Доступны корректирующие выпуски серверной JavaScript-платформы Node.js 21.6.2, 20.11.1, 18.19.1, в которых исправлено 8 уязвимостей, из которых 4 присвоен высокий уровень опасности: CVE-2024-21892 — возможность подстановки непривилегированным пользователем кода, наследующего расширенные привилегии, с которыми выполняется рабочий процесс. Уязвимость вызвана ошибкой в реализации исключения, позволяющего в процессе с расширенными привилегиями обрабатывать переменные окружения, выставленные непривилегированным пользователем. Исключение должно было предоставляться только для полномочий CAP_NET_BIND_SERVICE, но из-за ошибки применялось и к некоторым другими полномочиям (capabilities). CVE-2024-22019 — отказ в обслуживании через исчерпание доступных ресурсов (нагрузка на CPU и расходование пропускной способности) при обработке встроенным HTTP-сервером специально оформленных chunked-запросов, приводящих к чтению неограниченное количества … Читать далее Уязвимости в Node.js и libuv

Компания Google объявила об открытии кода проекта Magika, предназначенного для определения типа содержимого на основе анализа имеющихся в файле данных. Magika может точно определять в содержимом используемые языки программирования, методы сжатия, установочные пакеты, исполняемый код, виды разметки, форматы звука, видео, документов и изображений. Связанный с проектом инструментарий и готовая модель машинного обучения опубликованы под лицензией Apache 2.0. От похожих проектов, определяющих MIME-тип по содержимому, Magika отличается применением методов машинного обучения, высокой производительностью и отменной точностью определения. Модель обучена с использованием фреймворка Keras на 25 млн примерах файлов и поддерживает распознавание 116 типов данных с точностью не менее 99%. Модель скомпонована … Читать далее Google открыл код AI-системы Magika для определения типа содержимого файлов

Некоммерческая организация lowRISC, курирующая разработку свободного микропроцессора на базе архитектуры RISC-V, объявила о доступности первого готового к коммерческому производству чипа, построенного на базе открытой платформы OpenTitan, развиваемой как независимый совместный проект. Изначально проект был основан компанией Google, но после передачи организации lowRISC к его разработке присоединились такие компании, как Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC и G+D Mobile Security. Связанный с проектом код и спецификации аппаратных компонентов опубликованы под лицензией Apache 2.0. В отличие от существующих реализаций Root of Trust, OpenTitan развивается в соответствии с концепцией «безопасность через прозрачность», подразумевающей доступность кода и схем, а также полностью открытый … Читать далее Представлен первый чип на базе открытой платформы OpenTitan

В Asahi, открытом драйвере для GPU Apple AGX, обеспечена поддержка OpenGL 4.6 и OpenGL ES 3.2 для чипов Apple M1 и M2. Примечательно, что в родных графических драйверах для чипов M1 от Apple реализована только спецификация OpenGL 4.1, а поддержка OpenGL 4.6 первой появилась в открытом драйвере. Готовые пакеты с драйверами уже включены в состав репозиториев Fedora и доступны для использования в специализированной сборке Fedora Asahi Remix 39, предназначенной для установки на системы с ARM-чипами Apple. Более того, консорциум Khronos, занимающийся разработкой графических стандартов, признал полную совместимость открытого драйвера Asahi для GPU AGX, поставляемого в чипах Apple M1 и M2, … Читать далее В открытом драйвере Asahi сертифицирвоана поддержка OpenGL 4.6 для чипов Apple M1 и M2

Представлен выпуск мобильной платформы LineageOS 21, основанный на кодовой базе Android 14. Отмечается, что ветка LineageOS 21 достигла паритета по функциональности и стабильности c веткой 20, и признана готовой для формирования первого релиза. Сборки подготовлены для 109 моделей устройств. LineageOS также можно запустить в эмуляторе Android Emulator и в среде Android Studio. Дополнительно, предоставлена возможность сборки в режиме Android TV и Android Automotive. Помимо публикации LineageOS 21 продолжено и формирование сборок LineageOS 20 и 18.1. Продолжение сопровождения LineageOS 18.1 на базе Android 11 обусловлено тем, что начиная с Android 12 платформа была переведена на использование eBPF для фильтрации пакетов, что … Читать далее Опубликована мобильная платформа LineageOS 21 на основе Android 14

После двух лет разработки опубликован релиз проекта DOSBox Staging 0.81, развивающего мультиплатформенный эмулятор среды MS-DOS, написанный с использованием библиотеки SDL и ориентированный для запуска старых DOS-игр в Linux, Windows и macOS. DOSBox Staging развивается отдельной командой и не связан с оригинальным DOSBox, в котором последние годы отмечаются только незначительные изменения. Код написан на язык С++ и распространяется под лицензией GPLv2+. Главной задачей проекта является обеспечение качественной работы старых игр на современных системах (для эмуляции оборудования существуюет отдельный форк dosbox-x). Среди целей DOSBox Staging также отмечается предоставление удобного пользователям продукта, упрощение участия новых разработчиков (например, использование Git вместо SVN), проведение работы … Читать далее Релиз эмулятора DOSBox Staging 0.81

Доступен выпуск библиотеки Louvre 1.2.0, предоставляющей компоненты для разработки композитных серверов на базе протокола Wayland. Библиотека берёт на себя выполнение всех низкоуровневых операций, включая управления графическими буферами, взаимодействие с подсистемами ввода и графическими API в Linux, и также предлагает готовые реализации различных расширений протокола Wayland. Созданный на базе Louvre композитный сервер, потребляет заметно меньше ресурсов и демонстрирует более высокую производительность, по сравнению с Weston и Sway. Код написан на языке С++ и распространяется под лицензией GPLv3. Обзор возможностей Louvre можно прочитать в анонсе первого выпуска проекта. В новой версии: Добавлена поддержка выставлении нецелых значений масштаба (fractional scale) и пересэмплирования (oversampling) … Читать далее Новая версия Louvre 1.2, библиотеки для разработки композитных серверов на базе Wayland

Максим Дунин, один из трёх активных ключевых разработчиков Nginx, объявил о создании нового форка — FreeNginx. В отличие от проекта Angie, также создавшего ответвление от Nginx, новый форк будет разрабатываться исключительно как некоммерческий проект, развиваемый сообществом. FreeNginx позиционируется как основной потомок Nginx — «с учётом деталей — скорее, форк остался у F5». Целью FreeNginx объявлено обеспечение разработки Nginx, свободной от произвольного корпоративного вмешательства. Причиной создания нового проекта стало несогласие с политикой руководства компании F5, владеющей проектом Nginx. Компания F5 без согласования с сообществом разработчиков изменила политику безопасности и перешла к практике назначения CVE-идентификаторов для пометки как уязвимостей проблем, потенциально представляющих … Читать далее Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5

Исследователи из компании Aqua Security обратили внимание на возможность совершения атаки на пользователей дистрибутива Ubuntu, используя особенности реализации обработчика «command-not-found«, выдающего подсказку в случае попытки запуска отсутствующей в системе программы. Проблема в том, что при оценке запускаемых команд, которые отсутствуют в системе, «command-not-found» использует при выборе рекомендации не только пакеты из штатных репозиториев, но snap-пакеты из каталога snapcraft.io. При формировании рекомендации на основе содержимого каталога snapcraft.io обработчик «command-not-found» не учитывает статус пакета и охватывает пакеты, добавленные в каталог непроверенными пользователями. Таким образом, атакующий может разместить в snapcraft.io пакет со скрытым вредоносным содержимым и именем, пересекающимся с существующими DEB-пакетами, изначально отсутствующими … Читать далее Сценарий атаки на обработчик не установленных приложений в Ubuntu

Сформирован выпуск основной ветки nginx 1.25.4, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD. В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения (CVE-2024-24990). В списке изменений утверждается, что обе … Читать далее В nginx 1.25.4 устранены две уязвимости, связанные с HTTP/3

Опубликован релиз десктоп-ориентированного дистрибутива GhostBSD 24.01.1, построенного на базе FreeBSD 14-STABLE и предлагающего пользовательское окружение MATE. Отдельно сообществом формируются неофициальные сборки с Xfce. По умолчанию в GhostBSD применяется файловая система ZFS. Поддерживается как работа в Live-режиме, так и установка на жесткий диск (используется собственный инсталлятор ginstall, написанный на языке Python). Загрузочные образы сформированы для архитектуры x86_64 (2.5 ГБ). В новой версии: Осуществлена синхронизация с веткой FreeBSD 14-STABLE (в прошлой версии использовалась ветка FreeBSD 13.2-STABLE). В инсталляторе создаваемый пользователь теперь получает права администратора, а указанный для этого пользователя пароль также выставляется для пользователя root. В приложение Update Station добавлена возможность обновления … Читать далее Выпуск GhostBSD 24.01.1

В различных реализациях протокола DNSSEC выявлены две уязвимости, затрагивающие DNS-резолверы BIND, PowerDNS, dnsmasq, Knot Resolver и Unbound. Уязвимости позволяют добиться отказа в обслуживании DNS-резолверов, выполняющих валидацию при помощи DNSSEC, из-за возникновения высокой нагрузки на CPU, мешающей обработке других запросов. Для совершения атаки достаточно отправить на DNS-резолвер, использующий DNSSEC, запрос, приводящий к обращению к специально оформленной DNS-зоне на сервере злоумышленника. Выявленные проблемы: CVE-2023-50387 (кодовое имя KeyTrap) — при обращении к специально оформленным DNS-зонам приводит к отказу в обслуживании из-за создания значительной нагрузки на CPU и длительного выполнения проверки DNSSEC. Для совершения атаки необходимо разместить на подконтрольном атакующему DNS-сервере доменную зону с … Читать далее Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC

Следом за назначением нового руководителя, компания Mozilla намерена уволить около 60 сотрудников и изменить стратегию развития продуктов. С учётом того, что по публичным отчётам в компании Mozilla работает от 500 до 1000 человек, увольнения коснутся 5-10% персонала. Это четвёртая массовая волна увольнений — в 2020 году было уволено 320 (250 + 70) работников, а в 2017 — 50. Из направлений на которых планируется сосредоточить внимание отмечается применение AI-технологий в Firefox, например, интеграция разработок недавно купленной компании Fakespot. С целью оптимизации рабочих процессов планируется объединить вместе команды, занимающиеся сервисом Pocket, подготовкой контента и искусственным интеллектом. Сокращение не затронет MDN (Mozilla Developer … Читать далее Mozilla уволит около 60 сотрудников и сосредоточит внимание на AI-технологиях в Firefox

Разработчики проекта Chromium сообщили о намерении реализовать в браузере поддержку технологии Web Monetization, позволяющей автоматически выполнять микроплатежи владельцам сайтов за просмотр их содержимого. Предполагается, что технология может использоваться для монетизации сайтов вместо показа рекламы, в качестве аналога сетевых чаевых или для предоставления выборочного платного доступа к контенту без оформления подписки. Первый прототип реализации Web Monetization рассчитывают добавить в состав выпуска Chromе 127, намеченного на 23 июля. При помощи API Web Monetization web-страницы могут информировать браузер о принятии платежей в пассивном режиме, не требующем вывода запроса на проведение оплаты. Для пользователя предложенная технология удобна тем, что не отвлекает во время работы, … Читать далее В Chromium экспериментируют с автоматическими микроплатежами для монетизации сайтов

Подготовлен выпуск OpenVPN 2.6.7, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Новая версия примечательна проведением перелицензирования. Код проекта переведён с использования чистой лицензии GPLv2, на совмещённую лицензию, в которой текст GPLv2 расширен исключением, разрешающим связывание с кодом под лицензией Apache 2.0, которое невозможно в обычных условиях без перелицензирования кода из-за несовместимости лицензией GPLv2 и Apache 2.0. Исключение позволяет связывать код OpenVPN с кодом библиотек, распространяемых под лицензией Apache 2.0, и распространять комбинированный производный продукт без соблюдения требования GPLv2 о распространении связанных библиотек под … Читать далее Обновление OpenVPN 2.6.9 с изменением лицензии

В след за прекращением продажи бессрочных лицензий, компания Broadcom, в ноябре прошлого года поглотившая бизнес VMware, прекратила распространение бесплатных версий VMware vSphere Hypervisor (ESXi 7.x и 8.x). Бесплатные версии были ограничены числом задействованных процессорных ядер и размером памяти, а также не включали расширенные возможности. Тем не менее, базовая функциональность в них присутствовала, что делало их востребованными для небольших, персональных и экспериментальных внедрений. Альтернативных продуктов не предоставлено. Источник: http://www.opennet.ru/opennews/art.shtml?num=60595 Читать далее Прекращено распространение бесплатных версий VMware vSphere Hypervisor

Организация Linux Foundation объявила о создании альянса Post-Quantum Cryptography (PQCA), нацеленного на решение проблем с безопасностью, сопутствующих внедрению квантовых вычислений, путём разработки и внедрения постквантовых алгоритмов шифрования. Альянс планирует подготовить высоконадёжные реализации стандартизованных постквантовых алгоритмов шифрования, обеспечить их разработку и сопровождение, а также участвовать в стандартизации и создании прототипов новых постквантовых алгоритмов. В число учредителей альянса вошли компании Amazon Web Services (AWS), Cisco, Google, IBM, NVIDIA, IntellectEU, Keyfactor, Kudelski IoT, QuSecure и SandboxAQ, а также университет Ватерлоо. Отмечается, что среди участников инициативы присутствуют соавторы стойких к подбору на квантовом компьютере алгоритмов CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon и SPHINCS+, выбранных для стандартизации Национальным … Читать далее Создан альянс для развития постквантовых алгоритмов шифрования

Представлен релиз среды рабочего стода Regolith Desktop 3.1, развиваемой разработчиками одноимённого дистрибутива Linux. Regolith основан на технологиях управления сеансами GNOME, оконном менеджере i3, композитных серверах Picom и Sway, панели i3bar, системе уведомлений rofication, строке состояния i3status-rs и интерфейсе запуска программ ilia. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены пакеты для Ubuntu и Debian. Проект позиционируется как современное окружение рабочего стола, развиваемое для более быстрого выполнения типовых действий за счёт оптимизаций рабочих процессов и устранения лишнего беспорядка. Целью является предоставление функционального, но минималистичного интерфейса, который может настраиваться и расширяться в зависимости от предпочтений пользователя. Regolith может представлять интерес для … Читать далее Выпуск среды рабочего стола Regolith 3.1

Разработчики FreeBSD опубликовали план прекращения поддержки 32-разрядных платформ. В ветке FreeBSD 15 не будут поставляться платформы armv6, i386 и powerpc, а в ветке FreeBSD 16 будет преркащена поддержка платформы armv7. Возможность сборки 32-разрядных программ и использования режима COMPAT_FREEBSD32 для запуска 32-разрядных исполняемых файлов в окружении на базе 64-разрядного ядра сохранится как минимум до конца жизненного цикла ветки FreeBSD 16. В качестве причин прекращения поддержки 32-разрядых архитектур упоминается снижение популярности 32-разрядных установок, смещение рынка аппаратного обеспечения в сторону 64-разрядных систем, вывод из эксплуатации 32-разрядного оборудования и нехватка у проекта ресурсов на сопровождение устаревших платформ. Источник: http://www.opennet.ru/opennews/art.shtml?num=60592 Читать далее FreeBSD прекращает поддержку 32-разрядных платформ

Проект ZLUDA подготовил открытую реализацию технологии CUDA для GPU AMD, позволяющую выполнять немодифицированные CUDA-приложения с производительностью, близкой к производительности приложений, выполняемых без прослоек. Проект обеспечивает бинарную совместимость с существующими CUDA-приложениями, собранными при помощи компилятора CUDA для GPU NVIDIA. Реализация работает поверх развиваемого компанией AMD стека ROCm и runtime HIP (Heterogeneous-computing Interface for Portability). Код проекта написан на языке Rust и распространяется под лицензиями MIT и Apache 2.0. Поддерживается работа в Linux и Windows. Слой для организации работы CUDA на системах с GPU AMD разрабатывался последние два года, но проект имеет более давнюю историю и изначально создавался для обеспечения работы CUDA … Читать далее Опубликован инструментарий ZLUDA, позволяющий запускать CUDA-приложения на GPU AMD

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, объявил о переходе на новую модель формирования релизов. Вместо выпусков в форме «OTA-номер имя_ветки» новые версии прошивки Ubuntu Touch решено выпускать с использованием схемы «год.месяц.обновление», где год и месяц соответствуют времени значительного релиза, основанного на новой ветке Ubuntu. Номер обновления соответствует промежуточному выпуску, включающему только исправления и мелкие улучшения. Значительные релизы планируют публиковать раз в полгода, а промежуточные — каждые два месяца. Новая схема будет применена после обновления проекта до пакетной базы Ubuntu 24.04. Первую версия Ubuntu Touch на базе … Читать далее Представлена новая модель формирования релизов Ubuntu Touch