Исправление безопасности для Ubuntu 18.10, релиз новой версии набора man-страниц и другие новости



Подборка новостей за 7 марта 2019 года

Компания Canonical выпустила обновление ядра Linux для Ubuntu 18.10, аналогичное выпущенному вчера обновлению для Ubuntu 18.04 LTS. В соответствии с информацией от Softpedia News, в данном обновлении исправлены две уязвимости: CVE-2019-6133 и CVE-2018-18397. Кроме того, в нем исправлена обнаруженная Джейсоном Вангом уязвимость CVE-2019-16880, заключающаяся в записи данных за границы выделенного фрагмента памяти. Установите обновления как можно быстрее.

Вчера состоялся релиз набора man-страниц man-pages-5.00. Майкл Керриск, сопровождающий данный набор, пишет о новом релизе следующее: «Данный релиз состоялся благодаря патчам, сообщениям об ошибках, обзорам и комментариям от более чем 130 участников процесса разработки. Релиз является более масштабным, чем практически все предыдущие, так как с момента предыдущего релиза прошло около года. В него вошло более 600 изменений, затрагивающих около 400 страниц. В дополнение в него были добавлены 3 новые man-страницы». Архив с man-страницами размещен на ресурсе kernel.org, веб-версии страниц опубликованы на ресурсе man7.org, а Git-репозиторий размещен в рамках инфраструктуры kernel.org.

Убедитесь в том, что вы используете новейшую версию веб-браузера Google Chrome: 72.0.3626.121. Компания Google на прошлой неделе исправила уязвимость, но только вчера опубликовала информацию о том, что исправленная уязвимость CVE-2019-5786 имела высокий приоритет и эксплуатировалась с помощью существующего эксплойта. Источник: 9to5Google.

Сегодня состоялся релиз Qt Creator 4.9 Beta2. Вы можете ознакомиться со списком изменений на данной странице и загрузить исходный код с данной страницы.

Также сегодня состоялся релиз KDevelop 5.3.2. Это корректирующий релиз, направленный на стабилизацию программного продукта. Вы можете загрузить установщики, пакеты AppImage и исходный код с данной страницы.


Конвергенция PureOS, важные обновления для Ubuntu 18.04 LTS и другие новости


 Alex    06 мар 2019 : 18:39

Подборка новостей за 6 марта 2019 года

Компания Purism сообщила о том, что операционная система PureOS стала конвергентной, что означает, что «она сможет исполнять одни и те же приложения на смартфонах и ноутбуках с автоматической адаптацией к размерам экранов и устройствам ввода». С помощью PureOS компания Purism «заложила основу для запуска всех разрабатываемых приложений из одного и того же релиза PureOS на смартфоне Librem 5 и ноутбуках Librem».

Организация The Document Foundation анонсировала первый поинт-релиз LibreOffice ветки 6.2. Вы можете загрузить его с данной страницы. Обратите внимание на то, что «данный релиз содержит реализации новейших технологий в сфере открытых офисных пакетов и не предназначен для практического использования там, где новые функции имеют меньшее значение, чем стабильность работы. Пользователи, которым нужна более стабильная версия продукта могут загрузить версию LibreOffice 6.1.5 с бэкпортами изменений за несколько месяцев».

Компания Canonical выпустила исправление для ядра Linux из состава Ubuntu 18.04 LTS (Bionic Beaver). Softpedia News сообщает, что в рамках данного исправления были устранены три уязвимости: «ситуация гонок (CVE-2019-6133) в системном вызове fork(), которая могла позволить локальному злоумышленнику получить доступ к сервисам с кэшированными данными авторизации, ошибка в реализации userfaultd (CVE-2018-18397), которая могла позволить локальному злоумышленнику модифицировать файлы. Обе проблемы были обнаружены Джен Хорн. Более того, данное исправление также устраняет уязвимость в криптосистеме ядра Linux (CVE-2018-19854), которая заключалась в передаче неиницализированной области памяти в пространство пользователя при определенных условиях. Это могло позволить локальному злоумышленнику получить доступ к важной информации (хранящейся в памяти ядра ОС)». Установите обновления как можно быстрее.

Вчера проект KDE выпустил корректирующий релиз KDE Plasma 5 версии 5.12.8. В анонсе релиза говорится, что «релиз Plasma 5 состоялся в феврале 2018 года с множеством новых модулей и усовершенствований, необходимых для полноценной работы. Данный релиз содержит исправления и обновления переводов за последние шесть месяцев. Все исправления являются компактными, но важными». Дополнительная информация доступна в журнале изменений.

