После года разработки состоялся релиз новой стабильной ветки открытой коммуникационной платформы Asterisk 20, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходные тексты проекта доступны под лицензией GPLv2. Asterisk 20 отнесён к категории выпусков с расширенной поддержкой (LTS), обновления для которого будут выпускаться в течение пяти лет вместо свойственных для обычных выпусков двух лет. Поддержка прошлой LTS-ветки Asterisk 18 продлится до октября 2025 года, а ветки Asterisk 16 до октября 2023 года. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание … Читать далее Релиз коммуникационной платформы Asterisk 20

Опубликован релиз проекта CoreBoot 4.18, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. Код проекта распространяется под лицензией GPLv2. В создании новой версии приняло участие более 200 разработчиков, которые подготовили более 1800 изменений. Основные изменения: Добавлена поддержка 23 материнских плат, 19 из которых используется на устройствах с Chrome OS или на серверах Google. Среди не связанных с Googlе плат: MSI PRO Z690-A WIFI DDR4 AMD Birman AMD Pademelon Siemens MC APL7 Прекращена поддержка материнской платы Google Brya4ES. Добавлена поддержка SoC Intel Meteor Lake, Mediatek Mt8188 и AMD Morgana. В sconfig, компилятор структуры device tree, описывающей присутствующие аппаратные компоненты, … Читать далее Выпуск Coreboot 4.18

Состоялся релиз легковесного Live-дистрибутива AntiX 22, построенного на пакетной базе Debian и ориентированного для установки на устаревшее оборудование. Выпуск основан на пакетной базе Debian 11, но поставляется без системного менеджера systemd и с eudev вместо udev. Для инициализации на выбор могут использоваться runit или sysvinit. Пользовательское окружение по умолчанию сформировано при помощи оконного менеджера IceWM, но дополнительно в поставку включены fluxbox, jwm и herbstluftwm. Размер iso-образов: 1.5 ГБ (полный, включает LibreOffice), 820 МБ (базовый), 470 МБ (без графики) и 191 МБ (установка по сети). Сборки подготовлены для архитектур x86_64 и i386. В новом выпуске: Обновлены версии программ, включая ядро Linux … Читать далее Выпуск легковесного дистрибутива antiX 22

Сформирован выпуск основной ветки nginx 1.23.2, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.22.1, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В новых версиях устранены две уязвимости (CVE-2022-41741, CVE-2022-41742) в модуле ngx_http_mp4_module, применяемом для организации потокового вещания из файлов в формате H.264/AAC. Уязвимости могут привести к повреждению памяти или утечке содержимого памяти при обработке специально оформленного файла в формате mp4. В качестве последствий упоминается аварийное завершение рабочего процесса, но не исключаются и иные проявления, такие как организация выполнения кода на сервере. Примечательно, что похожая уязвимость уже устранялась … Читать далее Обновление nginx 1.22.1 и 1.23.2 с устранением уязвимостей

GitHub реализовал поддержку нового вида токенов доступа, которые могут выборочно определять полномочия конкретного разработчика или скрипта, охватывающие только те задачи, которые необходимы для выполнения работы. Ожидается, что выборочное предоставление доступа поможет снизить риск атак в случае компрометации учётных данных. Если ранее участник мог сформировать индивидуальные токены, предоставляющие доступ ко всем его репозиториям и организациям, то при помощи новых токенов владелец проекта может детализировать доступ, например, разрешить работу в режиме только для чтения или открыть выборочный доступ к определённым репозиториям. Всего к токену можно привязать более 50 полномочий, охватывающих различные операции с организациями, issues, репозиториями и пользователями. Возможно ограничение времени действия … Читать далее GitHub реализовал поддержку токенов для предоставления выборочного доступа

