Опубликован выпуск дистрибутива Nitrux 2.8.1, построенного на пакетной базе Debian, технологиях KDE и системе инициализации OpenRC. Проект предлагает собственный рабочий стол NX Desktop, который представляет собой надстройку над KDE Plasma. На основе библиотеки Maui для дистрибутива развивается набор типовых пользовательских приложений, которые можно использовать как на настольных системах, так и на мобильных устройствах. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages. Размер полного загрузочного образа составляет 3.4 ГБ. Наработки проекта распространяются под свободными лицензиями. Рабочий стол NX Desktop предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений и мультимедийный … Читать далее Выпуск дистрибутива Nitrux 2.8.1 с пользовательскими окружениями NX Desktop

Опубликован выпуск библиотеки libuv 1.45.0, применяемой для мультиплексирования соединений и асинхронной обработки ввода/вывода во многих проектах, нацеленных на высокопроизводительную обработку сетевых и файловых запросов, например, в платформе Node.js, DNS-серверах BIND 9 и Knot DNS, HTTP-сервере H2O, Lua-фреймворке Luvit, виртуальной машине MoarVM, языке Julia и Python-фреймворке uvloop. Библиотека позволяет организовать цикл обработки событий в неблокирующем режиме, реализованный на базе таких методов, как epoll в Linux, kqueue в BSD и macOS, IOCP в Windows и event ports в Solaris. Код проекта написан на языке Си и распространяется под лицензией MIT. Для приложений доступны многоплатформенные функции для работы с сетевыми соединениями TCP и … Читать далее Выпуск библиотеки libuv 1.45.0 с поддержкой подсистемы io_uring

В устройствах Zyxel серий ATP, VPN, USG FLEX и ZyWALL, предназначенных для организации работы межсетевых экранов, IDS и VPN на предприятиях, выявлены две уязвимости, потенциально позволяющие выполнить свой код на устройстве или инициировать отказ в обслуживании через отправку сетевого запроса без прохождения аутентификации. Первая уязвимость (CVE-2023-33009) вызвана переполнением буфера в функции обработки уведомлений, а вторая (CVE-2023-33010) — переполнением буфера в функции обработки идентификаторов. Проблемы, которым присвоен критический уровень опасности (CVSS 9.8 из 10), устранены в обновлениях прошивки ZLD 5.36 Patch 2 и ZLD 4.73 Patch 2. Источник: http://www.opennet.ru/opennews/art.shtml?num=59212 Читать далее Уязвимости в межсетевых экранах Zyxel, позволяющие выполнить код на устройстве

Проект GNU опубликовал выпуск библиотеки libmicrohttpd 0.9.77, представляющей простой API для встраивания функциональности HTTP-сервера в приложения. Среди поддерживаемых платформ: GNU/Linux, FreeBSD, OpenBSD, NetBSD, Solaris, Android, macOS, Win32 и z/OS. Библиотека распространяется под лицензией LGPL 2.1+. В собранном виде библиотека занимает около 32 КБ. Библиотека поддерживает протокол HTTP 1.1, TLS, инкрементальную обработку POST-запросов, basic- и digest-аутентификацию, IPv6, SHOUTcast, различные методы мультиплексирования соединений (select, poll, epoll) и модели многопоточности (например, можно использовать пул потоков или поток на соединение). Для снижения накладных расходов, возникающих при переключении контекста между ядром и пространством пользователя, число системных вызовов в процессе работы сведено к минимуму. Наиболее заметные … Читать далее Выпуск библиотеки GNU libmicrohttpd 0.9.77

Раскрыта информация о двух уязвимостях в свободном офисном пакете LibreOffice, наиболее опасная из которых потенциально позволяет выполнить код при открытии специально оформленного документа. Первая уязвимость была без лишней огласки устранена в мартовских выпусках 7.4.6 и 7.5.1, а вторая в майских обновлениях LibreOffice 7.4.7 и 7.5.3. Первая уязвимость (CVE-2023-0950) потенциально позволяет добиться выполнения своего кода в системе при открытии электронной таблицы, включающей специально модифицированные формулы, такие как AGGREGATE, в которых передано меньше параметров, чем ожидается. Проблема вызвана переполнением индекса массива через нижнюю границу (underflow) в коде разбора формул (ScInterpreter), применяемом при обработке электронных таблиц. Вторая уязвимость (CVE-2023-2255) позволяет атакующему подготовить специально … Читать далее Две уязвимости в LibreOffice

