Основные изменения по сравнению с первым кандидатом в релизы:

• В ядро GIMP и библиотеки GEGL и babl внесены оптимизации для ускорения отрисовки и вывода информации на экран, которые должны компенсировать замедление отрисовки, наблюдаемое в ветке 2.10 по сравнению с 2.8. Обеспечено выделение в отдельные потоки операций отрисовки, что существенно повысило отзывчивость интерфейса. В дальнейшем наработки в области распараллеливания работы планируется адаптировать и для других частей GIMP, не ограничиваясь отрисовкой;
• Подготовлены новые темы оформления, избавленные от проблем с юзабилити и недоработок, наблюдавшихся в ранее предлагаемых темах. Из старых тем сохранена и почищена только тема Gray, а темы Light и Dark полностью переписаны с нуля;
• Инструмент для работы с градиентами переименован из "Blend tool" в "Gradient tool" и адаптирован для работы в линейном цветовом пространстве RGB, помимо перцептуального RGB и CIE LAB;
• Добавлен виджет для управления 3D-вращением на холсте. Виджет пока доступен только в фильтре панорамных проекций;
• Прекращено выполнение каких-либо преобразований цветовой гаммы при преобразованиях между каналами, масками и выделенными областями, что делает двойные преобразования (например, selection -> channel -> selection) корректными и предсказуемыми. В каналах для всех изображений с цветностью более чем 8-бит на канал теперь применяется линейное цветовое пространство.

1. Главная ссылка к новости
2. OpenNews: Кандидат в релизы GIMP 2.10
3. OpenNews: Выпуск графического редактора GIMP 2.9.8
4. OpenNews: Выпуск графического редактора GIMP 2.9.6
5. OpenNews: Обновление GIMP 2.8.20 и оценка состояния разработки GIMP 2.10
6. OpenNews: В графическом редакторе GIMP 2.9.4 предложено новое оформление интерфейса

Внешний вид переделан с нуля и отвечает современным требованиям к адаптивной вёрстке. Появилась поддержка отображения README-файлов с разметкой Markdown. Значительно улучшены средства поиска (задействован ElasticSearch), результаты которого теперь могут группироваться по релевантности и времени последнего обновления. Расширены возможности по классификации проектов в зависимости от тематики, используемых фреймворков, лицензии, статуса разработки, окружения, целевой аудитории и поддерживаемых языков. Из новшеств также можно отметить появление хронологической истории релизов проекта, журнал активности участников разработки и отображение аватаров мэйнтейнров.

Одновременно опубликован значительный релиз пакетного менеджера Pip 10. В новой версии:

• Прекращена поддержка Python 2.6;
• Добавлена новая команда "pip config", предназначенная для управления локальной и глобальной конфигурацией;
• Обеспечена начальная поддержка PEP 518, предоставляющего проектам возможность определения списка пакетов (сборочных зависимостей), необходимых для сборки из исходных текстов;
• Изменена применяемая по умолчанию стратегия обновления. Рекурсивные обновления зависимостей теперь устанавливаются только при необходимости, когда текущая версия зависимости не удовлетворяет требованиям устанавливаемого пакета (задействован режим "only-if-needed" вместо ранее применяемого режима "eager", при котором зависимости обновлялись при любой возможности);
• Cущественно улучшена обработка Unicode для не-ASCII локалей в Windows;
• Проведена внутренняя реорганизация кода pip.

1. Главная ссылка к новости
2. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
3. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
4. OpenNews: Пятидесятый выпуск репозитория пакетов pkgsrc
5. OpenNews: Ошибка в настройке репозитория KDE Neon могла привести к подмене пакетов
6. OpenNews: NPM стал крупнейшим репозиторием пакетов

Крис Лэм - 32-летний программист из Кэмбриджа, участвующий в разработке Debian с сентября 2008 года. Крис принимает участие в работе над проектами Debian Long Term Support (LTS), Debian Live и Debian Installer, входит в команды, сопровождающие пакеты, связанные с Python, X.Org и JavaScript, а также является автором таких инструментов, как AptFS, debian-bts-applet, travis.debian.net, IRC-бота #debian-devel-changes и Debian Timeline. Крис Лэм является одним из получателей гранта от организации Linux Foundation, выданного на развитие средств для обеспечения повторяемых сборок пакетов.

1. Главная ссылка к новости
2. OpenNews: Избран новый лидер проекта Debian
3. OpenNews: Назван новый лидер проекта Debian
4. OpenNews: Избран новый лидер проекта Debian
5. OpenNews: Лукас Нуссбаум переизбран на пост лидера проекта Debian
6. OpenNews: Объявлен новый лидер проекта Debian

Дистрибутив примечателен исключением из поставки всех несвободных компонентов, таких как бинарные драйверы, firmware и элементы графического оформления, распространяемые под несвободной лицензией или использующие зарегистрированные торговые марки. Несмотря на полный отказ от проприетарных компонентов, Trisquel совместим с Java (OpenJDK) и Adobe Flash (Gnash), поддерживает большинство аудио- и видео-форматов, включая работу с защищенными DVD, задействуя при этом только полностью свободные реализации данных технологий.

В новом выпуске осуществлён переход с пакетной базы Ubuntu 14.04 на ветку Ubuntu 16.04 (уже началась разработка Trisquel 9.0 на базе Ubuntu 18.04). До версии 4.4 (в качестве опции доступна версия 4.13) обновлён полностью свободный вариант ядра Linux - Linux Libre, очищенный от проприетарных прошивок и драйверов, содержащих несвободные компоненты. Вместо рабочего стола GNOME в новом выпуске осуществлён переход на MATE 1.12.

Браузером по умолчанию является Abrowser 59, вариант Firefox, приведённый к соответствию требованиям к полностью свободным дистрибутивам и переработанный для предоставления дополнительных режимов обеспечения приватности пользователя. Для работы с электронной почтой предлагается новый выпуск почтового клиента IceDove (Thunderbird). Обновлены компоненты графического стека, LibreOffice 5.1.4, VLC 2.2.2. Дополнительно предлагаются две специализированные редакции дистрибутива: Trisquel-mini - минималистичная версия с окружением LXDE, браузером Midori, Abiword и GNOME-Mplayer, и Trisquel TOAST - версия на основе оболочки Sugar, предназначенная для детей в возрасте до 12 лет.

Основные требования к полностью свободным дистрибутивам:

• Включение в состав дистрибутива ПО с одобренными FSF лицензиями;
• Недопустимость поставки бинарных прошивок (firmware) и любых бинарных компонентов драйверов;
• Непринятие неизменяемых функциональных компонентов, но возможность включения нефункциональных, при условии разрешения копировать и распространять их в коммерческих и некоммерческих целях (например, CC BY-ND-карты к GPL-игре);
• Недопустимость использования торговых марок, условия использования которых мешают свободному копированию и распространению всего дистрибутива или его части;
• Соблюдение лицензионной чистоты документации, недопустимость документации, рекомендующей установку проприетарного ПО для решения определённых задач.

В настоящее время в список полностью свободных дистрибутивов GNU/Linux включены следующие проекты:

• gNewSense - основан на пакетной базе Debian GNU/Linux и развивается Фондом СПО при личном участии Ричарда Столлмана;
• BLAG - свободная редакция Fedora Linux;
• Dragora - независимый дистрибутив, пропагандирующий идею максимального упрощения;
• ProteanOS - обособленный дистрибутив, развивающийся в направлении достижения как можно более компактного размера;
• Dynebolic - специализированный дистрибутив для обработки видео и аудио данных;
• Parabola GNU/Linux - дистрибутив, основанный на наработках проекта Arch Linux;
• PureOS - основан на пакетной базе Debian и разрабатывается компанией Purism, развивающей смартфон Librem 5 и выпускающей ноутбуки, поставляемые с данным дистрибутивом и прошивкой на базе CoreBoot;
• Musix GNU+Linux - основанный на Knoppix дистрибутив, предназначенный для создания и обработки звука;
• Trisquel - основанный на Ubuntu специализированный дистрибутив для небольших предприятий, домашних пользователей и образовательных учреждений;
• Ututo - GNU/Linux дистрибутив, построенный на базе Gentoo.
• libreCMC (libre Concurrent Machine Cluster), специализированный дистрибутив, рассчитанный на использование во встраиваемых устройствах, таких как беспроводные маршрутизаторы.
• GuixSD - основан на пакетном менеджере Guix и системе инициализации GNU Shepherd (ранее известной как GNU dmd), написанными на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов.

1. Главная ссылка к новости
2. OpenNews: Фонд СПО признал PureOS полностью свободным дистрибутивом
3. OpenNews: Фонд СПО пересмотрел список приоритетных свободных проектов
4. OpenNews: Фонд СПО признал ProteanOS полностью свободным дистрибутивом
5. OpenNews: Фонд СПО признал Guix полностью свободным дистрибутивом
6. OpenNews: Релиз полностью свободного Linux-дистрибутива Trisquel 7

Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, aвтоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:

• Существенно переработан инсталлятор серверной части, который позволяет за несколько минут развернуть рабочую конфигурацию Zulip. В том числе в новом инсталляторе обеспечена интеграция с certbot для упрощения получения SSL-сертификатов и исключены обязательные параметры конфигурации;
• Добавлен тестовый инструмент миграции из Slack в Zulip, предоставляющий средства импорта ресурсов из Slack, включая перенос пользователей, аватаров, стримов, загруженных файлов и истории переписки;
• Переписана документация по API, добавлены описания наиболее важных точек подключения обработчиков и предложены рабочие примеры;
• Предложена новая тёмная тема оформления;
• Добавлена возможность настройки групп пользователей, для обращения к ним по метке быстрого вызова. Например, можно создать группу с меткой @support, через которую можно сразу отправить сообщения всем работникам службы поддержки;
• Интегрирована поддержка видеовызовов, для проведения которых задействована свободная система видеоконференций Jitsi Meet. В будущем ожидается добавление поддержки и других провайдеров видеосвязи (в том числе Google Hangouts);
• Переработана система настройки, реализована функция автоматического сохранения изменений и добавлена большая порция новых опций для пользователей и организаций;
• Представлен полностью новый набор переводов для русского языка.

1. Главная ссылка к новости
2. OpenNews: Прекращение разработки Tor Messenger
3. OpenNews: Dropbox открыл код платформы группового обмена сообщениями Zulip
4. OpenNews: Открыт код сервиса мгновенного обмена сообщениями Gitter
5. OpenNews: Доступна система обмена сообщениями Briar, способная работать в режиме P2P
6. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire

Основные изменения в Chrome 66:

• Прекращено автоматическое воспроизведение видео со звуком на текущей вкладке. Автоматическое воспроизведение мультимедийного контента (свойство autoplay) теперь допустимо только если пользователь явно кликнул на странице или часто просматривает мультимедийный контент на этом сайте. Изменение позволит блокировать злоупотребления на некоторых сайтах, автоматически показывающих видеорекламу со звуком, которая создаёт неудобства и отвлекает пользователя при просмотре страниц;
• Применение методов Material Design для горизонтальной прокрутки на сенсорных экранах. При совершении жестов листания вправо или влево от края страницы теперь высвечивается специальный анимированный индикатор, показывающий направление навигации. Для включения нового режима в "chrome://flags/#overscroll-history-navigation" следует установить значение "Simple";
• Экспериментальное новое оформление диалогов и всплывающих окон в стиле Material Design (тестирование началось в прошлом выпуске и пока не завершено). Включение производится через "chrome://flags#secondary-ui-md";
• Для пользователей, которые не могут просмотреть встроенные PDF, добавлена возможность клика на загруженный PDF и открытия его в любой внешней программе просмотра;
• В версии для Android добавлена возможность экспорта сохранённых паролей ( Settings -> Overflow Menu -> Export Passwords). Перед началом экспорта требуется повторно пройти аутентификацию;
• В версии для Android добавлена возможность отключения показа ссылок-рекомендаций на странице новой вкладки (отключается через новый переключатель в секции "Articles for you");
• Возможность поиска в списке сохранённых паролей (позволяет быстро находить сайты для которых ранее были сохранены пароли);
• При просмотре web-контента (webview) в приложении при помощи Chrome в правом верхнем углу панели теперь показывается дополнительная кнопка вызова действий;
• Для находящихся в режиме ожидания загрузок теперь выводится дополнительная информация с пояснением, почему загрузка ещё не стартовала;
• Добавлена возможность использования объекта ImageBitmap для отрисовки изображения на "canvas", что позволяет обойтись без промежуточного создания тега "img" и без хранения нескольких копий изображения в памяти. Кроме повышения эффективности работы с памятью новый метод также позволяет организовать декодирование изображения перед выводом на "canvas" в асинхронном режиме, не блокируя работу других вычислений;
• Добавлена поддержка типизированной объектной модели CSS (CSSOM - CSS Typed Object Model (OM) Level 1), позволяющей манипулировать значениями CSS не как строками, а как типизированными объектами JavaScript. При использовании CSSOM разработчику не нужно заботиться о конвертации типизированных значений в строки и наоборот. Помимо возможности манипулировать значениями, присвоенными свойствам CSS, типизированная объектная модель также позволяет писать более удобный для сопровождения и понятный код. Например, вместо "el.style.opacity = 0.3" можно указать 'el.attributeStyleMap.set("opacity", CSS.number("0.3"))';
• Добавлен API для асинхронной работы с буфером обмена, позволяющий читать и записывать данные в буфер обмена с использованием механизма Promise. Новый API интегрируется с Permissions API для запроса полномочий и заметно проще ранее предлагаемого API execCommand('copy'). Например, для чтения из буфера обмена можно указать "const data = await navigator.clipboard.readText()", а для записи 'await navigator.clipboard.writeText("Hello, clipboard.")'. В будущих выпусках ожидается поддержка копирования и вставки сложных типов данных, таких как изображения;
• Добавлен новый объект AudioWorklet, который предоставляет новый синхронный контекст выполнения JavaScript, позволяющий программно контролировать параметры звука без внесения дополнительных задержек и не влияя на стабильность звукового вывода (ранее применяемый ScriptProcessorNode работал в асинхронном режиме и приводил к нарушению стабильности потока, в будущих выпусках он будет объявлен устаревшим);
• В медиазапросах CSS (media queries) разрешено применение математических выражений calc(), min() и max();
• В CSS-функциях rgb() и rgba() теперь допускается указание значений с плавающей запятой;
• Попытка чтения несуществующего или некорректного URL через File API теперь приводил к выводу сетевой ошибки, вместо возврата кода 404;
• В HTML-элементы textarea и select добавлена поддержка атрибута autocomplete, который позволяет управлять включением или выключением автозаполнения форм;
• Изменяемый элемент checkbox теперь формируют три события: клик, ввод и изменение (click, input и change) вместо ранее формируемых событий click и change;
• В интерфейс MediaStreamTrack добавлен вызов getCapabilities(), через который можно получить диапазон допустимых значений для каждого свойства;
• JavaScript-функция Function.prototype.toString() теперь возвращает строку с кодом функции, полостью совпадающую с тем, как функция заданоа в исходных текстах (все отступы и даже комментарии сохраняются);
• В JSON теперь является синтаксическим подмножеством ECMAScript, что позволяет использовать в строковых литералах символы разделения строк (U+2028) и разделения параграфов (U+2029);
• Выражение "catch" в блоке "try" теперь может применяться без параметра;
• Методы String.prototype.trimStart() и String.prototype.trimEnd() теперь могут применяться как стандартные способы вырезания лидирующих и оконечных пробелов из строк, в дополнение к ранее доступному методу String.prototype.trim(). Нестандартные методы trimLeft() и trimRight() оставлены как псевдонимы trimStart() и trimEnd() для сохранения совместимости;
• Добавлен метод Array.prototype.values(), который возвращает объект итератора, содержащий значения для каждого индекса в массиве;
• Из свойств CSS gutter удалён префикс "grid", т.е. grid-gap теперь просто gap, grid-row-gap - row-gap, а grid-column-gap - column-gap;
• Добавлен новый API, позволяющий получить информацию от доступных возможностях декодирования мультимедийного контента на стороне клиента. На основании выводимых данных можно оценить сможет ли клиент обеспечить плавное и энергоэффективное декодирование видео с разрешением, выбранным на основании параметров экрана и полосы пропускания;
• В Fetch API для объекта Request реализовано свойство keepalive, позволяющее продолжить извлечение данных после закрытия вкладки. Также добавлены интерфейсы AbortSignal и AbortController для отмены извлечения данных;
• Прекращено доверие к сертификатам Symantec, выписанным до 1 июня 2016 года;
• Обеспечен вывод предупреждения при выявлении попыток стороннего ПО осуществить подстановку кода в процессы Chrome. Подобные подстановки наблюдаются на 2/3 систем с Windows и, как правило, производятся антивирусным ПО. По статистике, подобные манипуляции приводят к снижению стабильности работы и являются причиной 15% всех наблюдаемых крахов браузера;
• Для ограниченного круга пользователей включен по умолчанию режим строгой изоляции сайта, предоставляющий дополнительную защиту от атак типа Spectre. Суть метода в том, что страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox;
• Изменён подход к кэшированию скомпилированного варианта JavaScript-кода. Если раньше кэшировался код, сгенерированный сразу после первой компиляции основных функций (до запуска), то теперь в кэш попадает код, сформированный после первого запуска первичных скриптов, что позволяет охватить кэшированием функции которые не были учтены при начальной компиляции. В некоторых ситуациях новый подход позволяет на 20-60% снизить время компиляции и разбора при повторной загрузке страницы;
• Реализована возможность выноса в отдельные фоновые потоки операций компиляции исходных текстов JavaScript в байткод, что позволило на 5-20% сократить время компиляции в основном потоке. Дополнительно исключена отдельная фаза нумерации AST, что сократило время компиляции ещё на 3-5%;
• Проведена оптимизация производительности асинхронных операций и функций promises/async;
• Более чем в 10 раз увеличена производительность операции Array#reduce для массивов с большим числом пустот или значений с плавающей запятой;

