В новой версии устранён крах при импортировании последовательности изображений и налажено применение градиентной заливки при подготовке титров. Изменения в основном сведены к исправлению ошибок, так как в рамках текущего цикла разработки был проведён значительный рефакторинг кодовой базы и для окончательного оттачивания новой функциональности было решено отложить изменения до весеннего выпуска Kdenlive 19.04. В настоящее время новую функциональность, например, поддержку распараллеливания рендеринга, эффект размывания при быстром перемещении, задействование аппаратного ускорения при создании клипов, улучшенные средства управления ключевыми кадрами и обновлённую шкалу времени, можно протестировать в форме ночных сборок.

1. Главная ссылка к новости
2. OpenNews: Релиз видеоредактора Shotcut 18.07 и бета-выпуск Kdenlive 18.08
3. OpenNews: Релиз системы нелинейного видеомонтажа Kdenlive 15.08
4. OpenNews: Новые версии видеоредакторов Kdenlive 16.08 и Pitivi 0.97
5. OpenNews: Выпуск свободных видеоредакторов OpenShot 2.4.3 и Shotcut 18.09
6. OpenNews: Выпуск видеоредакторов Shotcut 18.11 и DaVinci Resolve 15.2

Наибольшую опасность уязвимость представляет для пользователей браузера Chrome и приложений, использующих движок Chromium. Атака на Chromium возможна через манипуляцию с API WebSQL, который реализован поверх SQLite и подразумевает использование данной СУБД для обработки SQL-запросов из web-приложений. Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium.

Firefox удалённой уязвимости не подвержен так как разработчики Mozilla в своё время отказались от реализации WebSQL в пользу API IndexedDB. SQLite используется в Firefox для хранения внутренних БД на диске, которые недоступны для отправки в них произвольных SQL-запросов из Web. Эксплуатации уязвимости в Firefox можно добиться только через замену этих БД или внесения повреждений на низком уровне, но подобная атака бессмысленна, так как должна быть совершена пользователем, уже имеющим доступ на запись к локальной файловой системе.

Детали уязвимости и метод эксплуатации пока не раскрываются чтобы дать пользователям время на установку обновлений. Наличие уязвимости подтверждено компанией Google. Более того, подготовлен работающий эксплоит для атаки на смартдинамик Google Home. Проблема уже исправлена в недавно сформированных выпусках Chrome/Chromium 71.0.3578.80 и SQLite 3.26. Особенно важно проконтролировать обновление сторонних браузеров на базе движка Chromium, которые не всегда оперативно доводят исправления до пользователей. Идентификатор CVE пока не назначен, но проблеме уже присвоено кодовое имя Magellan.

Судя по недавним изменениям в SQLite предполагается (подтверждено создателем SQLite), что уязвимость вызвана устранённым в выпуске 3.25.3 целочисленным переполнением в реализации движка полнотекстового поиска FTS3, которое могло привести к переполнению буфера в случае повреждения индекса. Для повреждения индекса могли использоваться манипуляции с теневыми таблицами (shadow tables), особым видом виртуальных таблиц с возможностью записи. В SQLite 3.26.0 обеспечен запрет на запись в теневые таблицы, действующий при включении режима SQLITE_DBCONFIG_DEFENSIVE (запрещает возможности, которые могут привести к повреждению БД через SQL, и рекомендуется для включения в случае, если SQLite должен обрабатывать непроверенные внешние SQL-запросы).

1. Главная ссылка к новости
2. OpenNews: В Bash выявлено ещё четыре уязвимости, эксплуатируемые через переменные окружения
3. OpenNews: Критическая уязвимость в bash, которая может привести к удалённому запуску команд (дополнено)
4. OpenNews: Опубликованы детали критической уязвимости в MySQL и MariaDB
5. OpenNews: Критическая root-уязвимость в MySQL
6. OpenNews: Уязвимость в MySQL, позволяющая поднять свои привилегии

В новой версии в основном обновлены входящие в состав компоненты, в том числе zsh 5.6.2, rsyslog 8.38.0, Oracle JET 5.2, django 1.11.16, ImageMagick 6.9.10-1.4, curl 7.62.0, MySQL 5.7.24, libtiff, libsndfile, squid, net-snmp. В состав включен пакет с компилятором Rust 1.28.0. Добавлена поддержка сетевых плат Dell OptiPlex XE3.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива OpenIndiana 2018.10, продолжающего развитие OpenSolaris
3. OpenNews: Релиз Solaris 11.4
4. OpenNews: Представлен LiveDVD на базе OpenIndiana/Illumos для платформы SPARC
5. OpenNews: Представлен v9os, минималистичный дистрибутив Illumos для систем SPARC
6. OpenNews: Представлен OmniOS Community Edition, новый дистрибутив Illumos

Основные изменения в Chrome OS 71:

• Обновлено оформление приложения для работы с камерой. Кнопка затвора и включения записи видео перемещены из центра нижней части экрана в правую сторону;
• В OOBE (Out of the Box Experience), режиме входа для получения доступа к расширенной функциональности для разработчиков, добавлена возможность входа по отпечаткам пальцев и PIN-коду;
• Добавлена поддержка автодополнения ввода в строке поиска программ;
• Реализован режим адаптивного изменения при прокрутке верхней части интерфейса браузера Chrome. В режиме планшета адресная строка при прокрутке теперь скрывается;
• Добавлена возможность соединения с Android-смартфонами, используя общие для смартфона и chromebook настройки из Google Account. После соединения со смартфоном при помощи сервиса Android Messages PWA пользователь может из Chrome OS просматривать поступающие сообщения, отправлять новые сообщения и отвечать на поступающие. Также доступно использование функции Smart Lock для разблокировки Chromebook смартфоном и возможность настройки выхода в сеть через включение на смартфоне точки доступа (instant tethering);
• В локальной системе вывода на печать, работающей на базе CUPS, добавлена возможность вёрстки нескольких страниц для печати на одном листке бумаги;
• Усовершенствовано появившееся в Chrome OS 71 окружение для запуска Linux-приложений. Виртуальная машина с Linux теперь отображается в списке менеджера задач и может быть закрыта через правый клик мышью на пиктограмме терминала. Добавлена функция совместного доступа к каталогам, позволяющая Linux-приложениям читать и записывать файлы в различных каталогах Chrome OS, не ограничиваясь каталогом "Linux files" (в следующем выпуске ожидается предоставление доступа Linux-приложений к Google Drive);
• В операционную систему интегрирован голосовой помощник Google Assistant (пока включён только в устройстве Pixel Slate);
• Добавлены функции ограничения доступа к приложениям и ограничения времени работы, полезные при использовании устройства разными членами семьи;
• В интерфейсе запуска приложений (Launcher) добавлена возможность создания полунаполненных страниц (можно создать новый экран с приложениями без полного заполнения текущего);
• Android-окружение ARC++ (App Runtime for Chrome, прослойка для запуска Android-приложений в Chrome OS) на устройствах Pixel Slate обновлено до выпуска Android 9;
• На устройствах Pixel Slate обеспечена возможность аутентификации по отпечатку пальца и добавлен портретный режим работы в приложении для работы с камерой.

1. Главная ссылка к новости
2. OpenNews: Релиз web-браузера Chrome 71
3. OpenNews: В Chrome развивается API для создания полноценных пользовательских приложений
4. OpenNews: Релиз Chrome OS 70
5. OpenNews: Релиз Chrome OS 69 с обновлённым интерфейсом и поддержкой Linux

Основные новшества:

• Добавлена поддержка метода быстрой настройки соединения FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai), позволяющего избавиться от задержек при роуминге во время миграции от одной точки доступа к другой;
• Добавлена поддержка метода согласования соединения OWE (Opportunistic Wireless Encryption, RFC 8110) для генерации ключей шифрования в открытых сетях. Расширение OWE задействовано в стандарте WPA3 для шифрования всех потоков данных между клиентом и точкой доступа в общедоступных публичных беспроводных сетях, не требующих аутентификации;
• Добавлена поддержка протокола DPP (Wi-Fi Device Provisioning Protocol), определяющего метод аутентификации по открытым ключам, задействованный в стандарте WPA3 для организации упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе;
• Устранена группа уязвимостей, связанных с атакой KRACK (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа;
• Удалён код, связанный с поддержкой механизма PeerKey (скомпрометирован и подвержен атаке KRACK);
• Добавлена возможность использования криптографической библиотеки wolfSSL и обеспечена совместимость с выпуском OpenSSL 1.1.1;
• В EAP-pwd добавлена возможность использования соли при хэшировании паролей;
• Улучшения, специфичные для hostapd:
  • Переработана реализация технологии быстрого роуминга FT (Fast Transition, IEEE 802.11r), позволяющая переключаться между точками доступа по мере перемещения. Добавлена поддержка IEEE VLAN, SHA384, локальной генерации PMK-R0/PMK-R1 для FT-PSK, масок R0KH/R1KH и возможность задания времени жизни в кэше PMK-R0 и PMK-R1;
  • Улучшен реализация протокола аутентификации и создания ключей SAE (Simultaneous Authentication of Equals), предоставляющего более защищённый метод аутентификации на основе паролей. Добавлена возможность настройки отдельного пароля для SAE, не пересекающегося с паролем WPA2. Добавлена настройка "sae_require_pmf" для обязательного применения MFP для SAE. Добавлена поддержка PI (Password Identifier);
  • В интерфейс командной строки (hostapd_cli) добавлена возможность просмотра истории введённых команд и автодополнения ввода;
  • Добавлены опции для ограничения интенсивности обновления ключей EAPOL (wpa_group_update_count и wpa_pairwise_update_count);
  • В реализацию стандарта Hotspot 2.0 добавлена возможность настройки ссылки на провайдера (venue_url), определения документа с условиями использования, подключения в режиме роуминга и установки OSEN-соединений;
• Улучшения, специфичные для wpa_supplicant:
  • Добавлена поддержка 3072-битных ключей RSA с 192-битной криптографией NSA Suite B;
  • В реализации стандарта IEEE 802.1AE (MACsec) предложен новый драйвер macsec_linux, предоставляющий интерфейс к модулю ядра Linux macsec;
  • Добавлена возможность использования для кэша PMKSA постоянных внешних хранилищ;
  • Добавлена поддержка рандомизации локального MAC-адреса для запросов GAS (параметр gas_rand_mac_addr);
  • Добавлена опция auto_uuid для использования случайного WPS UUID;
  • Добавлена поддержка использования хэша SHA256 при сравнении сертификатов OCSP;
  • Добавлен параметр group_mgm для настройки наборов шифров, разрешённых для управления группами;
  • Для режима AP (точка доступа) добавлена настройка ap_isolate;
  • В netlink-интерфейсе nl80211 добавлена поддержка выноса обработки операций 4-стороннего согласования соединения на плечи драйвера;
  • В реализации FT (Fast Transition) добавлена поддержка SHA384 и шифров BIP-CMAC-256, BIP-GMAC-128 и BIP-GMAC-256 в дополнение к BIP-CMAC-128.

1. Главная ссылка к новости
2. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
3. OpenNews: Критическая уязвимость в wpa_supplicant, компоненте для подключения к беспроводным сетям
4. OpenNews: Опубликована технология защиты беспроводных сетей WPA3
5. OpenNews: Новая техника атаки на беспроводные сети с WPA2
6. OpenNews: Релиз hostapd/wpa_supplicant 2.0, отныне поставляемый только под лицензией BSD

• Страница активации нового пользователя могла индексироваться поисковыми системами, что при определённых настройках могло привести к утечке через поисковики email-адресов и сгенерированных по умолчанию паролей;
• Пользователи могли через манипуляции с мета-данными выполнить подстановку объектов и инициировать выполнение своего PHP-кода;
• Авторы могли изменить метаданные для инициирования удаления файлов, не имея на это полномочий;
• Авторы могли размещать неразрешённые им типы публикаций через манипуляции с параметрами запроса;
• Непривилегированные участники могли редактировать новые комментарии более привилегированных пользователей (в том числе могли подставить в комментарии JavaScript-код, если автор изначального комментария имел на это полномочия);
• Возможность организации межсайтового скриптинга через указание специально оформленных ссылок (непосредственно WordPress не подвержен проблеме, но уязвимость проявляется при использовании некоторых плагинов);
• Возможность организации межсайтового скриптинга через загрузку авторами контента специально модифицированных файлов, которые позволяют обойти проверку MIME-типов на системах под управлением http-сервера Apache (WordPress определял MIME-тип по расширению без учёта содержимого, что, например, позволяет загрузить phar-файл в файле с расширением ".jpg" при проведении атак "Phar deserialization").

1. Главная ссылка к новости
2. OpenNews: Релиз системы управления web-контентом WordPress 5.0 с новым web-редактором
3. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
4. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
5. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
6. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

В новом выпуске:

• Переработана система управления отображением материалов на поверхностях объектов. Для изменения свойств материала у группы объектов, в которых используется один и тот же материал, теперь достаточно применить изменения к одному материалу, без внесения изменений для каждого объекта. Также существенно улучшен процесс прикрепления материалов при импортировании 3D-моделей - определения материалов теперь сохраняется как часть файлов проекта, что позволяет совместно использовать материалы между несколькими проектами;
• Добавлен режим масштабируемого просмотра сцены (Scene Camera), позволяющий разглядеть элементы на уровне отдельных пикселей;
• Переработан интерфейс управления субпредставлениями (Sub-Presentation), который теперь доступен как часть просмотрщика проектов (Project View). Упрощён процесс переключения между субпредставлениями и добавления субпредставлений в основное представление (файл .uia или QML).
• В настройках редактора представлений (Editor Presentation) добавлена опция для использования сжатых текстур. Для сжатия текстур пока следует использовать внешние утилиты, такие как etcpack;
• Реализована предварительная поддержка стереоскопичекого рендеринга. В меню View добавлена опция Stereo Mode, которая позволяет выбрать один из поддерживаемых режимов стереовывода (Top-Bottom, Left-Right и Anaglyph) и настроить расхождение изображений для правого и левого глаза;
• Проведена работа по увеличению производительности рендеринга на встраиваемых устройствах. Для тестирования нового высокопроизводительного движка отрисовки следует установить переменную окружения Q3DS_DRAGON=1;
• В QML API представлен новый элемент View3D, который можно использовать для отображения содержимого одного слоя Qt 3D Studio в сцене Qt Quick. Указанная возможность позволяет размещать 3D-объекты в разных местах сцены, не привязываясь к одной прямоугольной зоне обзора.

1. Главная ссылка к новости
2. OpenNews: Релиз фреймворка Qt 5.12 и среды разработки Qt Creator 4.8.0
3. OpenNews: Проект Qt прекращает разработку сборочной системы Qbs в пользу CMake
4. OpenNews: Проект Qt представил среду разработки Qt Design Studio 1.0
5. OpenNews: Начальный план разработки Qt 6
6. OpenNews: Первый выпуск системы проектирования трёхмерных интерфейсов Qt 3D Studio

В репозитории планируют публиковать предварительные обновления для исправления серьёзных проблем, которые могут быть востребованы определённой категорией пользователей, не желающих ждать выхода официального обновления. Например, сегодня в репозиторий Fasttrack помещено обновление для DNS-сервера Bind, в котором исправлена ошибка, приводящая в некоторых конфигурациях к периодическим крахам рабочего процесса. Для активации репозитория можно использовать команду "sudo yum-config-manager --enable fasttrack".

1. Главная ссылка к новости

В число участников OIN входит 2650 компаний, сообществ и организаций, подписавших лицензионное соглашение о совместном использовании патентов. Среди основных участников OIN, обеспечивающих формирование защищающего Linux патентного пула, такие компании, как Google, IBM, NEC, Toyota, SUSE, Philips, Red Hat, HP, Juniper, Facebook, Cisco, Fujitsu, Sony и Microsoft. Подписавшие соглашение компании получают доступ к имеющимся в руках OIN патентам, в обмен на обязательство не предъявлять судебных претензий за использование технологий, применяемых в экосистеме Linux.

Соглашение между участниками OIN распространяется только на компоненты дистрибутивов, подпадающих под определение системы Linux ("Linux System"). В настоящее время список включает 2728 пакетов, в том числе ядро Linux, платформу Android, KVM, Git, nginx, CMake, PHP, Python, Ruby, Go, Lua, OpenJDK, WebKit, KDE, GNOME, QEMU, Firefox, LibreOffice, Qt, systemd, X.Org, Wayland и т.д. Кроме обязательств о ненападении для дополнительной защиты в рамках OIN сформирован патентный пул, куда попадают скупаемые или безвозмездно передаваемые участниками патенты, связанные с Linux. Патентный пул OIN включает более 1300 патентов.

1. Главная ссылка к новости
2. OpenNews: Компания Microsoft присоединилась к инициативе по защите Linux от патентных претензий
3. OpenNews: Компания Hitachi присоединилась к инициативе по защите Linux от патентных претензий
4. OpenNews: Организация OIN включила 395 новых пакетов в программу защиты Linux от патентных претензий
5. OpenNews: Компания Toyota присоединилась к инициативе по защите Linux от патентных претензий
6. OpenNews: В программу защиты Linux от патентных претензий включено 115 новых пакетов

Основные новшества:

• Многочисленные улучшения в файловом менеджере Dolphin:
  • Добавлена новая реализация протокола MTP для доступа к хранилищам мобильных устройств;
  • Значительно увеличена скорость чтения файлов через SFTP;
  • Улучшено отображение пиктограмм и эскизов (миниатюр). Эскизы с предпросмотром содержимого теперь отрисовываются только для изображений без прозрачности. Обеспечено формирование эскизов для документов LibreOffice и пакетов AppImage;
  • При включении режима формирования эскизов для каталогов, на них теперь отображаются видеофайлы, размером больше 5 Мб;
  • При чтении звуковых компакт-дисков предоставлена возможность изменения битрейта CBR для кодировщика MP3 и корректировки времени для FLAC-файлов;
  • В меню 'Control' добавлен пункты 'Show Hidden Places' и 'Create New…' для отображения скрытых областей и для упрощения создания новых файлов и каталогов;
  • Обеспечен выход из файлового менеджера в случае закрытия единственной вкладки;
  • После отмонтирования раздела из панели Places, теперь можно сразу опять примонтировать этот раздел. Запрещено отмонтирование системных разделов и домашнего каталога;
  • В блоке "Recent Documents" обеспечен показ только актуальных документов и исключён показ ссылок на Web;
• В интерфейс поиска файлов KFind добавлена поддержка поиска с использованием метаданных, полученных через KFileMetaData;
• В почтовый клиент KMail добавлен унифицированный режим отображения входящей корреспонденции. Реализован плагин для генерации писем в формате HTML на основе теста с разметкой Markdown. Обеспечена возможность использования фреймворка Purpose для организации совместного доступа к файлам через их отправку по электронной почте;
• В просмотрщик документов Okular добавлен новый инструмент для создания аннотаций, который можно использовать для прикрепления заметок к документам. При просмотре иерархического оглавления теперь можно сворачивать и раскрывать любые разделы и секции. При наведении курсора на ссылки, связанный с ними URL теперь показывается в любое время, а не только в режиме навигации. Обеспечено корректное отображение файлов ePub с пробелами в URL ресурсов;
• В текстовом редакторе Kate обеспечена синхронизация каталога активного документа и текущего каталога во встроенном терминале. Добавлена возможность переключения фокуса между документом и встроенным терминалом через нажатие клавиши F4. В интерфейсе переключения вкладок для похожих имён файлов обеспечено отображение полного пути. Включена по умолчанию функция отображения номеров строк. Включён по умолчанию плагин для применения фильтров над текстом. Исключено отображение дубликатов в списке быстрого открытия файлов;
• В эмуляторе терминала Konsole обеспечена полная поддержки символов Emoji. Упрощено выделение файловых путей через двойной клик. Кнопки вперёд и назад на мышке теперь могут использоваться для переключения между вкладками. В меню добавлен элемент для сброса размера шрифта в значение по умолчанию. Улучшен процесс перегруппировки вкладок;
• Улучшен инструмент Lokalize для автоматизации выполнения переводов. Добавлена поддержка системы проверки синтаксиса и глоссария Pology. Обеспечено скрытие уже переведённых файлов из списка в проекте. Упрощена навигация по вкладкам и улучшен интерфейс поиска;
• В просмотрщике изображений Gwenview модернизирован инструмент для устранения эффекта красных глаз. При скрытии меню добавлено предупреждение с информацией о его восстановлении;
• В утилите для создания снимков экрана Spectacle добавлена поддержка последовательной нумерации сохраняемых файлов. В метаданных внутри файла с изображением обеспечена корректная установка времени создания скриншота. Все опции сохранения перенесены на отдельную страницу "Save";
• В интерфейс работы с архивами Ark добавлена поддержка формата Zstandard (tar.zst);
• В калькулятор KCalc добавлена функция повторения последнего вычисления несколько раз;
• В математическом пакете Cantor добавлена поддержка разметки Markdown, возможность изменения визуального оформления команд, подсветки текущей команды и ожидающих вычисления команд, вставки команд в произвольное место. В программе визуализации KmPlot налажена поддержка экспорта в SVG и любых растровых форматах.

1. Главная ссылка к новости
2. OpenNews: Релиз рабочего стола KDE Plasma 5.14
3. OpenNews: Выпуск KDE Applications 18.08
4. OpenNews: Выпуск KDE Neon на базе Ubuntu 18.04
5. OpenNews: Релиз десктоп-окружения Trinity R14.0.5, продолжающего развитие KDE 3.5
6. OpenNews: Выпуск Latte Dock 0.8, альтернативной панели для KDE

В рамках представленного проекта разработчики намерены переломить текущую ситуацию в области поддержки камер для смартфонов и встраиваемых устройств, которые привязаны к проприетарным драйверам. Если в традиционных камерах операции первичной обработки изображений производятся на встроенном в камеру специализированном процессоре (MCU), то во встраиваемых устройствах для сокращения стоимости эти функции выносятся на плечи основного CPU и требуют усложнённого драйвера, включающего не подлежащие открытию лицензированные компоненты. Пользователи подобных камер поставлены в зависимость от закрытых драйверов и специфичных программных интерфейсов. Предоставляемый ядром Linux API V4L2 был создан в расчёте на работу с традиционными обособленными web-камерами и плохо адаптирован для появившейся в последнее время тенденции выноса функциональности MCU на плечи CPU.

В рамках проекта libcamera сторонники СПО и производители оборудования попытались создать компромиссное решение, с одной стороны удовлетворяющее потребности разработчиков открытого ПО, а с другой - позволяющее защитить интеллектуальную собственность производителей камер. Предлагаемый библиотекой libcamera стек реализован целиком в пространстве пользователя. Для обеспечения совместимости с существующими программными окружениями и приложениями предоставляются прослойки для обеспечения совместимости на уровне API V4L, Gstreamer и Android Camera HAL.

Специфичные для каждой камеры проприетарные компоненты взаимодействия с оборудованием оформляются в виде модулей, выполняемых в отдельных процессах и взаимодействующих с библиотекой через IPC. Модули не имеют прямого доступа к устройству и обращаются к оборудованию через промежуточный 3A API. Запросы через данный API проверяются, фильтруются и ограничиваются только обращением к функциональности, необходимой для управления камерой.

Некоторые особенности:

• Предоставление алгоритмов для обработки и улучшения качества изображений и видео (корректировка баланса белого, устранение шума, стабилизация видео). Реализации алгоритмов могут быть как вынесены в проприетарные изолированные модули (например, алгоритмы автофокуса и выбора экспозиции), так и подключаться в виде открытых внешних библиотек;
• Возможности для управления захватом данных с камер на уровне отдельных кадров и синхронизацией снимков с работой вспышки;
• Функции раздельной работы с несколькими камерами в системе;
• Возможности захвата одновременно нескольких видеопотоков с одной камеры (например, один с низким разрешением для видеоконференции, а другой с высоким разрешением для архивной записи на диск);
• API для определения списка имеющихся внешних и встроенных камер. Поддержка профилей устройств и обработчиков событий подключения и отключения камер. Предоставление структур с информацией о возможностях каждой камеры.

1. Главная ссылка к новости
2. OpenNews: Релиз мультимедийного фреймворка GStreamer 1.14.0
3. OpenNews: Линус Торвальдс жёстко раскритиковал мэйнтейнера ядра, допустившего появление проблем в пользовательском ПО
4. OpenNews: Для MIPS-устройств разработан метод соблюдения требований FCC для использования свободных прошивок
5. OpenNews: Для драйвера xf86-video-v4l обеспечена поддержка Video For Linux 2
6. OpenNews: Для Linux подготовлен механизм перенаправления рендеринга GPU на другое устройство вывода

Ключевыми целями развития Meson является обеспечение высокой скорости сборочного процесса в сочетании с удобством и простотой использования. Вместо утилиты make при сборке применяется инструментарий Ninja. В систему встроен многоплатформенный обработчик зависимостей, позволяющий использовать Meson для сборки пакетов для дистрибутивов. Правила сборки задаются на упрощённом предметно-ориентированном языке, отличаются хорошей читаемостью и понятны пользователю (по задумке авторов разработчик должен тратить минимум времени на написание правил).

Поддерживается кросс-компиляция и сборка в Linux, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов. Возможна сборка проектов на различных языках программирования, включая C, C++, Fortran, Java и Rust. Поддерживается инкрементальный режим сборки, при котором пересобираются только компоненты, напрямую связанные с изменениями, внесёнными с момента прошлой сборки. Meson можно использовать для формирования повторяемых сборок, при которых запуск сборки в разных окружениях приводит к генерации полностью идентичных исполняемых файлов.