Компания Oracle опубликовала выпуски дистрибутива Oracle Linux 9.2 и 8.8, созданные на основе пакетных баз Red Hat Enterprise Linux 9.2 и 8.8, cоответственно, и полностью бинарно совместимого с ними. Для загрузки без ограничений предложены установочные iso-образы, размером 9.8 ГБ и 880 МБ, подготовленные для архитектур x86_64 и ARM64 (aarch64). Для Oracle Linux открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Для загрузки также подготовлены отдельно поддерживаемые репозитории с наборами пакетов Application Stream и CodeReady Builder. Помимо пакетов с ядром из состава RHEL (на базе ядра 4.18 и 5.14) в Oracle … Читать далее Выпуск дистрибутива Oracle Linux 8.8 и 9.2

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 8.9. С момента выпуска версии 8.8 было закрыто 16 отчётов об ошибках и внесено 284 изменения. Наиболее важные изменения: Движок Wine Mono с реализацией платформы .NET обновлён до выпуска 8.0.0. Доведён до конца перевод PostScript-драйвера в формат исполняемых файлов PE (Portable Executable). В API DirectSound добавлена поддержка эффекта Доплера. Повышена производительность GdiPlus. Закрыты отчёты об ошибках, связанные с работой игр: Need For Speed Underground, Battle.net. Закрыты отчёты об ошибках, связанные с работой приложений: Silverlight 5.x, Wine Notepad, touhou 12.3, Framemaker 8, Rich Edit, Visio 2003. Источник: http://www.opennet.ru/opennews/art.shtml?num=59205 Читать далее Выпуск Wine 8.9

В опубликованном в конце апреля выпуске ядра Linux 6.3 выявлена ошибка, приводящая к повреждению метаданных файловой системы XFS. Проблема пока остаётся неисправленной и проявляется среди прочего в последнем обновлении 6.3.4 (повреждение зафиксировано в выпусках 6.3.1, 6.3.2, 6.3.3 и 6.3.4, но проявление проблемы находится под вопросом в выпуске 6.3.0). В более ранних ветках ядра, таких как 6.2, а также в находящейся в разработке ветке 6.4, проявление проблемы не зафиксировано. Вызвавшее проблему изменение и точные факторы проявления ошибки пока не определены. Пользователям XFS следует воздержаться от обновления ядра до ветки 6.3 до прояснения ситуации. Источник: http://www.opennet.ru/opennews/art.shtml?num=59204 Читать далее В ядре Linux 6.3 всплыла проблема, приводящая к повреждению метаданных ФС XFS

Компания Mozilla встроила в Firefox показ рекламы платного сервиса Mozilla VPN, реализованной в форме всплывающего окна, перекрывающего содержимое произвольных открытых вкладок и до закрытия рекламного блока блокирующего работу с текущей страницей. После волны недовольства пользователей показ рекламы Mozilla VPN в браузере был отключён (browser.vpn_promo.enabled=false в about:config). Кроме того, в реализации показа рекламы была выявлена ошибка, из-за которой рекламный блок всплывал во время работы, а не после 20 минут неактивности пользователя, как было изначально задумано. В отправленных жалобах пользователи подчеркнули недопустимость реализованного Mozilla навязчивого метода продвижения своих сервисов, мешающего работе в браузере. Примечательно, что в рекламном окне была почти незаметна кнопка … Читать далее Mozilla внедрила в Firefox показ навязчивой всплывающей рекламы VPN

