Даниэле Антониоли (Daniele Antonioli), исследователь безопасности Bluetooth, ранее разработавший техники атак BIAS, BLUR и KNOB, выявил две новые уязвимости (CVE-2023-24023) в механизме согласования сеансов Bluetooth, затрагивающие все реализации Bluetooth, поддерживающие режимы защищённого сопряжения «Secure Connections» и «Secure Simple Pairing», соответствующие спецификациям Bluetooth Core 4.2-5.4. В качестве демонстрации практического применения выявленных уязвимостей разработано 6 вариантов атак, позволяющих вклиниться в соединение между ранее сопряжёнными Bluetooth-устройствами. Код с реализацией методов атаки и утилиты для проверки наличия уязвимостей опубликованы на GitHub. Уязвимости были выявлены в ходе анализа описанных в стандарте механизмов достижения прямой секретности (Forward and Future Secrecy), противодействующих компрометации сеансовых ключей в случае … Читать далее BLUFFS — уязвимости в Bluetooth, позволяющие провести MITM-атаку

Сформирован релиз специализированного дистрибутива Tails 5.20 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 ГБ. В новой версии: Tor Browser обновлён до версии 13.0.4, синхронизированной с кодовой базой Firefox 115.5.0 ESR, в которой устранено 14 уязвимостей (12 признаны опасными). Обновлена версия почтового клиента Thunderbird 115.5.0. Для защиты от скрытой … Читать далее Выпуск дистрибутива Tails 5.20

После семи месяцев разработки опубликован выпуск проекта Comentario 3.0.0, развивающего свободный сервер комментариев для веб-страниц, ответвившийся от ныне заброшенного сервера Comment. Comentario позволяет быстро встроить возможность оставлять комментарии на свой сайт или блог, добавив на страницу загрузку JavaScript-файл comentario.js, размером около 20 КБ. Поддерживается древовидная организация дискуссий, использование формата Markdown, аутентификация через социальные сети, задание правил модерирования, подключение внешних сервисов для блокирования нарушений, управление через интерфейс администратора. Серверный код проекта написан на языке Go, а клиентский на JavaScript с использованием фреймворка Angular. Наработки проекта распространяются под лицензией MIT. Для оценки возможностей движка доступна демо-страница, на которой среди прочего можно протестировать … Читать далее Опубликован сервер комментариев Comentario 3.0.0

Компания Red Hat опубликовала план прекращения поддержки сервера X.org в дистрибутиве Red Hat Enterprise Linux 10. Изначально, X.org Server был объявлен устаревшим и намеченным на удаление в будущей ветке RHEL год назад в примечании к выпуску RHEL 9.1. Возможность запуска X11-приложений в сеансе Wayland, обеспечиваемая при помощи DDX-сервера XWayland, будет сохранена. Первый выпуск ветки RHEL 10, в котором будет прекращена поставка X.org Server, запланирован на первую половину 2025 года. Переход от системы X Window System, которой уже более 30 лет, к более новому стеку на базе Wayland происходит уже 15 лет, и компания Red Hat с самого начала принимала в … Читать далее Red Hat удалит сервер X.org и связанные компоненты из RHEL 10

После шести месяцев разработки опубликован стабильный релиз композитного сервера Weston 13.0, развивающего технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и других пользовательских окружениях. Разработка Weston нацелена на предоставление высококачественной кодовой базы и рабочих примеров для использования Wayland в десктоп-окружениях и встраиваемых решениях, таких как платформы для автомобильных информационно-развлекательных систем, смартфонов, телевизоров и прочих потребительских устройств. Код проекта распространяется под лицензией MIT. Смена значительного номера версии Weston обусловлена изменениями ABI, нарушающими совместимость. Изменения в новой ветке Weston: Добавлена возможность загрузки сразу нескольких бэкендов, например, вместе с основным бэкендом вывода можно загрузить вторичные бэкенды vnc, rdp и pipewire. … Читать далее Выпуск композитного сервера Weston 13.0

Доступен выпуск мессенджера Delta Chat 1.42, работающего без специализированных серверов и использующего email в качестве транспорта (chat-over-email, специализированный почтовый клиент, работающий как мессенджер). Код приложений распространяется под лицензией GPLv3, а базовая библиотека доступна под лицензией MPL 2.0 (Mozilla Public License). Релиз доступен в Google Play и F-Droid, а также в сборках для Linux (AppImage, pacman, rpm, deb), Windows и MacOS. Delta Chat не использует собственные серверы и может работать практически через любой почтовый сервер, поддерживающий SMTP и IMAP (для быстрого определения поступления новых сообщений применяется техника Push-IMAP). Поддерживается шифрование с использованием OpenPGP и сквозное шифрования при помощи стандарта Autocrypt или … Читать далее Опубликован мессенджер Delta Chat 1.42, использующий email в качестве транспорта

Несколько недавно обнаруженных уязвимостей: В корректирующем выпуске Perl 5.38.1 устранена уязвимость (CVE-2023-47038), которая может привести к записи одного байта за пределы выделенного буфера при обработке скомпилированных регулярных выражений с некорректно повторно определённым внутренним Unicode-свойством с именем, начинающимся на «utf8::perl». Проблема проявляется начиная с ветки Perl 5.30. Кроме того, в Perl 5.38.1 устранена специфичная для платформы Windows уязвимость (CVE-2023-47039), позволяющая выполнить свой код при запуске скриптов при наличии возможности размещения в текущем каталоге файла cmd.exe (из-за отсутствия чистки путей для поиска исполняемых файлов Perl вначале пытается запустить cmd.exe в текущем каталоге). Например, злоумышленник может разместить свой cmd.exe в каталог C:ProgramData и … Читать далее Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS

Компания Microsoft объявила об открытии под пермиссивной лицензией MIT исходных текстов операционной системы реального времени Azure RTOS, которая была получена после поглощения компании Express Logic в 2019 году и до этого более 20 лет поставлялась под именем ThreadX. Утверждается, что во всём мире рассматриваемая ОС была установлена на более чем 12 миллиардов устройств, среди которых потребительская электроника, промышленные системы, медицинские устройства, принтеры, WiFi чипы и даже бортовые системы космических аппаратов. После полного открытия исходных текстов (код ThreadX был доступен и до этого, но под ограничивающей лицензией), запланированного на январь 2024 года, продукт перейдёт под покровительство некоммерческой организации Eclipse Foundation и … Читать далее Microsoft анонсировал открытие кода Azure RTOS и передачу проекта сообществу Eclipse

Опубликован выпуск мультимедийного сервера PipeWire 1.0.0, который отмечен как первый стабильный релиз, ознаменовавший зрелость проекта. На уровне API и ABI версия 1.0 обратно совместима с веткой 0.3. PipeWire позиционируется как сервер, идущий на смену звуковому серверу PulseAudio и отличается от него добавлением средств для работы с потоками видео, возможностью обработки звука с минимальными задержками и новой моделью безопасности для управления доступом на уровне отдельных устройств и потоков. Проект поддерживается в GNOME и уже по умолчанию применяется в Fedora Linux, RHEL, Ubuntu, Debian, SUSE/openSUSE и многих других дистрибутивах Linux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1. PipeWire … Читать далее Выпуск мультимедийного сервера PipeWire 1.0.0

После полутора лет разработки представлен релиз дистрибутива OpenMandriva Lx 5.0. Проект развивается силами сообщества после того, как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации «OpenMandriva Association». Для загрузки предлагаются Live-сборки для архитектуры x86_64 с KDE (полная 3.0 ГБ, сокращённая 2.5 ГБ и оптимизированная для процессоров AMD Ryzen, ThreadRipper и EPYC), GNOME и LxQt. Отдельно в ближайшее время будут опубликованы серверная сборка и образы для плат на базе архитектуры ARM64 (Raspberry Pi 4). Пользователи непрерывной обновляемой ветки OpenMandriva ROME, в рамках которой предоставлялся доступ к развиваемым для ветки OpenMandriva Lx 5 новшествам, уже получили все необходимые обновления (отдельно … Читать далее Релиз дистрибутива OpenMandriva Lx 5.0

Доступна очередная версия дистрибутива Radix cross Linux 1.9.226, построенного с использованием собственной системы сборки Radix.pro, упрощающей формирование дистрибутивов для встраиваемых систем. Cборки дистрибутива доступны для устройств на базе архитектуры RISC-V, ARM/ARM64, MIPS и x86/x86_64. Загрузочные образы, приготовленные по инструкциям раздела Platform Download, содержат локальный репозиторий пакетов и поэтому установка системы не требует подключения к сети Internet. Код сборочной системы распространяется под лицензией MIT. Выпуск 1.9.226 дополнен сборкой GRUB и EDK II для устройства Orange Pi 5 на базе SoC RK3588s. Образ EDK II (orange-pi5.spi-flash.image) доступен в каталоге orange-pi5 и может быть прошит с помощью U-Boot или mtd-utils. Если же установить … Читать далее Выпуск дистрибутива Radix cross Linux 1.9.226

Организация The Document Foundation объявила о синхронизации Android-приложения LibreOffice Viewer с актуальной кодовой базой LibreOffice и размещении данного приложений в каталоге Google Play. Из-за отсутствия сопровожлающего LibreOffice Viewer был удалён из Google Play в 2020 году и долгое время оставался в стагнации. Предполагается, что возвращение LibreOffice Viewer в Google Play сделает пакет доступным для широкого круга пользователей, а не только для энтузиастов, использующих каталог F-Droid. LibreOffice Viewer представляет собой просмотрщик документов в форматах Open Document (odt, ods, odp) и Microsoft Office (docx, xlsx, pptx, doc, xls и ppt), основанный на одном движке со стационарным офисным пакетом LibreOffice. Интерфейс построен с … Читать далее LibreOffice Viewer размещён в Google Play

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 8.21. С момента выпуска версии 8.20 было закрыто 29 отчётов об ошибках и внесено 321 изменение. Наиболее важные изменения: Продолжено развитие функциональности, нацеленной на реализацию возможности использования Wine в окружениях на базе протокола Wayland без применения XWayland и компонентов X11. В драйвер winewayland.drv добавлена поддержка графического API Vulkan и возможность масштабирования вывода на экранах с высокой плотностью пикселей (High-DPI). Решена проблема с пропаданием курсора в GNOME на системах с двумя мониторами. Добавлена начальная поддержка ABI ARM64EC, предложенного Microsoft в Windows 11. Обновлена база локалей. Решена проблема с выводом звука во FreeBSD при … Читать далее Опубликованы Wine 8.21, Wine staging 8.21 и VKD3D-Proton 2.11

Состоялся выпуск открытого видеоплеера MPV 0.37, в 2013 году ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного переноса новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения оставшегося GPL-кода можно использовать опцию «—enable-lgpl». Среди изменений в новой версии: В модуле ao_oss реализована поддержка сквозной передачи через канал S/PDIF, позволяющая передавать помимо звука сопутствующую информацию, например, данные для декодирования звукового потока на нескольких колонках при организации объёмного звучания. В … Читать далее Релиз видеоплеера MPV 0.37

Исследователи GitGuardian опубликовали результаты анализа конфиденциальных данных, забытых разработчиками в коде, размещённом в репозитории Python-пакетов PyPI (Python Package Index). После изучения более 9.5 млн файлов и 5 млн релизов пакетов, связанных с 450 тысячами проектов, было выявлено 56866 фактов утечки конфиденциальных данных. Если учитывать только уникальные данные, без дублирования в разных релизах, число выявленных утечек составило 3938, а число проектов, в которых присутствует хотя бы одна утечка — 2922. Всего выделено более 150 типов утечек конфиденциальной информации, среди которых обычные пароли, криптографические ключи, токены доступа к облачным сервисам, системам непрерывной интеграции и API. Как минимум 768 учётных данных оставались действующими … Читать далее В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов

Опубликован релиз Proxmox Virtual Environment 8.1, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.2 ГБ. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Выпуск дистрибутива Proxmox VE 8.1

После восьми месяцев разработки сформирован релиз библиотеки OpenSSL 3.2.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.2 будет осуществляться до 23 ноября 2025 года. Поддержка прошлых веток OpenSSL 3.1 и 3.0 LTS продлится до марта 2025 года и сентября 2026 года соответственно. Поддержка ветки 1.1.1 прекращена в сентябре этого года. Код проекта распространяется под лицензией Apache 2.0. Основные новшества OpenSSL 3.2.0: Добавлена клиентская поддержка протокола QUIC (RFC 9000), используемого в качестве транспорта в протоколе HTTP/3. Реализация включает среди прочего возможность передачи нескольких потоков через один канал связи. Компоненты для использования QUIC на серверах будут включены в выпуск … Читать далее Выпуск OpenSSL 3.2.0 с клиентской поддержкой протокола QUIC

Разработчики дистрибутива openSUSE объявили о завершении стадии приёма заявок на конкурс логотипов и перешли к голосованию, в котором может участвовать любой желающий. Голосование продлится до 10 декабря и позволит выбрать новые логотипы для всего проекта openSUSE и для развиваемых в его составе дистрибутивов Tumbleweed, Leap, Slowroll и Kalpa. Для участия в конкурсе заявлено 36 логотипов openSUSE, 18 — Kalpa, 24 — Slowroll, 21 — Leap и 32 — Tumbleweed. Источник: http://www.opennet.ru/opennews/art.shtml?num=60173 Читать далее Проект openSUSE выбирает новый логотип

После года разработки представлен релиз языка программирования PHP 8.3. Новая ветка включает серию новых возможностей, а также несколько изменений, нарушающих совместимость. Ключевые изменения в PHP 8.3: Во время клонирования классов предоставлена возможность повторной инициализации свойств с атрибутом «readonly». Переопределение readonly-свойств допускается только внутри функции «__clone»: readonly class Post { public function __construct( public DateTime $createdAt, ) {} public function __clone() { $this->createdAt = new DateTime(); // разрешено, несмотря на то, что свойство «createdAt» доступно в режиме только для чтения. } } Предоставлена возможность использования констант с указанием типа в классах, типажах и перечислениях: class Foo { const string BAR = … Читать далее Релиз языка программирования PHP 8.3

Опубликован выпуск интегрированной среды разработки Qt Creator 12.0, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается как разработка классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется JavaScript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками. Готовые сборки сформированы для Linux, Windows и maсOS. В новой версии: Добавлен плагин Compiler Explorer, позволяющий в режиме реального времени по мере набора исходных текстов отслеживать генерируемый компилятором ассемблерный код и выявляемые компилятором ошибки. При необходимости можно посмотреть результат выполнения скомпилированного кода. Предоставляется возможность выбора используемого компилятора (GCC, Clang и т.п.) и среды редактирования … Читать далее Увидела свет среда разработки Qt Creator 12

Опубликован выпуск инсталлятора Archinstall 2.7, который с апреля 2021 года в качестве опции входит в состав установочных iso-образов Arch Linux. Archinstall работает в консольном режиме и может использоваться вместо предлагаемого по умолчанию ручного режима установки дистрибутива. Отдельно развивается реализация графического интерфейса установки, но она не включена в состав установочных образов Arch Linux и уже более трёх лет не обновлялась. Archinstall предоставляет диалоговый (guided) и автоматизированный режимы работы. В диалоговом режиме пользователю последовательно задаются вопросы, охватывающие основные настройки и действия из руководства по установке. В автоматизированном режиме имеется возможность использования скриптов для развёртывания типовых конфигураций. Инсталлятор также поддерживает профили установки, например, … Читать далее Выпуск инсталлятора Archinstall 2.7, применяемого в дистрибутиве Arch Linux