Четыре дня назад Jason Bell обнаружил в популярном веб-сервере nginx уязвимость, позволяющую удаленному пользователю аварийно завершить рабочий процесс сервера при помощи специально сформированного запроса.

Данной уязвимости подвержены только версии nginx младше 0.8.14, 0.7.62, 0.6.39 и 0.5.38.

Игорь Сысоев уже опубликовал патч, устраняющий эту уязвимость. Также выпущено обновление безопасности для Debian.

В сообщении об ошибке, приведенном по ссылке ниже, присутствует текст exploit'а, использующего обсуждаемую уязвимость. Признаком успешного срабатывания exploit'а является отсутствие ответа сервера — не подверженная данной уязвимости версия nginx отвечает на запрос exploit'а 400 Bad Request. Учитывая опыт предыдущих сообщений об уязвимостях, специально напоминаем некоторым дилетантам, что exploit'ы для архитектуры i386 вовсе не обязаны работать на других архитектурах.

Отметим, что описанная уязвимость носит отнюдь не фатальный характер, так как приводит к завершению только «своего» worker process, но не master process. Однако многократное ее использование за небольшой промежуток времени может создать ощутимые проблемы в работе сервера.

Поэтому всем администраторам, использующим уязвимые версии, настоятельно рекомендуется обновиться.

>>> Подробности

GeoServer - открытая геоинформационная система, написанная на Java.

Данная система является образцом реализации стандартов Web Feature Service (WFS) и Web Coverage Service (WCS), разрабатываемых в Open Geospatial Consortium (OGC). Так же система реализует стандарт Web Map Service (WMS) - можно запрашивать данные.

Можно посмотреть как работает на странице http://geoserver.org.
В качестве инструмента для редактирования можно использовать http://openjump.org.

>>> Подробности

В консольном браузере ELinks найдена уязвимость.
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

Уязвимость существует из-за ошибки проверки границ данных при обработке ссылок в функции get_entity_string() в файле src/intl/charsets.c. Удаленный пользователь может с помощью специально сформированной ссылки вызвать переполнение буфера и выполнить произвольный код на целевой системе.

>>> Подробности

WebClient Lite - это:

• Операционная система, загружающаяся из памяти (не использующая никаких внешних файлов) размером 56 мб, главное - поместить в память ядро и initrd. Можно загружать с любого носителя, по сети, и любым другим способом (можно добавить в загрузчик Windows через grub2dos)
• Содержит Firefox 3.5.3 с flash-plugin'ом
• Дополнительное ПО - Mplayer, Abiword/Gnumeric, Qemu, Transmission
• Запуск Win32 приложений с Wine 1.1.27

Как-бы-Панель-управления позволяет:

• Примонтировать флешку как каталог Downloads (просто вставляете флешку и ставите соответствующий выбор в панели, при отключении - отмонтируете)
• Скачать и установить DrWeb CureIT с запуском в Wine (потом его можно использовать и в основной системе Windows)
• Монтировать/отмонтировать устройства

Что это? (кроме "мечта win32-юзера" и "продолжение alr")

Web Client Lite - это система для серфинга, чисто серфинга, ну и запуска win32_приложений, для тех, кто без них жить не может. Система Live, никакие данные не сохраняются (будет-будет сохранение в web), может использоваться как надёжный всегда рабочий web и как система для восстановления. (система не так богата прикладным софтом, как alr.nxt.ru, вместо этого она содержит wine для win32-софта)

Также это прототип для Web Cafe Lite, нет только pxe-tftp-сервера и обмена данными о сессиях, Web Cafe Lite будет выпущено вскоре, после LAMP-демодиска.

>>> zh-zh.ru/livecd

Вышла новая версия php-фреймворка Kohana.

Отличительные особенности:

• строгое ООП, реализованное на PHP5;
• 100% UTF-8 совместимость;
• использует MVC модель;
• структура аналогична CodeIgniter.

>>> Подробности

Morten Sørvig оставил в блоге Trolltech Labs сообщение о разработке экспериментального тонкого клиента для приложений на Qt.

