Вчера Дуглас ДеМайо (Douglas DeMaio) из проекта Linux-дистрибутива openSUSE объявил об очередном обновлении для пользователей openSUSE Tumbleweed, выходящего по схеме rolling release.
В обновление openSUSE Tumbleweed вошли такие пакеты программного обеспечения, как Mesa 13.0.0, KDE Plasma 5.8.3 LTS, Samba 4.5.0, YAST2 3.2.3, Epiphany 3.22.2 и ядро Linux 4.8.6. «Эта неделя была немного суматошной из-за серьёзных изменений, затронувших людей по всему миру, однако пользователи openSUSE Tumbleweed, привыкшие к изменениям, найдут немного ясности в хаосе из пяти снапшотов, выпущенных за неделю. Эти снапшоты принесли не только новую крупную версию Mesa, но и новое ядро и Plasma 5.8.3», — анонсировал обновления Дуглас.
Последняя версия снапшота openSUSE Tumbleweed имеет номер 20161108. В ней также появились BusyBox 1.25.1, btrfs-progs 4.8.2, GTK+ 3.22.2, sudo 1.8.18p1, yast2-storage 3.2.0, Git 2.10.2, fdupes 1.6.1, WebKitGTK+ 2.14.2 и некоторые другие пакеты из стека рабочего окружения GNOME 3.22.2. Переход openSUSE Tumbleweed на KDE Plasma 5 (вместо KDE4) произошёл весной прошлого года.
Вчера, 12 ноября, команда разработчиков ARK Crew, насчитывающая более 30 энтузиастов из 15 стран, объявила об открытии исходного кода своей «экосистемы для криптовалюты» ARK.
Авторы подчёркивают, что ARK — это не просто криптовалюта, а экосистема и «платформа для криптовалюты и децентрализованных приложений следующего поколения». Экосистема ARK Ecosystem, создаваемая в рамках этого проекта, ориентирована на лучшее принятие потребителями (consumer adoption) связанных с криптовалютами технологий, что достигается благодаря «ряду инновационных улучшений в технологическом ядре, практическим приложениям для повседневного использования и стратегическому сотрудничеству с лидерами индустрии». Одной из особенностей реализации продукта является поддержка связывания существующих blockchain-технологий с помощью специального «моста» под названием ARK SmartBridge.
С подробностями об устройстве и особенностях ARK можно ознакомиться в этом документе (ARK Whitepaper). Исходные коды проектов экосистемы ARK опубликованы на GitHub на условиях свободной лицензии MIT. Код написан на языке JavaScript (для серверной реализации применяется Node.js), а среди доступных на данный момент репозиториев — альфа-версия узла платформы (ark-node), библиотека для отправки транзакций ARK со стороны клиента или сервера (ark-js), обёртка для API (ark-api).
На данный момент проект ARK принимает BTC (Bitcoin) и Lisk в рамках кампании Token Exchange Campaign (TEC) и собрал более 1 миллиона USD за первые сутки (включая более 5 миллионов Lisk). Инициатива продлится до 11 декабря. Публикацию этого исходного кода авторы называют важной вехой в развитии своей платформы. Официальный запуск ARK запланирован на 1 февраля 2017 года.
Вчера известный испанский специалист по ИТ-безопасности Гектор Марко (Hector Marco) опубликовал на своём сайте сообщение о критической уязвимости CVE-2016-4484, получившей говорящее название «Cryptsetup Initrd root Shell».
Проблема была обнаружена в утилите cryptsetup, предназначенной для шифрования жёстких дисков в Linux с помощью LUKS (Linux Unified Key Setup). Некорректная обработка вводимого пользователем пароля в скрипте /scripts/local-top/cryptroot приводит к тому, что достаточно попытаться сделать эту операцию (ввести неправильный пароль) множество раз (93 для архитектуры x86), что вызовет root-шелл (Busybox). Таким образом, эксплуатация уязвимости cryptsetup заключается в том, чтобы просто зажать клавишу Enter на примерно 70 секунд, после чего вы окажетесь в системе с правами администратора.
Из официального комментария Марко о CVE-2016-4484: «Эта уязвимость очень надёжна [в воспроизведении], потому что не зависит от конкретных систем или конфигураций. Атакующие могут копировать, модифицировать и удалять данные жёсткого диска, а также настроить сеть для пересылки данных. Уязвимость особенно серьёзна в таких окружениях, как библиотеки, банкоматы, терминалы в аэропортах, лаборатории и т.п., где весь процесс загрузки защищён (паролем в BIOS и GRUB), а у нас есть доступ к клавиатуре и/или мыши».
Автор отмечает, что «если вы используете Debian или Ubuntu (возможно, уязвимы и производные дистрибутивы, но мы их не проверяли) и зашифровали системный раздел, то ваши системы уязвимы», а также то, «что системы, использующие Dracut вместо initramfs, тоже уязвимы (проверено на Fedora 24 x86_64)». На странице описания уязвимости CVE-2016-4484 предлагается и патч для скрипта cryptroot, и простой workaround.
Вчера был анонсирован очередной релиз популярного свободного веб-браузера проекта Mozilla — Firefox 50.0.
Несмотря на «юбилейный» номер версии, релиз стал регулярным в смысле количества представленных новшеств. Итак, среди наиболее значимых изменений в Firefox 50:
обновления в клавиатурных сочетаниях: опция для переключения вкладок по Ctrl+Tab в порядке их недавнего использования и просмотр страницы в режиме читателя (Reader Mode) через Ctrl+Alt+R;
опция поиска по странице с совпадением только по целому слову;
защита от загрузки большого количества исполняемых файлов в Windows, Mac и Linux;
улучшенная производительность SDK-расширений и расширений, использующих загрузчик SDK-модуля;
улучшенная доступность WebGL в Windows (поддержку получили более 98 % пользователей Windows 7 и выше);
встроенная коллекция иконок Emoji для операционных систем без родных Emoji-шрифтов (Linux и Windows версии 8 и ниже);
в Adnroid-версии добавлена поддержка видео в HLS (через player overlay) и упрощён пользовательский интерфейс благодаря комбинированию панелей недавних вкладок (Recent Tabs) и истории (History);
многочисленные улучшения для веб-разработчиков (включая поддержку X-Content-Type-Options, реализацию заголовка Referrer-Policy и ряд новых возможностей в CSS/HTML/JavaScript и API — полный список см. здесь).
Вчера некоммерческая организация Apache Software Foundation (ASF) объявила о новом крупном релизе своего набора инструментов на Java для работы с облачной инфраструктурой — Apache jclouds v2.0.
Проект jclouds называется «Java-тулкитом для множества облаков» и предлагает универсальную библиотеку для взаимодействия с большим количеством облачных провайдеров через единый API. Проект попал в Apache Incubator в апреле 2013 года и стал ведущим проектом Apache (Top-Level Project, TLP) в октябре того же года. После получения статуса TLP в кодовую базу Apache jclouds внесли более 13 тысяч изменений (коммитов) более 250 разработчиков, а последняя версия — 2.0 — стала 11-м релизом с 1 тысячей коммитов.
Среди поддерживаемых в Apache jclouds облачных провайдеров значатся: Amazon (AWS), CloudSigma, DigitalOcean, ElasticHosts, Go2Cloud, GoGrid, Google (Google Compute Engine), Microsoft Azure, OpenHosting, ProfitBricks, Rackspace, ServerLove, SkaliCloud и SoftLayer. Среди поддерживаемых облачных API: Abiquo, AWS, Bring Your Own Node, CloudSigma, CloudStack, Docker, ElasticStack и OpenStack. Релиз jclouds 2.0 принёс в проект более широкую совместимость с библиотеками Guava и Guice, поддержку новых провайдеров, лучшую интеграцию с OSGi и Apache Karaf.
Авторы Apache jclouds среди своих пользователей упоминают компании Abiquo, Adobe, CloudBees, Cloudify, Cloudsoft, Mesosphere и Red Hat. Исходный код распространяется на условиях свободной лицензии Apache License v2.0. Сайт проекта — jclouds.apache.org.
Компания Samsung анонсировала международную программу Tizen Mobile App Incentive Program, в рамках которой планирует потратить 9 миллионов USD на поддержку разработки мобильных приложений для Linux-платформы Tizen.
Для участия в конкурсе необходимо (с помощью инструментов Tizen SDK & Tools) разработать приложение или игру для Tizen, целевыми устройствами которого(ой) станут смартфоны Samsung Z1, Z2, Z3 и новинки, что выйдут в 2017 году. После этого — добавить свою разработку в официальный магазин Tizen Store и зарегистрировать программу на сайте конкурса (стартует в начале января 2017 года). Победителями станут разработчики, программы которых войдут в ежемесячный топ-100 приложений для Tizen. Они будут получать 10 тысяч USD за каждый месяц нахождения программы в списке 100 лучших. Конкурс официально стартует в феврале 2017 года и продлится 9 месяцев.
