#  Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-16

В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения для любого публичного репозитория, использующего Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55812
#  Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-16

Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55809
#  Релиз открытой биллинговой системы ABillS 0.91
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-16

Доступен релиз открытой биллинговой системы ABillS 0.91, компоненты которой поставляются под лицензией GPLv2.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55808
#  В Нижнем Новгороде состоится конференция по PostgreSQL
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-16

30 сентября в Нижнем Новгороде пройдёт PGConf.NN - бесплатная техническая конференция по СУБД PostgreSQL. Организаторы - компания Postgres Professional и ассоциация IT-компаний iCluster. Начало докладов - в 14:30. Место проведения - технопарк "Анкудиновка" (ул. Академика Сахарова, д. 4). Требуется предварительная регистрация.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55807
#  Анонс next-релиза Funtoo
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-16

Дэниел Роббинс (Daniel Robbins) анонсировал next-релиз дистрибутива Funtoo, отличительной особенностью которого будет регулярное обновление пакетов до последних версий. Сейчас next-релиз основан на GCC 11.2.0 и обновленном унифицированном binutils: binutils и binutils-libs были объединены, а binutils-config удалён. Идея next-релиза состоит в автоматической генерирации ebuild, которых планируется добавлять всё больше и больше. Как следствие, должна получиться система со всегда полностью обновлённой пакетной базой. Как следует из анонса, скорее всего, next будет ломаться при использовании, особенно если вам понадобится что-то сложнее базовой системы, например GNOME, KDE, Cinnamon, MATE. Но по крайней мере сейчас есть работающий stage3 в качестве отправной точки. Так как Funtoo существует благодаря поддержке пользователей, Дэниел призывает пользователей активно участвовать в определении кандидатов для добавления в stage3 автогенерируемых ебилдов. Для этого достаточно будет открыть «баг» на трекере проекта [ https://bugs.funtoo.org ]( https://bugs.funtoo.org ) , с описанием того какой пакет и почему должен обновляться автоматически. Заканчивается анонс оптимистичным: Thanks in advance for your involvement with next-release. This will be fun! Для тех, кто решиться попробовать, есть два варианта. Первый — установить новую систему из stage3. Сейчас доступна только сборка для generic_64: [ https://build.funtoo.org/next/x86-64bit/generic_64/ ]( https://build.funtoo.org/next/x86-64bit/generic_64/ ) Второй вариант — конвертировать в next текущую установку: обновить @world и системные утилиты portage и ego; добавить release = next в раздел [global] файла конфигурации /etc/ego.conf; синхронизировать мета-репо ego sync; запустить преобразование epro build next; ещё раз обновить @world. При этом гарантировано что-то сломается, поэтому не стоит это делать на рабочем окружении. Напоследок — напоминание от разработчиков: ALSO PLEASE NOTE: We reserve the right to break or make disruptive changes in next-release AT ANY TIME! >>> [ Install Guide: Introduction ]( https://www.funtoo.org/Install/Introduction ) >>> [ Download ]( https://www.funtoo.org/Subarches ) >>> [ FAQ ]( https://www.funtoo.org/FAQ )
Ссылка: https://www.linux.org.ru/news/gentoo/16535186
#  PGConf.NN -- конференция по PostgreSQL в Нижнем Новгороде
Новостной_робот (mira, 1) → All  –  16:00:01 2021-09-16

30 сентября в Нижнем Новгороде пройдёт PGConf.NN - бесплатная техническая конференция по СУБД PostgreSQL. Организаторы — компания Postgres Professional и ассоциация IT-компаний iCluster. Начало докладов — в 14:30. Место проведения — технопарк «Анкудиновка» (ул. Академика Сахарова, д. 4). Доклады: «JSON or not JSON» — Олег Бартунов, генеральный директор Postgres Professional; «Обзор возможностей резервного копирования в PostgreSQL и Postgres Pro» — Иван Фролков, ведущий инженер Postgres Professional; «SQL vs NoSQL» — Дмитрий Адмакин, руководитель отдела разработки БАРС Груп. Регистрация на мероприятие открыта на сайте PGConf: [ https://pgconf.ru/202109 ]( https://pgconf.ru/202109 )
Ссылка: https://www.linux.org.ru/news/conference/16536075
#  Mozilla представила Firefox Suggest и новый интерфейс браузера Firefox Focus
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-15

Компания Mozilla представила новую систему рекомендаций Firefox Suggest, выводящую дополнительные предложения во время ввода в адресной строке. От рекомендаций на основе локальных данных и обращения к поисковой системе, новая функция отличается возможностью предоставления информации от сторонних партнёров, которыми могут выступать как некоммерческие проекты, такие как Wikipedia, так и платные спонсоры.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55805
#  Рабочий стол Budgie переходит с GTK на библиотеки EFL от проекта Enlightenment
Новостной_робот (mira, 1) → All  –  16:00:02 2021-09-15

Разработчики десктоп окружения Budgie приняли решение уйти от использования библиотеки GTK в пользу библиотек EFL (Enlightenment Foundation Library), развиваемых проектом Enlightenment. Результаты миграции будут предложены в выпуске Budgie 11. Примечательно , что это не первая попытка ухода от использования GTK - в 2017 году проект уже принимал решение о переходе на Qt, но позднее пересмотрел планы, в надежде, что в GTK4 ситуация изменится.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55804
#  Выпуск Java SE 17
Новостной_робот (mira, 1) → All  –  16:00:02 2021-09-15

После шести месяцев разработки компания Oracle выпустила платформу Java SE 17 (Java Platform, Standard Edition 17), в качестве эталонной реализации которой используется открытый проект OpenJDK. За исключением удаления некоторых устаревших возможностей в Java SE 17 сохранена обратная совместимость с прошлыми выпусками платформы Java - большинство ранее написанных Java-проектов без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 17 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64, AArch64), Windows (x86_64) и macOS (x86_64, AArch64). Разработанная в рамках проекта OpenJDK эталонная реализация Java 17 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими динамическое связывание с коммерческими продуктами.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55802
#  Solus отказывается от GTK
Новостной_робот (mira, 1) → All  –  02:00:02 2021-09-15

Один из лидеров проекта Solus Linux, Джошуа Стробл (Joshua Strobl), объявил о намерении отказаться от GTK при разработке как будущих версий Budgie, так и всей экосистемы приложений в Solus. В своем блоге он высказал ряд упреков в адрес текущего состояния и планов развития GTK, а также философии разработки GNOME. По его словам, повсеместное насаждение Adwaita как единственно верной темы рабочего стола и попутное удаление части API для разного рода кастомизации добавило головной боли разработчикам, поддерживающим стек GNOME в дистрибутивах или интегрирующим в него свои приложения. Все предлагаемые варианты настройки внешнего вида приложений на базе GTK и сопутствующих библиотек отклоняются, а участники команды GNOME нагло грубят в ответ в тикетах и соцсетях. Жалуется Джошуа и на то, что выпущенный чуть менее года назад GTK4 немного усложнил код для работы с виджетами, запретив прямое наследование. Но гораздо более важной проблемой ему видится упразднение API X11, в частности для получения конфигурации подключенных мониторов. Двигаясь в сторону полной поддержки Wayland, GNOME удалил функции опроса X-сервера, поручая разработчику писать собственные интерфейсы для обращения напрямую к X11 (либо к API других ОС, если приложение оказалось кроссплатформенным). В то время как рабочая функциональность вырезается, многие известные баги в GNOME не исправляются месяцами и годами (в частности, автор приводит в пример баги с прокруткой в GtkListView и с переключением на другое окно при открытом выпающем списке в GtkPopover). При этом Джошуа описывает это в разрезе собственного опыта написания с использованием GTK своего аудио-плеера Koto. Релиз GTK4 не оправдал ожидания авторов Solus, надеявшихся на ряд обещаемых изменений в libhandy, которые в итоге так и не были добавлены. А дорожная карта к GTK5 предрекает еще большее закручивание гаек в части кастомизации и общий регресс как в UX, так и для использования библиотки в сторонних приложениях. Джошуа прямым текстом утверждает, что использование в разработке GTK4 и выше — это выстрел себе в ногу. По итогам этих размышлений лидеры проекта Solus приняли решение отказаться от использования GTK в Budgie и в целом минимизировать присутствие GNOME в своем пользовательском окружении, перейдя к выбору одного из следующих GUI-тулкитов: [ EFL ]( https://www.enlightenment.org/docs/start ) (библиотека в основе Enlightment Desktop); [ Qt ]( https://www.qt.io/ ) ; [ iced ]( https://github.com/iced-rs/iced ) (кросс-платформенная GUI-библиотека для Rust). В случае Qt разработчикам Solus не хочется писать код на C++, и к тому же смущает коммерческая лицензия Qt и неприятный осадочек. iced находится в ранней стадии разработки и многие полезные вещи придется писать с нуля, а ресурсов для этого нет. Остается EFL, который в итоге и был выбран. Постепенно планируется написать на EFL свои виджеты, а затем и основные десктопные приложения, либо адаптировать существующие, по возможности не связанные с GNOME. Что касается дистрибутива, то версия с GNOME будет собираться в отдельный образ, и ей будет уделен минимум внимания, не выходя за пределы обеспечения базовой работоспособности. В Budgie 11 не будет никаких зависимостей от GTK.
Ссылка: https://www.linux.org.ru/news/opensource/16532954
#  Links 2.24
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-14

13 сентября состоялся релиз Links 2.24. Links — текстово-графический консольный браузер (есть поддержка работы с X11), один из наиболее продвинутых консольных браузеров. Создан в 1999 году, с тех пор активно развивается. Браузер успел пережить несколько форков, основные — Elinks (примечателен поддержкой Lua-скриптов, предположительно заброшен) и Hacked-Links (объединял функции Elinks и недоработанной тогда ветки Links2). Основные возможности — те же, что у [ предыдущей версии ]( https://www.linux.org.ru/news/internet/16521805 ) . JavaScript не поддерживается с 2007 года, но разработчиками была оставлена возможность сборки с ключом --enable-javascript путём копирования файлов из ранних версий. В новой версии: исправлены некоторые ошибки при работе с X-сервером, а так же ошибки в операционных системах OS/2 и Minix 3; обновлён турецкий перевод; добавлена поддержка атрибута id для тегов COLGROUP, COL, TR, THEAD, TBODY, TFOOT. >>> [ Скачать ]( http://links.twibright.com/download.php ) >>> [ Статус в репозиториях ]( https://repology.org/project/links/versions )
Ссылка: https://www.linux.org.ru/news/internet/16532671
#  Предложение Ростелекома об ограничении доступа к DNS-серверам Google, Cloudflare и сервиса DoH
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-14

«Ростелеком» предлагает установить запрет на использование публичных DNS-серверов Google (с IP-адресами 8.8.8.8 и 8.8.4.4) и Cloudflare (1.1.1.1 и 1.0.0.1), а также на протокол DoH. Вместо указанных серверов и DoH предлагается использовать DNS-серверы под собственным управлением или IP-адреса Национальной системы доменных имен. Представитель пресс-службы «Ростелекома», отвечая на вопрос о причинах инициативы, сообщил, что «речь идет о технологических работах, направленных на повышение надежности и оптимизации работы сетей связи».Текст некоего письма «Ростелекома» с данным предложением предназначавшийся неизвестному адресату был выложен в телеграм-канал «ЗаТелеком». Причём РИА публикует информацию о том, что в пресс-службе «Ростелеком» подтвердили подлинность данного внутреннего документа.Официальные публикации новости в [ ведомостях ]( https://www.vedomosti.ru/media/news/2021/09/14/886540-rostelekom-predlozhil-zapretit-dostup-k-publichnim-serveram-google/ ) , а также в [ РИА ]( https://ria.ru/20210914/dns-servery-1749983700.html ) .
Ссылка: https://www.linux.org.ru/news/internet/16531862
#  Множественные уязвимости реализации E2E шифрования в некоторых клиентах Matrix
Новостной_робот (mira, 1) → All  –  21:00:02 2021-09-14

Обнародованы уязвимости [ CVE-2021-40823 ]( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40823 ) и [ CVE-2021-40824 ]( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40824 ) в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования. Уязвимости были найдены в ходе аудита безопасности клиента Element. Уязвимости вызваны логическим ошибками в реализациях механизма предоставления повторного доступа к ключам, предложенных в matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824), matrix-rust-sdk < 0.4.0, FamedlySDK < 0.5.0 и Nheko ≤ 0.8.2. При определенных обстоятельствах можно заставить уязвимых клиентов раскрыть ключи шифрования сообщений, ранее отправленных этим клиентом собеседникам, учётные записи которых впоследствии взломали. ( [ читать дальше... ]( https://www.linux.org.ru/news/security/16532152#cut ) ) Исправленные версии уже доступны, рекомендуется немедленное обновление.
Ссылка: https://www.linux.org.ru/news/security/16532152
#  Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования
Новостной_робот (mira, 1) → All  –  16:00:03 2021-09-14

В большинстве клиентских приложений для платформы децентрализованных коммуникаций Matrix выявлены уязвимости (CVE-2021-40823, CVE-2021-40824), позволяющие получить сведения о ключах, использованных для передачи сообщений в чатах со сквозным шифрованием (E2EE). Атакующий, скомпрометировав одного из пользователей чата, может расшифровать сообщения, ранее отправленные этому пользователю из уязвимых клиентских приложений.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55799
#  В Firefox 94 вывод для X11 будет переведён на использование EGL по умолчанию
Новостной_робот (mira, 1) → All  –  16:00:03 2021-09-14

В ночные сборки, на основе которых будет сформирован выпуск Firefox 94, добавлено изменение, включающее по умолчанию новый бэкенд отрисовки для графических окружений, использующих протокол X11. Новый бэкенд примечателен использованием для вывода графики интерфейса EGL вместо GLX.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55801
#  Обновление Chrome 93.0.4577.82 с устранением 0-day уязвимостей
Новостной_робот (mira, 1) → All  –  16:00:03 2021-09-14

Компания Google сформировала обновление Chrome 93.0.4577.82, в котором исправлены 11 уязвимостей, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-30632) вызвана ошибкой, приводящей к записи за границу буфера в JavaScript-движке V8, а вторая проблема (CVE-2021-30633) присутствует в реализации API Indexed DB и связана с обращением к области памяти после её освобождения (use-after-free).
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=55800
#  Java 17 LTS
Новостной_робот (mira, 1) → All  –  16:00:02 2021-09-14

Состоялся релиз Java 17 с расширеной поддержкой (LTS). Предыдущая версия с расширеной поддержкой, Java 11, вышла в 2018 году. Наиболее примечательным изменением в данной версии является то, что поддержка «запечатаных» (sealed) классов и интерфейсов вышла из стадии предварительного просмотра и признана готовой к использованию. ( [ читать дальше... ]( https://www.linux.org.ru/news/java/16529502#cut ) )
Ссылка: https://www.linux.org.ru/news/java/16529502
#  Thunderbird 91
Новостной_робот (mira, 1) → All  –  16:00:02 2021-09-14

Вышла новая версия популярнейшего клиента электронной почты (и не только) Mozilla Thunderbird. Релизы Thunderbird выходят значительно реже Firefox (предыдущий был 78, вышел более года назад). Из значимых изменений: наконец-то прикрутили родной CardDAV. Теперь TBird стал полноценным GroupDAV-клиентом (теоретически); по умолчанию программа работает как несколько процессов; быстрый поиск теперь работает и при просмотре всех папок (multi-message (thread summary) view); поддерживается PDF.js из коробки; многое другое. Как обычно, починили старые баги и добавили новые. Новая версия TBird уже доступна в Fedora 34.
Ссылка: https://www.linux.org.ru/news/mozilla/16531645