Для работы QWebClient запускает веб-сервер на указанном пользователем порту. Пользователю не нужно устанавливать никаких дополнительных браузерных плагинов, достаточно адекватной поддержки JavaScript. Двухсторонняя коммуникация выполняется при помощи HTTP-запросов и JSON-ответов. Большинство стандартных виджетов показываются при помощи HTML-форм, прочие передаются как изображения.

Недостатки текущей реализации:

• Недостаточная производительность, поэтому пока что применимо только для простых форм без сложной графики и анимации.
• Не до конца решены вопросы с безопасностью, однако разработчик обещает уделить данной проблеме больше внимания.

По ссылке приведён примерный код для встраивания QWebClient в приложения.

Скриншот, Исходный код проекта

>>> Подробности

Начался прием заявок на участие в ежегодной конференции для веб-разработчиков «Google Developer Day», которая пройдёт 10 ноября в Москве. На конференции будут представлены доклады по следующим темам: Android, App Engine, Google Wave, Chrome, GWT, AJAX API.

Вы сможете пообщаться с командами инженеров, которые работают над сервисами для веб-разработчиков и API. Будут проведены несколько углублённых сессий с техническим уклоном, направленных на то, чтобы помочь разработчикам писать хорошие рабочие приложения на технологиях от Google и на открытых технологиях. Те, кто работает над созданием деловых приложений, тоже смогут найти себе что-то полезное в улучшенной и расширенной программе конференции.

Чтобы узнать о конференции побольше и подать заявку на участие, заходите на сайт конференции.

>>> Подробности

Tornado - сервер, написанный на Python, ориентированный на одновременную работу с тысячами соединений. В Facebook Inc. он используется всего для одной задачи - обеспечения работы службы FriendFeed, но при этом он поддерживает шаблоны (в том числе шаблоны Django), работу с cookie и авторизацией пользователей, контроль безопасности, локализацию и отдачу статических файлов.

Это не первая наработка из Facebook, код которой был представлен широкой публике.

FriendFeed - агрегатор информации из различных социальных сетей, блогов, микроблогов и прочих сервисов, работающий в реальном времени. Первоначально создан выходцами из Google, позже был куплен Facebook.

>>> Подробности

4 сентября обновился один из лучших opensource web-интерфейсов для доступа к почте. В этом релизе были исправлены известные ошибки с версии 0.2, а также добавилась поддержка сторонних плагинов.

Документацию по написанию плагинов можео прочитать здесь http://trac.roundcube.net/wiki/Doc_Pl...

>>> Подробнее

Helios - это фреймворк и набор библиотек на Javascript для разработки "тяжёлых" клиентских веб-приложений. Фреймворк обеспечивает поддержку модульной структуры, предоставляя таким образом возможность создавать приложения на чистом Javascript и при этом использовать привычную конструкцию include для подключения требуемых модулей. Набор библиотек в комплекте предоставляет необходимый API для разработки приложения. В частности, есть удобный тулкит виджетов Heliwidgets с поддержкой настраиваемых движков.

По ссылке можно посмотреть на демо-приложение, написанное с использованием Helios & Heliwidgets:

http://home.gna.org/helios/helioscalc/

Более подробное описание на русском и некоторое обсуждение:

http://www.linux.org.ru/view-message....

Сейчас проект находится на ранней стадии разработки и нуждается в новых участниках. Если найдутся желающие присоединиться - пишите на heliosframework в гмейле.

Исходный код фреймворка и библиотек доступен под GPLv3+.

>>> Домашняя страница проекта

Вышла в свет версия LeechCraft 0.3.0 — модульного кросс-платформенного интернет-клиента, написанного на C++, Qt и Boost. В текущую версию входят плагины:

• Aggregator, клиент для чтения лент новостей RSS/Atom.
• BitTorrent, плагин для BitTorrent-сетей, как это ни странно.
• LMP, небольшой медиапроигрыватель на базе Phonon, поддерживающий очереди и потоковое воспроизведение.
• Poshuku, полноценный веб-браузер с блокировщиком рекламы (совместимым с AdBlock), основанный на WebKit.
• SeekThru, OpenSearch-клиент.

