Приложения, запускающие сценарии в формате bat и cmd на платформе Windows при помощи штатных функций запуска процессов, подвержены уязвимости, позволяющей добиться выполнения своего кода в случае передачи при запуске аргументов без отдельного экранирования спецсимволов. Уязвимость получила кодовое имя BatBadBut и проявляется в приложениях, использующих стандартные библиотеки таких языков, как Rust, PHP, Node.js, Python, Ruby, Go, Erlang и Haskell. Проблема отмечена как уязвимость так как затрагивает функции библиотеки, такие как Command::arg и Command::args в Rust, рассчитанные на прямую передачу процессу аргументов, без их обработки командным интерпретатором. Подразумевается, что разработчик приложения может не проверять аргументы, так как они напрямую передаются запускаемому процессу. … Читать далее Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования

Доступен альфа выпуск языка программирования Python 3.13.0a6, который примечателен включением в состав ветки 3.13, на основе которой формируется осенний стабильный релиз Python 3.14, экспериментальной реализации JIT-компилятора, позволяющего добиться существенного повышения производительности. Для включения JIT в CPython добавлена сборочная опция «—enable-experimental-jit». Для работы JIT требуется установка LLVM в качестве дополнительной зависимости. Процесс трансляции машинного кода в JIT построен c использованием архитектуры «Copy-and-Patch«, при которой при помощи LLVM собирается объектный файл в формате ELF, содержащий данные об инструкциях байткода и информацию о необходимой замене данных. JIT заменяет сгенерированные в ходе интерпретации программы инструкции байткода на их представления в машинном коде, попутно подставляя … Читать далее В Python встроен JIT-компилятор

Подведены итоги конкурса среди графических дизайнеров, организованного для обновления элементов брендинга дистрибутива. В рамках конкурса предпринята попытка получить узнаваемый и современный дизайн, отражающий специфику Kubuntu, положительно воспринимаемый новичками и старыми пользователями, и гармонично сочетаемый со стилевым оформлением KDE и Ubuntu. На основе полученных в результате конкурса работ выработаны рекомендации по модернизации логотипа проекта, заставки рабочего стола, цветовой палитры и шрифтов. Также опубликованы векторные файлы с новым логотипом, предложенные в различных расцветках. Подготовленное на основе новых рекомендаций оформление будет задействовано в выпуске Kubuntu 24.04. Источник: http://www.opennet.ru/opennews/art.shtml?num=60965 Читать далее Проект Kubuntu представил обновлённый логотип и элементы брендинга

Группа исследователей из Амстердамского свободного университета выявила новый метод атаки «Native BHI» (CVE-2024-2201), позволяющий на системах с процессорами Intel определить содержимое памяти ядра Linux при выполнении эксплоита в пространстве пользователя. В случае применения атаки к системам виртуализации, атакующий из гостевой системы может определить содержимое памяти хост-окружения или других гостевых систем. Метод Native BHI предлагает иную технику эксплуатации уязвимости BHI (Branch History Injection, CVE-2022-0001), которая обходит ранее реализованные способы защиты. Предложенный в 2022 году метод атаки BHI подразумевал эксплуатацию уязвимости в CPU в рамках одного уровня привилегий, для чего эксплоит базировался на выполнении еBPF-программы, загруженной пользователем в ядро. Для блокирования метода … Читать далее Новый вариант атаки BHI на CPU Intel, позволяющий обойти защиту в ядре Linux

Компания KDAB объявила о разработке компонента Servo WebView для Qt, использующего браузерный движок Servo вместо модуля Qt WebEngine (на базе Chromium) для отображения web-контента в QML-приложениях. Предполагается, что проект поможет сократить поверхность атак на Qt-приложения, использующие API WebView, за счёт применения компонента, в котором благодаря языку Rust минимизировано возникновение уязвимостей, вызванных ошибками при работе с памятью. Код Servo WebView для Qt распространяется под лицензией MPL-2.0. Для организации работы кода Servo, написанного на языке Rust, в окружении на языке C++ задействована прослойка CXX-Qt. CXX-Qt позволяет создавать компоненты на языке Rust, интегрируемые с программами на С++, использующими Qt. Применение CXX-Qt даёт возможность … Читать далее Проект по интеграции с Qt web-движка Servo, развиваемого на языке Rust

Представлен выпуск проекта Rivendell 4.2, развивающего платформу цифровой обработки звука, которую можно использовать для автоматизации работы мультимедийных студий и станций профессионального радиовещания. В состав Rivendell входит набор компонентов, решающий такие задачи как планирование эфирной сетки, упорядочение и ротация композиций, автоматическое включение голоса, экспорт данных для объявления текущей композиции и анонса следующей, ведение подкастов. Код написан на языке С++ и распространяется под лицензиями GPLv2 и LGPLv2. Основные возможности платформы: Управление через простой графический интерфейс пользователя. Автоматическое получение радиопрограмм через web, ftp или спутниковый канал. Автоматическая генерация подкастов. Экспорт данных о текущей и следующей композициях в кодировщики потока и RDS (Radio Data … Читать далее Доступна платформа управления вещательными радиостанциями Rivendell 4.2

В ночных сборках Firefox, на базе которых 14 мая будет сформирован выпуск Firefox 126, появилась возможность автоматизированного машинного перевода фрагментов текста, выделенных на странице (ранее поддерживался только перевод страницы целиком). Функция перевода вызывается через контекстное меню, показываемое при нажатии правой кнопки мыши на выделенном блоке текста. Для активации перевода фрагментов в about:config добавлена настройка browser.translations.select.enable, которая по умолчанию отключена. Кроме того, в ночных сборках доступна возможность перевода на русский, украинский и эстонский языки, которые в стабильны сборках могут использоваться только в качестве исходных языков, с которых осуществляется перевод. Для перевода задействована встроенная в Firefox система перевода, которая выполняет перевод на … Читать далее В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста

Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora Linux, утвердил задействование по умолчанию пакетного менеджера DNF5 в осеннем выпуске Fedora 41. Пакеты dnf, libdnf и dnf-cutomatic будут заменены в Fedora 41 на инструментарий DNF5 и новую библиотеку libdnf5, а символическая ссылка /usr/bin/dnf начнёт указывать на исполняемый файл dnf5. Несмотря на то, что полный паритет в функциональности со старым инструментарием всё ещё не достигнут, разработчики считают, что дистрибутив готов к миграции, а недостающие возможности можно реализовать позднее. Например, пока недоступна функциональность, связанная с управлением историей транзакций, лежащая в основе команды «dnf history». Также ещё не завершена … Читать далее В Fedora 41 утверждён переход на пакетный менеджер DNF5

В сетевых хранилищах D-Link выявлена проблема с безопасностью (CVE-2024-3273), позволяющая выполнить любые команды на устройстве, воспользовавшись предопределённой в прошивке учётной записью. Проблеме подвержены некоторые модели NAS производства D-Link, среди которых DNS-340L, DNS-320L, DNS-327L и DNS-325. Сканирование глобальной сети показало наличие более 92 тысяч активных устройств, подверженных уязвимости. Компания D-Link не намерена публиковать обновление прошивки с устранением проблемы, так как цикл поддержки устройств уже завершён. Пользователям рекомендуется заменить проблемные устройства на новые модели. Проблема заключается в том, что к скрипту nas_sharing.cgi можно обратиться без прохождения аутентификации, указав логин «umessagebus» с пустым паролем и задав любую команду для исполнения в параметре «system», … Читать далее Бэкдор в сетевых хранилищах D-Link, позволяющий выполнить код без аутентификации

Компания Cloudflare опубликовала первый выпуск фреймворка Pingora, предназначенного для разработки защищённых высокопроизводительных сетевых сервисов на языке Rust. Построенный при помощи Pingoraа прокси около года используется в сети доставки контента Cloudflare вместо nginx и обрабатывает более 40 млн запросов в секунду. Код написан на языке Rust и опубликован под лицензией Apache 2.0. Основные возможности: Поддержка HTTP/1 и HTTP/2 (в планах HTTP/3), а также возможности для создания сервисов, использующих свои протоколы или UDP/TCP. Возможность многопоточной обработки запросов в асинхронном режиме. Поддержка прикрепления callback-обработчиков и фильтров, позволяющих управлять различными стадиями обработки запроса, а также изменять, перенаправлять, блокировать и журналировать запросы и ответы. Проксирование … Читать далее Первый выпуск фреймворка для создания сетевых сервисов Pingora

Опубликованы результаты проверки эффективности оптимизаций, добавленных в библиотеку VTE (Virtual TErminal library) и вошедших в состав релиза GNOME 46. При тестировании измерена отзывчивость интерфейса в эмуляторах терминала Alacritty, Console (GTK 4), GNOME Terminal (GTK 3 и 4) и VTE Test App (пример из репозитория VTE), при их запуске в Fedora 39 с GNOME 45 и в Fedora 40-beta с GNOME 46. Приложение Alacritty не использует библиотеку VTE и выбрано в качестве эталона, так как, судя по прошлым тестам, является одним из наиболее быстрых эмуляторов терминалов. Для измерения использовался аппаратный датчик на базе платы Teensy, измеряющий время между нажатием кнопки и … Читать далее Оценка влияния оптимизаций в GNOME 46 на эффективность работы эмуляторов терминала

Разработчик инструментария PiVPN, предназначенного для быстрой настройки VPN-сервера на базе платы Raspberry Pi, объявил о публикации финальной версии 4.6, которая подвела итог 8 лет существования проекта. После формирования выпуска репозиторий переведён в архивный режим, а автор заявил о полном прекращении сопровождения проекта. В качестве причины упоминается потеря интереса к разработке при ощущении, что проект выполнил свою миссию и в современных реалиях потерял актуальность, так как появились другие инструменты, решающие задачу лучше. Сопровождающий PiVPN также заявил, что не намерен передавать права желающим подхватить разработку из-за отсутствия заслуживающих доверия кандидатов и ощущения, что он не имеет права решать, кому передать проект. Желающие … Читать далее Объявлено о прекращении разработки проекта PiVPN

Разработчики Arch Linux объявили о внесении изменения, нацеленного на улучшение совместимости c Windows-играми, запускаемыми через Wine или Steam (используется Proton). По аналогии с изменением в выпуске Fedora 39, параметр sysctl vm.max_map_count, определяющий максимально доступное процессу число областей маппинга памяти, по умолчанию увеличен с 65530 до 1048576. Изменение включено в состав пакета filesystem 2024.04.07-1. При использовании ранее выставлявшегося по умолчанию значения 65530, попытка запуска в Wine многих игр, включая DayZ, Hogwarts Legacy, Counter Strike 2, Star Citizen и THE FINALS, приводила к аварийному завершению. Кроме того, отмечается, что увеличение vm.max_map_count также решает некоторые проблемы с производительностью приложений, интенсивно потребляющих память. Источник: … Читать далее В Arch Linux улучшили совместимость c Windows-играми, запускаемыми в Wine и Steam

Опубликован выпуск инструментария apt-mirror2 4, предназначенного для организации работы локальных зеркал apt-репозиториев дистрибутивов на базе Debian и Ubuntu. Apt-mirror2 может использоваться в качестве прозрачной замены вместо утилиты apt-mirror, которая не обновлялась с 2017 года. Основным отличием от apt-mirror2 является использование языка Python с библиотекой asyncio (код оригинального apt-mirror был написан на Perl), а также применением проверки целостности на всех стадиях зеркалироваиня для недопущения нарушения работоспособности зеркала. Код распространяется под лицензией GPLv3. В новой версии: Реализована поддержка совместимых с apt-mirror списков файлов (ALL, NEW, MD5, SHA256, SHA512). Добавлена поддержка передачи метрик Prometheus для мониторинга. Добавлена проверка целостности файлов с релизами и … Читать далее Выпуск инструментария для поддержания локальных зеркал apt-mirror2 4

Проектом PumpkinOS предпринята попытка создания повторной реализации операционной системы PalmOS, использовавшейся в коммуникаторах компании Palm. PumpkinOS позволяет напрямую запускать приложения, созданные для PalmOS, без применения эмулятора PalmOS и не требуя наличия оригинальной прошивки с PalmOS. Приложения, собранные для архитектуры m68K, могут запускаться на системах с процессорами x86 и ARM. Код проекта написан на языке Си и распространяется под лицензий GPLv3. Среда для запуска приложений поддерживает работу в Linux и Windows, но также может быть собрана в виде самодостаточной загружаемой ОС (системное окружение основано на ядре Linux и пакете BusyBox). Предоставляется графическая оболочка для навигации по имеющимся приложениям и переключения между … Читать далее Проект PumpkinOS развивает реинкарнацию PalmOS

