GitHub раскрыл сведения об уязвимости, позволяющей получить доступ к содержимому переменных окружений, выставленных в контейнерах, применяемых в рабочей инфраструктуре. Уязвимость была выявлена участником программы Bug Bounty, претендующим на получение вознаграждения за поиск проблем с безопасностью. Проблема затрагивает как сервис GitHub.com, так и конфигурации GitHub Enterprise Server (GHES), выполняемые на системах пользователей. Анализ логов и аудит инфраструктуры не выявил следов эксплуатации уязвимости в прошлом, кроме активности, исследователя, сообщившего о проблеме. Тем не менее, в инфраструктуре была инициирована замена всех ключей шифрования и учётных данных, которые могли быть потенциально скомпрометированы в случае эксплуатации уязвимости злоумышленником. Замена внутренних ключей привела к нарушению работы … Читать далее GitHub обновил PGP-ключи из-за уязвимости, приводящей к утечке переменных окружения

После года разработки и 26 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API — Wine 9.0, который вобрал в себя более 7000 изменений. Из ключевых достижений в новой версии выделяется реализация архитектуры WoW64 для запуска 32-разрядных программ в 64-разрядном окружении, интеграция драйвера для поддержки Wayland, поддержка архитектуры ARM64, реализация API DirectMusic и поддержка смарткарт. В Wine подтверждена полноценная работа 5336 (год назад 5266, два года назад 5156, три года назад 5049) программ для Windows, ещё 4397 (год назад 4370, два года назад 4312, три года назад 4227) программ прекрасно работают при дополнительных настройках и внешних DLL. У 3943 программ … Читать далее Стабильный релиз Wine 9.0

Jens Axboe, создатель io_uring и сопровождающий блочную подсистему в ядре Linux, смог увеличить число операций ввода/вывода в секунду (IOPS) как минимум на 6% (возможно больше на полновесных конфигурациях ядер Linux), потратив всего 5 минут на кодинг. Идея состоит в том чтобы кэшировать запрос текущего времени в блочной подсистеме, совершаемый при каждой операции ввода/вывода, — поскольку в блочной системе нет ничего, что нуждалось бы в наносекундной точности времени. Как пишет Axboe, больше всего он сожалеет о том, что не сделал это еще 5 лет назад, когда идея впервые пришла ему в голову — потому что, как оказалось, реализция идеи заняла всего … Читать далее Увеличение скорости ввода/вывода на 6% в Linux, благодаря кэшированию запросов времени

Компания System76, разрабатывающая Linux-дистрибутив Pop!_OS, объявила о прогрессе в разработке пользовательской оболочки COSMIC, переписанной на языке Rust (не путать со старым COSMIC, который был основан на GNOME Shell). Оболочка находится в разработке уже более двух лет и близка к формированию первого альфа-выпуска, который ознаменует готовность базового набора возможностей, позволяющих рассматривать оболочку как рабочий продукт. Предполагается, что альфа-версию удастся опубликовать в конце марта и она поможет собрать больше отзывов для финального оттачивания функциональности и повышения удобства работы. Оболочка развивается как универсальный проект, не привязанный к конкретному дистрибутиву и соответствующий спецификациям Freedesktop. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует … Читать далее Разработка пользовательской оболочки COSMIC приближается к альфа-выпуску

Из репозитория проекта Chromium удалены компоненты, необходимые для сборки браузера Chrome для операционной системы Fuchsia. Отмечается, что поддержка Fuchsia в Chrome была экспериментом, который теперь прекращён. Отдельно указано, что причиной прекращения поддержки является сворачивание программы по развитию Fuchsia для рабочих станций. Поддержка браузерных компонентов WebEngine и WebRunner для Fuchsia будет продолжена, но отдельный полноценный браузер Chrome поставляться не будет. Вероятно дальнейшее развитие Fuchsia будет сосредоточено только на потребительских устройствах, таких как системы домашней автоматизации, умные фоторамки и колонки. Fuchsia базируется на микроядре Zircon, основанном на наработках проекта LK, расширенного для применения на различных классах устройств, включая смартфоны и персональные компьютеры. … Читать далее Отменена программа развития ОС Fuchsia для рабочих станций