Кроме нововведений и исправления ошибок в новой версии устранены 62 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 34 премии на сумму 34.5 тысячи долларов США (по одной премии в $7500, $5000, $4500, $4000 и $3000, две премии $2000, две премии $1000 и девять премий $500). Размер 16 вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Google запретил размещение дополнений к Chrome c кодом для майнинга криптовалют
3. OpenNews: Релиз web-браузера Chrome 65
4. OpenNews: Сборка Chrome для Windows переведена на использование Clang
5. OpenNews: Google вводит в Chrome обязательное логирование для SSL-сертификатов
6. OpenNews: Chrome 68 начнёт помечать все HTTP-соединения небезопасными

Представители Oracle также рассказали о новой модели разработки Solaris, основанной на стратегии непрерывной доставки релизов. Новые выпуски Solaris 11 теперь будут выпускаться раз в год, летом. Новые возможности будут предлагаться по мере их готовности и доставляться через ближайший канал доставки, например, могут быть включены в сервисные обновления (SRU), CPU (critical patch update) или релиз. Релизы Oracle Solaris 11 будут включать как все новшества, раннее доставленные в обновлениях SRU, так и ранее недоступные новшества, которые признаны готовыми к моменту формирования релиза. В релизах также будут доставляться обновления версий сторонних открытых компонентов, входящих в состав Solaris.