Вончел Чай (Woncheol Chai), вице-президент по управлению продуктами в подразделении мобильных коммуникаций Samsung Electronics: «Будучи верным лидером платформы Tizen, мы стремимся способствовать расширению и развитию экосистемы платформы. Рады запустить новую программу, чтобы содействовать разработке и предложить сообществу Tizen лучшие мобильные приложения, а также предоставить нашим пользователям лучший мобильный опыт».
Вчера на конференции Microsoft для разработчиков Connect(); 2016, проходившей в Нью-Йорке, некоммерческая организация The Linux Foundation объявила о том, что Microsoft стала её платиновым участником.
В пресс-релизе Linux Foundation отмечается, что «Microsoft неуклонно наращивала свою вовлечённость в Open Source-проекты и сообщества в разных областях: от облачных вычислений и сетей до игр», а также вспоминают, что в этом году Microsoft стала лидирующей организацией по количеству контрибьюторов в Open Source-проекты на GitHub. Напомнили там и про ряд конкретных шагов в сторону свободного программного обеспечения, сделанных корпорацией за последние годы: открытие исходного кода .NET Core 1.0 и ряда инструментов для разработки (после поглощения Xamarin), сотрудничество с Canonical по Ubuntu в Windows 10, работа с командой FreeBSD по выпуску образа для облачной платформы Azure, членство и участие в жизни других проектов Linux Foundation, таких как Node.js Foundation, OpenDaylight, Open Container Initiative, R Consortium и Open API Initiative.
Джим Землин (Jim Zemlin), исполнительный директор The Linux Foundation: «Microsoft выросла и созрела в своём использовании Open Source-технологий и внесении вклада в них. Компания стала с энтузиазмом поддерживать Linux и Open Source, активным участником множества важных проектов. Членство [в Linux Foundation] — важный шаг не только для Microsoft, но и для Open Source-сообщества вообще, поскольку оно выигрывает от растущего количества изменений, делаемых этой компанией».
Участники Linux Foundation получают прямой доступ к обсуждению стратегии развития различных Open Source-проектов. Став платиновым членом, Microsoft получила место в совете директоров The Linux Foundation — её представителем стал Джон Госсман (John Gossman), архитектор из команды Microsoft Azure.
P.S. Также можно вспомнить, что летом прошлого года Microsoft стала золотым спонсором свободной операционной системы OpenBSD.
В минувший понедельник Давид Голунский (Dawid Golunski) опубликовал на своём ресурсе Legal Hackers эксплоит, использующий уязвимость CVE-2016-1247 для получения прав root в веб-сервере nginx.
Уязвимость, автор которой присвоил ей «высокий» уровень опасности, была впервые обнаружена у дистрибутива Debian GNU/Linux и основанных на нём (включая Ubuntu) почти месяц назад, 25 октября. Она заключается в том, что создаваемые директории для логов имеют небезопасные права доступа, позволяющие путём подмена файла и перезагрузки службы nginx (или получения сигнала USR1, что делается регулярно с logrotate) повысить привилегии (с www-data до root). Разумеется, чтобы удалённо воспользоваться CVE-2016-1247, злоумышленнику необходима другая уязвимость в веб-приложении, позволяющая выполнять команды с правами nginx.
В стабильном выпуске Debian (Jessie) эта проблема была исправлена в версии nginx 1.6.2-5+deb8u3 (DSA-3701-1), Ubuntu — 1.4.6-1ubuntu3.6 для 14.04 и 1.10.0-0ubuntu0.16.04.3 для 16.04 (USN-3114-1). Ubuntu 12.04 оказалась не подвержена уязвимости, а в Red Hat проблеме присвоили «низкий» уровень опасности, поскольку политики SELinux по умолчанию в RHEL и Fedora ограничивают набор файлов, в которые nginx может писать свои логи.
Минувшим вечером была представлена новая версия Linux-дистрибутива openSUSE Leap — 42.2, — которую авторы назвали «оптимальным релизом для Linux-профессионалов».
