Скрыть

16 марта случился долгожданный релиз Python 3.4. С чем и поздравляю всех любителей нашего с вами Питона. Изменений и улучшений много, есть даже "долгожданные":

•  PEP 428: новый модуль «pathlib», обеспечивающий объектно-ориентированный интерфейс доступа к файловой системе;
•  PEP 435: стандартизирован модуль «enum»;
•  PEP 436: улучшена система сборки, добавлена возможность генерации информации самоанализа для встроенных компонентов;
•  PEP 442: улучшена семантика для финализации объектов;
•  PEP 443: добавлены общие функции одиночной диспетчеризации в стандартную библиотеку;
•  PEP 445: новый C API для создания собственных методов распределения памяти;
•  PEP 446: по умолчанию дочерние подпроцессы более не наследуют файловые дескрипторы;
•  PEP 450: новый модуль «statistics», добавляющий функции математической статистики;
•  PEP 451: стандартизирован тип «ModuleSpec», предоставляющий метаданный системе импорта модулей;
•  PEP 453: в дистрибутив добавлен установщик менеджера пакетов pip;
•  PEP 454: добавлен модуль «tracemalloc», обеспечивающий трассировку распределения памяти;
•  PEP 456: добавлен новый алгоритм хеширования для строковых и двоичных данных;
•  PEP 3154: реализован новый улучшенный протокол Pickle version 4 для модуля «pickle»;
•  PEP 3156: добавлен модуль «asyncio», представляющий из себя фреймворк для асинхронного ввода/вывода.

Особенно порадовало включение: PEP 453 (Дождались))) и PEP 3156 (Лопата для закапывания Tornado)))

>>> Подробнее

Скрыть

Компания Epic Games представила игровой движок Unreal Engine 4, примечательный полной доступностью исходных текстов для сторонних разработчиков. Код движка обещают разместить на GitHub и обеспечить возможность совместного участия в разработке. При этом кардинально изменена бизнес модель распространения движка - за 18 долларов в месяц предоставляется полный доступ ко всем компонентам продукта, включая среду Unreal Editor, примеры контента, шаблоны готовых игр и полные исходные тексты движка, написанного на языке C++.

Код движка может использоваться в любых коммерческих проектах, но с разработчиков данных проектов взимаются отчисления в размере 5% от дохода, полученного от продажи игры пользователям. Сбор отчислений с доходов от продажи делает движок Unreal Engine 4 интересным решением не только для крупных игровых проектов, но и для небольших стартапов и авторов бесплатных игр.

>>> Подробнее

Скрыть

В ядре Linux исправлена опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP. При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.

Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL, SuSE, Debian, Ubuntu.

В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:

bash

iptables -t raw -I PREROUTING -p dccp -j NOTRACK
iptables -t raw -I OUTPUT -p dccp -j NOTRACK
 

>>> Подробнее

Скрыть

Новость, в принципе, посвящена не столько безопасности (хотя и этому также), сколько очередной наглядной демонстрации тенденций современного Интернета в частности и коммуникации между людьми в целом.

После 12 лет существования объявлено о закрытии списка рассылки full-disclosure, используемого для публикации информации о новых уязвимостях и их обсуждения. Кроме анонсов исправленных уязвимостей, список рассылки также был использован в качестве площадки для раскрытия данных о некоторых крупных 0-day уязвимостях.

В качестве причины закрытия списка рассылки называется потеря веры в сообщество и отсутствие желания по дальнейшему поддержанию ресурса, в условиях требований по удалению той или иной информации от лиц, не заинтересованных в её публичной доступности. Подобные запросы от компаний рассматривались как нечто неизбежное, но появление подобных требований от представителей сообщества разуверило создателей рассылки в необходимость продолжения её существования. Кроме того, упоминается груз в виде постоянного троллинга, публикации заявлений о мнимых достижениях, поддельных эксплоитов, а также общего падения проявления профессионализма, среди участников рассылки. В итоге, делается неутешительный вывод о невозможности поддержания открытой площадки для обсуждений в условиях сегодняшнего правового климата и усиления давления по регулированию тематики, связанной с компьютерной безопасностью.

>>> Подробнее

Скрыть

Компания ESET подготовила 69-страничный отчёт (PDF, 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.

После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых извне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра или модифицировались исполняемые файлы http-серверов Apache, lighttpd или nginx для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. На DNS-серверах зафиксировано использование модуля для подмены результатов резолвинга для определённых доменов без изменения конфигурации сервера.

Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, компоненты атаки на http серверы использовались для Linux, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.



Сообщается, что нашумевшие взломы cPanel, kernel.org и серверов Linux Foundation были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G", если будет выведено сообщение о недоступности иди некорректности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.

>>> Подробнее

Скрыть

Проект LxImage-Qt (LxQt), развиваемый в рамках инициативы по переводу десктоп-окружения LXDE на технологии Qt, достиг состояния полной функциональности и готовности к использованию. LxQt позиционируется как простой и быстрый просморщик изображений, потребляющий минимальные системные ресурсы. В последнее время в LxQt реализованы такие возможности, как вывод на печать, нижняя панель с предпросмотром миниатюр, встроенные средства для создания скриншотов, режим показа слайд-шоу, улучшенная поддержка полноэкранного просмотра, улучшенная система настройки, диалог для просмотра свойств файлов.

>>> Подробнее

Скрыть

Компания Crytek анонсировала Linux-порт популярного игрового движка CryEngine, на основе которого построены такие игры, как Crysis, Far Cry, Warface и Ryse: Son of Rome. На следующей неделе в рамках конференции Game Developers Conference будет продемонстрирована новая версия движка CryEngine, которая кроме нативной поддержки платформы Linux, также будет включать принципиальной новую систему рендеринга, использующую метод шейдинга на основе физических процессов (Physically Based Shading), позволяющий добиться более реалистичного отображения материалов и освещения.

>>> Подробнее

Скрыть

Официальный учебный курс «Введение в Linux» от Linux Foundation, который ранее стоил 2400 долларов, будет доступен бесплатно на платформе онлайн-обучения EdX. Записаться на курс можно уже сейчас. Платформа массового онлайн-обучения EdX была создана Массачусетским технологическим институтом совместно с Гарвардским университетом. На ней представлены уже больше 30 университетов. Теперь и Linux Foundation станет официальным партнёром EdX. Курсу присвоен код LFS101x. Он рассчитан на 40 — 60 часов обучения. Занятия начнутся в 3-м квартале 2014 года.

Если первый опыт будет успешным, Linux Foundation собирается опубликовать и другие, более продвинутые курсы. По данным доклада о состоянии рынка труда Linux на 2014 год, нужда в специалистах по этой ОС быстро растёт — Linux сегодня работает буквально везде — от суперкомпьютеров до бытовых приборов, и уже доминирует на мобильном рынке за счёт Android. По словам Дженнифер Клоер, директора Linux Foundation по связям с общественностью, за первые сутки после открытия регистрации на курс записались уже 2 500 человек.

>>> Подробнее

Скрыть

Подведены итоги начатого две недели назад голосования членов технического комитета Debian по вопросу поддержки нескольких систем инициализации в данном дистрибутиве.

Как и ожидалось, мнения разделились поровну: сторонники upstart выступили за введение требований по поддержке нескольких систем инициализации, в то время как голосовавшие за systemd считали, что комитет не готов вынести решение по этому вопросу в настоящее время. Как и в предыдущем голосовании, для разрешения конфликта председатель комитета Бидейл Гарби воспользовался правом решающего голоса, в пользу варианта «в настоящий момент комитет не готов вынести решение по данному вопросу».

В своем комментарии, подводя итог дискуссии, Бидейл пояснил, что полностью поддерживает возможность использования нескольких систем инициализации в дистрибутиве Debian, однако считает, что принудительное навязывание рядовым сопровождающим пакетов дополнительных требований, серьезно осложняющих их работу — далеко не лучший способ достижения этой цели. Приятие комитетом требований по одновременной поддержке нескольких систем инициализации повлечет значительное возрастание нагрузки на сопровождающих. Люди, заинтересованные в поддержке альтернативных систем инициализации, должны сами заниматься работой по их интеграции в дистрибутив, а не перекладывать ее на плечи рядовых разработчиков.

Также Бидейл отметил, что лично он рекомендовал бы разработчикам сохранить поддержку sysvinit как альтернативной системы инициализации в следующем выпуске Debian, но навязывание этого в качестве требования считает излишним. По его мнению, сопровождающие пакетов являются грамотными людьми, и способны самостоятельно сделать выбор о целесообразности такой поддержки.

>>> Подробнее

Скрыть

Славное и малозаметное событие выпуска среды рабочего стола, разработкой которой занимались такие компании как Sun, HP, IBM, DEC, SCO, Fujitsu и Hitachi, теперь и обычные граждане, произошло 2 марта 2014 г.

Список изменений:

•   Исправлена ошибка с обрезкой шрифтов в заголовке;
•   Исправлены падения dtwm и dtprintinfo при использовании локали UTF-8;
•   Так же исправлены падения, а также множество ошибок в: dtinfo, dtscreen, dtfile, dticon, dtstyle, dtexec;
•   Добавлена локаль en_US.UTF-8;
•   Добавлен перевод на греческий файла dtwm.mgg;
•   dtlogin: используется путь до getty свойственный системе и /usr/local/bin для пути в Linux. Добавлена опция -quiet;
•   Исправления для xorg-xkb, когда после смены языка ввода происходила «заморозка» dtwm;
•   admin: добавлен каталог BuildNotes для документирования процедур выпуска и т.п.;
•   Исправлены множество предупреждений в DtSvc, lib/DtTerm, DtPrint, lib/DtHelp;
•   Исправлено жёсткое указание в коде /usr/dt в print.dt, Xreset.src, error.ds.src, dtlp;
•   Добавлена документация для dtinfo;
•   Исправления в файлах сообщений;
•   Исправлены проблемы с UTF8 на не-Linux системах;
•   Начальная поддержка BSDArchitecture;
•   Порт на NetBSD;
•   dtksh теперь собирается на OpenBSD/powerpc;
•   Не устанавливаются «мягкие» ссылки на библиотеки в OpenBSD (default install);
•   Исправлена сборка dtcm на OpenBSD-current.

http://sourceforge.net/p/cdesktopenv/mailman/message/32043063/

>>> Подробнее