• Хост deb.debian.org выставлен в качестве применяемого по умолчанию HTTP-зеркала;
• В debian-archive-keyring-udeb реализована поставка раздельных ключей (keyring) для каждого релиза Debian;
• Версия ядра Linux обновлена с 4.16 до 4.18;
• В debian-installer образ netboot.tar.gz для архитектуры armhf унифицирован с аналогичными образами для других архитектур;
• Пакет ttf-freefont-udeb заменён на fonts-freefont-udeb;
• На стадии загрузки EFI обеспечено использование экранного разрешения, выставленного в grub;
• Налажена работа горячей клавиши F10 для показа подсказки на загрузочном экране;
• В debootstrap по умолчанию задействована опция "--merged-usr", при которой все исполняемые файлы и библиотеки из корневых директорий переносятся в раздел /usr (каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr)
• В partman-auto-lvm добавлена возможность ограничения размера при использовании LVM VG;
• В partman-crypto обеспечена установка опции discard для контейнеров с LUKS;
• В pkgsel отключена установка по умолчанию пакета unattended-upgrades, обеспечивающего автоматическую установку обновлений, связанных с устранением уязвимостей;
• В pkgsel реализована установка новых зависимостей при выборе режима safe-upgrade (по умолчанию);
• Из u-boot убрана поддержка ARM SoC на базе Marvell OpenRD, удалён образ Firefly-RK3288;
• Добавлен образ для SoC Sinovoip_BPI_M3 (armhf) и pinebook (arm64);
• Добавлена поддержка плат Raspberry PI 3 B+, Helios-4 NAS, Rockchip RK3288 Tinker Board, HummingBoard, SolidRun Cubox-i Dual/Quad;
• Обновлена поддержка плат Firefly-RK3399, Rockchip RK3399, Marvell 8040 MACCHIATOBin, Pine64+ и Raspberry Pi 3 Model B;
• В урезанный deb-пакет (udeb) virtio-modules добавлен модуль virtio_console.

1. OpenNews: Выпуск Debian 9.6
2. OpenNews: Debian столкнулся с лицензионными проблемами, мешающими поставке обновления микрокода Intel
3. OpenNews: Debian GNU/Linux исполнилось 25 лет
4. OpenNews: Третий альфа-выпуск инсталлятора Debian 10 "Buster"
5. OpenNews: Релиз дистрибутива Devuan 2.0, форка Debian 9 без systemd

Основные изменения:

• В gpg-wks-client реализованы новые команды "--install-key" и "--remove-key", позволяющие сформировать Web Key Directory на локальной системе для дальнейшей загрузки на web-сервер;
• В "gpg --list-option" добавлена новая опция "show-only-fpr-mbox", упрощающая использование команды "gpg-wks-client --install-key" в Windows;
• Ускорена работа режима "gpg --skip-verify";
• В выводе "gpg --card-status" теперь показывается, включены ли на карте новые KDF-функции (key derivation function);
• В agent добавлена опция "--s2k-calibration=MSEC". В скрипт configure также добавлена сборочная опция "--with-agent-s2k-calibration=MSEC";
• В dirmngr реализована отправка запросов к другому серверу ключей из текущего пула, если запрошенный сервер вернул коды ошибок 502, 503 или 504;
• В dirmngr добавлена защита от возможных CSRF-атак, манипулирующих перенаправлением HTTP-запросов (HTTP-ответы с кодами редиректа 3xx на внешние хосты теперь игнорируются);
• В dirmngr добавлена команда FLUSHCRL для сброса всех CRLS с диска и из памяти.

1. OpenNews: GnuPG признан пригодным для заверения нотариальных актов в штате Вашингтон
2. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
3. OpenNews: Уязвимость в GnuPG
4. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
5. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt

Особенности LibreSSL 2.9.0:

• Реализован криптографический хэш SM3 (GB/T 32905-2016), стандартизированный для учреждений Китая;
• Обеспечена автоматическая инициализация CRYPTO_LOCK. Для обеспечения совместимости добавлены заглушки для callback-вызовов, ранее применяемых для инициализации;
• Для улучшения совместимости с OpenSSL добавлены дополнительные макросы OPENSSL_NO_*. Реализованы тесты совместимости с OpenSSL 1.0 и 1.1;
• Упрощена обработка опций алгоритмов формирования цифровых подписей (sigalg). Упрощён алгоритм подписи при согласовании соединений (handshake signing);
• Добавлена возможность применения алгоритма RSA PSS для подписей при согласовании соединений;
• Добавлена функция bn_rand_interval(), которая задействована в коде, использующем ограниченный диапазон случайных значений;
• Добавлена функциональность для раннего получения, согласования и применения секретов в соответствии с требованиями RFC8446;
• Добавлена реализация конечного автомата для согласования соединений (handshake state machine), определённого в RFC8446;
• Из libcrypto удалён код, связанный с поддержкой ASN.1, которая не используется с начала 2000-х годов;
• Добавлены ассемблерные оптимизация для 32-разрядных систем ARM;
• Усилена защита от атак по сторонним каналам в коде генерации цифровых подписей ECDSA;
• В реализацию некоторых эллиптических кривых добавлены скоординированные шумы для противодействия уязвимости PortSmash в SMT/Hyper-Threading.

Одновременно подготовлены корректирующие выпуски LibreSSL 2.8.3 и 2.7.5, в которых решены проблемы при сборке с использованием cmake, добавлена дополнительная защита от уязвимости PortSmash, добавлена защита от атак по сторонним каналам при генерации ключей DSA и ECDSA, внесены исправления в реализацию вызова getentropy.

1. OpenNews: Релиз OpenBSD 6.4, OpenSSH 7.9 и LibreSSL 2.8.2
2. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
3. OpenNews: Google представил криптографическую библиотеку Tink
4. OpenNews: Разработчики OpenBSD представили криптографическую библиотеку libcsi
5. OpenNews: Выпуск криптографической библиотеки Botan 2.8.0

Первая уязвимость (CVE-2018-16873) проявляется при выполнении команды "go get -u" и прямом импорте модулей в режиме GOPATH. Атака сводится к созданию в модуле импортируемых путей, заканчивающихся на "/.git", которые воспринимаются при вызове "go get -u" как корень репозитория с последующим выполнением в нём команд git. Выполнение кода организуется через размещение вредоносных команд в прикреплённом к репозиторию файле конфигурации git;

Вторая уязвимость (CVE-2018-16874) позволяет при выполнении команды "go get" выйти за пределы определённого для модуля корневого пути, через манипуляцию с фигурными скобками в импортируемых путях. Проблема проявляется только в режиме GOPATH и не затрагивает появившийся в Go 1.11 экспериментальный режим модулей. При помощи данной уязвимости атакующий может перезаписать произвольные файл в ФС, насколько это позволяют текущие полномочия.

1. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
2. OpenNews: Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
3. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
4. OpenNews: Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами
5. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux

В новой версии устранён крах при импортировании последовательности изображений и налажено применение градиентной заливки при подготовке титров. Изменения в основном сведены к исправлению ошибок, так как в рамках текущего цикла разработки был проведён значительный рефакторинг кодовой базы и для окончательного оттачивания новой функциональности было решено отложить изменения до весеннего выпуска Kdenlive 19.04. В настоящее время новую функциональность, например, поддержку распараллеливания рендеринга, эффект размывания при быстром перемещении, задействование аппаратного ускорения при создании клипов, улучшенные средства управления ключевыми кадрами и обновлённую шкалу времени, можно протестировать в форме ночных сборок.

1. OpenNews: Релиз видеоредактора Shotcut 18.07 и бета-выпуск Kdenlive 18.08
2. OpenNews: Релиз системы нелинейного видеомонтажа Kdenlive 15.08
3. OpenNews: Новые версии видеоредакторов Kdenlive 16.08 и Pitivi 0.97
4. OpenNews: Выпуск свободных видеоредакторов OpenShot 2.4.3 и Shotcut 18.09
5. OpenNews: Выпуск видеоредакторов Shotcut 18.11 и DaVinci Resolve 15.2

В новой версии в основном обновлены входящие в состав компоненты, в том числе zsh 5.6.2, rsyslog 8.38.0, Oracle JET 5.2, django 1.11.16, ImageMagick 6.9.10-1.4, curl 7.62.0, MySQL 5.7.24, libtiff, libsndfile, squid, net-snmp. В состав включен пакет с компилятором Rust 1.28.0. Добавлена поддержка сетевых плат Dell OptiPlex XE3.