Основные новшества, появившиеся в выпуске Meson 0.49:

• Реализованы новые команды: "meson subprojects download" (загрузка субпроекта), "meson subprojects update" (обновление всех субпроектов) и "meson subprojects checkout" для выполнения операции checkout или создания ветки во всех Git-субпроектах.
• Добавлено новое ключевое слово "section", применимое к сборочным опциям, которое позволяет интегрированным средам разработки группировать опции по аналогии с командой "meson configure". В "section" допустимо указания следующих значений: core, backend, base, compiler, directory, user, test;
• В объект "compiler" добавлен метод get_argument_syntax для проверки поддержки компилятором расширенных опций gcc и msvc;
• Добавлена возможность передачи аргументов в функции и методы в форме словарей (ассоциативных массивов);
• В циклы foreach добавлена поддержка ключевых слов break и continue;
• Добавлен оператор "/" для соединения путей (вместо join_paths('foo', 'bar') теперь можно указывать 'foo' / 'bar');
• Добавлена поддержка кросс-компиляции для чипов Renesas RX, используя компилятор CC-RX;
• Добавлена опция "b_pie" и ключевое слово "pie" для формирования исполняемых файлов в режиме PIE (position-independent executables);
• Обеспечена возможность выполнения команды "meson introspect --projectinfo " без наличия настроенного сборочного каталога;
• При определении зависимости dependency('libgcrypt') в случае отсутствия pkg-config теперь выполняется поиск файлов libgcrypt-config.

1. Главная ссылка к новости
2. OpenNews: Компания Google представила первый выпуск открытой системы сборки Bazel
3. OpenNews: Разработчики из компании Google открыли код системы сборки Ninja
4. OpenNews: Разработчик языка XL опубликовал новую сборочную систему build
5. OpenNews: Проект Qt прекращает разработку сборочной системы Qbs в пользу CMake
6. OpenNews: Для GNOME-приложений представлена новая экспериментальная система сборки BuilDj

Линус Торвальдс сообщил, что он согласится с удалением x32, если не будут представлены аргументированные возражения или не будут заявлены системы, в которых субархитектура x32 нашла своё применение. Линус также отметил, что, судя по всему, применение x32 ограничилось экстремальными тестами производительности, так как поддержка данной субархитектуры сопряжена с большим усложнением сопровождения дистрибутивов и окружения для разработки.

В своё время при тестировании x32 один из разработчиков Gentoo пришёл к выводу, что выигрыш в производительности при переходе на x32 ABI не столь велик, как показывают синтетические тесты от создателей x32 ABI - заметный прогресс отмечается только при сравнении с устаревшей архитектурой x86, но при сравнении с актуальной архитектурой x86-64 выигрыш несущественный (проводимые создателями x32 SPEC-тесты показывали ускорение до 40% в сравнении с классическим x86_64 ABI, тестирование при прмощи кодека H.264 показало ускорение на 15-20%).

Напомним, что субархитектура x32 представляет собой гибридный x86_64 ABI, позволяющий использовать на 64-разрядных системах 32-разрядную модель адресации памяти (процессор работает в 64-разрядном режиме, но использует 32-разрядные указатели и арифметические операции). ABI X32 позволяет приложениям использовать все преимущества архитектуры x86_64, такие как дополнительные регистры и более быстрые инструкции, PIC ABI. В то же время ABI X32 даёт возможность работать с 32-разрядными указателями памяти, что позволяет экономить память, способствует более эффективному наполнению процессорного кэша и положительно сказывается на общей скорости исполнения кода. Ограничением ABI X32 является невозможность адресации из приложения более 4 Гб памяти. Поддержка X32 входит в состав ядра Linux начиная с выпуска 3.4, сформированного в мае 2012 года.

1. Главная ссылка к новости
2. OpenNews: В реализации x32 ABI ядра Linux обнаружена серьёзная уязвимость
3. OpenNews: Начало подготовки варианта Debian GNU/Linux для X32 ABI
4. OpenNews: Проект гибридного x86_64 Linux ABI с 32-битной адресацией памяти X32
5. OpenNews: Развенчивание мифов, связанных с x32 ABI
6. OpenNews: Проект гибридного x86_64 Linux ABI с 32-битной адресацией памяти X32

Напомним, что еtcd позволяет организовать единое хранилище конфигурации для группы серверов, которое реплицируются на все хосты и поддерживается в синхронизированном состоянии с использованием протокола Raft. Наличие копии данных на всех хостах позволяет исключить потерю конфигурации при выходе из строя отдельного узла. Имеется встроенная возможность отслеживания изменения состояния ключа с вызовом обработчика в случае обнаружения изменения. Etcd применяется в платформе оркестровки контейнеров Kubernetes в качестве первичного хранилища настроек в кластере.

1. Главная ссылка к новости
2. OpenNews: Red Hat поглощает компанию CoreOS
3. OpenNews: Linux Foundation представил containerd 1.0, runtime для изолированных контейнеров
4. OpenNews: Проект RethinkDB выкуплен для передачи сообществу
5. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.3
6. OpenNews: Представлен проект Fedora CoreOS

Ключевые новшества:

• Реализована архитектура armv7 (ранее были только armv6 и aarch64). В сборках armv6 теперь поставляется только образ для устройств Raspberry Pi модели "B". Для устройств BANANAPI, BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, Raspberry Pi 2, PANDABOARD, WANDBOARD, GENERICSD задействован порт armv7. Добавлена поддержка CPU Allwinner A13. Образы для систем armv6 и armv7 по умолчанию адаптированы для загрузки с использованием EFI. Включена по умолчанию поддержка терминала для последовательных портов на базе USB OTG;
• В пакетный фильтр ipfw добавлена поддержка именованных динамических состояний (keep-state, limit и check-state снабжены дополнительным аргументом flowname, который назначается для динамического правила опкодом keep-state или limit). Добавлен модуль ipfw_nptv6 с транслятором адресов для IPv6;
• В конфигурации ядра по умолчанию включена опция VIMAGE, активирующая одноимённый фреймворк виртуализации, который базируется на Jail и виртуальном сетевом стеке VNET). При помощи VNET обеспечена возможность использования пакетного фильтра pf внутри jail-окружений. В devfs.rules добавлены правила для использования mount_fusefs в jail;
• В TCP-стеке добавлен модуль с реализацией механизма определения потери пакетов RACK, который в отличие от штатного метода определения факта потери пакета, отталкивается от времени передачи, а не последовательности прихода пакетов. Суть работы RACK в том, что при получении ACK-подтверждения для пакета, любые неподтверждённые пакеты, отправленные как минимум на RTT (round-trip time) раньше подтверждённого пакета, считаются потерянными и потребуют повторной отправки. Новый алгоритм уже протестирован в инфраструктуре Google и предложен для утверждения в качестве стандарта IETF (draft-ietf-tcpm-rack-01);
• Добавлен драйвер netdump, позволяющий отправлять дампы состояния ядра после краха по сети, вместо их сохранения на локальном диске. Для отправки данных используется UDP-протокол, обслуживаемый минимальным обособленным TCP/IPv4 стеком. Приём дампа осуществляется netdump-сервером, запущенным на внешнем хосте. Создание Netdump целесообразно для отслеживания крахов бездисковых узлов кластеров, загружающихся по PXE машин или в случае отладки проблем в дисковой подсистеме. В утилиту dumpon добавлена поддержка сохранения дампов в сжатом виде, в том числе с использованием алгоритма zstd;
• Проведена реструктуризация поддержки графических драйверов. Свежие драйверы для GPU AMD и Intel теперь можно загрузить из портов. Драйверы для GPU AMD и Intel также сохранены в базовой системе и по-прежнему предлагаются по умолчанию, но они отстают в плане поддержки новых графических карт. Для получения более актуальных драйверов в большинстве случаев достаточно установить порт "graphics/drm-kmod" и активировать необходимый драйвер в rc.conf при помощи опции kld_list (например, "kld_list=/boot/modules/i915kms.ko", "kld_list=/boot/modules/amdgpu.ko" или "kld_list=/boot/modules/radeonkms.ko");
• В файловой системе UFS2 обеспечена поддержка проверочных хэшей в таблицах групп цилиндров (cylinder-group map). В UFS/FFS также добавлена и включена по умолчанию возможность консолидации команд TRIM/BIO_DELETE для сокращения операций чтения и записи за счёт пакетной отправки сразу нескольких TRIM-сообщений. Для отключения консолидации TRIM можно использовать sysctl vfs.ffs.dotrimcons=0. В драйвере ext2fs обеспечена полная поддержка ФС ext4;
• В сервере NFSv4.1 реализовано расширение Parallel NFS (pNFS), которое позволяет организовать высокоскоростной обмен данными между машинами сети за счет возможности распараллеливания обращения к данным на нескольких хранилищах, а также разделения передачи потоков данных и мета-данных. Реализация pNFS позволяет запустить один сервер метаданных и несколько серверов хранения, с которыми могут работать любые клиенты NFSv4.1 с поддержкой pNFS File Layout;
• Реализован системный вызов getrandom, который позволяет получить значения от системного генератора псевдослучайных чисел через обращение к системному вызову, что обеспечивает надёжную защиту от атак, основанных на исчерпании доступных файловых дескрипторов (при отсутствии свободных дескрипторов невозможно задействовать /dev/urandom). Также добавлена библиотека getentropy, совместимая с реализациями из Linux и OpenBSD. Существенно увеличено качество случайных чисел - алгоритм генерации псевдослучайных чисел Yarrow заменён на более надёжный алгоритм Fortuna, разработанный при участии Брюса Шнайера;
• Компоненты графического окружения KDE в портах обновлены до выпуска 5.12.5 (ранее в портах предлагался KDE 4);
  
  
  
• В инсталлятор bsdinstall и загрузчик zfsboot добавлена поддержка установки и загрузки с использованием связки UEFI+GELI (шифрованные разделы на системах с UEFI);
• В ядрах GENERIC и MINIMAL для архитектуры amd64 включена по умолчанию поддержка систем NUMA (Non-Uniform Memory Access). Для отключения поддержки NUMA можно использовать sysctl-переменную vm.numa.disabled=1 в loader.conf.
• В систему виртуализации добавлена поддержка эмуляции устройств NVMe и запуска в jail виртуальных окружений на базе гипервизора bhyve (активируется при помощи sysctl security.jail.vmm_allowed=1). Появилась возможность приёма соединений к VNC-серверу через IPv6. Добавлена поддержка управления топологией CPU для bhyve из пространства пользователя. Добавлена поддержка virtio_scsi;
• В syslog и syslogd добавлена поддержка протокола RFC 5424 для отправки по сети syslog-сообщений о наступлении событий;
• Обновлён драйвер виртуальной консоли. Новый вариант обеспечивает отрисовку текста в 2-6 раз быстрее;
• Фреймворк capsicum, позволяющий организовать изолированное выполнение приложений с ограничением использования определённых функций, включён по умолчанию для архитектур armv6 и armv7;
• Внесены улучшения в загрузчик, написанный на языке Lua: добавлено определение списка доступных ядер во время загрузки и реализована поддержка чёрного списка модулей ядра;
• Обновлены компоненты прослойки для обеспечения совместимости с Linux. Добавлены новые версии модулей linux.ko и linux64.ko. Обеспечена возможность использования порта x11/nvidia-driver* с модулем linux64.ko;
• Для группы operator открыт доступ к устройству /dev/acpi, что позволяет пользователям из этой группы запускать acpiconf для перехода в спящий режим;
• При сборке активирован по умолчанию режим повторяемой пересборки, обеспечивающий тождественность исполняемых файлов исходным текстам (в src.conf добавлена опция WITH_REPRODUCIBLE_BUILD). В src.conf также добавлена опция WITH_RETPOLINE для сборки компонентов пользовательского окружения с защитой от уязвимостей Spectre;
• Для динамического связывания на системах amd64, i386 и armv7. по умолчанию задействован компоновщик ld_lld, развиваемый проектом LLVM;
• Библиотека pthread приведена в соответствие со стандартом POSIX/SUSv4-2018;
• В rc-скрипты добавлены новые ключевые слова "enable", "disable" и "delete" (помимо "yes" и "true");
• Обновлена поддержка оборудования, в том числе добавлены драйверы для AMD Ryzen 2 и Microchip LAN78xx USB3-GigE. В usb_template добавлен новый тип устройств multifunction, позволяющий работать с комбинированными USB-устройствами, которые можно использовать как накопитель, CDC ACM (serial) и CDC ECM (ethernet);
• Для сетевых сокетов реализована опция SO_REUSEPORT_LB, которая уже поддерживается в nginx. SO_REUSEPORT_LB позволяет нескольким программам или потокам подключать свои обработчики к одному сетевому порту (поступающие запросы балансируются между подключенными обработчиками при помощи хэш-функции);
  
  
  
• Процесс init адаптирован для запуска исполняемых файлов на языках, отличных от shell, например, теперь можно создавать скрипты инициализации на Python;
• В утилиту dtrace добавлена поддержка выражений "if" и "else";
• В утилите geli добавлена возможность инициализации сразу нескольких шифрованных разделов, когда в них используется один и тот же пароль или ключ;
• Переработана утилита top;
• В качестве утилиты для многостраничного вывода по умолчанию для большинства команд задействована программа less (переменная окружения PAGER ссылается на less вместо утилиты more);
• В утилиту localedef добавлены опции '-b' и '-l' для определения порядка следования байт в выводе. Утилита localedef теперь используется при сборке share/ctypedef и share/colldef;
• Пакетный менеджер pkg в dvd1.iso и файл конфигурации pkg обновлены для использования ежеквартально обновляемого набора пакетов (2018Q4);
• Добавлен дополнительный уровень изоляции выполнения процесса sshd, реализованный при помощи системы capsicum;
• Переработан код управления блокировками в пакетном фильтре pf (блокировки rwlock заменены на rmlock), что позволило существенно поднять его производительность. Убраны ограничения на установку только 32-разрядных значений при лимитировании пропускной способности через ALTQ (например метод HFSC теперь может манипулировать пропускной способностью до 100 Gbps);
• В базовую систему и набор rescue добавлена утилита bectl для управления загрузочными окружениями ZFS. Для ZFS добавлены новые sysctl vfs.zfs.arc_min_prefetch_ms и vfs.zfs.arc_min_prescient_prefetch_ms, позволяющие ускорить выполнение команды "zpool scrub";
• Программа ntpd модифицирована для запуска без привилегий root (теперь работает под UID/GID ntpd);
• Обновлены версии поставляемых в базовой системе сторонних проектов: OpenSSL 1.1.1a (с поддержкой TLS 1.3), Unbound 1.8.1 с включением по умолчанию DANE-TA, OpenSSH 7.8p1, Lua 5.3.5, ntpd 4.2.8p12, bsnmp 1.13. В портах Perl обновлён до 5.26.2, а Python до 2.7. До версии 4.46 обновлён шрифт Terminus BSD Console, используемый драйвером виртуального терминала. Компоненты Clang, libc++, compiler-rt, LLDB, LLD и LLVM обновлены до версии 6.0.1 (во FreeBSD 11.2 используется версия 6.0.0, поэтому изменения только корректирующие);
• Помечена устаревшей утилита ctm (зеркалирование исходных текстов FreeBSD), которая будет удалена во FreeBSD 13;
• Прекращена поддержка протоколов Token Ring и ARCnet;
• Объявлены устаревшими драйверы: ae(4), bm(4), cs(4), de(4), dme(4), ed(4), ep(4), ex(4), fe(4), pcn(4), sf(4), sn(4), tl(4), tx(4), txp(4), vx(4), wb(4) и xe(4).

1. Главная ссылка к новости
2. OpenNews: Пересмотр сроков поддержки релизов FreeBSD
3. OpenNews: Во FreeBSD 13 планируют удалить большинство драйверов Ethernet 10/100
4. OpenNews: В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании
5. OpenNews: Релиз FreeBSD 11.2
6. OpenNews: Проекту FreeBSD исполнилось 25 лет