Агентство национальной безопасности США опубликовало отчёт с анализом рисков появления уязвимостей, вызванных ошибками при работе с памятью, такими как обращение к области памяти после её освобождения и выход за границы буфера. Организациям рекомендовано по возможности уйти от использования языков программирования, таких как Си и Си++, перекладывающих управление памятью на разработчика, в пользу языков, обеспечивающих автоматическое управление памятью или выполняющих проверки безопасной работы с памятью во время компиляции. В числе рекомендованных языков, позволяющих снизить риск появления ошибок, вызванных небезопасной работой с памятью, названы C#, Go, Java, Ruby, Rust и Swift. В качестве примера упоминается статистика компаний Microsoft и Google, в соответствие … Читать далее АНБ рекомендует переходить на языки программирования, безопасно работающие с памятью

Барри Каулер (Barry Kauler), основатель проекта Puppy Linux, опубликовал экспериментальный дистрибутив EasyOS 4.5, совмещающий технологии Puppy Linux с использованием контейнерной изоляции для запуска компонентов системы. Управление дистрибутивом производится через развиваемый проектом набор графических конфигураторов. Размер загрузочного образа 825 МБ. В новом выпуске: Ядро Linux обновлено до версии 5.15.78. В ядре при компиляции включены настройки для улучшения поддержки KVM и QEMU, а также включено использование TCP syncookie для защиты от флуда SYN-пакетами. Панель, используемая для просмотра IP TV на рабочем столе, обновлена до версии MK8. Разработка сборочной системы woofQ перенесена на GitHub. Обновлены версии пакетов, в том числе предложены Firefox 106.0.5, … Читать далее Выпуск EasyOS 4.5, самобытного дистрибутива от создателя Puppy Linux

Разработчики почтового клиента Thunderbird представили новое оформление календаря-планировщика, которое будет предложено в следующем значительном выпуске проекта. Переработаны практические все элементы календаря, включая диалоги, всплывающие окна и подсказки. Оформление оптимизировано для повышения наглядности отображения загруженных графиков, в которых присутствует большое число событий. Расширены возможности для адаптации интерфейса под свои предпочтения. В сводном представлении событий за месяц сужены колонки с событиями в субботу и воскресенье, чтобы выделить больше экранного пространства событиям в рабочие дни. Пользователь может управлять данным поведением и адаптировать его для собственного графика работы, самостоятельно определяя какие из дней недели можно сворачивать. Операции с календарём, ранее предлагаемые в панели инструментов, … Читать далее В Thunderbird появится переработанный календарь-планировщик

Доступен выпуск проекта fheroes2 0.9.21, который воссоздает движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II или из оригинальной игры. Основные изменения: Улучшены алгоритмы организации войск у героев ИИ, а также оптимизировано исследование карты. Добавлено новое меню с настройками графики, через которое можно выбрать полноэкранный или оконный режим, изменить разрешение экрана и включить V-sync для монитора. Добавлено новое меню выбора языков. Добавлена поддержка чешского, венгерского и датского языков. Доработаны … Читать далее Выпуск открытого движка Heroes of Might and Magic 2 — fheroes2 — 0.9.21

Компания Kudelski Security, специализирующаяся на проведении аудита безопасности, опубликовала инструментарий Shufflecake, который позволяет создавать скрытые файловые системы, размазанные по имеющемуся свободному пространству в существующих разделах и не отличимые от случайных остаточных данных. Разделы создаются таким образом, что не зная ключ доступа существование их проблематично доказать даже при проведении криминалистического анализа. Код утилит (shufflecake-userland) и модуля ядра Linux (dm-sflc) написан на языке Си и распространяется под лицензией GPLv3, что делает невозможным включение опубликованного модуля ядра в основной состав ядра Linux из-за несовместимости с лицензией GPLv2, под которой поставляется ядро. Проект позиционируется как более совершенное, чем Truecrypt и Veracrypt, решение для скрытия … Читать далее Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске

Состоялся выпуск открытого видеоплеера MPV 0.35, в 2013 году ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного переноса новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения остающегося GPL-кода можно использовать опцию «—enable-lgpl». Среди изменений в новой версии: Добавлен новый модуль вывода vo_gpu_next, построенный на основе libplacebo и использующий шейдеры и графические API Vulkan, OpenGL, Metal или Direct3D 11 для обработки и отрисовки видео. Добавлена поддержка сборочной системы … Читать далее Релиз видеоплеера MPV 0.35

Компания Google опубликовала выпуск аудиокодека Lyra 1.3, нацеленного достижение высокого качества передачи голоса в условиях ограниченного объёма передаваемой информации. Для решения поставленной задачи помимо обычных методов сжатия звука и преобразования сигналов, в Lyra применяется речевая модель на базе системы машинного обучения, позволяющая воссоздать недостающую информацию на основе типовых характеристик речи. Эталонная реализация кода написана на C++ и распространяется под лицензией Apache 2.0. В отличие от предложенного в октябре выпуска Lyra 1.2, переведённого на новую архитектуру нейронной сети, в версии 1.3 проведена оптимизация модели машинного обучения без кардинальных архитектурных изменений. В новой версии для хранения весов и арифметических операций вместо 32-разрядных … Читать далее Обновление открытого аудиокодека Lyra 1.3

В эмуляторе терминала xterm выявлена уязвимость (CVE-2022-45063), позволяющая добиться исполнения shell-команд при обработке в терминале определённых escape-последовательностей. Для атаки в простейшем случае достаточно вывести на экран содержимое специально оформленного файла, например, при помощи утилиты cat, или вставить строку из буфера обмена. printf «e]50;i$(touch /tmp/hack-like-its-1999)ae]50;?a» > cve-2022-45063 cat cve-2022-45063 Проблема вызвана ошибкой при обработке escape-последовательности с кодом 50, применяемой для установки или получения параметров шрифта. Если запрошенный шрифт не существует, операция возвращает заданное в запросе имя шрифта. Напрямую управляющие символы вставить в имя нельзя, но возвращаемая строка может быть завершена последовательностью «^G», которая в zsh при активности режима редактирования строк в … Читать далее Уязвимость в xterm, приводящая к выполнению кода при обработке определённых строк

Опубликован инструментарий Wa-tunnel, позволяющий пробрасывать TCP-трафик через другой хост, используя туннель, работающий поверх мессенджера WhatsApp. Подобные манипуляции могут оказаться полезными при необходимости получения доступа к внешней сети из окружений, в которых доступен только мессенджер, или для экономии трафика при подключении к сетям или провайдерам, предоставляющим безлимитные опции для трафика мессенджеров (например, неограниченный доступ к WhatsApp предоставляется в бортовых сетях самолётов некоторых авиакомпаний). Код написан на языке JavaScript с использованием Node.js и распространяется под лицензией MIT. Для взаимодействия с API WhatsApp используется библиотека Baileys. Для организации туннеля требуются две учётные записи в WhatsApp — одна используется на стороне клиента, а другая … Читать далее Опубликован Wa-tunnel для туннелирования трафика через мессенджер WhatsApp

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 7.21. С момента выпуска версии 7.20 было закрыто 25 отчётов об ошибках и внесено 354 изменения. Наиболее важные изменения: Библиотека OpenGL переведена на использование формата исполняемых файлов PE (Portable Executable) вместо ELF. Добавлена поддержка многоархитектурных сборок в формате PE. Проведена подготовка к поддержке запуска 32-разрядных программ, использующих графический API Vulkan, в 64-разрядном окружении. Предоставлена возможность импортирования библиотек без использования утилиты dlltool. Обновлены данные локалей. Закрыты отчёты об ошибках, связанные с работой игр: StarBurn 13, Euphoria, Darksiders Genesis, The Medium, Hotel Giant 2, Port Royale 2, Gothic 1. Закрыты отчёты об ошибках, связанные … Читать далее Выпуск Wine 7.21 и GE-Proton7-41

В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление затрагивает основную кодовую базу Android, вероятно, что проблема касается и прошивок от других производителей. Проблема устранена в ноябрьском наборе исправлений проблем с безопасностью для Android. Обративший внимание не проблему исследователь получил от компании Google вознаграждение, размером 70 тысяч долларов. Проблема вызвана неверной обработкой разблокировки после введения PUK-кода (Personal Unblocking Key), применяемого для возобновления работы SIM-карты, заблокированной после многократного неверного введения PIN-кода. Для отключения блокировки экрана достаточно установить в телефон свою SIM-карту, в … Читать далее Уязвимость в Android, позволяющая обойти блокировку экрана

GitHub опубликовал отчёт с анализом статистики за 2022 год. Основные тенденции: За 2022 год было создано 85.7 млн новых репозиториев (за 2021 год — 61 млн, за 2020 — 60 млн), принято более 227 млн pull-запросов и закрыто 31 млн уведомлений о проблемах (issue). В GitHub Actions за год выполнено 263 млн автоматизированных работ. Общее число репозиториев достигло отметки в 339 млн. Общий вклад участников во все проекты оценивается в 3.5 миллиарда действий (коммиты, issue, pull-запросы, обсуждения, рецензии и т.п.). За 2022 год выполнено 413 млн подобных действий. Аудитория GitHub за год выросла на 20.5 млн пользователей и достигла 94 … Читать далее GitHub опубликовал статистику за 2022 год и представил программу грантов открытым проектам

Сформирован выпуск дистрибутива AlmaLinux 8.7, синхронизированный c дистрибутивом Red Hat Enterprise Linux 8.7 и содержащий все предложенные в данном выпуске изменения. Сборки подготовлены для архитектур x86_64, ARM64, s390x и ppc64le в форме загрузочного (820 МБ), минимального (1.7 ГБ) и полного образа (11 ГБ). Позднее планируют сформировать Live-сборки, а также образы для плат Raspberry Pi, WSL, контейнеров и облачных платформ. Дистрибутив полностью бинарно совместим с Red Hat Enterprise Linux 8.7 и может использоваться в качестве прозрачной замены CentOS 8. Изменения сводятся к ребрендингу, удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. Дистрибутив AlmaLinux основан компанией CloudLinux в ответ … Читать далее Доступен дистрибутив AlmaLinux 8.7, продолжающий развитие CentOS 8

Компания Red Hat опубликовала релиз Red Hat Enterprise Linux 8.7. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Ветка 8.x сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находится на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на … Читать далее Релиз дистрибутива Red Hat Enterprise Linux 8.7

Доступен выпуск прослойки DXVK 2.0, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.3, таких как Mesa RADV 22.0, NVIDIA 510.47.03, Intel ANV 22.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D 9/10/11, работающих поверх OpenGL. Основные изменения: Повышены требования к версии графического API Vulkan — для работы теперь требуется драйвер с поддержкой Vulkan 1.3 (ранее был необходим Vulkan 1.1), что позволило … Читать далее Выпуск DXVK 2.0, реализации Direct3D 9/10/11 поверх API Vulkan

Компания Microsoft представила значительный выпуск открытой платформы .NET 7, созданной благодаря унификации продуктов .NET Framework, .NET Core и Mono. На основе .NET 7 можно создавать многоплатформенные приложения для браузера, облачных систем, рабочего стола, IoT-устройств и мобильных платформ, используя единые библиотеки и общий процесс сборки, не зависящий от типа приложения. Сборки .NET SDK 7, .NET Runtime 7 и ASP.NET Core Runtime 7 сформированы для Linux, macOS и Windows. .NET Desktop Runtime 6 поставляется только для Windows. Связанные с проектом наработки распространяются под лицензией MIT. Сопровождение ветки .NET 7 будут осуществляться в течение 18 месяцев до 14 мая 2024 года. В состав … Читать далее Microsoft опубликовал открытую платформу .NET 7

Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, обратил внимание разработчиков на присутствующий в коде ядра Linux грязный хак, изменяющий поведение для процессов, имя которых начинается на символ «X». На первый взгляд подобные исправления обычно применяются в руткитах для оставления скрытой лазейки в привязке к процессу, но разбор показал, что изменение было добавлено в 2019 году для временного устранения всплывшего нарушения совместимости с пространством пользователя, в соответствии с принципом, что изменения в ядре не должны нарушать совместимость с приложениями. Проблемы возникали при попытке использования механизма атомарного изменения видеорежима в применяемом в X.Org-сервере DDX-драйвере xf86-video-modesetting, чем и была обусловлена привязка к … Читать далее Избавление ядра Linux от кода, меняющего поведение для процессов, начинающихся на символ X

Компания Altair в рамках проекта OpenRADIOSS открыла исходные тексты пакета RADIOSS, который является аналогом LS-DYNA и предназначен для решения задач механики сплошных сред, таких как расчёт прочности инженерных конструкций в высоконелинейных задачах, связанных с большими пластическими деформациями исследуемой среды. Код открыт пол лицензией AGPLv3. К решаемым проектом задачам относятся проблемы обработки металлов давлением, листовой штамповки, быстропротекающие процессы, требующие наличия уравнения состояния. Дополнительно поддерживается механика жидкости и газа в классической эйлеровской формулировке, подходом Лагранжа-Эйлера и методом сглаженных частиц. Отличие OpenRADIOSS от коммерческой версии RADIOSS на текущий момент заключается в отсутствии возможности шифровать файлы проекта. В качестве постпроцессора используется ParaView. Источник: http://www.opennet.ru/opennews/art.shtml?num=58080 Читать далее Опубликованы исходные тексты инженерного пакета RADIOSS

Платформа совместной разработки SourceHut анонсировала предстоящее изменение условий использования. Новые условия, которые начнут действовать с 1 января 2023 года, запрещают размещение содержимого, связанного с криптовалютами и блокчейном. После начала действия новых условий в том числе планируют удалить все ранее размещённые подобные проекты. По отдельному запросу в службу поддержки для легальных и полезных проектов может быть сделано исключение. Также допускается восстановление удалённых проектов после рассмотрения апелляций. Приём пожертвований в криптовалюте не подпадает под запрет, хотя и выделен как не рекомендованный способ поддержки. В качестве причины запрета криптовалют называется обилие мошеннических, криминальных, вредоносных и вводящих в заблуждение разработок в этой сфере, что … Читать далее Платформа совместной разработки SourceHut запрещает размещение проектов, связанных с криптовалютами

Состоялся релиз Phosh 0.22.0, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и теперь также используется в postmarketOS, Mobian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру squeekboard. Наработки проекта распространяются под лицензией GPLv3+. В новом выпуске обновлён визуальный стиль и изменено оформление кнопок. В индикаторе заряда аккумулятора реализована градация изменения состояния с шагом 10%. В уведомлениях, размещаемых на … Читать далее Выпуск Phosh 0.22, GNOME-окружения для смартфонов. Сборки Fedora для мобильных устройств

Представлен релиз Linux-дистрибутива Clonezilla Live 3.0.2, предназначенного для быстрого клонирования дисков (копируются только используемые блоки). Задачи, выполняемые дистрибутивом сходны с проприетарным продуктом Norton Ghost. Размер iso-образа дистрибутива — 363 МБ (i686, amd64). Дистрибутив основан на Debian GNU/Linux и в своей работе использует код таких проектов, как DRBL, Partition Image, ntfsclone, partclone, udpcast. Возможна загрузка с CD/DVD, USB Flash и по сети (PXE). Поддерживаются LVM2 и ФС ext2, ext3, ext4, reiserfs, reiser4, xfs, jfs, btrfs, f2fs, nilfs2, FAT12, FAT16, FAT32, NTFS, HFS+, UFS, minix, VMFS3 и VMFS5 (VMWare ESX). Имеется режим массового клонирования по сети, в том числе с передачей трафика … Читать далее Выпуск дистрибутива Clonezilla Live 3.0.2