Опубликованы корректирующие обновления платформы для организации совместной разработки — GitLab 17.1.1, 17.0.3, 16.11.5, 16.10.8, 16.9.9, 16.8.8, 16.7.8 и 16.6.8, в которых устранены 14 уязвимостей. Одной из проблем (СVE-2024-5655), которая проявляется начиная с выпуска GitLab 15.8, присвоен критический уровень опасности. Уязвимость позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем. Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя. Сведения об уязвимости переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Детальную информацию об уязвимости планируют раскрыть через 30 дней после публикации исправления. … Читать далее Уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем

Представлен релиз операционной системы Chrome OS 126, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 126. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Вывод на экран осуществляется при помощи графического стека Freon (ведётся работа по переходу на использование Wayland) и оконного менеджера Aura. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 126 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex. Основные … Читать далее Выпуск Chrome OS 126

Доступен выпуск дистрибутива Ubuntu Sway Remix 24.04 LTS, предоставляющего преднастроенный и готовый к использованию рабочий стол на основе мозаичного композитного менеджера Sway. Дистрибутив является неофициальной редакцией Ubuntu 24.04, созданной с оглядкой как на опытных пользователей GNU/Linux, так и новичков, желающих попробовать окружение мозаичных оконных менеджеров без необходимости в их долгой настройке. Для загрузки подготовлены сборки для архитектур amd64 и arm64 (Raspberry Pi). Окружение дистрибутива построено на основе Sway — композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера PCManFM-GTK3, и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего стола … Читать далее Выпуск дистрибутива Ubuntu Sway Remix 24.04

Доступен корректирующий выпуск Firefox 127.0.2, в котором устранены проблемы с зависанием воспроизведения видео с YouTube при смене позиции в потоке. Проблема вызвана ошибочным формированием потока в формате VP9 на стороне YouTube и проявляется, среди прочего, для видео VP9 с качеством выше 1080p. В отдаваемом YouTube потоке не обеспечивается постоянное увеличение временны́х меток поступающих видеофрагментов, что приводит к ситуации появления фрагментов, перекрывающих друг друга по времени (например, приходит фрагмент, с метками начала и конца «124416000, 125126000», а за ним следует фрагмент с метками «125125000, 131382000», начинающийся раньше, чем заканчивается предыдущий фрагмент). Из-за данного несоответствия меток в потоке Firefox не может корректно … Читать далее Обновление Firefox 127.0.2 с устранением проблемы с YouTube

Более 110 тысяч сайтов, использующих открытую JavaScript-библиотеку Polyfill для обеспечения совместимости со старыми версиями браузеров, стали жертвой вредоносных изменений, внесённых в код библиотеки новым владельцем проекта. В библиотеку, загружаемую на сайты через домен cdn.polyfill.io, был встроен вредоносный код, перенаправляющий пользователя на мошеннические сайты (например, googie-anaiytics.com), букмекерские конторы и online-казино. Проект Polyfill в феврале был продан компании Funnull из Китая, которая получила доступ к учётной записи на GitHub и сайту polyfill.io. Спустя несколько месяцев после приобретения новый владелец организовал жульническую схему монетизации, связанную с перенаправлением части пользователей на сомнительные сайты. Перенаправление срабатывало с некоторой вероятностью, в определённые часы и при соблюдении … Читать далее Смена владельца библиотеки Polyfill привела к подстановке вредоносного кода на 110 тысяч сайтов

Разработчики проекта openSUSE представили релиз атомарно обновляемого дистрибутива openSUSE Leap Micro 6.0, предназначенного для создания микросервисов и для использования в качестве базовой системы для платформ виртуализации и контейнерной изоляции. Для загрузки доступны установочные сборки для архитектур x86_64 и ARM64 (Aarch64), а также готовые системные образы для систем виртуализации и raw-образы для копирования на носители. Дистрибутив openSUSE Leap Micro основан на технологиях проекта MicroOS и позиционируется как community-версия коммерческого продукта SUSE Linux Enterprise Micro, отличающаяся отсутствием поставки графического интерфейса. Для настройки можно использовать web-интерфейс Cockpit, позволяющий управлять системой через браузер, инструментарий cloud-init с передачей настроек при каждой загрузке или Combustion для … Читать далее Опубликован атомарно обновляемый дистрибутив openSUSE Leap Micro 6.0

Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 3.2.0. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Готовые сборки подготовлены для Linux (AppImage), Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, даёт возможность работы с многотрековыми монтажными шкалами с возможностью перемещения мышью элементов между ними, позволяет масштабировать, кадрировать, осуществлять слияние блоков видео, обеспечивать плавное перетекание из одного ролика в другой, … Читать далее Выпуск свободного видеоредактора OpenShot 3.2.0

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о переходе на использование NTP-сервера ntpd-rs, написанного на языке Rust с оглядкой на обеспечение безопасности и стабильности. Проект распространяется под лицензиями Apache 2.0 и MIT, полностью поддерживает протоколы NTP и NTS (Network Time Security) на уровне клиента и сервера, и может использоваться в качестве замены NTP-серверам chrony, ntpd и NTPsec. Пакет ntpd-rs заработан в рамках проекта Prossimo, развивающегося под эгидой организации ISRG (Internet Security Research Group), которая является учредителем проекта Let’s Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета. Помимо ntpd-rs проектом … Читать далее Let’s Encrypt перешёл на NTP-сервер ntpd-rs, написанный на языке Rust

Компания Mozilla анонсировала проведение экспериментов по интеграции в Firefox чатбота, использующего большие языковые модели для взаимодействия с пользователем на естественном языке. Тестирование чатбота начнётся на этой неделе в ночных сборках Firefox. Чатбот будет встроен в боковую панель и на выбор пользователя сможет работать через сервисы ChatGPT, Google Gemini, HuggingChat и Le Chat Mistral. В будущем спектр поддерживаемых AI-сервисов планируют расширить. Пользователю предоставлены возможности для написания текстовых запросов к AI-боту в форме чата, а также отправки текста, выделенного на просматриваемой странице, для составления краткого изложения содержимого или пояснения сути более простыми словами. Для включения чатбота в настройках в секции «Nightly Experiments» … Читать далее В Firefox предложен для тестирования встроенный AI-ассистент

Разработчики проекта Fedora намерены перевести атомарно обновляемые редакции дистрибутива по умолчанию на файловую систему Composefs. В случае утверждения предложения комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora, Composefs начнёт применяться в сборках Fedora Silverblue (GNOME), Fedora Kinoite (KDE), Fedora CoreOS, Fedora IoT, Fedora Sway Atomic и Fedora Budgie Atomic. Изменение позволит использовать в данных сборках корневой раздел, работающий в режиме только для чтения, а также в дальнейшем задействовать для системного раздела средства верификации целостности, позволяющие выявлять возникающие проблемы во время работы. Разделы /etc и /var продолжат монтироваться с возможностью записи. Сейчас работа организована через монтирование … Читать далее Атомарные варианты Fedora Linux намерены перевести на ФС Сomposefs

В UEFI-прошивках Phoenix SecureCore, используемых на многих ноутбуках, ПК и серверах с процессорами Intel, выявлена уязвимость (CVE-2024-0762), позволяющая при наличии доступа к системе добиться выполнения кода на уровне прошивки. Уязвимость может использоваться после успешного совершения атаки на систему для оставления в прошивке бэкдора, работающего над операционной системой, обходящего механизмы обеспечения безопасности ОС, незаметного для программ определения вредоносного ПО и сохраняющего своё присутствие после переустановки ОС. Уязвимость вызвана небезопасным использованием переменной TCG2_CONFIGURATION в конфигурации TPM (Trusted Platform Module), манипуляции с которой могут привести к переполнению буфера и потенциальному выполнению кода с привилегиями UEFI-прошивки, т.е. на уровне SMM (System Management Mode), более … Читать далее Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel

Представлен выпуск проекта SKUDONET 7.1, развивающего специализированный дистрибутив на базе Debian GNU/Linux, оптимизированный для развёртывания балансировщиков трафика и обратных прокси, а также для создания инфраструктуры для организации доставки приложений. Поддерживается как создание балансировщиков для HTTP/HTTPS, так и реализация сервисов для распределения по узлам произвольного TCP и UDP трафика. Управление и мониторинг за системой осуществляется через web-интерфейс. Размер загрузочного iso-образа 844 МБ. Помимо готовой сборки предоставляется репозиторий пакетов, который можно использовать для формирования окружения SKUDONET на базе уже установленных систем с Debian. Выпуск построен на базе Debian 12 и поставляется с ядром Linux 6.1.90. Из изменений по сравнению с прошлой веткой … Читать далее Выпуск SKUDONET 7.1, дистрибутива для создания балансировщиков трафика

Опубликован релиз GNU Guile 3.0.10, свободной реализации функционального языка программирования Scheme, поддерживающей возможность встраивания кода в приложения на других языках программирования. Guile может быть использован как язык для разработки расширений для приложений, определения конфигурации или разработки компонентов для связи различных примитивов, предоставляемых приложением. Guile является официальным языком разработки расширений для операционной системы GNU. Основу Guile составляет виртуальная машина, которая выполняет переносимый набор инструкций, генерируемый специальным оптимизирующим компилятором. Виртуальная машина Guile легко интегрируется с кодом приложений на языках Си и Си++. Кроме языка Scheme, для которого реализована поддержка спецификаций R5RS, R6RS и R7RS, в рамках проекта Guile разработаны компиляторы и для … Читать далее Доступен язык программирования GNU Guile 3.0.10

Патрик Фолькердинг (Patrick Volkerding), основатель и бессменный лидер (BDFL) проекта Slackware Linux, начал перевод дистрибутива на использование загрузчика GNU GRUB (Grand Unified Bootloader) вместо ранее применявшихся устаревших загрузчиков LILO и ELILO. GNU GRUB поддерживает спецификацию Multiboot и может использоваться для загрузки различных операционных систем, как напрямую, так и в режиме chainloading. Переход на GRUB позволит унифицировать процесс загрузки Slackware на аппаратном обеспечении, использующем BIOS, и на системах, поддерживающих стандарт UEFI. На системах с BIOS в Slackware ранее применялся классический загрузчик LILO, разработка которого была прекращена 8 лет назад. На системах с UEFI был задействован вариант ELILO, созданный компанией Hewlett-Packard для … Читать далее Slackware Linux переходит на использование загрузчика GNU GRUB

Эндрю Таненбаум стал обладателем премии премии ACM Software System Award, ежегодно присуждаемой Ассоциацией вычислительной техники (ACM), наиболее авторитетной международной организацией в области компьютерных систем. Премия присуждена за создание операционной системы MINIX, которая использовалась при обучении нескольких поколений студентов принципам разработки операционных систем и внесла вклад в разработку широко распространённых операционных систем, включая Linux. ОС MINIX построена на базе микроядерной архитектуры: код, работающий на уровне ядра, составляет всего несколько тысяч строк, а остальное работает на пользовательском уровне. Базовое программное окружение Minix вобрало в себя большое число типичных для BSD-систем утилит и библиотек, портированных из NetBSD. Дополнительно в репозитории представлено около 700 … Читать далее Эндрю Таненбауму присуждена премия ACM Software System Award за создание MINIX

Компания Red Hat опубликовала результаты оценки производительности шифрованных каналов связи, организованных с использованием протокола IPsec, на современном оборудовании, а также сравнила пропускную способность IPsec на базе алгоритмов аутентифицированного шифрования AES-GCM и AES-SHA1. Тестирование проводилось в дистрибутиве RHEL 9.4 на сервере с двумя процессорами Intel Xeon Scalable четвёртого поколения (28 ядер и 56 логических ядер в каждом CPU), подключённом к сети через 100-гигабитный сетевой адаптер Intel E810. Аппаратное ускорение IPsec с выносом операций на сторону сетевой карты или Intel QAT было отключено для получения представления о производительности программного стека. Настройки системы были выставлены в соответствии с профилем «throughput-performance«, был отключён межсетевой … Читать далее Компания RedHat опубликовала результаты тестирования производительности IPsec