Разработчики проекта openSUSE анонсировали начало работы над следующим значительным выпуском дистрибутива openSUSE Leap 16, который будет основан на новой технологической платформе ALP (Adaptable Linux Platform), на которую также переходит коммерческий дистрибутив SUSE. Релиз openSUSE Leap 16.0 планируют выпустить в 2025 году. В этом году 11 июня будет сформирован выпуск openSUSE Leap 15.6, который скорее всего станет последним классическим выпуском проекта. Если по каким-то причинам разработка openSUSE Leap 16 затянется предусмотрена возможность продления жизненного цикла openSUSE Leap 15.6 или выпуск дополнительного релиза openSUSE Leap 15.7. При разработке openSUSE Leap 16 планируют продолжить использование модели разработки на базе репозитория openSUSE Factory и … Читать далее openSUSE Leap 16 будет построен на платформе ALP, использующей контейнеры

Доступен выпуск защищённой мобильной платформы GrapheneOS 2024011300, представляющей собой ответвление от кодовой базы Android (AOSP, Android Open Source Project), расширенное и изменённое для усиления безопасности и обеспечения конфиденциальности. Ранее проект развивался под именем AndroidHardening, а до этого ответвился от проекта CopperheadOS после конфликта его основателей. В GrapheneOS официально поддерживается большинство актуальных устройств Google Pixel (Pixel 4/5/6/7/8, Pixel Fold, Pixel Tablet). Наработки проекта распространяются под лицензией MIT. В состав GrapheneOS включены многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления типовых уязвимостей и усложнением работы эксплоитов. Например, в платформе применяется собственная реализация malloc и модифицированный вариант libc … Читать далее Обновление защищённой Android-платформы GrapheneOS

Раскрыта информация об уязвимости (CVE-2023-4001) в патчах к загрузчику GRUB2, подготовленных компанией Red Hat. Уязвимость позволяет на многих системах с UEFI обойти проверку пароля, выставленного в GRUB2 для ограничения доступа к загрузочному меню или командной строке загрузчика. Уязвимость вызвана изменением, добавленным компанией Red Hat в пакет с GRUB2, поставляемый в RHEL и Fedora Linux. Проблема не проявляется в основном проекте GRUB2 и затрагивает только дистрибутивы, применившие дополнительные патчи Red Hat. Проблема вызвана ошибкой в логике использования UUID для поиска загрузчиком устройства с файлом конфигурации (например, «/boot/efi/EFI/fedora/grub.cfg»), содержащим хэш пароля. Для обхода аутентификации пользователь, имеющий физический доступ к компьютеру, может подключить … Читать далее Уязвимость в патчах Red Hat к загрузчику GRUB2, позволяющая обойти проверку пароля

В коммутаторах и межсетевых экранах Juniper серий EX и SRX, оснащённых операционной системой JunOS, выявлена критическая уязвимость (CVE-2024-21591), позволяющая удалённо вызвать переполнение буфера в доступном без прохождения аутентификации обработчике web-интерфейса J-Web и добиться выполнения своего кода с правами root на устройстве. Уязвимость устранена в обновлениях Junos OS 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2 и 23.4R1. В качестве временной меры защиты можно отключить на устройстве web-интерфейс, убрав настройки «[system services web-management http]» и «[system services web-management https]». Подробности эксплуатации уязвимости пока не раскрываются. Кроме того, можно отметить опасные уязвимости (CVE-2023-51624, CVE-2023-51626), выявленные в IP-камерах D-Link и … Читать далее Уязвимости в сетевых устройствах Juniper и IP-камерах D-Link

Опубликован выпуск игровой платформы Lutris 0.5.15, предоставляющей инструменты для упрощения установки, настройки и управления играми в Linux. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Проектом поддерживается каталог для быстрого поиска и установки игровых приложений, позволяющий через единый интерфейс одним щелчком мыши запускать в Linux игры, не заботясь об установке зависимостей и настройках. Runtime-компоненты для запуска игр поставляются проектом и не привязываются к используемому дистрибутиву. Runtime представляет собой независимый от дистрибутива набор библиотек, включающий компоненты из SteamOS и Ubuntu, а также различные дополнительные библиотеки. Предоставляется возможность установки игр, распространяемых через сервисы GOG, Steam, Epic Games Store, Battle.net, … Читать далее Выпуск платформы Lutris 0.5.15 для упрощения доступа к играм из Linux

