Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-1 Focal (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri. Представленное обновление подвело итог почти трёхлетней работе по портированию Ubuntu Touch на Ubuntu 20.04 (прошлые выпуски базировались на Ubuntu 16.04). Обновление Ubuntu Touch OTA-1 Focal сформировано для смартфонов Fairphone 4, Google Pixel 3a, Vollaphone 22, Vollaphone X и Vollaphone. Параллельно продолжается работа по поддержанию в актуальном виде сборок на базе Ubuntu 16.04, которые ранее формировались для устройств BQ E4.5/E5/M10/U Plus, Cosmo … Читать далее Опубликована прошивка Ubuntu Touch OTA-1 Focal, переведённая на Ubuntu 20.04

Для системы 3D-моделирования подготовлен небольшой плагин BlenderGPT, позволяющий генерировать контент на основе заданий, определяемых на естественном языке. Интерфейс для ввода команд оформлен в виде дополнительной вкладки «GPT-4 Assistant» в боковой панели 3D View, в которой можно вводить произвольные инструкции (например, «создай 100 кубов в случайных местах», «возьми имеющиеся кубы и сделай их разным размером») и сразу получать результат. Код написан на Python, занимает чуть больше 300 строк и распространяется под лицензией MIT. Принцип работы сводится к передаче тестового запроса чатботу ChatGPT, использующему модель GPT-4, через публичный API OpenAI, добавляя к заданному пользователем тексту примечание «Can you please write Blender code … Читать далее BlenderGPT — плагин для управления Blender командами на естественном языке

Опубликован выпуск дистрибутива Slackel 7.6, построенного на наработках проектов Slackware и Salix, и полностью совместимого с предлагаемыми в них репозиториями. Ключевой особенностью Slackel является использование постоянно обновляемой ветки Slackware-Current. Графическое окружение основано на оконном менеджере Openbox. Размер загрузочного образа, способного работать в Live-режиме, 2.6 ГБ (i386 и x86_64). Дистрибутив может использоваться на системах с 512 МБ ОЗУ. Новый выпуск синхронизирован с current-веткой Slackware и поставляется с ядром Linux 6.1. Обновлены версии программ, например, firefox 111, thunderbird 102.9.0, exaile 4.1.1, smtube 21.10.0, smplayer 22.7.0, MPlayer 20221009, libreoffice 7.5.1.2, filezilla 3.58.0, pidgin 2.14.12, transmission 2.94, gimp 2.10.34. В состав включена поддержка пакетов … Читать далее Выпуск дистрибутива Slackel 7.6

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о реализации в своей инфраструктуре поддержки ARI (ACME Renewal Information), расширения протокола ACME, позволяющего передавать клиенту сведения о необходимости обновления сертификатов и рекомендовать оптимальное время для обновления. Спецификация ARI проходит процесс стандартизации комитетом IETF (Internet Engineering Task Force), занимающимся развитием протоколов и архитектуры интернета, и находится на стадии проверки чернового варианта. До внедрения ARI клиент сам определял политику обновления сертификата, например, периодически запуская процесс обновления через Cron или принимая решения на основе разбора времени жизни сертификата. Подобный подход приводил к трудностям при необходимости досрочного отзыва сертификатов, … Читать далее Let’s Encrypt внедрил расширение для координации обновления сертификатов

Разработчики SeprentOS сообщили об успешном развёртывании инфраструктуры, к которой открыт публичный доступ. Инфраструктура состоит из трёх основных компонентов: Summit — компонент для мониторинга Git-репозиториев с рецептами пакетов и автоматического создания сборочных заданий. Разработчики отмечают, что Summit использует граф зависимостей для эффективной сборки в параллельном режиме. Avalanche — компонент сборки рецептов пакетов. Vessel — компонент хранения бинарных пакетов. Напоминаем, что SeprpentOS — это проект Айки Доэрти (Ikey Doherty), создателя дистрибутива Solus, и Джошуа Стробл (Joshua Strobl), ключевого разработчик рабочего стола Budgie. Дистрибутив основывается на пакетом менеджере moss, который заимствует многие современные возможности, развиваемые в таких пакетных менеджерах, как eopkg/pisi, rpm, swupd … Читать далее Запуск пакетной инфраструктуры SerpentOS

Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla. Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3. На соревнованиях … Читать далее На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu

Состоялся релиз десктоп-ориентированной операционной системы MidnightBSD 3.0, основанной на FreeBSD с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD. Базовое десктоп-окружение построено на основе GNUstep, но пользователи имеют возможность установить WindowMaker, GNOME, Xfce или Lumina. Для загрузки подготовлен установочный образ размером 1 ГБ (i386, amd64). В отличие от других десктоп-сборок FreeBSD, ОС MidnightBSD изначально развивалась как форк FreeBSD 6.1-beta, который в 2011 году был синхронизирован с кодовой базой FreeBSD 7 и впоследствии вобрал в себя многие возможности из веток FreeBSD 9-12. Для управления пакетами в MidnightBSD задействована система mport, которая использует БД SQLite для хранения индексов и метаданных. Установка, удаление … Читать далее Выпуск операционной системы MidnightBSD 3.0

Раскрыты сведения о двух уязвимостях в офисном пакете Apache OpenOffice. Проблемы были устранены в выпуске Apache OpenOffice 4.1.14 под видом не связанных с безопасностью ошибок (сведения об уязвимости раскрыты спустя месяц после выпуска OpenOffice 4.1.14): CVE-2022-47502 — атакующий может разместить в документе ссылку, вызывающую макрос с произвольными аргументами и добиться выполнения своего скрипта при нажатии пользователем на эту ссылку или при автоматическом срабатывании связанных с документом событий без предварительного подтверждения операции. Проблеме присвоен критический уровень опасности. CVE-2022-38745 — OpenOffice может быть настроен для добавления пустого пути поиска Java-классов, что может быть использовано для запуска произвольного Java-кода, размещённого в текущем каталоге. … Читать далее Уязвимости в Apache OpenOffice

Проект Wine опубликовал выпуск пакета vkd3d 1.7 с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan. В состав пакета входят библиотеки libvkd3d с реализаций Direct3D 12, libvkd3d-shader c транслятором 4 и 5 модели шейдеров и libvkd3d-utils с функциями для упрощения портирования приложений Direct3D 12, а также набор демонстрационных примеров, включая порт glxgears на Direct3D 12. Код проекта распространяется под лицензией LGPLv2.1. Библиотека libvkd3d поддерживает большую часть возможностей Direct3D 12, включая средства для графики и вычислений, очереди и списки команд, дескрипторы и дескрипторы кучи, корневые сигнатуры, неупорядоченный доступ, Sampler-ы, сигнатуры команд, корневые константы, непрямую (indirect) отрисовку, методы Clear*() … Читать далее Проект Wine опубликовал Vkd3d 1.7 с реализацией Direct3D 12

Компания Docker объявила об отмене ранее принятого решения о прекращении действия сервиса по подписке «Docker Free Team», позволяющего организациям, курирующим открытые проекты, бесплатно размещать образы контейнеров в каталоге Docker Hub, организовать работу команд и использовать приватные репозитории. Сообщается, что пользователи «Free Team» могут продолжить работу в прежнем режиме и не опасаться ранее намеченного удаления их учётных записей. Пользователям, с 14 по 24 марта перешедшим с «Free Team» на платные тарифы, будут возвращены потраченные средства и предоставлена возможность бесплатного использования выбранного тариф на оплаченный срок (далее пользователь может вернуться на бесплатный тариф «Free Team»). Пользователи, запросившие переход на упрощённую персональную подписку … Читать далее Docker Hub отменил решение об упразднении бесплатного сервиса Free Team

GitHub сообщил об инциденте, в результате которого закрытый RSA-ключ, используемый в качестве хостового ключа при доступе к репозиториям GitHub по SSH, по ошибке оказался опубликован в публично доступном репозитории. Для исключения возможного перехвата сеансов SSH к GitHub в случае попадания RSA-ключа в руки злоумышленников, GitHub инициировал процесс замены ключа. Утечка не коснулась SSH-ключе ECDSA и Ed25519, которые продолжают оставаться безопасными. Попавший в открытый доступ SSH-ключ не позволяет получить доступ к инфраструктуре GitHub или данным пользователей, но может использоваться для перехвата Git-операций, производимых через SSH. Источник: http://www.opennet.ru/opennews/art.shtml?num=58858 Читать далее GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий

В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch. Атака производится через копирование файлов с флагами setgid/setuid из раздела, примонтированного в режиме nosuid, в раздел OverlayFS, имеющий слой, связанный с разделом, допускающим выполнение suid-файлов. Уязвимость близка к проблеме CVE-2021-3847, выявленной в 2021 году, но отличается более … Читать далее Уязвимость в OverlayFS, позволяющая повысить свои привилегии

Опубликован релиз Proxmox Virtual Environment 7.4, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.1 ГБ. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 7.4, дистрибутива для организации работы виртуальных серверов

Опубликованы корректирующие выпуски коммуникационного клиента Dino 0.4.2, 0.3.2 и 0.2.3, поддерживающего чат, аудиовызовы, видеовызовы, видеоконференции и обмен текстовыми сообщениями с использованием протокола Jabber/XMPP. В обновлениях устранена уязвимость (CVE-2023-28686), позволяющая неавторизированному пользователю через отправку специально оформленного сообщения организовать добавление, изменение или удаление записей в персональных закладках другого пользователя без необходимости совершения жертвой каких-то действий. Кроме того, уязвимость позволяет изменить отображение групповых чатов или принудительно подключить или отключить пользователя от определённого группового чата, а также ввести пользователя в заблуждение для получения доступа к конфиденциальной информации. Источник: http://www.opennet.ru/opennews/art.shtml?num=58855 Читать далее Уязвимость в мессенджере Dino, позволяющая обойти проверку отправителя

Компания NVIDIA представила выпуск новой ветки проприетарного драйвера NVIDIA 530.41.03. Драйвер доступен для Linux (ARM64, x86_64), FreeBSD (x86_64) и Solaris (x86_64). NVIDIA 530.x стала четвёртой стабильной веткой после открытия компанией NVIDIA компонентов, работающих на уровне ядра. Исходные тексты модулей ядра nvidia.ko, nvidia-drm.ko (Direct Rendering Manager), nvidia-modeset.ko и nvidia-uvm.ko (Unified Video Memory) из состава NVIDIA 530.41.03, а также используемые в них общие компоненты, не привязанные к операционной системе, опубликованы на GitHub. Прошивки и используемые в пространстве пользователя библиотеки, такие как стеки CUDA, OpenGL и Vulkan, остаются проприетарными. Основные новшества: Добавлен профиль приложения для решения проблем с производительностью в Xfce 4 при … Читать далее Выпуск проприетарного драйвера NVIDIA 530.41.03

Опубликовано обновление дистрибутива Ubuntu 20.04.6 LTS. В состав выпуска включены только накопившиеся обновления пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Версии ядра и программ соответствуют версии 20.04.5. Основной целью нового выпуска является обновление установочных образов для архитектуры amd64. В установочном образе решены проблемы, связанные с отзывом ключей в ходе устранения уязвимости в загрузчике GRUB2. Таким образом возобновлена возможность установки Ubuntu 20.04 на системы с UEFI Secure Boot. Использовать представленную сборку имеет смысл только для старого оборудования, а для новых систем более актуальным является выпуск Ubuntu 22.04.2 LTS. Системы, установленные ранее, могут получить все присутствующие в Ubuntu 20.04.6 … Читать далее Обновление дистрибутива Ubuntu 20.04.6 LTS

Компания Яндекс объявила об открытии исходных текстов платформы распределённого хранения и обработки больших объёмов данных YTsaurus, поддерживающей манипуляцию данными с использованием парадигмы MapReduce, движка SQL-запросов, распределённой файловой системы и NoSQL хранилища в формате ключ-значение. YTsaurus используется в инфраструктуре Яндекс для эффективного использования вычислительных мощностей суперкомпьютеров компании. Код проекта написан на языках C/C++ и открыт под лицензией Apache 2.0. Платформа может масштабироваться до кластеров, включающих более 10 тысяч узлов и охватывающих до миллиона процессоров и тысяч GPU (для решения задач машинного обучения). В качестве образующих кластер единиц могут использоваться изолированные контейнеры, запускаемые на физических серверах. В хранилище могут находится эксабайты данных, … Читать далее Яндекс открыл YTsaurus, платформу для обработки и хранения больших объёмов данных

В приложении Markup, применяемом в смартфонах Google Pixel для кадрирования и редактирования скриншотов, выявлена уязвимость (CVE-2023-21036), позволяющая частично восстановить обрезанную или отредактированную информацию. Проблема проявляется при редактировании в Markup PNG-изображений и вызвана тем, что при записи нового изменённого изображения данные накладываются на старый файл без его усечения, т.е. полученный после редактирования итоговый файл включает хвост исходного файла, в котором остаются старые сжатые данные. Проблема оценивается как уязвимость, так как пользователь может опубликовать отредактированное изображение, предварительно вырезав конфиденциальные данные, но на деле эти данные остаются в файле, хотя и не видны при обычном просмотре. Для восстановления оставшихся данных запущен web-сервис acropalypse.app … Читать далее Возможность восстановления части скриншотов, кадрированных на смартфонах Pixel

Доступен выпуск XWayland 23.1.0, DDX-компонента (Device-Dependent X), обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. Основные изменения: Добавлена поддержка 4 версии Wayland-протокола «linux-dmabuf«, предназначенного для совместного использования нескольких видеокарт при помощи технологии dma-buf. Добавлена поддержка протокола xwayland_shell, позволяющий создать объект xwayland_surface_v1 для определённой поверхности wl_surface. Добавлена поддержка события wl_pointer.axis_value120, доступного через программный интерфейс wl_pointer и предназначенного для высокоточного скроллинга на манипуляторах мышь с колесом прокрутки высокого разрешения. Улучшена поддержка режима «rootful» для использования XWayland в роли вложенного X-сервера. Улучшено получение имён устройств вывода при применении эмулируемого расширения XRandR. Из-за потенциальных проблем с безопасностью по умолчанию … Читать далее Выпуск XWayland 23.1.0, компонента для запуска X11-приложений в Wayland-окружениях

Подготовлен релиз дистрибутива TeX Live 2023, созданного в 1996 году на базе проекта teTeX. TeX Live является наиболее простым способом развертывания инфраструктуры для подготовки научной документации, независимо от используемой операционной системы. Для загрузки сформирована сборка (4 ГБ) TeX Live 2023, которая содержит рабочее Live-окружение, полный набор установочных файлов для различных операционных систем, копию репозитория CTAN (Comprehensive TeX Archive Network), подборку документации на разных языках (включая русский). Из новшеств можно отметить: В epTeX и eupTeX реализованы новые примитивы «tojis», «ptextracingfonts» и «ptexfontname». В LuaTeX добавлен примитив «variablefam» для вариативных математических символов. В pdfTeX добавлены примитивы «pdfomitinfodict», «pdfomitprocset» и «pdfinterwordspaceon». Прекращена отдельная … Читать далее Выпуск TeX-дистрибутива TeX Live 2023 и пакета a2ps 4.15

Компания Mozilla учредила стартап Mozilla.ai и инвестировала в него 30 млн долларов. Целью создания Mozilla.ai называется построение экосистемы для упрощения разработки заслуживающих доверия, независимых и открытых проектов, связанных с машинным обучением и искусственным интеллектом. Стартап намерен объединить единомышленников, считающих, что связанные с искусственным интеллектом разработки должны быть прозрачны, контролируемы и открыты. Mozilla.ai предоставит разработчикам, исследователям и создателем продуктов отдельную площадку, отделённую от крупных корпораций и учебных заведений, и позволяющую совместно построить независимую, децентрализованную и заслуживающую доверия экосистему. Что касается разработок, то на первом этапе основное внимание планируется уделить инструментам для повышения безопасности и прозрачности генеративных моделей машинного обучения, таких как … Читать далее Mozilla запустила проект Mozilla.ai для развития открытых систем машинного обучения