По сравнению с выпущенным в январе первым бета выпуском в обновлённой тестовой версии устранено около 280 ошибок и внесено несколько улучшений:

• Возможность использования команды "zpool remove" для удаления из пула первичных устройств хранения ZFS. Данные из удаляемого устройства автоматически будут перенесены на устройства, остающиеся в пуле. Прогресс переноса данных перед удалением можно оценить при помощи команды "zpool status";
• Режим проверки (Scrub) ZFS-пула по расписанию. По умолчанию процесс фоновой проверки целостности пула теперь запускается раз в 30 дней и автоматически корректирует приоритет выполнения данной операции, в зависимости от нагрузки в системе. Посмотреть время последней проверки можно командой "zpool status";
• Поддержка протокола SMB 3.1.1, в котором появилась возможность прозрачного переключения клиента на резервный хост в случае сбоя (Transparent Failover) и режим многоканальной передачи данных с использованием нескольких разных сетевых соединений;
• В команду compliance добавлена поддержка Oracle Solaris Cluster;
• Добавлен пакет ssh-ldap-getpubkey для организации аутентификации в SSH с хранением публичных ключей в LDAP;
• Добавлена защита от первого варианта атаки Spectre в Firefox, драйвере NVIDIA и ядре Solaris;
• Обновлены версии программ, включая gcc 7.3, libidn2, qpdf 7.0.0.

1. Главная ссылка к новости
2. OpenNews: Началось бета-тестирование Solaris 11.4
3. OpenNews: Выпуск дистрибутива OpenIndiana 2017.10, продолжающего развитие OpenSolaris
4. OpenNews: MongoDB прекращает поддержку платформы Solaris
5. OpenNews: Компания Oracle представила бета-выпуск Solaris 11.3

• В дополнениях для гостевых систем с Linux устранено зависание при запуске KDE Plasma;
• В VMM добавлена недостающая проверка на нулевой указатель в коде MMIO;
• Решены проблемы, проявляющиеся при присутствии нескольких контроллерров NVMe при включении ICH9;
• Устранено несколько проблем в сетевой подсистеме, проявлявшихся при использовании сетевых мостов (bridging);
• Решены проблемы в звуковой подсистеме, приводящие к генерации большого числа прерываний гостевыми системами FreeBSD с HDA;
• При клавиатурном вводе внесены небольшие задержки для решения проблем со старыми программами, которые успевали прочитать один скан код несколько раз;
• В NAT добавлена обработка значения сервера имён 0.0.0.0.
  1. Главная ссылка к новости
  2. OpenNews: Релиз системы виртуализации VirtualBox 5.2.8
  3. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  4. OpenNews: Релиз системы виртуализации VirtualBox 5.2.6
  5. OpenNews: Релиз системы виртуализации VirtualBox 5.2

Помимо пакета с ядром из состава RHEL в Oracle Linux поставляется выпущенное в мае обновление ядра Unbreakable Enterprise Kernel 4 (UEKR4U4), которое предложено по умолчанию. Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро позиционируется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме ядра, по функциональности Oracle Linux 7.5 аналогичен RHEL 7.5.

Среди новых возможностей Oracle Linux 7.5 (почти все из перечисленных изменений свойственны и для RHEL 7.5):

• Для новых моделей серверных процессоров Intel добавлена поддержка механизма PKU (Memory Protection Keys for Userspace), который можно применять для защиты доступа к страницам памяти из пространства пользователя, без изменения таблиц страниц памяти при изменении домена защиты;
• Поддержка автоматической разблокировки шифрованных внешних накопителей и сетевых разделов;
• В mod_ssl отключена поддержка SSLv3;
• В гостевых системах под управлением гипервизора KVM добавлена поддержка механизма рандомизации адресного пространства ядра (KASLR), который позволяет увеличить стойкость к некоторым видам атак, эксплуатирующим уязвимости в ядре, за счёт формирования случайной раскладки кода ядра в памяти при каждой загрузке;
• Файловая система Btrfs продолжает оставаться полностью поддерживаемой в ядрах Unbreakable Enterprise Kernel, но объявлена устаревшей в ядрах RHCK (Red Hat Compatible Kernel).
• Увеличена производительность утилиты quotacheck при проверке квот на разделах ext4.

Одновременно представлен релиз Spacewalk 2.7, платформы для управления инфраструктурой Linux-серверов. Spacewalk распространяются в рамках лицензии GPLv2 и позволяет решать такие задачи, как организация инвентаризации оборудования и программного обеспечения, автоматизация установки и обновления ПО, распространение собственных пакетов и приложений по группам машин, автоматизация установки типовых конфигураций системы в режиме kickstart, централизованное управление конфигурационными файлами.

Основные новшества:

• В состав пакета spacewalk-utils добавлена утилита taskotop, которая позволяет отслеживать состояние демона taskomatic;
• Демон jabberd с поддежкой OSAD (Open Source Architecture Daemon) переведён на использование SQLite;
• Библиотеки jPackage объявлены устаревшими;
• Улучшена поддержка профиля kickstart;
• Добавлен новый API channel.listManageableChannels.

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив Oracle Linux 7.4
3. OpenNews: Представлен Oracle Linux 7 для ARM
4. OpenNews: Опубликована редакция Oracle Linux для архитектуры SPARC
5. OpenNews: Релиз Red Hat Enterprise Linux 7.5
6. OpenNews: Релиз Spacewalk 1.0, свободной платформы для управления Linux-инфраструктурой

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. Из улучшений выделяются оптимизации для процессоров Atom, дополнительные варианты восстановления сеанса после краха и возможность отключить загрузку изображений.

Основные изменения в Pale Moon 27.9.0:

• Решены некоторые проблемы с совместимостью медиа подсистемы с актуальными спецификациями;
• В Referrers добавлен вывод начального символа "/";
• Реализация RegExp(RegExp object, flags) приведена в соответствие со стандартом ES6;
• Встроенный шрифт изменён на свободный Twemoji вместо ставшего несвободным EmojiOne;
• Обеспечена синхронная загрузка сохранённого сеанса при запуске;
• В Linux и macOS для отрисовки содержимого теперь применяется графическая библиотека Skia.

1. Главная ссылка к новости
2. OpenNews: Выпуск браузера Pale Moon 27.8.0
3. OpenNews: Выпуск браузера Pale Moon 27.7.0
4. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP
5. OpenNews: Выпуск браузера Pale Moon 27.6.0
6. OpenNews: Выпуск браузера Pale Moon 27.5

В соответствии с мартовским отчетом компании Netcraft nginx используется на 23.76% (год назад 19.55%, два года назад 16.81%) всех активных сайтов, что соответствует второму месту по популярности в данной категории (доля Apache соответствует 43.03%, Google - 7.71%, а Microsoft IIS - 6.75%). Доля nginx среди всех сайтов составляет 23.11% (год назад 19.91%, два года назад 13.23%), среди миллиона самых посещаемых сайтов в мире - 23.76% (год назад 25.64%, два года назад 21.43%). В настоящее время под управлением nginx работает около 409 млн сайтов (год назад 350 млн). По данным W3Techs 38.0% из миллиона самых посещаемых сайтов в мире используют nginx, в апреле прошлого года этот показатель составлял 33.3%, позапрошлого - 29.8%. Доля Apache за год снизилась с 50% до 46.7%, а доля Microsoft IIS с 11.3% до 9.9%. В России nginx используется на 78.9% самых посещаемых сайтов (год назад - 76.9%).

Из ключевых улучшений nginx 1.14.0 отмечается модуль mirror, поддержка протокола TLSv1.3, поддержка HTTP/2 push и модуль с реализацией gRPC-прокси. Наиболее заметные улучшения, добавленные в процессе формирования основной ветки 1.13.x:

• Реализован механизм Server Push для протокола HTTP/2, который предоставляет возможность отправки ресурсов от сервера к клиенту, не дожидаясь их явного запроса (например, подобным образом можно передавать файлы CSS, скрипты и изображения, которые необходимы для отрисовки страницы).Для отправки push-запросов используется уже установленное клиентом сое динение. Т.е. клиент подключается и запрашивает определённую страницу, после этого сервер на основании своих настроек или содержимого переданного клиентом заголовка Link сам инициирует передачу определённых ресурсов через уже установленное соединение HTTP/2, не дожидаясь запроса этих ресурсов от клиента;
• Добавлена поддержка протокола TLSv1.3. Для включения в директиве "ssl_protocols" следует указать параметр "TLSv1.3". Протокол поддерживается только в предстоящей версии OpenSSL 1.1.1;
• Для соединений с бэкендами разрешено повторное согласование SSL-соединения;
• Новые модули:
  • ngx_http_grpc_module с реализацией прокси для протокола gRPC, позволяющего организовать работу микросервисов на различных языках программирования, которые взаимодействуют между собой при помощи универсального API. Сетевое взаимодействие в gRPC реализовано поверх протокола HTTP/2 и базируется на применении Protocol Buffers для сериализации данных. Модуль даёт возможность управлять потоками gRPC, выделяя отдельные сервисы и методы. Например, появляется возможность маршрутизировать gRPC по разным бэкендам, в зависимости от запрошенной операции, блокировать или ограничивать интенсивность определённых вызовов, инспектировать трафик gRPC или организовывать балансировку нагрузки;
  • ngx_http_mirror_module, позволяющий зеркалировать поступающие запросы на другие серверы. Клиенту возвращается результат обработки запроса от основного обработчика, а результаты, возвращённые зеркалируемыми бэкендами, игнорируются. При помощи зеркалирования можно достаточно просто организовать работу синхронно обновляемого резервного сервера для таких сайтов, как web-форумы;
• Изменения в директивах:
  • Через параметр proxy_protocol в директиве listen теперь можно включить вторую версию протокола PROXY;
  • В реализацию SSI-директивы "include" добавлена возможность использования параметра "set" для сохранения в переменную содержимого произвольных ответов. Максимальный размер ответа ограничивается значением директивы "subrequest_output_buffer_size";
  • В директиву "log_format" добавлен параметр "escape=none" для отключения экранирования символов при записи в лог;
  • В директиву set_real_ip_from в качестве параметра добавлена возможность указывать имя хоста;
  • Добавлена поддержка использования директив return и error_page для возврата перенаправлений для запросов с HTTP кодом 308;
• Изменения в модулях:
  • В модуле ngx_stream_ssl_preread_module реализована переменная $ssl_preread_alpn_protocols;
  • В модуле ngx_http_headers реализована директива "add_trailer", через которую можно определить дополнительное поле, которое будет добавлено в конец ответа, если код ответа равен 200, 201, 206, 301, 302, 303, 307 или 308;
  • В модулях mail_proxy и stream в директиве "listen" появились поддержка параметров "rcvbuf" и "sndbuf", позволяющих настроить размер буфера приёма (параметр SO_RCVBUF) и передачи (параметр SO_SNDBUF);
• Разное:
  • Представлена переменная $ssl_client_escaped_cert, в которой сохраняется SSL-сертификат в экранированном однострочном представлении URL-encoded, что позволяет сразу использовать данный сертификат в параметрах HTTP-запросов и в заголовках;
  • Улучшено определение размера кэша процессора;
  • Внесены исправления в обработку дат до 1970 года и после 10000 года;
  • Улучшена поддержка платформы Windows: налажена работа чистки кэша в соответствии с лимитом, заданным через параметр "max_size", решены проблемы с выделением разделяемой памяти, обеспечена работа директивы "ssl_session_ticket_key" и параметра "include" директивы "geo";
  • При отражении в логе сигналов в лог теперь записывается и PID процесса, отправившего сигнал.

1. Главная ссылка к новости
2. OpenNews: Первый стабильный релиз сервера приложений NGINX Unit
3. OpenNews: Релиз HTTP-сервера nginx 1.12.0
4. OpenNews: Увидел свет HTTP-сервер nginx 1.10.0
5. OpenNews: В nginx реализована поддержка gRPC
6. OpenNews: Выпуск nginx 1.13.9 c поддержкой технологии HTTP/2 Server Push

Платформа Azure Sphere примечательна использованием кастомизированного ядра Linux, что компания Microsoft объяснила урезанием аппаратных ресурсов для повышения энергоэффективности, которых недостаточно для использования ОС Windows IoT. Следует отметить, что это не первый продукт Microsoft на базе ядра Linux, например, ядро Linux также используется в операционной системе Azure Cloud Switch (ACS), предназначенной для сетевых коммутаторов.

Для стимулирования формирования экосистемы Microsoft запустила программу бесплатного лицензирования чипов. По мнению Microsoft, использование открытого ядра в Azure Sphere станет дополнительным плюсом для привлечения производителей оборудования к производству совместимых с Azure Sphere устройств.

Интересной особенностью платформы является применение аппаратной подсистемы Pluton для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций. Pluton включает в себя отдельный специализированный процессор, криптографический движок, аппаратный генератор случайных чисел и изолированное хранилище ключей.

Компания MediaTek уже выпустил чип MT3620, соответствующий требованиям спецификации платформы Azure Sphere. MT3620 построен на базе одноядерного ARM Cortex-A7 (500MHz), двух сопроцессоров ARM Cortex-M4, WiFi, ADC, GPIO, I2C, I2S, PWM, SPI, UART.

1. Главная ссылка к новости
2. OpenNews: Компания Microsoft открыла код Linux-системы для сетевых коммутаторов
3. OpenNews: Компания Microsoft продемонстрировала собственный Linux-дистрибутив для коммутаторов
4. OpenNews: FreeRTOS перешёл под крыло Amazon и выпущен под лицензией MIT
5. OpenNews: Компания Mozilla представила шлюз для интернета вещей
6. OpenNews: OpenBMC, стек для создания BMC-прошивок, перешёл под крыло Linux Foundation

21 февраля 2019 года состоится мягкая заморозка пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов.

12 марта 2019 года будет применена полная заморозка перед релизом, при которой процесс переноса пакетов из unstable в testing будет полностью остановлен и начнётся этап интенсивного тестирования и исправления блокирующих релиз проблем.

Также объявлено кодовое имя для релиза Debian 12. По традиции, в именах использованы имена героев мультфильма "История Игрушек" (Toy Story). В то время, как Debian 11 получил название "Bullseye", Debian 12 присвоено имя "Bookworm".

1. Главная ссылка к новости
2. OpenNews: В Debian добавлена поддержка 64-разрядной архитектуры RISC-V
3. OpenNews: Выпуск Debian 9.4
4. OpenNews: Второй альфа-выпуск инсталлятора Debian 10 "Buster"
5. OpenNews: Началось альфа-тестирование инсталлятора Debian 10 "Buster"
6. OpenNews: Для 94% пакетов Debian обеспечена возможность повторяемой сборки

Проект по созданию открытого загрузчика для SoC MediaTek MT6735P возник из-за поставки многих смартфонов на базе данного SoC с проприетарным загрузчиком, который не позволяет запустить на устройстве произвольное ядро. При этом в качестве основы для загрузчика использован открытый проект LK (Little Kernel), распространяемый под лицензией MIT, допускающей создание закрытых производных продуктов, чем и пользуются производители оборудования.

Имеется возможность бинарно пропатчить загрузчик и перезаписать изменённую версию через SP Flash Tool, но это грязный хак, который не решает сути проблемы. В качестве выхода разработчики postmarketOS решили самостоятельно портировать LK на SoC MediaTek MT6735P и подготовить свой вариант загрузчика, уже полностью открытого. Постепенно планируется добавлять в порт поддержку других моделей SoC MediaTek, что позволит охватить достаточно большой класс смартфонов, в которых используются чипы MediaTek, например, hTC, Huawei, Lenovo, LG, Moto, Sony.

Второй проект сосредоточен на разработке прошивки для беспроводных модемов (baseband-процессоров), используемых для передачи и приёма информации в сетях сотовой связи. Необходимость создания подобной прошивки обусловлена тем, что несмотря на то, что baseband-процессор является независимым звеном и отделён от CPU, обслуживающего основное системное окружение, контроль за данным компонентом позволяет полностью контролировать и основное окружение. Т.е. невозможно построить полностью защищённую и учитывающую требования конфиденциальности систему при наличии проприетарного baseband-процессора.

Как вариант решения проблемы проекты Librem 5 и Neo900 реализуют возможность дополнительной изоляции baseband-процессора или создание переключателя, физически разрывающего цепи, но для postmarketOS такие методы кажутся неприемлемыми. Вместо этого, разработчики postmarketOS намерены создать свою открытую прошивку, портировав для применяемого в SoC MT6260 baseband-процессора Fernvale наработки проекта OsmocomBB, создающего полностью открытый GSM-стек и прошивку GSM-модуля. Некоторые энтузиасты уже занимаются портированием OsmocomBB для Fernvale, для которого также развивается открытая исследовательская ОС Fernly и доступен порт открытой RTOS NuttX.

1. Главная ссылка к новости
2. OpenNews: Представлен postmarketOS, дистрибутив Linux для устаревших смартфонов
3. OpenNews: Проект OsmocomBB на пути к созданию полностью открытого мобильного телефона
4. OpenNews: Продемонстрирована базовая станция GSM на базе свободного ПО и бюджетного телефона
5. OpenNews: Представлена атака, использующая уязвимость в 4G-чипе смартфонов Huawei
6. OpenNews: Успешно собраны средства на производство свободного смартфона Librem 5

Проблема затрагивает только ключи, сгенерированные при помощи JavaScript-приложений, в которых применяется старая версия библиотеки jsbn, выпущенная до 2013 года. Например, проблема зафиксирована в выпусках приложения BitAddress до 2013 года и bitcoinjs до 2014 года. Важно отметить, что в сети в JavaScript-реализациях криптовалют и в web-сервисах до сих пор встречается уязвимый старый код, например, при запросе jsbn на первом месте в выдаче Google выдаётся ссылка на форк репозитория jsbn на GitHub, который был ответвлён 7 лет назад (автор данного форка несколько дней назад удалил его).

Суть проблемы в том, что до появления Web Crypto API класс SecureRandom() пытался собрать энтропию при помощи API window.crypto (nsIDOMCrypto), предоставляющего доступ к CSPRNG, но из-за опечатки в функции сравнения версии браузера создавалась ситуация, при которой библиотека пыталась обратиться к window.crypto.random в браузере без его поддержки и без вывода ошибки откатывалась на использование ненадёжного математического генератора псевдослучайных чисел math.Random, который способен обеспечить всего 48 бит энтропии (в реальных конфигурациях выдаёт заметно меньше).

Трудоёмкость воссоздания закрытого ключа методом прямого перебора (brute force) для уязвимых ключей, созданных при уровне энтропии 48 бит, оценивается при наличии достаточно большой вычислительной мощности примерно в одну неделю работы. Поэтому всем пользователям, использующим подверженные уязвимости адреса криптовалют, рекомендуется перенести с них средства на новые адреса, созданные с использованием качественного генератора случайных чисел. Кроме того, ключ, созданный в программах на базе jsbn, даже при использовании CSPRNG не может считаться надёжным, так как SecureRandom() прогоняет выход через ненадёжный алгоритм RC4, который приводит к появлению коррелирующих смещений (biases).

1. Главная ссылка к новости
2. OpenNews: Криптовалюта Monero не настолько защищена от отслеживания, как предполагалось
3. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
4. OpenNews: Ошибка в реализации криптовалюты Zcoin позволяла повторно тратить средства
5. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG
6. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt