Три исследователя безопасности Google выявили новую ошибку в протоколе SSL 3.0, которая позволяет перехватывать данные (CVE­-2014­-3566). Уязвимость получила название «Poodle».

Poodle — это акроним от английского «Padding Oracle On Downloaded Legacy Encryption» (POODLE), который является отсылкой к тому, что ошибка обнаружена в 18-летнем продукте (SSL 3.0 появился в 1996 году), который до сих пор используется в браузерах. Информация об уязвимости была опубликована во вторник вечером на сайте OpenSSL — в сообществе разработчиков, которые наиболее активно используют шифрование SSL. Циркулирующие в сети на этой неделе слухи, апрельский «Heartbleed» и недавний «Shellshock» подготовили специалистов к быстрому реагированию на новую ошибку. Однако как сообщают эксперты, ошибка намного уступает в критичности предыдущим.

Реализация настоящей угрозы потребует от атакующего привилегированного положения в сети. Только при успешной атаке можно использовать уязвимость, чтобы получить cookies-сессии, что позволит злоумышленнику перехватить контроль над почтой, банковским аккаунтом или профилем социальной сети. Но чтобы этого достичь, в любом случае понадобится организовать атаку вида «человек посередине» (Man in the middle), поместив себя между конечным пользователем и сайтом. Такую атаку можно реализовать, например, с подложной точкой доступа W-iFi в кафе или другом публичном месте. Кроме того, для эксплуатации уязвимости Poodle необходимо, чтобы поддержка SSL3 была включена и на серверной (веб-сервер, почтовый сервер и т.п.), и на клиентской (веб-браузер, почтовый клиент и т.п.) стороне.

Помощник профессора факультета компьютерных наук в Университете Джонса Хопкинса — Мэтью Грин (Matthew Green) — утверждает, что выявленная уязвимость не позволяет просмотреть или получить доступ к большому количеству данных, как это было с «Heartbleed», и не предоставляет удалённого контроля над системой, как в случае с «Shellshock», что и делает «Poodle» гораздо менее значительной уязвимостью. Он также призывает компании и организации отказаться от SSL 3.0 на своих серверах и в браузерах, поскольку для среднестатистических пользователей это создаст трудности.

Конкретные рекомендации по изменению конфигураций популярных Open Source-служб, таких как веб-серверы (nginx, Apache, lighttpd), почтовые серверы (Postfix, Sendmail, Dovecot, Courier), OpenVPN и других, для отключения поддержки SSL3 с целью обезопаситься от уязвимости Poodle можно найти, например, на askubuntu.com.

Сообщество разработчиков KDE сообщило о выходе новой версии современной оболочки рабочего стола — Plasma 5.1. Это первый релиз Plasma в ветке 5.x, который включает новые возможности.

Как и любое другое ПО, новая версия KDE Plasma включает исправления существующих ошибок, улучшения в скорости работы и стабильности приложения. Помимо этого, релиз 5.1 включает новые возможности и реализацию функциональности из четвёртой ветки KDE. Стиль виджетов Breeze, который стал доступен вместе с Plasma 5, портирован и для приложений на Qt 4, а также улучшена поддержка дисплейного сервера Wayland. Оболочка зависит от KDE Frameworks 5.3. Другие изменения в Plasma 5.1:

• добавлено множество пиктограмм в тему оформления;
• добавлен новый модуль в системные параметры;
• включены новый плазмоид буфера обмена и нагрузки системы, добавлены альтернативные переключатели;
• исправлены ошибки прорисовки, улучшена консистентность внешнего вида и доработано руководство по человеческому интерфейсу;
• возвращена возможность установки дополнений (аддонов) при помощи kdeplasma-addons;
• добавлена навигация при помощи клавиатуры в диалоговых окнах завершения работы и блокировки;
• добавлены виджеты: для заметок (как в ветке 4), таймер, Fuzzy Clock; цифровые часы стали поддерживать временные зоны;
• разработчики вернули режим «только иконки» для приложений в панели задач.

