Доступен корректирующий выпуск почтового сервера Exim 4.97.1, в котором включены изменения для защиты от атаки SMTP Smuggling, позволяющей расщепить одно сообщение на несколько разных сообщений через использование нестандартной последовательности для разделения писем. Изначально предполагалось, что проблема проявляется только в postfix и sendmail, но позднее выяснилось, что она затрагивает и Exim (CVE-2023-51766). Exim может обрабатывать в качестве разделителя сообщений последовательности «n.n», «rn.n» и «n.rn», если на сервере для входящих соединений включена поддержка расширений «PIPELINING» и «CHUNKING». В исправлении добавлена настройка strict_crlf, позволяющая вернуть возможность обработки нестандартных последовательностей. В качестве обходного пути защиты можно отключить расширение «PIPELINING» или «CHUNKING», используя настройки pipelining_advertise_hosts, … Читать далее Обновление Exim 4.97.1 с добавлением защиты от атаки SMTP Smuggling

В недавно представленном выпуске офисного пакета Apache OpenOffice 4.1.15 без лишней огласки (информация раскрыта через несколько дней после релиза и изначально сведения об уязвимостях не упоминались в списке изменений) устранены четыре уязвимости: Уязвимость CVE-2023-1183 позволяет записать данные в произвольный файл в системе, насколько это позволяют права доступа, при открытии специально оформленных файлов OBD (Office Binder Document) в OpenOffice Base. Атака осуществляется через добавление в документ файла «database/script» с командной SCRIPT, содержимое которого записывается в новый файл, путь к которому может быть задан атакующим. Уязвимость CVE-2012-5639 позволяет автоматически загрузить и открыть внутренние или внешние ресурсы без вывода предупреждения пользователю. Уязвимость была … Читать далее Четыре уязвимости в Apache OpenOffice

Брюс Перенс (Bruce Perens), один из авторов определения Open Source и соучредитель организации Open Source Initiative, считает, что парадигма Open Source достигла рубежа при котором открытые лицензии не обеспечивают должной защиты и настало время для создания пересмотренной концепции Post-Open Source, которая позволит гармонизировать отношения разработчиков открытого ПО и коммерческих компаний. GPL изначально разработана только как лицензия, и не является договором, т.е. нацелена лишь на предоставление прав, но не может отнимать чьи-то права. По мнению Перенса новая модель лицензирования должна включать договорные условия, рассматриваемые в соответствии с требованиями области права, регламентирующего договорные отношения. В настоящее время компании научились обходить требования лицензии … Читать далее Брюс Перенс, соавтор определения Open Source, развивает концепцию Post-Open Source

Опубликованы результаты общего голосования (GR, general resolution) разработчиков проекта Debian, участвующих в сопровождении пакетов и поддержании инфраструктуры, на котором был утверждён текст заявления с выражением позиции проекта в отношении продвигаемого в Евросоюзе законопроекта Cyber Resilience Act (CRA). Законопроект вводит дополнительные требования к производителям программного обеспечения, нацеленные на стимулирование поддержания безопасности, раскрытие сведений об инцидентах и оперативное устранение уязвимостей на протяжении жизненного цикла продукта. В случае нарушения требований планируется ввести штрафы, которые могут достигать 15 млн евро или 2.5% от годового оборота компании. После принятия законопроекта производители будут обязаны предоставлять средства для доставки исправлений уязвимостей, проводить оценку связанных с безопасностью рисков … Читать далее Разработчики Debian опубликовали заявление, связанное с законопроектом Cyber Resilience Act

Организация Linux Foundation опубликовала годовой отчёт, в соответствии с которым за 2023 год к организации присоединилось 270 новых участников, а число курируемых организацией проектов достигло 1133. За год организация заработала 263.6 млн. долларов, а израсходовала 269 млн долларов. По сравнению с прошлым годом затраты на разработку ядра снизились почти на 400 тысяч долларов. Общая доля затрат, связанных с разработкой ядра, среди всех расходов составляет 2.9% ($7.8 млн). Для сравнения доля расходов на ядро в 2022 году составляла 3.2%, а в 2021 — 3.4%. Всего на различные не связанные с ядром проекты приходится 64% расходов ($171.8 млн). Наибольший вклад осуществляется в … Читать далее Доля расходов Linux Foundation на разработку ядра Linux составила 2.9%

