Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2m и 1.1.0g , в которых устранены две уязвимости, из которых одна отмечена как неопасная (CVE-2017-3735), а вторая (CVE-2017-3736) отнесена к категории проблем среднего уровня опасности. Уязвимость CVE-2017-3736 связана с ошибкой вычислений при выполнении процедур возведения в степень на системах с Intel Broadwell, AMD Ryzen и более новыми процессорами с поддержкой расширений BMI1, BMI2 и ADX. Проблема теоретически может применяться для атаки по восстановлению закрытых ключей. Для алгоритмов EC атака не применима, а для RSA и DSA очень сложна в организации и маловероятно, что вообще сможет быть воплощена на практике. Атака против DH тоже сложна, но более реалистична, так как большая часть работы для воссоздания информации о закрытом ключе может быть выполнена не на уязвимой системе. В любом случае для атаки требуется наличие очень больших вычислительных ресурсов, которые доступны ограниченному контингенту.
Подготовлен второй кандидат в релизы свободного web-браузера Otter, нацеленного на воссоздание классического интерфейса Opera 12, независимого от конкретных браузерных движков и ориентированного на продвинутых пользователей, не принимающих тенденции по упрощению интерфейса и сокращению возможностей кастомизации. Браузер написан на языке C++ с использованием библиотеки Qt5 (без QML) . Исходные тексты доступны под лицензией GPLv3. Бинарные сборки подготовлены для Linux (пакет AppImage), macOS и Windows. . Браузер предоставляет большинство базовых возможностей Opera, включая стартовую страницу, конфигуратор, систему закладок, боковую панель, менеджер загрузок, интерфейс для просмотра истории посещений, редактор Cookie, менеджер содержимого локального кэша, панель поиска, менеджер сеансов, инструмент инспектирования web-страниц, менеджер SSL-сертификатов, возможность сохранения паролей, систему сохранения/восстановление сеансов, полноэкранный режим, возможность смены User Agent, проверку орфографии, функцию
Себастьян Кюглер (Sebastian Kügler), вице-президент организации KDE e.V., опубликовал план разработки мобильной платформы Plasma Mobile. Разработка разделена на 4 стадии, подразумевающих создание базовой стабильной основы с постепенным наращиванием функциональности и адаптации для различных областей применения. В настоящее время, уже завершена стадия создания начального прототипа (Plasma Mobile 0.1), отражающего общие концепции интерфейса, и ведётся работа над выпуском Plasma Mobile 1.0, в котором ожидается минимальный набор функций, пригодных для использования нетребовательными конечными пользователями, которым достаточно функциональности простого телефона. На данной стадии будут предоставлены средства для запуска и установки приложений, настройки сетевого доступа, отображения состояния, совершения звонков, отправки SMS, работы с адресной книгой, настройками (громкость, привязка рингтонов, параметры сотовой сети, выбор языка и т.п.) и SDK для разработки мобильных приложений. Из поставляемых
Организация GNOME Foundation, поддерживающая разработку окружения рабочего стола GNOME, объявила о включении компании Canonical в число членов консультативного совета проекта (GNOME Advisory Board). Входящие в совет компании и организации курируют развитие проекта, оказывают финансовую поддержку и проводят экспертные консультации. Среди известных участников совета отмечаются Фонд свободного ПО, Document Foundation, Debian, Linux Foundation и такие компании, как Red Hat, SUSE и Google. В этот же день опубликован корректирующий выпуск GNOME 3.26.2, в котором устранены накопившиеся ошибки и обновлены файлы с переводами.
Компания Open Whisper Systems, развивающая систему защищённых коммуникаций Signal, представила реализацию клиентского ПО для настольных систем, которая выпущена вместо ранее поставляемого web-приложения для Chrome. Программа позволяет с ПК или ноубука отправлять и принимать сообщения через сервис Signal, с поддержанием архива сообщений в виде, синхронизированном с мобильными устройствами. Приложение устанавливается обособленно и в отличие от ранее поставляемого приложения не требует наличия Chrome. Код написан на JavaScript и распространяется под лицензией GPLv3. Программа написана с использованием платформы Electron (надстройка над Chromium и Node.js) и поставляется в сборках для Linux, Windows и macOS.
В системе управления web-контентом WordPress выявлена уязвимость, позволяющая выполнить произвольные SQL-запросы на сервере. Уязвимость устранена в выпуске 4.8.3. Проблема связана с генерацией функцией $wpdb->prepare() запросов, допускающих совершение атак через подстановку SQL-запросов из-за отсутствия экранирования последовательности "%s" функцией esc_sql(). Утверждается, что базовая часть WordPress напрямую не подвержена атаке, но уязвимость может проявиться в плагинах и темах оформления при наличии двойного вызова prepare в сочетании с подстановками через "%s". Например, если в коде $value_clause = $wpdb->prepare( " AND meta_value = %s", $meta_value ); $object_ids = $wpdb->get_col( $wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key ) ); в качестве значения $meta_value пользователь передаст строку " %s ", а $meta_key - массив ['dump', ' OR 1=1 /*'], то благодаря двойной подстановке через оператор "%s" в первом prepare() вместо %s c учётом
Представлен релиз Node.js 9.0.0, платформы для выполнения высокопроизводительных сетевых приложений на языке JavaScript. Одновременно завершена стабилизация прошлой ветки Node.js 8.x, которая переведена в категорию выпусков с длительным сроком поддержки, обновления для которых выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 6.0 продлится до 2020 года, а позапрошлой LTS-ветки 4.x до апреля 2018 года. Поддержка промежуточной ветки Node.js 9.0 будет прекращена в июле 2018 года. Из улучшений в Node.js 9.0 отмечается обновление движка V8 до версии 6.2 и проведение значительной чистки от устаревших API. Кроме того, в версии 9.0 начался перевод проекта на новую систему обработки ошибок, в которой каждой проблеме присвоен свой уникальный код ошибки, что позволит организовать автоматизированный разбор проблем без привязки к тексту сообщения об ошибке.
Представлен релиз открытого фреймворка для создания браузерных 3D-приложений Blend4Web 17.10. Blend4Web предназначен для создания трехмерного интерактивного контента, работающего в браузерах без использования плагинов. Пакет тесно интегрирован с открытым пакетом Blender, использующимся в качестве основного инструмента редактирования 3D-сцен. Воспроизведение контента осуществляется средствами WebGL, Web Audio и других браузерных технологий. Наработки проекта распространяются под лицензией GPLv3. Основные изменения: Новый режим визуализации контента Side-by-side. В этом режиме выполняется разделение кадра на две части, с подачей изображения для левого и правого глаза. К примеру, телевизоры с поддержкой 3D способны самостоятельно собирать стереоизображение из этого формата. При этом передача данных может выполняться по простому кабелю HDMI. Кроме того, эта функция позволяет использовать ряд AR/VR устройств, которые требуют формата Side-by-side. Одним из устройств, работающих в этом режиме, являются очки
Состоялся релиз СloudStack-UI 1.49.13, открытого проекта по разработке альтернативного интерфейса для Apache CloudStack. В новой версии представлены значительные функциональные изменения: Управление общими группами безопасности - пользователь теперь может создавать группы, комбинируя различные правила шаблонов и использовать группы безопасности, разделяемые с другими VM. Root-диски теперь визуально отличаются от data-дисков. Также появилась опция отображения только свободных дисков - в определенных ситуациях это значительно экономит время пользователя. Добавлена возможность задавать описание для SSH-ключей. Реализована возможность отключения отображения системных тегов в деталях VM; Улучшен интерфейс пользователя для создания виртуальной машины. Пользователю предоставлен доступ к полному списку всех этапов создания ВМ, что при возникновении ошибки позволяет понять, на каком этапе она произошла. Добавлена возможность сохранения пароля к конкретной VM сразу после ее создания; Появился новый

Выпуск Wine 2.20

31.10.2017 21:15
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 2.20. С момента выпуска версии 2.19 было закрыто 15 отчётов об ошибках и внесено 175 изменений. Наиболее важные изменения: В Direct3D добавлены режимы интерполяции; Улучшена поддержка metafile в GdiPlus; Добавлена начальная версия пакета аутентификации через Kerberos5; Улучшена поддержка событий в MSHTML; Добавлена поддержка предварительной загрузки (Preloader) на платформе ARM64; Внесены улучшения в реализацию кэша буфера обмена OLE; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Witcher 3, Firewatch, The Solus Project, Banished, F.E.A.R, Condemned: Criminal Origin, First Templar, Hellblade, Ham Radio Deluxe 6.4, Fidibo, Endless Legend, Process Hacker 3.x, Tina 11.0, Circuitmaker 2000.