Дорогие пользователи и анонимусы! Администрация поздравляет вас с новым 2019 годом.
Год выдался интересным. Если в прошлом году мы получили именные уязвимости, то в этом году были раскрыты уязвимости в самих процессорах практически всех популярных марок. Мы пережили с потерями и без нашествия SJW разных мастей, некоторым даже понадобилась помощь специалистов, а Линус наконец-то сходил в отпуск. Core OS был куплен Red Hat'ом, а Red Hat был куплен IBM'ом, что весьма порадовало инвесторов Red Hat и расстроило всех остальных. Mozilla исполнилось 20 лет, Slackware - 25. Взлетели и упали криптовалюты. GitHub стал частью Microsoft, но ничего плохого пока не случилось. Были новые релизы OpenBSD, FreeBSD, Haiku и даже Solaris. Оказалось, что у протокола Gopher еще есть пользователи. Регуляторы на трех континентах ломали интернет как могли, но не преуспели в своем деле.
LOR'у в этом году исполнилось 20 лет.
В наступающем году нас ждет много увлекательного. Еще больше контейнеризации, физические ограничения литографии без перехода на ультрафиолет, изменение цен на комплектующие после снижения интереса к криптовалютам, новые версии любимого софта, еще больше работы регуляторов.
Gzip уменьшает размер заданных файлов при помощи кодирования Лемпеля-Зива (LZ77). По возможности, каждый сжимаемый файл заменяется файлом с расширением .gz, сохраняя те же права и время изменения. (На MSDOS, OS/2 FAT, Windows NT FAT и Atari расширение по умолчанию .z). Если файлы не указаны или указан файл - — используется stdin, а сжатые данные выводятся в stdout. Gzip пытается сжимать только обычные файлы; в частности, он игнорирует символьные ссылки.
Мы рады представить вашему вниманию релиз Calculate Linux 18.12!
В новой версии добавлена поддержка установки системы на Btrfs с поддержкой сжатия в формате zstd, в релиз вошла новая редакция дистрибутива для образовательных учреждений (CLDXE), оптимизирован размер серверных редакций дистрибутива, добавлена поддержка переноса программ при переустановке системы. ISO-образы запакованы в формат zstd, что ускорило время загрузки LiveCD, запуска программ и установки системы.
Для загрузки доступны следующие редакции дистрибутива: Calculate Linux Desktop с рабочим столом KDE (CLD), Cinnamon (CLDC), Cinnamon (CLDL), Mate (CLDM) и Xfce (CLDX и CLDXE), Calculate Directory Server (CDS), Calculate Linux Scratch (CLS) и Calculate Scratch Server (CSS).
Программное обеспечение
32-х и 64-х битные сборки переведены на ядро 4.19.9.
KDE Applications обновлен до версии 18.08.3.
KDE Plasma до версии 5.14.3.
Cinnamon обновлён до версии 4.0.3.
Установка системы
Формат сжатия LiveCD переведён на zstd, за счёт чего сократилось время на загрузку Live образа, установку системы, запуск приложений, подготовку модифицированного образа системы.
Открытый клиент Ultima Online OrionUO готов под MacOS и Linux, спустя 21 год мы можем запустить нативный Ultima Online на Linux и MacOS! С дополнительными плюсами вроде 60+ фпс и изменения размера окна.
Ruby — динамический, опенсорсный язык с прицелом на простоту и продуктивность. Он имеет элегантный синтаксис: интуитивно понятный и простой для написания.
В этом выпуске представлен ряд новых возможностей и улучшений производительности. Самые важные:
Новый JIT-компилятор, который вместо работы в памяти сохраняет на диск код на языке C и обрабатывает его внешним компилятором (поддерживаются GCC, Clang и Microsoft VC++). Включается ключом --jit. На активно нагружающих процессор задачах достигнуто ускорение в 1.7 раз по сравнению с Ruby 2.5.
Модуль RubyVM::AbstractSyntaxTree (экспериментальный, поддержание будущей совместимости пока не гарантируется). Он предоставляет методы parse и parse_file для превращения соответственно строки или файла с кодом на Ruby в узлы абстрактного синтаксического дерева, представленного объектами класса Node из того же модуля.
Выпущена новая версия специализированного фоторедактора darktable, оптимизированного для работы с raw-фотоснимками и содержащего базовые функции каталогизации фотографий.
После двух лет разработки вышла новая версия Supertux — популярного свободного платформера с классическим геймплеем: управляя пингвином Туксом, игроку предстоит преодолевать препятствия, сражаться с противниками, зарабатывать очки, продвигаться на следующие уровни. Всё это — в традиционной 2D-графике.
GNU Parallel — это инструмент командной оболочки, созданный Оле Танге. Написан на языке Perl, предназначен для выполнения задач параллельно на одном или нескольких компьютерах. Задача может быть однострочником или небольшим скриптом, который должен выполниться для каждой строки ввода. Примеры такого ввода — списки файлов, хостов, пользователей, ссылок или таблиц. Задачей также может быть команда, читающая из пайпа. GNU Parallel может разделять ввод и перенаправлять его выполняющимся параллельно командам.
Спустя пять месяцев после прошлого значительного выпуска разработчики из Matrix.org Foundation рады представить новую версию Synapse — эталонную реализацию сервера протокола Matrix, написанную на Python с использованием фреймворка Twisted.
15 декабря вышел KKnD Remake 0.1.0 — первая версия свободного ремейка популярной стратегии в реальном времени. Разработка проекта началась в 2011 году, своей целью авторы ставили воссоздать обеих частей игры Krush, Kill’n’Destroy, исправить проблемы с совместимостью и добавить поддержку современных платформ (GNU/Linux, OS X, Windows).
10 декабря вышла новая версия Nextcloud, платформы для облачного файлового хостинга и организации совместной работы. Nextcloud включает в себя собственно сервер хранения и синхронизации файлов, дополнительные приложения, использующие встроенные механизмы расширения, а также клиентские приложения.
Улучшения в совместном редактировании документов, в том числе редактирование документов на мобильных устройствах (редактирование осуществляется посредством использования Collabora Online 4.0, который на момент написания новости официально еще не вышел).
Tails — дистрибутив на основе Debian, предназначенный для обеспечения приватности и анонимности.
Данный релиз исправляет многочисленные уязвимости в стороннем программном обеспечении, обнаруженные с момента выпуска прошлой версии. Разработчики рекомендуют обновиться до последней версии как можно быстрее.
Сегодня состоялся новый крупный релиз свободной операционной системы FreeBSD. Новый релиз был сфокусирован на поддержку современных графических адаптеров, много внимания было уделено системе шифрования дисков GELI и системе контейнерной виртуализации VIMAGE. Здесь будут рассмотрены на мой взгляд самые значимые из изменений.
Уязвимость CVE-2018-19788 присутствует на большинстве операционных систем GNU/Linux и позволяет пользователю, чей UID превышает 2147483647, выполнить любую команду systemctl, равно как и получить root-права.
Проблема существует из-за ошибки в библиотеке Polkit (другое название PolicyKit), заключающейся в неправильной проверки запросов от пользователей с UID > INT_MAX. Где INT_MAX это константа определяющая максимальное значение переменной типа int, равняющаяся 0x7FFFFFFF в шестнадцатеричной или 2147483647 в десятичной системе счисления.
Исследователь по безопасности Rich Mirch (аккаунт в Twitter 0xm1rch) представил успешно работающий эксплоит, демонстрирущий данную уязвимость. Для его корректной работы требуется наличие пользователя с идентификатором 4000000000.
В Twitter'е предлагают гораздо более простой способ получения root-прав:
systemd-run -t /bin/bash
Компания Red Hat рекомендует системным администраторам не создавать аккаунты с отрицательными значениями UID или UID превышающими 2147483647 до тех пор, пока не будет выпущен патч, исправляющий уязвимость.
Команда Rust объявила о выходе новой стабильной версии Rust 1.31.0, который ознаменует собой также выход новой редакции «Rust 2018». Rust — это язык программирования, который позволяет каждому создавать надежное и эффективное программное обеспечение.
Если у вас установлена предыдущая версия Rust, обновиться до Rust 1.31.0 проще всего следующим образом:
«Мы рады заявить о выходе GNU Guix и GNU GuixSD версии 0.16.0, содержащих 4515 коммитов от 95 человек за 5 месяцев. Надеемся, это последний релиз перед 1.0», — пишет Людовик Куртес (Ludovic Courtès) в блоге проекта.
GNU Guix — это транзакционный пакетный менеджер. GuixSD — дистрибутив операционной системы GNU, работающий с пакетным менеджером Guix, подсистемой инициализации Shepherd, ядром LinuxLibre, и поддерживает архитектуры i686, x86_64, armv7, aarch64.
После полугода разработки подготовлен новый мажорный выпуск кроссплатформенного фреймворка Qt 5.12.
Qt лицензируется под лицензиями LGPLv3 и GPLv2, инструменты Qt для разработчиков, такие как Qt Creator и qmake, а также некоторые модули поставляются под лицензией GPLv3.
Релиз 5.12 относится к релизам с длительной поддержкой — LTS.
Значительное внимание разработчиков уделялось обеспечению стабильности и скорости работы. По сравнению с прошлой LTS-веткой в Qt 5.12 устранено более 2000 недочётов.
4 декабря 2018 года вышла новая версия системы виртуализации Proxmox, которая позволяет создавать кластеры серверов виртуализации и контейнеров. В качестве бэкэндов используются KVM и LXC. Управление производится через веб-интерфейс или интерфейс командной строки. Система представляет собой дистрибутив Linux на основе Debian, либо может быть установлена на уже имеющуюся инсталляцию Debian GNU/Linux.
Biscuit неплохо документирован и содержит 27 тысяч строк на Go, из которых всего 90 функций содержат небезопасные вызовы («unsafe»), необходимые для задач вроде доступа к регистрам процессора. Есть также небольшой загрузчик, написанный на ассемблере.
Microsoft открывает средства для разработки GUI для .NET: WPF, Windows Forms и WinUI, — под лицензией MIT. На данный момент WPF, Windows Forms и WinUI доступны только для платформы Windows. Стоит отметить, что Mono поддерживает Windows Forms через нативную библиотеку GDI+, и, скорее всего, наработки Windows Forms будут перенесены в Mono. А вот основой WPF является Direct3D, поэтому портирование под X11 или Wayland будет проблематично, хотя данные наработки могут помочь проекту Wine-mono и расширить число программ, запускаемых Wine.
PPSSPP — это эмулятор Sony PlayStation Portable (PSP) с открытым исходным кодом. Он работает на Windows, macOS, GNU/Linux и мобильных устройствах под управлением Android. PPSSPP относится к HLE (High Level Emulation) эмуляторам и не требует BIOS оригинальной консоли, так как используется HLE BIOS.
3 декабря 2018 года Фонд свободного программного обеспечения, The Free Software Foundation (FSF), Бостон, США, заявил о получении пожертвований в размере 1 000 000 долларов. Разработчик экспериментальной одноранговой системы корневых доменов Handshake сделал благотворительный взнос в фонд.
Эти подарки будут направлены на поддержку инфраструктуры фонда FSF, включая поддержку деятельности юристов, образование, усилия по лицензированию, также специфические проекты, спонсируемые FSF.
Джон Салливан, исполнительный директор FSF, сказал: «Подарок $1 миллион в биткоинах от Фонда Pineapple, сделанный ранее в этом году, и запись в наши ряды большого числа членов дают ясно понять, что свобода программного обеспечения имеет огромное значение в нашем мире. Мы находимся в начале истории и ставим цель сделать свободное программное обеспечение вопросом, обсуждаемым за кухонным столом. Благодаря Handshake и участникам фонда свободного программного обеспечения фонд намерен взять новые вершины в распространении идеи свободного ПО, разработке ПО, развитии сообщества.»
Роб Майерс из Handshake сказал: «Фонд FSF — мировой лидер по защите прав всех пользователей компьютеров. Фонд обеспечивает поддержку свободного ПО, включая операционную систему GNU, проводит кампании по осведомлению, например, Defective by Design. Handshake гордится возможностью поддержать FSF в его важной работе по защите нашей свободы.»
Этот значительный вклад Handshake будет снабжать активистов FSF, разработчиков и юристов по всему миру.
400 000 долларов будут направлены на организационные расходы FSF, публикации, лицензирование и инициативы активистов,
200 000 долларов получит Replicant — полностью свободная мобильная операционная система, основанная на Android,
100 000 долларов — для поддержки GNU Guix и GNU GuixSD — пакетного менеджера, который поддерживает транзакционные обновления и откаты, управление пакетами непривилегированными пользователями, профили пользователей и многое другое, и операционной системы с этим пакетным менеджером,
100 000 долларов — для GNU Octave — язык высокого уровня, проектируемый для вычислений над числами,
100 000 долларов — на поддержку проектов, обеспечивающих безопасность, как например, защита от несвободного JavaScript,
100 000 долларов — для GNU Toolchain, который предоставляет системные компоненты ПО GNU/Linux и Интернета.
GNU Guix недавно исполнилось 6 лет, подарок в виде доната в 100 000 долларов позволит гарантировать независимость, инвестировать в серверную аппаратуру для разработки. Пользователям будут предоставлены новые возможности: поддержка новых свободных архитектур, поддержка репозиториев бинарного и открытого кода. Кроме этого, в качестве благодарности, в репозиторий будут включены пакет и служба резолвера Handshake.
Исследователи из Северо-Восточного университета Бостона и команды IBM Research обнаружили новый вариант уязвимости Spectre, которую можно эксплуатировать через браузер. Как и в предыдущих случаях, новая проблема, получившая название SplitSpectre, представляет собой уязвимость в механизме спекулятивного выполнения, реализованном в современных процессорах.
Различие между SplitSpectre и Spectre v1, обнаруженной в минувшем году, заключается в методе выполнения атаки. Способ эксплуатации SplitSpectre более простой в исполнении по сравнению с оригинальной атакой Spectre.
Как пояснили исследователи, данная атака технически увеличивает длину окна спекулятивного выполнения. Новый метод был успешно протестирован на процессорах Intel Haswell, Skylake и AMD Ryzen с использованием JavaScript-движка SpiderMonkey 52.7.4.
Технология PhysX была создана в 2004 году компанией Ageia и для её реализации предлагались отдельные графические ускорители, в 2008 году компанию поглотила nVidia, которая впоследствии перенесла ускорение физики на сами GPU. PhysX до сих пор была проприетарной, от чего разработчики игр неохотно внедряли её, а саму nVidia обвиняли в недобросовестной конкуренции.
Библиотеки PhysX теперь бесплатно доступны на GitHub для платформ Windows, Linux, OSX, iOS и Android, и разработчики могут самостоятельно собрать их. Бинарные блобы от nVidia больше не нужны. PhysX предлагает более естественное уничтожение объектов в играх, поведение дыма, тканей при наличии ветра и так далее.
PhysX SDK поддерживается в большинстве игровых движков, как например Unreal Engine 3 и 4, Unity, AnvilNext, Stingray, Dunia 2 и REDengine. Используется во многих популярных игровых проектах типа Bioshock Infinite, Borderlands 2, Daylight, Witcher 3 и многих других, — тысяча их.
CAT предполагает параллельное применение нескольких атак Padding Oracle (расшифровку шифрованного текста для восстановления открытого текста путем отправки нескольких манипулируемых зашифрованных текстов), что в результате позволяет извлечь закрытые ключи шифрования при соединении, защищенном протоколом TLS. Основное отличие заключается в том, что для ее осуществления атаки нужно иметь доступ к уязвимой системе (с помощью уязвимого или вредоносного ПО).
В теории, с помощью данного способа злоумышленник может похитить токен аутентификации для доступа к учетной записи пользователя (например, в Gmail) и перехватить соединения или контроль над аккаунтом. За прошедшие годы разработчики реализовывали различные меры защиты от атак, но как оказалось, их можно обойти с помощью информации, полученной в атаках по сторонним каналам на кэш. С помощью сочетания атаки FLUSH+RELOAD(атака на кэш, когда отслеживается доступ к данным в совместно используемых страницах памяти), Browser Exploit Against SSL/TLS (BEAST) и предсказания переходов исследователям удалось понизить версии реализаций TLS в семи из девяти популярных библиотек (OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS). Атаки же на BearSSL и BoringSSL не дали результата. Уязвимости получили идентификаторы CVE-2018-12404, CVE-2018-19608, CVE-2018-16868, CVE-2018-16869 и CVE-2018-16870.
2-го декабря 2018-го года Международная Организация по Стандартизации (ISO) опубликовала ISO/IEC 1539:2018, ранее известный под названием Fortran 2015.
Новый стандарт расширяет возможности взаимодействия с программами на C и параллельного программирования:
Введён новый тип CFI_cdesc_t, содержащий информацию о типе элементов, ранге, размере передаваемого массива и способе выделения его памяти. Ранее на сторону программы, написанной на языке C, вместо массивов чисел можно было передать только «голые» указатели, и о соблюдении границ массивов приходилось заботиться вручную.
Введено понятие команды (team), позволяющее разделить выполняющуюся на кластере программу на несколько сравнительно независимых подмножеств процессов.
Появилась возможность обработки ошибок отдельных процессов кластера (fail image и аргумент stat= вызовов change team, end team, event post, form team, sync all, sync images, sync team).
Добавлены атомарные операции над переменными (atomic_add, atomic_and, atomic_or, atomic_xor, atomic_fetch_add, atomic_fetch_and, atomic_fetch_or, atomic_fetch_xor, atomic_cas).
Улучшена совместимость со стандартом ISO/IEC/IEEE 60559:2011 для чисел с плавающей запятой.
Следующая версия стандарта временно называется Fortran 202x.
Состоялся релиз Midori 7.0 — новой мажорной версии легковесного браузера, разрабатываемого в рамках инициативы Xfce Goodies. Как следует из официального описания, целью авторов является создание полнофункционального, но быстрого и нетребовательного к ресурсам веб-браузера. Из особенностей проекта можно выделить встроенный (но отключёный по умолчанию) блокировщик рекламы, настройки для обеспечения приватности (блокировка сторонних cookies, встроенный аналог NoScript, автоматическая чистка истории и проч.), поддержка пользовательских скриптов (userscripts) и CSS (userstyles) при помощи идущего в комплекте дополнения.
Международная Организация по Стандартизации (ISO) опубликовала новый международный стандарт языка программирования C: ISO/IEC 9899:2018, его также называют C17 и C18.
Новый стандарт не вносит никаких новых возможностей, а лишь исправляет дефекты, сообщенные для C11. Значение макроса __STDC_VERSION__ увеличено до 201710L.
Поддержка C18 у GCC появилась, начиная с 8 версии, а у LLVM Clang — с 6.0. Чтобы указать во время компиляции использование стандарта C18 у GCC и LLVM Clang используются флаги -std=c17 и -std=gnu17. В GCC можно также указать новый стандарт флагами -std=c18 и -std=gnu18.
Вышла первая бета нового свободного пакета для 3D-моделирования. Главная особенность программы заключается в том, что она позволяет без особых знаний и умений в моделировании быстро сформировать базовый каркас модели на основе цифровой фотографии, где объект изображен с передней и боковой сторон. После этого пользователь отмечает базовые точки на основе фотографии, далее программа автоматически сгенерирует меш, и затем можно приступать к добавлению материалов и текстур. Подробнее об этом методе можно прочитать в блоге разработчиков.