Проект AlmaLinux, развивающий бесплатный клон Red Hat Enterprise Linux, объявил о формировании дополнительных сборок на базе выпусков AlmaLinux 9.3 и 8.9. До указанных версий обновлены Live-сборки с пользовательскими окружениями GNOME (обычный и мини-вариант), KDE, MATE и Xfce, а также образы для плат Raspberry Pi, контейнеров (Docker, OCI, LXD/LXC), виртуальных машин (Vagrant Box) и облачных платформ (Generic Cloud, Amazon AWS, OpenNebula, Microsoft Azure и Oracle Cloud). Источник: http://www.opennet.ru/opennews/art.shtml?num=60357 Читать далее Опубликованы дополнительные сборки AlmaLinux 9.3 и 8.9

Доступен корректирующий релиз офисного пакета Apache OpenOffice 4.1.15, в котором предложено 14 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. Среди изменений в новой версии: В Calc устранён сбой, не позволявший сохранить документ в формате ODS в сборках, использующих алфавиты не на основе латиницы. В Calc устранена проблема, приводящая к смещению формул при перемещении ячеек. В Writer для китайского языка автоматический отступ первой строки по умолчанию выставлен в 2 символа. В Math решены проблемы с дублированием существующего текста команд при вставке формул. Устранена проблема с заменой некоторых глифов, используя таблицу GSUB из шрифта OpenType. Из пакета с исходным кодом … Читать далее Выпуск Apache OpenOffice 4.1.15

В программе для просмотра документов Xreader, развиваемой разработчиками дистрибутива Linux Mint, выявлены две уязвимости, которые могут привести к выполнению кода злоумышленника при открытии специально оформленных файлов в форматах EPUB и CBT. Уявзимости устранены в обновлениях Xreader 4.0.0, 3.8.5, 3.6.6, 3.2.3 и 2.6.5. Уязвимости вызваны ошибками в коде для разбора форматов EPUB и CBT. В случае c EPUB проблема (CVE-2023-44451) связана с отсутствием должного экранирования спецсимволов («../») в параметрах, используемых при формировании файлового пути для распаковки содержимого в каталоге с временными файлами. В случае с CBT уязвимость (CVE-2023-44452) вызвана использованием неочищенных значений из файла в качестве аргументов при выполнении внешней команды … Читать далее Уязвимости в просмотрщике документов Xreader, развиваемом проектом Linux Mint

Представлен выпуск дистрибутива Nobara 39, основанного на пакетной базе Fedora Linux 39 и включающего дополнительные исправления, решающие известные проблемы, проявляющиеся при запуске компьютерных игр, потоковом вещании и выполнении задач, связанных с созданием контента. Для загрузки подготовлены шесть установочных образов: официальный с KDE (3.6 ГБ), дополнительные с GNOME (3.5 ГБ) и KDE (3.5 ГБ), а также варианты данных образов с проприетарными драйверами NVIDIA. Официальный образ включает собственную тему оформления, а дополнительные образы предлагают исходное оформление GNOME и KDE. Дистрибутив поставляется с проприетарными компонентами, обычно используемыми на рабочих станциях, такими как мультимедийные кодеки и драйверы, а также пакетами, отсутствующими в штатном репозитории … Читать далее Выпуск Nobara 39, редакции Fedora с патчами для игр и обработки контента

Брандт Букер (Brandt Bucher) из компании Microsoft, входящий в число core-разработчиков CPython и работающий команде, занимающейся увеличением производительности интерпретатора CPython, опубликовал реализацию JIT-компилятора для Python, использующую технику Copy-and-Patch. Публикация JIT приурочена к Рождеству и анонс написан в стихах. Предложенный JIT примечателен очень высокой скоростью генерации кода, простотой сопровождения и полной интеграцией с интерпретатором. Предложенный метод позволяет автоматически преобразовать интерпретатор, написанный на языке Си, в JIT-компилятор, без отдельного формирования логики генерации кода и без ручного создания ассемблерных представлений. При таком подходе исправление ошибки в интерпретаторе автоматически приведёт и к устранению той же проблемы в JIT, так как используется общий генератор кода. … Читать далее Для Python предложен JIT-компилятор, использующий технику copy-and-patch