1. OpenNews: Выпуск дистрибутива OpenIndiana 2018.10, продолжающего развитие OpenSolaris
2. OpenNews: Релиз Solaris 11.4
3. OpenNews: Представлен LiveDVD на базе OpenIndiana/Illumos для платформы SPARC
4. OpenNews: Представлен v9os, минималистичный дистрибутив Illumos для систем SPARC
5. OpenNews: Представлен OmniOS Community Edition, новый дистрибутив Illumos

• Страница активации нового пользователя могла индексироваться поисковыми системами, что при определённых настройках могло привести к утечке через поисковики email-адресов и сгенерированных по умолчанию паролей;
• Пользователи могли через манипуляции с мета-данными выполнить подстановку объектов и инициировать выполнение своего PHP-кода;
• Авторы могли изменить метаданные для инициирования удаления файлов, не имея на это полномочий;
• Авторы могли размещать неразрешённые им типы публикаций через манипуляции с параметрами запроса;
• Непривилегированные участники могли редактировать новые комментарии более привилегированных пользователей (в том числе могли подставить в комментарии JavaScript-код, если автор изначального комментария имел на это полномочия);
• Возможность организации межсайтового скриптинга через указание специально оформленных ссылок (непосредственно WordPress не подвержен проблеме, но уязвимость проявляется при использовании некоторых плагинов);
• Возможность организации межсайтового скриптинга через загрузку авторами контента специально модифицированных файлов, которые позволяют обойти проверку MIME-типов на системах под управлением http-сервера Apache (WordPress определял MIME-тип по расширению без учёта содержимого, что, например, позволяет загрузить phar-файл в файле с расширением ".jpg" при проведении атак "Phar deserialization").

1. OpenNews: Релиз системы управления web-контентом WordPress 5.0 с новым web-редактором
2. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
3. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
4. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
5. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля

В новом выпуске:

• Переработана система управления отображением материалов на поверхностях объектов. Для изменения свойств материала у группы объектов, в которых используется один и тот же материал, теперь достаточно применить изменения к одному материалу, без внесения изменений для каждого объекта. Также существенно улучшен процесс прикрепления материалов при импортировании 3D-моделей - определения материалов теперь сохраняется как часть файлов проекта, что позволяет совместно использовать материалы между несколькими проектами;
• Добавлен режим масштабируемого просмотра сцены (Scene Camera), позволяющий разглядеть элементы на уровне отдельных пикселей;
• Переработан интерфейс управления субпредставлениями (Sub-Presentation), который теперь доступен как часть просмотрщика проектов (Project View). Упрощён процесс переключения между субпредставлениями и добавления субпредставлений в основное представление (файл .uia или QML).
• В настройках редактора представлений (Editor Presentation) добавлена опция для использования сжатых текстур. Для сжатия текстур пока следует использовать внешние утилиты, такие как etcpack;
• Реализована предварительная поддержка стереоскопичекого рендеринга. В меню View добавлена опция Stereo Mode, которая позволяет выбрать один из поддерживаемых режимов стереовывода (Top-Bottom, Left-Right и Anaglyph) и настроить расхождение изображений для правого и левого глаза;
• Проведена работа по увеличению производительности рендеринга на встраиваемых устройствах. Для тестирования нового высокопроизводительного движка отрисовки следует установить переменную окружения Q3DS_DRAGON=1;
• В QML API представлен новый элемент View3D, который можно использовать для отображения содержимого одного слоя Qt 3D Studio в сцене Qt Quick. Указанная возможность позволяет размещать 3D-объекты в разных местах сцены, не привязываясь к одной прямоугольной зоне обзора.

1. OpenNews: Релиз фреймворка Qt 5.12 и среды разработки Qt Creator 4.8.0
2. OpenNews: Проект Qt прекращает разработку сборочной системы Qbs в пользу CMake
3. OpenNews: Проект Qt представил среду разработки Qt Design Studio 1.0
4. OpenNews: Начальный план разработки Qt 6
5. OpenNews: Первый выпуск системы проектирования трёхмерных интерфейсов Qt 3D Studio

В репозитории планируют публиковать предварительные обновления для исправления серьёзных проблем, которые могут быть востребованы определённой категорией пользователей, не желающих ждать выхода официального обновления. Например, сегодня в репозиторий Fasttrack помещено обновление для DNS-сервера Bind, в котором исправлена ошибка, приводящая в некоторых конфигурациях к периодическим крахам рабочего процесса. Для активации репозитория можно использовать команду "sudo yum-config-manager --enable fasttrack".

В число участников OIN входит 2650 компаний, сообществ и организаций, подписавших лицензионное соглашение о совместном использовании патентов. Среди основных участников OIN, обеспечивающих формирование защищающего Linux патентного пула, такие компании, как Google, IBM, NEC, Toyota, SUSE, Philips, Red Hat, HP, Juniper, Facebook, Cisco, Fujitsu, Sony и Microsoft. Подписавшие соглашение компании получают доступ к имеющимся в руках OIN патентам, в обмен на обязательство не предъявлять судебных претензий за использование технологий, применяемых в экосистеме Linux.

Соглашение между участниками OIN распространяется только на компоненты дистрибутивов, подпадающих под определение системы Linux ("Linux System"). В настоящее время список включает 2728 пакетов, в том числе ядро Linux, платформу Android, KVM, Git, nginx, CMake, PHP, Python, Ruby, Go, Lua, OpenJDK, WebKit, KDE, GNOME, QEMU, Firefox, LibreOffice, Qt, systemd, X.Org, Wayland и т.д. Кроме обязательств о ненападении для дополнительной защиты в рамках OIN сформирован патентный пул, куда попадают скупаемые или безвозмездно передаваемые участниками патенты, связанные с Linux. Патентный пул OIN включает более 1300 патентов.

1. OpenNews: Компания Microsoft присоединилась к инициативе по защите Linux от патентных претензий
2. OpenNews: Компания Hitachi присоединилась к инициативе по защите Linux от патентных претензий
3. OpenNews: Организация OIN включила 395 новых пакетов в программу защиты Linux от патентных претензий
4. OpenNews: Компания Toyota присоединилась к инициативе по защите Linux от патентных претензий
5. OpenNews: В программу защиты Linux от патентных претензий включено 115 новых пакетов

Напомним, что еtcd позволяет организовать единое хранилище конфигурации для группы серверов, которое реплицируются на все хосты и поддерживается в синхронизированном состоянии с использованием протокола Raft. Наличие копии данных на всех хостах позволяет исключить потерю конфигурации при выходе из строя отдельного узла. Имеется встроенная возможность отслеживания изменения состояния ключа с вызовом обработчика в случае обнаружения изменения. Etcd применяется в платформе оркестровки контейнеров Kubernetes в качестве первичного хранилища настроек в кластере.

1. OpenNews: Red Hat поглощает компанию CoreOS
2. OpenNews: Linux Foundation представил containerd 1.0, runtime для изолированных контейнеров
3. OpenNews: Проект RethinkDB выкуплен для передачи сообществу
4. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.3
5. OpenNews: Представлен проект Fedora CoreOS

Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library License, одобренной Фондом СПО и организацией OSI. Лицензия основана на LGPL и отличается позволением использования собственных условий для распространения производных работ в бинарной форме. Кроме разработки программ на Си/Си++ wxWidgets предоставляет биндинги для большинства популярных языков программирования, в том числе для PHP, Python, Perl и Ruby. В отличие от других тулкитов, wxWidgets обеспечивает для приложения по-настоящему родной для целевой системы внешний вид и методы взаимодействия, благодаря использованию системных API, а не имитации GUI.

Основные новшества wxWidgets 3.1.2:

• Предложен новый экспериментальный порт wxQt;
• Переработана поддержка OpenGL, улучшено использование новых версий OpenGL (3.2+);
• Реализована новая сборочная система на базе CMake. В сборочную систему добавлена поддержка новых компиляторов (MSVS 2017, g++ 8) и операционных систем (macOS 10.14);
• Добавлена поддержка событий для управляющих жестов, воспроизводимых при помощи мыши;
• В wxFont и wxGraphicsContext добавлена возможность указания нецелых значений при определении размера шрифтов и ширины светового пера;
• В wxStaticBox реализована возможность назначения произвольных меток окнам;
• Улучшена поддержка экранов с высокой плотностью пикселей (High DPI);
• Добавлена поддержка сжатия LZMA и файлов ZIP 64;
• Представлены новые классы: wxActivityIndicator, wxAddRemoveCtrl, wxAppProgressIndicator, wxNativeWindow, wxPowerResourceBlocker, wxSecretStore;
• Представлены новые методы: wxDataViewToggleRenderer::ShowAsRadio(), wxDateTime:: GetWeekBasedYear(), wxDisplay::GetPPI(), wxGrid::SetCornerLabelValue(), wxHtmlEasyPrinting::SetPromptMode(), wxJoystickEvent::GetButtonOrdinal(), wxListBox::GetTopItem(), wxProcess::Activate(), wxTextEntry::ForceUpper(), wxStandardPaths::GetUserDir(), wxToolbook::EnablePage(), wxUIActionSimulator::Select();
• Внесены значительные улучшения в классы wxBusyInfo, wxDataViewCtrl, wxNotificationMessage, wxStaticBox, wxStyledTextCtrl;
• Обновлены все входящие в комплект сторонние библиотеки. Добавлена поддержка WebKit 2 и GStreamer 1.7;
• Внесены улучшения, связанные с поддержкой стандарта C++11.