Опубликован выпуск Amelia 5.8, альтернативного консольного инсталлятора для Arch Linux, написанного на языке Bash и распространяемого под лицензией GPLv3. Навигация по устанавливаемым пакетам, настройкам и режимам установки производится через систему меню, позволяющую переключаться между стадиями настройки перед запуском фактической установки. Поддерживается ручная и автоматическая разбивка разделов, использование Ext4 и Btrfs, установка типовых сред рабочего стола, шифрование раздела подкачки, корневого и домашнего каталога, настройка локали и раскладки клавиатуры, выставление параметров ядра Linux. Инсталлятор запускается после загрузки штатного iso-образа Arch Linux путём загрузки скрипта при помощи утилиты curl или копирования с USB-накопителя. Имеется демонстрационный режим, дающий возможность опробовать работу с инсталлятором в … Читать далее Представлен Amelia, простой консольный инсталлятор для Arch Linux

Проект GNU опубликовал релиз текстового редактора GNU Emacs 29.4. Код проекта написан на языках Си и Lisp и распространяется под лицензией GPLv3. GNU Emacs 29.4 преподносится как внеплановый экстренный выпуск с устранением уязвимости (CVE не назначен). Детали об уязвимости пока не раскрываются, указано лишь, что для её блокирования запрещено исполнять произвольные shell-команды при включении режима Org. Судя по всему уязвимость позволяет добиться выполнения кода при открытии определённого контента в Emacs или при просмотре специально оформленных сообщений во входящем в состав Emacs почтовом/RSS/NNTP-клиенте Gnus. Источник: http://www.opennet.ru/opennews/art.shtml?num=61424 Читать далее Обновление текстового редактора GNU Emacs 29.4 с устранением уязвимости

Каталог Flathub, позиционируемый как независимая от отдельных поставщиков площадка для распространения пакетов в формате Flatpak, достиг рубежа в 2 миллиарда загрузок пакетов. Наибольшее число загрузок зафиксировано из США (438 млн), Германии (202 млн), Бразилии (187 млн), России (93 млн), Великобритании (92 млн), Франции (85 млн), Испании (71 млн), Канады (64 млн) и Италии (50 млн). В день загружается около 3 млн пакетов. В настоящее время в каталоге представлено более 2600 приложений, из которых примерно 42% помечены как верифицированные, т.е. публикуемые основными проектами или лицами, связанными с ними. Наиболее популярными загрузками в Flathub являются Chrome (~10 тысяч установок в день), Firefox … Читать далее Каталог приложений Flathub достиг отметки в 2 миллиарда загрузок

Компания Mozilla обновила наборы голосовых данных Common Voice, включающие примеры произношения более 200 тысяч человек. Данные опубликованы как общественное достояние (CC0). Предложенные наборы можно использовать в системах машинного обучения для построения моделей распознавания и синтеза речи. По сравнению с прошлым обновлением объём речевого материала в коллекции увеличился с 31.1 до 31.8 тысяч часов речи, из которых 20.8 тысяч часов прошли процедуру проверки. Число поддерживаемых языков увеличилось со 124 до 129 (добавлены языки африканских племён коса, календжин, кидавида, долуо и тсвана). В подготовке материалов на английском языке приняли участие 93.3 тысячи человек, надиктовавших 3554 часа речи (было 92.3 тысячи участников и … Читать далее Обновление голосовых данных Mozilla Common Voice 18.0

В Python-пакете Js2Py, который был загружен в прошлом месяце 1.2 млн раз, выявлена уязвимость (CVE-2024-28397), позволяющая обойти sandbox-изоляцию и выполнить код в системе при обработке специально оформленных данных на JavaScript. Уязвимость может использоваться для атаки на программы, применяющие Js2Py для выполнения JavaScript-кода. Исправление пока доступно только в виде патча. Для проверки возможности атаки подготовлен прототип эксплоита. Пакет Js2Py реализует интерпретатор и транслятор JavaScript, позволяющий выполнять JavaScript-код в изолированной виртуальной машине или транслировать JavaScript в представление на языке Python. Проект написан целиком на языке Python и не использует сторонние JavaScript-движки. На практике библиотека используется в различных web-индексаторах, системах загрузки и анализаторах … Читать далее Уязвимость в Python-пакете Js2Py, загружаемого более миллиона раз в месяц