В подсистеме Netfilter выявлена уязвимость (CVE-2023-6817), потенциально позволяющая локальному пользователю повысить свои привилегии в системе. Проблема вызвана обращением к памяти после её освобождения (use-after-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables. Уязвимость проявляется начиная с версии ядра Linux 5.6. Исправление уязвимости предложено в тестовом выпуске ядра Linux 6.7-rc5 и перенесено в актуальные стабильные ветки 5.10.204, 5.15.143, 6.1.68 и 6.6.7. Проблема вызвана ошибкой в функции nft_pipapo_walk, из-за которой в процессе перебора элементов PIPAPO (Pile Packet Policies) не проверялось наличие дубликатов, что приводило к двойному освобождению памяти. Для проведения атаки требуется наличие доступа к nftables, который можно получить при наличии прав … Читать далее Локальная уязвимость в ядре Linux, эксплуатируемая через nftables

Джонас Дресслер (Jonas Dressler) из проекта GNOME, развивающий редакцию GNOME Shell для мобильных устройств, опубликовал наработки, позволяющие запустить окружение Aliendalvik (AppSupport) в обычных дистрибутивах Linux. Aliendalvik представляет собой прослойку для мобильной платформы Sailfish, обеспечивающую запуск приложений, написанных для платформы Android. В ходе проведение обратного инжинирига Aliendalvik подготовлены патчи к композитному серверу Мutter, скрипты и обвязки над звуковым сервером и системой ввода, необходимые для запуска Aliendalvik вне окружения платформы Sailfish. Запуск Aliendalvik продемонстрирован на смартфонах Pinephone Pro и Oneplus 6, на которые был установлен в Arch Linux с оболочкой GNOME Mobile. Отмечается, что для взаимодействия Aliendalvik c пользовательским окружением Sailfish используются … Читать далее Запуск в Linux-дистрибутивах Android-окружения Aliendalvik из Sailfish

Состоялся релиз Ruby 3.3.0, динамического объектно-ориентированного языка программирования, отличающегося высокой эффективностью разработки программ и вобравшего в себя лучшие черты Perl, Java, Python, Smalltalk, Eiffel, Ada и Lisp. Код проекта распространяется под лицензиями BSD («2-clause BSDL») и «Ruby», которая ссылается на последний вариант лицензии GPL и полностью совместима с GPLv3. Основные улучшения: В основной состав включён парсер Prism, реализованный в форме Си-библиотеки libprism, задействованной в интерпретаторе CRuby, и gem-пакета на языке Ruby, предоставляющем общедоступный API для нисходящего рекурсивного разбора кода на языке Ruby, пригодный для использования в рабочих проектах вместо парсера Ripper. Из достоинств Prism отмечается хорошая переносимость и гибкая обработка … Читать далее Опубликован язык программирования Ruby 3.3

Компания Mozilla обновила наборы голосовых данных Common Voice, включающие примеры произношения более 200 тысяч человек. Данные опубликованы как общественное достояние (CC0). Предложенные наборы можно использовать в системах машинного обучения для построения моделей распознавания и синтеза речи. По сравнению с прошлым обновлением объём речевого материала в коллекции увеличился с 28.7 до 30.3 тысяч часов речи, из которых 19.7 тысяч часов прошли процедуру проверки. Число поддерживаемых языков увеличилось со 114 до 120 (добавлены идиш, латгальский, лигурийский, осетинский, телугу и западный сьерра-пуэбланский науатль). В подготовке материалов на английском языке приняли участие 90.67 тысяч человек, надиктовавших 3438 часов речи (было 88.9 тысяч участников и … Читать далее Обновление голосовых данных Mozilla Common Voice 16.0

В выпуске Fedora 40 предложено объединить содержимое каталогов /usr/bin и /usr/sbin, заменив каталог /usr/sbin на символическую ссылку, указывающую на /usr/bin. Преобразование /bin и /sbin в символические ссылки на /usr/bin и /usr/sbin было выполнено в 2012 году в Fedora 17. После сосредоточения всех исполняемых файлов в одном месте упоминание каталога /usr/sbin будет удалено из переменной окружения PATH. Предложение пока находится на стадии обсуждения и не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Отмечается, что разделение исполняемых файлов по каталогам bin и sbin является устаревшей практикой, которая потеряла смысл в современных дистрибутивах. Изначально подразумевалось, что … Читать далее В Fedora намерены объединить содержимое каталогов /usr/bin и /usr/sbin

Доступен выпуск проекта fheroes2 1.0.11, который воссоздаёт движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить из оригинальной игры Heroes of Might and Magic II. Основные изменения: В редакторе добавлена возможность размещать замки и города на карте приключений. Для редактора подготовлено окно выбора типа города для размещения и принадлежности игроку. Реализована возможность размещать водные объекты в редакторе карт. Разработан новый формат карт и возможность их сохранять и загружать (редактор пока не доступен пользователям). ИИ при атаке в бою … Читать далее Выпуск открытого движка Heroes of Might and Magic 2 — fheroes2 — 1.0.11

Разработчики проекта LLVM одобрили переход на новую схему формирования номеров версий продукта. По аналогии с проектами GCC и GDB, нулевой выпуск («N.0») в каждой новой ветке будет использоваться в процессе разработки, а первая стабильная версия будет снабжаться номером «N.1». Изменение позволит отделить сборки на основе находящейся в разработке ветки (mainline) от сборок ветки с финальными релизами. Например, при подготовке будущего выпуска разработка будет вестись с использованием нестабильной ветки LLVM 18.0, а первый стабильный релиз выйдет под номером 18.1.0. При необходимости каждые две недели будут формироваться корректирующие выпуски под номерами 18.1.1, 18.1.2 и т.п. В случае внесения в текущую ветку изменений, … Читать далее Проект LLVM меняет схему нумерации версий

Опубликован релиз программы для организации и обработки цифровых фотографий Darktable 4.6, который приурочен к десятилетию с момента формирования первого выпуска проекта. Darktable выступает в роли свободной альтернативы Adobe Lightroom и специализируется на недеструктивной работе с raw-изображениями. Darktable предоставляет большую подборку модулей для выполнения всевозможных операций по обработке фотографий, позволяет вести базу исходных фотографий, осуществлять наглядную навигацию по имеющимся снимкам и при необходимости выполнять операции корректировки искажений и улучшения качества, сохраняя при этом исходный снимок и всю историю операций с ним. Код проекта написан на языке Си и распространяется под лицензией GPLv3. Интерфейс построен с использованием библиотеки GTK. Бинарные сборки подготовлены … Читать далее Выпуск программы для обработки фотографий Darktable 4.6

Опубликован выпуск пакета GNU Autoconf 2.72, в котором поставляется набор M4-макросов для создания скриптов автоконфигурации для сборки приложений в различных Unix-подобных системах (на основе подготовленного шаблона выполняется генерация скрипта «configure»). В новой версии добавлена поддержка будущего стандарта языка Си — C23, публикация финальной версии которого ожидается в следующем году. Прекращена поддержка Си-компиляторов, использующих варианты языка до спецификации C89 (ANSI C), которые поддерживают только старый синтаксис объявления функций в стиле K&R (Керниган и Ритчи), поддержка которого прекращена в грядущем стандарте. Для работы теперь требуется как минимум версия GNU M4 1.4.8 (рекомендуется GNU M4 1.4.16). Для формирования некоторых компонентов Autoconf, используемых при … Читать далее Выпуск GNU Autoconf 2.72

Доступен выпуск проекта labwc 0.7 (Lab Wayland Compositor), развивающего композитный сервер для Wayland с возможностями, напоминающими оконный менеджер Openbox (проект преподносится как попытка создания альтернативы Openbox для Wayland). Из особенностей labwc называется минимализм, компактная реализация, широкие возможности настройки и высокая производительность. Код проекта написан на языке Си и распространяется под лицензией GPLv2. В качестве основы используется библиотека wlroots, развиваемая разработчиками пользовательского окружения Sway и предоставляющая базовые функции для организации работы композитного менеджера на базе Wayland. Из расширенных Wayland-протоколов поддерживаются wlr-output-management для настройки устройств вывода, layer-shell для организации работы оболочки рабочего стола и foreign-toplevel для подключения собственных панелей и переключателей окон. … Читать далее Выпуск labwc 0.7, композитного сервера для Wayland

Исследователи из Вустерского политехнического института (США) представили новый тип атаки Mayhem, использующий метод искажения битов в динамической оперативной памяти Rowhammer для изменения значений переменных в стеке, применяемых в программе в качестве флагов для принятия решения об успешности аутентификации и прохождения проверок безопасности. Практические примеры применения атаки продемонстрированы для обхода аутентификации в SUDO, OpenSSH и MySQL, а также для изменения результата проверок, связанных с безопасностью, в библиотеке OpenSSL. Атака может быть применена к приложениям, в которых при проверках используется сравнение отличий значений от нуля. Пример уязвимого кода: int auth = 0; … // код проверки, меняющий значение auth в случае успешной … Читать далее Mayhem — атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH