После четырёх месяцев с момента прошлого выпуска представлен релиз пакета SeaMonkey 2.49.1, объединяющего в рамках одного продукта набор приложений для работы в сети, разрабатываемых под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого. Версия SeaMonkey 2.49 ознаменовала переход проекта на ESR-ветку Firefox 52, которая будет использоваться в качестве основы в обозримом будущем связи с миграцией Firefox на WebExtensions и прекращением поддержки XUL. Интерфейс SeaMonkey базируется на XUL и у проекта нет ресурсов на миграцию на WebExtensions, которая требует полной переработки кодовой базы. Решение о судьбе SeaMonkey в долгосрочной перспективе пока не принято, но разработчики на сколько это возможно попытаются
В рамках сборки LineageOS for microG подготовлен вариант платформы LineageOS (продолжение развития CyanogenMod), в котором предлагается альтернативная свободная реализация сервисов Google, развиваемая проектом microG. Приложения и библиотеки из набора microG позволяют получить функциональность, необходимую для использования API Google Play, Google Cloud Messaging и Google Maps, но без установки проприетарных компонентов Google. Для определения местоположения без GPS по Wi-Fi и базовым станциям вместо Google Network Location Provider предлагается прослойка для использования Mozilla Location Service или OpenStreetMap Nominatim. По сравнению с оригинальными приложениями Google в microG существенно сокращёно потребление ресурсов, например, обособленный набор OpenGApps с приложениями Google занимает 125 Мб, а microG всего 4 Мб и заметно меньше нагружает CPU, что положительно сказывается на времени автономной работы. Из особенностей прошивки также можно выделить встроенную поддержку каталога свободных
В Vesta Control Panel, web-панели управления сервером хостинга, распространяемой под лицензией GPLv3, выявлена критическая уязвимость, позволяющая поднять свои привилегии в системе. Суть уязвимости в том, что связанные с аутентификацией настройки передаются http-серверу nginx через включение файла директивой "include" в nginx.conf. Файл с дополнительными настройками сохраняется в каталогах пользователей (/home/{user}/web/{domain}/stats/auth.conf) с правами непривилегированного пользователя хостинга, но при перезапуске nginx обрабатывает настройки с правами root. Пользователь хостинга может подменить содержимое auth.conf и получить доступ к содержимому любых системных файлов, в том числе узнать содержимое /etc/shadow. Например, пользователь может записать в файл client_body_temp_path /etc/shadow; location /vstats/steal { alias / ; } Первая стока позволит при перезапуске nginx сменить владельца для /etc/shadow на пользователя nginx. А вторая строка позволит получить содержимое /etc/shadow
Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective By Design, включая IP-адреса авторов комментариев, номера телефонов и email пользователей. Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами. В бэкапе находились данные, накопленные в 2007-2012
Организация Software Freedom Conservancy (SFC) сообщила о получении иска об отзыве торговой марки, инициированном организацией Software Freedom Law Center (SFLC). В иске утверждается, что торговая марка "SFC" близка к "SFLC" и создаёт путаницу из-за сходности названий, поэтому SFLC требует у ведомства по патентам и товарным знакам США (USPTO) лишить SFC торговой марки. Иск был подан в конце сентября. В ноябре организация SFC направила в USPTO протест с объяснением своей позиции и решила придать дело огласке. Представители SFC выразили большое удивление, получив иск от организации, которая в своё время помогла становлению SFC и около пяти лет оказывала юридическое сопровождение. За 11 лет сосуществования SFLC не выражала недовольства, касающегося имени SFC, и не пыталась урегулировать вопрос до отправки иска. Более того, в 2006 году организация SFLC сама способствовала выбору имени SFC и предоставила данной организации поддомен в своём домене softwarefreedom.org. SFC считает иск SFLC легкомысленным и
Сформирован корректирующий релиз специализированного браузера Tor Browser 7.0.9, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая раскрыть информацию об IP-адресе сетевого интерфейса системы пользователя через манипуляцию с открытием ресурсов с использованием схемы "file://", при помощи которой можно инициировать прямое соединение в обход Tor. Уязвимости присвоено кодовое имя TorMoil. Атака может быть реализована на платформах Linux и macOS и требует, чтобы пользователь кликнул по подготовленной атакующим ссылке. Детали уязвимости пока не раскрыты публично и доступны только разработчикам браузера (вероятно, проблема сходна с недавно выявленной тем же автором уязвимостью при обработке file:// в Safari). Исправление сводится к запрету URL "file://". Проблема не проявляется в дистрибутиве Tails, в сборке