Для полноты картины отметим, что есть еще:

• CSTP, обеспечивающий работу с HTTP-протоколом.
• DBusManager, который дает LeechCraft'у связь с другими приложениями через D-Bus.
• DeadLyrics, который был хорошим клиентом для LyricWiki.org, но из-за изменения API умер.
• HistoryHolder, отслеживающий историю закачек.
• NetworkMonitor, отслеживающий HTTP-запросы и предоставляющий информацию по ним.

Уже написано для следующей версии:

• Chatter: небольшой плагин, для общения в IRC.
• LCFTP: поддержка FTP-закачек и двухпанельный FTP-клиент.

Планируется:

• Поддержка протокола Gnutella и, возможно, DC.
• Удаленный доступ через Web, Jabber.
• Интеграция с ВКонтакте, LOR и Хабрахабром.
• Поддержка плагинов на других языках программирования как напрямую, например, Python, так и через механизмы вроде D-Bus.

Зачем комбайн, когда есть уже другие отдельные программы? Потому что плагины очень хорошо интегрируются между собой, сохраняя работоспособность по отдельности, и очень легко добавлять новые. Например, можно при помощи BitTorrent в автоматическом режиме скачивать ссылки, полученные из новостей в Aggregator и добавлять скачанные медиа-файлы в LMP. Также организован совместный доступ к cookies. Благодаря проработанной архитектуре, добавить свой плагин, работающий с новым протоколом, и интегрировать его с остальными, очень просто. Плагин Chatter был переделан из отдельной программы за несколько часов.

В общем, более детальное описание есть в Википедии: http://ru.wikipedia.org/wiki/LeechCraft

Сейчас программа разрабатывается двумя людьми, один делает плагин Chatter, другой — все остальное. Есть еще несколько человек, помогающих со сборками под Windows и различные дистрибутивы Linux. Кто был бы очень нужен?

• Переводчики. Есть перевод на русский, как-то продвигается дело с немецким, украинским и арабским. Нужно допиливать как эти, так и переводить на другие языки.
• Дизайнеры иконок.
• Создатели сайтов. Сайт проекта хорош, но только как «зона для разработчиков». Было бы очень здорово нарисовать красивый сайт, со скриншотами, пользовательскими мануалами и ссылкой «скачать».
• Разработчики.
• Ну и просто пользователи, конечно же.
• LeechCraft пишется и используется в основном под Linux, поэтому работа под Windows не отлажена. Да и не обладает автор программы временем и ресурсами для отладки под Windows. А еще версия 0.3 выпустилась уже устаревшей, ибо давно вошла в feature freeze, а разработка перенеслась на master-бранч. По факту, 0.3.0 является демонстрацией того, что что-то есть, что-то собирается и даже как-то иногда работает. Поэтому нужны Win32-разработчики.

Ссылки:

• Скачать версию 0.3.0: http://sourceforge.net/projects/leechcraft/files/
• Git проекта: http://github.com/0xd34df00d/leechcraft
• Jabber-конференция: leechcraft@conference.jabber.ru
• Описание: http://ru.wikipedia.org/wiki/LeechCraft
• Jabber автора: d34df00d@jabber.ru

>>> Сайт проекта

Консорциум Khronos Group обнародовал подробности о проекте WebGL и его рабочей группе. Спецификация WebGL определит API, обеспечивающий доступ JavaScript скриптов к функциям технологии OpenGL ES 2.0, разработанной для встраиваемых систем. WebGL позволит внедрять в Web-страницы аппаратно ускоренную трехмерную графику без потребности в дополнительных плагинах к Web-браузерам. Стандарт будет абсолютно доступным, бесплатным и будет поддержан браузерами Google Chrome, Mozilla Firefox и Opera.

Публичный релиз рабочей версии нового стандарта должен состояться в первой половине 2010 года.

>>> Источник новости

В прошедший вторник Mozilla закрыла онлайн-магазин после того, как обнаружилось нарушение безопасности компании, которая занималась собственно предоставлением движка магазина.

Осталось невыясненным, оповестил ли о взломе поставщик ПО GatewayCDI, или Mozilla обнаружила данный факт другими способами.