Подробный список изменений опубликован на официальном сайте KDE. Также проводится существенная работа по улучшению поддержки Wayland. В новом релизе оконный менеджер «kwin_wayland» дополняет существовавший «kwin_x11» и позволяет запускать вложенный сервер X для выполнения приложений, основанных на X11. Новая библиотека KWayland предоставляет информацию в KInfoCenter и для других систем. Однако команда разработчиков считает, что впереди ещё длинный путь и завершённая реализация будет доступна только в 2015 году.

Организация Mozilla и компания Humble Bundle проводят совместную акцию по распространению игр. В необычном наборе, предложенном в рамках инициативы Humble Mozilla Bundle, доступно 8 различных игр, которые запускаются в веб-браузере без установки плагинов.

Все игры, входящие в набор Humble Mozilla Bundle, были созданы независимыми разработчиками. Эта инициатива связана с работой специалистов Mozilla над технологиями, позволяющими переносить трёхмерные видеоигры в браузер. Причём речь идёт о полноценных высокопроизводительных играх с качественной графикой. В Mozilla уверены, что благодаря наличию прямой ссылки на игру геймеры смогут оценить её перед покупкой, а для разработчиков упростится задача продвижения в социальных сетях.

Все из представленных игр ранее были доступны только на компьютере или мобильных операционных системах. Сейчас игры независимых разработчиков вроде «Democracy 3», «FTL» или «AaaaaAAaaaAAAaaAAAAaAAAAA!!! for the Awesome» доступны в вебе. Портированию игр активно помогала сама Mozilla — для переноса был задействован движок asm.js, разрабатываемый в Mozilla в противовес Google Native Client. Благодаря этому все игры доступны в любом современном веб-браузере без установки дополнительных компонентов.

Набор Humble Mozilla Bundle будет доступен в течение двух недель. Цену, как и распределение пожертвованных средств, назначает сам покупатель. Демо-версия одной из игр доступна прямо на сайте, где также можно ознакомиться с другими играми и приобрести весь набор.

Швейцарская компания Wilhelm Tux, продвигающая решения на основе свободного программного обеспечения, планирует собрать средства на включение электронной подписи в PDF непосредственно из офисного пакета LibreOffice.

Многие контракты подписываются в Европе вручную, хотя цифровая подпись имеет юридическую силу. Инструменты, которые позволяют использовать цифровую подпись, зачастую громоздки, ограничены или просто дороги. Однако цифровая подпись является необходимой не только для отправки электронных документов, но для ведения архива в электронном виде.

На сегодняшний день, LibreOffice может создавать электронную подпись в ODF-документах, но, например, в PDF-файлах эта возможность отсутствует. Вернее, есть экспериментальная возможность, которую нужно явно включить в Параметрах, но эта возможность была разработана на Google Summer of Code и не была доведена до производственного качества.

После обсуждения с разработчиками LibreOffice, Wilhelm Tux выбрала компанию Collabora в качестве надёжного партнёра для осуществления этой миссии. Collabora может совершать разработку по поручению клиентов, а код, разработанный компанией, должен быть возвращён в LibreOffice под свободной лицензией. Таким образом, созданные в рамках этой инициативы возможности по включению цифровой подписи в PDF-документы из LibreOffice останутся свободными.

На первом этапе Wilhelm Tux постарается собрать средства. Всего планируется собрать 8000 евро (10000 франков). В компании считают, что это не очень большая сумма, но дело способно принести пользу всему миру. На сегодняшний день собрано 9223 франка.

Три дня назад компания Google заявила о прекращение поддержки файловых систем ext2, ext3 и ext4 на внешних накопителях в своей операционной системе ChromeOS. Благодаря волне критики сообщества поддержку обещают вернуть.

По некоторым данным, в компании искали возможности отказаться от поддержки файловых систем семейства Ext в течение последнего года. Однако решиться на этот шаг создатели ОС смогли только сейчас, и в качестве реакции Google получила волну возмущения от пользователей Linux-систем. Учитывая, что в основе ChromeOS лежит ядро Linux и файловая система ext4, решение об отказе поддержки выглядит не совсем логичным. В качестве аргументов в Google заявили о низком распространении этих ФС на внешних устройствах и ошибке, связанной с переименованием томов Ext при смене устройства. Поддержка FAT и NTFS остаётся.

После того, как Google объявили о своих планах, в сети поднялась большая волна критики. Некоторые владельцы устройств выразили недоумение. Например, пользователь с ником oneofone написал: «Это что, какая-то шутка? Вы строите ОС на базе Linux и удаляете поддержку файловой системы Linux?». В результате множества обращений от пользователей Бен Чен (Ben Chan) из Google заявил: «Спасибо за обратную связь. Мы услышали вас громко и отчётливо. Мы планируем вернуть поддержку ext2/3/4 немедленно».

Новая организация — Open Source Software for South Africa (OSSSA) — планирует развивать свободное программное обеспечение в государственных учреждениях и компаниях Южной Африки.

Чарль Бота (Charl Botha) является основателем новой организации OSSSA, которая займётся распространением свободного ПО в Южной Африке. Сам Чарль комментирует создание OSSSA следующим образом: «Неиспользованием свободного ПО в Южной Африке вредно как для экономики, так и для повышения навыков». Чарль Бота является специалистом в области компьютерных наук. Он планирует создать платформу, с помощью которой можно будет объединять ресурсы других свободных инициатив. Он считает, что правительство должно стандартизировать свободное ПО.

OSSSA запущена на прошлой неделе и состоит из энтузиастов, организаций и группы пользователей Open Source User Group of South Africa. Бота говорит о том, что государство тратит миллионы рандов (валюта ЮАР и ближайших стран) на программы вроде Windows, Office и Sharepoint, в то время как все они имеют Open Source-аналоги. «Если бы мы воспользовались свободными решениями, то смогли бы направить часть этих денег в местную экономику на обучение и поддержку».

Бота называет и другие преимущества от использования СПО. Однако, как показала практика, предыдущие попытки решить задачу использования свободных программных продуктов в Южной Африке ничем не закончились. На это Чарль Бота отвечает, что время для СПО в Южной Африке пришло только сейчас.

По сообщению компании Microsoft, в следующей версии Windows Server будет добавлена поддержка контейнеров, которая является реализацией свободного Docker Engine.

Docker — это способ упаковки приложений в изолированный и стандартизированный комплект; он позволяет запускать множество таких упакованных приложений на одном сервере. Стандартизация означает, что образ приложения можно перемещать между серверами или с компьютера разработчика на сервер без настройки конфигурации целевой машины и установки зависимостей приложения. По схожему принципу работают виртуальные машины, однако они более тяжеловесные, т.к. загружают операционную систему целиком, в то время как контейнерные приложения легче и быстро запускаются.

Docker разрабатывался под GNU/Linux и хорошо сочетается с современными тенденциями: непрерывная доставка — когда время между внесением правок и развёртыванием приложений сводится к минимуму; микросервисы — программы, состоящие из множества небольших сервисов с узкой направленностью; и DevOps — комплексное развитие и эксплуатация приложений. Компания Microsoft не намерена упускать новые технологии из вида и уже поддерживает Docker на Linux в облаках Azure.

Сейчас компания объявила о внедрении в Windows Server движка Docker Engine — что обеспечивает поддержку API и позволяет управлять приложениями и в Windows, и в Linux при помощи инструментов Docker. А также добавляет возможность быстрого развёртывания образов приложений Docker прямо из портала Azure благодаря интеграции с официальным репозиторием Docker Hub. Эта поддержка получила название Windows Server Containers. Эта технология также будет работать с приложениями, построенными при помощи .NET и другими технологиями компании.

Вчера компания Google анонсировала новую версию своей популярной мобильной операционной системы Android, созданной на базе ядра Linux. Релиз получил название «Lollipop» (леденец на палочке) и является пятым по счёту крупным релизом.

Ранее эта версия ОС имела кодовое название Android L и была представлена в июне на мероприятии Google I/O. «Lollipop — это наш крупнейший и наиболее амбициозный релиз Android, с более чем 5000 новых API для разработчиков», — пишет в блоге вице-президент Google по Android, Chrome и приложениям Сундар Пичай (Sundar Pichai). Одновременно с ОС Google представила три новых устройства: смартфон Nexus 6, планшет Nexus 9 и проигрыватель медиаконтента для телевизора — Nexus Player Android TV. Все устройства появятся до конца месяца в продаже по предзаказу, а в ноябре станут доступными в Google Play в США. Предыдущие аппараты серии Nexus получат обновления Android в последующие несколько недель.

Что нового в Android 5.0:

• шифрование устройства включено по умолчанию;
• связность между устройствами благодаря новому подходу «Material Design»;
• настройка приоритетов вызов и уведомлений, что позволит, например, указать, звонки от каких людей вы хотите получать во время встречи, какие уведомления нужно отображать даже на экране блокировки, и т.п.;
• новая функция сохранения заряда батареи позволит проработать с устройством ещё 90 минут;
• поддержка множества аккаунтов и гостевого режима, блокировка экрана при помощи PIN-кода, графического ключа, или при соединении телефона с доверенными устройствами вроде часов или автомобиля;
• реализована поддержка 64-битных процессоров;
• и многое-многое другое.

На Google I/O компания заявила о желании связать все устройства в единую экосистему. И Android 5.0 «Lollipop» — один из первых шагов на этом пути.

Состоялся новый релиз свободной системы контейнеризации приложений — Docker 1.3 — с более чем 750 коммитами от 45 разработчиков.

Новый выпуск включает множество изменений и улучшений. В первую очередь в новом релизе Docker Engine будет проверять происхождение и целостность всех элементов из официальных репозиториев при помощи цифровой подписи. Официальные репозитории содержат образы Docker, курируемые и оптимизируемые сообществом, — правильная подпись должна повысить уровень доверия. Возможность находится в разработке, поэтому сейчас при выявлении только выведет предупреждение и не повлияет на процесс установки; сторонние образы пока не проверяются.

Во-вторых, для дополнения отладочной информации, которую предоставляют nsinit и nsenter, реализована возможность вызова дополнительных команд внутри контейнера при помощи "docker exec". Так, например, команда:

docker exec ubuntu_bash -it bash 

создаст сессию Bash внутри контейнера для получения дополнительной информации о процессе выполнения приложения. При этом разработчики настаивают на сохранении парадигмы: один контейнер — одно приложение.

Помимо этого доработано поведение запуска контейнера. Раньше при вызове "docker run" происходило создание и запуск контейнера с выбранным образом. По просьбе пользователей эти задачи были разделены для более гибкого управления: теперь при помощи "docker create" можно создать контейнер, а команда "docker start" запустит его.

Кроме того, в Docker 1.3 были введены новые возможности для обеспечения безопасности приложений. В CLI-интерфейс добавлен флаг "--security-opt", которые позволяет установить ярлыки и профили SELinux и AppArmor. Этой функциональностью можно воспользоваться, например, при необходимости задать политику, при которой контейнер будет слушать только порты Apache.

Ларс Энгельс (Lars Engels) из команды администраторов официальных форумов операционной системы FreeBSD сообщил об успешной миграции этого сервиса на новый движок.

Если до сих пор в качестве движка для форумов использовался бесплатный движок phpBB, то теперь ему на смену пришел коммерческий продукт XenForo (тоже написан на PHP). Лицензию на форум оплатила организация FreeBSD Foundation. Выбор XenForo был обусловлен «требованиями расширяемости, безопасности и простоты администрирования».

В результате миграции были конвертированы 26 тысяч пользователей и 260 тысяч сообщений (в 38 тысячах тем).