Опубликован выпуск высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера Angie 1.3.0, ответвлённого от Nginx группой бывших разработчиков проекта, уволившихся из компании F5 Network. Исходные тексты Angie доступны под лицензией BSD. Сопровождением разработки занимается компания «Веб-сервер«, образованная прошлой осенью и получившая инвестиции в размере 1 млн долларов. Среди совладельцев компании Веб-сервер: Валентин Бартенев (лидер команды, развивавшей продукт Nginx Unit), Иван Полуянов (бывший руководитель фронтэнд-разработчиков Rambler и Mail.Ru), Олег Мамонтов (руководитель команды техподдержки NGINX Inc) и Руслан Ермилов (ru@FreeBSD.org). Изменения в выпуске Angie 1.3.0: Предоставлена возможность указания более одного шаблона сопоставления URI в одной директиве «location«, что позволяет совмещать несколько обработчиков разных URI в … Читать далее Выпуск Angie 1.3.0, российского форка Nginx

Несколько опасных уязвимостей в сетевых устройствах, позволяющих выполнить свой код или получить управляющий доступ без прохождения аутентификации: В межсетевых экранах Juniper серий SRX и коммутаторах Juniper серий EX, построенных на базе Junos OS c web-интерфейсом J-Web, выявлена уязвимость (CVE-2023-36845), позволяющая прочитать содержимое любого файла в системе, в том числе файла с заданным во время начальной настройки root-паролем, или выполнить произвольный PHP-код через отправку запроса к web-интерфейсу без аутентификации. Пример выполнения функции phpinfo(): curl «http://10.12.72.1/?PHPRC=/dev/fd/0» —data-binary $’allow_url_include=1nauto_prepend_file=»data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg==»‘ Три уязвимости в беспроводных маршрутизаторах ASUS RT-AX55, RT-AX56U_V2 и RT-AC86U (CVE-2023-39238, CVE-2023-39239, CVE-2023-39240), связанные с отсутствием должной проверки входных данных перед использованием в функциях … Читать далее Уязвимости в сетевых устройствах Juniper, ASUS, D-Link, Tenda и NETGEAR

Представлен выпуск новой стабильной ветки WebKitGTK 2.42.0, порта браузерного движка WebKit для платформы GTK. WebKitGTK позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK, можно отметить штатный браузер GNOME (Epiphany). Ранее WebKitGTK применялся в браузере Midori, но после перехода проекта в руки Astian Foundation старый вариант Midori на WebKitGTK был заброшен и путём создания ответвления от браузера Wexond создан принципиально другой продукт с тем же названием Midori, но на основе платформы Electron … Читать далее Релиз браузерного движка WebKitGTK 2.42.0 и обновление проекта Servo

Проект GNOME опубликовал выпуск библиотеки Libadwaita 1.4, включающей набор компонентов для стилевого оформления интерфейса пользователя, соответствующего рекомендациям GNOME HIG (Human Interface Guidelines). Библиотека включает в себя готовые виджеты и объекты для построения приложений, соответствующих общему стилю GNOME, интерфейс которых может адаптивно подстраиваться под экраны любого размера. Код библиотеки написан на языке Си и распространяется под лицензией LGPL 2.1+. Библиотека libadwaita используется в сочетании с GTK4 и включает компоненты используемой в GNOME темы оформления Adwaita, которые были вынесены из GTK в отдельную библиотеку. Вынос элементов визуального оформления GNOME в отдельную библиотеку позволяет развивать необходимые для GNOME изменения отдельно от GTK, что … Читать далее Выпуск библиотеки Libadwaita 1.4 для создания интерфейсов в стиле GNOME

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 8.16. С момента выпуска версии 8.15 было закрыто 33 отчёта об ошибках и внесено 489 изменений. Наиболее важные изменения: Продолжено развитие функциональности, нацеленной на реализацию возможности использования Wine в окружениях на базе протокола Wayland без применения XWayland и компонентов X11. В драйвер winewayland.drv добавлена поддержка обработки событий wl_pointer, необходимых для взаимодействия с приложением при помощи мыши, а также реализована возможность обновления изображения курсора, используя растровое изображение курсора из Windows. Предложена начальная реализация API DirectMusic. Улучшена система регрессивных тестов. Закрыты отчёты об ошибках, связанные с работой приложений: GPS Track Editor, PC-Win ST 750-760, … Читать далее Выпуск Wine 8.16

Вышла новая версия статического анализатора кода cppcheck 2.12, позволяющего выявлять различные классы ошибок в коде на языках Си и Си++, в том числе при использовании нестандартного синтаксиса, типичного для встраиваемых систем. Предоставляется коллекция плагинов, через которые обеспечена интеграция cppcheck с различными системами разработки, непрерывной интеграции и тестирования, а также предоставлены такие возможности как проверка соответствия кода стилю оформления кода. Для разбора кода может применяться как собственный парсер, так и внешний парсер от Clang. В состав также входит скрипт donate-cpu.py для предоставления локальных ресурсов для выполнения работы по совместной проверке кода пакетов Debian. Исходные тексты проекта распространяются под лицензией GPLv3. Развитие … Читать далее Выпуск cppcheck 2.12, статического анализатора кода для языков C++ и С

В наборе компиляторов GCC выявлена уязвимость (CVE-2023-4039), позволяющая обойти режим «-fstack-protector», обеспечивающий защиту от атак, направленных на переполнение стека. Уязвимость проявляется только для приложений, собранных для архитектуры AArch64 и использующих динамическое выделение памяти для переменных. Проблема позволяет атакующему эксплуатировать уязвимости, приводящие к переполнению буфера при работе с динамически выделяемыми структурами, несмотря на включение защиты. Например, защиту можно обойти при выделения памяти при помощи функции alloca() или использовании в коде массивов переменной длины (VLA, Variable-Length Arrays), предоставляющих возможность указания переменной в качестве размера при создании массива («void foo(int n){ int m[n];»). Уязвимость не затрагивает ядро Linux, так как использование в коде … Читать далее Уязвимость в GCC, позволяющая обойти защиту от переполнения стека

Компания Google сообщила о продлении до 10 лет времени сопровождения устройств Chromebook, в течение которого формируются автоматические обновления. Изначально автоматические обновления выпускались для Chromebook в течение трёх лет, но затем время поддержки было продлено до шести лет, а в 2020 году до восьми лет. В качестве причины продления поддержки называется желание продлить жизненный цикл оборудования в школах, применяющих Chromebook в компьютерных классах. Изменение вступает в силу в следующем году и будет действовать для устройств, поступивших в продажу начиная с 2021 года, т.е. Chromebook-и выпущенные в 2021 году, будут получать обновления до 2031 года. Для устройств, выпущенных до 2021 года после … Читать далее Google продлил до 10 лет время поддержи устройств на базе ChromeOS

Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.7 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта. Среди изменений в новой версии: Обеспечена совместимость с ядрами Linux … Читать далее Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимостей в ядре Linux

После 11 месяцев разработки опубликована новая стабильная ветка СУБД PostgreSQL 16. Обновления для новой ветки будут выходить в течение пяти лет до ноября 2028 года. Поддержка PostgreSQL 11.x, самой старой из поддерживаемых веток, будет прекращена 9 ноября. Основные новшества: Механизм логической репликации, позволяющий транслировать на другой сервер изменения, вносимые в БД в ходе добавления, удаления или обновления записей, расширен возможностью реплицирования изменений с резервного сервера (standby). Например, в случае высокой нагрузки на первичный сервер резервный сервер можно использовать для передачи изменений на остальные вторичные системы. Добавлена поддержка двунаправленной логической репликации таблиц, позволяющая синхронизировать изменения в двух таблицах на разных серверах. … Читать далее Релиз СУБД PostgreSQL 16

