Скрыть

В библиотеке libXfont, входящей в состав X.Org и используемой в X-сервере, обнаружена опасная уязвимость (CVE-2013-6462), позволяющая организовать выполнение кода при обработке специально оформленного файла со шрифтом в формате BDF. Проблема была выявлена при проверке кода X.Org в статическом анализаторе cppcheck и связана с возможностью выхода за пределы выделенного буфера при наличии в BDF строк большого размера.

Проблему усугубляет то, что библиотека libXfont используется во всех вариантах X-серверов, в том числе том, что выполняется с правами пользователя root, что позволяет использовать данную уязвимость для повышения локальным пользователем своих привилегий в системе. Примечательно, что уязвимость появилась в кодовой базе ещё в мае 1991 года. Проблема исправлена в опубликованном сегодня выпуске libXfont 1.4.7.

Цельнотянуто с opennet.ru

>>> Подробнее

Скрыть

Вслед за тестовой версией оболочки рабочего стола KDE Plasma 2 представлен первый предварительный выпуск KDE Frameworks 5. KDE Frameworks 5 включает в себя реструктуризированный и портированный на Qt5 базовый набор библиотек и runtime-компонентов, лежащих в основе KDE. Первый стабильный релиз KDE Frameworks 5 ожидается в начале июня.

В отличие от ранее поставляемых монолитных пакетов (kdesupport, kdelibs и kde-runtime), в KDE Frameworks 5 осуществлён переход к модульной архитектуре, подразумевающей наличие взаимодействующих друг с другом независимых и кроссплатформенных фреймворков, доступных для использования не только в KDE, но в любых приложениях на базе Qt. Ранее при желании использовать в своей программе возможности библиотек KDE, такие как меню, панели инструментов, средства проверки орфографии и функции для работы с файлами, требовалось установить монолитный пакет kdelibs, состоящий из неразрывно связанных между собой библиотек.

KDE Frameworks 5, благодаря разбиению kdelibs на независимые модули, связанные явно определёнными зависимости, позволяет установить только библиотеки, необходимые для работы программы. Подобный подход предоставляет возможность использования библиотек KDE в сторонних Qt-проектах, не привязанных к KDE, и открывает двери для постепенного выноса не специфичной для KDE функциональности в состав Qt.

В целом API остался неизменным, изменения связаны только с перераспределением функциональности по библиотекам и внутренней адаптацией для использования Qt 5. Пакет kdelibs разбит на модули, оформленные в виде дополнений к Qt, в расчете один модуль на каждую библиотеку. Сохранение базовой обратной совместимости API позволяет упростить портирование существующих приложений на технологии KDE Frameworks 5, как правило, достаточно внести минимальные изменения в сценарий сборки и заголовочные файлы.

KDE Frameworks 5 состоит из 57 модулей, разделённых на три категории:

•  19 функциональных дополнений к Qt, расширяющих возможности Qt в определённых направлениях, например в плане предоставления средств для управления конфигурацией. Отнесённые к данной категории библиотеки не требуют дополнительных зависимостей, кроме Qt. Среди входящих в данную категорию модулей: KArchive, KPlotting, Threadweaver, KConfig, KCoreAddons, KCodecs, KDBusAddons, KJS, KWindowSystem, Sonnet (проверка орфографии), Solid (обработка событий от оборудования);
•  9 библиотек для интеграции с операционной системой, расширяющих функции первой категории зависимостями, специфичными для различных операционных систем (например, libktimezone может использовать ktimezoned в Linux и отдельный API на платформе Windows). Среди входящих в данную категорию модулей: KDNSSD, KAuth, KCompletion, KCrash, KI18n, KNotifications, KWallet;
•  29 библиотек, составляющих полнофункциональный программный стек KDE, включающий зависимости от дополнительных библиотек и runtime-компонентов. Среди входящих в данную категорию модулей: KIO (KDE Input/Output), KService, KBookmarks, KConfigWidgets, KDEWebKit, KMediaPlayer.

Скачать образ с KDE5

>>> Подробнее

Скрыть

Увидел свет релиз проекта LLVM 3.4 (Low Level Virtual Machine) - GCC совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный платформонезависимый псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы.

Основные новшества LLVM 3.4:

•  Существенно увеличена производительность генератора кода. При использовании флагов оптимизации "-Os" и "-O2" по умолчанию включена поддержка автоматической векторизации циклов, ранее применяемой только при указании флага "-O3". Также включен по умолчанию представленный в прошлом выпуске новый SLP-векторизатор.
•  Сборка по умолчанию бэкэнда для использования в качестве целевой платформы GPU семейства R600 (HD2XXX - HD7XXX). Бэкэнд необходим для компилятора шейдеров LLVM, который в свою очередь требуется для открытой реализации стандарта OpenCL;
•  В llvm-ar задействована новая библиотека объектов и обеспечена генерация архивов и таблиц символов в формате GNU;
•  Значительно расширены биндинги для языка OCaml, которые теперь охватывают возможности всех библиотек LLVM;
•  Внесены заметные изменения в бэкенд для процессоров PowerPC, положительно повлиявшие на качество кода и скорость сборки;
•  В бэкенд MIPS добавлена поддержка архитектуры MSA (MIPS SIMD Architecture);
•  Добавлен экспериментальный бэкенд для архитектуры SPARC V9;
•  В бэкенд для архитектуры SPARC добавлена поддержка JIT, fp128, обработки исключений и TLS (Thread-Local Storage);
•  Расширены возможности бэкендов X86, ARM32, Aarch64 и SystemZ;
•  LLVM 3.4 является последним выпуском, который может быть собран компилятором с поддержкой стандарта C++'98, для сборки следующих версий потребуется компилятор, совместимый с C++'11.

Улучшения в Clang:

•  Обеспечена полная поддержка всех возможностей текущего чернового варианта будущего стандарта C++1y;
•   В Clang Static Analyzer существенно улучшена поддержка C++, сокращено число ложных срабатываний и расширено число выявляемых ошибок;
•  В состав включена новая утилита "clang-format", которую можно использовать для автоматического форматирования кода в текстовых редакторах или интегрированных средах разработки, на основе заданного набора правил стилевого оформления кода;
•  Добавлен драйвер с экспериментальным альтернативным интерфейсом командной строки, обеспечивающим совместимость на уровне опций с компилятором cl.exe из состава Visual Studio. Драйвер может применяться для упрощения миграции проектов на Clang без переработки сборочных сценариев;
•  При использовании флага "-O4" теперь не включается оптимизации на стадии компоновки (link-time optimization), для которой следует явно указать флаг "-flto", применяемый при любом уровне оптимизации.

Также версия 3.4 дала старт новым субпроектам, о которых можно прочесть в оригинальной статье.

Качнуть сорса

>>> Подробнее

Скрыть

Написал за праздники маленькую программу. Что понравилось - можно передавать и возвращать функции из функций. Можно писать функции, которые единообразно работают с функциями с любым числом аргументов. Язык показался смесью джаваскрипта и хаскеля.

Считаю большим шагом вперед, что теперь можно писать нормальные программы, которые компилируются в нормальные бинарники и при этом делать это на языке, который на порядок мощнее джавы.

Для разработки в вебе есть http://vibed.org/features Я прошлой зимой использовал, понравилось.

Рассказик про вебдев на D: http://www.youtube.com/watch?v=Zs8O7MVmlfw

А тут компания занимается в вебе чем-то вроде супербыстрого анализа и подбора adwords (Real-time bidding for online advertising):

http://www.youtube.com/watch?v=pmwKRYrfEyY Billions of auctions per day

Terabytes/day

50 milliseconds (minus net latency) to place a bid

- Typical hard disk seek time is 9 ms

- For most bids we achieve <= 2 ms

Для работы с БД вроде ничего особо интересного: некое подобие Hibernate и несколько ODBC-подобных либ и байндингов.

https://github.com/buggins/hibernated/blob/master/hdtest/htestmain.d

http://britseyeview.com/software/mysqln/

http://pszturmaj.github.io/ddb/db.html

https://github.com/denizzzka/dpq2

Судя по тематике либ на http://code.dlang.org, народ в основном пытается игрушки писать. Так-то можно практически что угодно писать, но не стоит рассчитывать на обилие готовых либ и фреймворков.

>>> Подробнее

Скрыть

Скоро, скоро Новый год...
Лошадь в гости к нам придёт...
Значит будем ржать, как кони...
Хрен проблемы нас догонят...
Всей страной курить бросаем (капля ж лошадь убивает)...
От работы кони мрут–
Чередуй с морями труд...
В общем в этот год лошадки-
Всем ребята жизни сладкой!!!
Чтоб не рвался ваш коннект,
Был в порядке интеллект,
Чтоб "железо" не сдыхало
И здоровья чтоб хватало!
Чтоб порядок в семьях был,
Чтоб вас Столлман осенил! :)
Будьте счастливы, друзья!
Нам ведь горе - не беда!!!

Правильно его справляйте,
О друзьях не забывайте,
Остальное Дед Мороз
Чтоб на счёт вам сразу внёс!

>>> Подробнее

Скрыть

Приказ Министерства труда и социальной защиты Российской Федерации от 18 ноября 2013 г. N 679н г. Москва "Об утверждении профессионального стандарта "Программист"

Зарегистрирован в Минюсте РФ 18 декабря 2013 г.

Регистрационный N 30635

В соответствии с пунктом 22 Правил разработки, утверждения и применения профессиональных стандартов, утвержденных постановлением Правительства Российской Федерации от 22 января 2013 г. N 23 (Собрание законодательства Российской Федерации, 2013, N 4, ст. 293), приказываю:

Утвердить прилагаемый профессиональный стандарт "Программист".

Министр М. Топилин

а вот сам стандарт огромного размера картинка http://img.rg.ru/pril/90/26/72/6267_22.gif

>>> Подробнее

Скрыть

Разработчики стандарта HTTP/2.0 предложили шифровать все данные, передаваемые по Всемирной паутине. Производители веб-браузеров поддержали это предложение. Между тем, другие важные аспекты безопасности интернет-пользователей остаются без внимания.

Глава рабочей группы IETF HTTPbis Working Group, занимающейся разработкой стандарта HTTP/2.0, Марк Ноттингем (Mark Nottingham) предложил шифровать весь трафик, передаваемый по Всемирной паутине.

Свое предложение Ноттингем выразил в открытом письме, которое получило поддержку среди производителей веб-браузеров.

«Стороны выразили единодушие по поводу усиления степени защиты в Вебе», - заявил Ноттингем, добавив, однако, что аналогичного консенсуса по поводу того, как обеспечить шифрование, стороны пока не достигли.

Обсуждение ведется вокруг трех вариантов. Первый вариант подразумевает использование шифрования без серверной аутентификации (так называемый TLS Relaxed). Второй вариант - то же самое, но с серверной аутентификацией. И третий вариант - сделать так, чтобы использование HTTP/2.0 было возможным только тогда, когда пользователь обращался к ресурсам по «https://», а если же пользователь вводит «http://», то осуществлять связь по стандарту HTTP/1.

Производители браузеров поддержали третий вариант, тогда как по поводу первого выразили наибольшее сомнение.

далее по ссылке

>>> Подробнее

Скрыть

Крупная компания, специализирующаяся на информационной безопасности, могла быть в сговоре с американскими спецслужбами

Агентство национальной безопасности США (АНБ) заключило секретный контракт на 10 миллионов долларов с одной из самых влиятельных в сфере информационной безопасности компанией, занимающейся разработкой криптосистемы RSA. За эти деньги разработчики должны были оставить специальную уязвимость, предоставляющую американским спецслужбам возможность получить доступ к зашифрованной информации. Об этом сообщает Reuters со ссылкой на неназванные источники.

Еще в сентябре издание New York Times, изучив полученные от Эдварда Сноудена секретные документы, сообщило, что АНБ создает и распространяет алгоритмы шифрования, содержащие уязвимости. Позже агентство Reuters узнало, что наиболее крупным распространителем этих алгоритмов стала компания RSA, которая включила их в свой продукт под названием Bsafe.

>>> Подробнее

Скрыть

Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility.

После симуляции уязвимости в CGI-режиме PHP, исправленной в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложений.

За несколько дней в системе удалось наблюдать выполнение достаточно разнородного набора программ, отличающихся как по назначению (майнинг криптовалюты биткоин, осуществление DoS-атак, сканирование хостов на наличие уязвимостей, запуск ботов), так и по содержимому (исполняемые файлы в формате ELF, скрипты на perl и shell). Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников и администраторам следует не забывать о поддержании системы в актуальном состоянии и оперативно устранять уязвимости в web-приложениях.

>>> Подробнее

Скрыть

Подробности в release notes (Ничего интересного и революционного)

>>> Подробнее