Недавно проект KaOS выпустил первое в году обновление образов установочных дисков KaOS 2019.02. В соответствии с анонсом, «среди наиболее важных изменений переход на Python 3.7 (3.7.2), Readline 8.0.0, Glib2 2.58.3, Qt 5.12.1, PHP 7.2, помимо фреймворков, Plasma и приложений KDE, в связи с чем будет обновлено 70-80% файлов пользовательских систем, что послужило обоснованием для выпуска новых ISO-файлов».


Атака SPOILER на процессоры Intel, новый проект от создателей социальной сети Gab.com и другие новости



Подборка новостей за 5 марта 2019 года

Недавно состоялся релиз версии 5.8 «Edge» проекта OpenNebula. Эта версия является пятым важным релизом открытой платформы для управления облачными окружениями. Среди новых возможностей можно выделить поддержку LXD, автоматический выбор NIC, улучшения в механизмах распределения и масштабирования нагрузки. Дополнительная информация доступна в примечаниях к выпуску, ссылки для загрузки — на данной странице.

Для процессоров производства Intel выявлена новая атака под названием «SPOILER». Phoronix сообщает, что исследователи из Вустерского политехнического института и Любечского университета разработали вариант атаки на механизм спекулятивного исполнения «информация о которой была у специалистов Intel несколько месяцев назад, но аппаратного или программного ее решения до сих пор не представлено, причем исследователи утверждают, что ее адекватное решение достаточно сложно выработать, особенно в ближайшее время, а все возможные решения будут связаны со снижением производительности, как и в случае с обнаруженными в прошлом году атаками Spectre и Meltdown. Атака SPOILER, скорее всего, не применима к центральным процессорам производства AMD и ARM». Еще одним интересным материалом по данной теме является статья «SPOILER: Speculative Load Hazards Boost Rowhammer and Cache Attacks».

В Android TV OS обнаружена ошибка, которая позволяет получить доступ к персональным фото всех пользователей устройств аналогичных моделей. В соответствии с информацией от Appuals, «при попытке пользователя Twitter @wothadei получить доступ к данным со своего Vu Android TV с помощью приложения Google Home, он обнаружил привязанные аккаунты других пользователей телевизоров этой же модели. К сожалению, это не единственная обнаруженная им ошибка. Этот же пользователь обнаружил, что он имеет возможность просмотра всех персональных фото с привязанных аккаунтов в Google Photos посредством конфигуратора хранителя экрана».

Вчера состоялся релиз полностью свободного варианта ядра Linux: GNU Linux-libre 5.0-gnu. Исходные коды доступны на данной странице.

Авторы социальной сети без цензуры Gab.com представили новый проект Dissenter. В рамках данного проекта развивается надстройка над социальной сетью Gab и плагины ко всем популярным веб-браузерам, позволяющие размещать комментарии к любым Интернет-страницам без цензуры. Код всех плагинов распространяется под свободной лицензией Apache 2.0. Для размещения комментариев необходим аккаунт в социальной сети Gab.


Релиз ядра Linux версии 5.0, обновление веб-сайта проекта Linux Mint и другие новости


 Alex    05 мар 2019 : 17:21

Подборка новостей за 4 марта 2019 года

Состоялся релиз ядра Linux версии 5.0. Линус Торвальдс написал по этому поводу: «мы получили огромное количество исправлений реальных проблем в течение последней недели, но их все равно не достаточно, чтобы сказать «Ну, теперь ядро нестабильно». Фактически, как минимум две трети патчей отмечены как исправления проблем предыдущих релизов, поэтому версия 5.0 не выглядит неуместно». С данного момента начат прием патчей для версии 5.1.

Вчера состоялся релиз Python 2.7.16. Это корректирующий релиз, вы можете загрузить его с данной страницы.

Участники проекта Linux Mint работают над новым веб-сайтом и логотипом. В блоге Linux Mint описываются все изменения и приводятся наброски новых дизайнов. Кроме того, в кодовую базу Cinnamon были внесены изменения, призванные повысить производительность этого окружения рабочего стола, а в набор инструментов Mint Tools добавлены новые функции, такие, как автоматическое удаление устаревших версий ядра Linux, блокировка функций отключения/перезагрузки системы в течение исполнения автоматизированных операций, ротация файлов системных журналов и другие.


Подготовка к выпуску новой версии Ubuntu Touch, ускорение Google Chrome и другие новости



Подборка новостей за 1 марта 2019 года

Сообщество UBports обратилось к пользователям с просьбой протестировать предрелизную сборку Ubuntu Touch OTA-8. В соответствии с информацией от Softpedia News, новая версия прошивки для смартфонов должна выйти на следующей неделе, а точнее, 6 марта. При этом разработчики обращаются к пользователям: «мы подготовили проект OTA-8 QA на GitHub для сбора всех сообщений об ошибках и обратной связи. В столбце QA приведена информация об аспектах, которые не полностью протестированы. В столбце Done приведена информация об ошибках, которые, благодаря нашим усилиям, были исправлены». Среди изменений в новой версии следует выделить значительное усовершенствование веб-браузера Morph, улучшение алгоритма поиска и оформления приложения Contacts, незначительное улучшение мастера настройки, а также удаление компонентов веб-движка Oxide.

Компонент JDK Mission Control доступен в качестве модуля в Fedora 29. JDK Mission Control является профилировщиком для JVM HotSpot, содержащим «расширенный набор инструментов для эффективного и подробного анализа данных от JDK Flight Recorder (JFR). Для работы JMC требуется Java версии 8 и выше».

Компания Google ускорила работу кнопки Назад в веб-браузере Chrome с помощью нового механизма кэширования. ArsTechnica сообщает, что новый механизм кэширования bfcache из состава Chrome «позволяет браузеру сохранять все данные состояния открытой страницы, включая данные состояния исполняющихся сценариев, отрисовываемых изображений, а также позицию страницы с возможностью последующего восстановления. Благодаря bfcache вместо повторной загрузки страницы будет происходить ее отображение в том состоянии, которое наблюдалось перед переходом по ссылке и нажатием на кнопку Назад».

Еще на прошлой неделе была выпущена вторая бета-версия дистрибутива Mageia 7. Сам релиз запланирован на текущий год. Среди новшеств можно выделить обновления компонентов: ядра Linux до версии 4.20, Mesa до тестовой версии 19.0, RPM до версии 4.14.2, а также окружения рабочего стола KDE Plasma до версии 5.14.2, GNOME до версии 3.30 и Xfce до версии 4.13.4.


Релиз данных проекта Common Voices от Mozilla, новая версия LibreELEC и другие новости


 Alex    01 мар 2019 : 15:53

Подборка новостей за 28 февраля 2019 года

Сегодня компания Mozilla опубликовала данные проекта Common Voices, являющиеся «крупнейшим набором снабженных аннотациями голосовых данных без авторских прав». Опубликованный набор данных содержит практически 1400 часов записей голосов более чем 42000 людей. В блоге Mozilla говорится: «данный релиз является отправной точкой для поступательного развития проекта Common Voices, который уже является крупнейшим проектом данного типа и существует благодаря труду тысяч пользователей, делящихся записями своих голосов и аннотациями к ним под свободной лицензией CC0. Со временем все данные будут доступны для загрузки с веб-сайта Common Voice».

Сегодня состоялся первый в 2019 году релиз проекта Kstars 3.1.0. В рамках этого релиза разработчики работали главным образом над повышением стабильности и производительности приложения, к примеру, был исправлен ряд ошибок в функции Ekos Scheduler, в модуль Focus была добавлена функция Ring-Field Focusing, окно LiveView начало поддерживать зум и выстраивание изображений поддерживаемых DSLR-камер. Подробности доступны в блоге Jasems Ekosphere, ссылки для загрузки исходных кодов и других ресурсов размещены на данной странице.

Доступна новая версия LibreELEC 9.0.1 (Leia). Этот релиз основанной на Linux открытой операционной системы для встраиваемых систем «содержит множество изменений и улучшений пользовательских качеств с полным обновлением низкоуровневых компонентов операционной системы, что позволило улучшить стабильность и расширить набор поддерживаемого аппаратного обеспечения. В Kodi 18 также появились новые функции, такие, как Kodi Retroplayer и поддержка DRM (с помощью соответствующего дополнения), которая позволяет получить неофициальный доступ к контенту с таких ресурсов, как Netflix и Amazon». В дополнение добавленная в новой версии возможность использования «изменяемых SSH-паролей и стандартной конфигурации межсетевого экрана позволяет бороться с увеличением количества общедоступных HTPC-систем». Ссылки для загрузки файлов установочных образов приведены на данной странице.

Softpedia News сообщает, что недавно обнаруженная специалистами EdgeSpot уязвимость «уже успешно эксплуатируется, причем официальное исправление будет выпущено компанией Google в конце апреля». В дополнение, «PDF-документы не выдают каких-либо персональных данных в случае открытия их в отдельных приложениях, таких, как Adobe Reader. Однако, они, очевидно, содержат вредоносный код, предназначенный для эксплуатации уязвимости в Google Chrome, ведь при открытии их в веб-браузере генерируется сетевой трафик, направленный на домены burpcollaborator.net и readnotify.com». Для защиты от эксплуатации этой уязвимости не стоит открывать какие-либо PDF-документы в Google Chrome, особенно те, которые получены из ненадежных источников.


Новый инструмент для аудита безопасности Linux-систем, слухи о замене apt на snap в Ubuntu и другие новости


 Alex    27 фев 2019 : 19:30

Подборка новостей за 27 февраля 2019 года

Проект KDE сообщил об одобрении заявки на участие в мероприятии Google Summer of Code. Примечательно, что завки проекта одобряют 14 год подряд. В wiki сообщества KDE приведен список требующих реализации идей, а также инструкции для студентов, желающих принять участие в GSoC 2019.

Проект CentOS сегодня празднует свое 15-летие. В связи с этим редакторы блога CentOS хотели бы поговорить с участниками проекта, которые стояли у его истоков, а также с теми, кто принял участие в проекте позднее о том, как они пришли к решению об участии. Если вы желаете рассказать свою историю, вы можете написать сообщение по адресу rbowen@centosproject.org.

В Linux появился новый инструмент для аудита безопасности систем под названием cmd. По информации от Network World, «данный инструмент выходит за рамки обычного механизма привилегий пользователей и принимает активное участие в мониторинге и контроле за исполняемыми пользователями командами». Он спроектирован для использования в облачных системах и осуществляет контроль за действиями пользователей «путем формирования профилей активности пользователей (описывающих действия, которые те или иные пользователи обычно выполняют), отслеживания отклонений от их обычного поведения (по таким параметрам, как время сессий, используемые команды, локации, и так далее), предотвращения и отправки администратору сообщений о подозрительных действиях (таких, как загрузка или модификация файлов и выполнение привилегированных команд), которые могут быть связаны с компрометацией системы. Поведение инструмента полностью изменяемо, причем соответствующие изменения могут производиться в течение кратчайшего времени».

Компания Red Hat анонсировала новую программу сертификации специалистов Red Hat Certified Architect Program in Telco Cloud, которая «является программой тренинга и сертификации специалистов, работающих с телекоммуникационными технологиями нового поколения». Программа «призвана выработать навыки, которые требуются инженерам телекоммуникационных систем для создания сетевых облаков (NFV), а также работы с такими технологиями, позволяющими предоставлять абонентам современные сервисы, как 5G».

В последнее время среди пользователей дистрибутива Ubuntu распространяются слухи о том, что версия Ubuntu 19.04 станет отправной точкой для постепенного отказа от пакетного менеджера apt в пользу менеджера самодостаточных пакетов snap. Эти слухи основываются на посте с предложением о замене apt на snap от пользователя дистрибутива, формально поддержанном Марком Шаттлвортом, а также на информации с YouTube-канала Switch to Linux. Автор ресурса Its FOSS обратился с вопросом о правдоподобности данных слухов к разработчику Snap и получил отрицательный ответ. Все подробности доступны в статье на Its FOSS.


Новости Eclipse IoT, PureBoot от Purism и другие новости


 Alex    27 фев 2019 : 02:25

Подборка новостей за 26 февраля 2019 года

Организация Eclipse Foundation сегодня утром сообщила о том, что Eclipse IoT, «ведущая коллаборации вендоров, работающих над программным обеспечением с открытой модульной архитектурой, способным ускорить коммерческое внедрение IoT-устройств», успешно достигла показателей в «3 миллиона строк кода, 41 компании-участника, 37 проектов и 350 участников». На веб-сайте Eclipse IoT приведена дополнительная информация о том, почему «Eclipse IoT является центром притяжения открытых IoT-проектов». Для Eclipse IoT важно и ваше мнение, поэтому вы можете принять участие в опросе 2019 IoT Developer Survey.

Уязвимость аппаратного обеспечения Supermicro позволила исследователям компьютерной безопасности установить бэкдор на облачный сервер IBM. В соответствии с информацией от Ars Technica, другие поставщики аппаратного обеспечения также не застрахованы от аналогичной уязвимости BMC-контроллера. Обратитесь к отчету компании Eclypsium под названием The Missing Security Primer for Bare Metal Cloud Services за подробностями.

Компания Purism вчера анонсировала технологию PureBoot, являющуюся по своей сути «коллекцией программного обеспечения и мер безопасности, направленных на защиту процесса загрузки устройства с полным контролем над ним». PureBoot состоит из семи компонентов: деактивированного чипа Intel management engine, открытой замены BIOS от проекта Coreboot, чипа Trusted Platform Module, Heads (специализированного программного обеспечения для обнаружения модификаций процесса загрузки), токена Librem Key с интерфейсом USB и механизма мультифакторной аутентификации. Дополнительная информация доступна в документации PureBoot.

Команда разработчиков Go представила новую версию языка программирования Go 1.12. Среди новшеств новой версии Go можно выделить поддержку TLS 1.3, улучшенную поддержку модулей, а также улучшенную поддержку платформ macOS и iOS. Полный список изменений приведен в примечаниях к выпуску, ссылки для загрузки — на данной странице.


Новая версия Git, корректирующий поинт-релиз Ubuntu 16.04 и другие новости


 Alex    25 фев 2019 : 19:38

Подборка новостей за 25 января 2019 года

Доступна новая версия Git 2.21.0. Среди новых возможностей поддержка читаемых человеком дат, определение коллизий путей в системах без различий в регистре символов имен файлов, мультипакетные индексы и многие другие. Подробнее о новшествах рассказано в блоге разработчиков GitHub.

Увидели свет microSD-карты объемом в 1 Тб. The Verge сообщает, что Micron и подразделение Western Digital SanDisk анонсировали новые продукты линейки UHS-I microSDXC на конгрессе Mobile World Congress. Карта производства SanDisk поступит в продажу в апреле по цене 449.0$. По поводу цены карты от Micron пока нет информации.

На этом же конгрессе американский мобильный оператор Sprint поделился планами запуска сетей стандарта 5G в Атланте, Чикаго, Далласе и Канзасе в мае 2019 года, а также в Хьюстоне, Лос-Анжелесе, Нью-Йорке, Фениксе и Вашингтоне в конце июня 2019 года. Подробнее о сетях нового стандарта в США рассказано в статье TechCrunch.

В текущее время ведется работа над незапланированным поинт-релизом Ubuntu 16.04.6. В соответствии с анонсом релиза, «ввиду наличия недавно обнаруженной и исправленной уязвимости в apt, мы решили пересоздать установочные образы всех поддерживаемых версий дистрибутива, которые могут содержать компоненты с уязвимостями. Мы не планировали выпускать еще один поинт-релиз, но у нас не осталось других вариантов действий. Безопасность пользователей важна». Релиз выйдет 28 февраля.

Специалисты компании Canonical работают над оптимизациями производительности GNOME Shell. В частности, проблемы с производительностью возникают у пользователей пропиетарного драйвера NVIDIA, причем недавно выпущенный новый релиз драйвера так и не решил их. Подробности приведены в материале от Phoronix.


Очередная смена лицензии модулей Redis, удаление шпионского ПО от Facebook из Google Store и другие новости


 Alex    22 фев 2019 : 19:01

Подборка новостей за 22 февраля 2019 года

Компания Redis Labs в очередной раз изменила лицензию модулей Redis. В соответствии с информацией от TechCrunch, новая лицензия носит имя Redis Source Available License и, как и в случае с предыдущей лицензией Commons Clause License, относится лишь к некоторым модулям от Redis Labs. По условиям этой лицензии, пользователи все так же могут получить код программного продукта, модифицировать и интегрировать его в свои приложения, но это приложение не должно являться базой данных, движком кэширования, движком обработки потоков данных, поисковым движком, движком индексирования или обработки ML/DL/AI». TechCrunch уточняет, что определение открытой лицензии не предусматривает возможности использования подобных ограничений, поэтому эта новая лицензия не является открытой. В то же время, она очень похожа на остальные «разрешающие открытые лицензии», поэтому «не превратится в проблему для большинства разработчиков, использующих затронутые ею модули».

Ядро Linux 4.19 адаптировано для Raspberry Pi. В соответствии с информацией от Phoronix, в рамках экосистемы Raspberry Pi будет осуществлен переход с с ядра Linux 4.14 на ядро Linux 4.19 с длительным сроком поддержки. Это изменение предварялось годом обновлений и, по заявлению Phoronix, «для Raspberri Pi в рамках ядра Linux 4.19 были обновлены драйвер питания, драйвер механизма уведомления о проблемах с питанием, а также видеодрайвер VC4. При этом с момента выпуска ядра Linux 4.14 в него было добавлено множество улучшений, благодаря чему разработчикам образов для Raspberry Pi придется поддерживать меньшее количество патчей».

Компания Facebook уберет свое шпионское ПО Onavo VPN из магазина Google Store. Ресурс TechCrunch сообщает, что в результате исследования данного приложения были установлены факты сбора информации о несовершеннолетних, причем само приложение, вероятнее всего, в самое ближайшее время прекратит собирать данные о пользователях и в течение некоторого времени продолжит работать как VPN, позволив пользователям подыскать замену.