После восьми месяцев разработки опубликован выпуск консольного файлового менеджера Midnight Commander 4.8.30, распространяемого в исходных текстах под лицензией GPLv3+. Список основных изменений: Добавлена поддержка буферов панелизации для обеих файловых панелей, что, например, позволяет панелизировать результаты двух разных операций поиска в панелях. Добавлена сборочная опция «—with-search-engine=pcre2» для использования движка регулярных выражений PCRE2. В VFS добавлена поддержка расширенных заголовков архивов TAR, позволяющих, например, работать с длинными именами файлов и файлами, содержащими пустые области. Во встроенном редакторе реализована подсветка синтаксиса для языка программирования «B» и файлов инструментария непрерывной интеграции Jenkins. Улучшена подсветка синтаксиса для ECMAScript, TypeScript и сообщений git-коммитов. В панелях обеспечена подсветка … Читать далее Выпуск файлового менеджера Midnight Commander 4.8.30

Несколько недавно выявленных уязвимостей: В PHP выявлена уязвимость (CVE-2023-3824) в реализации функции phar_dir_read(), которая может привести к переполнению буфера и потенциально выполнению кода злоумышленника при обработке содержимого специально оформленного phar-файла. Проблема вызвана отсутствием должных проверок размера элементов, присутствующих в phar-файле. Уязвимость устранена в выпусках PHP 8.0.30, 8.1.22 и 8.2.8. Уязвимость (CVE-2023-3823) PHP-функциях для разбора файлов XML, позволяющая добиться утечки информации в приложениях, при обработке XML-документов с конструкцией вида «‹!DOCTYPE root [ %remote; %intern; n%trick;]›». Например, в ходе эксплуатации уязвимости можно узнать содержимое произвольных файлов или результат выполнения внешнего запроса. Уязвимость устранена в выпусках PHP 8.0.30, 8.1.22 и 8.2.8. Уязвимости в … Читать далее Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Files и librsvg

Разработчики из компании Mozilla анонсировали скорую реализацию поддержки в мобильной версии браузера всех имеющихся для Firefox дополнений, представленных в каталоге addons.mozilla.org (AMO). Данная возможность сделает Firefox для Android первым мобильным браузером, поддерживающим полноценную открытую экосистему дополнений. Задуманное планируется реализовать до конца года (точная дата реализации полной поддержки дополнений будет объявлена в начале сентября). В настоящее время в Firefox для Android поддерживается лишь небольшое подмножество дополнений, которые после установки выполняются в основном потоке. Для того чтобы ошибки в дополнениях не влияли на стабильность браузера в настоящее время в ночные сборки Firefox для Android включена реализация режима многопроцессной работы, в котором дополнения … Читать далее Mozilla анонсировала полноценную экосистему дополнений для Android-версии Firefox

Компания HashiCorp, известная разработкой открытых инструментариев Vagrant, Packer, Hermes, Nomad и Terraform, объявила о смене лицензии на программное обеспечение, развиваемое под свободной лицензии MPLv2 (Mozilla Public Licence). Вместо MPLv2 начиная со следующих выпусков будет применяться лицензия BSL 1.1 (Business Software Licence, не путать с Boost Software License), не являющаяся открытой в соответствии с критериями организации Open Source Initiative. Смена лицензии будет применена для всех будущих версий продуктов HashiCorp, за исключением библиотек, API и SDK. Смена лицензии объясняется желанием сохранить финансирование своих разработок в условиях неспособности классических моделей лицензирования противостоять паразитированию компаний, использующих готовые открытые исходные тексты разработок HashiCorp для создания … Читать далее Компания HashiCorp меняет лицензию на своё ПО с MPLv2 на проприетарную BSL 1.1

Группа исследователей из Нью-Йоркского университета разработала два метода атаки на VPN, представленных под именем TunnelCrack. Выявленные уязвимости позволяют злоумышленнику, контролирующему беспроводную точку доступа или локальную сеть жертвы, перенаправить на свой сервер запросы к целевому хосту, в обход VPN-туннеля. Атака может быть совершена, например, при подключении через не заслуживающего доверия интернет-провайдера или развёрнутую атакующими беспроводную сеть. В результате атаки злоумышленник может организовать перехват незашифрвоанного пользовательского трафика (соединения устанавливаемые через HTTPS остаются защищены). Выявленные методы атаки: LocalNet (CVE-2023-36672, CVE-2023-35838) — метод основан на том, что большинство VPN-клиентов допускают прямые обращения к локальной сети. Атака сводится к тому, что подконтрольный атакующему шлюз выдаёт … Читать далее Серия атак TunnelCrack, направленных на перехват трафика VPN

Сформировано обновление дистрибутива Ubuntu 22.04.3 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Ubuntu Budgie 22.04.3 LTS, Kubuntu 22.04.3 LTS, Ubuntu MATE 22.04.3 LTS, Ubuntu Studio 22.04.3 LTS, Lubuntu 22.04.3 LTS, Ubuntu Kylin 22.04.3 LTS и Xubuntu 22.04.3 LTS. В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 23.04: Предложены пакеты с ядром Linux версии 6.2 (базовое ядро Ubuntu 22.04 — 5.15). … Читать далее Выпуск Ubuntu 22.04.3 LTS c обновлением графического стека и ядра Linux

Компания id Software опубликовала под лицензией GPLv2 исходные тексты игры Quake II «Rerelease», которая представляет собой актуализированную, улучшенную и расширенную редакцию классического Quake II. Предполагается, что код может оказаться полезным для создания модов и новых вариантов игры. Помимо сборки для ПК, в новую редакцию добавлена поддержка платформ PlayStation 4, PlayStation 5, Xbox One, Xbox Series X|S и Nintendo Switch. По сравнению с опубликованным 12 лет назад кодом оригинальной игры Quake II, в новой редакции: Улучшен игровой процесс. Сокращено время реакции на действия игрока. Улучшена визуализация выстрелов. Добавлены новые индикаторы нанесённых игроку повреждений. Добавлена поддержка динамических теней, улучшено освещение, добавлена поддержка … Читать далее Компания id Software открыла код новой редакции игры Quake II

Google и Universal Music ведут переговоры об отчислениях «правообладателям» за контент, сгенерированный системами машинного обучения. Подобные инициативы могут иметь последствия в виде учёта подобной практики судами и законодателями и распространения копирайта на сгенерированный ИИ контент, который в настоящее время находится в общественном достоянии, так как программы и устройства не являются субъектами права, включая такую отрасль права, как копирайт. Выгоды от подобного регуляторного подхода для крупных владельцев ИИ-систем могут перевесить издержки, связанные с заключением договоров с «правообладателями» и оплатой им лицензионных отчислений, так как такие производители контента получат монопольное положение как единственных генераторов контента с определёнными характеристиками, чья деятельность легальна. Подход … Читать далее Google создаёт прецедент, подрывающий нахождение в общественном достоянии контента, сгенерированного ИИ

Компании CIQ (Rocky Linux), Oracle и SUSE объявили о создании ассоциации разработчиков дистрибутивов OpenELA (Open Enterprise Linux Association), нацеленной на совместную разработку пакетной базы, совместимой с Red Hat Enterprise Linux. Целью ассоциации является объединение усилий разработчиков дистрибутивов в работе по обеспечению совместимости с RHEL. Среди прочего, в рамках проекта создан совместно поддерживаемый общедоступный репозиторий с исходными текстами пакетов, который можно использовать для построения дистрибутивов, полностью бинарно совместимых с RHEL, идентичных по поведению (на уровне ошибок) с RHEL и пригодных для использования в качестве замены RHEL. Новый репозиторий может рассматриваться как аналог прекратившего существования репозитория git.centos.org, в котором публиковались srpm-пакеты RHEL. … Читать далее Rocky Linux, Oracle и SUSE создали совместный репозиторий для RHEL-совместимых дистрибутивов

После пяти месяцев разработки опубликован релиз OpenSSH 9.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения: В утилите ssh разрешено перенаправление на другой хост Unix-сокетов, используя команду «ssh -W». В файл конфигурации ssh_config добавлена директива «Tag» и операция сопоставления «Match tag», позволяющие использовать теги для определения условий выбора определённого блока конфигурации. Match Address 192.168.0.* Tag trusted Match Group wheel Tag trusted Match Tag trusted AllowTcpForwarding yes В ssh добавлена операция сопоставления «Match localnetwork» для привязки к адресам локальных сетевых интерфейсов. В ssh, sshd и ssh-keygen добавлена возможность подключения расширений в формате KRL. Сами … Читать далее Релиз OpenSSH 9.4

Опубликована новая стабильная версия программы для хранения заметок OutWiker 3.2. Особенностью программы является то, что заметки хранятся в виде каталогов с текстовыми файлами, к каждой заметке можно прикреплять произвольное количество файлов, программа позволяет писать заметки с использованием различных нотаций: HTML, вики, Markdown (если установлен соответствующий плагин). Также с помощью плагинов можно добавить возможность размещения на викистраницах формул в формате LaTeX и вставки блока кода с раскраской ключевых слов для различных языков программирования. Программа написана на языке Python (интерфейс на wxPython), распространяется под лицензией GPLv3 и доступна в сборках для Linux (snap и flatpak) и Windows. Изменения в версии 3.2: Добавлена … Читать далее Выпуск новой версии программы для ведения заметок OutWiker 3.2

Немецкий провайдер Uberspace, обеспечивающий хостинг проекта youtube-dl, заблокировал сайт youtube-dl.org после поступления судебного требования о блокировке, которого добились звукозаписывающие компании Sony Entertainment, Warner Music Group и Universal Music. Альтернативная страница проекта ytdl-org.github.io и репозиторий на GitHub остаются доступными. Решение не распространяется на регистратора домена youtube-dl.org, поэтому проект Youtube-dl в любое время может перенести сайт на другой хостинг. Судебное решение вынесено под предлогом, что youtube-dl является инструментом для нарушения авторских прав. Ранее Ассоциация звукозаписывающих компаний Америки (RIAA) уже пыталась добиться блокировки Youtube-dl на GitHub, но сторонникам проекта удалось оспорить блокировку и вернуть доступ к репозиторию. В 2020 компании Sony Entertainment, Warner … Читать далее Звукозаписывающие компании добились блокировки сайта проекта Youtube-dl

Доступен стабильный релиз интерфейса для упрощения настройки параметров сети — NetworkManager 1.44.0. Плагины для поддержки VPN (Libreswan, OpenConnect, Openswan, SSTP и др.) развиваются в рамках собственных циклов разработки. Основные новшества NetworkManager 1.44: В интерфейсе nmtui разрешено включение и отключение модулей Wi-Fi и WWAN. Добавлена новая секция настроек «link», в которой собраны свойства, связанные с параметрами сетевого линка, такие как «tx-queue-length», «gso-max-size», «gso-max-segments» и «gro-max-size». Добавлено свойство «ipv6.dhcp-pd-hint» для отправки адресного префикса через DHCPv6. Для связанных интерфейсов добавлены опции «arp_missed_max», «lacp_active» и «ns_ip6_target». В настройки GSM добавлены свойства «initial-eps-bearer-configure» и «initial-eps-bearer-apn». В NetworkManager.conf добавлена опция «[keyfile].rename» для принудительного переименования профилей на … Читать далее Релиз сетевого конфигуратора NetworkManager 1.44.0

Группа исследователей из Швейцарской высшей технической школы Цюриха выявила новую уязвимость (CVE-2023-20569) в реализации микроархитектурных структур процессоров AMD, получившую кодовое имя Inception. Уязвимость позволяет локальному непривилегированному пользователю определить содержимое памяти процессов других пользователей. При использовании систем виртуализации уязвимость даёт возможность извлечь информацию из других гостевых систем. Исследователями подготовлен рабочий прототип эксплоита и продемонстрирована возможность его использования локальным непривилегированным пользователем для определения хэша пароля пользователя root, хранимого в файле /etc/shadow и загруженного в память при выполнении аутентификации в системе. Атака продемонстрирована на полностью обновлённой системе Ubuntu 22.04 с ядром 5.19 на компьютере с процессором семейства AMD Zen 4. Производительность утечки данных … Читать далее Уязвимость в CPU AMD, приводящая к переполнению микроархитектурного стека

Даниэль Могими (Daniel Moghimi) из компании Google, занимающийся исследовательской деятельностью в Калифорнийском университете в Сан-Диего, выявил новую уязвимость (CVE-2022-40982) в системе спекулятивного выполнения инструкций процессоров Intel, позволяющую определить содержимое векторных регистров XMM, YMM и ZMM, до этого использованных в других процессах при выполнении инструкций AVX (Advanced Vector Extensions) на том же ядре CPU. Уязвимости присвоено имя Downfall, а техника атаки названа Gather Data Sampling (GDS). Непривилегированный атакующий, имеющий возможность выполнить свой код в системе, может использовать уязвимость для организации утечки данных из процессов других пользователей, ядра системы, изолированных анклавов Intel SGX и виртуальных машин. Подверженные утечке векторные регистры активно применяются … Читать далее Downfall — атака на CPU Intel, приводящая к утечке данных из других процессов

Представлен релиз языка программирования Go 1.21, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Оберон. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Выпуск языка программирования Go 1.21

Представлен первый стабильный выпуск дистрибутива Rhino Linux, реализующего модель непрерывной доставки обновлений для предоставления доступа к наиболее свежим версиям программ. Новые версии приложений в основном переносятся из devel-веток репозиториев Ubuntu, в которых производится сборка пакетов с новыми версиями приложений, синхронизированных с Debian Sid и Unstable. Установочные образы, которые могут загружаться в Live-режиме, подготовлены для архитектур x86_64 (2 ГБ) и ARM64 (1.9 ГБ). Отдельно доступны сборки для ARM-устройств PineTab, PineTab2, PinePhone и Raspberry Pi. Управление пакетами осуществляется при помощи собственного пакетного менеджера rhino-pkg (rpk), реализующего обвязку над пакетными менеджерами APT, Pacstall, flatpak и snap. Rhino-pkg позволяет использовать одну универсальную утилиту для … Читать далее Доступен непрерывно обновляемый дистрибутив Rhino Linux

Доступен выпуск проекта VCMI 1.3, развивающего открытый игровой движок, совместимый с форматом данных, используемым в играх Heroes of Might and Magic III. Важной целью проекта также является поддержка модов, при помощи которых имеется возможность добавлять в игру новые города, героев, монстров, артефакты и заклинания. Исходные тексты распространяются под лицензией GPLv2. Поддерживается работа в Linux, Windows, macOS и Android. В новой версии: Реализована поддержка изменения размера пользовательского интерфейса без выхода из игры. Также добавлена возможность плавного масштабирования карты. В сборках для мобильных устройств улучшена поддержка сенсорных экранов. Добавлена поддержка экранных жестов (сдвиг и щипок) и эффекта тактильной обратной связи. Реализовано радиальное … Читать далее Выпуск открытого игрового движка VCMI 1.3.0, совместимого с Heroes of Might and Magic III

Состоялся релиз консольной программы для чтения новостных лент Newsraft 0.20, поддерживающей форматы RSS и Atom. Newsraft предназначен для получения контента из различных блогов и платформ, и его просмотра через единый интерфейс, построенный на базе библиотеки ncurses. Проект вдохновлён идеями приложения Newsboat, однако является самостоятельной разработкой и представляется его легковесным аналогом. Целью проекта является предоставление наиболее востребованной функциональности полноценного фидридера при как можно меньшем количестве строк исходного кода (для сравнения, Newsboat содержит около 40 тысяч строк исходного кода, тогда как Newsraft — около 9 тысяч). Код проекта написан на языке программирования C (C99) и распространяется под лицензией ISC. Основные возможности Newsraft: … Читать далее Выпуск консольного RSS-агрегатора Newsraft 0.20

Спустя 11 с половиной лет с момента формирования ветки 0.95 опубликован релиз оконного менеджера Window Maker 0.96.0, предоставляющего интерфейс в стиле NEXTSTEP. Среди возможностей Window Maker: стековая компоновка окон с полуавтоматическим управлением мозаичной раскладкой, низкое потребление ресурсов, гибкие возможности настройки через GUI-конфигуратор или текстовый файл конфигурации, динамическая генерация содержимого меню приложений, поддержка стандарта ICCM (Inter-Client Communication Conventions Manual), поддержка локализации, возможность интеграции с рабочими столами GNUstep, GNOME, и KDE, панель в стиле NEXTSTEP и MacOS X, встроенная поддержка тем оформления, 13 типов декорирования окон. Код проекта написан на языке Си и распространяется под лицензией GPLv2. В новой версии: Реализована возможность … Читать далее Выпуск оконного менеджера Window Maker 0.96.0

Сформирован релиз специализированного дистрибутива Tails 5.16 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 ГБ. В новой версии Tor Browser обновлён до версии 12.5.2, синхронизированной с кодовой базой Firefox 102.14.0 ESR, в которой устранено 13 уязвимостей. Также обновлены версии почтового клиента Thunderbird 102.14.0, ядра Linux 6.1.38 и пакета amd64-microcode … Читать далее Выпуск дистрибутива Tails 5.16