Вчера на конференции Microsoft для разработчиков Connect(); 2016, проходившей в Нью-Йорке, некоммерческая организация The Linux Foundation объявила о том, что Microsoft стала её платиновым участником.
В пресс-релизе Linux Foundation отмечается, что «Microsoft неуклонно наращивала свою вовлечённость в Open Source-проекты и сообщества в разных областях: от облачных вычислений и сетей до игр», а также вспоминают, что в этом году Microsoft стала лидирующей организацией по количеству контрибьюторов в Open Source-проекты на GitHub. Напомнили там и про ряд конкретных шагов в сторону свободного программного обеспечения, сделанных корпорацией за последние годы: открытие исходного кода .NET Core 1.0 и ряда инструментов для разработки (после поглощения Xamarin), сотрудничество с Canonical по Ubuntu в Windows 10, работа с командой FreeBSD по выпуску образа для облачной платформы Azure, членство и участие в жизни других проектов Linux Foundation, таких как Node.js Foundation, OpenDaylight, Open Container Initiative, R Consortium и Open API Initiative.
Джим Землин (Jim Zemlin), исполнительный директор The Linux Foundation: «Microsoft выросла и созрела в своём использовании Open Source-технологий и внесении вклада в них. Компания стала с энтузиазмом поддерживать Linux и Open Source, активным участником множества важных проектов. Членство [в Linux Foundation] — важный шаг не только для Microsoft, но и для Open Source-сообщества вообще, поскольку оно выигрывает от растущего количества изменений, делаемых этой компанией».
Участники Linux Foundation получают прямой доступ к обсуждению стратегии развития различных Open Source-проектов. Став платиновым членом, Microsoft получила место в совете директоров The Linux Foundation — её представителем стал Джон Госсман (John Gossman), архитектор из команды Microsoft Azure.
P.S. Также можно вспомнить, что летом прошлого года Microsoft стала золотым спонсором свободной операционной системы OpenBSD.
В минувший понедельник Давид Голунский (Dawid Golunski) опубликовал на своём ресурсе Legal Hackers эксплоит, использующий уязвимость CVE-2016-1247 для получения прав root в веб-сервере nginx.
Уязвимость, автор которой присвоил ей «высокий» уровень опасности, была впервые обнаружена у дистрибутива Debian GNU/Linux и основанных на нём (включая Ubuntu) почти месяц назад, 25 октября. Она заключается в том, что создаваемые директории для логов имеют небезопасные права доступа, позволяющие путём подмена файла и перезагрузки службы nginx (или получения сигнала USR1, что делается регулярно с logrotate) повысить привилегии (с www-data до root). Разумеется, чтобы удалённо воспользоваться CVE-2016-1247, злоумышленнику необходима другая уязвимость в веб-приложении, позволяющая выполнять команды с правами nginx.
В стабильном выпуске Debian (Jessie) эта проблема была исправлена в версии nginx 1.6.2-5+deb8u3 (DSA-3701-1), Ubuntu — 1.4.6-1ubuntu3.6 для 14.04 и 1.10.0-0ubuntu0.16.04.3 для 16.04 (USN-3114-1). Ubuntu 12.04 оказалась не подвержена уязвимости, а в Red Hat проблеме присвоили «низкий» уровень опасности, поскольку политики SELinux по умолчанию в RHEL и Fedora ограничивают набор файлов, в которые nginx может писать свои логи.
Минувшим вечером была представлена новая версия Linux-дистрибутива openSUSE Leap — 42.2, — которую авторы назвали «оптимальным релизом для Linux-профессионалов».
OpenSUSE Leap — это название нового подхода к созданию регулярных выпусков Linux-дистрибутива openSUSE, для основы которого была взятая корпоративная редакция SUSE (SUSE Linux Enterprise). Дистрибутив Leap предназначен для пользователей, отдающих предпочтение стабильной системе, а не последним версиям всего входящего в него программного обеспечения: для любителей новинок сообщество рекомендует openSUSE Tumbleweed, который выходит по модели rolling releases. Среди основных особенностей релиза openSUSE Leap 42.2 можно выделить следующие:
ядро Linux 4.4 с долгосрочной поддержкой (LTS) и включённой по умолчанию паравиртуализацией (для Xen более не требуется отдельный пакет с ядром);
заимствованы обновлённые пакеты программного обеспечения из SLE 12 Service Pack 2 и исправления ошибок от сообщества openSUSE (поддержка Leap 42 будет продолжаться не менее 3 лет с момента выпуска 42.1 (год назад); среди этих пакетов — контейнеры Docker 1.12; интерпретаторы Python 2.7, Ruby 2.1 и Perl 5.18; компиляторы GCC 4.8.5, 5.3.1 и 6.1.1, llvm-clang 3.8.0;
в инсталлятор добавлен общий серверный профиль (Server) без графического окружения (аналогичен Web и Mail, но «проще чем когда-либо»);
значительно обновлённый инструмент YaST с переработанным интерфейсом и новыми модулями yast2-alternatives (для управления альтернативными системами, созданными в рамках Google Summer of Code 2016) и yast2-vpn (настройка VPN-шлюза и клиентов), практически полностью переписанным yast2-auth-client (настройка централизованной системной аутентификации), полной поддержкой firewalld в yast2-firewall;
полноценное возвращение рабочего окружения KDE с Plasma 5.8 (с длительной LTS-поддержкой), Qt 5.6 и KDE Frameworks 5.26; также доступны GNOME 3.20, MATE, Xfce, Enlightenment, Cinnamon и LXQt 0.11.0;
новые пакеты программного обеспечения (1400 новых пакетов по сравнению с openSUSE Leap 42.1), среди которых особо отмечаются GNU Health 3.0.4 (свободная информационная система для больниц и других учреждений) и SIEM-система Prelude (для анализа в реальном времени событий безопасности от сетевых устройств и приложений);
впервые добавлена поддержка Weblate для координации локализации openSUSE на 50+ языков.