OpenSUSE Leap — это название нового подхода к созданию регулярных выпусков Linux-дистрибутива openSUSE, для основы которого была взятая корпоративная редакция SUSE (SUSE Linux Enterprise). Дистрибутив Leap предназначен для пользователей, отдающих предпочтение стабильной системе, а не последним версиям всего входящего в него программного обеспечения: для любителей новинок сообщество рекомендует openSUSE Tumbleweed, который выходит по модели rolling releases. Среди основных особенностей релиза openSUSE Leap 42.2 можно выделить следующие:
ядро Linux 4.4 с долгосрочной поддержкой (LTS) и включённой по умолчанию паравиртуализацией (для Xen более не требуется отдельный пакет с ядром);
заимствованы обновлённые пакеты программного обеспечения из SLE 12 Service Pack 2 и исправления ошибок от сообщества openSUSE (поддержка Leap 42 будет продолжаться не менее 3 лет с момента выпуска 42.1 (год назад); среди этих пакетов — контейнеры Docker 1.12; интерпретаторы Python 2.7, Ruby 2.1 и Perl 5.18; компиляторы GCC 4.8.5, 5.3.1 и 6.1.1, llvm-clang 3.8.0;
в инсталлятор добавлен общий серверный профиль (Server) без графического окружения (аналогичен Web и Mail, но «проще чем когда-либо»);
значительно обновлённый инструмент YaST с переработанным интерфейсом и новыми модулями yast2-alternatives (для управления альтернативными системами, созданными в рамках Google Summer of Code 2016) и yast2-vpn (настройка VPN-шлюза и клиентов), практически полностью переписанным yast2-auth-client (настройка централизованной системной аутентификации), полной поддержкой firewalld в yast2-firewall;
полноценное возвращение рабочего окружения KDE с Plasma 5.8 (с длительной LTS-поддержкой), Qt 5.6 и KDE Frameworks 5.26; также доступны GNOME 3.20, MATE, Xfce, Enlightenment, Cinnamon и LXQt 0.11.0;
новые пакеты программного обеспечения (1400 новых пакетов по сравнению с openSUSE Leap 42.1), среди которых особо отмечаются GNU Health 3.0.4 (свободная информационная система для больниц и других учреждений) и SIEM-система Prelude (для анализа в реальном времени событий безопасности от сетевых устройств и приложений);
впервые добавлена поддержка Weblate для координации локализации openSUSE на 50+ языков.
Вчера некоммерческая организация The Linux Foundation объявила об изменениях в своих ключевых конференциях, что подчеркнуло формальное расширение деятельности фонда от свободной операционной системы до свободного ПО вообще.
Конечно, в своих инициативах Linux Foundation уже долгое время не ограничена продвижением и развитием Linux. В частности, при ней были созданы (или переданы под её управление) такие проекты, как ODPi (объединение вокруг Apache Hadoop), CNCF (Cloud Native Computing Foundation), R Consortium, JS Foundation и Node.js Foundation, OPNFV (Open Platform for NFV), OpenMAMA и многие другие. И вот организация продолжает укреплять свой статус в мире Open Source и области интересов, распространяющихся далеко за пределы ядра Linux и ключевых системных компонентов.
Этому способствует вчерашнее объявление, что ключевым событием, организуемым Linux Foundation, станет одно мероприятие Open Source Summit, которое объединит в себе проводившиеся до сих пор конференции LinuxCon, CloudOpen и ContainerCon. Кстати, его дополнят ещё одной специальной секцией, ориентированной на создание и взаимодействие Open Source-сообществ, — Community Leadership Conference. Сам The Linux Foundation Open Source Summit в следующем будет проходить трижды, в разных регионах мира: в мае-июне местом проведения станет Токио (Япония), в сентябре — Лос-Анджелес (США), в октябре — Прага (Чехия).
Примечателен и тот факт, что на протяжении этого года представители The Linux Foundation в своих пресс-релизах характеризуют себя уже как «некоммерческую организацию, развивающую профессиональное управление программным обеспечением с открытым кодом (Open Source) для массового взаимодействия», а не только Linux, как это было раньше.
Джим Землин (Jim Zemlin), исполнительный директор The Linux Foundation: «За последние годы Open Source вырос до того, чтобы практически в каждой области технологий стать программным обеспечением по умолчанию, так что важно, чтобы широкому сообществу было где собраться и обменяться идеями. The Linux Foundation Open Source Summit соберёт вместе лучших и ярчайших представителей из каждого уголка мира Open Source для события, на котором они смогут совместно работать и делиться лучшими практиками».