С сегодняшнего дня пользователи многих клиентов мгновенного обмена сообщениями, включая Empathy, Pidgin и Kopete, не смогут обмениваться сообщениями с использованием аккаунта в чате Facebook. Проблема обусловлена вступающими сегодня в силу изменениями API, подразумевающими переход на Platform API 2.0 и прекращение взаимодействия с использованием XMPP Chat API.

С 30 апреля служба chat.facebook.com и система входа xmpp_login выведены из эксплуатации. Разработчикам приложений ещё год назад было предложено перевести свои клиенты на новый API, но подобная поддержка так и не была реализована в Empathy, Kopete и Pidgin. При попытке подключения к чату пользователи программ, не перешедших на новый API получат сообщения об ошибке входа. 

Компания Google расширила действие программы выплаты вознаграждений за выявление уязвимостей и выполнение работ по повышению безопасности. Помимо браузера Chrome, сервисов Google и некоторых свободных проектов, программа выплаты вознаграждений отныне будет охватывать и платформу Android.

Наибольшие суммы будут выплачиваться за выявление методов обхода защиты, таких как ASLR, NX и sandbox-изоляция. Публикуемые уязвимости должны проявляться на актуальных моделях смартфонов и планшетов Nexus (Nexus 6 и Nexus 9). Сумма вознаграждения зависит от опасности проблемы, подготовки тестовых сценариев и предоставлении готовых патчей и эксплоитов. Например, за критическую уязвимость может быть выплачено 8 тысяч долларов плюс 30 тысяч долларов, если представлен удалённо атакующий эксплоит, обходящий ограничения TEE (TrustZone) или Verified Boot. 

На состоявшемся несколько часов назад заседании технического комитета проекта io.js принято решение о воссоединении с Node.js и дальнейшем совместном развитии под эгидой организации Node Foundation. Решено также прекратить использование наименования репозитория "iojs" в пользу бренда "node.js" и перенести рабочие группы io.js в инфраструктуру Node Foundation.

Разработчики дистрибутива Bodhi Linux выступили с инициативой создания собственного форка пользовательского окружения Enlightenment 17. Форк получил имя Moksha и уже доступен на GitHub. Запланированный на август выпуск Bodhi Linux 3.1.0 по умолчанию будет переведён на окружение Moksha, т.е. дистрибутив откатится с Enlightenment 19 на Enlightenment 17, но сохранит возможность установки Enlightenment 19 из репозитория.

Идея создания форка возникла, когда лидер проекта Bodhi вернулся на Enlightenment 17 после нескольких месяцев использования Enlightenment 19. Рабочий стол на базе Enlightenment 17 оценивается как более быстрый, с более качественным набором модулей и расширенной поддержкой тем. В то время как Enlightenment 19 уже трудно назвать легковесной системой, он хуже поддерживает устаревшее оборудование и не поддерживает все возможности, которые были доступны в Enlightenment 17. От релиза к релизу Enlightenment стал раздуваться и вместо полировки существующих возможностей для конечных пользователей переключился на переработку внутренних подсистем, что привело к потере некоторых ранее доступных возможностей, таких как встраивание в системный лоток с использованием протокола Xembed.

В итоге, уровень качества и стабильности новых выпусков Enlightenment деградировал по сравнению с Enlightenment 17, а попытки решить имеющиеся проблемы с разработчиками Enlightenment не привели к успеху. Выяснилось, что почти никто из разработчиков Enlightenment не используется выпуск E19 в качестве основного окружения рабочего стола - сразу после выпуска E19, они переключились на кодовую базу следующего выпуска Enlightenment 20. Вместо решения проблемы в актуальном релизе, разработчики отвечали на сообщения об ошибках, что проблема не проявляется в версии из Git.

Поднятое в форуме проекта Bodhi Linux обсуждение подтвердило, что многие пользователи более комфортно чувствуют себя в Enlightenment 17. В связи с этим, возникла мысль вернуть дистрибутив по умолчанию на Enlightenment 17, обеспечив сопровождение его кодовой базы силами проекта, а для более мощных систем предоставить возможность установки Enlightenment 19 из репозитория. По сути, как и раньше разработчики Bodhi Linux будут поддерживать свой набор исправлений, но теперь уже в рамках своего проекта Moksha, а не в форме набора патчей к Enlightenment 17. После решения накопившихся в системе отслеживания ошибок проблем планируется приступить к бэкпортированию некоторых полезных возможностей из E18 и E19, а также работать над созданием собственных улучшений.

Спустя несколько дней с момента устранения прошлой уязвимости в популярной системе управления web-контентом WordPress выявлена новая критическая уязвимость, которая как и прошлая проблема дает возможность осуществить подстановку JavaScript-кода в комментарий к заметкам в блогах. В настоящий момент проблема уже устранена в оперативно сформированном выпуске WordPress 4.2.1, но информация об уязвимости была раскрыта до исправления, т.е. потенциально любой сайт на базе актуальной версии WordPress мог быть атакован.

Метод атаки основан на том, что поле TEXT в MySQL не может превышать 64 Кб. Если сообщение превышает данный размер, то хвост обрезается и в БД помещается лишь часть текста. Соответственно, можно добавить сообщение, размером чуть больше 64 Кб, в котором размещается HTML-тег с произвольным большим блоком текста внутри. Так как хвост будет обрезан тег останется разорван, что позволит обойти код чистки HTML-тегов в WordPress. После отображения такого текста, закрытием тега послужат далее идущие теги интерфейса WordPress. Если размещённый таким образом комментарий просмотрит администратор блога, то в его браузере в контексте блога будет выполнен JavaScript, через который можно получить доступ к операциям в интерфейсе администратора и организовать выполнение PHP-кода на сервере путём загрузки плагина или редактирования темы оформления.

Компании Joyent объявила об учреждении некоммерческой организации Node.js Foundation, которой будет передано управление разработкой Node.js и вся связанная с проектом интеллектуальная собственность. Вопросы, касающиеся развития проекта и технических решений будут решать совет директоров и технический совет, в которые войдут сотрудники Joyent и участвующих в разработке Node.js компаний, а также наиболее активные представители сообщества. Таким образом, разработка будет перенесена на нейтральную площадку, а все процессы принятия решения будут учитывать интересы различных сторон и будут максимально прозрачны для сообщества.

Куратором проекта выступит организация Linux Foundation, которая поможет сформировать эффективную и независимою площадку для разработки Node.js. Компания Joyent продолжит своё участие в разработке, поддержке и финансировании проекта, но будет это делать сообща с другими заинтересованными лицами. Кроме Joyent, в число основателей Node.js Foundation войдут такие компании, как IBM, Microsoft, PayPal, Fidelity и SAP.

Создание Node.js Foundation является достаточно запоздалой попыткой пойти навстречу пожеланиям сообщества, выражавшего недовольство излишним контролем над проектом компании Joyent, единолично принимавшей решения о приоритетах в разработке, что, в конечном счёте, привело к расколу сообщества и созданию форка io.js. К разработке форка подключилось 5 из 7 ключевых разработчиков Node.js, среди которых Айзек Шлютер (Isaac Schlueter), бывший лидера проекта. В настоящее время состав io.js core team включает 23 разработчика.

Компания Joyent призвала участников io.js вернуться к совместной работе в рамках новой организации, но форк уже достаточно продвинулся вперёд и сформировал собственную открытую модель управления. Участники io.js планируют оценить целесообразность слияния проектов и рассмотрят этот вопрос на ближайшем публичном заседании технического совета, на котором будет проведено голосование и принято окончательное решение. 

В предстоящем выпуске OpenSSH 6.8 будет доступна новая функция hostkeys@openssh.com, реализующая отправку, захват и обновление всех доступных в ~/.ssh/known_hosts ключей доверяемого узла. Новая возможность разработана с целью упрощения перехода от ключей DSA, для работы с которыми используются пакеты OpenSSL/LibreSSL, на интегрированную в OpenSSH реализацию цифровой подписи с открытым ключом Ed25519. Внесённые изменения продолжают работу по избавлению OpenSSH от необходимости использования криптографии из библиотеки OpenSSL, вместо которой предлагается использовать методы, разработанные Дэниэлом Бернштейном (D. J. Bernstein).

При использовании новой функции, sshd отправит клиенту все имеющиеся на сервере открытые ключи узла. В свою очередь, клиент осуществит замену всех имеющихся ключей доверяемого узла на предоставленные таким образом новые ключи. Функция включена по умолчанию, для выключения автообновления ключей в ssh_config добавлен параметр UpdateHostKeys. Для инициирования замены ключей на сервере, необходимо в sshd_config одновременно указать как старые, так и новые ключи, добавив дополнительные секции HostKey.