В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2023-38497), вызванная отсутствием учёта значения umask в процессе извлечения файлов из пакетов на Unix-подобных системах, что приводит к установке для извлечённых файлов исходных прав доступа, указанных в архиве. Если в архиве имеются файлы с правами, разрешающими запись для всех пользователей, то они будут распакованы без очистки данных прав, что позволит любому локальному пользователю изменить код зависимости и добиться выполнения своего кода во время компиляции и выполнения проекта другим пользователем. Уязвимость устранена в выпуске Rust 1.71.1. Источник: http://www.opennet.ru/opennews/art.shtml?num=59548 Читать далее Уязвимость в пакетном менеджере Cargo

После более года разработки опубликован релиз открытой системы параметрического 3D-моделирования FreeCAD 0.21, которая отличается гибкими возможностями кастомизации и наращивания функциональности через подключение дополнений. Интерфейс построен с использованием библиотеки Qt. Дополнения могут создаваться на языке Python. Поддерживается сохранение и загрузка моделей в различных форматах, в том числе в STEP, IGES и STL. Код FreeCAD распространяется под лицензией LGPLv2, в качестве моделирующего ядра используется Open CASCADE. Готовые сборки в ближайшее время будут подготовлены для Linux (AppImage), macOS и Windows. FreeCAD позволяет, меняя параметры модели, обыгрывать различные варианты проектирования и оценивать работу в различные моменты разработки модели. Проект может выступать свободной заменой коммерческим … Читать далее Выпуск свободной САПР FreeCAD 0.21

Проект Asahi, нацеленный на портирование Linux для работы на компьютерах Mac, оснащённых ARM-чипами, разработанными компанией Apple, объявил о переходе на новую основу для своего дистрибутива. До сих пор тестовые выпуски Asahi Linux базировались на пакетной базе Arch Linux. До конца августа 2023 года проект планирует перейти с Arch Linux ARM на редакцию Fedora Linux — Fedora Asahi Remix, разработкой которой занимается группа Fedora Asahi SIG. Сборки и инсталлятор Fedora Asahi Remix уже доступны для тестирования. Переход обусловлен тем, что Fedora Linux имеет официальную поддержку ARM64 в upstream ветке. Кроме того, переход поможет команде Asahi Linux сфокусировать усилия на обратном инжиниринге … Читать далее Проект Asahi переводит свой дистрибутив для ARM-чипов Apple на Fedora Linux

Дэрик Вонг (Darrick Wong) объявил о снятия с себя полномочий сопровождающего файловую систему XFS в ядре Linux. По его словам он взял на себя непосильную ношу и выгорел, пытаясь совместить роль разработчика, рецензировщика, тестировщика, релиз-менеджера и контактного лица. Отмечается, что в подсистеме XFS хватает работы для 20 человек, но фактически ту же работу приходится выполнять вдвое меньшей командой. При текущей организации работы людям, развивающим XFS, приходится тратить большую часть своего времени на бэкпортирование специфичных для дистрибутивов изменений и разбор автоматически сгенерированных отчётов об ошибках. Рецензирование описывается как кошмар, вызванный необходимостью разбирать недокументированный код ядра, пытаясь понять, не поломает ли что-то … Читать далее Отставка сопровождающего файловую систему XFS

Представлен релиз языка системного программирования Nim 2.0. Язык Nim ориентирован на решение задач системного программирования, использует статическую типизацию и создан с оглядкой на Pascal, C++, Python и Lisp. Исходный код на языке Nim компилируется в представление на C, C++, Objective-C или JavaScript. В дальнейшем полученный C/C++ код компилируется в исполняемый файл при помощи любого доступного компилятора (clang, gcc, icc, Visual C++), что позволяет добиться производительности близкой к Си, если не учитывать затраты на выполнение сборщика мусора. По аналогии с Python в Nim в качестве разделителей блоков применяются отступы. Поддерживаются средства метапрограммирования и возможности для создания предметно-ориентированных языков (DSL). Код проекта … Читать далее Релиз языка программирования Nim 2.0

Опубликован релиз компилятора GnuCOBOL 3.2, позволяющего транслировать программы на языке COBOL в представление на языке Си для последующей компиляции при помощи GCC или других Си-компиляторов. Компилятором поддерживается 19 диалектов языка COBOL, частично поддерживает спецификацию COBOL 2014 и проходит 9740 тестов из набора для проверки совместимости с COBOL 85. Для отладки программ предлагается интегрированный отладчик. В этом году языку COBOL исполнилось 64 года, и он остаётся одним из старейших из активно применяемых языков программирования, а также одним из лидеров по объёму написанного кода. Язык продолжает развиваться, например, в стандарте COBOL-2002 были добавлены возможности для объектно-ориентированного программирования, а в стандарте COBOL 2014 … Читать далее Выпуск компилятора GnuCOBOL 3.2

В принтерах Canon выявлена проблема с безопасностью, вызванная тем, что после выполнения сброса принтера к заводским настройкам, не производилась очистка памяти, в которой хранились параметры подключения к беспроводной сети. Проблеме подвержены 146 различных моделей струйных принтеров Canon для домашнего и офисного использования. Проблема могла привести к утечке учётных данных для подключения к беспроводной сети предприятия, в случае продажи или передачи оборудования третьим лицам. Перед передачей устройств посторонним рекомендовано проделать дополнительные операции для удаления настроек Wi-Fi — после выполнения сброса к заводским настройкам, следует активировать беспроводное подключение, после чего выполнить сброс второй раз. Источник: http://www.opennet.ru/opennews/art.shtml?num=59539 Читать далее Уязвимость в принтерах Canon, позволяющая узнать пароли Wi-Fi после сброса

Компании Pixar, Adobe, Apple, Autodesk и NVIDIA объявили о создании альянса AOUSD (Alliance for OpenUSD), сосредоточенном на совместном продвижении технологии OpenUSD (Universal Scene Description), её развитии и разработке связанных с ней стандартов. Альянс создан на независимой площадке под эгидой фонда Joint Development Foundation, курируемого организацией Linux Foundation. Целью альянса является улучшение переносимости между приложениями для работы с 3D-графикой, а также развитие и стандартизация универсальных средств для переноса 3D-данных между приложениями. Заинтересованные в обеспечении переносимости своих продуктов компании намерены подготовить спецификацию, детально описывающую всех возможности OpenUSD, которую в дальнейшем планируют утвердить в ISO (International Organization for Standardization) в качестве международного стандарта. … Читать далее Pixar, Adobe, Apple, Autodesk и NVIDIA начали совместное продвижение платформы OpenUSD

Клебер Соуза (Kleber Souza), инженер из компании Canonucal, занимающийся сопровождением пакетов с ядром Linux для Ubuntu, объявил о переходе на новый цикл подготовки обновлений ядра, нацеленный на плановое формирование обновлений, включающих исправления выявленных в ядре уязвимостей. Новый цикл, который получил кодовое обозначение «4/2», предусматривает формирование дополнительных SU-обновлений пакетов с ядром (Security Update), включающих исправления неотложных проблем и уязвимостей, отмеченных как опасные и критические. В соответствии с новой схемой раз в 4 недели будут публиковаться SRU-обновления (Stable Release Updates) пакетов с ядром, переносящие исправления из корректирующих выпусков ядра Linux. Через две недели после начала цикла формирования очередного SRU-обновления отдельно будет публиковаться … Читать далее Ubuntu сократит время устранения уязвимостей в пакетах с ядром Linux

Состоялся релиз web-браузера Firefox 116 и сформированы обновления ветки с длительным сроком поддержки — 115.1.0 и 102.14.0. На стадию бета-тестирования переведена ветка Firefox 117, релиз которой намечен на 29 августа. Основные новшества в Firefox 116: Добавлена кнопка для быстрого включения боковой панели, в которой одновременно с просмотром web-страницы можно получить доступ к закладкам, истории посещений и вкладкам с других устройств. В контекстном меню боковой панели реализована опция для переноса в левую часть экрана или закрытия панели. Реализована возможность переноса файлов из окружения операционной системы в браузер через буфер обмена. В окне для просмотра видео в режиме «картинка в картинке» (Picture-in-Picture) … Читать далее Релиз Firefox 116

Проект GNU опубликовал релиз текстового редактора GNU Emacs 29.1 (первый выпуск серии 29.x, ветка 29.0 использовалась для разработки). Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта Джону Вигли (John Wiegley) осенью 2015 года. Код проекта написан на зыках Си и Lisp и распространяется под лицензией GPLv3. Основные изменения: Добавлена поддержка сборки в режиме «pure GTK» (PGTK, ‘—with-pgtk’), использующем GTK 3 для отображения интерфейса. В отличие от ранее доступных режимов сборки «x» (по умолчанию) и «gtk», новый режим позволяет использовать GDK (GIMP Drawing Kit) для работы в окружениях на базе протокола … Читать далее Выпуск текстового редактора GNU Emacs 29.1 с поддержкой Wayland

После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.38, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2017. В состав нового выпуска включены исправления от 67 разработчиков. Из реализованных в Glibc 2.38 улучшений можно отметить: Добавлена поддержка работы в окружении операционной системы Hurd на системах x86_64. Для работы требуется binutils как минимум версии 2.40 и GCC версии 13. Добавлены новые функции strlcpy и strlcat — альтернативы функциям strncpy и strncat, содержащие защиту от переполнения буфера и обязательно выставляющие замыкающий строку нулевой байт. Реализация функций перенесена из OpenBSD. Ожидается, что в будущем данные функции будут включены в … Читать далее Выпуск системной библиотеки Glibc 2.38 и набора утилит GNU Binutils 2.41

Наиболее активный сопровождающий дистрибутива Alpine Linux, работавший под ником psykose, сложил с себя полномочия, заблокировал свои учётные записи и прекратил работу в проекте. После ухода psykose без сопровождения осталось около 400 пакетов. По статистике проекта за 2023 год ушедшим разработчиком было произведено более половины всех изменений в скриптах сборки пакетов aports (13894 из 26893). Для сравнения находящийся на втором месте сопровождающий внёс 2054 изменений, а на третьем — 894. Судя по всему причиной ухода является эмоциональное выгорание и желание сменить деятельность, а в качестве планов упоминается лишь намерение выспаться после хронического недосыпа. Дистрибутив Alpine Linux построен на базе системной библиотеки … Читать далее Alpine Linux покинул наиболее активный сопровождающий

Компания Google опубликовала отчёт о 0-day уязвимостях, эксплоиты для которых появились раньше, чем были разработаны исправления для связанного с ними уязвимого ПО. За 2022 год командой Project Zero была выявлена 41 подобная уязвимость, что на 40% меньше, чем было найдено в 2021 году (69 0-day уязвимостей). Несмотря на заметное снижение числа 0-day уязвимостей по сравнению с 2021 годом, их число продолжает превышать средние показатели предыдущих 6 лет. Появлению большого числа 0-day уязвимостей потенциально способствуют такие факторы, как сохранение потребности злоумышленников в 0-day эксплоитах для совершения атак и упрощение методов поиска подобных уязвимостей: повышение оперативности применения исправлений вынуждает искать 0-day уязвимости, … Читать далее Google опубликовал отчёт о 0-day уязвимостях, выявленных в 2022 году

Адриан Бурмо (Adrien Bourmault), основатель проекта GNU Boot, направил Лии Роу (Leah Rowe), развивающей дистрибутив Libreboot, требование прекратить использование имени GNU Boot для распространения своей сборки. Две недели назад Лия опубликовала урезанную сборку Libreboot под именем GNU Boot, снабдив её пометкой «неофициальная». В претензии указано, что Лия не является мэйнтейнером GNU Boot и не имеет право публиковать релизы от имени данного проекта. При желании участвовать в разработке следовало прислать патчи для рецезирования, а не создавать свой релиз. Официальный проект GNU Boot был создан в июне 2023 года, за месяц до сборки Лии, и ещё не успел сформировать собственный выпуск. Проект … Читать далее Неофициальный GNU Boot переименован после требования прекратить использование чужого имени

Опубликован выпуск инсталлятора Archinstall 2.6, который с апреля 2021 года в качестве опции входит в состав установочных iso-образов Arch Linux. Archinstall работает в консольном режиме и может использоваться вместо предлагаемого по умолчанию ручного режима установки дистрибутива. Отдельно развивается реализация графического интерфейса установки, но она не включена в состав установочных образов Arch Linux и уже более трёх лет не обновлялась. Archinstall предоставляет диалоговый (guided) и автоматизированный режимы работы. В диалоговом режиме пользователю последовательно задаются вопросы, охватывающие основные настройки и действия из руководства по установке. В автоматизированном режиме имеется возможность использования скриптов для развёртывания типовых конфигураций. Инсталлятор также поддерживает профили установки, например, … Читать далее Обновление инсталлятора Archinstall 2.6, применяемого в дистрибутиве Arch Linux

После перехода на новую модель сопровождения дистрибутива, допускающую применение собственных патчей, разработчики Alma Linux устранили в пакете iperf3 уязвимость (CVE-2023-38403) и попытались передать подготовленное исправление в CentOS Stream, так как уязвимость оставалась неисправленная в RHEL и CentOS Stream. Сотрудник Red Hat отказался принимать исправление, сославшись на правило, допускающее устранение только важных проблем. Уязвимость CVE-2023-38403 была оценена инженерами Red Hat как несущественная, а исправления для подобных проблем включаются в пакеты лишь при необходимости, обусловленной наличием запросов от клиентов или потребностями бизнеса. Представитель Alma Linux выразил недоумение, так как для включения в CentOS Stream передан уже готовый патч, устраняющий проблему, и от … Читать далее Alma Linux столкнулся с нежеланием Red Hat принимать их исправление в CentOS Stream

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал прошивку OTA-2 Focal (over-the-air). Это второй выпуск Ubuntu Touch, основанный на пакетной базе Ubuntu 20.04 (старые выпуски базировались на Ubuntu 16.04). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri. Обновление Ubuntu Touch OTA-1 Focal сформировано для смартфонов Fairphone 3 и 4, F(x)tec Pro1 X, Google Pixel 3a, Vollaphone 22, Vollaphone X23, Vollaphone X и Vollaphone. Сборки для Pine64 PinePhone, PinePhone Pro и PineTab формируются отдельно, для PinePhone и PineTab стабильного обновления с меткой «OTA-2» … Читать далее Опубликована прошивка Ubuntu Touch OTA-2 Focal

Руководящий совет проекта Python объявил о намерении утвердить предложение по расширению языка Python PEP-0703, в котором определяется добавление режима сборки CPython без глобальной блокировки интерпретатора (GIL, Global Interpreter Lock). В качестве вероятного срока реализации PEP-0703 упоминается выпуск Python 3.13, намеченный на осень следующего года. Во внедряемом PEP-0703 определено оставление по умолчанию GIL, но добавление сборочной опции «—without-gil» для его отключения. Новый режим позволит решить проблему с распараллеливанием операций на многоядерных системах, вызванную тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. В долгосрочной перспективе (через 5 лет) интерпретатор планируется перевести по умолчанию на сборку только … Читать далее Опубликован план избавления CPython от глобальной блокировки интерпретатора

Государственная Дума РФ в третьем, окончательном, чтении приняла законопроекты №346588-8, №346769-8 и №346750-8, запрещающие участие граждан РФ в незарегистрированных иностранных некоммерческих организациях, и вводящие, среди прочего, уголовную ответственность за подобную деятельность. Закон вступит в силу после того как пройдёт утверждение в Совете федерации и будет подписан президентом. У продвигаемого закона есть очень серьёзный побочный эффект — под его действие потенциально попадает участие во многих международных СПО-проектах. Большая часть крупных открытых проектов, не принадлежащих коммерческим компаниям, зарегистрированы именно как некоммерческие организации для того, чтобы иметь возможность легально принимать и распоряжаться пожертвованиями, а также оплачивать труд наёмных работников. Так как критерии применения … Читать далее Госдума РФ утвердила законопроекты, которые могут помешать участию граждан в крупных СПО-проектах

Представлен выпуск 4MLinux 43.0, минималистичного пользовательского дистрибутива, не являющегося ответвлением от других проектов и использующего графическое окружение на базе JWM. 4MLinux может использоваться не только в качестве Live-окружения для воспроизведения мультимедийных файлов и решения пользовательских задач, но и в роли системы для восстановления после сбоев и платформы для запуска серверов LAMP (Linux, Apache, MariaDB и PHP). Для загрузки подготовлены три live-образа (x86_64) с графическим окружением (1.2 ГБ), подборкой программ для серверных систем (1.3 ГБ) и урезанным окружением (14 МБ). В новой версии: Обновлены версии пакетов: ядро Linux 6.1.33, Mesa 23.1.1, LibreOffice 7.5.5, AbiWord 3.0.5, GIMP 2.10.34, Gnumeric 1.12.55, Firefox 115.0.2, … Читать далее Выпуск дистрибутива 4MLinux 43.0