В списке рассылки разработчиков ядра Linux возобновилось начатое шесть лет назад обсуждение перспектив использования современного кода на C++ в ядре Linux, помимо нынешнего применения языка Си с ассемблерными вставками и продвижения языка Rust. Изначально тема разработки ядра на C++ была поднята в 2018 году инженером из Red Hat, который первого апреля в качестве шутки опубликовал набор из 45 патчей для использования шаблонов, наследуемых классов и перегрузки функций C++ в коде ядра. С инициативой продолжения обсуждения выступил Ганс Питер Анвин (Hans Peter Anvin), один из ключевых разработчиков ядра в компании Intel и создатель таких проектов как syslinux, klibc и LANANA, разработавший … Читать далее Дискуссия об использовании языка C++ для разработки ядра Linux

Рабочая группа Rust Embedded, созданная для разработки технологий повышения качества и безопасности приложений, прошивок и драйверов к встраиваемым системам, представила первый выпуск фреймворка embedded-hal, предоставляющего набор программных интерфейсов для взаимодействия с периферией, обычно применяемой с микроконтроллерами (например, предоставляются типажи для работы с GPIO, UART, SPI и I2C). Наработки проекта написаны на языке Rust и распространяются под лицензией Apache 2.0. Пакет подходит для написания на языке Rust универсальных драйверов для различных датчиков, экранов, приводов и сетевых адаптеров, не привязанных к конкретным моделям микроконтроллеров, т.е. созданный на базе embedded_hal драйвер можно использовать с любыми микроконтроллерами, для которых в пакете предоставляется HAL-прослойка. Пакетом … Читать далее Опубликован embedded-hal 1.0, инструментарий для создания драйверов на языке Rust

В состав кодовой базы, на основе которой формируется ядро Linux 6.8, принят набор изменений, значительно повышающих производительность TCP-стека. В случаях обработки множества параллельных TCP-соединений ускорение может достигать 40%. Улучшение стало возможно, потому что переменные в структурах сетевого стека (socks, netdev, netns, mibs) располагались по мере добавления, что было определено историческими причинами. Пересмотр размещения переменных в структурах с целью повышения эффективности работы с процессорным кэшем (минимизации использование строк кэша на стадии передачи данных) и оптимизации доступа к переменным привёл к заметному увеличению скорости работы TCP, особенно в случае большого числа одновременных TCP соединений. Источник: http://www.opennet.ru/opennews/art.shtml?num=60433 Читать далее В ядро Linux 6.8 приняты патчи, ускоряющие TCP

Представлен релиз звукового сервера PulseAudio 17.0, который выступает в роли посредника между приложениями и различными низкоуровневыми звуковыми подсистемами, абстрагируя работу с оборудованием. PulseAudio позволяет управлять громкостью и смешиванием звука на уровне отдельных приложений, организовывать поступление, смешивание и вывод звука при наличии нескольких входных и выходных каналов или звуковых карт, позволяет на лету менять формат звукового потока и использовать плагины, дает возможность прозрачно перенаправлять звуковой поток на другую машину. Код PulseAudio распространяется в рамках лицензии LGPL 2.1+. Поддерживается работа в Linux, Solaris, FreeBSD, OpenBSD, DragonFlyBSD, NetBSD, macOS и Windows. Отмечается, что улучшений в новой ветке PulseAudio 17.0 относительно немного и разработка … Читать далее Доступен звуковой сервер PulseAudio 17.0

После двух с половиной лет разработки представлен релиз реляционной СУБД Firebird 5.0. Firebird продолжает развитие кода СУБД InterBase 6.0, открытого в 2000 году компанией Borland. Firebird распространяется под свободной лицензией MPL и поддерживает стандарты ANSI SQL, в том числе такие возможности, как триггеры, хранимые процедуры и репликацию. Бинарные сборки подготовлены для Linux, Windows, macOS и Android. Ключевые новшества: Реализована возможность выполнения операций в многопоточном режиме. Распараллеливание в несколько потоков применимо при создании индексов, сборке мусора (автоматический и ручной sweep), создании резервных копий и восстановлении из них. gfix -sweep -parallel 4 dbname gbak -b -par 4 -user username -pass password dbname … Читать далее Выпуск СУБД Firebird 5.0

Представлен релиз дистрибутива Linux Mint 21.3, продолжающий развитие ветки на основе пакетной базы Ubuntu 22.04 LTS. Дистрибутив полностью совместим с Ubuntu, но существенно отличается подходом к организации интерфейса пользователя и подбором используемых по умолчанию приложений. Разработчики Linux Mint предоставляют десктоп-окружение, соответствующее классическим канонам организации рабочего стола, которое является более привычным для пользователей, не принимающих новые методы построения интерфейса GNOME 3. Для загрузки доступны сборки на базе оболочек MATE 1.26 (2.9 ГБ), Cinnamon 6.0 (2.9 ГБ) и Xfce 4.18 (2.8 ГБ). Linux Mint 21 отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которого будут формироваться до 2027 года. Основные … Читать далее Релиз дистрибутива Linux Mint 21.3

Компания TIOBE Software опубликовала январский рейтинг популярности языков программирования, в котором по сравнению с январём 2023 года выделяется перемещение языка JavaScript с седьмого на шестое место, языка PHP с 10 на 7 место, Scratch с 20 на 10 место (рост популярности на 0.83%) , Go — c 12 на 11, Fortran — с 27 на 12 (+0.64%), Object Pascal — c 17 на 13, MathLab — с 15 на 14, Kotkin — с 25 на 17 и Cobol — с 31 на 20. Языком года назван C#, который сохранил 5 место, но стал лидером по росту популярности (+1.43%). За год … Читать далее Рейтинг языков программирования TIOBE за январь 2024 года

Разработчики проекта OpenSSH представили план прекращения поддержки ключей на базе алгоритма DSA. По современным меркам DSA-ключи не обеспечивают должного уровня защиты, так как используют размер закрытого ключа всего в 160 бит и хэш SHA1, что по уровню безопасности соответствует примерно 80 разрядному симметричному ключу. По умолчанию использование ключей DSA прекращено в 2015 году, но поддержка DSA оставлена в качестве опции, так как данный алгоритм является единственным обязательным к реализации в протоколе SSHv2. Подобное требование было добавлено так как во время создания и утверждения протокола SSHv2 все альтернативные алгоритмы подпадали под действие патентов. С тех пор ситуация изменилась, прекратили действие патенты, … Читать далее Проект OpenSSH опубликовал план прекращения поддержки DSA

Опубликованы корректирующие обновления платформы для организации совместной разработки — GitLab 16.7.2, 16.6.4 и 16.5.6, в которых устранены две критические уязвимости. Первая уязвимость (CVE-2023-7028), которой присвоен максимальный уровень опасности (10 из 10), позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля. Уязвимость вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес. Для проверки фактов компрометации систем предлагается оценить в логе gitlab-rails/production_json.log наличие HTTP-запросов к обработчику /users/password с указанием массива из нескольких email в параметре «params.value.email». Также … Читать далее Уязвимости в GitLab, позволяющие захватить учётную запись и выполнить команды под другим пользователем

Раскрыты детали атаки на инфраструктуру, используемую при разработке фреймворка машинного обучения PyTorch, позволившую извлечь ключи доступа, достаточные для размещения произвольных данных в репозитории с релизами проекта в GitHub и AWS, а также для подстановки кода в основную ветку репозитория и добавления бэкдора через зависимости. Подмена релизов PyTorch могла использоваться для осуществления атаки на крупные компании, такие как Google, Meta, Boeing и Lockheed Martin, использующие PyTorch в своих проектах. В рамках программы Bug Bounty компания Meta выплатила исследователям $16250 за информацию о проблеме. Суть атаки в возможности выполнения своего кода на серверах непрерывной интеграции, выполняющих пересборку и выполнение заданий для тестирования … Читать далее Атака на инфраструктуру PyTorch, компрометирующая репозиторий и релизы

Проект Meshtastic развивает открытую коммуникационную платформу для построения самодостаточной децентрализованной сети передачи сообщений, в которой каждая точка сети связывается через соседние точки, без использования централизованных маршрутизаторов. Для трансляции сигнала используются приёмопередатчики на базе протокола LoRa, позволяющие передавать данные в нелицензируемом диапазоне частот со скоростью несколько килобит в секунду на расстояния в десятки или даже сотни километров (пользователями Meshtastic установлен рекорд в 254 км). Проект может использоваться для организации связи в труднодоступной местности, при проведении поисковых работ или занятии спортом (например, парапланеризмом) в местности без инфраструктуры или в условиях плохого охвата территории сотовыми операторами. В определённых местах участниками могут размещаться автономные … Читать далее Meshtastic — реализация самодостаточной mesh-сети на базе передатчиков LoRa