Раскрыты сведения об методе атаки «Continuation flood», затрагивающем различные реализации протокола HTTP/2, среди которых Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2. Уязвимость может использоваться для совершения атак на серверы с поддержкой HTTP/2.0 и в зависимости от реализации приводит к исчерпанию памяти (прекращение обработки запросов или аварийное завершение процессов) или созданию высокой нагрузки на CPU (замедление обработки запросов). По мнению обнаружившего уязвимость исследователя, выявленная проблема более опасна, чем найденная в прошлом году уязвимость «Rapid Reset«, использованная для совершения крупнейших на то время DDoS-атак. Высокий уровень опасности объясняется тем, что для нарушения работы сервера, аварийного завершения … Читать далее Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0

Компания Google представила новую открытую библиотеку jpegli с реализацией кодировщика и декодировщика изображений в формате JPEG. Библиотека включает дополнительные оптимизации для повышения эффективности кодирования, позволяющие на 35% увеличить степень сжатия высококачественных изображений, по сравнению с традиционными кодеками JPEG. В сравнении с libjpeg-turbo библиотека jpegli позволяет добиться аналогичного уровня качества при снижении битрейта на 32%. На уровне API и ABI библиотека полностью совместима с libjpeg62 и может применяться для её прозрачной замены. Код библиотеки написан на языке С++ и распространяется под лицензией BSD. Повышение уровня сжатия достигается применением продвинутых технологий для сокращения шумов на изображении и увеличения качества, использующих более эффективные … Читать далее Google представил библиотеку jpegli для более эффективного сжатия JPEG-изрбражений

Сообщество Linux Containers опубликовало релиз инструментария для организации работы изолированных контейнеров LXC 6.0, предоставляющий runtime, подходящий как для запуска контейнеров с полным системным окружением, близких к виртуальным машинам, так и для выполнения непривилегированных контейнеров отдельных приложений (OCI). LXC относится к низкоуровневым инструментариям, работающим на уровне отдельных контейнеров. Для централизованного управления контейнерами, развёрнутыми в кластере из нескольких серверов, на базе LXC развиваются системы Incus и LXD. Ветка LXC 6.0 отнесена к выпускам с длительной поддержкой, обновления для которых формируются в течение 5 лет (до 2029 года). Код LXC написан на языке Си и распространяется под лицензией GPLv2. В состав LXC входит … Читать далее Выпуск инструментариев управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1

После года разработки опубликован выпуск мобильного web-браузера CENO 2.1.0, предназначенного для организации доступа к информации в условиях невозможности прямого доступа к информации, например, при отключения сегментов интернета от глобальной сети в результате сбоев или действий злоумышленников. Браузер построен на основе движка GeckoView (применяется в Firefox для Android), расширенного возможностью обмена данными через децентрализованную P2P-сеть, в которой пользователи участвуют в перенаправлении трафика к внешним шлюзам, обеспечивающим доступ к информации. Наработки проекта распространяются под лицензией MIT. Готовые сборки доступны в Google Play. P2P-функциональность вынесена в отдельную библиотеку Ouinet, которая может быть использована в произвольных приложениях. Браузер CENO и библиотека Ouinet позволяют получить … Читать далее Выпуск web-браузера CENO 2.1, использующего P2P-сеть для доступа к сайтам

Дрю ДеВолт (Drew DeVault), автор пользовательского окружения Sway, языка программирования Hare, почтового клиента Aerc и платформы совместной разработки SourceHut, представил выпуск проекта Redict 7.3.0, развивающего форк СУБД Redis. Redict ответвился от Redis 7.2.4, последней версии Redis, распространяемой под лицензией BSD. Изменения, развиваемые проектом Redict, распространяются под лицензией LGPLv3.0 (заимствованный из Redis код остался под лицензией BSD). Redict 7.3.0 позиционируется как первый отдельный выпуск проекта. Изменения пока сводятся только к ребрендингу, например, утилита redis-cli переименована в redict-cli, а файл конфигурации /etc/redis.conf в /etc/redict.conf. По своим возможностям Redict 7.3.0 полностью совместим с выпуском Redis 7.2.4 и может использоваться для его замены, но … Читать далее Выпуск Redict 7.3.0, форка СУБД Redis

Администраторы репозитория Python-пакетов PyPI (Python Package Index) опубликовали информацию о выявлении неавторизированного доступа к 174 учётным записям пользователей сервиса. По предварительным данным параметры аутентификации пострадавших пользователей были скомпрометированы в результате атак на другие сервисы и находились в коллекциях скомпрометированных учётных данных. Доступ к учётным записям был получен из-за использования жертвами атаки одинаковых паролей на разных сайтах и отключения двухфакторной аутентификации в каталоге PyPI. Активность атакующих была выявлена после получения серии жалоб, в которых пользователи сообщали о получении уведомлений от PyPI о включении двухфакторной аутентификации, в то время как они не заходили в это время в свою учётную запись и сами … Читать далее Атакующие получили доступ к 174 учётным записям в каталоге PyPI

Среди разработчиков системного менеджера systemd ведётся обсуждение вопроса сокращения зависимостей у библиотеки libsystemd, которая связывается не только с компонентами systemd, но и со многими внешними приложениями. Например, в Fedora более 150 пакетов используют libsystemd в зависимостях. Инициатор обсуждения считает, что подтягивание в libsystemd дополнительных сторонних библиотек, которые не контролируют разработчики systemd, существенно увеличивает поверхность атаки в случае компрометации сторонних библиотек, как это произошло с библиотекой liblzma. Помимо liblzma и glibc в libsystemd также загружаются библиотеки libzstd, liblz4 и libgcrypt, поддержание безопасности в которых становится критически важной задачей. В libsystemd предоставляется доступ к 12 базовым API (sd-bus, sd-daemon, sd-device, sd-event, sd-hwdb, … Читать далее Инициатива по сокращению зависимостей у libsystemd

Разработчики языка программирования Mojo начали перевод наработок проекта в разряд открытого ПО. Первым открыт код библиотеки, который теперь доступен под лицензией Apache 2.0 c исключениями от проекта LLVM, допускающими смешивание с кодом под лицензией GPLv2. Помимо публикации кода процесс разработки сместился в сторону открытости и возможности передачи сторонних изменений через отправку pull-запросов в GitHub. Исходные тексты компилятора планируют открыть после завершения проектирования внутренней архитектуры. В репозитории созданы две ветки с кодом стандартной библиотеки Mojo: ветка main, синхронизированная с последним стабильным релизом Mojo, и ветка nightly, отражающая текущий процесс разработки и синхронизированная с ночными сборками Mojo. Ветку nightly предлагается использовать участникам, … Читать далее Открытие стандартной библиотеки языка Mojo. Обновление инструментария Mojo 24.2

Доступен корректирующий выпуск Firefox 124.0.2, в котором предложены следующие исправления: Устранено аварийное завершение Linux-сборок для архитектуры AArch64. Решена проблема с загрузкой web-страниц и аварийным завершением процессов с вкладками на системах с тестовыми сборками Ubuntu 24.04, возникшая из-за внесения изменений в применяемй по умолчанию профиль AppArmor. Решена проблема с невозможностью восстановления из резервной копии закладок, проявляющаяся в конфигурациях с большим число закладок. Исправлены ошибки, приводившие к показу пустого содержимого при открытии окон или аварийному завершению при воспроизведении видео с сайтов, таких как Netflix. Дополнительно можно отметить изменения тестируемые в ночных сборах Firefox, на базе которых будет сформирован выпуск Firefox 126: Предложена … Читать далее Обновление Firеfox 124.0.2. Тестирование вертикальной панели вкладок и контейнеров вкладок

Компания НТЦ ИТ РОСА выпустила корректирующий релиз свободно распространяемого и разрабатываемого с участием сообщества дистрибутива ROSA Fresh 12.5, построенного на платформе rosa2021.1. Для свободной загрузки подготовлены сборки, оформленные для платформы x86_64 в вариантах с KDE Plasma 5, GNOME, Xfce, LXQt и без GUI. Пользователи, у которых уже установлен дистрибутив ROSA Fresh 12, получат обновление автоматически. Основные изменения: Обновлена пакетная база. Ядро Linux обновлено до версии 6.6 (ранее поставляемые ветки 5.10, 5.15 и 6.1 продолжают поддерживаться). Обновлены прошивки и драйверы для Wi-Fi и Bluetooth. Добавлены проприетарные драйверы для видеокарт NVIDIA 550 (ветки 340, 390 и 470 продолжают быть доступны). Предложена новая … Читать далее Выпуск дистрибутива ROSA Fresh 12.5

Начата постепенная адаптация ONTL (Open NT Native Template Library) под операционную систему Linux (проект ONTL реализует стандартную библиотеку Си++11, применявшуюся для создания исполняемых файлов, как для NativeAPI пространства пользователя, так и ядра ОС Windows). Возможность использования Си++ в ядре Linux принципиально не рассматривается, поскольку идёт вразрез с устоявшейся традицией. Небольшая часть Си-функций перенесена в новую библиотеку, добавлены некоторые системные вызовы POSIX. На момент публикации обеспечена сборка авторского интерпретатора Рефал-М в статически слинкованный файл в формате ELF. Обеспечивается статическая сборка трансляторами GCC 13 и Clang 17 для архитектуры AMD64 и ядра Linux 6.6. Одной из целей проекта является создание документации на … Читать далее Проектом Ussury развивается новая стандартная библиотека Си

Компания Databricks объявила об открытии большой языковой модели DBRX, которая может применяться для создания чатботов, отвечающих на вопросы на естественном языке, решающих предложенные математические задачи, способных генерировать контент на заданную тему и создавать код на различных языках программирования. Модель разработана компанией Mosaic ML, которая была куплена Databricks за 1.3 млрд долларов. Для обучения использовался кластер из 3072 GPU NVIDIA H100 Tensor Core. Для запуска готовой модели рекомендуется 320GB памяти. При обучении модели применялась архитектура MoE (Mixture of experts), позволяющая получить более точную экспертную оценку, и коллекция текстов и кода, размером 12 Tb. Размер учитываемого моделью DBRX контекста составляет 32 тысяч … Читать далее Databricks открыл большую языковую модель DBRX, опережающую в тестах GPT-3.5

Опубликован выпуск дистрибутива Nitrux 3.4.0, построенного на пакетной базе Debian, технологиях KDE и системе инициализации OpenRC. Проект предлагает собственный рабочий стол NX Desktop, который представляет собой надстройку над KDE Plasma. На основе библиотеки Maui для дистрибутива развивается набор типовых пользовательских приложений, которые можно использовать как на настольных системах, так и на мобильных устройствах. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages. Размер полного загрузочного образа составляет 3.4 ГБ. Наработки проекта распространяются под свободными лицензиями. Рабочий стол NX Desktop предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений и мультимедийный … Читать далее Доступен дистрибутив Nitrux 3.4.0. NX Desktop не будут переводить на KDE Plasma 6

В интерфейсе асинхронного ввода/вывода io_uring, предоставляемом ядром Linux, выявлена уязвимость (CVE-2024-0582), позволяющая непривилегированному пользователю получить права root в системе. Для эксплуатации уязвимости достаточно обычного локального доступа к системе, без необходимости манипуляций с пространствами имён. В настоящее время публично доступен работающий эксплоит, а также подробно описана вторая техника эксплуатации уязвимости. Уязвимость вызвана обращением к уже освобождённому блоку памяти (use-after-free) в подсистеме io_uring, возникающем при регистрации и освобождении кольцевого буфера, созданного с флагом IORING_REGISTER_PBUF_RING. В ситуации применения к буферу операции mmap(), он остаётся отражённым в пространство пользователя после выполнения операции его освобождения (IORING_UNREGISTER_PBUF_RING). Используя данную особенность атакующий может читать и записывать данных … Читать далее Уязвимость в подсистеме io_uring, позволяющая получить привилегии root

После полутора лет разработки опубликован выпуск свободной игры Widelands 1.2, включающей элементы стратегии в реальном времени (RTS) и градостроительного симулятора. Игра развивается под впечатлением от игры Settlers II и имеет сходный игровой процесс. Поддерживается как многопользовательский режим, так и однопользовательские кампании c компьютерными-игроками. Код проекта написан на языках С++ и Lua с использованием библиотеки SDL и распространяется под лицензией GPLv2. Сборки формируются для Linux (AppImage, Flatpak, PPA), Windows и macOS. Среди изменений: Расширены средства для разработки плагинов с реализацией дополнительных элементов интерфейса пользователя. Добавлена предварительная поддержка морских сражений, позволяющая использовать флот для вторжения на чужие побережья. Добавлена возможность закрепления за … Читать далее Выпуск стратегической игры Widelands 1.2

В репозитории проекта xz продолжают всплывать изменения, внесённые автором бэкдора для блокирования механизмов защиты. В сборочном сценарии CMakeLists.txt выявлено изменение, не позволявшее использовать в xz механизм изоляции приложений Landlock, при его поддержке в системе. В коде на языке Си, проверяющем доступность системного вызова Landlock, была намеренно добавлена лишняя точка, что приводило к непрохождению проверки на наличие Landlock при любых условиях. Источник: http://www.opennet.ru/opennews/art.shtml?num=60888 Читать далее В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock

Спустя полтора года после формирования прошлого обновления опубликован релиз операционной системы NetBSD 10. Для загрузки подготовлены установочные образы размером 630 МБ, доступные в сборках для 57 системных архитектур и 16 различных семейств CPU. Новая ветка включает ряд существенных улучшений, таких как поддержка списков контроля доступа в файловой системе FFS, значительная оптимизация производительности, шифрование диска с использованием алгоритма Adiantum и реализация в ядре драйвера для VPN WireGuard. Проектом поддерживаются 8 первичных портов, составляющих ядро стратегии развития NetBSD: amd64, i386, evbarm, evbmips, evbppc, hpcarm, sparc64 и xen, а также 49 вторичных портов, связанных с такими CPU, как alpha, hppa, m68010, m68k, sh3, … Читать далее Релиз операционной системы NetBSD 10.0

Доступны предварительные результаты обратного инжиниринга вредоносного объектного файла, встроенного в liblzma в результате кампании по продвижению бэкдора в пакет xz. Изначально предполагалось, что бэкдор позволяет обойти аутентификацию в sshd и получить доступ к системе через SSH. Более детальный анализ показал, что это не так и бэкдор предоставляет возможность выполнить произвольный код в системе, не оставляя следов в логах sshd. В частности, перехватываемая бэкдором функция RSA_public_decrypt проверяет подпись хоста, используя фиксированный ключ Ed448, и в случае успешной проверки выполняет переданный внешним хостом код при помощи функции system() на стадии до сброса привилегий процессом sshd. Данные, содержащие код для исполнения, извлекаются из … Читать далее Разбор логики активации и работы бэкдора в пакете xz

После нескольких повторяющихся инцидентов с размещением в каталоге Snap Store вредоносных приложений, выдающих себя за официальные клиенты известных криптовалютных кошельков, компания Canonical приняла решение перейти на ручное рецензирование всех новых имён пакетов, впервые размещаемых в Snap Store. При регистрации нового имени пакета будет выводиться анкета, содержащая вопросы о назначении и источнике сборки. Учётная запись будет активироваться только после ручного рецензирования заявки, проводимого для отсеивания подозрительных имён, например, притворяющиеся чужими известными проектами. Проверка будет занимать до двух рабочих дней. Под запрет попадут имена, имеющие отношение к криптовалютам и некоторым критичным видам приложений. Для регистрации имён подобных программ будет применяться отдельная процедура, … Читать далее Каталог Snap Store переходит на ручное рецензирование новых имён пакетов

Доступен релиз многотрековой системы нелинейного видеомонтажа Flowblade 2.14, позволяющей компоновать фильмы и видеоролики из набора отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, их обработки при помощи фильтров и многоуровневой компоновки изображений для встраивания в видео. Имеется возможность произвольного определения порядка применения инструментов и корректировки поведения шкалы времени. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Сборки подготовлены в формате Flatpak. Для организации редактирования видео применяется фреймворк MLT. Для обработки различных форматов видео, звука и изображений применяется библиотека FFmpeg. Интерфейс построен с использованием PyGTK. Для математических вычислений задействована … Читать далее Опубликован видеоредактор Flowblade 2.14

Репозитории Debian 10 «Buster» перемещены в archive.debian.org, после чего дистрибутив скоро перестанет быть доступным через основную сеть зеркал. Удаление с зеркал пакетов Debian 10 для архитектур, для которых отсутствует LTS-поддержка, планируют произвести в середине апреля. Релиз Debian 10 был представлен 7 июля 2019 года и поддерживался штатно до сентября 2022 года. В рамках цикла LTS выпуск обновлений для Debian 10 будет осуществляться для архитектур i386, amd64, armhf и arm64 до 30 июня 2024 года. Далее к дистрибутиву будет применена расширенная программа «Extended LTS«, подразумевающая публикацию обновлений с устранением уязвимостей в ограниченном наборе пакетов Debian 10 для архитектуры amd64. Поддержка Extended … Читать далее Debian 10 «Buster» перемещён в архив