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 и 2.37.4, в которых устранены две уязвимости, проявляющиеся при применении команды «git clone» в режиме «—recurse-submodules» с непроверенными репозиториями и при использовании интерактивного режима работы «git shell». Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. CVE-2022-39253 — возможность манипуляции с файлами через размещение символических ссылок в каталоге $GIT_DIR/objects, клонируемого репозитория. Уязвимость позволяет атакующему, контролирующему содержимое клонируемого репозитория, например, организовать подстановку своего содержимого в Docker-контейнер. Проблема проявляется только при локальном клонировании (в режиме «—local«) или … Читать далее Уязвимости в Git, проявляющиеся при клонировании субмодулей и использовании git shell

Опубликован выпуск проекта Stratis 3.3, развиваемого компанией Red Hat и сообществом Fedora для унификации и упрощения средств настройки и управления пулом из одного или нескольких локальных накопителей. Stratis предоставляет такие возможности, как динамическое выделение места в хранилище, снапшоты, обеспечение целостности и создание слоёв для кэширования. Поддержка Stratis интегрирована в дистрибутивы Fedora и RHEL начиная с выпусков Fedora 28 и RHEL 8.2. Код проекта распространяется под лицензией MPL 2.0. Система во многом повторяет по своим возможностям расширенные средства управления разделами ZFS и Btrfs, но реализована в виде прослойки (демон stratisd), работающей поверх подсистемы device-mapper ядра Linux (используются модули dm-thin, dm-cache, dm-thinpool, … Читать далее Выпуск Stratis 3.3, инструментария для управления локальными хранилищами

Состоялся релиз Node.js 19.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 19 отнесён к ветке с обычным сроком поддержки, обновления для которой будут выпускаться до июня 2023 года. В ближайшие дни будет завершена стабилизация ветки Node.js 18, которая получит статус LTS и будет поддерживаться до апреля 2025 года. Сопровождение прошлой LTS-ветки Node.js 16.0 продлится до сентября 2023 года, а позапрошлой LTS-ветки 14.0 до апреля 2023 года. Основные улучшения: Движок V8 обновлён до версии 10.7, применяемой в Chromium 107. Из изменений в движке по сравнению с веткой Node.js 18 отмечается реализация третьей версии API Intl.NumberFormat, в которой добавлены новые … Читать далее Доступна серверная JavaScript-платформа Node.js 19.0

Состоялся релиз web-браузера Firefox 106. Кроме того, сформировано обновление ветки с длительным сроком поддержки — 102.4.0. На стадию бета-тестирования переведена ветка Firefox 107, релиз которой намечен на 15 ноября. Основные новшества в Firefox 106: Оформление окна просмотра сайтов в приватном режиме переделано так, чтобы его труднее было спутать с обычным режимом. Окно приватного режима теперь выводится с тёмным фоном панелей, а помимо специальной пиктограммы выводится и явное текстовое пояснение. В панель вкладок добавлена кнопка «Firefox View«, упрощающая доступ к ранее просматриваемому содержимому. При нажатии на кнопку открывается служебная страница со списком недавно закрытых вкладок и интерфейсом для просмотра вкладок на … Читать далее Релиз Firefox 106

Состоялся очередной релиз ErgoFramework 2.2, реализующего полный сетевой стек Erlang и его библиотеку OTP на языке Go. Фреймворк предоставляет разработчику гибкий инструментарий из мира Erlang для создания распределённых решений на языке Go с помощью готовых шаблонов проектирования общего назначения gen.Application, gen.Supervisor и gen.Server, а также специализированных — gen.Stage (distributed pub/sub), gen.Saga (distributed transactions, реализация шаблона проектирования SAGA) и gen.Raft (реализация протокола Raft). Помимо этого, фреймворк предоставляет функциональность прокси с возможностью сквозного шифрования, недоступного в Erlang/OTP и Elixir. Поскольку в языке Go отсутствует прямой аналог процесса Erlang, то во фреймворке используются goroutine как основы для gen.Server с обёрткой «recover» для возможности … Читать далее Выпуск фреймворка для создания сетевых приложений ErgoFramework 2.2

Некоммерческая организация Open 3D Foundation (O3DF) представила выпуск открытого игрового 3D-движка Open 3D Engine 22.10 (O3DE), пригодного для разработки современных игр класса AAA и высокоточных симуляторов, способных работать в режиме реального времени и обеспечивать качество кинематографического уровня. Код написан на С++ и опубликован под лицензией Apache 2.0. Имеется поддержка платформ Linux, Windows, macOS, iOS и Android. Исходные тексты движка O3DE были открыты в июле 2021 года компанией Amazon и основаны на коде ранее развиваемого проприетарного движка Amazon Lumberyard, построенного на технологиях движка CryEngine, лицензированных у компании Crytek в 2015 году. После открытия развитие движка курирует некоммерческая организация Open 3D Foundation, … Читать далее Выпуск игрового движка Open 3D Engine 22.10, открытого компанией Amazon

После четырёх лет разработки сформирован первый выпуск проекта libcamera (0.0.1), предлагающего программный стек для работы с видеокамерами, фотокамерами и TV-тюнерами в Linux, Android и ChromeOS, который продолжает развитие API V4L2 и со временем заменит его. Так как API библиотеки ещё продолжает меняться и окончательно не стабилизирован, до сих пор проект развивался без ответвления отдельных выпусков с использованием непрерывной модели разработки. В ответ на потребность дистрибутивов в отслеживании изменений API, влияющих на совместимость, и для упрощения поставки библиотеки в пакетах теперь принято решение периодически формировать релизы, отражающие степень изменения ABI и API. Код проекта написан на C++ и распространяется под лицензией … Читать далее Первый выпуск libcamera, стека для поддержки камер в Linux

Сформирован релиз специализированного дистрибутива Tails 5.5 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 ГБ. В новой версии задействовано ядро Linux 5.10.140, улучшена поддержка новых графических карт и беспроводных устройств. Tor Browser обновлён до выпуска 11.5.4, в который вошли исправлений уязвимостей, перенесённые из Firefox ESR 102.3. Для утилиты wget … Читать далее Выпуск дистрибутива Tails 5.5

В библиотеке LibKSBA, развиваемой проектом GnuPG и предоставляющей функции для работы с сертификатами X.509, выявлена критическая уязвимость (CVE-2022-3515), приводящая к целочисленному переполнению и записи произвольных данных за пределы выделенного буфера при разборе структур ASN.1, используемых в S/MIME, X.509 и CMS. Проблема усугубляется тем, что библиотека Libksba используется в пакете GnuPG и уязвимость может привести к удалённому выполнению кода атакующего при обработке в GnuPG (gpgsm) зашифрованных или подписанных данных из файлов или почтовых сообщений, использующих S/MIME. В простейшем случае для атаки на жертву, использующую почтовый клиент с поддержкой GnuPG и S/MIME, достаточно отправить специально оформленное письмо. Уязвимость также может использоваться для … Читать далее Уязвимость в LibKSBA, приводящая к выполнению кода при обработке S/MIME в GnuPG

Опубликован релиз языка программирования Crystal 1.6, разработчики которого пытаются совместить удобство разработки на языке Ruby с высокой производительностью приложений, свойственной языку Си. Синтаксис Crystal близок к языку Ruby, но не полностью совместим с ним, несмотря на то, что без переработки выполняются некоторые ruby-программы. Код компилятора написан на языке Crystal и распространяется под лицензией Apache 2.0. В языке применяется статическая проверка типов, реализованная без необходимости явного указания типов переменных и аргументов методов в коде. Программы на Crystal компилируются в исполняемые файлы, с вычислением макросов и генерацией кода во время компиляции. В программах на языке Crystal допускается подключение биндингов, написанных на языке … Читать далее Выпуск языка программирования Crystal 1.6

Разработчики сборки Rolling Rhino Remix объявили о трансформации проекта в отдельный дистрибутив Rhino Linux. Причиной создания нового продукта стал пересмотр целей и модели разработки проекта, который уже перерос состояние любительской разработки и стал выходить за рамки простой пересборки Ubuntu. Новый дистрибутив по-прежнему продолжит собираться на основе Ubuntu, но будет включать дополнительные утилиты и развиваться командой из нескольких разработчиков (к работе подключилось ещё два участника). В качестве рабочего стола будет предложено немного переработанная версия Xfce. В основной состав будет включён пакетный менеджер Pacstall, позиционируемый как аналог репозитория AUR (Arch User Repository) для Ubuntu, позволяющий сторонним разработчикам распространять свои пакеты без включения … Читать далее Представлен Rhino Linux, непрерывно обновляемый дистрибутив на основе Ubuntu

Доступен выпуск проекта Nuitka 1.1, развивающего компилятор для трансляции скриптов на языке Python в представление на языке C, которое затем можно скомпилировать в исполняемый файл, использующий libpython для обеспечения максимальной совместимости с CPython (используются штатные средства CPython для управления объектами). Обеспечена полная совместимость с актуальными выпусками Python 2.6, 2.7, 3.3 — 3.10. По сравнению с CPython скомпилированные скрипты демонстрируют в тестах pystone повышение производительности на 335%. Код проекта распространяется под лицензией Apache. Среди изменений в новой версии: Расширены возможности по заданию конфигурации в формате Yaml. Внесены оптимизации, связанные с исключением неиспользуемых компонентов стандартной библиотеки (zoneinfo, concurrent, asyncio и т.п.), которые … Читать далее Выпуск Nuitka 1.1, компилятора для языка Python

Сформированы новые загрузочные сборки дистрибутива Void Linux, который является самостоятельным проектом, не использующим наработки других дистрибутивов и разрабатываемый с применением непрерывного цикла обновления версий программ (rolling-обновления, без отдельных релизов дистрибутива). Прошлые сборки были опубликованы год назад. Кроме появления актуальных загрузочных образов на основе более свежего среза системы обновление сборок функциональных изменений не несёт и их использование имеет смысл только для новых установок (в уже установленных системах обновления пакетов доставляются по мере готовности). Сборки доступны в вариантах на базе системных библиотек Glibc и Musl. Для платформ x86_64, i686, armv6l, armv7l и aarch64 подготовлены Live-образы с рабочим столом Xfce и базовая консольная … Читать далее Обновление установочных сборок Void Linux

Компания Google объявила об открытии наработок, связанных с проектом KataOS, нацеленным на создание защищённой операционной системой для встраиваемого оборудования. Системные компоненты KataOS написаны на языке Rust и выполняются поверх микроядра seL4, для которого на системах RISC-V предоставлено математическое доказательство надёжности, свидетельствующее о полном соответствии кода спецификациям, заданным на формальном языке. Код проекта открыт под лицензией Apache 2.0. В системе обеспечена поддержка платформ на базе архитектур RISC-V и ARM64. Для симуляции работы seL4 и окружения KataOS поверх оборудования в процессе разработки используется фреймворк Renode. В качестве эталонной реализации предложен программно-аппаратный комплекс Sparrow, комбинирующий KataOS с защищёнными чипами на базе платформы OpenTitan. … Читать далее Google открыл код защищённой операционной системы KataOS

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 7.19. С момента выпуска версии 7.18 было закрыто 17 отчётов об ошибках и внесено 270 изменений. Наиболее важные изменения: Добавлена возможность сохранения DOS-атрибутов файлов на диск. Пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.5. Реализована поддержка формата сжатия звука MPEG-4 (AAC). Закрыты отчёты об ошибках, связанные с работой игр: Resident Evil Revelations 2; Ultimate Marvel vs Capcom 3, Kheops Studio, Sonic Adventure DX (2004), AIMP 3. Закрыты отчёты об ошибках, связанные с работой приложений: Visual Studio Express, .NET Framework 3.0, OpenMPT, HP … Читать далее Выпуск Wine 7.19

В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом «404», но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям. Определение имён пакетов в закрытых репозиториях может потребоваться для совершения атаки через смешивание зависимостей, манипулирующей пересечением имён зависимостей в публичных и внутренних репозиториях. Зная, какие внутренние NPM-пакеты … Читать далее Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях