Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла

В офисном пакете Apache OpenOffice выявлена уязвимость (CVE-2021-33035), позволяющая добиться выполнения кода при открытии специально оформленного файла в формате DBF. Выявивший проблему исследователь предупредил о создании рабочего эксплоита для платформы Windows. Исправление уязвимости пока доступно только в форме патча в репозитории проекта, который вошёл в состав тестовых сборок OpenOffice 4.1.11. Обновления для стабильной ветки пока не сформировано. Проблема вызвана тем, что при выделении памяти OpenOffice полагался на значения fieldLength и fieldType в заголовке файлов DBF, не проверяя при этом соответствие фактического типа данных в полях. Для совершения атаки можно указать в значении fieldType тип INTEGER, но разместить данные большего размера … Читать далее Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла

Выпуск системы инициализации sysvinit 3.0

Представлен релиз классической системы инициализации sysvinit 3.0, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart, а теперь продолжает использоваться в таких дистрибутивах, как Devuan, Debian GNU/Hurd и antiX. Изменение номера версии на 3.0 не связано со значительными изменениями, а является следствием достижения максимального значения второй цифры, что, в соответствии с применяемой в проекте логикой нумерации версий, привело к переходу к номеру 3.0 после 2.99. В новом выпуске устранены проблемы в утилите bootlogd, связанные с определением устройства для консоли. Если раньше в bootlogd принимались только устройства с именами, соответствующими известным консольным устройствам, то теперь можно указать произвольное … Читать далее Выпуск системы инициализации sysvinit 3.0

Выпуск Samba 4.15.0

Представлен релиз Samba 4.15.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.15: Завершена работа по модернизации слоя VFS. По историческим причинам код с реализацией файлового сервера был завязан на обработку файловых путей, которая применялась в том числе для протокола SMB2, переведённого на использование дескрипторов. Модернизация свелась к переводу кода, обеспечивающего доступ к файловой системе … Читать далее Выпуск Samba 4.15.0

Выпуск DXVK 1.9.2, реализации Direct3D 9/10/11 поверх API Vulkan

Доступен выпуск прослойки DXVK 1.9.2, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как Mesa RADV 20.2, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D 9/10/11, работающих поверх OpenGL. Основные изменения: В реализации D3D9 снижена нагрузка на CPU и устранены различные сбои в тестовом наборе. Решены проблемы, проявлявшиеся при включении опций d3d9.evictManagedTexturesOnUnlock и d3d11.relaxedBarriers. Решены … Читать далее Выпуск DXVK 1.9.2, реализации Direct3D 9/10/11 поверх API Vulkan

Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale

Проект Headscale развивает открытую реализацию серверного компонента VPN-сети Tailscale, позволяющего создавать похожие на Tailscale VPN-сети на своих мощностях, не привязываясь к сторонним сервисам. Код Headscale написан на языке Go и распространяется под лицензией BSD. Проект развивает Хуан Фонт Алонсо (Juan Font) из Европейского космического агентства. Tailscale позволяет объединить произвольное число территориально разнесённых хостов в одну сеть, построенную по образу mesh-сети, в которой каждый узел взаимодействует с другими узлами напрямую (P2P) или через соседние узлы, без передачи трафика через централизованные внешние серверы VPN-провайдера. Поддерживается управление доступом и маршрутами на основе ACL. Для установки каналов связи в условиях применения трансляторов адресов (NAT) … Читать далее Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale

Выпуск программного звукового синтезатора Bespoke Synth 1.0

После 10 лет разработки доступен первый стабильный выпуск проекта Bespoke Synth, развивающего модульный программный синтезатор звука, позволяющий генерировать и обрабатывать звук на основе наглядного перенаправления звуковых потоков между разными модулями, формирующими и меняющими форму звуковой волны, а также накладывающими эффекты. Код проекта написан на языке С++ и распространяется под лицензией GPLv3. Готовые сборки подготовлены для Linux, macOS и Windows. Из особенностей приложения отмечается возможность изменения окружения на лету — можно не прерывая воспроизведения музыки добавлять и менять узлы. Для создания звуковых цепочек доступно более 190 модулей. Поддерживается подключение готовых VST-плагинов и быстрое создание собственных обработчиков на языке Python. Предоставляются средства … Читать далее Выпуск программного звукового синтезатора Bespoke Synth 1.0

30 лет с момента первого релиза ядра Linux 0.01

Исполнилось 30 лет с момента формирования первого публичного выпуска ядра Linux. Ядро 0.01 имело размер 62 Кб в сжатом виде и содержало около 10 тысяч строк исходного кода. По мнению Линуса Торвальдса именно момент публикации ядра 0.01 является настоящей датой 30-летия проекта. Линус написал в списке рассылки разработчиков ядра Linux: Это просто случайное наблюдение, чтобы люди знали, что сегодня на самом деле одна из основных дат 30-летнего юбилея: версия 0.01 была загружена 17 сентября 1991 года. Релиз 0.01 никогда не был публично объявлен, и я только написал об этом десятку людей в частном порядке (и старых email тех дней у … Читать далее 30 лет с момента первого релиза ядра Linux 0.01

Тестирование рабочего стола KDE Plasma 5.23

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.23. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 октября. Ключевые улучшения: В теме оформления Breeze изменён дизайн кнопок, элементов меню, переключателей, ползунков и полос прокрутки. Для повышения удобства работы с сенсорных экранов увеличен размер полоc прокрутки и полос-регуляторов (spinbox). Добавлен новый индикатор загрузки, оформленный в виде вращающейся шестерёнки. Реализован эффект, подсвечивающий виджеты, касающиеся края панели. Для виджетов, размещённых на рабочем столе, обеспечено размытие фона. Значительное переработан код с реализацией нового меню … Читать далее Тестирование рабочего стола KDE Plasma 5.23

Уязвимость в подсистеме io_uring ядра Linux, позволяющая поднять свои привилегии

В ядре Linux выявлена уязвимость (CVE-2021-41073), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана ошибкой в реализации интерфейса асинхронного ввода/вывода io_uring, приводящей к обращению к уже освобождённому блоку памяти. Отмечается, что исследователем удалось добиться освобождения памяти по заданному смещению при манипуляции с функцией loop_rw_iter() со стороны непривилегированного пользователя, что делает возможным создание рабочего эксплоита. Проблема пока устранена только в виде патча, который бэкпортирован в стабильные ветки ядра, но обновление ещё не выпущено. Источник: http://www.opennet.ru/opennews/art.shtml?num=55828 Читать далее Уязвимость в подсистеме io_uring ядра Linux, позволяющая поднять свои привилегии

Для Mesa развивается фронтэнд OpenCL, написанный на языке Rust

Кэрол Хербст (Karol Herbst) из компании Red Hat, принимающий участие в разработке Mesa, драйвера Nouveau и открытого стека OpenCL, опубликовал rusticl — экспериментальную программную реализацию OpenCL (фронтэнд OpenCL) для Mesa, написанную на языке Rust. Rusticl выступает в роли аналога уже присутствующего в Mesa OpenCL-фронтэнда Clover и также разработан с использованием предоставляемого в Mesa интерфейса Gallium. Разработка была представлена 17 сентября на конференции XDC 2021 (X.Org Developers Conference). Целью разработки было изучение Rust, выработка оптимальных путей интеграции Rust в Mesa, опробование создания реализаций API на другом языке и проверка сочетаемости компонентов на Rust с остальным кодом на языке Си. Разработка ещё … Читать далее Для Mesa развивается фронтэнд OpenCL, написанный на языке Rust

Проект Windowsfx подготовил сборку Ubuntu с интерфейсом, стилизованным под Windows 11

Доступен предварительный выпуск дистрибутива Windowsfx 11, нацеленного на воссоздание интерфейса Windows 11 и специфичных для Windows визуальных эффектов. Окружение воссоздано при помощи специализированной темы оформления WxDesktop и дополнительных приложений. В качестве основы сборки используется Ubuntu 20.04 и рабочий стол KDE Plasma 5.22.5. Для загрузки подготовлен iso-образ размером 4.3 ГБ. Проектом также развивается платная сборка, включающая дополнительные возможности, приближающие окружение к Windows, такие как конфигуратор, голосовой ассистент, поддержка Active Directory и доступ к сервису OneDrive. Состав приложений также по возможности приближен к Windows, например, пользователю предлагаются офисные пакеты OnlyOffice и MS Office Online, браузер Edge, платформа совместной работы MS Teams, мессенджер … Читать далее Проект Windowsfx подготовил сборку Ubuntu с интерфейсом, стилизованным под Windows 11

Выпуск графического редактора GIMP 2.10.28

Опубликован выпуск графического редактора GIMP 2.10.28. Версия 2.10.26 была пропущена из-за выявления серьёзной ошибки на поздней стадии формирования выпуска. Для установки доступны пакеты в формате flatpak (пакет snap пока не готов). Выпуск в основном включает исправления ошибок. Все усилия по наращиванию функциональности сосредоточены на подготовке ветки GIMP 3, которая находится на стадии тестирования предварительных выпусков. Из изменений в GIMP 2.10.28 выделяется: Включение исправлений, связанных с улучшением поддержки платформы Windows. В Dashboard реализован вывод информации о памяти на платформе OpenBSD. Включены оптимизации производительности, специфичные для операционной системы macOS Big Sur. Улучшена работа плагинов для поддержи форматов DICOM, GIF, PS, Sunras, BMP, … Читать далее Выпуск графического редактора GIMP 2.10.28

Выпуск дополнения для блокировки рекламы uBlock Origin 1.38.0

Доступен новый выпуск блокировщика нежелательного контента uBlock Origin 1.38, обеспечивающего блокирование рекламы, вредоносных элементов, кода для отслеживания перемещения, JavaScript-майнеров и других мешающих нормальной работе элементов. Дополнение uBlock Origin отличается высокой производительностью и экономным расходованием памяти, и позволяет не только избавиться от назойливых элементов, но и сократить потребление ресурсов и ускорить загрузку страниц. Основные изменения: Началась публикация пакета для Node.js, который позволяет импортировать и использовать в Node.js-приложениях движки для статической и динамической фильтрации контента. В правила добавлена поддержка оператор «:matches-path(…)» для исключения ложных срабатываний при применении модификатора $path. Для всех браузеров за исключением Firefox для Android убрана настройка «Prevent WebRTC from … Читать далее Выпуск дополнения для блокировки рекламы uBlock Origin 1.38.0

Google профинансирует аудит безопасности 8 важных открытых проектов

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о сотрудничестве с компанией Google, которая выразила готовность профинансировать проведение независимого аудита безопасности 8 открытых проектов. На полученные от Google средства решено провести аудит Git, JavaScript-библиотеки Lodash, PHP-фреймворка Laravel, Java-фреймворка Slf4j, JSON-библиотек Jackson (Jackson-core и Jackson-databind) и Java-компонентов Apache Httpcomponents (Httpcomponents-core и Httpcomponents-client). Ранее на полученные в результате сбора пожертвований средства фонд OSTIF уже провёл аудит проектов OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS и QRL. Отдельно сообществом уже собраны средства для аудита PHP-фреймворка Symfony. В случае получения дополнительного финансирования для аудита также намечены проекты Systemd, … Читать далее Google профинансирует аудит безопасности 8 важных открытых проектов

В Firefox проводится эксперимент по использованию поисковой системы Bing по умолчанию

Компания Mozilla проводит эксперимент по переводу 1% пользователей Firefox на использование по умолчанию поисковой системы Microsoft Bing. Эксперимент начался 6 сентября и продлится до конца января 2022 года. Оценить своё участие в экспериментах Mozilla можно на странице «about:studies». Для пользователей, предпочитающих другие поисковые системы, в настройках сохраняется возможность выбора поискового движка на свой вкус. Напомним, что в англоязычной сборке Firefox по умолчанию предлагается Google, в русскоязычной и турецкой — Yandex, а в сборках для Китая — Baidu. С применяемыми по умолчанию поисковыми системами заключены конктракты о выплате отчислений за переходы, которые приносят львиную долю доходов Mozilla. Например, в 2019 году … Читать далее В Firefox проводится эксперимент по использованию поисковой системы Bing по умолчанию

Релиз дистрибутива Ubuntu 18.04.6 LTS

Опубликовано обновление дистрибутива Ubuntu 18.04.6 LTS. В состав выпуска включены только накопившиеся обновления пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Версии ядра и программ соответствуют версии 18.04.5. Основной целью нового выпуска является обновление установочных образов для архитектур amd64 и arm64. В установочном образе решены проблемы, связанные с отзывом ключей в ходе устранения второго варианта уязвимости BootHole в загрузчике GRUB2. Таким образом возобновлена возможность установки Ubuntu 18.04 на системы с UEFI Secure Boot. Использовать представленную сборку имеет смысл только для новых установок, но для новых систем более актуальным является выпуск Ubuntu 20.04.3 LTS. Системы, установленные ранее, могут получить … Читать далее Релиз дистрибутива Ubuntu 18.04.6 LTS

Выпуск транслятора языка программирования Vala 0.54.0

Вышла новая версия транслятора языка программирования Vala 0.54.0. Язык Vala является объектно-ориентированным языком программирования, предоставляет синтаксис, подобный языкам C# или Java. Код на Vala транслируется в программу на языке C, которая, в свою очередь, компилируется в бинарный файл и выполняется со скоростью приложения, откомпилированного в объектный код целевой платформы. Имеется возможность запуска программ в режиме сценария. Язык развивается под эгидой проекта GNOME. В качестве объектной модели используется Gobject (Glib Object System). Код компилятора распространяется под лицензией LGPLv2.1. В языке имеется поддержка интроспекции, лямбда-функций, интерфейсов, делегатов и замыканий, сигналов и слотов, исключений, свойств, ненулевых типов, выведения типов для локальных переменных (var). … Читать далее Выпуск транслятора языка программирования Vala 0.54.0

Компания Oracle убрала ограничение по использованию JDK в коммерческих целях

Компания Oracle изменила лицензионное соглашение на пакет JDK 7 (Java SE Development Kit), в рамках которого предоставляются эталонные сборки инструментов для разработки и выполнения приложений на языке Java (утилиты, компилятор, библиотека классов и среда исполнения JRE). Начиная с JDK 7 пакет поставляется под новой лицензией NFTC (Oracle No-Fee Terms and Conditions), которая разрешает бесплатное использование в персональных и коммерческих проектах, а также допускает применение в рабочих окружениях коммерческих систем. Более того, сняты ограничения по подтверждению операций загрузки на сайте, что позволяет загружать JDK автоматически из скриптов. Лицензия NFTC также подразумевает возможность бесплатного ежёквартального получения обновлений с устранением ошибок и уязвимостей, … Читать далее Компания Oracle убрала ограничение по использованию JDK в коммерческих целях

Доступен макет нового интерфейса LibreOffice 8.0 с поддержкой вкладок

Разработчики офисного пакета LibreOffice опубликовали планы по усовершенствованию интерфейса пользователя и представили макет будущих изменений, которые ожидаются в следующем значительном выпуске LibreOffice 8.0. Наиболее заметным новшеством стала встроенная поддержка вкладок, через которые можно быстро переключаться между разными документами по аналогии с тем как осуществляется переключение между сайтами в современных браузерах. При необходимости каждую вкладку можно открепить в форме отдельного окна или наоборот преобразовать окно во вкладку. Возможно также свернуть все вкладки в выпадающий список, доступный при нажатии кнопки «^». В заголовке также показана кнопка «LibreOffice», предназначенная для запуска начального интерфейса, который ранее показывался при запуске или закрытии всех документов, и … Читать далее Доступен макет нового интерфейса LibreOffice 8.0 с поддержкой вкладок

Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев

В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API. Проблема присутствовала в Travis CI с 3 по 10 сентября. Примечательно, что информация об уязвимости была передана разработчикам 7 сентября, но в ответ была лишь получена отписка с рекомендацией использовать ротацию ключей. Не получив должной обратной связи исследователи связались с GitHub и предложили занести … Читать далее Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев

Релиз открытой биллинговой системы ABillS 0.91

Доступен релиз открытой биллинговой системы ABillS 0.91, компоненты которой поставляются под лицензией GPLv2. Основные новшества: Paysys: переработаны все модули. Paysys: добавлены тесты платёжных систем. Добавлено клиентское API. Triplay: переработан механизм управления суб сервисами Internet/TV/Телефония. Cams: Интеграция с облачной системой видеонаблюдения Форпост. Ureports. Добавлена возможность отправлять оповещения одновременно несколькими типами. Maps2: Добавлены слои: Visicom Maps, 2GIS. Callcenter: Улучшена работа с CRM. Источник: http://www.opennet.ru/opennews/art.shtml?num=55808 Читать далее Релиз открытой биллинговой системы ABillS 0.91