Доступен корректирующий выпуск X.Org Server 21.1.7, в котором устранена уязвимость (CVE-2023-0494), позволяющая поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Уязвимость возникла из-за пропущенной фигурной скобки в выражении «else {«, из-за чего выполнялась функция освобождения памяти, но не записывался признак NULL в привязанный к буферу указатель, что приводило к дальнейшему обращению к буферу после его освобождения (use-after-free) в функции DeepCopyPointerClasses, используемой в расширении X Input. Через манипуляцию данными, обрабатываемыми в функциях ProcXkbSetDeviceInfo() и ProcXkbGetDeviceInfo(), атакующий может осуществить чтение и запись данных … Читать далее Обновление X.Org Server 21.1.7 с устранением уязвимости

В криптовалютной платформе Dingo Token, капитализация которой в пике достигала 108 млн долларов, выявлено наличие в смарт-контракте функции, позволяющей владельцам проекта для определённых операций покупки или продажи токенов повышать стоимость торговых сборов вплоть до 99% от стоимости транзакции, вместо заявленных 10%. Проблемная функция вызывалась 47 раз для накручивания торговых сборов. В качестве примера махинаций приводится приобретение 427 млн токенов Dingo за $26.89, в результате которого покупатель получил только 4.27 млн. токенов, что составляет 1% от изначальной суммы. Источник: http://www.opennet.ru/opennews/art.shtml?num=58611 Читать далее В платформе Dingo Token выявлен код для накручивания торговых сборов

В пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений, выявлена уязвимость CVE-2022-44268, которая может привести к утечке содержимого файлов в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений. Уязвимость угрожает системам, которые обрабатывают внешние изображения и затем дают возможность загрузить результаты преобразования. Уязвимость вызвана тем, что при обработке PNG-изображения ImageMagick использует содержимое параметра «profile» из блока метаданных для определения имени файла с профилем, который включается в результирующий файл. Таким образом, для атаки достаточно добавить к PNG-изображению параметр «profile» с необходимым файловым путём (например, «/etc/passwd») и при обработке подобного изображения, например, при изменении разрешения картинки, в выходной файл будет включено … Читать далее Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов

После года разработки состоялся релиз платформы для создания домашнего медиацентра MythTV 33, позволяющей превратить настольный ПК в телевизор, видеомагнитофон, музыкальный центр, альбом с фотографиями, станцию для записи и просмотра DVD. Код проекта распространяется в рамках лицензии GPL. Одновременно сформирован выпуск отдельно развивающегося web-интерфейса MythWeb для управления медиацентром через web-браузер. Архитектура MythTV базируется на разделении бэкенда для хранения или захвата видео (IPTV, DVB-карты и т.п.) и фронтэнда для отображения и формирования интерфейса. Фронтэнд может работать одновременно с несколькими бэкендами, которые могут быть запущены как на локальной системе, так и на внешних компьютерах. Функциональность реализуется через плагины. В настоящее время доступно два … Читать далее Релиз медиацентра MythTV 33

Доступен релиз OpenTTD 13.0, свободной стратегической игры, симулирующей работу транспортной компании в реальном времени. Код проекта написан на языке С++ и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для Linux, Windows и macOS. Изначально OpenTTD развивался как аналог коммерческой игры Transport Tycoon Deluxe, но позднее превратился в самодостаточный проект, значительно обогнавший по возможностям эталонный вариант игры. В частности, в рамках проекта создан альтернативный набор игровых данных, новое звуковое и графическое оформление, существенно расширены возможности игрового движка, увеличены размеры карт, реализован сетевой режим игры, добавлено много новых игровых элементов и моделей. В новой версии: Реализована поддержка произвольных уровней масштабирования интерфейса (не … Читать далее Выпуск симулятора транспортной компании OpenTTD 13.0

Организация LAION (Large-scale Artificial Intelligence Open Network), развивающая инструменты, модели и коллекции данных для создания свободных систем машинного обучения (например, коллекция LAION используется для обучения моделей системы синтеза изображений Stable Diffusion), основала проект Open-Assistant, в рамках которого началась разработка чат-бота с искусственным интеллектом, напоминающего по своим возможностям проприетарный сервис ChatGPT и способного понимать вопросы на естественном языке, взаимодействовать со сторонними системами и динамически извлекать необходимую информацию. Код проекта написан на языке Python и распространяется под лицензией Apache 2.0. Ожидается, что Open-Assistant подстегнёт развитие открытых разработок о области формирования контента и обработки запросов на естественных языках, как в своё время открытый … Читать далее Проект Open-Assistant развивает открытый AI-бот, похожий на ChatGPT

По данным сервиса Cloudflare Radar доля Firefox выросла до 5.9%, демонстрируя рост в 0.1% за последние 7 дней и 0.11% за месяц. Доля Chrome составляет 30.3%, Chrome Mobile — 26.7%, Mobile Safari — 11.1%, Chrome Mobile Webview — 6.1%, Edge — 4.7%, Facebook — 3.4%, Safari — 3.4%. Рост присутствия Firefox расходится с показателями традиционных счётчиков, таких как Statcounter, по данным которых доля Firefox снижается и составляет 3%. Расхождение объясняется тем, что в Statcounter и подобных системах учёта используются JavaScript-счётчики, которые блокируются включённой в Firefox системой противодействия коду для отслеживания перемещений пользователей, в то время как Cloudflare учитывает в своей … Читать далее По данным Cloudflare доля Firefox составляет 5.9%

Некоммерческая организация Open Technology Fund, способствующая развитию технологий для обеспечения свободы общения и противостояния цензуре в интернете, объявила о создании Фонда устойчивого развития открытого и свободного ПО (Free and Open Source Software (FOSS) Sustainability Fund). Отмечается, что несмотря на важность роли, которую открытое ПО играет в интернете, открытые проекты испытывают недофинансирование и проблемы с поддержкой. Целью создания нового фонда является гарантирование получения открытыми проектами ресурсов и поддержки, необходимых для сопровождения и поддержания безопасности критически важных инструментов. Об участии в формирования фонда заявили такие компании, как GitHub, Okta, Omidyar Network и Schmidt Futures. Правила выбора проектов для финансирования пока не опубликованы, … Читать далее Учреждён Фонд устойчивого развития открытого и свободного ПО

Испанская анимационная студия SPA Studios, получившая известность благодаря мультфильму «Клаус«, открыла исходные коды своего внутреннего форка пакета 3D-моделирования Blender и сопутствующих дополнений. Форк развивался в недрах студии больше года в процессе работы над новым мультфильмом «Эмбер» и был впервые анонсирован на конференции BlenderCon в октябре 2022 года. Разработчики форка напрямую контактировали с художниками студии, реализуя необходимую функциональность с учётом их пожеланий и сложностей с которыми пришлось столкнуться в процессе использования Blender при создании анимационного фильма. В результате были добавлены новые инструменты и модификации интерфейса системы двумерного рисования и анимации Grease Pencil, позволившие обеспечить комфортную работу 2D-аниматоров в программе. Основные изменения … Читать далее SPA Studios открыла код внутреннего форка Blender с доработками Grease Pencil

Компания Valve опубликовала выпуск проекта Proton 7.0-6, который основан на кодовой базе проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» … Читать далее Компания Valve выпустила Proton 7.0-6, пакет для запуска Windows-игр в Linux

Опубликован выпуск программы для тестирования оперативной памяти MemTest86+ 6.10. Программа не привязана к операционным системам и может запускаться напрямую из прошивки BIOS/UEFI или из загрузчика для проведения полной проверки оперативной памяти. В случае выявления проблем построенная в Memtest86+ карта сбойных участков памяти может использоваться в ядре Linux для исключения проблемных областей при помощи опции memmap. Код проекта распространяется под лицензией GPLv2. Основные новшества: Добавлена поддержка запуска подписанной версии на системах с UEFI Secure Boot. Добавлена поддержка работы на EFI-системах без монитора (Headless) с выводом на консоль через последовательный порт. Добавлены новые опции командной строки: «nobigstatus» для отключения большого всплывающего экрана … Читать далее Выпуск системы тестирования памяти MemTest86+ 6.10

GitHub изменил метод формирования автоматически генерируемых архивов «.tar.gz» и «.tgz» на страницах с релизами, что привело к изменению их контрольных сумм и массовым сбоям в автоматизированных системах сборки, которые для подтверждения целостности осуществляют сверку загружаемых с GitHub архивов с ранее сохранёнными контрольными суммами, например, размещёнными в метаданных пакетов или в сборочных сценариях. Начиная с выпуска 2.38 в инструментарии Git была включена по умолчанию встроенная реализация gzip, которая позволяла унифицировать поддержку данного метода сжатия в разных операционных системах и повысить производительность создания архивов. GitHub подхватил изменение после обновления версии git в своей инфраструктуре. Проблему вызвало то, что сжатые архивы, генерируемые встроенной … Читать далее Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub

Опубликован релиз OpenSSH 9.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость, приводящая к двойному освобождению области памяти на стадии до прохождения аутентификации. Уязвимости подвержен только выпуск OpenSSH 9.1, в более ранних версиях проблема не проявляется. Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на «SSH-2.0-FuTTYSH_9.1p1» для того, чтобы добиться выставления флагов «SSH_BUG_CURVE25519PAD» и «SSH_OLD_DHGEX», зависящих от версии SSH-клиента. После выставления данных флагов память под буфер «options.kex_algorithms» освобождается два раза — при выполнении функции do_ssh2_kex(), вызывающей compat_kex_proposal(), и при выполнении функции do_authentication2(), вызывающей по цепочке input_userauth_request(), mm_getpwnamallow(), copy_set_server_options(), assemble_algorithms() … Читать далее Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 8.1. С момента выпуска 8.0 было закрыто 27 отчётов об ошибках и внесено 299 изменений. Напомним, что начиная с ветки 2.x проект Wine перешёл на схему нумерации версий, в которой каждый стабильный релиз приводит к увеличению первой цифры в номере версии (7.0.0, 8.0.0), а обновления к стабильным релизам выпускаются с изменением третьей цифры (8.0.1, 8.0.2, 8.0.3). Экспериментальные версии, развиваемые в процессе подготовки следующего значительного релиза, выпускаются с изменением второй цифры (8.1, 8.2, 8.3). Наиболее важные изменения: Версия Windows для новых префиксов выставлена в Windows 10. Включены изменения с результатами чистки кода, … Читать далее Выпуск Wine 8.1

Опубликован набор пиктограмм в стиле Material Design, используемом в устройствах Google Pixel. Наработки проекта распространяются под лицензией GPL. В настоящее время для типовых приложений подготовлено 28 пиктограмм в формате SVG. Источник: http://www.opennet.ru/opennews/art.shtml?num=58590 Читать далее Проект по созданию открытых пиктограмм в стиле Google Pixel

Компания Postgres Professional объявила о доступности проприетарной СУБД Pro Enterprise 15.1.1, основанной на кодовой базе PostgreSQL 15 и включающей новые возможности, которые переданы для интеграции в следующие ветки PostgreSQL, а также рад специфичных дополнений для высоконагруженных систем. СУБД поддерживает мультимастер репликацию, сжатие данных на уровне блоков, инкрементальное резервное копирование, встроенный пулер соединений, оптимизированное секционирование таблиц, улучшенный полнотекстовый поиск, автоматическую компиляцию и планирование запросов. Основные новшества: Поддержка пакетов (Packages, наборы функций и процедур) в стиле Oracle для упрощения миграции кода на языке PL/SQL при переходе с Oracle на Postgres. С технической точки зрения поддержка пакетов представляет собой расширение синтаксиса языка PL/pgSQL … Читать далее Выпуск Postgres Pro Enterprise 15.1.1

Организация The Document Foundation представила релиз офисного пакета LibreOffice 7.5. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS. В подготовке выпуска приняли участие 144 разработчика, из которых 91 являются добровольцами. 63% изменений внесены 47 сотрудниками трёх курирующих проект компаний — Collabora, Red Hat и Allotropia, 12% шестью работниками организации The Document Foundation, а 25% изменений добавлены независимыми энтузиастами. Выпуск LibreOffice 7.5 снабжён меткой «Community», будет поддерживаться энтузиастами и не нацелен на применение на предприятиях. LibreOffice Community без ограничений доступен бесплатно всем без исключения, в том числе корпоративным пользователям. Для предприятий нуждающихся в дополнительном сервисе отдельно развиваются продукты … Читать далее Выпуск офисного пакета LibreOffice 7.5

Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Nomad и Terraform, опубликовала открытую систему управления документами Hermes, предназначенную для координации процессов, связанных с написанием, поиском, обменом, рецензированием и утверждением документов, используемых как в отдельных командах, так и во всей организации. Код проекта написан на языке Go и распространяется под лицензией MPL 2.0. Для разработки web-интерфейса задействована библиотека Ember.js и элементы интерфейса Helios. Данные хранятся в СУБД PostgreSQL. На текущем этапе развития для создания документов применяется платформа Google Docs. После создания макета документа автора может поделиться черновиком с другими сотрудниками для совместного доведения до должного вида, после чего отправить документ на … Читать далее HashiCorp представил открытую систему управления документами Hermes

Представлен релиз языка программирования Go 1.20, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Выпуск языка Go 1.20. SourceHut отменил блокировку зеркала модулей Go

После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.37, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2017. В состав нового выпуска включены исправления от 63 разработчиков. В отличие от прошлых выпусков в Glibc 2.37 предложены в основном исправления ошибок. Из заметных улучшений выделяется только добавление в утилиту getent опции «—no-addrconfig» для оставления в выводе IP-адресов, не соответствующих имеющейся сетевой конфигурации (т.е. показ IPv6/IPv4-адресов, даже если нет сетевых интерфейсов с адресами IPv6/IPv4, что соответствует поведению при вызове функции getaddrinfo без флага AI_ADDRCONFIG). В новой версии также изменено поведение компоновщика, который теперь не загружает разделяемые объекты из … Читать далее Выпуск системной библиотеки Glibc 2.37

Компания System76, развивающая Linux-дистрибутив Pop!_OS, опубликовала отчёт о развитии нового пользовательского окружения COSMIC, написанного на языке Rust. Окружение развивается как универсальный проект, не привязанный к конкретному дистрибутиву, соответствующий спецификациям Freedesktop. Проектом также развивается композитный сервер cosmic-comp на базе Wayland. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует безопасные типы, модульную архитектуру и модель реактивного программирования, а также предлагает архитектуру, привычную для разработчиков, знакомых с языком декларативного построения интерфейсов Elm. Предоставляется несколько движков отрисовки, поддерживающих Vulkan, Metal, DX12, OpenGL 2.1+ и OpenGL ES 2.0+, а также оконная оболочка и движок для интеграции с Web. Приложения на базе Iced могут … Читать далее Прогресс в разработке пользовательского окружения COSMIC, написанного на Rust