Айки Доэрти (Ikey), основатель дистрибутива Solus, опубликовал заметку о последних тенденциях в разработке дистрибутива Serpent OS, на технологиях которого будет построен выпуск Solus 5. Основные моменты: Проект Serpent OS находился в состоянии относительного застоя из-за технических проблем, связанных с реализацией дополнительных средств для безопасной работы с памятью в языке программирования D и ограниченностью ресурсов для создания и поддержки пакетов на языке D, который ранее использовался для разработки инструментария Serpent OS. Айки Доэрти любит язык программирования D и ценит его выразительность и свободу творчества, в виду чего продолжит использовать D в своих личных проектах, с оптимизмом смотря на его будущее. После … Читать далее Serpent OS переходит на применение языков Rust, TypeScript и Go в инструментарии и инфраструктуре

Исследователи из Лаборатории Касперского выявили вредоносный deb-пакет с менеджером загрузок Free Download Manager (FDM), распространяемый через репозиторий deb.fdmpkg.org, на который после взлома ссылался официальный сайт проекта. Вредоносный код, осуществлявший отправку конфиденциальной информации и учётных данных, вызывался через обработчик, запускаемый пакетным менеджером на стадии завершения установки пакета (postinst). Версия FDM с вредоносной вставкой была опубликована в январе 2020 года и распространялась через официальный сайт проекта (freedownloadmanager.org) как минимум до обновления сайта в 2022 году. Разработчики Free Download Manager сообщили, что начали разбирательство и заявили о принятии мер по усилению защиты инфраструктуры, которые позволят предотвратить подобные инциденты в будущем. Пользователям, устанавливавшим Linux-сборки … Читать далее В deb-пакетах с Free Download Manager найден бэкдор, который оставался незамеченным три года

В Ubuntu 23.10 в инсталляторах, применяемых для установки серверной и настольной редакций дистрибтива, появится поддержка установки системы с использованием файловой системы ZFS на корневом разделе. В Ubuntu Desktop подобная возможность присутствовала и ранее, но была убрана в Ubuntu Desktop 23.04 из-за задействования нового инсталлятора, написанного на языке Dart и использующего пользовательский интерфейс на базе фреймворка Flutter. Одним из недостатков нового инсталлятора, который также используется в Ubuntu Server, было отсутствие поддержки ZFS, но в осеннем выпуске эта недоработка будет устранена, с одним ограничением — пока не реализована возможность создания шифрованных разделов ZFS. По умолчанию во всех редакциях Ubuntu продолжает предлагаться файловая … Читать далее В инсталляторе Ubuntu 23.10 будет возвращена поддержка ZFS

Разработчики проекта Fedora намерены перейти на использование пользовательского окружения KDE Plasma 6 в весеннем выпуске Fedora 40. Отмечается, что переход на KDE 6 позволит полностью прекратить поддержку сеанса на основе протокола X11, оставив только возможность использования Wayland. Поддержка запуска X11-приложений в сеансе на основе Wayland будет предоставлена при помощи DDX-сервера XWayland. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. В качестве причины прекращения поддержка сеанса с X11 упоминается перевод X.Org-сервера в RHEL 9 в категорию устаревших и решение полностью удалить его в будущем значительном выпуске RHEL 10. Среди факторов, способствующих оставлению … Читать далее В Fedora 40 планируют прекратить поддержу X11 в окружении KDE

Компания JetBrains представила новую интегрированную среду разработку RustRover, ориентированную на написание приложений на языке Rust. Среда RustRover нацелена на повышение эффективности разработки на языке Rust, удовлетворение потребностей связанной с Rust экосистемы и первичную поддержку данного языка. Проект будет развиваться как коммерческий продукт, но похожее окружение можно сформировать на основе бесплатной community-версии среды IntelliJ IDEA с плагином intellij-rust. В настоящее время для тестирования без ограничений доступен пререлиз RustRover, сборки которого подготовлены для Linux, macOS и Windows. Первый стабильный релиз RustRover планируют опубликовать до сентября 2024 года. Разработка базируется на существующем открытом плагине intellij-rust, добавляющем поддержу языка Rust в IDE CLion и … Читать далее JetBrains представил IDE RustRover и прекратил разработку открытого плагина intellij-rust

Марвин Бёрнер (Marvin Borner), автор функционального языка программирования Bruijn, в котором применяется лямбда-исчисление на основе индекса Брюйна, позволяющего обойтись при построении программы без имён переменных, разработал новый язык программирования Birb, в котором программа формируется только из emoji-значков разных птиц. Код реализации написан на языке Haskell и распространяется под лицензией MIT. Язык является полными по Тьюрингу и разработан по мотивам книги Рэймонда Смаллиана «Передразнить пересмешника и другие логические загадки, включая увлекательное путешествие в комбинаторную логику» («To Mock a Mockingbird«), в которой комбинаторная логика поясняется с использованием типовых комбинаторов, которым присвоены названия птиц. В языке Birb используется принцип комбинаторного программирования, в соответствии … Читать далее Язык программирования Birb, состоящий только из emoji-значков птиц

Компания Google представила релиз web-браузера Chrome 117. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 118 запланирован на 10 октября. Основные изменения в Chrome 117: Доступен для тестирования обновлённый интерфейс (включается через «chrome://flags#chrome-refresh-2023»), в котором предложено более «плоское» представление … Читать далее Релиз Chrome 117

Доступен корректирующий выпуск Firefox 117.0.1, в котором устранена уязвимость и исправлено несколько проблем. Отчёт с информацией об уязвимости пока не открывается, но внесённые в код исправления свидетельствуют о том, что устранена критическая уязвимость (CVE-2023-4863) в библиотеке libwebp, позволяющая выполнить код при обработке специально оформленных изображений в формате WebP. Не связанные с безопасностью исправления: Устранена ошибка, приводящая к аварийному завершению дополнений с длительно выполняемыми фоновыми работами. Временно отменено изменение поведения, запрещающее менять свойство URL.protocol (в дальнейшем запрет будет синхронно введён вместе с другими браузерами). Решена проблема с неработоспособностью звуковых worklet-ов на сайтах, использующих обработку исключений в WebAssembly. Устранена ошибка, из-за которой … Читать далее Обновление Firefox 117.0.1 с устранением уязвимости в WebP

Компания Google опубликовала обновление браузера Chrome 116.0.5845.187, в котором устранена критическая уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebP. Уязвимость позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day). Судя по недавним изменениям и информации из трекеров ошибок Debian и SUSE, уязвимость также затрагивает развиваемую Google библиотеку libwebp, используемую для поддержки формата WebP в движке Chromium и … Читать далее Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP

Опубликован десятый выпуск стартовых наборов на Десятой платформе ALT. Сборки на базе стабильного репозитория предназначены для опытных пользователей. Большинство стартеркитов представляют собой live-сборки, которые отличаются доступными для операционных систем ALT графическими окружениями рабочего стола и оконными менеджерами (DE/WM). При необходимости систему можно установить с помощью этих live-сборок. Следующее плановое обновление намечено на 12 декабря 2023 года. Стартеркиты доступны для архитектур x86_64, i586 и aarch64. Сборки основаны на ядрах Linux версии 5.10.194/6.1.51; в некоторых образах применены различные варианты. Для разных архитектур варианты сборки ядра также указаны отдельно. Изменения в десятом выпуске: В сборках для архитектур x86_64 и aarch64 (кроме xfce-sysv) задействовано … Читать далее Десятое обновление стартовых наборов ALT p10

Доступен выпуск проекта fheroes2 1.0.8, который воссоздаёт движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить из оригинальной игры Heroes of Might and Magic II. Основные изменения: Реализовано новое расширенное окно со списком сохранений. Улучшен алгоритм ИИ, отвечающий за маневрирование стрелками в бою. ИИ на низких сложностях ограничен в использовании заклинания «Портал». Добавлена возможность переводить вертикально ориентированные кнопки. Реализован корректный перенос слов в описаниях. Улучшены переводы на многие языки. Редактор карт теперь может генерировать ландшафт с плавными переходами. … Читать далее Выпуск открытого движка Heroes of Might and Magic 2 — fheroes2 — 1.0.8