиз оконного менеджера IceWM 1.5
  2. OpenNews: Доступен оконный менеджер i3wm 4.17
  3. OpenNews: Релиз мозаичного оконного менеджера Awesome 4.3
  4. OpenNews: Выпуск оконного менеджера Window Maker 0.95.8
  5. OpenNews: Оконный менеджер на основе Emacs
Обсуждение (98 +30) | Тип: Программы |
19.08.2019 Представлено ответвление Proton-i, переведённое на более свежие версии Wine (38 +12)
  Юусо Аласуутари (Juuso Alasuutari), специализирующийся на разработке систем обработки звука для Linux (автор jackdbus и LASH), сформировал проект Proton-i, нацеленный на портирование актуальной кодовой базы Proton на более новые версии Wine, не дожидаясь новых значительных выпусков от компании Valve. В настоящее время уже предложен вариант Proton на базе Wine 4.13, по функциональности идентичный Proton 4.11-2 (основной проект Proton использует Wine 4.11).

Основная идея Proton-i в предоставлении возможности использования патчей, вносимых в свежие версии Wine (в каждом выпуске публикуется несколько сотен изменений), которые потенциально могут помочь в запуске игр, при запуске которых раньше наблюдались проблемы. Предполагается, что какие-то проблемы могут быть устранены в новых выпусках Wine, а какие-то могут решаться патчами Proton. Сочетание этих исправлений потенциально даёт возможность добиться более высокого качества работы игр, чем при использовании нового Wine и Proton по отдельности.

Напомним, что развиваемый компанией Valve проект Proton основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9 (на базе D9VK), DirectX 10/11 (на базе DXVK) и 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. По сравнению с оригинальным Wine значительно увеличена производительность многопоточных игр благодаря применению патчей "esync" (Eventfd Synchronization) или "futex/fsync".

  1. OpenNews: Выпуск Wine 4.14 и Proton 4.11-2
  2. OpenNews: Компания Valve выпустила Proton 4.11, пакет для запуска Windows-игр в Linux
  3. OpenNews: В компилятор шейдеров ACO для Vulkan-драйвера RADV добавлена поддержка вершинных шейдеров
  4. OpenNews: Выпуск Proton 4.2-4, пакета для запуска Windows-игр в Linux
  5. OpenNews: Выпуск Wine 4.13
Обсуждение (38 +12) | Тип: К сведению |
18.08.2019 Релиз профессионального видеоредактора DaVinci Resolve 16 (64)
  Компания Blackmagic Design, специализирующаяся на производстве профессиональных видеокамер и систем обработки видео, объявила о релизе проприетарной системы цветокоррекции и нелинейного монтажа DaVinci Resolve 16, используемой многими известными голливудскими киностудиями в процессе производства фильмов, сериалов, рекламных роликов, телепрограмм и видеоклипов. DaVinci Resolve объединяет в одном приложении средства для монтажа, цветоустановки, наложения звука, финальной обработки и создания конечного продукта. Одновременно представлена бета-версия следующего выпуска DaVinci Resolve 16.1.

Сборки DaVinci Resolve подготовлены для Linux, Windows и macOS. Для загрузки требуется регистрация. Бесплатная версия имеет ограничения, связанные с выпуском продукции для коммерческого кинопоказа в кинотеатрах (монтаж и цветокоррекция 3D-кино, сверхвысокие разрешения и т.п.), но не ограничивает базовые возможности пакета, поддержку профессиональных форматов для импорта и экспорта, сторонних плагинов.

Новые возможности:

  • Новая платформа DaVinci Neural Engine, использующая технологии на основе нейронных сетей и машинного обучения для реализации таких функций, как распознавание лиц, Speed Warp (создание хронометражных эффектов) и Super Scale (увеличение масштаба, автоматическое выравнивание и применение цветовой схемы).
  • Добавлена поддержка быстрого экспорта из приложения в такие сервисы, как YouTube и Vimeo;
  • Добавлены новые графики-индикаторы для расширенного мониторинга технических параметров, использующие возможности GPU для ускорения вывода;
  • В блоке Fairlight добавлена настройка формы волны для корректной синхронизации аудио и видео, поддержка трехмерного звука, вывод дорожек шины, автоматизация предварительного просмотра и обработка речи;
  • Улучшены существующие плагины ResolveFX, которые позволяют использовать виньетирование и тени, аналоговый шум, искажения и цветовую аберрацию, удалять объекты и выполнять стилизацию материала;
  • Оптимизированы инструменты имитация телевизионных строк, сглаживание черт лица, заполнение фона, изменение формы, устранение битых пикселей и трансформация цветового пространства;
  • На страницах Edit и Color добавлены средства для просмотра и редактирования ключевых кадров для эффектов ResolveFX;
  • Добавлена новая страница Cut, которая предлагает альтернативный интерфейс для монтажа рекламных роликов и коротких новостных видео. Особенности:
    • Для монтажа и подгонки без масштабирования и прокрутки предложена двойная временная шкала.
    • Режим Source Tape для просмотра всех клипов как единого материала.
    • Интерфейс подгонки для отображения границы на стыке двух клипов.
    • Интеллектуальные механизмы работы для автоматической синхронизации клипов и их редактирования.
    • Подбор скорости воспроизведения на временной шкале в зависимости от длины клипа.
    • Инструменты преобразования, стабилизации и создания хронометражных эффектов.
    • Прямой импорт материалов нажатием кнопки.
    • Масштабируемый интерфейс для работы на экранах ноутбуков.


