Компания Canonical объявила о внесении в Ubuntu 23.10 изменений, ограничивающих доступ пользователей к пространствам имён идентификаторов пользователя (user namespace), что позволит повысить защищённость систем, использующих контейнерную изоляцию, от уязвимостей, для эксплуатации которых необходимы манипуляции с user namespace. По данным Google, 44% эксплоитов, участвующих в программе по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux, требуют наличия возможности создания пространств имён идентификаторов пользователя. Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная схема, выборочно оставляющая некоторым программам возможность создавать user namespace при наличии профиля AppArmor с правилом «allow userns create» или прав CAP_SYS_ADMIN. Например, для Chrome создан профиль … Читать далее Ubuntu ограничит доступ к user namespace

В библиотеке libcue, используемой для разбора метаданных cо сведениями о порядке и длительности звуковых треков, выявлена уязвимость (CVE-2023-43641), позволяющая организовать выполнение кода при обработке специально оформленных cue-файлов. Библиотека используется в некоторых мультимедийных проигрывателях и звуковых редакторах, включая Audacious, и может быть использована для компрометации системы при открытии в них непроверенных данных. Более того, библиотека libcue используется в поисковом движке tracker-miners, применяемом в пользовательском окружении GNOME. Так как tracker-miners автоматически индексирует новые мультимедийные файлы в домашнем каталоге, для атаки на системы с GNOME и организации выполнения кода злоумышленника достаточно, чтобы пользователь просто загрузил специально оформленный файл в каталог ~/Downloads, ~/Music или … Читать далее Уязвимость в libcue, приводящая к выполнению кода при загрузке файлов в GNOME

Опубликована новая версия многоплатформенного высокопроизводительного POP3/IMAP4-сервера Dovecot 2.3.21, поддерживающего протоколы POP3 и IMAP4rev1 с популярными расширениями, такими как SORT, THREAD и IDLE, и механизмами аутентификации и шифрования (SASL, TLS, SCRAM). Dovecot сохраняет полную совместимость с классическими mbox и Maildir, применяя внешние индексы для повышения производительности. Для расширения функциональности могут использоваться плагины (например, через плагины реализованы квоты и ACL). Код проекта распространяется под лицензиями LGPL и MIT. Основные изменения: lib-oauth2: Разрешена проверка JWT-токенов с отсутствующим полем «typ». Поле «typ» не используется некоторыми эмитентами ключей для экономии места, в частности, kubernetes. Теперь отсутствие «typ» допускается, но если оно присутствует, то все равно … Читать далее Новая версия POP3 и IMAP4 сервера Dovecot 2.3.21

Опубликован выпуск медиапроигрывателя VLC 3.0.19, в котором для систем с GPU Intel и NVIDIA реализована поддержка технологии суперсэмплинга (Super Resolution), использующей алгоритмы пространственного масштабирования и реконструкции деталей для снижения потери качества изображения при увеличении масштаба и отображении с более высоким разрешением. Среди других изменений: Улучшена поддержка видео в формате AV1. Улучшена обработка видео с HDR при программном декодировании AV1. Реализована возможность использования средств аппаратного декодирования AV1 на платформе Windows (DxVA). Решены проблемы с потоками AV1 GBRP. Улучшено использование аппаратного декодирования при использовании D3D11 и OpenGL. Улучшена поддержка форматов MP4, AVI (Qnap, GBRP) и RealVideo. Решены проблемы с воспроизведением видео, повёрнутого … Читать далее Выпуск медиаплеера VLC 3.0.19

Джордан Петридис (Jordan Petridis), входящий в команды, отвечающие за контроль качества и выпуск релизов GNOME, опубликовал запрос на изменение, удаляющее из пакета gnome-session systemd-таргеты для запуска в окружениях с X11. Отмечается, что это первый шаг на пути к отказу от поддержки протокола X11 в GNOME. Тем не менее, на текущей стадии остальная функциональность, необходимая для запуска сеанса X11, остаётся на месте (но намечена для удаления в следующем цикле разработки) и пользователи могут вернуть поддержку X11, добавив systemd-таргеты вручную. В качестве причины внесения изменений указано, что X11 тестируется разработчиками всё меньше и меньше. Сеанс на базе протокола Wayland применяется в GNOME … Читать далее Для GNOME предложены изменения, нацеленные на прекращение поддержки X11

Представлен первый выпуск проекта Incus, в рамках которого сообществом Linux Containers развивается форк системы управления контейнерами LXD, созданный старой командой разработчиков, когда-то создавшей LXD. Код Incus написан на языке Go и распространяется под лицензией Apache 2.0. Напомним, что сообщество Linux Containers курировало разработку LXD до того, как компания Canonical решила развивать LXD отдельно как корпоративный проект. Целью форка называется предоставление управляемой независимым сообществом альтернативы проекту LXD, подконтрольному компании Canonical. В рамках проекта Incus также планируется устранить некоторые концептуальные ошибки, допущенные при разработке LXD, которые ранее невозможно было исправить без нарушения обратной совместимости. Incus предоставляет средства для централизованного управления контейнерами и … Читать далее Первый выпуск Incus, форка системы управления контейнерами LXD

Linux Foundation, BastionZero и Docker представили новый открытый проект OpenPubKey, развивающий одноимённый криптографический протокол для заверения цифровой подписью произвольных объектов. Технология разработана как совместный проект компаний BastionZero и Docker с целью упрощения заверения цифровыми подписями образов контейнеров Docker для исключения их подмены и подтверждения сборки заявленным создателем. Проект будет развиваться на нейтральной площадке под покровительством организации Linux Foundation, что исключит зависимость от отдельных коммерческих компаний и упростит совместную работу с привлечением сторонних участников. Эталонная реализация OpenPubKey написана на языке Go и распространяется под лицензией Apache 2.0. Возможности OpenPubKey не ограничиваются только образами контейнеров и технология может применяться для подтверждения источника … Читать далее Представлен OpenPubKey, протокол криптографической верификации объектов

Компания JetBrains и организация Python Software Foundation опубликовали результаты совместного ежегодного опроса, в котором приняли участие более 23 тысяч разработчиков, использующих язык программирования Python. В ходе опроса, который проводился в 2022 году, о переходе на использование Python 3 заявили 93% опрошенных, а 7% продолжают пользоваться веткой Python 2, которая в настоящее время не поддерживается в большинстве дистрибутивов Linux и была переведена в разряд неподдерживаемых ещё в апреле 2020 года (изначально прекратить поддержку планировалось в 2015 году, но сроки постоянно продлевались). Примечательно, что при опросе в 2021 году лишь 5% заявили об использовании Python 2, в 2020 — 6%, в 2019 … Читать далее 7% разработчиков продолжают использовать Python 2

Сформировано второе корректирующее обновление дистрибутива Debian 12, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 117 обновлений с устранением проблем со стабильностью и 52 обновления с устранением уязвимостей. Из изменений в Debian 12.2 можно отметить обновление до свежих стабильных версий пакетов clamav, dbus, dpdk, gtk+3.0, mariadb, mutt, nvidia-settings, openssl, qemu, rar, roundcube, samba и systemd. Удалён пакет https-everywhere, так как данное браузерное дополнение объявлено разработчиками устаревшим из-за интеграции аналогичной функциональности в состав основных браузеров. Для загрузки и установки «с нуля» в ближайшие часы будут подготовлены установочные сборки c Debian 12.2. Системы, установленные ранее и поддерживаемые … Читать далее Обновление Debian 12.1 и 11.8

Компания Amazon опубликовала компилятор jsii 1.90, представляющий собой модификацию компилятора TypeScript, позволяющую извлечь из компилируемых модулей информацию об API и сгенерировать универсальное представление данного API для обращения к JavaScript-классам из приложений на различных языках программирования. Код проекта написан на TypeScript и распространяется под лицензией Apache 2.0. Jsii даёт возможность создавать на языке TypeScript библиотеки классов, которые могут использоваться в проектах на языках C#, Go, Java и Python, благодаря трансляции в родные для этих языков модули, предоставляющие тот же самый API. Инструментарий используется в AWS Cloud Development Kit для поставки библиотек для разных языков программирования, формируемых из одной кодовой базы. В … Читать далее Выпуск jsii 1.90, генератора кода C#, Go, Java и Python из TypeScript

Автор DNS-сервера Trust-DNS объявил о переименовании проекта в Hickory DNS. В качестве причины смены имени называется желание сделать проект более привлекательным для пользователей, разработчиков и спонсоров, избежать пересечений при поиске с концепцией «Trusted DNS», а также зарегистрировать товарный знак и защитить связанный с проектом бренд (имя Trust-DNS будет проблематично использовать как товарный знак, так как оно образовано из типовых слов, которые нельзя рассматривать как уникальные). Изначально проект развивался как эксперимент по созданию системных компонентов на языке программирования, предоставляющем средства для безопасной работы с памятью, но нынешние планы связываются с превращением его в полноценный продукт. Разработка DNS-сервера Hickory будет вестись под … Читать далее DNS-сервер Trust-DNS переименован в Hickory и будет задействован в инфраструктуре Let’s Encrypt

Компания Ferrous Systems объявила о начале преобразования Ferrocene, проприетарного дистрибутива с Rust-компилятором для критически важных систем, в открытый проект. Код Ferrocene опубликован под лицензиями Apache 2.0 и MIT. Ferrocene предоставляет инструментарий для разработки на языке Rust приложений для защиты информации и критически важных систем, требующих повышенной надёжности (Safety-Critical Systems), сбой в которых может угрожать жизни людей, нанести вред окружающей среде или привести к серьёзным повреждениям оборудования. В качестве основы задействован rustc, штатный компилятор от проекта Rust, приведённый к соответствию требованиям программных окружений для автомобильных и промышленных систем (ISO 26262 и IEC 61508). Надёжность Ferrocene верифицирована через применение расширенных методов проверки, … Читать далее Открытие кода Rust-компилятора Ferrocene

Компания Valve опубликовала обновление проекта Proton 8.0-4, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» (Eventfd … Читать далее Компания Valve выпустила Proton 8.0-4, пакет для запуска Windows-игр в Linux

Опубликованы новые версии компактного Live-дистрибутива Slax — 15.0.2 на основе наработок проекта Slackware и 12.1.0 на базе Debian (в 2018 году дистрибутив был переведён на пакетную базу Debian, но в выпуске Slax 15 проект вернулся обратно на использование Slackware). Графическое окружение в Slax построено на основе оконного менеджера FluxBox и рабочего стола/интерфейса запуска программ xLunch, специально разработанного участниками проекта. Загрузочный образ версии 15.0.2 занимает 255 МБ (x86_64, i386), а версии 12.1.0 — 435 МБ (x86_64, i386). В новой версии: Начинка выпуска Slax 15.0.2 обновлена до Slackware 15.0.2-current, а Slax 12.1.0 до Debian 12.1. Улучшено управление сеансами при запуске с носителей, … Читать далее Новые версии дистрибутива Slax 15.0.2 и 12.1.0

Опубликован релиз языка программирования общего назначения Rust 1.73, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения … Читать далее Выпуск языка программирования Rust 1.73

Разработчики дистрибутива Rocky Linux, нацеленного на создание свободной сборки RHEL, способной занять место классического CentOS, объявили о создании новой SIG-группы (Special Interest Group) Security, которая будет заниматься сопровождением пакетов, связанных с предоставлением расширенной защиты и поставкой дополнительных инструментов для обеспечения безопасности. Группа также будет публиковать альтернативные варианты существующих пакетов, собранных с включением различных механизмов для повышения безопасности или устраняющих уязвимости, которые остаются неисправленными в RHEL и CentOS Stream. Развиваемые наработки будут публиковаться в отдельном репозитории, который также можно будет использовать в других дистрибутивах, совместимых с red Hat Enterprise Linux. Для подключения репозитория в Rocky Linux уже можно использовать команду «dnf … Читать далее Rocky Linux ввёл в строй репозиторий с пакетами для усиления безопасности

Опубликован релиз OpenSSH 9.5, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения: В ssh-keygen по умолчанию включена генерация ключей на базе цифровой подписи Ed25519, разработанной Дэниэлом Бернштейном и стандартизированной в RFC 8709. Отмечается, что ключи Ed25519 поддерживаются начиная с выпуска OpenSSH 6.5 (2014 год) и более удобны из-за своего небольшого размера. При этом цифровые подписи Ed25519 обладают более высоким уровнем безопасности, чем ECDSA и DSA, и демонстрируют очень высокую скорость верификации и создания подписей. Стойкость к взлому для Ed25519 составляет порядка 2^128 (в среднем для атаки на Ed25519 потребуется совершить 2^140 битовых операций), … Читать далее Релиз OpenSSH 9.5

Доступен выпуск платформы VictoriaMetrics 1.94.0, предоставляющей СУБД для хранения и обработки данных в форме временного ряда (запись образует время и набор соответствующих этому времени значений, например, полученных через периодический опрос состояния датчиков или сбор метрик), оптимизированную для решения задач мониторинга. Проект конкурирует с такими решениями, как InfluxDB, TimescaleDB, Thanos, Cortex и Uber M3, и отличается более высокой производительностью. СУБД может использоваться в качестве долговременного хранилища данных, подключённого к Prometheus и Grafana, а также в форме прозрачной замены InfluxDB. Код написан на языке Go и распространяется под лицензией Apache 2.0. В тестах производительности VictoriaMetrics опережает InfluxDB и TimescaleDB при выполнение операций … Читать далее Выпуск VictoriaMetrics 1.94, СУБД для построения систем мониторинга

Компания Google опубликовала релиз открытой мобильной платформы Android 14. Связанные с новым выпуском исходные тексты размещены в Git-репозиторий проекта (ветка android-14.0.0_r1). Обновления прошивки подготовлены для устройств серии Pixel. Позднее планируется подготовить обновления прошивок для смартфонов производства Samsung Galaxy, iQOO, Nothing, OnePlus, Oppo, Realme, Sharp, Sony, Tecno, vivo и Xiaomi. Дополнительно сформированы универсальные сборки GSI (Generic System Images), подходящие для разных устройств на базе архитектур ARM64 и x86_64. Основные новшества: В основной состав платформы включено хранилище Health Connect, ранее поставляемое в форме отдельного пакета через Google Play. Health Connect обеспечивает централизованное хранение данных с фитнес-браслетов и прочих устройств, имеющих отношение к … Читать далее Выпуск мобильной платформы Android 14

Представлен выпуск дистрибутива Elementary OS 7.1, позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (3 ГБ), доступные для архитектуры amd64 (для бесплатной загрузки с сайта проекта в поле с суммой пожертвования необходимо ввести 0). При разработке оригинальных компонентов Еlementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и поддержки репозиториев … Читать далее Релиз дистрибутива Elementary OS 7.1

Компания Mozilla объявила о включении для пользователей стабильной ветки Firefox поддержки механизма ECH (Encrypted Client Hello), продолжающего развитие технологии ESNI (Encrypted Server Name Indication) и предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Изначально код для работы с ECH был добавлен в выпуск Firefox 85, но был отключён по умолчанию. В Chrome поддержку ECH начали постепенно включать, начиная с выпуска Chrome 115. Так как помимо соединения с сервером утечка сведений о запрошенных доменах происходит через DNS, для полноценной защиты кроме ECH необходимо применение технологии DNS over HTTPS или DNS over TLS для шифрования DNS-трафика. Firefox не … Читать далее В Firefox и Cloudflare включена поддержка ECH для скрытия домена в HTTPS-трафике