Был выпущен новый релиз пакетного менеджера APT, номер которого – 2.0. Изменения:

• Команды, принимающие имена пакетов, теперь поддерживают шаблоны. Их синтаксис aptitude-подобный. Внимание! Маски и регулярные выражения теперь не поддерживаются! Вместо них используются шаблоны.
• Новые команды «apt satisfy» и «apt-get satisfy», позволяющие удовлетворить зависимости, которые были указаны.
• Пины могут быть указаны исходными пакетами, добавив src: к названию пакета, например:

Package: src:apt
Pin: version 2.0.0
Pin-Priority: 990

• APT теперь использует libgcrypt для хеширования вместо встроенных эталонных реализаций хеш-семейств MD5, SHA1 и SHA2.
• Требование к версии стандарта C++ поднято до C++14.
• Весь код, помеченный как устаревший в 1.8, был удален
• Указатели внутри кеша теперь статически типизированы. Их нельзя сравнивать с целыми числами (кроме 0 через nullptr).
• apt-pkg теперь можно найти с помощью pkg-config.
• Библиотека apt-inst была объединена с библиотекой apt-pkg.

Лицензия оригинального текста - CC BY-SA 4.0.

>>> Подробнее в оригинале

Участники сообщества Debian рады сообщить о выходе очередного стабильного выпуска операционной системы Debian 10 кодовое имя buster.

Данный релиз включает в себя более 57703 пакетов, собранных для следующих процессорных архитектур:

( читать дальше... )

По сравнению с Debian 9 stretch в Debian 10 buster добавлено 13370 новых пакетов, обновлено более 35532 пакетов (что составляет 62% дистрибутива stretch). Также, по различным причинам многие пакеты (более 7278, 13% дистрибутива stretch) были удалены из дистрибутива.

Debian 10 buster поставляется с различными окружениями рабочего стола, такими как GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20, и Xfce 4.12. Также в репозитории имеются Cinnamon 3.8, Deepin DE 3.0, различные оконные менеджеры.

( читать дальше... )

>>> Подробности

Опубликованы подробности уязвимости CVE-2014-6271 в bash, которая позволяет злоумышленнику произвести удалённое выполнение кода.

Уязвимость возможна благодаря одной из особенностей bash - использования переменных окружения для экспорта функций (если в переменной содержится "() {", то её содержимое будет интерпретировано как функция). Проблема заключается в том, что обработка продолжается даже после символа «}», поэтому, если добавить любую команду — она будет выполнена. Атаке подвержены sshd, Git и Subversion (при определённых обстоятельствах), Apache с mod_cgi или mod_cgid (если скрипты CGI написаны на bash или вызывают bash-скрипты), клиенты DHCP (если они вызывают скрипты для настройки системы), CUPS и вообще любые приложения, которые запускают bash (или bash-скрипты) и могут устанавливать переменные окружения на основе данных, полученных извне.

Для проверки наличия уязвимости в системе можно выполнить команду

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Обновление с исправлением уязвимости уже выпущено для некоторых популярных дистрибутивов.

Кроме того, объявлено об исправлении множественных уязвимостей в пакетном менеджере APT. Уязвимости CVE-2014-0487, CVE-2014-0490, CVE-2014-0488 и CVE-2014-0489 позволяют обойти проверку цифровых подписей пакетов и репозиториев, а уязвимость CVE-2014-6273 - выполнение произвольного кода, отправленного злоумышленником, вмешавшимся в трафик.

Synaptic Package Manager – это графическая оболочка утилиты apt, служащей для управления пакетами. С ее помощью можно легко добавить в систему новое программное обеспечение, а также произвести его обновление или удаление. Synaptic Package Manager доступен в таких популярных дистрибутивах Linux, как Debian, Ubuntu.

Изменения:

• Теперь synaptic не падает когда используется поисковой движок xapian.
• Добавлен браузер iceweasel в качестве резервного, если xdg-open падает.
• Исправления в коде rgrepositorywin.cc, теперь synaptic не падает при удалении записей в sources.list.
• Устранена утечка памяти в фильтре копирования/восстановления
• Фильтрация по самым популярным пакетам больше не изменяется, когда пользователь открывает заново настройки фильтров.

>>> Список изменений

Разработчики Debian рады представить юбилейный выпуск пакетного менеджера apt под номером 1.0. Самому юбиляру 1 апреля 2014 года исполнилось 16 лет. При этом пакетный менеджер apt является самым популярным в мире Linux и успешно применяется как в deb (Debian, Ubuntu, Linux Mint), так и rpm-дистрибутивах (Alt Linux. PCLinuxOS)

Достижение проектом версии 1.0 означает огромную веху в развитии apt. Наконец Advanced Packaging Tool становится самостоятельным инструментом. Apt-get, apt-cache, apt-search и прочие уходят в прошлое. Теперь все те функции, которые раньше выполнялись разными утилитами собраны в одной, которая так и называется - apt. По аналогии с aptitude, в apt теперь можно применять всё разнообразие команд установки, поиска или отслеживания пакетов при этом не задумываясь о названии утилиты.

В связи с тем, что команда apt использовалась в более неподдерживаемых Sun Java JDK 5 и 6, эти пакеты помечены как несовместимые с новой версией apt.

Так же в выпуске исправлено множество ошибок, обновлены некоторые переводы.

>>> Подробности

Вышла новая стабильная версия программы Cupt - полуофициальной альтернативы APT для управлениями пакетами в дистрибутивах Debian и производных от него.

Главные изменения относительно ветки 1.x:

• Проект переписан на С++(0x). Увеличена скорость работы и уменьшено потребление памяти.
• Написан справочник по возможностям от простого к сложному (веб-копия).
• Поддержка исходных Debian-пакетов с больше чем одним тарболлом исходных файлов.
• Сообщения об ошибках в конфигурационных файлах стали намного подробнее.
• Поддержка сроков устаревания заголовков репозитория.
• Добавлен метод скачивания, основанный на wget (меньше зависимостей, чем libcurl).
• Переработан алгоритм порядка вызова dpkg для пакетов, теперь пакеты в среднем находятся меньше времени в промежуточных состояниях.
• Добавлена группа параметров для тонкого контроля приоритетов решателя зависимостей (cupt::resolver::score::*).
• Если не удалось решить зависимости, подробно объясняется, почему (пример).
• Возможность добавлять аргументы решателю зависимостей (во время показа возможных решений, вариант 'a') без перезапуска всей программы.
• Исправления некоторых ошибок.

Сравнение с другими менеджерами пакетов

>>> Домашняя страница проекта

Muon - новый менеджер пакетов для среды KDE. Цель проекта заключается в создании достаточно мощного, но при этом простого в использовании менеджера пакетов, по возможностям близкого к основанному на gtk Synaptic. Основные особенности Muon:

• удобный интерфейс, подходящий как новичкам, так и опытным пользователям;
• быстрый поиск пакетов с использованием индекса;
• выборка пакетов по категориям и статусу;
• поддержка сменных носителей;
• конфигурирование пакетов через debconf;
• интеграция с PolicyKit;
• взаимодействие с диспетчером энергопотребления;
• просмотр изменений (changelogs) и скриншотов.

Muon основан на QApt, альфа-версия которого вышла параллельно с Muon. QApt представляет собой бекенд для Qt-приложений, предоставляющий удобный API для управления пакетами в основанных на Debian дистрибутивах. QApt частично использует libapt-pkg, но большая часть функционала была написана заново. Автор проекта планирует выпустить релиз к выходу Kubuntu 11.04. На данный момент можно установить альфу Muon 0.2 с PPA разработчика. Для Debian и других дистрибутивов можно собрать свежую версию из тарболов или напрямую из SVN.

>>> Подробности

Хотя многие считают, что aptitude в скором времени заменит apt-get, считая, что первый «умнее» и функциональнее, похоже в Ubuntu это не так, наоборот - aptitute был удален из зависимостей метапакетов, хотя он все еще доступен в репозитарии.

Это вызывает удивление, особенно с учетом того, что Debian официально поддерживает замену apt-get на aptitude.

Уже была попытка удалить aptitude несколько релизов назад, но его спас тот факт, что это не займет слишком много места на CD. Но по неизвестным причинам aptitude не включен в состав Maverick Meerkat по-умолчанию, по-видимому причина этого все-таки заключается в том, что aptitude занимает 13-14 мб на компакт-диске.

>>> Подробности

Cupt - менеджер пакетов, front-end к dpkg, альтернатива APT для управлениями пакетами в дистрибутивах Debian и производных от него.

С момента прошлой новости на ЛОРе сделаны следующие значимые изменения:

• добавлена возможность принудительной переустановки пакета, имеющего ту же версию, что и в системы, но отличающегося контрольные суммой (команда 'reinstall')
• увеличена средняя скорость разрешения зависимостей и определения порядка вызова dpkg
• уменьшено среднее потребление памяти
• реализовано автодополнения аргументов командной строки для для Bash
• добавлена возможность сохранения и восстановления «снимков» системы (снимок - набор всех установленных пакетов системы, восстановление означает установку сохранённых версий пакетов и не является транзакционным)
• добавлена экспериментальная возможность обновления системы в режиме скачать-установить-удалить, дающая возможность снизить нужное для скачивания всех пакетов место на 1-70% (в среднем, на 10-20%)
• реализована поддержка плагинов - методов скачивания пакетов
• исправлены десятки ошибок

Версия 1.5.3 уже доступна в Debian unstable.

>>> Подробности

Доступен для тестирования первый релиз-кандидат программы Cupt - альтернативы APT для управлениями пакетами в дистрибутивах Debian и производных от него.

Cupt использует те же списки пакетов, индексы, кэш пакетов, синтаксис опций, что и APT, понимает большинство широко используемых опций APT.

Cupt начал разрабатываться в декабре 2008 года из-за того, что автора, до этого несколько месяцев бывшего в команде по разработке APT, не устраивала текущая реализация. Cupt - реализация с нуля большинства функций APT, а также некоторых других возможностей:

• строгий полнофункциональный разрешитель зависимостей
• отображение причин смены состояния пакета при запросах на изменение состояния системы
• проверка имён параметров командной строки и APT-специфичных параметров
• регистрозависимый поиск
• команда 'satisfy' для удовлетворения набора требований
• возможность принудительной синхронизации версий бинарных пакетов по именам исходных пакетов
• команда 'shell' - текстовая «оболочка» менеджера пакетов
• интеграция с пакетом 'debdelta' для прозрачного использования бинарных различий пакетов при обновлениях (для тестируемой (testing) и нестабильной (unstable) веток дистрибутива Debian)

Из нереализованного:

• поддержка PDiff'ов при обновлениях списков пакетов
• поддержка репозиториев на CD/DVD-дисках

Пакеты Cupt имеются в Debian testing (1.0.0~beta1) и Debian unstable (1.0.0~rc1).

>>> Подробности

apt-dater — это интерфейс на основе ncurses для управления обновлением пакетов на большом количестве удаленных хостов посредством SSH. Поддерживаются системы, управляемые dpkg/apt, а также rug (OpenSUSE) и yum (CentOS).

Лаконично о поводе к релизу: добавлена функция автообновления, улучшен поиск и страница «Подробности», добавлен минимальный клиент для WUA, а также устранена утечка памяти.

ChangeLog

>>> Подробности

Исследователи из Университета штата Аризона в США говорят, что обнаружили уязвимость в технологии обновления программного обеспечения, используемой в большинстве Unix- и Linux-систем. В исследовании Package Management Security они говорят, что подавляющее большинство систем обновления довольно легко могут скачать злонамеренное ПО, которое способно поставить под угрозу работу системы и важные данные.

Обнаруженный метод не требует получения паролей в систему или хитроумных трюков по обходу механизмов безопасности. Вместо этого, он эксплуатирует саму концепцию распространения бесплатного и открытого программного обеспечения.

Перемещено maxcom из Linux General

>>> Подробности