Основные особенности DaVinci Resolve:

  • Широкие возможности для цветоустановки;
  • Высокая производительность с возможностью использования до восьми графических процессоров, что позволяет получать результат в реальном времени. Для быстрого рендеринга и формирования конечного продукта можно использовать кластерные конфигурации;
  • Профессиональные средства монтажа разных типов материала - от телесериалов и рекламных роликов до контента, снятого с помощью нескольких камер;
  • Инструменты редактирования учитывают контекст выполняемой операции и автоматически определяют параметры обрезки по местоположению курсора мыши;
  • Средства синхронизации и микширования звука;
  • Гибкие возможности по управлению медиаматериалами - файлы, временные шкалы и целые проекты легко перемещать, объединять и архивировать;
  • Функция Clone, позволяющая копировать полученное с камер видео одновременно в несколько каталогов с проверкой по контрольной сумме;
  • Возможность импортировать и экспортировать метаданные с помощью CSV-файлов, создавать на их основе пользовательские окна, автоматические каталоги и списки;
  • Мощная функциональность для обработки и создания конечного продукта в любом разрешении, будь то мастер-копия для телевидения, цифровой пакет для кинотеатров или для распространения в интернете;
  • Поддержка экспорта в разных форматах, в том числе с дополнительной информацией, формирование файлов EXR и DPX для наложения визуальных эффектов, а также вывод несжатого 10-битного видео и в ProRes для редактирования в таких приложениях, как Final Cut Pro X;
  • Поддержка плагинов ResolveFX и OpenFX;
  • Средства для стабилизации и трекинга изображений на экране, не требующие создания опорных кадров;
  • Вся обработка изображений осуществляется в цветовом пространстве YRGB с точностью 32-разрядных чисел с плавающей запятой, что позволяет корректировать параметры яркости без повторной цветобалансировки в областях тени, полутона и света;
  • Шумоподавление в реальном времени;
  • Полное управление цветом на всех этапах процесса с поддержкой стандарта ACES 1.0 (Academy Color Encoding Specification). Возможность использования различных цветовых пространств для исходного и конечного материала, а также для временной шкалы;
  • Возможность обработки видео с широким динамическим диапазоном (HDR);
  • Цветоустановка на основе файлов RAW;
  • Автоматическая первичная цветокоррекция и автоматическое согласование кадров.

  1. OpenNews: Выпуск видеоредакторов Shotcut 18.11 и DaVinci Resolve 15.2
  2. OpenNews: Релиз профессионального видеоредактора DaVinci Resolve 15
  3. OpenNews: Выпущен видеоредактор Lightworks 12
  4. OpenNews: В рамках проекта Olive развивается новый открытый редактор видео
  5. OpenNews: Выпуск видеоредактора Flowblade 2.0
Обсуждение (64) | Тип: Программы |
18.08.2019 Выпуск свободного издательского пакета Scribus 1.5.5 (29 +16)
  Подготовлен выпуск свободного пакета для верстки документов Scribus 1.5.5, который предоставляет средства для профессиональной верстки печатных материалов, включая гибкие инструменты для генерации PDF и поддержку работы с раздельными цветовыми профилями, CMYK, плашечными цветами и ICC. Система написана с использованием тулкита Qt и поставляется под лицензией GPLv2+. Готовые бинарные сборки подготовлены для Linux (AppImage), macOS и Windows.

Ветка 1.5 позиционируется как экспериментальная и включает такие возможности как новый интерфейс пользователя на базе Qt5, изменённый файловый формат, полная поддержка таблиц и расширенные средства обработки текста. Выпуск 1.5.5 отмечается как хорошо протестированный и уже вполне стабильный для работы над новыми документами. После проведения окончательной стабилизации и признания готовности для повсеместного внедрения на базе ветки 1.5 будет сформирован стабильный релиз Scribus 1.6.0.

Основные улучшения в Scribus 1.5.5:

  • Проведена большая работа по рефакторингу кодовой базы для упрощения сопровождения проекта, улучшения читаемости кода и увеличения производительности. Попутно удалось устранить многие ошибки, из которых выделяются проблемы в новом текстовом движке и связанных с ним обработчиках сложных шрифтов;
  • В интерфейсе пользователя реализована возможность использования тёмной цветовой схемы оформления;
  • Добавлен интерфейс для поиска функций, подобный тому, что предоставляется в GIMP, G'MIC и Photoshop. В диалоге с результатами поиска по возможности также выводятся ссылки на элементы меню, через которые можно вызвать найденные функции;
  • В настройках Document Setup / Preferences добавлена отдельная вкладка для шрифтов, которые установлены в системе, но не могут быть использованы в Scribus;
  • Для записей в форме выбора шрифта реализованы всплывающие подсказки, позволяющие быстро определить имя шрифта;
  • В Scripter добавлены новые команды для автоматизации выполнения различных работ с использованием внешних скриптов на языке Python;
  • Обновлены фильтры импорта и экспорта;
  • Внесены изменения для улучшения совместимости с последними обновлениями Windows 10 и macOS;
  • Проведена полировка некоторых областей интерфейса пользователя.

  1. OpenNews: Новые версии свободного издательского пакета Scribus 1.4.7 и 1.5.4
  2. OpenNews: Выпуск свободного издательского пакета Scribus 1.5.3
  3. OpenNews: Экспериментальная ветка свободного издательского пакета Scribus 1.5
  4. OpenNews: Выпуск свободного издательского пакета Scribus 1.5.1
  5. OpenNews: Выпуск свободного издательского пакета Scribus 1.5.2
Обсуждение (29 +16) | Тип: Программы |
18.08.2019 Релиз Live-дистрибутива KNOPPIX 8.6 (90 +22)
  Клаус Кноппер (Klaus Knopper) представил выпуск дистрибутива KNOPPIX 8.6, первопроходца в области создания Live-систем. Дистрибутив построен на основе оригинального набора загрузочных скриптов и включает в себя пакеты, импортированные из Debian Stretch, со вставками из веток Debian "testing" и "unstable". Для загрузки доступна сборка LiveDVD, размером 4.5 Гб.

Пользовательская оболочка дистрибутива основана на легковесном десктоп-окружении LXDE, построенном на базе библиотеки GTK и способном работать на маломощных системах. Вместо стандартной системы SysV инициализации задействована новая система загрузки Microknoppix, значительно ускоряющая процесс загрузки дистрибутива за счет параллельного запуска сервисов и отложенной инициализации оборудования. При использовании USB Flash пользовательские настройки и дополнительно установленные программы не исчезают после перезагрузки системы - сохраняемые между сессиями данные помещаются в файл KNOPPIX/knoppix-data.img, который при желании можно зашифровать с помощью алгоритма AES-256. В поставку входит около 4000 пакетов.

Особенности новой версии:

  • Синхронизация пакетной базы с Debian Buster. Видеодрайверы и компоненты десктоп-окружения импортированы из Debian/testing и Debian/unstable.
  • Ядро Linux обновлено до выпуска 5.2 с патчами cloop и aufs. Поддерживаются две сборки ядра для 32- и 64-разрядных систем. При использовании LiveDVD на системах с 64-разрядным CPU автоматически загружается 64-разрядное ядро;
  • Для компьютеров, оснащённых только CD-приводом, в директории KNOPPIX размещён сокращённый загрузочный образ, позволяющий загрузиться с CD и использовать остальную часть дистрибутива с USB Flash;
  • По умолчанию используется оболочка LXDE c файловым менеджером PCMANFM 1.3.1, но в поставку также входят KDE Plasma 5 (активируется загрузочной опцией "knoppix64 desktop=kde") и GNOME 3 ("knoppix64 desktop=gnome");
  • Обновлены компоненты графического стека (x server 1.20.4), в поставку включены новые версии графических драйверов. Предлагается поддержка композитного менеджера compiz;
  • Новые версии программ, в том числе Wine 4.0, qemu-kvm 3.1, Chromium 76.0.3809.87, Firefox 68.0.1 (в комплекте с Ublock Origin и Noscript), LibreOffice 6.3.0-rc2, GIMP 2.10.8.
  • В поставку добавлен Tor Browser, доступный для запуска через Knoppix-menu;
  • В состав входит подборка программ для работы с 3D-принтерами и создания 3D-моделей: OpenScad 2015.03, Slic3r 1.3 (для 3D-печати), Blender 2.79.b и Freecad 0.18;
  • Обновлён математический пакет Maxima 5.42.1, в котором обеспечена прямая интеграция сеанса с Texmacs для создания документов непосредственно при работе в Live-режиме;
  • Добавлены режимы для запуска Knoppix в контейнерах и системах виртуализации - "Knoppix in Knoppix - KVM", "Knoppix in Docker" и "Knoppix in Chroot";
  • В состав включены программы: видеоредакторы kdenlive 18.12.3, openshot 2.4.3, photofilmstrip 3.7.1, obs-studio 22.0.3, система управления мультимедийной библиотекой Mediathekview 13.2.1, клиенты к облачным хранилищам OwnCloud и NextCloud (2.5.1), система управления коллекцией электронных книг Calibre 3.39.1, игровой движок Godot3 3.0.6, перекодировщики звука/видео RipperX 2.8.0, Handbrake 1.2.2, медиасервер gerbera 1.1.0.
  • Полноценная поддержка UEFI и UEFI Secure Boot;
  • В поставку входит звуковое меню ADRIANE, которое включает в себя реализацию пользовательского окружения, основанного на идее звуковой навигации. Для голосового чтения содержимого страниц задействована система Orca. В качестве движка распознания сканированного текста служит Cuneiform.
  • Возможность автоматического увеличения раздела с пользовательскими данными на USB Flash, не требующая перезагрузки.
  • Возможность кастомизации дистрибутива при копировании на USB Flash при помощи утилиты flash-knoppix.

  1. OpenNews: Релиз Live-дистрибутива KNOPPIX 8.1
  2. OpenNews: Доступен полностью свободный Linux-дистрибутив Trisquel 8.0
  3. OpenNews: Фонд СПО признал libreCMC полностью свободным дистрибутивом
  4. OpenNews: Фонд СПО признал Hyperbola полностью свободным дистрибутивом
Обсуждение (90 +22) | Тип: Программы |
17.08.2019 Выпуск Wine 4.14 (26 +21)
  Доступен экспериментальный выпуск открытой реализации Win32 API - Wine 4.14. С момента выпуска версии 4.13 было закрыто 18 отчётов об ошибках и внесено 255 изменений.

Наиболее важные изменения:

  • Движок Mono обновлён до версии 4.9.2, что позволило избавиться от проблем при запуске квестов DARK и DLC;
  • DLL в формате PE (Portable Executable) теперь не привязаны к runtime MinGW;
  • В ntoskrnl реализован вызов MmIsThisAnNtAsSystem и добавлены заглушки для вызовов SePrivilegeCheck и SeLocateProcessImageName;
  • В wtsapi32 реализованы функции WTSFreeMemoryExA и WTSFreeMemoryExW, и добавлены заглушки для WTSEnumerateProcessesEx[AW], WTSEnumerateSessionsEx[AW] и WTSOpenServerEx[AW];
  • Добавлены новые DLL wlanui и utildll;
  • Из kernel32 в kernelbase перенесён код, связанный с управлением процессами, потоками и файловыми дескрипторами;
  • В wined3d добавлены функции для работы с текстурами, такие как wined3d_texture_upload_data() и wined3d_texture_gl_upload_data();
  • Внесены исправления, связанные с обработкой исключений на платформе ARM64;
  • Закрыты отчёты об ошибках, связанные с работой игр и приложений: World War Z, AviUtl, Touhou 14-17, Eleusis, Rak24u, Omni-NFS 4.13, The Sims 1, Star Control Origins, Process Hacker, Star citizen, Adobe Digital Editions 2.

Дополнительно можно отметить публикацию компанией Valve обновления проекта Proton 4.11-2, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9 (на базе D9VK), DirectX 10/11 (на базе DXVK) и 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана.

В новой версии компоненты FAudio с реализацией звуковых библиотек DirectX (API XAudio2, X3DAudio, XAPO и XACT3) обновлены до выпуска 19.08, движок Mono до версии 4.9.2, а прослойка DXVK (реализация DXGI, Direct3D 10 и Direct3D 11 поверх API Vulkan) обновлена до версии 1.3.2. Обеспечен вывод данных о режиме 60 FPS и для экранов с высокой частотой кадров (необходимо для старых игр). Решены проблемы с зависанием при вводе текста в играх Earth Defense Force 5 и Earth Defense Force 4.1.

  1. OpenNews: Выпуск Wine 4.13
  2. OpenNews: В Wine Staging добавлены патчи для повышения производительности многопоточных игр
  3. OpenNews: Выпуск проекта DXVK 1.3 с реализацией Direct3D 10/11 поверх API Vulkan
  4. OpenNews: Компания Valve выпустила Proton 4.11, пакет для запуска Windows-игр в Linux
Обсуждение (26 +21) | Тип: Программы |
16.08.2019 Релиз http-сервера Apache 2.4.41 с устранением уязвимостей (34 +11)
  Опубликован релиз HTTP-сервера Apache 2.4.41 (выпуск 2.4.40 был пропущен), в котором представлено 23 изменения и устранено 6 уязвимостей:
  • CVE-2019-10081 - проблема в mod_http2, которая может привести к повреждению памяти при отправке push-запросов на очень ранней стадии. При использовании настройки "H2PushResource" возможна перезапись области памяти в пуле обработки запросов, но проблема ограничена крахом, так как записываемые данные не основываются на информации, полученной от клиента;
  • CVE-2019-9517 - подверженность недавно анонсированной DoS-уязвимости в реализациях HTTP/2. Атакующий может исчерпать доступную процессу память и создать большую нагрузку на CPU, открывая скользящее окно HTTP/2 для отправки сервером данных без ограничений, но при этом держа окно TCP закрытым, что не позволяет фактически записать данные в сокет;
  • CVE-2019-10098 - проблема в mod_rewrite, позволяющая использовать сервер для проброса обращений на другие ресурсы (open redirect). Некоторые настройки mod_rewrite могут привести к пробросу пользвателя на другую ссылку, закодированную с использованием символа перевода строки внутри параметра, используемого в существующим редиректе. Для блокирования проблемы в RegexDefaultOptions можно использовать флаг PCRE_DOTALL, который теперь выставлен по умолчанию;
  • CVE-2019-10092 - возможность совершения межсайтового скриптинга на страницах ошибок, выводимых mod_proxy. На данных страницах в ссылке подставляется полученный из запроса URL, в котором атакующий через экранирование символов может подставить произвольный HTML-код;
  • CVE-2019-10097 - переполнение стека и разыменование указателя NULL в mod_remoteip, эксплуатируемое через манипуляции с заголовком протокола PROXY. Атака может быть совершена только со стороны используемого в настройках прокси-сервера, а не через запрос клиента;
  • CVE-2019-10082 - уязвимость в mod_http2, позволяющая в момент завершения соединения инициировать чтение содержимого из уже освобождённой области памяти (read-after-free).

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_proxy_balancer усилена защита от атак XSS/XSRF со стороны узлов, заслуживающих доверия;
  • В mod_session добавлена настройка SessionExpiryUpdateInterval для определения интервала обновления времени истечения жизни сеанса/cookie;
  • Проведена чистка страниц с ошибками, направленная на исключения вывода на данных страницах информации из запросов;
  • В mod_http2 обеспечен учёт значения параметра "LimitRequestFieldSize", который раньше действовал только для проверки полей заголовков HTTP/1.1;
  • Обеспечено создание конфигурации mod_proxy_hcheck при его использовании в BalancerMember;
  • Сокращено потребление памяти в mod_dav при использовании команды PROPFIND над большой коллекцией;
  • В mod_proxy и mod_ssl решены проблемы с указанием настроек сертификатов и SSL в внутри блока Proxy;
  • В mod_proxy разрешено применение настроек SSLProxyCheckPeer* для всех модулей прокси;
  • Расширены возможности модуля mod_md, разработанного проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment):
    • Добавлена вторая версия протокола ACMEv2, которая теперь применяется по умолчанию и использует пустые запросы POST вместо GET.
    • Добавлена поддержка проверки на базе расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), которое используется в HTTP/2.
    • Прекращена поддержка метода проверки 'tls-sni-01' (из-за уязвимости).
    • Добавлены команды для настройки и разрыва проверки методом 'dns-01'.
    • Добавлена поддержка масок в сертификатах при включении проверки на основе DNS ('dns-01').
    • Реализован обработчик 'md-status' и страница с состоянием сертификата "https://domain/.httpd/certificate-status".
    • Добавлены директивы "MDCertificateFile" и "MDCertificateKeyFile" для настройки параметров доменов через статические файлы (без поддержки автообновления).
    • Добавлена директива "MDMessageCmd" для вызова внешних команд при наступлении событий 'renewed', 'expiring' или 'errored'.
    • Добавлена директива "MDWarnWindow" для настройки сообщения с предупреждением об истечении времени действия сертификата;

  1. OpenNews: В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязвимостей
  2. OpenNews: HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети
  3. OpenNews: Релиз http-сервера Apache 2.4.39 с устранением опасных уязвимостей
  4. OpenNews: Выпуск HTTP/TCP-балансировщика HAProxy 2.0
  5. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
Обсуждение (34 +11) | Тип: Программы |
16.08.2019 Доступен дистрибутив Oracle Linux 7.7 (21 –1)
  Компания Oracle опубликовала релиз промышленного дистрибутива Oracle Linux 7.7, созданного на основе пакетной базы Red Hat Enterprise Linux 7.7. Для загрузки без ограничений, но после бесплатной регистрации, распространяется установочный iso-образ, размером 4.7 Гб, подготовленный для архитектур x86_64 и ARM64 (aarch64). Для Oracle Linux также открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности.

Помимо пакета с ядром из состава RHEL (3.10.0-1062) в Oracle Linux поставляется выпущенное летом ядро Unbreakable Enterprise Kernel 5 (4.14.35-1902.3.2), которое предложено по умолчанию. Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро позиционируется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме ядра, по функциональности Oracle Linux 7.7 аналогичен RHEL 7.7.

Среди новых возможностей Oracle Linux 7.7 (почти все из перечисленных изменений свойственны и для RHEL 7.7):

  • В NetworkManager добавлена возможность задания правил маршрутизации по адресу источника (policy routing) и поддержка фильтрации VLAN на интерфейсах сетевых мостов;
  • Обновлены версии пакетов NSS (Network Security Services), scap-security-guide 0.1.43, shadow-utils 4.6, gcc-libraries 8.3.1, linuxptp 2.0, tuned 2.11, chrony 3.4. Добавлены пакеты python3 с интерпретатором Python 3.6;
  • Для контейнеров и образов в формате UBI (Universal Base Image) добавлена поддержка сканировния содержимого на предмет соответствия профилям безопасности SCAP Security Guide;
  • В ядре из RHEL объявлена устаревшей поддержка Btrfs (для использования Btrfs следует использовать ядра UEK R4 и UEK R5). Из состава удалены пакеты с MySQL, которые следует загружать из отдельного yum-репозитория;
  • В графический инсталлятор добавлено определения включения в системе режима Simultaneous Multithreading (SMT) и вывод соответствующего предупреждения;
  • Обновлён драйвер для NVMe/FC QLogic qla2xxxx;
  • Для тестирования в ядре UEK R5 предложены экспериментальные возможности:
    • импорт и экспорт контейнеров в Systemd,
    • раскладки для создания хранилищ в виде блочных устройств и хранилищ объектов для pNFS,
    • поддержка DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств) в ext4 и XFS,
    • поддержка OverlayFS ,
    • подсистема HMM (Heterogeneous memory management) для использования устройств с собственными блоками управления памятью,
    • режим No-IOMMU,
    • драйверы Cisco VIC InfiniBand и ibusnic_verbs,
    • поддержка SR-IOV (Single-Root I/O Virtualization) в драйвере qlcnic,
    • поддержка TNC (Trusted Network Connect),
    • поддержка ввода/вывода с использованием нескольких очередей (scsi-mq, Multi-queue) в SCSI,
    • плагин для управления массивами хранилищ через API libStorageMgmt.

  1. OpenNews: Выпуск Red Hat Enterprise Linux 7.7
  2. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 8
  3. OpenNews: Доступен дистрибутив Oracle Linux 7.6
  4. OpenNews: Релиз Oracle Linux 8
Обсуждение (21 –1) | Тип: Программы |
15.08.2019 Netflix опубликовал патчи с реализацией TLS для ядра FreeBSD (71 +24)
  Компания Netflix предложила для тестирования работающую на уровне ядра FreeBSD реализацию TLS (KTLS), которая позволяет добиться существенного увеличения производительности шифрования для TCP-сокетов. Поддерживается ускорение шифрования передаваемых данных с использованием протоколов TLS 1.0 и 1.2, отправляемых в сокет при помощи функций write, aio_write и sendfile.

Обмен ключами на уровне ядра не поддерживается и соединение должно вначале быть установлено и согласовано в пространстве пользователя. Для передачи ядру полученного в процессе согласования соединения сессионного ключа для сокетов добавлена опция TCP_TXTLS_ENABLE, после активации которой все отправляемые в сокет данные будут инкапсулироваться в кадры TLS с использованием заданного ключа. Для отправки служебных сообщений, например для согласования соединения, следует использовать функцию sendmsg с типом записи TLS_SET_RECORD_TYPE.

Поддерживается два основных метода шифрования TLS-кадров: программный и ifnet (с задействованием аппаратных средств ускорения сетевых карт). Выбор метода осуществляется при помощи опции сокета TCP_TXTLS_MODE. Программный метод позволяет подключать разные бэкенды для шифрования. В качестве примера опубликован бэкенд ktls_ocf.ko с поддержкой AES-GCM, реализованный на базе фреймврока OpenCrypto. Для управления предлагается несколько sysctl в рамках ветки kern.ipc.tls.*. При сборке ядра поддержка TLS включается при помощи опции KERN_TLS.

  1. OpenNews: Релиз ядра Linux 4.13 со встроенной поддержкой TLS
  2. OpenNews: Организация EFF представила инициативу STARTTLS Everywhere
  3. OpenNews: Опубликован RFC для TLS 1.3
  4. OpenNews: Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией
  5. OpenNews: Около 5.5% сайтов используют уязвимые реализации TLS
Обсуждение (71 +24) | Тип: К сведению |
15.08.2019 Утечка 28 млн записей, используемых в платформе биометрической идентификации BioStar 2 (114 +27)
  Исследователи из компании vpnMentor выявили возможность открытого доступа к БД, в которой хранилось более 27.8 млн записей (23 Гб данных), связанных с работой системы биометрического контроля доступа Biostar 2, которая насчитывает около 1.5 млн установок по всему миру и интегрирована в платформу AEOS, применяемую более чем 5700 организациями в 83 странах, включая как крупные корпорации и банки, так и правительственные учреждения и полицейские участки. Утечка вызвана некорректной настройкой хранилища Elasticsearch, которое оказалось доступно на чтение всем желающим.

Утечку усугубляет то, что большая часть БД не была зашифрована и, помимо персональных данных (ФИО, телефон, email, домашний адрес, должность, время приёма на работу и т.п.), лога доступа пользователей системы, открытых паролей (без хэширования) и данных о мобильных устройствах, включала фотографии лиц и снимки отпечатков пальцев, используемые для биометрической идентификации пользователя.

Всего в БД выявлено более миллиона исходных сканов отпечатков пальцев, связанных с конкретными людьми. Наличие открытых снимков отпечатков пальцев, которые невозможно поменять, даёт возможность злоумышленникам подделать отпечаток по шаблону и воспользоваться им для обхода систем ограничения доступа или для оставления ложных следов. Отдельно обращается внимание на качество паролей, среди которых очень много тривиальных, вида "Password" и "abcd1234".

Более того, так как база включала и учётные данные администраторов BioStar 2, в случае атаки злоумышленники могли получить полный доступ к web-интерфейсу системы и использовать его для добавления, редактирования и удаления записей. Например, могли подменить данные об отпечатке пальцев для получения физического доступа, изменить права доступа и удалить из логов следы проникновения.

Примечательно, что проблема была выявлена 5 августа, но затем несколько дней было потрачено на то, чтобы донести информацию до создателей BioStar 2, которые не желали выслушивать исследователей. Наконец 7 августа информация была доведена до компании, но проблема была устранена только 13 августа. Исследователи выявили БД в рамках проекта по сканированию сетей и анализу доступных web-сервисов. Неизвестно, насколько долго БД оставалась в открытом доступе и знали ли о её существовании злоумышленники.

  1. OpenNews: Взлом инфраструктуры компании Dell. Ряд массовых утечек персональных данных
  2. OpenNews: В открытый доступ попала БД с персональными данными большинства американцев
  3. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
  4. OpenNews: Утечка 800 млн email через СУБД MongoDB сервиса подтверждения адресов
  5. OpenNews: Утечка персональных данных 275 млн индийских пользователей через публичную СУБД MongoDB
Обсуждение (114 +27) | Тип: Проблемы безопасности |
15.08.2019 Новая уязвимость в Ghostscript (24 +8)
  Не прекращается череда уязвимостей (1, 2, 3, 4, 5, 6) в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Как и прошлые уязвимости новая проблема (CVE-2019-10216) позволяет при обработке специально оформленных документов обойти режим изоляции "-dSAFER" (через манипуляции с ".buildfont1") и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патча. За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian, Fedora, Ubuntu, SUSE/openSUSE, RHEL, Arch, FreeBSD.

Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

  1. OpenNews: Очередные критические уязвимости в Ghostscript
  2. OpenNews: Новая критическая уязвимость в Ghostscript, эксплуатируемая через ImageMagick
  3. OpenNews: В Ghostscript 9.26 устранена очередная порция уязвимостей
  4. OpenNews: В Ghostscript выявлены две новые критические уязвимости
  5. OpenNews: В Ghostscript 9.25 продолжено исправление опасных уязвимостей
Обсуждение (24 +8) | Тип: Проблемы безопасности |
14.08.2019 Релиз EPEL 8 с пакетами из Fedora для RHEL 8 (44 +8)
  Проект EPEL (Extra Packages for Enterprise Linux), занимающийся поддержанием репозитория дополнительных пакетов для RHEL и CentOS, объявил о готовности репозитория EPEL 8 к релизу. Репозиторий был сформирован две недели назад и теперь признан готовым для внедрения. Через EPEL пользователям дистрибутивов, совместимых с Red Hat Enterprise Linux, предлагается дополнительный набор пакетов из Fedora Linux, поддерживаемых сообществами Fedora и CentOS. Бинарные сборки производятся для архитектур x86_64, aarch64, ppc64le и s390x. В текущем виде для загрузки доступно 310 бинарных пакетов (179 srpm).

Из новшеств отмечается создание дополнительного канала epel8-playground, выступающего аналогом Rawhide в Fedora и предлагающего наиболее свежие версии активно обновляемых пакетов, без гарантии их стабильности и сопровождения. По сравнению с прошлыми ветками в EPEL 8 также добавлена поддержка новой архитектуры s390x, для которой теперь собираются пакеты. В будущем не исключено появление поддержки s390x и в EPEL 7. Модули пока не поддерживаются, но их поддержку планируется интегрировать к моменту формирования ветки EPEL-8.1 в репозиторий, что позволит использовать их в качестве зависимостей при сборке других пакетов в EPEL.

  1. OpenNews: Сформирован репозиторий EPEL 8 с пакетами из Fedora для RHEL 8
  2. OpenNews: Объявление о прекращении поддержки Red Hat Enterprise Linux 5 и репозитория EPEL 5
  3. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 15 SP1
  4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 8
  5. OpenNews: Выпуск Red Hat Enterprise Linux 7.7
Обсуждение (44 +8) | Тип: К сведению |
14.08.2019 Обновление Firefox 68.0.2 (43 +14)
  Опубликовано корректирующее обновление Firefox 68.0.2 в котором устранено несколько проблем:

  • Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins ('Page Info/ Security/ View Saved Password)' предложенной в контекстном меню опции 'copy password', копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль);
  • Решена проблема с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в Google Maps);
  • Исправлена ошибка, приводившая к обрезанию некоторых спецсимволов в конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ "#");
  • Разрешено загружать шрифты через URL "file://" при открытии страницы с локального носителя;
  • Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул);
  • Устранена ошибка, приводящая к сбою при запуске внешних приложений, настроенных как обработчики определённых URI.

  1. OpenNews: Обновление Firefox 68.0.1
  2. OpenNews: Релиз Firefox 68
  3. OpenNews: В Firefox 70 планируют изменить отображение HTTPS и HTTP в адресной строке
  4. OpenNews: В ночные сборки Firefox добавлен режим строгой изоляции страниц
  5. OpenNews: В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные
Обсуждение (43 +14) | Тип: Программы |
14.08.2019 В Firefox 70 будет ужесточён вывод уведомлений и внесены ограничения для ftp (91 +6)
  В намеченном на 22 октября выпуске Firefox 70 решено запретить вывод запросов на подтверждение полномочий, инициированных из iframe-блоков, загруженных с другого домена (cross-origin). Изменение позволит блокировать некоторые злоупотребления и перейти к модели, при которой полномочия запрашиваются только из первичного для документа домена, который показывается в адресной строке.

Другим заслуживающим внимания изменением в Firefox 70 станет прекращение отрисовки содержимого файлов, загружаемых через ftp. При открытии ресурсов по FTP теперь принудительно будет инициироваться загрузка файла на диск, без учёта типа файла (например, при открытии через ftp перестанут отображаться изображения, README и html-файлы).

Кроме того, в новой версии в адресной строке появится индикатор предоставления доступа к местоположению, который позволит наглядно оценить активность Geolocation API и при необходимости отозвать у сайта право по его использованию. До сих пор индикатор отображался только до предоставления полномочий и в случае отклонения запроса, но исчезал при открытии доступа к Geolocation API. Теперь индикатор будет информировать пользователя о наличии подобного доступа.

  1. OpenNews: В ночные сборки Firefox добавлен блокировщик назойливых уведомлений и API UserScripts
  2. OpenNews: Возобновление работы по интеграции поддержки Tor в Firefox
  3. OpenNews: В ночные сборки Firefox добавлен режим строгой изоляции страниц
Обсуждение (91 +6) | Тип: К сведению |
Следующая страница (раньше) >>



Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру