Вышел первый кандидат в релиз новой версии открытого офисного пакета OpenOffice.org — 2.0.0rc1. Среди интегрированных в OpenOffice.org 2.0.0rc1 патчей:
hr18 (у STLport появился «умный» режим отладки; включается с определенным _STLP_DEBUG при сборке OOo);
ause034 (исправления в build[env]);
mhu10 (проблема с NFS4);
oool10n20 (локализация OOo 2.0);
swahilidict (добавлен язык суахили в словарь
проверки орфографии для OOo 2.0).
Архивы со сборками OpenOffice.org 2.0.0rc1 для различных языков (русского пока нет) и систем (Linux, Solaris, Windows) уже доступны для свободного скачивания на openoffice.mirrors.pair.com. (О новости сообщил 8084.)
Макс Лайер (Max Laier) объявил о решении команды разработчиков FreeBSD удалить код старой реализации сетевого моста bridge(4) из текущей разрабатываемой ветки HEAD. Код bridge(4) будет удален в пользу недавно портированного из NetBSD if_bridge(4).
Эндрю Атренс (Andrew Atrens) сообщил об интеграции стека беспроводных устройств из FreeBSD-CURRENT в DragonFlyBSD. На данный момент код удачно портирован и работает, но еще предстоит много работы по портированию драйверов устройств, добавлению необходимой функциональности в ifconfig, интеграции с DHCP.
В мультимедийных плейерах Real Player for Linux/UNIX (версии до 10.0.6) и Helix Player (версии до 1.0.6) обнаружена уязвимость форматной строки. Ошибка проявляется при при обработке .rp-файлов. Удаленный пользователь может с помощью специально сформированного файла выполнить произвольный код на целевой системе с привилегиями текущего пользователя. Исправление к Real Player доступно на www.real.com,
а для Helix Player — в CVS-репозитории Helix Community.
Обнаруженные уязвимости в phpMyFAQ 1.5.1 позволяют удаленному пользователю произвести XSS-нападение, выполнить произвольные SQL-команды и PHP-сценарии на целевой системе.
SQL-инъекция обнаружена в сценарии /admin/password.php из-за недостаточной обработки входных данных. При выключенной опции PHP magic quotes удаленный пользователь может выполнить произвольные SQL-команды на системе.
Удаленный пользователь может произвести XSS-нападение
и получить доступ к потенциально важным данным других пользователей.
Удаленный пользователь может выполнить произвольный PHP-сценарий на системе с помощью символов обхода каталога. Пример: http://[target]/[path]/phpmyfaq/index.php? LANGCODE=/../../../../[scriptname].
Удаленный пользователь может получить доступ к лог-файлу. Пример: http://[target]/[path]/phpmyfaq/data/tracking[date].
Удаленный пользователь может получить данные об установочной директории приложения на сервере.
Пример: http://[target]/[path]/phpmyfaq/index.php?LANGCODE=[a_non_existent_file].
Для устранения проблем рекомендуется установить последнюю версию phpMyFAQ (1.5.2) с сайта производителя.
Не исключено, что web-компании будут вынуждены публиковать исходный код любых программ, лицензируемых по GPL, которые они применяют в своих коммерческих службах. Следующая версия лицензии GPL может создать проблему для web-компаний, использующих свободное ПО в коммерческих web-приложениях, но не распространяющих их исходный код. В настоящее время компании, распространяющие ПО по лицензии GPL, должны публиковать его исходный код, включая любые внесенные
ими изменения. Хотя это правило охватывает многие предприятия, использующие лицензируемое по GPL ПО в коммерческих целях, оно не относится к веб-компаниям, применяющим такое ПО для предложения своих услуг через веб, так как они не распространяют собственно ПО. Однако GPL 3, следующая версия лицензии open source, проект которой планируется выпустить в начале 2006 года, может закрыть эту лазейку. Об этом сообщил автор GPL и глава Free Software Foundation (FSF) Ричард Столлман в интервью O'Reilly Media. Столлман
сказал, что разработчикам, возможно, придется добавить в свои лицензируемые по GPL веб-приложения команду, которая позволяет пользователям загружать исходный код. Дополнительный пункт GPL 3 сделает обязательным включение такой команды и в модифицированные версии программы. «Мы ищем подход, при котором используемые [на общедоступном сервере] программы должны будут включать команду для загрузки пользователем исходного кода действующей версии, — сказал Столлман. — Если вы выпустили
программу, содержащую такую команду, то GPL 3 потребует от других сохранить эту команду в своих модифицированных версиях программы». Это изменение не должно повлиять на существующее ПО, но должно будет учитываться разработчиками в будущих версиях тех же программ. По словам Столлмана, это лишь «предварительный план», так как он еще не полностью изучен на предмет работоспособности. В GPL 3 может войти также пункт о наказании компаний, использующих программные патенты против свободного ПО,
и пункт, препятствующий использованию в приложениях свободного ПО средств управления цифровыми правами (DRM). Столлман сказал, что один возможный способ борьбы с DRM — заставить компании распространять сигнатурные ключи двоичного кода приложений свободного ПО. «Мы обдумываем пункт, предусматривающий распространение вместе с ПО любых сигнатурных ключей, необходимых для подписи двоичного кода, так чтобы он мог работать и полноценно использовать аппаратные средства. Это предотвратит появление
якобы »свободных” программ, которые формально позволяют вносить изменения, но их модифицированные версии не работают", — пояснил Столлман.