В предупреждении на сайте говорится:

«Сегодня Mozilla обнаружила, что GatewayCDI, сторонний поставщик, на которого была возложена роль бэкенда Mozilla Store, пострадал от взлома. Как только это было обнаружено, были приняты немедленные превентивные шаги по закрытию Mozilla Store, чтобы убедиться, что новые пользователи не пострадают»

Также была отключена интернациональная версия интернет-магазина, хотя этот магазин обслуживается другим партнёром.

Магазины занимались продажей промо-подукции - маек, рюкзаков, чашек и ковриков для мышек с логотипом Mozilla, а также CD с Firefox

Mozilla не уточнила размер взлома, какая информация могла быть похищена и как вообще произошёл взлом. Связаться с GatewayCDI не удалось, на их сайте никаких уведомлений о взломе не было.

>>> Подробности

После года активной разработки состоялся релиз фреймворка для разработки веб-сайтов на python: Django 1.1.

В новой версии:

• Улучшения ORM: поддержка аггрегации и выражений в запросах (F-expressions)
• Улучшения системы моделей: добавлена поддержка "unmanaged" models (модель, которая не связана с таблицей в БД) и proxy models.
• Добавлена поддержка "отложенных" полей моделей (их значение вычисляется только во время обращения к полю, а не во время создания модели.
• Групповые операции над объектами в админке
• Улучшения в производительности тестов

Также стоит отметить, что в сегодня также вышли security-апдейты для старых версий django.

>>> Release Notes

Исследовательская организация National ICT Australia (NICTA) сделала шаг вперед в сторону поддержки ПО с открытым исходным кодом, запустив портал OpenNICTA, где можно посмотреть и загрузить различное ПО, разработанное организацией. Уже сейчас там можно найти 11 программ, но, как сообщается, разработчики не остановятся на этом и число проектов с открытым исходным кодом будет только расти.

Среди разработок организации NICTA можно выделить:

• OKL4 микроядерное решение виртуализации для встраиваемых систем
• CAIRNS система уведомлений и управления информацией, разработанная в рамках проекта по разработке программного обеспечения, нацеленного на процессы предотвращения катаклизмов, своевременного реагирования на них и восстановления от последствий различных природных и техногенных катастроф (SAFE Project).
• Armadillo Library с++ библиотека, нацеленная на решение задач линейной алгебры (математика матриц и векторов), основной акцент сделан на хороший баланс между скоростью и простотой использования. (также результат работы SAFE Project).

Глава Trustworthy Embedded Systems Group (дочерняя организация NICTA) Гернот Хайзер:

«Несмотря на то, что исследовательские организации открывают исходный код своего разрабатываемого ПО сообществу, обычно это происходит непродуманно, спонтанно и очень часто в обход 'радиолокационной вышки’ власти.»

«В основном процесс открытия ПО происходит без шумихи, не говоря об этом везде и каждому, и в надежде на то, что адвокаты не смогут что-либо сделать. Это, несомненно, создает значительные проблемы для исследовательских организаций. Таким образом, я думаю, что наш системный подход в отношении данного вопроса очень важен.»

>>> Подробности (англ.)

Специалисты G-SEC опубликовали подробности уязвимости которой подвержены многие из известных на сегодня браузеров, среди них в частности: ранние версии Firefox, Chrome, Safari, Opera, Konqueror (все версии) и др.

Вызов метода select() при большом значении параметра длинны приводит к непрерывному выделению памяти до ее переполнения.

Сила воздействия уязвимости может варьироваться в зависимости от использующейся ОС, самого браузера и его версии. Так Opera например сохраняет работоспособность, но делает нестабильной работу остальных приложений. В Ubuntu система управления памятью сконфигурирована таким образом, что не останавливает процесс начинающий потреблять много памяти, что в случае с Konqueror приводит к краху браузера или перезагрузке системы.

Уязвимости подвержены так же браузеры мобильных устройств на Symbain, Android (кроме использующего последнюю версию WebKit) и др.

Крэш-тест: http://crashthisthing.com/select.html

>>> Подробности

Тихо и не заметно вышла свежая версия новой JavaScript библиотеки RightJS.

RightJS ориентированна на людей работающих с динамическими языками и идет по стопам Prototype, MooTools, jQuery. В отличии от своих предшественников, RightJS гораздо более компактна, работает в несколько раз быстрее (бенчмарки прилагаются) и имеет в своем запасе несколько новых замечательных возможностей позволяющих писать более компактный и удобочитаемый код приложений.

Со времен последнего анонса на ЛОР'e, произошли следующие изменения

• Добавлена поддержка броузера Konqueror
• Появлись несколько новых классов
• Обновления и багфиксы в движке визуальных эффектов
• Обновления и фиксы в обработчкие dom-событий
• Обновления в документации
• Прочие мелкие обновления, фиксы и радости

Спешите видеть!

>>> Подробности

Dot Net Perls провели сравнительное тестирование Google Chrome 3.0 Dev, Firefox 3.5 RC, Safari 4.0 и Opera 10b чтобы определить потребление памяти при открытии 150 вэб сайтов из AlexA top.

Больше всего памяти занимает Google Chrome 3.0 Dev

Меньше всего памяти занимает Firefox 3.5 RC

При этом Firefox и Chrome лучше возвращают память операционной системе.

>>> Подробности

Opera Software сегодня официально представила новую технологию интернет-взаимодействия Opera Unite. Opera Unite способна сделать любой компьютер не только клиентским устройством, но и сервером, что даёт возможность пользователям связываться с компьютерами знакомых и друзей напрямую и делиться информацией без использования онлайн-сервисов и приложений.

«С помощью Opera Unite обмен данными между компьютерами становится таким же простым, как и работа с веб-ресурсами. Конечному пользователю эта технология позволяет лучше контролировать использование его частных данных в открытом доступе. Кроме того, он может удалённо работать с хранящейся на его компьютере информацией с помощью любого другого устройства, оснащённого современным веб-браузером», - рассказывают в Opera.

Что такое Opera Unite?

Opera Unite – это технология взаимодействия, позволяющая одному пользователю получать доступ к частной информации (такой как файлы, фото, музыка), размещённой на компьютере другого пользователя. Данная технология использует веб-сервер небольшого размера, которым оснащён настольный браузер Opera. Он позволяет давать доступ к данным и сервисам.

На каких программных платформах работает Opera Unite?

Opera Unite работает на всех платформах, которые поддерживают браузер Opera, включая Windows, UNIX и Mac.

Opera Unite работает только с браузером Opera?

Для того чтобы активировать Opera Unite на своём компьютере и предоставить доступ к его содержимому другим пользователям, вы должны использовать браузер Opera. Но для того, чтобы получить доступ к данному контенту, достаточно любого современного браузера, т.к. cервисы Opera Unite создаются с соблюдением всех общепринятых и открытых стандартов.

В чём заключается суть сервисов Opera Unite?

Сервисы Opera Unite позволяют расширить возможности браузера – от функциональности социальных сетей и чатов до возможности открыть файлы, музыку или фото для безопасного доступа к ним другим пользователям. Теперь это можно делать быстро, просто и без необходимости загружать файлы на онлайновые «облачные» сервисы.

Какие сервисы доступны сейчас?

Лабораторный релиз Opera Unite будет поставляться с шестью сервисами: Доступ к файлам (File Sharing), «Холодильник» (Fridge), Доступ к фото (Photo Sharing), Медиа-проигрыватель (Media Player), Веб-сервер (Web Server) и «Гостиная» (The Lounge). Другие сервисы будут создаваться сторонними разработчиками и публиковаться в разделе Opera Unite на сайте компании.

>>> Подробности

Наработки проекта Brad Taylor из Novell, Snowy, вошли в состав последнего релиза утилиты для заметок в GNOME — Tomboy.

Snowy — это написанное на Python с использованием фреймворка Django серверное приложение, с которым теперь может синхронизироваться Tomboy. Распространяется под лицензией GNU AGPL.

В планах разработчиков создать мощное RIA-приложение по созданию заметок, доступное из любого веб-браузера, а также бесплатный веб-сервис (Tomboy Online), с которым все пользователи Tomboy смогут синхронизировать свои данные.

>>> Подробности