Обновление X.Org Server 21.1.7 с устранением уязвимости

Доступен корректирующий выпуск X.Org Server 21.1.7, в котором устранена уязвимость (CVE-2023-0494), позволяющая поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Уязвимость возникла из-за пропущенной фигурной скобки в выражении «else {«, из-за чего выполнялась функция освобождения памяти, но не записывался признак NULL в привязанный к буферу указатель, что приводило к дальнейшему обращению к буферу после его освобождения (use-after-free) в функции DeepCopyPointerClasses, используемой в расширении X Input. Через манипуляцию данными, обрабатываемыми в функциях ProcXkbSetDeviceInfo() и ProcXkbGetDeviceInfo(), атакующий может осуществить чтение и запись данных … Читать далее Обновление X.Org Server 21.1.7 с устранением уязвимости

В платформе Dingo Token выявлен код для накручивания торговых сборов

В криптовалютной платформе Dingo Token, капитализация которой в пике достигала 108 млн долларов, выявлено наличие в смарт-контракте функции, позволяющей владельцам проекта для определённых операций покупки или продажи токенов повышать стоимость торговых сборов вплоть до 99% от стоимости транзакции, вместо заявленных 10%. Проблемная функция вызывалась 47 раз для накручивания торговых сборов. В качестве примера махинаций приводится приобретение 427 млн токенов Dingo за $26.89, в результате которого покупатель получил только 4.27 млн. токенов, что составляет 1% от изначальной суммы. Источник: http://www.opennet.ru/opennews/art.shtml?num=58611 Читать далее В платформе Dingo Token выявлен код для накручивания торговых сборов

Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов

В пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений, выявлена уязвимость CVE-2022-44268, которая может привести к утечке содержимого файлов в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений. Уязвимость угрожает системам, которые обрабатывают внешние изображения и затем дают возможность загрузить результаты преобразования. Уязвимость вызвана тем, что при обработке PNG-изображения ImageMagick использует содержимое параметра «profile» из блока метаданных для определения имени файла с профилем, который включается в результирующий файл. Таким образом, для атаки достаточно добавить к PNG-изображению параметр «profile» с необходимым файловым путём (например, «/etc/passwd») и при обработке подобного изображения, например, при изменении разрешения картинки, в выходной файл будет включено … Читать далее Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов

Релиз медиацентра MythTV 33

После года разработки состоялся релиз платформы для создания домашнего медиацентра MythTV 33, позволяющей превратить настольный ПК в телевизор, видеомагнитофон, музыкальный центр, альбом с фотографиями, станцию для записи и просмотра DVD. Код проекта распространяется в рамках лицензии GPL. Одновременно сформирован выпуск отдельно развивающегося web-интерфейса MythWeb для управления медиацентром через web-браузер. Архитектура MythTV базируется на разделении бэкенда для хранения или захвата видео (IPTV, DVB-карты и т.п.) и фронтэнда для отображения и формирования интерфейса. Фронтэнд может работать одновременно с несколькими бэкендами, которые могут быть запущены как на локальной системе, так и на внешних компьютерах. Функциональность реализуется через плагины. В настоящее время доступно два … Читать далее Релиз медиацентра MythTV 33

Выпуск симулятора транспортной компании OpenTTD 13.0

Доступен релиз OpenTTD 13.0, свободной стратегической игры, симулирующей работу транспортной компании в реальном времени. Код проекта написан на языке С++ и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для Linux, Windows и macOS. Изначально OpenTTD развивался как аналог коммерческой игры Transport Tycoon Deluxe, но позднее превратился в самодостаточный проект, значительно обогнавший по возможностям эталонный вариант игры. В частности, в рамках проекта создан альтернативный набор игровых данных, новое звуковое и графическое оформление, существенно расширены возможности игрового движка, увеличены размеры карт, реализован сетевой режим игры, добавлено много новых игровых элементов и моделей. В новой версии: Реализована поддержка произвольных уровней масштабирования интерфейса (не … Читать далее Выпуск симулятора транспортной компании OpenTTD 13.0

Проект Open-Assistant развивает открытый AI-бот, похожий на ChatGPT

Организация LAION (Large-scale Artificial Intelligence Open Network), развивающая инструменты, модели и коллекции данных для создания свободных систем машинного обучения (например, коллекция LAION используется для обучения моделей системы синтеза изображений Stable Diffusion), основала проект Open-Assistant, в рамках которого началась разработка чат-бота с искусственным интеллектом, напоминающего по своим возможностям проприетарный сервис ChatGPT и способного понимать вопросы на естественном языке, взаимодействовать со сторонними системами и динамически извлекать необходимую информацию. Код проекта написан на языке Python и распространяется под лицензией Apache 2.0. Ожидается, что Open-Assistant подстегнёт развитие открытых разработок о области формирования контента и обработки запросов на естественных языках, как в своё время открытый … Читать далее Проект Open-Assistant развивает открытый AI-бот, похожий на ChatGPT

По данным Cloudflare доля Firefox составляет 5.9%

По данным сервиса Cloudflare Radar доля Firefox выросла до 5.9%, демонстрируя рост в 0.1% за последние 7 дней и 0.11% за месяц. Доля Chrome составляет 30.3%, Chrome Mobile — 26.7%, Mobile Safari — 11.1%, Chrome Mobile Webview — 6.1%, Edge — 4.7%, Facebook — 3.4%, Safari — 3.4%. Рост присутствия Firefox расходится с показателями традиционных счётчиков, таких как Statcounter, по данным которых доля Firefox снижается и составляет 3%. Расхождение объясняется тем, что в Statcounter и подобных системах учёта используются JavaScript-счётчики, которые блокируются включённой в Firefox системой противодействия коду для отслеживания перемещений пользователей, в то время как Cloudflare учитывает в своей … Читать далее По данным Cloudflare доля Firefox составляет 5.9%

Учреждён Фонд устойчивого развития открытого и свободного ПО

Некоммерческая организация Open Technology Fund, способствующая развитию технологий для обеспечения свободы общения и противостояния цензуре в интернете, объявила о создании Фонда устойчивого развития открытого и свободного ПО (Free and Open Source Software (FOSS) Sustainability Fund). Отмечается, что несмотря на важность роли, которую открытое ПО играет в интернете, открытые проекты испытывают недофинансирование и проблемы с поддержкой. Целью создания нового фонда является гарантирование получения открытыми проектами ресурсов и поддержки, необходимых для сопровождения и поддержания безопасности критически важных инструментов. Об участии в формирования фонда заявили такие компании, как GitHub, Okta, Omidyar Network и Schmidt Futures. Правила выбора проектов для финансирования пока не опубликованы, … Читать далее Учреждён Фонд устойчивого развития открытого и свободного ПО

SPA Studios открыла код внутреннего форка Blender с доработками Grease Pencil

Испанская анимационная студия SPA Studios, получившая известность благодаря мультфильму «Клаус«, открыла исходные коды своего внутреннего форка пакета 3D-моделирования Blender и сопутствующих дополнений. Форк развивался в недрах студии больше года в процессе работы над новым мультфильмом «Эмбер» и был впервые анонсирован на конференции BlenderCon в октябре 2022 года. Разработчики форка напрямую контактировали с художниками студии, реализуя необходимую функциональность с учётом их пожеланий и сложностей с которыми пришлось столкнуться в процессе использования Blender при создании анимационного фильма. В результате были добавлены новые инструменты и модификации интерфейса системы двумерного рисования и анимации Grease Pencil, позволившие обеспечить комфортную работу 2D-аниматоров в программе. Основные изменения … Читать далее SPA Studios открыла код внутреннего форка Blender с доработками Grease Pencil

Компания Valve выпустила Proton 7.0-6, пакет для запуска Windows-игр в Linux

Компания Valve опубликовала выпуск проекта Proton 7.0-6, который основан на кодовой базе проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» … Читать далее Компания Valve выпустила Proton 7.0-6, пакет для запуска Windows-игр в Linux

Выпуск системы тестирования памяти MemTest86+ 6.10

Опубликован выпуск программы для тестирования оперативной памяти MemTest86+ 6.10. Программа не привязана к операционным системам и может запускаться напрямую из прошивки BIOS/UEFI или из загрузчика для проведения полной проверки оперативной памяти. В случае выявления проблем построенная в Memtest86+ карта сбойных участков памяти может использоваться в ядре Linux для исключения проблемных областей при помощи опции memmap. Код проекта распространяется под лицензией GPLv2. Основные новшества: Добавлена поддержка запуска подписанной версии на системах с UEFI Secure Boot. Добавлена поддержка работы на EFI-системах без монитора (Headless) с выводом на консоль через последовательный порт. Добавлены новые опции командной строки: «nobigstatus» для отключения большого всплывающего экрана … Читать далее Выпуск системы тестирования памяти MemTest86+ 6.10

Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub

GitHub изменил метод формирования автоматически генерируемых архивов «.tar.gz» и «.tgz» на страницах с релизами, что привело к изменению их контрольных сумм и массовым сбоям в автоматизированных системах сборки, которые для подтверждения целостности осуществляют сверку загружаемых с GitHub архивов с ранее сохранёнными контрольными суммами, например, размещёнными в метаданных пакетов или в сборочных сценариях. Начиная с выпуска 2.38 в инструментарии Git была включена по умолчанию встроенная реализация gzip, которая позволяла унифицировать поддержку данного метода сжатия в разных операционных системах и повысить производительность создания архивов. GitHub подхватил изменение после обновления версии git в своей инфраструктуре. Проблему вызвало то, что сжатые архивы, генерируемые встроенной … Читать далее Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub

Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации

Опубликован релиз OpenSSH 9.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость, приводящая к двойному освобождению области памяти на стадии до прохождения аутентификации. Уязвимости подвержен только выпуск OpenSSH 9.1, в более ранних версиях проблема не проявляется. Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на «SSH-2.0-FuTTYSH_9.1p1» для того, чтобы добиться выставления флагов «SSH_BUG_CURVE25519PAD» и «SSH_OLD_DHGEX», зависящих от версии SSH-клиента. После выставления данных флагов память под буфер «options.kex_algorithms» освобождается два раза — при выполнении функции do_ssh2_kex(), вызывающей compat_kex_proposal(), и при выполнении функции do_authentication2(), вызывающей по цепочке input_userauth_request(), mm_getpwnamallow(), copy_set_server_options(), assemble_algorithms() … Читать далее Выпуск OpenSSH 9.2 с устранением уязвимости, проявляющейся на этапе до аутентификации

Выпуск Wine 8.1

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 8.1. С момента выпуска 8.0 было закрыто 27 отчётов об ошибках и внесено 299 изменений. Напомним, что начиная с ветки 2.x проект Wine перешёл на схему нумерации версий, в которой каждый стабильный релиз приводит к увеличению первой цифры в номере версии (7.0.0, 8.0.0), а обновления к стабильным релизам выпускаются с изменением третьей цифры (8.0.1, 8.0.2, 8.0.3). Экспериментальные версии, развиваемые в процессе подготовки следующего значительного релиза, выпускаются с изменением второй цифры (8.1, 8.2, 8.3). Наиболее важные изменения: Версия Windows для новых префиксов выставлена в Windows 10. Включены изменения с результатами чистки кода, … Читать далее Выпуск Wine 8.1

Проект по созданию открытых пиктограмм в стиле Google Pixel

Опубликован набор пиктограмм в стиле Material Design, используемом в устройствах Google Pixel. Наработки проекта распространяются под лицензией GPL. В настоящее время для типовых приложений подготовлено 28 пиктограмм в формате SVG. Источник: http://www.opennet.ru/opennews/art.shtml?num=58590 Читать далее Проект по созданию открытых пиктограмм в стиле Google Pixel

Выпуск Postgres Pro Enterprise 15.1.1

Компания Postgres Professional объявила о доступности проприетарной СУБД Pro Enterprise 15.1.1, основанной на кодовой базе PostgreSQL 15 и включающей новые возможности, которые переданы для интеграции в следующие ветки PostgreSQL, а также рад специфичных дополнений для высоконагруженных систем. СУБД поддерживает мультимастер репликацию, сжатие данных на уровне блоков, инкрементальное резервное копирование, встроенный пулер соединений, оптимизированное секционирование таблиц, улучшенный полнотекстовый поиск, автоматическую компиляцию и планирование запросов. Основные новшества: Поддержка пакетов (Packages, наборы функций и процедур) в стиле Oracle для упрощения миграции кода на языке PL/SQL при переходе с Oracle на Postgres. С технической точки зрения поддержка пакетов представляет собой расширение синтаксиса языка PL/pgSQL … Читать далее Выпуск Postgres Pro Enterprise 15.1.1

Выпуск офисного пакета LibreOffice 7.5

Организация The Document Foundation представила релиз офисного пакета LibreOffice 7.5. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS. В подготовке выпуска приняли участие 144 разработчика, из которых 91 являются добровольцами. 63% изменений внесены 47 сотрудниками трёх курирующих проект компаний — Collabora, Red Hat и Allotropia, 12% шестью работниками организации The Document Foundation, а 25% изменений добавлены независимыми энтузиастами. Выпуск LibreOffice 7.5 снабжён меткой «Community», будет поддерживаться энтузиастами и не нацелен на применение на предприятиях. LibreOffice Community без ограничений доступен бесплатно всем без исключения, в том числе корпоративным пользователям. Для предприятий нуждающихся в дополнительном сервисе отдельно развиваются продукты … Читать далее Выпуск офисного пакета LibreOffice 7.5

HashiCorp представил открытую систему управления документами Hermes

Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Nomad и Terraform, опубликовала открытую систему управления документами Hermes, предназначенную для координации процессов, связанных с написанием, поиском, обменом, рецензированием и утверждением документов, используемых как в отдельных командах, так и во всей организации. Код проекта написан на языке Go и распространяется под лицензией MPL 2.0. Для разработки web-интерфейса задействована библиотека Ember.js и элементы интерфейса Helios. Данные хранятся в СУБД PostgreSQL. На текущем этапе развития для создания документов применяется платформа Google Docs. После создания макета документа автора может поделиться черновиком с другими сотрудниками для совместного доведения до должного вида, после чего отправить документ на … Читать далее HashiCorp представил открытую систему управления документами Hermes

Выпуск языка Go 1.20. SourceHut отменил блокировку зеркала модулей Go

Представлен релиз языка программирования Go 1.20, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Выпуск языка Go 1.20. SourceHut отменил блокировку зеркала модулей Go

Выпуск системной библиотеки Glibc 2.37

После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.37, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2017. В состав нового выпуска включены исправления от 63 разработчиков. В отличие от прошлых выпусков в Glibc 2.37 предложены в основном исправления ошибок. Из заметных улучшений выделяется только добавление в утилиту getent опции «—no-addrconfig» для оставления в выводе IP-адресов, не соответствующих имеющейся сетевой конфигурации (т.е. показ IPv6/IPv4-адресов, даже если нет сетевых интерфейсов с адресами IPv6/IPv4, что соответствует поведению при вызове функции getaddrinfo без флага AI_ADDRCONFIG). В новой версии также изменено поведение компоновщика, который теперь не загружает разделяемые объекты из … Читать далее Выпуск системной библиотеки Glibc 2.37

Прогресс в разработке пользовательского окружения COSMIC, написанного на Rust

Компания System76, развивающая Linux-дистрибутив Pop!_OS, опубликовала отчёт о развитии нового пользовательского окружения COSMIC, написанного на языке Rust. Окружение развивается как универсальный проект, не привязанный к конкретному дистрибутиву, соответствующий спецификациям Freedesktop. Проектом также развивается композитный сервер cosmic-comp на базе Wayland. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует безопасные типы, модульную архитектуру и модель реактивного программирования, а также предлагает архитектуру, привычную для разработчиков, знакомых с языком декларативного построения интерфейсов Elm. Предоставляется несколько движков отрисовки, поддерживающих Vulkan, Metal, DX12, OpenGL 2.1+ и OpenGL ES 2.0+, а также оконная оболочка и движок для интеграции с Web. Приложения на базе Iced могут … Читать далее Прогресс в разработке пользовательского окружения COSMIC, написанного на Rust