Опубликован релиз набора системных утилит GNU Binutils 2.40, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, strings, strip. В новой версии: Добавлена поддержка расширений наборов команд процессоров: Intel (RAO-INT, MSRLIST, WRMSRNS, CMPccXADD, AVX-VNNI-INT8, AVX-IFMA, PREFETCHI, AMX-FP16). ARM (XTheadBa, XTheadBb, XTheadBs, XTheadCmo, XTheadCondMov, XTheadFMemIdx, XTheadFmv, XTheadInt, XTheadMemIdx, XTheadMemPair, XTheadMac, XTheadSync, Cortex-X1C). RISC-V (Zawrs). Добавлена поддержка чтения (—decompress-debug-sections) и генерации (—compress-debug-sections=zstd) отладочных секций, сжатых с использованием алгоритма zstd. Поддержка сжатия секций при помощи zstd добавлена в утилиты ld, gas, addr2line и objdump. Добавлена поддержка формата SFRAME с информацией о раскрутке стека вызовов (unwind). Для вывода содержимого секции … Читать далее Выпуск GNU Binutils 2.40

После восьми месяцев разработки опубликован выпуск консольного файлового менеджера Midnight Commander 4.8.29, распространяемого в исходных текстах под лицензией GPLv3+. Список основных изменений: Добавлены новые фильтры содержимого, показываемого в панели: показ только файлы, отсеивание по маске без учёта регистра символов и использование шаблонов в стиле shell. Реализована возможность продолжения копирования после прерывания операции (например, после случайного нажатия Esc во время копирования). Для выбора порядка сортировки (операция «Sort order») в меню возвращена горячая клавиша «S» (в прошлом выпуске была заменена на «O»), а горячая клавиша для «SFTP link» заменена c «S» на «N». Добавлена поддержка кросс-компиляции с разными путями к Perl во … Читать далее Выпуск файлового менеджера Midnight Commander 4.8.29

Доступен релиз операционной системы Chrome OS 109, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 109. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 109 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex. Основные изменения в Chrome OS 109: Обеспечено запоминание нескольких ранее выбранных звуковых устройств, что позволяет обойтись без смены устройства для вывода … Читать далее Доступна операционная система Chrome OS 109

В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2023-0179), потенциально позволяющая локальному пользователю поднять свои привилегии в системе и выполнить код на уровне ядра. Исследователями подготовлены прототипы эксплоитов (будут опубликованы в течение нескольких дней), позволяющие локальному пользователю поднять свои права до root в системе или получить сведения об адресах в стеке и куче. Проблема проявляется начиная с выпуска ядра 5.5 и вызвана ошибкой в арифметической операции для определения размера данных, извлекаемых из заголовка VLAN (вместо «ethlen -= offset + len — VLAN_ETH_HLEN — vlan_hlen» было указано «ethlen -= offset + len — VLAN_ETH_HLEN + … Читать далее Уязвимость в nftables, позволяющая повысить свои привилегии

Опубликован выпуск инструментария Ventoy 1.0.88, предназначенного для создания загрузочных USB-носителей, включающих несколько операционных систем. Программа примечательна тем, что обеспечивает возможность загрузки ОС из неизменных ISO, WIM, IMG, VHD и EFI-образов, не требуя распаковки образа или переформатирования носителя. Например, достаточно просто скопировать на USB Flash с загрузчиком Ventoy интересующий набор iso-образов и Ventoy обеспечит возможность загрузки находящихся внутри операционных систем. В любой момент можно заменить или добавить новые iso-образы просто скопировав новые файлы, что удобно для тестирования и предварительного ознакомления с различными дистрибутивами и операционными системами. Код проекта написан на языке Си и распространяется под лицензией GPLv3. Ventoy поддерживает загрузку на … Читать далее Выпуск Ventoy 1.0.88, инструментария для загрузки произвольных систем с USB-носителей

Опубликован релиз набора системных утилит Toybox 0.8.9, как и BusyBox оформленного в виде единого исполняемого файла и оптимизированного для минимального потребления системных ресурсов. Проект развивается бывшим мэйнтейнером BusyBox и распространяется под лицензией 0BSD. Основным назначением Toybox является предоставление производителям возможности использования минималистичного набора стандартных утилит без открытия исходных текстов модифицированных компонентов. По возможностям Toybox пока отстаёт от BusyBox, но уже реализовано 306 базовых команд (231 полностью и 75 частично) из 384 запланированных. Из новшеств Toybox 0.8.9 можно отметить: В дополнение к команде nbd-client добавлена новая команда nbd-server с реализацией серверной части сетевого блочного устройства (NBD, Network Block Device). Проведена оптимизация … Читать далее Выпуск минималистичного набора системных утилит Toybox 0.8.9

Опубликованы корректирующие выпуски инструментария Tor 0.4.5.16 и 0.4.7.13, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, связанная с нарушением работы защиты от утечки DNS-запросов через локальный резолвер при подключении клиента через SOCKS4. Tor Browser не использует SOCKS4, поэтому проблема его не касается. При установке в torrc параметра «SafeSocks 1» в Tor включается режим блокирования запросов, в которых фигурируют IP-адреса вместо имён хостов, так как подобные запросы могут свидетельствовать, что домен открытого через Tor сайта уже определён локальным резолвером, а не полностью транслирован через Tor (т.е. владелец прописанного в параметрах системы DNS-сервера может узнать к какому домену … Читать далее Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости, связанной с утечкой DNS-запросов

Компания Google объявила о включении языка программирования Rust в число языков, допустимых в коде проекта Chromium. Существующий код пока не планируют переписывать на Rust, но отныне будет разрешена интеграция в кодовую базу сторонних библиотек, написанных на Rust. В сборочную систему уже добавлен инструментарий для компиляции кода на языке Rust, проведения тестов и интеграции компонентов на Rust с кодом на C++. Появление кода на Rust в составе выпусков Chrome ожидается в следующем году. К претендующим на интеграцию в кодовую базу Chromium сторонним библиотекам на Rust предъявляется ряд требований, например, библиотека должна превосходить аналоги по скорости, потреблению памяти и стабильности или быть … Читать далее В кодовой базе Chromium разрешено использование языка Rust

Опубликовано обновление продукта Альт Образование 10.1 на основе Деcятой платформы ALT (p10 Aronia). Сборки подготовлены для платформ x86_64, AArch64, i586. Дистрибутив предназначен для образовательных учреждений и внесён в Единый реестр российских программ и баз данных. Продукт поставляется в рамках Лицензионного договора, который предоставляет возможность свободного использования физическими лицами, но юридическим лицам допускается только тестирование, а для использования требуется приобрести коммерческую лицензию или заключить лицензионный договор в письменной форме. Новшества Альт Образование 10.1: Добавлена поддержка российских удостоверяющих центров (УЦ) (пакет ca-certificates-digital.gov.ru). Система программирования PascalABC.NET дополнена графической средой. Пользователям 32-битной версии предложен веб-браузер Mozilla Firefox, в остальные версии включён Chromium. Добавлена поддержка … Читать далее Выпуск дистрибутива Альт Образование 10.1

Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.9, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости — iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов. В новой версии: В утилиту arptables-nft добавлен флаг «—exact» для вывода информации о числе пакетов и трафике в развёрнутом представлении без приведения к килобайтам, мегабайтам и т.п. Добавлена сборочная опция —enable-profiling, … Читать далее Выпуск пакетного фильтра iptables 1.8.9

Представлен значительный выпуск платформы Discourse 3, предназначенной для ведения линейных обсуждений, которые применяются многими открытыми проектами вместо списков рассылки, web-форумов и чатов. Поддерживается разделение тем на основе тегов, отправка уведомлений о появлении ответов на сообщения, обновление списка сообщений в темах в режиме реального времени, динамическая загрузка содержимого по мере чтения, возможность подписки на интересующие разделы и отправки ответов по email. Система написана на языке Ruby с использованием фреймворка Ruby on Rails и библиотеки Ember.js (данные хранятся в СУБД PostgreSQL, быстрый кэш хранится в Redis). Код распространяется под лицензией GPLv2. Ключевые новшества: Добавлена реализация чата, позволяющего общаться участникам в режиме реального … Читать далее Выпуск платформы для ведения обсуждений Discourse 3.0

Разработчики дистрибутива Xubuntu представили новый вариант официальных сборок — Xubuntu Minimal, который дополнит штатные сборки Xubuntu Desktop и будет формироваться начиная с выпуска Ubuntu 23.04. В отличие от ранее предлагавшихся сборок, которые занимают 2.9 ГБ, новые сборки планируют уместить в объем классического CD-ROM (~700 МБ) за счёт поставки только базового пользовательского окружения Xfce без дополнительных приложений. Предполагается, что новая сборка будет полезна тем, кто предпочитает иной набор приложений, чем в предлагавшейся ранее базовой поставке. В Xubuntu Minimal набор устанавливаемых приложений пользователь сможет выбрать и загрузить из репозитория во время установки дистрибутива. С 2015 года похожие минимальные сборки Xubuntu Core неофициально … Читать далее Команда Xubuntu начнёт формировать минималистичные сборки

Состоялся релиз анонимной сети I2P 2.1.0 и C++-клиента i2pd 2.45.0. I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. Сеть строится в режиме P2P и образуется благодаря ресурсам (пропускной способности), предоставляемым пользователями сети, что позволяет обойтись без применения централизованно управляемых серверов (коммуникации внутри сети основаны на применении шифрованных однонаправленных туннелей между участником и peer-ами). В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Для построения и использования анонимных сетей для клиент-серверных (сайты, чаты) и P2P (обмен файлами, криптовалюты) … Читать далее Выпуск реализации анонимной сети I2P 2.1.0

Некоммерческая организация Natives in Tech, занимающаяся развитием технологической экосистемы для коренных народов, призвала сообщество Apache Software Foundation прекратить использование слова «Apache» и индейской символики в логотипе, в том числе переименовать все развиваемые под данным именем проекты. Для продвижения инициативы опубликована петиция, которую подписали 40 активистов. Использование слова Apache и присвоение идентичности коренных жителей в качестве бренда для достижения своих собственных целей воспринимается как недопустимая манипуляция культурными ценностями национальных меньшинств, искажающая представление об индейцах и основанная на стереотипах, установившихся после спагетти-вестернских фильмов. Связывание технологической компании c подобным романтическим представлением, в котором существующее и развивающееся индейское сообщество трактуется как мёртвое и ушедшее, … Читать далее Объединение индейцев добивается переименования проектов Apache

Опубликованы начальные варианты портов файловой системы HAMMER2 для NetBSD и FreeBSD. В настоящее время порты пока поддерживают работу только в режиме чтения, но в будущем для NetBSD планируется реализовать и поддержку записи (для FreeBSD поддержку записи добавлять не намерены). ФС HAMMER2 развивается разработчиками DragonFly BSD и примечательна такими функциями, как отдельное монтирование снапшотов, доступные на запись снапшоты, квоты на уровне директорий, инкрементальное зеркалирование, поддержка различных алгоритмов сжатия данных, возможность объединения нескольких дисковых томов, восстановление ошибок во время монтирования (без fsck), multi-master зеркалирование с распределением данных на несколько хостов. Источник: http://www.opennet.ru/opennews/art.shtml?num=58463 Читать далее Доступен порт файловой системы HAMMER2 для NetBSD и FreeBSD

В JavaScript-библиотеке JsonWebToken с реализацией технологии JSON Web Token (JWT) выявлена уязвимость (CVE-2022-23529), позволяющая добиться удалённого выполнения кода при верификации специально оформленного JWT-запроса. За последнюю неделю библиотека была загружена из каталога NPM более 10 млн раз. В качестве зависимости JsonWebToken задействован в более чем 22 тысячах пакетов, в которых используется для верификации и подписывания токенов JWT, применяемых для защищённой передачи информации в формате JSON. Уязвимость устранена в выпуске JsonWebToken 9.0.0. Уязвимость вызвана ошибкой в реализации метода verify, который принимает три параметра (токен, secretOrPublicKey и набор опций), после чего проверяет корректность токена и возвращает декодированное содержимое. В соответствии со спецификацией параметр … Читать далее RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн загрузок в неделю

Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 — с высокопоставленным госслужащими. Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль «Password-1234» использовался 478 сотрудниками, Password123$ — 318, Password1234 — 274, … Читать далее В ходе аудита удалось подобрать 21% паролей сотрудников МВД США

Компания Google представила релиз web-браузера Chrome 109. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 110 запланирован на 7 февраля. Основные изменения в Chrome 109: Возвращена поддержка языка разметки MathML Core (Mathematical Markup Language) для определения математических формул, встраиваемых … Читать далее Релиз Chrome 109 с поддержкой MathML

Компания Counterplay Games объявила об открытии исходных текстов игры Duelyst, сочетающей свойства карточной игры и пошаговой стратегии, в которой два игрока сражаются на тактическом поле боя, по очереди вытаскивая карты с существами и заклинаниями. Код написан на языке JavaScript и открыт как общественное достояние под лицензией CC0 1.0 (Creative Commons Zero v1.0 Universal). Готовые сборки клиентов подготовлены для Linux, Windows и macOS. Сервер можно запустить на своих мощностях или воспользоваться окружением staging.duelyst.org, которое также поддерживает игру в online через браузер. Дальнейшее развитие игры будет продолжено сообществом в рамках проекта OpenDuelyst, к разработке которого может присоединиться любой желающий. Ключевой целью проекта … Читать далее Открыты исходные тексты игры Duelyst

Опубликовано предложение по расширению языка Python — PEP-0703, в котором рассматривается добавление режима сборки CPython без глобальной блокировки интерпретатора (GIL, Global Interpreter Lock). Предложение сводится к оставлению по умолчанию GIL, но добавлению для его отключения сборочной опции «—without-gil». Спецификация пока находится на стадии черновика, подлежащего обсуждению. Новый режим позволит решить проблему с распараллеливанием операций на многоядерных системах, вызванную тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. По умолчанию отключение GIL нецелесообразно в связи с накладными расходами, связанными с изменениями в сборщике мусора, системе управления памятью и примитивах для организации блокировок. Например, из-за использования подсчёта … Читать далее В CPython появится возможность отключения глобальной блокировки интерпретатора

В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора). Атака может быть совершена в том числе на конфигурации, явно не использующие SSH для обращения к индексам или зависимостям, если в настройках Git разрешена замена HTTPS-соединений к GitHub на SSH (параметр url.‹base›.insteadOf), что … Читать далее Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust