LINUX.ORG.RU

Ещё одна критическая уязвимость в ImageMagick

Группа Безопасность

В ImageMagick и GraphicMagick обнаружена ещё одна уязвимость (CVE-2016-5118), приводящая к выполнению произвольных shell-команд при обработке файлов со специальными именами. Уязвимость заключается в отсутствии проверки имени файлов на наличие недопустимых символов:

% rm -f hello.txt
% convert '|echo Hello > hello.txt;' null:
% ls hello.txt
hello.txt

Как и в случае с предыдущей уязвимостью, возможна атака с помощью специально сформированных SVG-файлов (которые позволяют указывать внутри себя ссылки на другие файлы):

xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png">

>>> Подробности

 , ,

anonymous ()

Релиз OpenOrienteering Mapper 0.6.2

Группа Open Source

OpenOrienteering Mapper — картографическая издательская система, в основном предназначенная для создания, редактирования и печати карт для спортивного ориентирования.

Основные изменения:

  • Добавлены наборы символов ISMTBOM и ISSkyOM;
  • в версии для Android теперь доступны все настройки и локализации;
  • в версии для Windows доступны расширенные настройки печати;
  • добавлена поддержка импорта формата OCAD версии 12;
  • теперь поддерживается коэффициент масштаба координатной сетки.

>>> Подробности

 

atsym ()

Rust 1.9

Группа Mozilla

Анонсирована очередная версия языка программирования Rust 1.9, разрабатываемого Mozilla совместно с сообществом. Примечательно то, что с момента релиза первого стабильного выпуска прошел 1 год.

Основные изменения:

  • Стабилизирован модуль std::panic, позволяющий перехватывать раскрутку стека. Соответствующие функции рекомендуется применять только в исключительных ситуациях, но никак не для эмуляции механизма try-catch.
  • Стабилизированы методы настройки TCP и UDP соединений; расширены возможности OsString, BTreeSet и HashSet; char может быть получен из UTF-16 последовательности; стабилизирована функция copy_from_slice(); появилась возможность работы с волатильными переменными с помощью read_volatile и write_volatile; сырые указатели обрели .as_ref() и .as_mut(), которые возвращают Option<&T>, где null будет представлен как None; в libcore для всех типов реализован Debug.
  • Разработчикам библиотек доступен атрибут #[deprecated], разрешающий компилятору слать предупреждения при использовании устаревшего API.
  • Специализация уже используется в ночном релизе и будет доступна в стабильном 1.11 через 3 месяца, но оптимизация .to_owned() и .to_string() таки попала в текущий стабильный выпуск.
  • Расширен список поддерживаемых платформ: mips-unknown-linux-musl, mipsel-unknown-linux-musl, i586-pc-windows-msvc.
  • Ускорено время компиляции монады с одинаковыми функциями.

Изменения в менеджере зависимостей Cargo:

  • В системе могут работать несколько cargo одновременно, блокировки теперь применяются на файлы.
  • Переменную окружения RUSTFLAGS можно использовать для передачи произвольных флагов компилятору.

Для кросс-компиляции подготовлен инструмент rustup, обеспечивающий тривиальное взаимодействие с каналами сборок компилятора (stable, beta, nightly), стандартными библиотеками и их документацией к различным операционным системам, а также обновление всего этого зоопарка одной командой.

>>> Подробности

 

shaiZaigh ()

Релиз Ansible 2.1: поддержка Windows/Azure, контейнеров и настройка сети

Группа Red Hat

25-го мая вышла очередная версия Ansible — 2.1

Некоторые новшества:

  • Поддержка Azure и новые модули для Windows
  • Модули управления сетью поддерживаются официально (tech preview в 2.0)
  • Переработаны модули поддержки контейнеров: дополнения в модуле Docker, новый модуль для Kubernetes

>>> Changelog

>>> Github

>>> Официальный пресс-релиз

 , ,

vrutkovs ()

Jolla C

Группа PDA

Финская компания Jolla объявила о выходе нового смартфона на базе Sailfish OS — Jolla C. Как сообщается, это модель не для широкой продажи — телефон будет доступен в июле 2016 года ограниченной серией по Sailfish Community Device Program. Программа действует во всём мире, но высылать Jolla C будут только в страны Евросоюза, а также Швейцарию и Норвегию. Выслать девайс обещают только первой тысяче зарегистрировавшихся без какой-либо гарантии (as is) по цене в 169 евро для Финляндии, для остальных регионов она может варьироваться.

( читать дальше... )

>>> Подробности

 ,

Softwayer ()

В MESA добавлен код для новых расширений OpenGL: Mesa, Nvc0, i965, RadeonSI

Группа Hardware and Drivers

Timothy Arceri, Jason Ekstrand, Kristian Høgsberg и другие представили в MESA набор патчей с поддержкой большого количества расширений OpenGL/OpenGL ES для драйверов Intel, NVC0, RadeonSI, Mesa.

( Добавленные расширения )

>>> mesamatrix.net

 , , , ,

lv77 ()

Доступен CentOS 6.8

Группа Red Hat

Представлен релиз дистрибутива CentOS 6.8, основанный на пакетной базе Red Hat Enterprise Linux 6.8. Выпуск поставляется для платформ i386 и x86_64 в виде DVD-сборки, минимального установочного образа (300 Мб) и сокращенного образа для установки по сети — netinstall.iso (200 Мб).

( читать дальше... )

>>> Подробности

 ,

NoobeR ()

Релиз systemd 230

Группа Linux General

Представлен выпуск системного менеджера systemd 230. Из новшеств можно отметить включение по умолчанию DNSSEС и режима чистки процессов пользователя после завершения сеанса, поддержку унифицированной иерархии cgroup, возможность настройки прокси ARP для сетевого интерфейса, новые типы юнитов generated и transient, новую команду systemctl revert и возможность создания виртуальных прямых сетевых ссылок между контейнерами.

( Основные изменения )

>>> Подробности

 

NoobeR ()

GHC 8.0.1

Группа Open Source

Спустя 6 лет с момента релиза 7.0 выпущена новая версия компилятора языка Haskell — GHC 8.0.1.

Главные изменения:

  • Новое расширение DuplicateRecordFields, позволяющее использовать в различных типах поля с одинаковыми именами.
  • Поддержка превращения do-нотации в код, использующий класс Applicative вместо Monad.
  • Расширения Strict и StrictData, отключающие ленивое вычисление кода и данных соответственно в пределах модуля.
  • Поддержка инъективных (injective) семейств типов и рекурсивных суперклассов.
  • Улучшена генерация стектрейсов.
  • Новый генератор кода для платформы PPC64. Поддержка операционной системы AIX.
  • Улучшена поддержка платформы ARM.
  • Поддержка LLVM 3.7.
  • Новый аллокатор памяти для 64-битных платформ.
  • Добавлена поддержка пользовательских ошибок при проверке типов.
  • Windows XP более не поддерживается.

>>> Полный список изменений

>>> Подробности

 ,

hateyoufeel ()

Доступен i2pd 2.7.0, клиент анонимной сети I2P, написанный на языке C++

Группа Безопасность

Состоялся релиз i2pd 2.7, клиента для анонимной сети I2P, написанного на языке C++. I2P представляет собой многослойную анонимную распределённую сеть, работающую поверх обычного интернета, активно использующую шифрование, гарантирующую анонимность и изолированность. В сети I2P можно анонимно создавать веб-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети.

( Подробности )

>>> Подробности

 ,

anonymous ()

Всё, что вы хотели знать о стек-трейсах и хип-дампах — встреча с Андреем Паньгиным, Санкт-Петербург

Группа Конференции и встречи

В четверг, 26 мая в 20:00, в питерском офисе компании Luxoft состоится встреча JUG.ru с Андреем Паньгиным, ведущим разработчиком Одноклассников. Тема встречи — особенности JDK, связанные с обходом Heap-a и стеками потоков.

Stack Trace и Heap Dump — не только инструменты отладки, но ещё и дверцы к самым недрам виртуальной машины Java. Презентация посвящена особенностям JDK, так или иначе связанным с обходом хипа и стеками потоков. В её основе лежат популярные вопросы про JVM со StackOverflow и реальные случаи из практики.

  • Влияют ли стек-трейсы на производительность?
  • Как снимать дампы в продакшне без побочных эффектов?
  • Как устроены утилиты jmap и jstack изнутри?
  • Почему все профайлеры врут, и как с этим бороться?
  • Как сканировать хип средствами JVMTI и Serviceability Agent?

Доклад, подкреплённый живой демонстрацей и performance-тестами, ответит на эти и другие вопросы. Вы также познакомитесь с новым Stack-Walking API (JEP 259), добавленным в Java 9, и узнаете о недокументированных возможностях HotSpot JVM.

О докладчике

Андрей Паньгин специализируется на создании ПО для высоконагруженных серверов в проекте Одноклассники. С увлечением копается во внутренностях JVM и JDK. Ранее работал в Sun Microsystems над виртуальной машиной HotSpot.

Место проведения

Петербургский офис компании Luxoft:
Бизнес-центр «Осень», Свердловская наб., дом 44, литера Я

Транспорт

  • Бесплатный автобус-шаттл «Теорема» от станции метро «Площадь Ленина»
  • Маршрутка К137
  • Автобусы 37 и 106 — остановка на пересечении Полюстровского и Пискаревского пр.

>>> Подробности

 ,

stevejobs ()

О Сервере - Правила форума
Разработка и поддержка — Максим Валянский 1998–2016
Сервер для сайта предоставлен «ITTelo»