Кент Оверстрит (Kent Overstreet), разработчик ФС Bcachefs, предложил патчи, позволяющие ядру Linux работать с ФС Bcachefs даже после повреждения существенного объёма метаданных, при необходимости перестраивая испорченные b-деревья по метаданным из структур inode и dirent. Изменения приняты Линусом Торвальдсом и включены в состав сегодняшнего тестового обновления ядра 6.9-rc3. Изменения обеспечивают монтирование повреждённых ФС и предоставляют доступ к всем или почти всем данным в ФС, затронутым недавней ошибкой, приводившей к разрушению ФС. Ошибка проявлялась когда после обновления инструментария предпринималась, но не завершалась, попытка обновления структур ФС, после чего ядро со старой реализацией Bcachefs производило попытку даунгрейда версии структур, игнорируя незавершенное обновление. Подобная … Читать далее Автор Bcachefs представил патчи для исправления ФС, разрушенных недавней ошибкой

Компания Qt Company опубликовала релиз фреймворка Qt 6.7, в котором продолжена работа по стабилизации и наращиванию функциональности ветки Qt 6. В Qt 6.7 обеспечена поддержка платформ Windows 10+, macOS 12+, Linux (Ubuntu 22.04, openSUSE 15.5, SUSE 15 SP5, RHEL 8.8/9.2, Debian 11.6), iOS 16+, Android 8+ (API 23+), webOS, WebAssembly, INTEGRITY, VxWorks, FreeRTOS и QNX. Исходные тексты компонентов Qt поставляются под лицензиями LGPLv3 и GPLv2. Основные изменения в Qt 6.7: Улучшена поддержка использования кода, в котором применяются элементы стандарта C++20. Добавлены классы Qt::{strong,weak,partial}_ordering с реализацией типов std::*_ordering, совместимых со спецификацией C++17, а также макросы, которые раскрываются в оператор трехстороннего сравнения … Читать далее Релиз фреймворка Qt 6.7 и среды разработки Qt Creator 13

Опубликован релиз Phosh 0.38, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру squeekboard. Наработки проекта распространяются под лицензией GPLv3+. В новом выпуске: В Launcher приложениям предоставлена возможность отображения дополнительных индикаторов со счётчиками и прогрессом выполнения операций. Улучшена работа на устройствах с экранами, имеющими скруглённые углы. В … Читать далее Выпуск Phosh 0.38, GNOME-окружения для смартфонов

Александр Швинн (Alexander Schwinn), принимающий участие в разработке среды рабочего стола Xfce и файлового менеджера Thunar, попытался посчитать ориентировочное число пользователей Xfce. Оценив популярность основных дистрибутивов Linux был сделан вывод, что примерно 14 млн пользователей работают в Xfce. При расчёте использованы следующие предположения: Число всех пользователей Linux оценивается в 120 млн. Примерно 33% пользователей Linux используют на своих ПК Ubuntu или дистрибутивы, на его основе. Таким образом, общее число пользователей Ubuntu составляет 40 млн (девять лет назад по данным компании Canonical было 20 млн пользователей). По результатам опроса примерно 15% пользователей Ubuntu устанавливают Xubuntu, 15% от 40 млн = 6 … Читать далее Предположительно 14 млн человек пользуются средой рабочего стола Xfce

Cостоялся выпуск дистрибутива AV Linux 23.2, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив основан на пакетной базе MX Linux и репозитории KXStudio с коллекцией приложений для обработки звука и дополнительные пакеты собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). Дистрибутив может функционировать в Live-режиме и доступен для архитектуры x86_64 (5.4 ГБ). Ядро Linux в AV Linux поставляется с набором патчей Liquorix для увеличения отзывчивости системы во время выполнения работ, связанных с обработкой звука. В качестве пользовательского окружения поставляется Enlightenment. В поставку входят звуковые редакторы Ardour, ArdourVST, Harrison, Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot, LiVES и инструменты … Читать далее Опубликован AV Linux MX-23.2, дистрибутив для создания аудио- и видеоконтента

Доступен выпуск Dropbear 2024.84, компактного сервера и клиента SSH, применяемого преимущественно на встраиваемых системах, таких как беспроводные маршрутизаторы, и в дистрибутивах, подобных OpenWrt. Dropbear отличается низким потреблением памяти, возможностью отключения лишней функциональности на этапе сборки и поддержкой сборки клиента и сервера в одном исполняемом файле по аналогии с busybox. При статическом связывании с uClibc исполняемый файл Dropbear занимает всего 110kB. Dropbear поддерживает перенаправление X11, совместим с файлом ключей OpenSSH (~/.ssh/authorized_keys) и может создавать мультисоединения с пробросом через транзитный хост. Под проекта написан на языке Си и распространяется под лицензией, близкой к MIT. В новом выпуске: Улучшена совместимость с OpenSSH для … Читать далее Выпуск Dropbear SSH 2024.84