Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости: CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки). CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса «HTTP Request Smuggling» на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка «If:». Наиболее заметные изменения, … Читать далее Релиз http-сервера Apache 2.4.55 с устранением уязвимостей

Исследователи из команды Google Project Zero разработали метод эксплуатации уязвимостей в ядре Linux, вызванных разыменованием указателей NULL. До сих пор проблемам в ядре, связанным с разыменованием указателей NULL, не уделялось должного внимания, так как доведение таких проблем до атак, приводящих к повышению привилегий или выполнению своего кода, считалось нереалистичным (непривилегированным процессам запрещён маппинг в нижней области адресного пространства). Как правило подобные ошибки приводят к генерации ядром oops-предупреждений, после которых проблемные задачи завершаются и состояние восстанавливается без необходимости остановки работы системы. Новый метод атаки основывается на особенности обработки состояний «oops», в результате которых можно добиться увеличения значения счётчика ссылок (refcount), что … Читать далее Предложен метод эксплуатации разыменования NULL-указателей в ядре Linux

Компания T-Mobile раскрыла сведения об инциденте, в результате которого злоумышленники смогли загрузить персональные данные 37 млн клиентов. Для совершения атаки использовались недоработки в реализации API, доступного без авторизации. Вредоносная активность была обнаружена 5 января, разбор показал, что извлечение данных производилось с 25 ноября 2022 года. В руки атакующих попали такие данные как ФИО, адрес, email, номер телефона, дата рождения, номер учётной записи в T-Mobile и сведения о тарифах и оказываемых услугах. Пароли и сведения о платежах не пострадали. Источник: http://www.opennet.ru/opennews/art.shtml?num=58517 Читать далее Уязвимость в API привела к утечке персональных данных 37 млн клиентов T-Mobile

Компания Apple разрешила Музею компьютерной истории опубликовать исходные тексты операционной системы Lisa OS, которая c 1983 по 1986 год использовалась в персональных компьютерах Apple Lisa. Дополнительно разрешена публикация и набора приложений для Lisa OS, таких как LisaWrite, LisaCalc, LisaDraw, LisaGraph, LisaProject, LisaList и LisaTerminal. Код опубликован (zip-архив 1.1 МБ) под лицензией CHM Software License Agreement. Операционная система Lisa OS обладала передовыми характеристиками для ОС начала 1980-х годов, в том числе поддерживала систему защиты памяти и виртуальную память, многозадачность, ФС с разделением файлов по директориям (прообраз HFS), предоставляла графический интерфейс с набором приложений для решения прикладных задач. Для разработки использовался язык … Читать далее Опубликованы исходные тексты программного окружения компьютера Apple Lisa

Состоялся выпуск набора интернет-приложений SeaMonkey 2.53.15, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60.8 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox). В новой версии: Из Firefox перенесена поддержка механизма Promise и вызовов для манипуляциями микрозадачами, таких как queueMicrotask(). Удалены обработчик contentPrefService и вызовы для верификации сертификатов, выполнявшиеся в … Читать далее Выпуск браузеров SeaMonkey 2.53.15 и Tor Browser 12.0.2

Доступен выпуск проекта pandoc 3.0, развивающего библиотеку и утилиту командной строки для преобразования форматов разметки текста. Поддерживается конвертация между более чем 50 форматами, включая docbook, docx, epub, fb2, html, latex, markdown, man, odt и различные wiki-форматы. Поддерживается подключение произвольных обработчиков и фильтров на языке Lua. Код написан на языке Haskell и распространяется под лицензией GPLv2. В новой версии в отдельные пакеты выделены pandoc-server, pandoc-cli и pandoc-lua-engine. Расширена поддержка языка Lua. Добавлен новый выходной формат chunkedhtml для генерации zip-архива с несколькими HTML-файлами. Значительно улучшена поддержка сложных картинок (блоки figure). Добавлено расширение mark для подсветки текста в формате Markdown. Добавлена большая порция … Читать далее Выпуск pandoc 3.0, пакета для преобразования текстовой разметки

Опубликован отчёт о составе окружений пользователей GNOME, подготовленный на основе данных, полученных в результате сбора телеметрии у 2560 пользователей, добровольно воспользовавшихся инструментом gnome-info-collect для отправки информации о своих системах. Полученные данные позволят разработчикам понять предпочтения пользователей и учесть их при принятии решений, связанных с повышением удобства работы и развитием оболочки. Используемые дистрибутивы: Fedora 54.69% Arch 18.64% Ubuntu 10.61% Manjaro 5.56% Наличие поддержки Flatpak: Flatpak установлен 93.13% Flatpak не установленн 6.87% Браузер по умолчанию: Firefox 73.14% Chrome 11.64% Brave 4.76% GNOME Web 1.99% Vivaldi 1.91% LibreWolf 1.79% Chromium 1.71% Junction 1.55% Microsoft Edge 1.51% Производитель оборудования: Lenovo 23.54% Dell 15.01% ASUS … Читать далее Отчёт GNOME с обобщением данных, полученных после сбора телеметрии

Разработчики Debian сообщили о достижении первой стадии заморозки пакетной базы Debian 12 «Bookworm», которая подразумевает прекращение выполнения «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing), а также прекращение обновления пакетов, необходимых для сборки (build-essential). На 12 февраля 2023 года запланирован переход к мягкой заморозке пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. На 12 марта 2023 года намечена жёсткая заморозка перед релизом, при которой процесс переноса ключевых пакетов и пакетов без autopkgtests из unstable в testing будет полностью остановлен и начнётся … Читать далее Debian 12 перешёл на первую стадию заморозки перед релизом

Опубликован новый выпуск gpupdate, инструмента для применения групповых политик в дистрибутивах «Альт». Механизмы gpupdate применяют групповые политики на машинах-клиентах как на системном уровне, так и для отдельных пользователей. Инструмент gpupdate является частью альтернативного решения компании «Базальт СПО» по реализации доменной инфраструктуры Active Directory под Linux. Приложение поддерживает работу в доменной инфраструктуре MS AD или Samba DC. Код gpupdate написан на языке Python и распространяется под лицензией GPLv3+. Установить gpupdate можно из стабильной ветки p10 репозиториев ALT. Принцип работы gpupdate основан на реализации групповых политик в Linux, в составе которого политики хранятся в каталоге SysVol на контроллерах домена. GPOA, подмодуль gpupdate, … Читать далее Выпуск инструмента применения групповых политик gpupdate 0.9.12

Разработчики проекта SQLite начали тестирование экспериментального бэкенда HCtree, поддерживающего блокировку на уровне строк (row) и обеспечивающего высокий уровень распараллеливания при обработке запросов. Новый бэкенд нацелен на повышение эффективности использования SQLite в клиент-серверных системах, в которых приходится обрабатывать большое число одновременных запросов к БД на запись. Структуры b-tree, изначально применяемые в SQLite для хранения данных, не рассчитаны на подобный вид нагрузки, что ограничивает SQLite возможностью записи только в один поток. В качестве эксперимента разработчики стали развивать альтернативное решение, использующее для хранения структуры HC-tree, более подходящие для распараллеливания операций записи. Для организации одновременного выполнения нескольких операций в HCtree записи применяется механизм разделения … Читать далее Разработчики SQLite развивают бэкенд HC-tree с поддержкой параллельных операций записи

В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2023-22809), позволяющая локальному пользователю отредактировать любой файл в системе, что, в свою очередь, позволяет добиться получения прав root через изменение /etc/shadow или системных скриптов. Для эксплуатации уязвимости требуется, чтобы в файле sudoers пользователю было предоставлено право запускать утилиту sudoedit или «sudo» с флагом «-e». Уязвимость вызвана отсутствием должной обработки символов «—» при разборе переменных окружения, определяющих программу, вызываемую для редактирования файла. В sudo последовательность «—» используется для отделения редактора и аргументов от списка редактируемых файлов. Атакующий может добавить в переменные окружения SUDO_EDITOR, VISUAL или EDITOR последовательность … Читать далее Уязвимость в sudo, позволяющая изменить любой файл в системе

Представлен выпуск GCompris 3.0, свободного обучающего центра для детей дошкольного и младшего школьного возраста. Пакет предоставляет более 180 мини-уроков и модулей, предлагающих от простейшего графического редактора, головоломок и клавиатурного тренажера до уроков математики, географии и обучения чтению. GCompris использует библиотеку Qt и развивается сообществом KDE. Готовые сборки сформированы для Linux, macOS, Windows, Raspberry Pi и Android. В новой версии: Добавлены 8 новых уроков, общее число уроков доведено до 182: Тренажёр кликанья мышью, вырабатывающий навыки работы с манипулятором мышь. Урок «Создание дробей», наглядно знакомящий с дробями при помощи круговых или прямоугольных диаграмм. Урок «Поиск дробей», предлагающий определить дробь на основе показанной … Читать далее Выпуск GCompris 3.0, обучающего набора для детей от 2 до 10 лет

Инженеры из компании Сollabora опубликовали отчёт о реализации проекта по обеспечению сборки системной библиотеки GNU C Library (glibc) с использованием инструментария LLVM (Clang, LLD, compiler-rt) вместо GCC. До последнего времени Glibc оставался одним из значительных компонентов дистрибутивов, поддерживающих сборку только при помощи GCC. Сложности адаптации Glibc для сборки при помощи LLVM вызваны как различиями в поведении GCC и Clang при обработке некоторых конструкций (например, выражений с символом $, вложенных функций, меток в asm-блоках, типов long double и float128), так и необходимостью замены runtime с libgcc на compiler-rt. Для обеспечения сборки Glibc при помощи LLVM подготовлено около 150 патчей для окружения … Читать далее Реализована возможность сборки Glibc при помощи инструментария LLVM

Разработчики проекта OpenBSD опубликовали выпуск системы управления версиями Got 0.80 (Game of Trees), при разработке которой основной акцент делается на простоте устройства и использования. Для хранения версионированных данных Got использует хранилище, совместимое с дисковым форматом репозиториев Git, что позволяет работать с репозиторием при помощи инструментариев Got и Git. Например, при помощи Git можно выполнять работы, не реализованные в Got. Код распространяется под свободной лицензией ISC. Проект ставит основной целью сопровождение разработки OpenBSD с оглядкой на специфику проекта. Среди прочего, в Got применяются принятые в OpenBSD правила обеспечения безопасности (например, разделение привилегий и использование вызовов pledge и unveil) и стиль кодирования. … Читать далее Выпуск git-совместимой системы управления версий Got 0.80

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.39.1, 2.38.3, 2.37.5, 2.36.4, 2.35.6, 2.34.6, 2.33.6, 2.32.5, 2.31.6 и 2.30.7, в которых устранены две уязвимости, позволяющие организовать выполнение своего кода на системе пользователя при использовании команды «git archive» и работе с не заслуживающими доверия внешними репозиториями. Уязвимости вызваны ошибками в коде форматирования коммитов и разборе файла «.gitattributes», которые при обработке внешних репозиториев могут привести к записи в область памяти за пределами кучи и чтению произвольных данных из памяти. Обе уязвимости были выявлены в ходе аудита безопасности кодовой базы Git, проведённого компанией X41 по заказу фонда OSTIF (Open Source Technology Improvement … Читать далее Две уязвимости в Git, способные привести к удалённому выполнению кода

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.0.6, в котором отмечено 14 исправлений. Одновременно сформировано обновление прошлой ветки VirtualBox 6.1.42 с 15 изменениями, в числе которых поддержка ядер Linux 6.1 и 6.2, а также ядер из состава RHEL 8.7/9.1/9.2, Fedora (5.17.7-300), SLES 15.4 и Oracle Linux 8. Основные изменения в VirtualBox 7.0.6: В дополнениях для хостов и гостевых систем на базе Linux реализована поддержка ядра из дистрибутива RHEL 9.1 и начальная поддержка ядра UEK7 (Unbreakable Enterprise Kernel 7 ) из Oracle Linux 8. В дополнениях для гостевых систем на базе Linux добавлена начальная поддержка сборки драйвера vboxvideo для ядра … Читать далее Выпуск VirtualBox 7.0.6

Состоялся релиз дистрибутива Lakka 4.3, позволяющего превратить компьютеры, телеприставки или одноплатные компьютеры в полноценную игровую консоль для запуска ретроигр. Проект является модификацией дистрибутива LibreELEC, изначально рассчитанного на создание домашних кинотеатров. Сборки Lakka формируются для платформ i386, x86_64 (GPU Intel, NVIDIA или AMD), Raspberry Pi 1-4, Orange Pi, Banana Pi, Hummingboard, Cubox-i, Odroid C1/C1+/XU3/XU4 и т.д. Для установки достаточно записать дистрибутив на SD-карту или USB-накопитель, подключить геймпад и загрузить систему. В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых игр при помощи шейдеров, … Читать далее Выпуск Lakka 4.3, дистрибутива для создания игровых консолей

Состоялся релиз web-браузера Firefox 109. Кроме того, сформировано обновление ветки с длительным сроком поддержки — 102.7.0. На стадию бета-тестирования в ближайшее время будет переведена ветка Firefox 110, релиз которой намечен на 14 февраля. Основные новшества в Firefox 109: По умолчанию включена поддержка третьей версии манифеста Chrome, который определяет возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Поддержка второй версии манифеста в обозримом будущем будет сохранена. Так как третья версия манифеста стала объектом критики и приведёт к нарушению работы некоторых дополнений для блокирования нежелательного контента и обеспечения безопасности, компания Mozilla отошла от обеспечения полной совместимости с манифестом в … Читать далее Релиз Firefox 109

Доступен релиз Plop Linux 23.1, Live-дистрибутива с подборкой утилит для выполнения текущих задач системного администратора, таких как восстановление системы после сбоя, проведение резервного копирования, восстановления операционной системы, проверки защищенности системы и автоматизации выполнения типовых задач. В составе дистрибутива на выбор предлагается два графических окружения — Fluxbox и Xfce. Поддерживается загрузка дистрибутива на соседней машине через PXE. Проект развивается независимо и не основан на пакетных базах других дистрибутивов. Размер полного iso-образа 2.9 ГБ (i486, x86_64, ARMv6l), сокращённого — 400 МБ (i486, x86_64). В новой версии обновлены версии 183 пакетов. Добавлены сборки для систем ARM. Из 32-разрядных сборок удалён FTP-клиент Filezilla (из-за … Читать далее Релиз Plop Linux 23.1, Live-дистрибутива для нужд системного администратора

Разработчики браузерного движка Servo, написанного на языке Rust, объявили о получении финансирования, которое поможет возродить проект. В качестве первых задач упоминается возвращение к активной разработке движка, восстановление сообщества и привлечение новых участников. В течение 2023 года планируется заняться улучшением системы компоновки страниц (layout system) и добиться рабочей поддержки CSS2. Стагнация проекта продолжалась с 2020 года, после того как компания Mozilla уволила команду, развивавшую Servo, и передала проект организации Linux Foundation, в которой для разработки планировалось сформировать сообщество из заинтересованных разработчиков и компаний. До преобразования в независимый проект движок развивался работниками Mozilla в сотрудничестве с компанией Samsung. Движок написан на языке … Читать далее Возобновлена активная разработка браузерного движка Servo

После почти двух лет с момента публикации прошлой значительной ветки состоялся релиз открытого медиацентра Kodi 20.0, ранее развивавшийся под именем XBMC. Медиацентр предоставляет интерфейс для просмотра Live TV и управления коллекцией фотографий, фильмов и музыки, поддерживает навигацию по телешоу, работу с электронным телегидом и организацию видеозаписи по расписанию. Готовые установочные пакеты доступны для Linux, FreeBSD, Raspberry Pi, Android, Windows, macOS, tvOS и iOS. Код проекта распространяется под лицензией GPLv2+. Изначально проект был нацелен на создание открытого мультимедийного плеера для игровой приставки XBOX, но в процессе развития трансформировался в кросс-платформенный медиацентр, работающий на современных программных платформах. Из интересных функций Kodi, можно … Читать далее Релиз открытого медиацентра Kodi 20.0