Состоялся релиз текстового редактора GNU Emacs 25.3, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года. Выпуск носит внеплановый характер и экстренно подготовлен для устранения опасной уязвимости, которая позволяет организовать выполнение кода при разборе текста c разметкой "Enriched Text" (RFC 1896). Так как почтовые клиенты на базе Emacs по умолчанию выполняют декодирование сообщений с "Content-Type: text/enriched", то уязвимость можно эксплуатировать удалённо путем отправки пользователю специально оформленного сообщения. Уязвимость вызвана ошибкой в обработчике свойств 'x-display', при помощи которых осуществляется подстановка параметров, которые в том числе могут быть заданы в виде динамических форм, оформленных на языке Lisp. Таким образом допускается встраивание в текст произвольных исполняемых блоков на List. В качестве обходного пути защиты можно
Для включения в ночные сборки Firefox, который лягут в основу выпуска Firefox 57, готовится реализация нового оформления инструментов для разработчиков (Developer Tools). В частности, представлена новая упрощённая навигационная панель с элементами в виде вкладок и визуальное выделение центрального блока с кодом по отношению к панелям. Проведён кардинальный пересмотр цветовой схемы, используемой при подсветке синтаксиса HTML и JavaScript. Красный цвет закреплён только за ошибками. Увеличена читаемость кода. Было (светлая тема): Стало (светлая тема): Было (тёмная тема): Стало (тёмная тема):
Доступен релиз Vagrant 2.0, инструментария для упрощения формирования, установки и управления образами виртуальных машин при разработке и тестировании проектов с использованием различных систем виртуализации. В качестве основной проектом продвигается интеграция с VirtualBox, но также поддерживаются VMware, AWS, OpenStack, Docker и LXC. Код проекта распространяется под лицензией MIT. Vagrant позволяет без лишних усложнений, используя единый конфигурационный файл, сгенерировать готовое к работе окружение для разработки, удовлетворяющее заданным параметрам. Окружения можно создавать на базе различных операционных систем, в том числе Windows, macOS, Ubuntu, Debian, Red Hat Enterprise Linux, CentOS, Arch Linux и Fedora. Создаваемые окружения содержат преднастроенные компоненты выбранной операционной системы, позволяют подключаться к ним по SSH и копировать данные через совместные папки (shared folders). Для упрощения развёртывания приложений внутри окружений могут быть предустановлены системы Chef, Ansible и
Представлен выпуск новой стабильной ветки WebKitGTK+ 2.18.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: Начальная поддержка API WebDriver, предоставляющего интерфейс для организации проведения функционального тестирования web-приложений с учётом поведения реальных web-браузеров. WebDriver даёт возможность сформировать автоматизированный набор тестов, контролирующих поведение браузера и позволяющих симулировать такие действия, как нажатия клавиш, работу с мышью, манипуляции с окнами, заполнение форм, нажатие кнопок, выбор элементов списка и т.п. Новая
Бюро кредитных историй Equifax обнародовало информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования, даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек дополнительно были получены номера кредитных карт, а для 182 тысяч - документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД. В отчёте компании William Baird & Co. утверждается, что взлом был совершён через уязвимость в web-фреймворке Apache Struts, который применяется на портале оказания online-услуг потребителям. Утечка была обнаружена 29 июля, но непосредственно взлом мог произойти в середине мая и около 2.5 месяцев злоумышленники имели неавторизированный доступ к системе. Не уточняется была эксплуатирована раскрытая несколько дней назад критическая
В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси. В качестве признака для вывода предупреждения используется аномально большое число ошибок SSL-соединений за короткий промежуток времени, т.е. метод выявляет факты грубой подмены, в результате которой возникают ошибки SSL и соединение помечается как небезопасное. Основное отличие от предупреждения о небезопасном соединении заключается в том, что пользователь информируется о возможной локальной MITM-атаке, которая не связана с проблемами настройки HTTPS на внешнем сайте. Метод уже доступен для тестирования в Chrome Canary и активируется при запуске браузера с параметром "--enable-features=MITMSoftwareInterstitial" Предупреждение не коснётся техники незаметной подмены HTTPS-сертификатов, которая практикуется некоторым антивирусным ПО, корпоративными межсетевыми экранами и системами инспектирования трафика. Подобное ПО перехватывает
8 сентября вступило в силу предписание, в соответствии с которым удостоверяющие центры должны обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации. Пример настройки CAA можно посмотреть в данной заметке. Автоматически сформировать DNS-записи с CAA можно через специально подготовленный web-интерфейс.
Facebook и Microsoft выступили с инициативой по унификации обмена моделями между разными фреймвроками машинного обучения и системами искусственного интеллекта. Итогом стала разработка открытого формата ONNX (Open Neural Network Exchange) для представления моделей глубинного машинного обучения. Эталонная реализация ONNX написана на языке Python и распространяется под лицензией MIT. В настоящее время возникают ситуации, когда в процессе экспериментов используются те или иные специфичные возможности определённых фреймворков, но при создании конечного продукта требования изменяются и возникает потребность в задействовании иных возможностей или преодолении ограничений. Необходимости возможности предоставляются в других фреймворках, но адаптация для них созданной модели машинного обучения становится трудной задачей, требующей большого объёма ручной работы. Ожидается, что ONNX станет отправной точкой в построении открытой экосистемы, в которой разработчики моделей машинного обучения и систем искусственного
Вышел релиз X.org-драйвера xf86-video-amdgpu 1.4.0, который является форком драйвера xf86-video-ati, адаптированным для работы поверх интегрированного в состав ядра Linux модуля AMDGPU, который также служит основой для нового гибридного драйвера Catalyst. Драйвер xf86-video-amdgpu ориентирован на использование с такими семействами GPU, как Tonga, Carrizo, Iceland, Fiji и Stoney. Код для поддержки старых GPU, которые не могут работать с модулем amdgpu исключён из кодовой базы драйвера. Одновременно выпущена новая версия свободного X.Org-драйвера xf86-video-ati 7.10.0, который остаётся актуален в свете отсутствия обновлений для legacy-веток проприетарного драйвера Catalyst, что мешает использованию устаревших карт AMD с новыми выпусками X-сервера. Для взаимодействия с оборудованием используется DRM-модуль ядра radeon. Основные новшества xf86-video-amdgpu 1.4.0 и xf86-video-ati 7.10.0: Обеспечена возможность использования DRI page flipping для любых видеоконтроллеров, даже при включении режима
После полутора лет разработки сформирован релиз инструментария для организации работы изолированных контейнеров LXC 2.1. В состав инструментария LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities. Ключевые изменения: Поддержка ограничения ресурсов через механизм rlimit. Настройка выполняется аналогично лимитам через cgroup через директивы lxc.prlimit.имя_лимита в файле конфигурации контейнера. Например, для того чтобы снять ограничение на число процессов и установить значение