Исследователи из команды Google Project Zero опубликовали метод эксплуатации уязвимости (CVE-2020-29661) в реализации ioctl-обработчика TIOCSPGRP из tty-подсистемы ядра Linux, а также детально рассмотрели механизмы защиты, которые могли бы блокировать подобные уязвимости. Вызывающая проблему ошибка была устранена в ядре Linux ещё 3 декабря прошлого года. Проблема проявляется в ядрах до версии 5.9.13, но большинство дистрибутивов устранили проблему в обновлениях пакетов с ядром, предложенных ещё в прошлом году (Debian, RHEL, SUSE, Ubuntu, Fedora, Arch). Похожая уязвимость (CVE-2020-29660) одновременно была найдена в реализации ioctl-вызова TIOCGSID, но она также уже повсеместно устранена. Проблема вызвана ошибкой при установке блокировок, приводящей к состоянию гонки в коде … Читать далее Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux

Доступен выпуск дистрибутива Redcore Linux 2102, который пытается совместить функциональные возможности Gentoo с удобством для обычных пользователей. Дистрибутив предоставляет простой инсталлятор, позволяющий быстро развернуть рабочую систему, не требуя пересборки компонентов из исходных текстов. Пользователям предоставляется репозиторий с готовыми бинарными пакетами, сопровождаемый с использованием непрерывного цикла обновлений (rolling-модель). Для управления пакетами задействован собственный пакетный менеджер sisyphus. Для установки предлагается iso-образ с рабочим столом KDE, размером 3.9 ГБ (x86_64). В новой версии: Выполнена синхронизация с деревом Gentoo testing по состоянию на 1 октября. Для установки на выбор предложены пакеты с ядром Linux 5.14.10 (по умолчанию), 5.10.71 и 5.4.151. Обновлены версии около 1300 … Читать далее Выпуск дистрибутива Redcore Linux 2102

3 декабря в Москве пройдёт конференция, посвящённая языку программирования Rust. Конференция предназначена как для тех, кто уже пишет на этом языке определённые продукты, так и для тех, кто присматривается к нему. На мероприятии будут обсуждаться вопросы, посвящённые улучшению программных продуктов с помощью дополнения или переноса функциональности на Rust, а также рассматриваться причины того, почему это нельзя сделать на C/C++. Участие платное (14000 руб), предусмотрено питание, напитки и прямое общение со специалистами, плотно занимающимися внедрением Rust в свои продукты. Среди докладчиков: Сергей Фомин из компании «Яндекс» и Владислав Бескровный из компании «JetBrains», а также гости из таких компаний, как Avito, Rambler … Читать далее В Москве состоится конференция, посвящённая языку программирования Rust

Компания Google представила релиз web-браузера Chrome 95. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. В соответствии с новым 4-недельным циклом разработки следующий выпуск Chrome 96 запланирован на 16 ноября. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель, в которой сформировано обновление для прошлого выпуска Chrome 94. Основные изменения в Chrome 95: Для пользователей Linux, Windows, macOS и ChromeOS предложена новая боковая … Читать далее Релиз Chrome 95

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.28, в котором отмечено 23 исправления. Основные изменения: Для гостевых систем и хостов с Linux добавлена начальная поддержка ядер 5.14 и 5.15, а также дистрибутива RHEL 8.5. Для хостов с Linux улучшено определение установки модулей ядра для исключения лишних пересборок модулей. В менеджере виртуальных машин решена проблема с доступном к отладочным регистрам при загрузке вложенных гостевых систем. В графическом интерфейсе решены проблемы с прокруткой на сенсорных экранах. В виртуальном графическом адаптере VMSVGA решена проблема с появлением чёрного экрана при изменении размера экрана после восстановления сохранённого состояния. В VMSVGA также налажена работа в … Читать далее Выпуск VirtualBox 6.1.28

Правозащитная организация Software Freedom Conservancy (SFC) подала судебный иск против компании Vizio, связанный с невыполнением требований лицензии GPL при распространении прошивок к умным телевизорам на базе платформы SmartCast. Разбирательство примечательно тем, что это первый в истории иск, поданный не от имени участника разработки, которому принадлежат имущественные права на код, а со стороны потребителя, которому не были предоставлены исходные тексты компонентов, распространяемых под лицензией GPL. Используя в своих продуктах код под копилефт лицензиями производитель для сохранения свободы ПО обязан предоставить исходные тексты, включая код производных работ и инструкции по установке. Без подобных действий пользователь теряет контроль над программным обеспечением, не может … Читать далее Против компании Vizio подан судебный иск с обвинением в нарушении лицензии GPL

Каранбир Сингх (Karanbir Singh) объявил об уходе с поста председателя упавляющего совета проекта CentOS и снятия с себя полномочий лидера проекта. Каранбир вовлечён в работу над дистрибутивом с 2004 года (проект был основан в 2002 году), занимал пост лидера после ухода Грегори Курцера (Gregory Kurtzer), основателя дистрибутива, и возглавил управляющий совет после перехода CentOS в 2014 году в руки компании Red Hat. Мотивы ухода не поясняются, но упоминается смена направления развития дистрибутива (подразумевается уход от формирования классических выпусков CentOS 8.x в пользу непрерывно обновляемой тестовой редакции CentOS Stream). Источник: http://www.opennet.ru/opennews/art.shtml?num=55999 Читать далее Лидер CentOS объявил об уходе из управляющего совета

Состоялся релиз Node.js 17.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 17.0 относится к ветке с обычным сроком поддержки, обновления для которой будут выпускаться до июня 2022 года. В ближайшие дни будет завершена стабилизация ветки Node.js 16, которая получит статус LTS и будет поддерживаться до апреля 2024 года. Сопровождение прошлой LTS-ветки Node.js 14.0 продлится до апреля 2023 года, а позапрошлой LTS-ветки 12.0 до апреля 2022 года. Основные улучшения: Движок V8 обновлён до версии 9.5. Продолжена реализация вариантов базового API, основанных на использовании интерфейса асинхронных вычислений Promise. В дополнение к ранее предложенным API Timers Promises и Streams Promises в … Читать далее Выпуск серверной JavaScript-платформы Node.js 17.0

Группа исследователей из Падуанского (Италия) и Делфтского (Нидерланды) университетов опубликовала метод использования машинного обучения для воссоздания введённого PIN-кода по видеозаписи прикрытой рукой области ввода в банкомате. При вводе PIN-кода из 4 цифр вероятность предсказания правильного кода оценена в 41%, учитывая возможность совершения трёх попыток до блокировки. Для PIN-кодов из 5 цифр вероятность предсказания составила 30%. Отдельно был проведён эксперимент, в ходе которого 78 добровольцев попытались предсказать PIN-код по аналогичным записанным видео. В этом случае вероятность успешного предсказания составила 7.92% при наличии трёх попыток. Используемая в эксперименте нейронная сеть была обучена на видеозаписях ввода PIN-кода 58 разными людьми с использованием выбранных … Читать далее Техника определения PIN-кода по видеозаписи закрытого рукой ввода в банкомате

Открыты исходные тексты системы машинного обучения PIXIE, позволяющей создавать 3D-модели и анимированные аватары тела человека по одной фотографии. К результирующей модели могут быть привязаны реалистичные текстуры лица и одежды, отличающиеся от изображённых на исходной фотографии. Система может применяться, например, для отрисовки с другой точки наблюдения, создания анимации, реконструкции тела по форме лица и формирования 3D-модели пальцев рук. Код написан на языке Python с использованием фреймворка Pytorch и распространяется под лицензией, допускающей только использование в некоммерческих целях. Заявлено, что по сравнению с похожими проектами PIXIE позволяет более точно воссоздать контуры тела, изначально скрытого одеждой на фотографии, форму лица и положение суставов … Читать далее Опубликован проект PIXIE для построения 3D-моделей людей по фотографии

Доступен релиз OpenTTD 1.12, свободной стратегической игры, симулирующей работу транспортной компании в реальном времени. Изначально OpenTTD развивался как аналог коммерческой игры Transport Tycoon Deluxe, но позднее превратился в самодостаточный проект, значительно обогнавший по возможностям эталонный вариант игры. В частности, в рамках проекта создан альтернативный набор игровых данных, новое звуковое и графическое оформление, существенно расширены возможности игрового движка, увеличены размеры карт, реализован сетевой режим игры, добавлено много новых игровых элементов и моделей. Установочные пакеты подготовлены для Linux, Windows и macOS. В новой версии значительно улучшена поддержка многопользовательской игры. Для совместной игры теперь достаточно запустить сервер, который может быть настроен как для … Читать далее Выпуск OpenTTD 1.12, свободного симулятора транспортной компании

Состоялся релиз дистрибутива Porteus Kiosk 5.3.0, основанного на Gentoo и предназначенного для оснащения автономно работающих интернет-киосков, демонстрационных стендов и терминалов самообслуживания. Загрузочный образ дистрибутива занимает 136 МБ (x86_64). Базовая сборка включает только минимальный набор компонентов, необходимых для запуска web-браузера (поддерживаются Firefox и Chrome), который урезан в своих возможностях для предотвращения нежелательной активности в системе (например, не допускается изменение настроек, заблокирована загрузка/установка приложений, открыт только доступ к выбранным страницам). Дополнительно предлагаются специализированные сборки Cloud для комфортной работы с web-приложениями (Google Apps, Jolicloud, OwnCloud, Dropbox) и ThinClient для работы в роли тонкого клиента (Citrix, RDP, NX, VNC и SSH) и Server для … Читать далее Выпуск Porteus Kiosk 5.3.0, дистрибутива для оснащения интернет-киосков

Компания Valve опубликовала выпуск VKD3D-Proton 2.5, ответвления от кодовой базы vkd3d, созданного для улучшения поддержки Direct3D 12 в пакете для запуска игр Proton. В VKD3D-Proton поддерживаются специфичные для Proton изменения, оптимизации и улучшения для более качественной работы Windows игр на базе Direct3D 12, которые пока не приняты в основной состав vkd3d. Из отличий также отмечается ориентация на использование современных расширений Vulkan и возможностей свежих выпусков графических драйверов для достижения полной совместимости с Direct3D 12. В новой версии: Реализована более-менее полная поддержка API DXR 1.0 (DirectX Raytracing) и экспериментальная поддержка DXR 1.1 (включается через установку переменной окружения VKD3D_CONFIG=dxr|dxr11″). В DXR 1.1 … Читать далее Выпуск VKD3D-Proton 2.5, форка Vkd3d с реализацией Direct3D 12

Принадлежащая Google компания DeepMind, получившая известность своими разработками в области искусственного интеллекта и построения нейронных сетей, способных играть в компьютерные игры на уровне человека, объявила об открытии движка для симуляции физических процессов MuJoCo (Multi-Joint dynamics with Contact). Движок нацелен на моделирование сочленённых структур, взаимодействующих с окружающей средой, и применяется для симуляции при разработке роботов и систем искусственного интеллекта, на стадии перед воплощением развиваемой технологии в виде готового устройства. Код написан на языках C/C++ и будет опубликован под лицензией Apache 2.0. Поддерживаются платформы Linux, Windows и macOS. Работу по открытию всех связанных с проектом исходных текстов планируют завершить в 2022 году, … Читать далее Компания DeepMind анонсировала открытие симулятора физических процессов MuJoCo

Доступна новая версия двухпанельного файлового менеджера Double Commander 1.0.0, пытающегося повторить функциональность Total Commander и обеспечить совместимость с его плагинами. Предлагается три варианта интерфейса пользователя — на базе GTK2, Qt4 и Qt5. Код доступен под лицензией GPLv2. Из особенностей Double Commander можно отметить выполнение всех операций в фоновом режиме, поддержку переименования группы файлов по маске, интерфейс на базе вкладок, двухпанельный режим с вертикальным или горизонтальным размещением панелей, встроенный текстовый редактор с подсветкой синтаксиса, работа с архивами как с виртуальными директориями, расширенные средства поиска, настраиваемая панель, поддержка плагинов Total Commander в форматах WCX, WDX и WLX, функция ведения лога файловых операций. … Читать далее Выпуск файлового менеджера Double Commander 1.0.0

Сформирован релиз панели Dash to Dock 70, которая выполнена в виде расширения к оболочке GNOME Shell. Код проекта написан на языке JavaScript и распространяется под лицензией GPLv2. Новый выпуск примечателен реализацией поддержки GNOME Shell 40 (поддержка GNOME 41 пока доступна в форме патча). На основе Dash to Dock построена панель Ubuntu Dock, которая поставляется в составе Ubuntu вместо оболочки Unity. Ubuntu Dock главным образом отличается настройками по умолчанию и необходимостью использования иного имени для организации обновления с учётом специфики поставки через основной репозиторий Ubuntu, а разработка функциональных изменений производится в рамках основного проекта Dash to Dock. Источник: http://www.opennet.ru/opennews/art.shtml?num=55987 Читать далее Выпуск панели Dash to Dock 70

Опубликованы исходные тексты инструментария L0phtCrack, предназначенного для восстановления паролей по хешам, в том числе задействуя GPU для ускорения подбора паролей. Код открыт под лицензиями MIT и Apache 2.0. Дополнительно опубликованы плагины для использования John the Ripper и hashcat в качестве движков для подбора паролей в L0phtCrack. Начиная с опубликованного вчера выпуска L0phtCrack 7.2.0 продукт будет развиваться в форме открытого проекта и при участии сообщества. Привязка к коммерческим криптографическим библиотекам заменена на использование OpenSSL и LibSSH2. Среди планов по дальнейшему развитию L0phtCrack упоминается портирование кода под Linux и macOS (изначально поддерживалась только платформа Windows). Отмечается, что портирование не составит труда, так … Читать далее Открыты исходные тексты программы для аудита паролей L0phtCrack

Группа исследователей из Грацского технического университета (Австрия) и Центра Гельмгольца по информационной безопасности (CISPA) раскрыла сведения об уязвимости (CVE-2021-26318) во всех процессорах AMD, делающей возможным проведение атак по сторонним каналам класса Meltdown (изначально предполагалось, что процессоры AMD не не подвержены уязвимости Meltdown). С практической стороны атака может привести к утечке сведений об адресах в памяти ядра Linux, что может использоваться при эксплуатации системных уязвимостей для обхода защиты на основе рандомизации адресов в ядре (KASLR) или для организации скрытых каналов передачи данных. Компания AMD не планирует аппаратно или на уровне микрокода устранять уязвимость, так как она, как и выявленная в августе … Читать далее В процессорах AMD выявлена ещё одна уязвимость, допускающая атаки класса Meltdown

Компания SUSE опубликовала выпуск открытого приложения Rancher Desktop 0.6.0, предоставляющего графический интерфейс для создания, запуска и управления контейнерами на базе платформы Kubernetes. Программа написана на языке JavaScript с использованием платформы Electron и распространяется под лицензией Apache 2.0. Изначально Rancher Desktop поставлялся только для macOS и Windows, но в выпуске 0.6.0 реализована экспериментальная поддержка Linux. Для установки предложены готовые пакеты в форматах deb и rpm. Другим важным улучшением стала поддержка пространства имён Containerd, которое отделено от пространства имён Kubernetes. По своему назначению Rancher Desktop близок к проприетарному продукту Docker Desktop и отличается главным образом использованием CLI-интерфейса nerdctl и runtime containerd для … Читать далее Выпуск Rancher Desktop 0.6.0 с поддержкой Linux

Опубликован релиз языка программирования Crystal 1.2, разработчики которого пытаются совместить удобство разработки на языке Ruby с высокой производительностью приложений, свойственной языку Си. Синтаксис Crystal близок к языку Ruby, но не полностью совместим с ним, несмотря на то, что без переработки выполняются некоторые ruby-программы. Код компилятора написан на языке Crystal и распространяется под лицензией Apache 2.0. В языке применяется статическая проверка типов, реализованная без необходимости явного указания типов переменных и аргументов методов в коде. Программы на Crystal компилируются в исполняемые файлы, с вычислением макросов и генерацией кода во время компиляции. В программах на языке Crystal допускается подключение биндингов, написанных на языке … Читать далее Выпуск языка программирования Crystal 1.2

Организация Apache Software Foundation сообщила о планах отказаться от использования системы зеркал, поддерживаемых различными организациями и добровольцами. Для организации загрузки файлов проектов Apache планируется внедрить систему доставки контента (CDN, Content Delivery Network), которая позволит избавиться от таких проблем, как рассинхронизация зеркал и задержки из-за распространения содержимого по зеркалам. Отмечается, что в современных реалиях использование зеркал не оправдывает себя — объём отдаваемых через зеркала Apache данных вырос с 10 до 180 ГБ, технологии доставки контента ушли вперёд, а стоимость трафика снизилась. Какая именно CDN-сеть будет использована не сообщается, упоминается лишь, что выбор будет сделан в пользу сети с профессиональной поддержкой и … Читать далее Фонд Apache уходит от системы зеркал в пользу CDN