С 29 сентября по 1 октября 2023 года пройдёт конференция «СПО в высшей школе», также известная как OSSDEVCONF. Традиционно площадкой проведения выступает Институт программных систем РАН в Переславле-Залесском Ярославской области. В мероприятии принимают участие разработчики свободных программ из России и других стран, чтобы обсудить новейшие достижения в области свободного ПО и перспективы его развития, наладить личные и профессиональные контакты, инициировать создание новых проектов сферы СПО. Программный комитет принимает доклады по следующим темам: Разработка свободного программного обеспечения; Новейшие достижения проектов СПО; Формирование сообщества разработчиков СПО; Философские, культурные и правовые аспекты свободного ПО; Студенческие проекты разработки СПО. Работы должны освещать тематику свободного … Читать далее В сентябре состоится конференция «СПО в высшей школе»

Доступен выпуск инструментария secimport 0.8, позволяющего изолировать определённые Python-модули при их использовании в своих проектах. Код secimport написан на Python, распространяется под лицензией MIT и может работать в Linux, Windows, macOS и Solaris. Для трассировки выполнения и блокирования системных вызовов применяются подсистемы DTrace и eBPF. Инструментарий даёт возможность построить профиль выполнения каждого модуля, используемого в приложении. Кроме отладочных целей, при помощи специальной обвязки созданный профиль можно задействовать на этапе импорта для блокировки в выбранных модулях системных вызовов, отличных от тех, что упомянуты в профиле, что позволит блокировать активность, в случае эксплуатации уязвимостей, или недопустить нецелевое использование модулей, не заслуживающих доверия. … Читать далее Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей

Опубликованы новые версии утилит backgroundremover 0.2.2 и rembg 2.0.37, предназначенных для удаления фона из изображений и видео. Для разделения объектов на изображении с учётом контекста в обоих проектах используется система машинного обучения с нейронной сетью на базе архитектуры U2-Net. Код утилит написан на языке Python с использованием фреймворка PyTorch и распространяется под лицензией MIT. Утилита backgroundremover создана разработчиками online-сервиса BackgroundRemoverAI.com и поддерживает удаление или замену фона не только на изображениях, но на видео. На выбор предлагается три модели разделения объектов u2netp, u2net и u2net_human_seg. Проект rembg кроме интерфейса командной строки предоставляет и библиотеку для встраивания функциональности удаления фона в свои … Читать далее Обновление утилит backgroundremover и rembg для удаления фона с изображений и видео

Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее. Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов … Читать далее PyPI переходит на обязательную двухфакторную аутентификацию

Компания Bootlin опубликовала первый выпуск инструментария Snagboot, предназначенного для восстановления работы и перепрошивки встраиваемых устройств, переставших загружаться, например, из-за повреждения прошивки. Код Snagboot написан на языке Python и открыт под лицензией GPLv2. Большинство встраиваемых платформ в случае повреждения прошивки предоставляют работающие через USB или UART интерфейсы для восстановления работы и передачи загрузочного образа, но данные интерфейсы специфичны для каждой платформы и требует применения для восстановления утилит, привязанных к продуктам отдельных производителей. Snagboot выступает аналогом специализированных, в основном проприетарных, утилит для восстановления и перепрошивки устройств, таких как STM32CubeProgrammer, SAM-BA ISP, UUU и sunxi-fel. Snagboot рассчитан на работу с широким спектром плат … Читать далее Доступен Snagboot, инструментарий для восстановления встраиваемых устройств

Компания Intel опубликовала выпуск проекта oidn 2.0 (Open Image Denoise), развивающего коллекцию фильтров для устранения шумов на изображениях, подготовленных с использованием систем рендеринга на основе трассировки лучей. Open Image Denoise развивается как часть более крупного проекта oneAPI Rendering Toolkit, нацеленного на разработку средств программной визуализации научных расчётов (SDVis (Software Defined Visualization), включающих библиотеку трассировки лучей Embree, систему фотореалистичной отрисовки GLuRay, платформу распределённой трассировки лучей OSPRay и систему программной растеризации OpenSWR. Код написан на языке С++ и опубликован под лицензией Apache 2.0. Целью проекта является предоставление высококачественных, эффективных и простых в использовании функций шумоподавления, которые можно применять для повышения качества результатов … Читать далее Intel опубликовал библиотеку устранения шума на изображениях Open Image Denoise 2.0

Компания Red Hat опубликовала первый значительный выпуск приложения Podman Desktop с реализацией графического интерфейса для создания, запуска и управления контейнерами, конкурирующего с такими продуктами, как Rancher Desktop и Docker Desktop. Podman Desktop позволяет разработчикам, не имеющим навыков системного администрирования, на своей рабочей станции создавать, запускать, тестировать и публиковать микросервисы и приложения, разрабатываемые для систем контейнерной изоляции, перед их развёртыванием в рабочих окружениях. Код Podman Desktop написан на языке TypeScript с использованием платформы Electron и распространяется под лицензией Apache 2.0. Готовые сборки подготовлены для Linux, Windows и macOS. Поддерживается интеграция с платформами Kubernetes и OpenShift, а также использование различных runtime для … Читать далее Red Hat опубликовал Podman Desktop 1.0, графический интерфейс управления контейнерами

Разработчики проекта Thunderbird представили новый логотип, который подготовил дизайнер Джон Хигс (Jon Hicks), ранее разработавший логотипы Firefox и Mozilla. Новый логотип выполнен в едином стиле с логотипом Firefox и подчёркивает связь c проектами Mozilla. Новый логотип планируют начать поставлять в выпуске Thunderbird 115, запланированном на 4 июля. Кроме логотипа в Thunderbird 115 будет значительно переработан интерфейс пользователя и появится новый режим оформления боковой панели, более понятный начинающим пользователям (возможность возврата старой панели будет сохранена). Источник: http://www.opennet.ru/opennews/art.shtml?num=59193 Читать далее Почтовый клиент Thunderbird представил новый логотип

Компания Google объявила обладателей премии Open Source Peer Bonus, присуждаемой за вклад в развитие открытых проектов. Претендентов выдвигают сотрудники Google, но номинанты не должны быть связаны с данной компанией. Премия присуждается разработчикам, техническим писателям, дизайнерам, активистам сообщества, наставникам, экспертам по безопасности и другим людям, связанным с открытым ПО. В этом году на получение премии были номинированы 255 человек, что на 49% больше, чем в прошлом году. Премию получили 203 человека из 35 стран, участвующих в развитии 150 открытых проектов, среди которых Angular, Apache Beam, Arch Linux ARM, Bluez, Carbon, CUPS, Dart, Debian, Flutter, Gentoo, GNOME, HarfBuzz, Kubernetes, ядро Linux, OpenCV, … Читать далее Google назвал обладателей премии Open Source Peer Bonus 2023

Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах. Так как Python Software Foundation и PyPI выступают за свободу, безопасность и конфиденциальность пользователей, действуя в интересах сообщества решено пересмотреть применяемые в организации стандарты в области раскрытия данных и обеспечения конфиденциальности. В честности, планируется минимизировать хранимые и получаемые от пользователей … Читать далее PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей

В представленном 22 мая выпуске платформы для организации совместной разработки GitLab 16.0 выявлена критическая уязвимость (CVE-2023-2825), позволяющая неаутентифицированному пользователю получить содержимое любого файла на сервере, насколько это позволяют права доступа процесса, обрабатыващего web-запросы. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлении GitLab 16.0.1 и не затрагивает ветки до 16.0. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. одробности эксплуатации пока не приводятся, их обещают опубликовать через 30 дней после исправления. Известно лишь, то, что уязвимость вызвана ошибкой проверки файловых путей, позволяющей выйти за пределы базового каталога и … Читать далее Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере

В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлено 14 уязвимостей, из которых четыре позволяют удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблемы проявляются начиная с ядра 5.15, в состав которого был принят модуль ksmbd. Уязвимости устранены в обновлениях ядра 6.3.2, 6.2.15, 6.1.28 и 5.15.112. Проследить за исправлением в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Gentoo, Arch. Выявленные проблемы: CVE-2023-32254, CVE-2023-32250, CVE-2023-32257, CVE-2023-32258 — удалённое выполнение кода с правами ядра из-за отсутствия должных … Читать далее Уязвимости в модуле ksmbd ядра Linux, позволяющие удалённо выполнить свой код