1. OpenNews: Релиз графического тулкита wxWidgets 3.1.1
2. OpenNews: Релиз графического тулкита wxWidgets 3.0.3
3. OpenNews: Пре-альфа версия порта Far Manager под Linux
4. OpenNews: Релиз графического тулкита wxWidgets 3.1.0
5. OpenNews: Выпуск САПР KiCad 5.0

В новом выпуске добавлен диалог для подтверждения применения автоматически загруженных обновлений. Добавлена проверка запуска из виртуальных машин и обеспечен вывод предупреждения о снижении безопасности в случае работы с использованием виртуализации. В Thunderbird отключена функция автоматического шифрования чтобы не создавать у пользователя уверенность, что отправляемые данные всегда зашифрованы. Обновлены версии ядра Linux 4.18.20, Tor Browser 8.0.4 и Thunderbird 60.3.0.

Одновременно, выпущена новая версия специализированного браузера Tor Browser 8.0.4, ориентированного на обеспечение анонимности, безопасности и приватности. В новом выпуске осуществлена синхронизация с выпуском Firefox 60.4.0 ESR, в котором устранено 10 критических уязвимостей (объединены под CVE-2018-12405). Обновлены версии Tor 0.3.4.9 и OpenSSL 1.0.2q, а также выпуски встроенных дополнений Torbutton 2.0.9, HTTPS Everywhere 2018.10.31 и NoScript 10.2.0. Из экспериментальной ветки 8.5 перенесена защита от атак по подбору версии протокола, решены проблемы с повторяемыми сборками CSS-движка Stylo, на платформе Windows осуществлён откат на 4 уровень sandbox-изоляции (по умолчанию в Firefox) из-за проблем с работой Tor Launcher. Из состава сборок для платформы Linux удалён неработающий бридж FTE.

1. OpenNews: Релиз дистрибутива Tails 3.10.1 и браузера Tor Browser 8.0.3
2. OpenNews: Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser 7.x
3. OpenNews: Выпуск web-браузера Tor Browser 8.0
4. OpenNews: Релиз Firefox 64
5. OpenNews: Релиз дистрибутива Tails 3.9

Новый выпуск включает улучшения совместимости с Ruby 2.x и оптимизацию потребления памяти. Основные новшества:

• Реализованы именованные аргументы (keyword arguments);
• Реализована деконструкция аргументов;
• В mruby-kernel-ext добавлен метод Kernel#then для Kernel#yield_self (совместим с Ruby 2.6);
• В mruby-array-ext для обеспечения совместимости с Ruby 2.6 добавлена возможность вызова Array#to_h в блоках и реализован метод Array#union;
• В mruby-string-ext добавлена возможность вызова String#lines в блоках и добавлены методы String#tr, String#tr!, String#tr_s, String#tr_s!, String#squeeze, String#squeeze!, String#count, String#delete, String#delete;
• В ruby-pack добавлен метод String#unpack1
• Уменьшено потребление памяти. Появился новый формат байткода.

1. OpenNews: Обновление Ruby 2.5.1 с устранением уязвимостей
2. OpenNews: Выпуск сервера приложений NGINX Unit 0.7 с поддержкой Ruby
3. OpenNews: В RubyGems устранено 7 уязвимостей
4. OpenNews: Выпуск языка программирования Ruby 2.5.0
5. OpenNews: В RubyGems выявлена удалённо эксплуатируемая уязвимость

Проведённая проверка охватывала контрольные выборки ныне выпускающихся и устаревших моделей плат, в том числе экземпляры, купленные упомянутыми в статье компаниями. Напомним, что сразу после публикации Apple, Amazon и Supermicro категорически отвергли информацию об обнаружении имплантов и указали, что, вопреки заявлениям в статье, не выявляли вредоносные чипы в имеющемся оборудовании. Позднее издание Bloomberg раскрыло один из источников, но в новом материале всплыло множество несостыковок в описании импланта, а фотографий чипа и доказательств его наличия так и не было предоставлено.

1. OpenNews: Bloomberg раскрыл источник сведений о шпионском чипе в платах Supermicro
2. OpenNews: Противоречивые сведения о выявлении шпионского чипа на платах Supermicro
3. OpenNews: Семь уязвимостей в IPMI-прошивках Supermicro
4. OpenNews: Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса