Обеспечена возможность запуска MicroPython в web-браузере

Разработчики MicroPython, адаптированной для микроконтроллеров реализации языка Python 3 c урезанным набором библиотек, сообщили о подготовке варианта проекта, который может работать в web-браузере. MicroPython примечателен возможностью применения на системах с ограниченными ресурсами, например, его можно запустить на плате с 256 Кб Flash и 16 Кб ОЗУ. В том числе на базе MicroPython может быть создано окружение, напрямую работающее поверх оборудования без прослоек в виде операционных систем, что позволяет создавать для плат встроенные обработчики и средства автоматизации на языке Python.

В рамках проекта MicroPython on Unicorn разработчики пошли дальше и попытались адаптировать MicroPython для запуска Python-кода в браузере. Выполнение MicroPython организовано с использованием фреймворка unicorn.js, позволяющего создавать эмуляторы различных аппратных архитектур (ARM, ARM64, M68K, MIPS, SPARC и x86), реализованные на языке JavaScript (по сути это вариант QEMU скомпилированный в JavaScript при помощи Emscripten). Для запуска MicroPython в браузере задействован эмулятор микроконтроллера ARM Cortex-M3.

По задумке разработчиков проект позволит ускорить и упростить тестирование решений на базе MicroPython, для отладки и разработки которых теперь можно обойтись обычным браузером, без необходимости наличия реального оборудования. MicroPython в браузере также может применяться в процессе обучения. На сайте проекта уже запущен web-интерфейс, позволяющий симулировать работу различных сборок MicroPython на микроконтроллере, помимо ранее доступного демонстрационного стенда на базе реальной платы.

Источник: [ссылка]

Представлен postmarketOS, дистрибутив Linux для устаревших смартфонов

Представлен проект postmarketOS, в рамках которого развивается специализированный дистрибутив Linux, оптимизированный для использования на устройствах с сенсорными экранами и способный работать на устаревших смартфонах, выпущенных десять лет назад. В качестве основы применяется минималистичное системное окружение дистрибутива Alpine Linux, построенного на базе системной библиотеки Musl и набора утилит BusyBox.

Установка производится при помощи развиваемого проектом инструментария pmbootstrap, предоставляющего средства для сборки прошивки и её тестирвоании в chroot-окружении. Проект пока находится на начальной стадии развития и не предоставляет готовые установочные образы, предлагая собрать их самостоятельно. В настоящее время обеспечена возможность сборки для устройств Google Nexus 4 и Samsung Galaxy SII. При этом postmarketOS не ограничивается портированием только для Android-устройств, например, не исключена адаптация дистрибутива для старых iPhone.

Возможности по поддержке оборудования в postmarketOS пока сильно ограничены и не все аппаратные функции поддерживаются и не решены отдельные проблемы (например, проблема отображением цветов на Nexus 4). Например, пока нет поддержки приёма и совершения звонков, но можно использовать Wi-Fi. Для Samsung Galaxy SII вопрос с подключением к сотовым сетям планируется решить через задействование открытых драйверов, развиваемых проектом Replicant. Используемое в postmarketOS ядро Linux основано на наработках LineageOS. Имеется возможность подключения к устройству по SSH, используя соединение через USB-порт. Содержимое корневой файловой системы шифруется. Возможна установка на SD-карту или во внутреннюю память.

В postmarketOS планируется предоставить возможность использования различных пользовательских интерфейсов, по аналогии с тем как обычные Linux-дистрибутивы дают возможность выбора между GNOME, KDE, Xfce и другими рабочими столами. В качестве основных вариантов для поддержки рассматриваются Plasma Mobile и окружение от проекта Ubports, продолжившего разработку Ubuntu Touch. Не исключается также создание собственного Android-подобного минималистичного интерфейса, основанного на libweston.

В текущем виде предлагается демонстрационное окружение на базе протокола Wayland и композитного менеджера Weston. Поддержка 3D-ускорения пока не реализована, но все демонстрации Weston уже работают с приемлемой производительностью. Запуск X-приложений осуществляется через прослойку XWayland. В будущем, если найдутся желающие, не исключается подготовка дополнительных пакетов со слоем совместимости для обеспечения запуска приложений для платформы Android.

В качестве одной из основных причин создания postmarketOS называется желание переломить сложившуюся ситуацию с ограниченным временем поддержки смартфонов. Жизненный цикл современных смартфонов сильно ограничен и направлен на стимулирование покупки новых устройств. Прекращение выпуска обновлений мешает поддержанию прошлых моделей смартфонов в защищённом состоянии. Развитие альтернативных прошивок, таких как LineageOS, лишь устраняет видимые симптомы общей болезни всей экосистемы Android и не избавляет от зависимости от решений основных игроков индустрии, задающих вектор развития.

Целью проекта postmarketOS является обеспечение возможности использования GNU/Linux дистрибутива на смартфоне. Окружение postmarketOS максимально унифицировано и выносит все специфичные для конкретных устройств компоненты в отдельный пакет, все остальные пакеты идентичны для всех устройств и основаны на штатных пакетах Alpine Linux. Alpine Linux выбран как один из самых компактных (минимальный размер сборки — 6 Мб) и защищённых (используются патчи grsecurity/PaX) дистрибутивов. Ядро Linux и правила udev развиваются в рамках совместного проекта Halium, созданного для унификации системных компонентов для Ubuntu Touch, Mer/Sailfish OS, Plasma Mobile, webOS Lune и других Linux-решений для устройств, поставляемых с Android.

Источник: [ссылка]

Проект по автоматической генерации кода, воспроизводящего интерфейс со скриншота

Группа исследователей в области искусственного интеллекта анонсировала проект pix2code, в рамках которого развивается идея по созданию генератора кода, воссоздающего макет интерфейса пользователя, изображённого на скриншоте. По мнению разработчиков проект упростит работу дизайнеров интерфейса, который смогут реализовать свои задумки в форме графических макетов, а pix2code даст возможность сформировать на основе предложенных картинок готовый каркас кода, требующий минимальный правок для создания рабочего прототипа приложения.

В процессе генерации кода используется абстрактный предметно-ориентированный язык, который затем преобразуется в представление на языке целевой системы. Данный подход позволяет генерировать код для построения интерфейса для различных платформ и языков. В данный момент обеспечена поддержка воссоздания кода для web-приложений и мобильных приложений для платформ iOS и Android.

В основе pix2code лежит система машинного обучения, натренированная на реальных образцах приложений. Модель для обучения построена на основе примерно 90 тысяч примеров мобильных приложений и 140 тысяч примеров web-интерфейсов. На текущей стадии разработки уже удалось добиться воссоздания интерфейса на основе скриншота с 77% точностью. В ближайшее время связанные с проектом наборы данных и готовую модель для генерации кода планируется опубликовать на GitHub под лицензией Apache 2.0.

Источник: [ссылка]

Первый релиз Devuan, форка Debian без systemd

После двух с половиной лет разработки состоялся первый стабильный релиз дистрибутива Devuan Jessie 1.0, форка Debian GNU/Linux 8 «Jessie», поставляемого без системного менеджера systemd. Для загрузки подготовлены сборки (minimal 305 Мб, cd install 632 Мб, dvd install 4 Гб и live 828 Мб) для архитектур AMD64 и i386, а также образы для устройств на базе архитектуры ARM (Raspberry Pi 1/2/3, Banana Pi, cubieboard2, odroid, n900, Chromebook Acer и др.). В состав Live-сборок desktop и minimal включены пакеты с прошивками из репозитория non-free.

Целью проекта Devuan является предоставление возможности выбора и защита интересов сторонников классической организации работы Debian. Дистрибутив развивается при поддержке организации Dyne.org и создан после непринятия в общем голосовании разработчиков Debian предложения по внесению изменений в правила проекта, которые бы предоставили возможность использования в Debian разных систем инициализации и помогли бы избежать появления зависимости пакетов только от одной системы инициализации.

Вместо systemd в Devuan поставляется классическая система инициализации SysVinit. В качестве рабочего стола по умолчанию предлагается Xfce и дисплейный менеджер Slim (GNOME, KDE и Cinnamon удалены из списка предлагаемых в инсталляторе наборов (tasksel) из-за привязок к systemd, но могут быть установлены из репозиториев). Для управления пользовательскими сеансами вместо systemd-logind задействован ConsoleKit2. Для настройки сети предлагается вариант конфигуратора NetworkManager, не привязанный к systemd. Опционально предусмотрен режим работы без D-Bus, позволяющий создавать минималистичные конфигурации рабочего стола на базе оконных менеджеров blackbox, fluxbox, fvwm, fvwm-crystal и openbox.

Проектом поддерживаются ответвления для 381 пакета Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan полностью совместим с Debian и может использоваться в качестве основы для создания специализированных сборок Debian без systemd. В том числе предоставляются возможности по обновлению Debian Wheezy до Devuan и миграции на Devuan с Debian Jessie. Для использования свежих версий программ подготовлен репозиторий с бэкпортами (jessie-backports).

Для создания производных дистрибутивов предлагается Devuanv SDK (Simple Distro Kit). Имеется возможность быстрого формирования live-сборок на основе текущего рабочего окружения. В настоящее на базе Devuanv уже развивается 12 дистрибутивов: Gnuinos (полностью свободный), Refracta, Exe GNU/Linux, Nelum-dev1, Star, heads (полностью свободный), good-life-linux, EterTICs, MIYO, Dowse, Vuu-do и Crowz.

Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. Для перехода на Devuan с Debian 7 (Wheezy) или Debian 8 (Jessie) достаточно в /etc/apt/sources.list заменить список репозиториев и выполнить «apt-get update; apt-get install devuan-keyring; apt-get dist-upgrade».

Источник: [ссылка]

Google и IBM представили Istio, платформу для управления микросервисами

Компании Google, IBM и Lyft представили новый открытый проект Istio, в рамках которого объединили свои наработки в области координации работы микросервисов. О намерении принять участие в развитии проекта также объявили компании Red Hat, Datawire, Pivotal и Tigera. Код компонентов проекта написан на языке Go и распространяется под лицензией Apache 2.0.

Концепция микросервисов подразумевает разбиение сложных монолитных приложений на набор обособленных микросервисов, каждый из которых берёт на себя определённую функциональность приложения. Микросервисы могут работать параллельно, адаптируясь к изменению нагрузки. Таким образом приложение реализуется в виде сети из связанных между собой микросервисов, каждый из которых запускается в отдельном контейнере. Для управления контейнерами предлагается использовать средства оркестровки, подобные Kubernetes, Cloud Foundry и Mesos.

Istio представляет собой слой абстракции, работающий поверх средств оркестровки контейнеров, и выполняет задачи по распределению нагрузки по микросервисам, организации аутентификации, разграничению доступа к микросервисам, защищённого взаимодействия между микросервисами, мониторинга и балансировки нагрузки. При помощи Istio набор запущенных в разных контейнерах микросервисов обретает слаженную функциональность и может работать как единое целое.

Основные составные части Istio:

  • Envoy — прокси для обработки входящго и исходящего трафика между сервисами в кластере, а также обращений к внешним сервисам. Envoy позволяет организовать взаимодействие между микросервисами, составляющими приложение, поверх сети, предоставляемой нижележащей платформой для управления контейнерами. Прокси образуют mesh-сеть из микросервисов, предоставляя такие функции, как обнаружение новых сервисов, маршрутизация потоков данных, построение цепочки обработки запроса и сбор данных телеметрии;
  • Mixer — представляет средства для централизованного управления прокси и микросервисами, обеспечивая применение ACL, ограничений пропускной способности, квот, аутентификации, трассировки запросов и накопления сведений о телеметрии.
  • Manager — управляющий интерфейс, позволяет на лету изменять настройки и управлять работой компонентов Envoy и Mixer.

Особенности платформы:

  • Автоматическая балансировка трафика HTTP, gRPC и TCP;
  • Тонкое управление поведением трафика в зависимости от правил маршрутизации, обеспечения отказоустойчивости и возникновения/симулирования сбоев;
  • Подключаемый слой для применения политик и API для управления доступом, ограничением пропускной способности и квотами;
  • Автоматический сбор метрик, логов и трассировок для всего входящего и исходящего трафика в кластере;
  • Организация защищённых каналов связи между сервисами с аутентификацией каждого сервиса в кластере.

В отличие от недавно представленной похожей платформы Linkerd, Istio не ограничивается организацией сетевого взавимодействия и дополнительно предоставляет такие возможности, как аутентификация и обеспечение правил доступа (policy control). При этом Istio пока поддерживает только Kubernetes, в то время как Linkerd доступен для Kubernetes, DC/OS, Mesos и Docker.

Источник: [ссылка]

Выпуск интегрированной среды разработки Qt Creator 4.3.0

Представлен выпуск интегрированной среды разработки Qt Creator 4.3.0, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается разработка как классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется JavaScript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками.

В новой версии:

  • В визуальный проектировщик интерфейса Qt Quick Designer интегрирован редактор кода, который позволяет изменять код одновременно с изменением свойств и навигацией по дереву элементов. В том числе на одном экране можно разместить визуальный и текстовый редакторы, непосредственно наблюдая как сказываются на интерфейсе вносимые в код изменения и, наоборот, как меняется код при манипуляциях в графическом построителе интерфейса.

    В Qt Quick Designer также представлена новая панель инструментов. Реализована поддержка стиля кнопок Qt Quick Controls 2, возможность чтения информации о стилях из файла конфигурации qtquickcontrols2.conf и поддержка смены стилей Qt Quick Controls 2 на лету для оценки изменения интерфейса при выборе разных стилей. Упрощены манипуляции с вкладками и стековыми элементами при визуальном построении интерфейса. Добавлена функция перемещения компонента в отдельный файл.

  • При использовании сборочной системы CMake 3.7+, для взаимодействия с IDE теперь применяется серверный режим CMake, который предоставляет больше информации о структуре проекта и путях размещения заголовочных файлов, не требуя разбора генераторов и файлов Makefile. Применение серверного режима работы с CMake позволяет просматривать в дереве проекта отдельные продукты и сборочные цели, а также собирать их по отдельности. Из других изменений в поддержке CMake отмечается добавление заголовочных файлов в дерево проекта, даже если они явно не упоминаются в файлах проекта, и возможность импорта уже осуществлённых сборок, используя сведения из кэша CMake;
  • В редакторе кода на языке C++ добавлена поддержка контекстов редактирования, позволяющих определить проекты и языки программирования, которые следует применять для файла, в случае его применения в нескольких проектах или использования в нём языка C вместо C++. Разработчикам на C++ также предлагается оценить экспериментальный плагин ClangRefactoring, обеспечивающий начальную поддержку clang-query в диалоге поиска и возможность задействования средств Clang для локального переименования;
  • Для взаимодействие с отладчиком CDB, применяемым для кода MSVC, теперь используется бэкенд на языке Python, в котором задействованы те же методы вывода кода, что и в бэкендах для GDB и LLDB;
  • Решены проблемы при работе с проектами для платформы Android, вызванные изменениями в Android SDK 25.3.1;
  • В QML Profiler при профилировании приложений Qt Quick обеспечен вывод информации о производительности непосредственно в интерфейсе редактора кода QML. В QML Profiler также проведена оптимизация производительности и устранены мелкие недоработки в интерфейсе.