Компания Black Duck Software, занимающаяся разработкой инструментов для автоматизации оценки лицензий, качества и безопасности применяемых открытых проектов, а также владеющая поисковой системой по исходным текстам Koders.com и социальной сетью для разработчиков и пользователей открытого ПО Ohloh.net, сообщила о продаже бизнеса корпорации Synopsys, развивающей продукты для проектирования электроники. Сумма сделки составит приблизительно 565 млн долларов. Synopsys планирует использовать наработки Black Duck для создания унифицированной платформы для отслеживания качества и безопасности приложений, применяемых в инфраструктурах предприятий. В основу будет положен уже предлагаемый компанией Black Duck инструментарий для автоматизации процесса выявления и учёта использования открытого кода в проектах. Инструментарий предоставляет средства для определения неисправленных известных уязвимостей в применяемом коде, информирует о необходимости устранения новых уязвимостей и выявляет возможные лицензионные
Компания GitLab, развивающая одноимённую платформу для организации совместной работы с Git-репозиториями, сообщила об отказе от необходимости заключения специального CLA-соглашения (Contributor License Agreement) при передаче изменений, улучшений или исправлений проекту. Для участия в разработке теперь не нужно подписывать документ о передаче имущественных прав на использование своего кода в составе GitLab, а достаточно согласиться с условиями Developer Certificate of Origin (DCO). Документ Developer Certificate of Origin подготовлен юристами организации Linux Foundation и уже 13 лет используется при передаче изменений в состав ядра Linux, позволяя отслеживать авторство каждого изменения в коде. Принятие изложенных в документе условий осуществляется через указание при передаче патча строки "Signed-off-by: имя и email разработчика", что позволяет максимально упростить процесс привязки кода к авторам. Прикрепляя данную подпись к патчу, разработчик подтверждает своё авторство над передаваемым кодом и
После восемнадцати месяцев разработки состоялся релиз пользовательского окружения Enlightenment 0.22, которое базируется на наборе библиотек EFL (Enlightenment Foundation Library) и виджетах Elementary. Выпуск доступен в исходных текстах, пакеты для дистрибутивов пока не сформированы. Наиболее заметные новшества Enlightenment 0.22: Существенно улучшена поддержка Wayland; Усовершенствована новая инфраструктура гаджетов; Добавлен графический интерфейс для запроса пароля для выполнения привилегированных операций через sudo или запуска команд на других хостах через ssh; Реализована возможность настройки громкости, раздельно для каждого окна; Осуществлён переход на систему сборки Meson, на которую ранее перешли systemd, GTK+ и GNOME; Модернизирован набор правил применения мозаичной компоновки элементов (tiling policy); Решены проблемы со сборкой для FreeBSD. Напомним, что рабочий стол в Enlightenment формируют такие компоненты, как файловый менеджер, набор виджетов, панель запуска приложений и набор
Разработчики дистрибутива Solus, которые развивают собственный рабочий стол Budgie, опубликовали выпуск Brisk Menu 0.5, реализации эффективного и современного меню приложений для рабочего стола MATE, развиваемое совместно с проектом Ubuntu MATE. Brisk Menu предоставляет средства для быстрого запуска приложений, интерактивного поиска нужных программ, доступа к центру управления и средствам управления сеансом (выход, переход в спящий режим и т.п.). В новом выпуске добавлен раздел "Избранное", в котором можно закрепить наиболее востребованные элементы из других разделов меню. Также добавлена функция закрепления элементов из меню на рабочем столе. Появилась возможность вызова через контекстное меню специфичных действий с приложениями, определённых в файлах .desktop. Например, можно не просто запустить браузер Chromе, а вызвать его в режиме инкогнито или сразу открыть в Thunderbird форму написания нового письма. Архитектура модернизирована для более явного разделения между бэкендами и фронтэндом, что в