Опубликованы корректирующие выпуски X.Org Server 21.1.10 и DDX-компонента (Device-Dependent X) xwayland 23.2.3, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены две уязвимости. Первая уязвимость может быть эксплуатирована для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. Выявленные проблемы: CVE-2023-6377 — переполнение буфера в обработчике кнопок XKB, возникающее при переключении логического устройства ввода (например, при переключении с тачпада на мышь) из-за некорректного расчёта информации об устройстве. X-сервер выделял память, достаточную … Читать далее Обновление X.Org Server 21.1.10 с устранением уязвимостей. Удаление поддержки UMS из ядра Linux

Опубликован выпуск проекта FreeRDP 3.0.0, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft. Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0. В новой версии: Добавлена поддержка аутентификации при помощи смарткарт и реализована полная эмуляция смарткарт. Предложена новая эталонная реализация клиента, использующая библиотеку SDL2. Добавлена поддержка методов аутентификации AAD (Azure AD) и AVD (Azure Virtual Desktop). Реализована возможность использования транспорта на базе Websocket. Переписан прокси и предложен новый API модулей. … Читать далее Релиз FreeRDP 3.0, свободной реализации протокола RDP

Организация Linux Foundation представила первый выпуск открытой платформы для программно управляемых Flash-накопителей SEF (Software Enabled Flash), построенной на основе кода, переданного компанией KIOXIA (до переименования Toshiba Memory Corporation), в которой в 1980 году была изобретена Flash-память. Исходные тексты инструментария написаны на языке Си и распространяются под лицензией BSD. Инструментарий включает в себя набор патчей для ядра Linux, блочный драйвер для устройств SEF (Software Enabled Flash), утилиты для управления из командной строки, паравиртуализированные SEF-драйверы для QEMU, библиотека с API для разработки приложений, патчи для nvme-cli и FIO, добавляющие поддержку SEF. SDK также включает эталонную реализацию программного уровня FTL (Flash Translation Layer), … Читать далее Опубликована платформа SEF для программно управляемых Flash-накопителей

Опубликован выпуск высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера Angie 1.4.0, ответвлённого от Nginx группой бывших разработчиков проекта, уволившихся из компании F5 Network. Исходные тексты Angie доступны под лицензией BSD. Проект получил сертификаты совместимости с российскими операционными системами Ред ОС, Astra Linux Special Edition, Роса Хром 12 Сервер, Альт и ФСТЭК-версии Альт. Сопровождением разработки занимается компания «Веб-сервер«, образованная прошлой осенью и получившая инвестиции в размере 1 млн долларов. Среди совладельцев компании Веб-сервер: Валентин Бартенев (лидер команды, развивавшей продукт Nginx Unit), Иван Полуянов (бывший руководитель фронтэнд-разработчиков Rambler и Mail.Ru), Олег Мамонтов (руководитель команды техподдержки NGINX Inc) и Руслан Ермилов (ru@FreeBSD.org). Изменения в выпуске … Читать далее Выпуск Angie 1.4.0, российского форка Nginx

Раскрыта информация о двух уязвимостях в свободном офисном пакете LibreOffice, которым присвоен высокий уровень опасности (8.3 из 10). Проблемы устранены в недавних обновлениях LibreOffice 7.6.4 и 7.5.9. Первая уязвимость (CVE-2023-6186) позволяет организовать выполнение произвольного скрипта при нажатии пользователем на специально добавленную в документ ссылку, запускающую встроенные макросы или внутренние команды. В определённых ситуациях можно было добиться отключения показа предварительного предупреждения о совершаемой операции при нажатии на подобные ссылки. Вторая уязвимость (CVE-2023-6185) позволяет при открытии документа со специально оформленным встроенным видео добиться на платформе Linux выполнения произвольных плагинов к мультимедийному фреймворку Gstreamer. Проблема вызвана отсутствием должного экранирования спецсимволов в имени файла … Читать далее Уязвимости в LibreOffice, позволяющие выполнить скрипт или плагин Gstreamer

Джеймс Боттомли (James Bottomley) из подразделения IBM Research, сопровождающий подсистемы SCSI и PA-RISC в ядре Linux и ранее возглавлявший технический комитет Linux Foundation, предложил вариант решения проблемы с возможным привлечением к ответственности разработчиков открытого кода за ошибки в коде или ненадлежащее устранение уязвимостей. Идея заключается в том, чтобы переложить юридическую ответственность за ошибки в исходном коде с разработчиков открытых проектов на поставщиков конечных коммерческих продуктов на основе этого кода, т.е. сместить ответственность с того, кто разрабатывает код на того, кто зарабатывает на этом коде. Например, если компания использует сторонний открытый код в своём продукте и ошибка/уязвимость в этом коде привела … Читать далее Предложение по перекладыванию ответственности за ошибки в открытом коде

Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, опубликовал знаковый выпуск ядра 6.6.6, в котором предложено одно изменение, затрагивающее беспроводной стек cfg80211. Изменение откатывает добавленное в выпуск 6.6.5 исправление ошибки, которое привело к появлению регрессий из-за того, что вместе с исправлением в ядро 6.6.5 из ветки 6.7 не был перенесён ещё один связанный коммит. Аналогичный откат исправления предложен в версии 6.1.67. Источник: http://www.opennet.ru/opennews/art.shtml?num=60271 Читать далее Обновление ядра Linux 6.6.6

В системе сборки Buildroot, нацеленной на формирование загрузочных Linux-окружений для встраиваемых систем, выявлены шесть уязвимостей, позволяющих в ходе перехвата транзитного трафика (MITM) добиться внесения изменений в генерируемые системные образы или организовать выполнение кода на уровне сборочной системы. Уязвимости устранены в выпусках Buildroot 2023.02.8, 2023.08.4 и 2023.11. Первые пять уязвимости (CVE-2023-45841, CVE-2023-45842, CVE-2023-45838, CVE-2023-45839, CVE-2023-45840) затрагивают код проверки целостности пакетов по хэшам. Проблемы сводятся к возможности использования HTTP для загрузки файлов и отсутствию проверочных hash-файлов для некоторых пакетов, что позволяет подменить содержимое данных пакетов, имея возможность вклиниться в трафик сборочного сервера (например, при подключении пользователя через беспроводную сеть, контролируемую атакующим). В … Читать далее Уязвимости в Buildroot, позволяющие через MITM-атаку выполнить код на сборочном сервере

Под покровительством организации Linux Foundation основан проект OpenBao, который продолжит развитие кодовой базы хранилища Hashicorp Vault под свободной лицензией MPLv2 (Mozilla Public Licence). Форк создан в ответ на перевод компанией HashiCorp своих продуктов на проприетарную лицензию BSL 1.1, ограничивающую использование кода в облачных системах, конкурирующих с продуктами и сервисами HashiCorp. Создатели проекта OpenBao намерены продолжить разработку форка Hashicorp Vault на нейтральной площадке Linux Foundation при участии сообщества, сформированного из заинтересованных в проекте компаний и энтузиастов, и используя открытую модель управления. Фокр будет ответвлён от ветки Hashicorp Vault 1.14.x и будет включать все изменения, опубликованные под лицензией MPL 2.0. Инициатором форка … Читать далее Проект OpenBao начал развитие форка Hashicorp Vault

Опубликован релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.28, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Код CMake написан на языке C++ и распространяется под лицензией BSD. Основные улучшения: В генераторы сборочных сценариев для Visual Studio и Ninja добавлена поддержка модулей, определённых … Читать далее Релиз системы сборки CMake 3.28

Состоялся выпуск набора интернет-приложений SeaMonkey 2.53.18, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60.8 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox). В новой версии проведена дополнительная чистка упоминаний элементов бренда Mozilla, осуществлён переход на BugSplat для отправки отчётов об ошибках, унифицированы ярлыки для уведомлений и запросов полномочий, библиотеки … Читать далее Новые версии браузеров SeaMonkey 2.53.18, Qutebrowser 3.1.0 и Tor Browser 13.0.6

Сформировано корректирующее обновление дистрибутива Debian 12.4, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 94 обновления с устранением проблем со стабильностью и 65 обновлений с устранением уязвимостей. Выпуск Debian 12.3 решено пропустить из-за выявления на финальной стадии его подготовки ошибки в пакете с ядром kernel-image-6.1.0-14, которая может привести к повреждению данных в ФС Ext4. В Debian 12.4 поставляется пакет с ядром kernel-image-6.1.0-15, основанный на версии ядра 6.1.66 и включающей исправление проблемы. Из изменений в Debian 12.4 также можно отметить обновление до свежих стабильных версий пакетов gnome-shell, mutter, nvidia-graphics-drivers, postgresql-15, qemu, systemd, xen, tbsync, gosa, lastpass-cli. … Читать далее Обновление Debian 12.4

Разработчики проекта Lubuntu опубликовали план перевода дистрибутива на Qt 6 и Wayland. Поддержка опционального сеанса на базе Wayland появится в выпуске Lubuntu 24.02, а в версии Lubuntu 24.10 данный сеанс будет задействован по умолчанию. Параллельно продолжается работа по интеграции поддержки Wayland и Qt 6 в пользовательское окружение LXQt, поставляемое в Lubuntu (актуальный выпуск LXQt 1.4 продолжает основываться на ветке Qt 5.15, но следующий выпуск LXQt обещают перевести на Qt 6). Решение по переходу Lubuntu на Wayland принято на фоне общей тенденции ухода от X11 в дистрибутивах, например, в Ubuntu Desktop сеанс на базе Wayland по умолчанию предоставляется начиная с выпуска … Читать далее Дистрибутив Lubuntu перейдёт на использование Qt 6 и Wayland

Разработчики проекта Debian объявили о приостановке публикации установочных образов с обновлением Debian 12.3 из-за выявления в ядре Linux ошибки, приводящей к повреждению данных в файловой системе Ext4. Пользователям уже установленных систем рекомендовано воздержаться от установки обновлений пакетов с ядром из репозитория до публикации исправления. Проблема проявляется в стабильной ветке ядра Linux 6.1, в которую было перенесено исправление, изначально добавленное в ветку 6.5 и устраняющее аварийное завершение из-за ошибки в коде обновления размера файла, сократившегося после операции прямого ввода/вывода с флагом O_SYNC. Повреждение отмечено как не критическое (что именно подразумевается под этим не поясняется, вероятно потеря данных происходит при очень редком … Читать далее Выпуск Debian 12.3 отложен из-за проблемы, приводящей к повреждению ФС Ext4

Марк Ньюлин (Marc Newlin), семь лет назад выявивший уязвимость MouseJack, раскрыл сведения о похожей уязвимости (CVE-2023-45866), затрагивающей Bluetooth-стеки Android, Linux, macOS и iOS, и позволяющей осуществить подстановку нажатий клавиш через симуляцию активности устройства ввода, подключённого через Bluetooth. Имея доступ к клавиатурному вводу атакующий может выполнить такие действия, как запуск команд в системе, установка приложений и перенаправление сообщений. Уязвимость вызвана тем, что хостовые HID (Human Interface Device) драйверы для Bluetooth-устройств имеют режим, позволяющий удалённому периферийному устройству создавать и устанавливать шифрованные соединения без аутентификации. Среди прочего, подключившиеся таким образом устройства могут передавать клавиатурные сообщения и HID-стек их обработает, что позволяет организовать атаку … Читать далее Уязвимость в Bluetooth-стеках Linux, macOS, Android и iOS, допускающая подстановку нажатий клавиш

Высший земельный суд Дрездена удовлетворил апелляцию компании Quad9 в деле, в ходе которого по требованию компании Sony Music было вынесено судебное предписание о блокировке пиратских сайтов на уровне публичных DNS-резолверов Quad9. В случае невыполнения требования о блокировке организации Quad9 грозил штраф в размере 250 тысяч евро. Решение суда в Дрездене помечено окончательным и не подлежащим пересмотру. Решение суда высшей инстанции подвело черту под продолжающимися более двух лет попытками Quad9 обжаловать изначальное решение и недопустить образования судебного прецедента. Прошлая апелляция в окружном суде Гамбурга была отклонена, но компания Quad9 не остановилась и подала апелляцию в Высший земельный суд Дрездена. Суд высшей … Читать далее Quad9 выиграл апелляцию в разбирательстве с Sony о принуждении к блокировке через DNS

Началось тестирование первого кандидата в релизы Wine 9.0, открытой реализации WinAPI. Кодовая база переведена на стадию заморозки перед релизом, который ожидается во второй половине января. По сравнению с выпуском Wine 8.21 закрыто 52 отчёта об ошибках и внесено 391 изменение. Наиболее важные изменения: Встроенный пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.10. Продолжено развитие функциональности, нацеленной на реализацию возможности использования Wine в окружениях на базе протокола Wayland без применения XWayland и компонентов X11. В драйвере winewayland.drv добавлена поддержка раскладок клавиатуры. Расширена поддержка графического API Vulkan и добавлены функции vkQueuePresentKHR, vkGetDeviceGroupSurfacePresentModesKHR, … Читать далее Кандидат в релизы Wine 9.0 и релиз vkd3d 1.10

Вернер Кох (Werner Koch), основной разработчик и создатель проекта GnuPG (GNU Privacy Guard), основал проект LibrePGP, сосредоточенный на развитии обновлённой спецификации, альтернативной стандарту OpenPGP. Форк был создан в ответ на изменения, намеченные рабочей группой IETF для внесения в следующее обновление спецификации OpenPGP (RFC-4880) и воспринятые Кохом как сомнительные с точки зрения сохранения совместимости и обеспечения безопасности. Поддержавшие форк разработчики проектов GnuPG, RNP (реализация OpenPGP от Thunderbird) и Gpg4win опасаются, что намеченные изменения окажутся губительны для существующих внедрений приложений на базе OpenPGP, пользователи которых рассчитывают на стабильность спецификации в длительной перспективе и не готовы мириться с изменениями, нарушающими совместимость. LibrePGP включает … Читать далее Автор GnuPG основал LibrePGP, форк стандарта OpenPGP

Опубликован релиз платформы Electron 28.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 120, платформы Node.js 18.18.2 и JavaScript-движка V8 12.0. Среди изменений в новом выпуске: Добавлена поддержка JavaScript-модулей ESM (ECMAScript Modules), созданных в соответствии со спецификацией ECMAScript 6 и применяемых в браузерных web-приложениях (ранее в Electron поддерживались только модули CommonJS, специфичные для Node.js). ESM-модули можно использовать как в самом Electron, так и в обработчиках на базе API UtilityProcess. Поддержка EMS-модулей также добавлена в инструментарий для сборки и публикации … Читать далее Выпуск Electron 28.0, платформы создания приложений на базе движка Chromium

После восьми месяцев разработки опубликован релиз Minetest 5.8.0, свободного кроссплатформенного игрового движка в жанре песочница, позволяющего создавать игры в стиле MineCraft, используя различные воксельные блоки для совместного формирования игроками различных структур и построек, образующих подобие виртуального мира. Предоставляемый движком геймплей полностью зависит от набора модов, создаваемых на языке Lua. Игра написана на языке С++ c использованием 3D-библиотеки IrrlichtMt (форк Irrlicht). Код Minetest распространяется под лицензией LGPL, а игровые ресурсы под лицензией CC BY-SA 3.0. Готовые сборки формируются для различных дистрибутивов Linux, Android, FreeBSD, Windows и macOS. Основные изменения: Прекращена поставка вместе с движком игры по умолчанию. Наличие встроенной игры создавало … Читать далее Релиз свободного воксельного игового движка Minetest 5.8.0

После четырёх месяцев разработки представлен релиз системного менеджера systemd 255. Среди наиболее важных улучшений: поддержка экспорта накопителей через NVMe-TCP, компонент systemd-bsod для полноэкранного вывода сообщений об ошибках, утилита systemd-vmspawn для запуска виртуальных машин, утилита varlinkctl для управления сервисами Varlink, утилита systemd-pcrlock для анализа регистров TPM2 PCR и генерации правил доступа, модуль аутентификации pam_systemd_loadkey.so. Ключевые изменения в новом выпуске: Добавлен компонент «systemd-storagetm«, дающий возможность автоматически экспортировать все локальные блочные устройства при помощи драйвера NVMe-TCP (NVMe over TCP), позволяющего обращаться к NVMe-накопителям по сети (NVM Express over Fabrics), используя протокол TCP. За предоставление доступа в режиме NVMe over TCP отвечает новый юнит … Читать далее Выпуск системного менеджера systemd 255