Источник: [ссылка]

Уязвимость в Samba, позволяющая выполнить код на сервере

Опубликованы корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (CVE-2017-7494), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT.

Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи для старых версий. В качестве обходного пути защиты можно добавить в параметр «nt pipe support = no» в секцию «[global]» smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD, Debian, Fedora и RHEL. Проследить за выпуском обновлений пакетов в других дистрибутивах можно на данных страницах: Ubuntu, openSUSE, SUSE, CentOS.

Источник: [ссылка]

Атака на Kodi, VLC и Popcorn-Time через вредоносные субтитры

В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в Kodi 17.2, Popcorn-Time 0.3.10, strem.io 3.6.5 и VLC 2.2.5.1 (частично, полное исправление ожидается в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org.

Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу, проблема вызвана отсутствием экранирования символов «..» в файловых путях zip-архива с субтитрами. Атакующий может подготовить специально оформленный zip-архив, при распаковке которого может быть переписан любой файл в системе в рамках прав доступа текущего процесса с медиаплеером. Кроме того, в Popcorn-Time, судя по всему, устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода в состав субтитров в формате SRT, который будет обработан в контексте JavaScript-движка, применяемого для построения интерфейса приложения.

Источник: [ссылка]

В Linux обеспечена возможность устранения уязвимости MouseJack в устройствах Logitech

Ричард Хьюз (Richard Hughes), создатель проекта PackageKit, активно участвующий в разработке Fedora и GNOME, реализовал для Linux инструмент для обновления прошивок беспроводных мышей, подверженных атаке MouseJack. Несмотря на то, что атака MouseJack была разработана более года назад, некоторые производители до сих пор не выпустили инструментарий для обновления прошивки, который можно было бы использовать в Linux. В частности Logitech не относит Linux к числу официально поддерживаемых систем и не планирует выпускать исправления.

При этом MouseJack является достаточно опасной проблемой, позволяющей из-за отсутствия защиты протокола, используемого при обмене данными между компьютером и мышью, получить контроль над беспроводными мышами на расстоянии до ста метров и симулировать через них клавиатурный ввод (протокол поддерживает передачу сведений о нажатиях клавиш). Так как исправление поставляется только в виде exe-файла, Linux-пользователи подобных устройств вынуждены были искать систему с Windows, подключать к ней свою мышь и выполнять обновление прошивки. В случае использования ноутбуков со встроенными адаптерами беспроводных мышей требовалась загрузка Windows на данном ноутбуке.

Для решения возникшей проблемы Ричард адаптировал применяемый в Fedora инструментарий fwupd для установки в Linux обновлений прошивок, предоставляемых компанией Logitech для других платформ. Исправление в том числе может быть использовано для беспроводных мышей Amazon, Microsoft, Lenovo и Dell, которые выпускаются по контракту компанией Logitech, но под другими брендами. Изначально метод обновления был воссоздан на основе обратного инжиниринга пакета для загрузки обновления, поставляемого для платформы Windows. Но затем инженеры Logitech предоставили разработчику официальную документацию по организации доступа к внутреннему интерфейсу замены прошивки в ресиверах и подверженных проблеме периферийных компонентах.

На основании данной документации в fwupd была добавлена полноценная поддержка смены прошивок в оборудовании Logitech. Для обновления прошивки в Fedora теперь достаточно обновить пакет fwupd до версии 0.9.2-2.fc26, расскомментировать тестовый канал доставки обновлений (параметр DownloadURI) в файле конфигурации /etc/fwupd.conf и запустить команду «fwupdmgr refresh && fwupdmgr», вызвать GNOME Software или выполнить перезапуск сервиса.

Источник: [ссылка]

Стабильный выпуск СУБД MariaDB 10.2

После полутора лет разработки и пяти предварительных выпусков сформирован первый стабильный релиз новой ветки СУБД MariaDB 10.2, в рамках которой развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с полностью открытым и прозрачным процессом разработки, не зависящим от отдельных вендоров. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL 7, SUSE 12, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian 9) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.

Ключевые улучшения MariaDB 10.2:

  • Добавлена экспериментальная поддержка движка хранения MyRocks, разработанного Facebook на базе системы хранения RocksDB, оптимизированной для Flash-накопителей. В хранилище MyRocks применяются страницы данных плавающего размера, позволяющие избежать выравнивания по фиксированной границе блока, и модель хранения данных в форме лога (Log Structured Merge Trees), допускающая только дополнение (чистка производится сборщиком мусора);
  • Добавлена поддержка оконных функций, задаваемых ключевым словом OVER и позволяющих совершить вычисление над набором строк, связанных с текущей строкой. По аналогии с агрегатными функциями оконные функции позволяют обратиться к другим строкам в процессе обработки результата запроса, но в отличие от агрегатных функций они не группируют результат в одну строку;
  • Поддержка общих табличных выражений (выражение «WITH») и рекурсивных общих табличных выражений («WITH RECURSIVE»). Секцию WITH можно использовать для определения подзапросов как локальных временных таблиц, на которые можно много раз ссылаться в запросе. «WITH RECURSIVE» позволяет обращаться к собственному результату, например, можно организовать обход дерева в процессе выполнении запроса;
  • Добавлено выражение «CONSTRAINT… CHECK» в блоке «CREATE TABLE» для задания ограничений столбца;
  • Реализована возможность указания выражений в блоке DEFAULT, например «b int DEFAULT (a+1)». Обеспечена поддержка указания значений DEFAULT для полей BLOB и TEXT;
  • Хранилище InnoDB обновлено до выпуска из состава MySQL 5.7.18 и задействовано по умолчанию (ранее по умолчанию предлагалось хранилище XtraDB). В InnoDB добавлена поддержка пространственных индексов (spatial index);
  • Добавлено выражение «SHOW CREATE USER», показывающее полное выражение «CREATE USER», использованное для создания указанного пользователя;
  • Для выражения «CREATE USER» реализованы опции для ограничения потребления ресурсов и настройки tls/ssl. Например, теперь можно ограничить максимальное число запросов или соединений в час;
  • Представлено новое выражение «ALTER USER«, позволяющее внести изменения в учётную запись существующего пользователя;
  • Сняты многие ограничения для виртуально вычисляемых столбцов;
  • Добавлена поддержка выражения «EXECUTE IMMEDIATE» для запуска динамического SQL-выражения, созданного на лету;
  • В оператор PREPARE добавлена возможность использования большинства выражений;
  • Добавлены функции для работы с данными в формате JSON;
  • Добавлен плагин аутентификации, использующий алгоритм ed25519 для хранения паролей;
  • В состав сборок для Windows, CentOS, RHEL и Fedora добавлен плагин для расшифровки ключей, используемых в Amazon Web Services (AWS) Key Management Service (KMS), для их последующего использования для шифрования данных в БД;
  • Появилась возможность привязки нескольких разных триггеров к одному событию;
  • Добавлена поддержка отложенной репликации, при которой состояние slave-сервера на заданный промежуток времени отстаёт от master-сервера;
  • Переработана реализация выражения ANALYZE TABLE, которое теперь не блокирует таблицу во время сбора статистики;
  • Библиотека wsrep, используемая для организации синхронной multi-master (active-active) репликации Galera, обновлена до выпуска 25.3.20;
  • Обеспечено формирование пакетов для Ubuntu 17.04;
  • В mysqldump добавлена опция «—add-drop-trigger», воспроизводящая функциональность MySQL 5.6 по добавлению в SQL-дамп выражения для удаления триггера перед его созданием;
  • Добавлен скрипт mysqlbinlog для организации непрерывного бэкапа бинарного лога;
  • Добавлена поддержка OpenSSL 1.1 и LibreSSL;
  • Добавлены переменные innodb_deadlock_detect и innodb_stats_include_delete_marked для отключения система определения взаимных блокировок и учёта записей, помеченных как удалённые, при расчёте статистики;
  • Добавлена переменная read_binlog_speed_limit, задающая ограничение скорости с которой slave-сервер читает бинарный лог master-сервера;
  • Удалена старая клиентская библиотека, поставляемая под лицензией GPL, на смену которой пришла новая библиотека, имеющая лицензию LGPL.

Источник: [ссылка]

Уязвимость в ImageMagic, позволившая получить доступ к чужим вложениям в почте Yahoo

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения об опасной уязвимости (CVE-2017-9098) в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.

Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении.

При организации предпросмотра вложений Yahoo использует ImageMagic для обработки изображения, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, при предпросмотре которого через web-интерфейс открылось искажённое JPEG-изображение 1024×1024, которое включало данные, присутствующие в недавно обработанных вложениях других пользователей.

Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов и приняла решение прекратить использование пакета ImageMagic в своих службах. Проблема устранена в ImageMagick 7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian, SUSE/openSUSE, RHEL, Fedora, Ubuntu, FreeBSD. Следует отметить, что проблема представляет опасность в длительно работающих процессах, циклично обрабатывающих запросы без завершения работы.

Источник: [ссылка]

Релиз облачного хранилища Nextcloud 12, форка ownCloud

После пяти месяцев разработки представлен выпуск облачной платформы Nextcloud 12, развивающейся как форк проекта ownCloud, созданный основными разработчиками данной системы. Nextcloud и ownCloud позволяют на своих серверных системах развернуть полноценное облачное хранилище с поддержкой синхронизации и обмена данными. Ключевым отличием Nextcloud от ownCloud является намерение предоставить в едином открытом продукте все расширенные возможности, ранее поставляемые только в коммерческой версии ownCloud. Исходные тексты Nextcloud, как и ownCloud, распространяются под лицензией AGPL.

Nextcloud предоставляет средства для обеспечения совместного доступа, версионный контроль изменений, поддержку воспроизведения медиаконтента и просмотра документов прямо из web-интерфейса, возможность синхронизации данных между разными машинами, возможность просмотра и редактирования данных с любого устройства в любой точке сети. Доступ к данным может быть организован как при помощи web-интерфейса, так и с использованием протокола WebDAV и его расширений CardDAV и CalDAV. В отличие от сервисов Google Drive, Dropbox, Яндекс.Диск и box.net, проекты ownCloud и Nextcloud дают пользователю полный контроль над своими данными — информация не привязывается ко внешним закрытым облачным системам хранения, а размещается на подконтрольном пользователю оборудовании. Сервер ownCloud можно развернуть на любом хостинге, поддерживающем выполнение PHP-скриптов и предоставляющем доступ к SQLite, MySQL или PostgreSQL.

Основные новшества Nextcloud 12:

  • Расширены средства для построения объединённых систем (Federation): пользователь может отслеживать изменения совместных ресурсов на других серверах через свой журнал действий. Обмен данными производится через новый ActivityPub API, реализованный в рамках инициативы Global Scale, нацеленной на создание на базе Nextcloud полноценной платформы для создания распределённых хранилищ, работа которых обеспечивается серией разных серверов. В будущем планируется предоставить средства для объединения разрозненных серверов Nextcloud в связанную сеть, способную масштабироваться до систем, способных обслужить миллионы пользователей.

    В рамках отдельных компонентов развиваются Lookup Server и Global Site Selector (GSS). Lookup Server обеспечивает хранение информации о физическом местоположении пользователя и сопоставляет идентификаторы пользователей с идентификаторы связанных с ними совместных ресурсов, хранимых на разных серверах. Lookup Server также обеспечивает хранение расширенных метаданных о пользователях, таких как данные о квотах и ограничениях, класс пропускной способности сети, класс резервирования данных и т.п. GSS выступает в роли центрального звена, запрашиваемого при первом подключении пользователя. GSS выполняет аутентификацию, определяет узел, ответственный за хранение данных текущего пользователя и перенаправляет пользователя на выбранный узел. В дальнейшем пользователь взаимодействует только с привязанным к нему узлом.

  • Переработан web-интерфейс, центральным звеном которого теперь являются приложения, реализующие дополнительную функциональность. Приложения закрепляются на верхней панели и всегда доступны для вызова. В правой части верхней панели появилось новое меню для быстрого доступа к адресной книге, позволяющее инициировать вызов, начать чат или отправить сообщение нужному пользователю. Связь с пользователями также можно инициировать через клик на аватаре, который отображается рядом со всеми сообщениями, уведомлениями, комментариями и другой активностью пользователя;
  • В приложение с реализацией файлового менеджера добавлен упрощённый режим организации совместного доступа к каталогам и функция перемещения файлов через меню, не прибегая к перетаскиванию файлов мышью (drag&drop). Также появилась возможность отправки уникальной публично доступной ссылки на ресурс сразу нескольким пользователям, для каждого из которых можно настроить отдельные права доступа к ресурсу, установить пароль и ограничить время доступа.
  • Расширения возможности видеозвонков: Пользователи могут подключаться к видеовызовам из своего окружения Nextcloud и через защищённые каналы связи общаться с коллегами непосредственно через браузер. В процессе общения можно предоставить совместный доступ к документам и сохранять их в своём экземпляре Nextcloud. Также можно предоставить доступ к содержимому экрана;
  • Добавлена поддержка Push-уведомлений, позволяющих через web-интерфейс или мобильное приложение информировать пользователя о предоставлении доступа к новым ресурсам, публикации ответов на сообщения, появлении новых комментариев. Администраторы могут отправлять Push-уведомления из командной строки и интегрировать их поддержку в сторонние приложения;
  • Добавлена возможность открытия доступа на запись к отдельным файлам, что позволяет, например, опубликовать ссылку на документ и сразу начать его совместное редактирование через сервис Collabora Online;
  • В состав включено новое приложение Circles с реализацией простой приватной социальной сети. При помощи данного приложения пользователи могут создавать свои группы и обмениваться файлами в этих группах. При помощи приложения Social Sharing можно обмениваться информацией с другими социальными сетями, например, публиковать ссылки в Twitter, Facebook, Google+ и Diaspora;
  • Для общения между пользователями предложено приложение Chat, поддерживающее протокол XMPP и способное загружать истории переписки с внешних XMPP-серверов;
  • Представлена порция приложений для администраторов:
    • Global Shares — для создания структуры совместно используемых каталогов для разных групп пользователей;
    • Guest — для предоставления временного доступа сторонних пользователей к определённым данным;
    • Excludedirs — для исключения заданного списка каталогов из индексации и видимости для пользователей. Например, при помощи данного приложения можно скрыть подкаталоги со снапшотами;
    • Quota Warning — для вывода предупреждений о приближении к исчерпанию дисковой квоты;
    • JSloader — позволяет администраторы добавить любой JavaScript-код на все страницы Nextcloud (например, можно добавить счётчик и код web-аналитики);
    • Impersonate — при помощи данного приложения администратор может войти в систему под любым другим пользователем для диагностики возникшей у данного пользователя проблемы;
    • Backup — для создания резервных копий.
  • Добавлена защита от побора паролей (Brute Force Protection) и проведения атак через формы восстановления забытого пароля;
  • Реализованы средства для ограничения интенсивности запросов (Rate Limit), позволяющие задать лимит в число обращений за определённый период времени для диапазона IP или отдельных пользователей;
  • Добавлена поддержка расширенных схем аутентификации, например, теперь можно использовать OpenID, OAuth 2.0, Kerberos и двухфакторную аутентификацию;
  • Запущена инициатива по выплате денежных вознаграждений за выявление уязвимостей в Nextcloud. Разработчики готовы выплатить до $5000 за сведения о новых уязвимостях и отреагировать на проблему в течение 8 часов.

Источник: [ссылка]