Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, предупредил пользователей о публикации организацией MITRE, отвечающей за ведение базы данных общеизвестных уязвимостей, отчёта с информацией о ложной критической уязвимости. Проблеме присвоен CVE-идентификатор CVE-2020-19909 и выставлен уровень опасности 9.8 из 10, свойственный для удалённо эксплуатируемых уязвимостей, приводящих к выполнению кода с повышенными привилегиями. На деле отчёт об уязвимости ссылается на проблему в коде разбора параметра командной строки «—retry-delay», которая была устранена в 2019 году и приводила к целочисленному переполнению. Так как ошибка проявляется только при явной передаче некорректного значения при запуске утилиты из командной строки и … Читать далее В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах

Состоялся релиз web-браузера Firefox 117 и сформированы обновления ветки с длительным сроком поддержки — 115.2.0 и 102.15.0. На стадию бета-тестирования переведена ветка Firefox 118, релиз которой намечен на 26 сентября. Основные новшества в Firefox 116: У части пользователей включена по умолчанию самодостаточная система автоматизированного машинного перевода с одного языка на другой, выполняющая перевод на локальной системе пользователя без обращения к внешним облачным сервисам. В системе перевода задействован открытый движок Bergamot, представляющий собой обвязку над фреймворком машинного перевода Marian, в котором применяется рекуррентная нейронная сеть (RNN) и языковые модели на основе трансформеров. Предоставляются модели для английского, болгарского, датского, немецкого, французского, испанского, … Читать далее Релиз Firefox 117

Состоялся релиз легковесного Live-дистрибутива AntiX 23, построенного на пакетной базе Debian и ориентированного для установки на устаревшее оборудование. Выпуск основан на пакетной базе Debian 12, но поставляется без системного менеджера systemd и с eudev вместо udev. Для инициализации на выбор могут использоваться runit или sysvinit. Пользовательское окружение по умолчанию сформировано при помощи оконного менеджера IceWM, но дополнительно в поставку включены fluxbox, jwm и herbstluftwm. Размер iso-образов: 1.8 ГБ (полный, включает LibreOffice и 4 оконных менеджера – IceWM, fluxbox, jwm и herbstluftwm), 1 ГБ (базовый), 527 МБ (без графики) и 252 МБ (установка по сети). Сборки подготовлены для архитектур x86_64 и … Читать далее Выпуск легковесного дистрибутива antiX 23

Опубликован релиз KnotDNS 3.3.0, высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским реестром имен CZ.NIC, написан на языке Си и распространяется под лицензией GPLv3. KnotDNS отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DNS поверх HTTPS, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL). В новом выпуске: Добавлена полная поддержка DNS поверх протокола QUIC (DNS … Читать далее Выпуск DNS-сервера KnotDNS 3.3.0 с поддержкой DNS поверх QUIC

Доступен релиз проекта CoreBoot 4.21, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. Код проекта распространяется под лицензией GPLv2. В создании новой версии приняло участие более 140 разработчиков, которые подготовили 1200 изменений. Основные изменения: Добавлена поддержка 31 материнской платы. 11 добавленных плат используются на устройствах с Chrome OS или на серверах Google, а 10 на устройствах System76. Платы, не связанные с Googlе и System76: ByteDance ByteDance bd_egs HP Compaq Elite 8300 USDT HP EliteBook 820 G2 IBM SBP1 Intel Raptorlake на базе Alderlake-P RVP Inventec Transformers MSI PRO Z790-P (WIFI) MSI PRO Z790-P (WIFI) DDR4 Star Labs Star … Читать далее Выпуск Coreboot 4.21

Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.2, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Изначально проект развивался в Иллинойсском университете как исследовательская работа в области создания новых композитных графических интерфейсов, но затем трансформировался в отдельную операционную систему. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 6.3 МБ, который можно протестировать в QEMU, VMware или VirtualBox. В основе ToaruOS лежит ядро, использующее гибридную модульную архитектуру, сочетающую монолитную основу и средства для использования загружаемых модулей, в виде которых … Читать далее Выпуск операционной системы ToaruOS 2.2 и языка программирования Kuroko 1.4

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.5. Среди наиболее заметных изменений: поддержка механизма управления питанием Intel TPMI, системный вызов cachestat, продолжение интеграции поддержки языка Rust, поддержка протокола Unaccepted Memory, поддержка векторных инструкций RISC-V, механизм «fprobe-events», перевод в разряд устаревших механизма распределения памяти SLAB, режим «data-only» в Overlayfs, режим монтирования «beneath». В новую версию принято 14674 исправлений от 2016 разработчиков, размер патча — 78 МБ (изменения затронули 17646 файлов, добавлено 1294205 строк кода, удалено 930515 строк). Около 32% всех представленных в 6.5 изменений связаны с драйверами устройств, примерно 26% изменений имеют отношение к обновлению кода, специфичного для … Читать далее Релиз ядра Linux 6.5

Доступен релиз операционной системы Chrome OS 116, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 116. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 116 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex. Основные изменения в Chrome OS 116: В файловом менеджере появилась поддержка одновременного поиска файлов на локальном накопителе и в облачном хранилище … Читать далее Выпуск Chrome OS 116

Спустя два с половиной года с момента прошлого значительного выпуска опубликован релиз Linux-дистрибутива Mageia 9, в рамках которого независимым сообществом энтузиастов развивается форк проекта Mandriva. Для загрузки доступны 32- и 64-разрядные установочные сборки (4.3 ГБ) и набор Live-сборок (3.4-3.8 ГБ) на базе GNOME, KDE и Xfce. Ключевые улучшения: Обновлены версии пакетов, включая ядро Linux 6.4.3, glib 2.36, gcc 12.3.0, rpm 4.18.0, DNF 4.14.0 (опция), Mesa 23.1.3, X.Org 21.1.8, XWayland 22.1.9, Chromium 114.0.5735.198, Firefox ESR 102.13, LibreOffice 7.5.4.2, Python 3.10.11, Perl 5.36, Ruby 3.1.4, Rust 1.70, PHP 8.2. Обновлены версии рабочих столов KDE Plasma 5.27.5, GNOME 44.2, Xfce 4.18.4, Cinnamon 5.6, … Читать далее Выпуск дистрибутива Mageia 9, форка Mandriva Linux

Представлено августовское сводное обновление приложений (23.08), развиваемых проектом KDE. Напомним, что сводный набор приложений KDE c апреля 2021 года публикуется под именем KDE Gear, вместо KDE Apps и KDE Applications. Всего в рамках обновления опубликованы выпуски 544 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Наиболее заметные новшества: В файловом менеджере Dolphin по умолчанию скрыты временные файлы и файлы с резервными копиями. Добавлен индикатор прогресса расчёта размера элементов. В информационной панели обеспечено отображение сведений о выделенном файле, а не файле на котором находится курсор. Реализована поддержка быстрого дублирования вкладки через двойной … Читать далее Выпуск KDE Gear 23.08, набора приложений от проекта KDE

Объявлено о создании организации OpenTF, которая будет развивать форк платформы управления конфигурацией и автоматизации поддержания инфраструктуры Terraform. Разработку планируют перевести под покровительство организации Linux Foundation для дальнейшего развития платформы на нейтральной площадке Cloud Native Computing Foundation при участии заинтересованных в проекте компаний и энтузиастов. Присоединение к Linux Foundation позволит гарантировать сохранение открытого характера платформы и защитить проект от изменений в политике отдельных компаний. В настоящее время уже подготовлены все необходимые документы для присоединения проекта к Linux Foundation. О своей поддержке новой организации и намерении участвовать в разработке форка объявили 108 компаний, 11 проектов и 416 индивидуальных разработчиков. В качестве причины … Читать далее Организация OpenTF создала форк платформы управления конфигурацией Terraform

Компания Canonical опубликовала обзор развития дистрибутива Ubuntu Desktop. В статье также упомянуто, что сборками Ubuntu для рабочих столов пользуется более 6 млн активных пользователей (данные на основе месячных срезов статистики доставки обновлений). Судя по рейтингу Stack Overflow дистрибутивом Ubuntu Desktop пользуется 27.28% из 87 тысяч опрошенных разработчиков (для сравнения Debian используют 8.39% опрошенных, Arch Linux — 8.06%, Fedora — 4.37%, RHEL — 2.14%, Chrome OS — 1.88%, BSD — 0.96%). Среди активных Linux-пользователей игрового сервиса Steam, доля Ubuntu 22.04.2 составляет 7.38%, SteamOS — 42.07%, Arch Linux — 7.94%, Linux Mint 21.1 — 3.84%, Manjaro Linux — 4.29%. Среди изменений, намеченных … Читать далее Опубликованы ближайшие планы развития Ubuntu Desktop

В поставляемом в ядре Linux драйвере для файловой системы exFAT выявлена уязвимость (CVE-2023-4273), позволяющая при монтировании специально оформленного раздела (например, при подключении вредоносного USB Flash) добиться переполнения стека и выполнения своего кода с правами ядра. Проблема пока устранена в экспериментальном выпуске ядра Linux 6.5-rc5. Проследить за исправлением в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch. Уязвимость присутствует в функции exfat_get_uniname_from_ext_entry, выполняющей реконструкцию длинных имён через чтение полей с именем файла из индекса каталога и слияния частей имени в итоговое длинное имя. Отсутствия проверки размера при копировании имени файла в буфер, размещённый в стеке, может привести … Читать далее Уязвимость в Linux-драйвере exFAT, позволяющая поднять привилегии в системе

Проект AlmaLinux объявил о создании двух новых репозиториев, в которых будут публиковать пакеты, отличающиеся от Red Hat Enterprise Linux. В репозитории Synergy началась поставка дополнительных пакетов, изначально отсутствующих в пакетной базе RHEL и репозитории EPEL, но востребованных пользователями AlmaLinux. Synergy преподносится как дополнение к EPEL, поэтому в случае появления аналогичного пакета в EPEL, его вариант от AlmaLinux будет удалён из Synergy. В настоящее время в репозитории Synergy уже опубликованы пакеты c пользовательским окружением Pantheon, развиваемым проектом Elementary OS. В состав также входят сопутствующие приложения и компоненты, такие как zeitgeist, rygel, plank, gala, folks pantheon, gupnp, switchboard, xcursorgen, granite, mdbtools, malcontent, … Читать далее AlmaLinux ввёл в строй репозитории с дополнительными пакетами

Стефан Грабе (Stéphane Graber), лидер проекта Linux Containers, член управляющего технического совета Ubuntu и участник команд, отвечающих за выпуск релизов Ubuntu, объявил о создании репозитория Zabbly, в котором началась публикация пакетов со свежими выпусками ядра Linux для Debian и LTS-выпусков Ubuntu. Представленный репозиторий позволит использовать в Ubuntu и Debian «ванильные» версии ядра, более новые, чем ядра из пакетов, поставляемых через штатную систему обновлений. Пакеты формируются для Ubuntu 20.04 LTS, Ubuntu 22.04 LTS и Debian 12 в сборках для архитектур x86_64 и aarch64. Новые версии пакетов планируется публиковать еженедельно по мере выпуска новых корректирующих обновлений ядра. После выхода новой значительно версии … Читать далее Для Debian и Ubuntu создан репозиторий со свежими версиями ядра Linux

Опубликованы корректирующие обновления языка программирования Python 3.11.5, 3.10.13, 3.9.18 и 3.8.18, в которых устранена уязвимость (CVE-2023-40217) в классе ssl.SSLSocket, позволяющая обойти процесс согласования TLS-соединения и связанные с ним процессы, такие как проверка сертификата. Успешная атака может привести к обработке незашифрованных данных так, как если бы они были переданы с использованием корректного TLS-соединения. Проблема вызвана тем, что после создания сокета имеется небольшое окно, во время которого принятые и помещённые в буфер сокета данные будут обработаны как прочитанные от клиента, если соединение будет закрыто до того, как начнётся процесс согласования TLS-соединения. Для совершения атаки достаточно установить соединение, сразу отправить данные и закрыть … Читать далее В Python устранена уязвимость в реализации TLS

Проект OpenMandriva опубликовал релиз OpenMandriva ROME 23.08, редакции дистрибутива, использующей модель непрерывной доставки обновлений (rolling-выпуски). Предложенная редакция позволяет получить доступ к новым версиям пакетов, развиваемым для ветки OpenMandriva Lx 5, не дожидаясь формирования классического дистрибутива. Для загрузки подготовлены iso-образы размером 1.8-2.9 ГБ c рабочими столами KDE, GNOME и LXQt, поддерживающие загрузку в Live-режиме. Сборки для KDE и LXQt подготовлены в вариантах x86_64 и «znver1» (сборка, оптимизированная для процессоров AMD Ryzen, ThreadRipper и EPYC). Сборки с KDE поставляются в урезанном (1.9 ГБ) и полном вариантах (2.8 ГБ). Дополнительно опубликована серверная сборка, а также образы для плат RaspberryPi 4 и RaspberryPi 400. … Читать далее Выпуск дистрибутива OpenMandriva ROME 23.08

25 августа 1991 года после пяти месяцев разработки 21-летний студент Линус Торвальдс объявил в телеконференции comp.os.minix о создании рабочего прототипа новой операционной системы Linux, для которой было отмечено завершение портирования bash 1.08 и gcc 1.40. Первый публичный выпуск ядра Linux был представлен 17 сентября. Ядро 0.0.1 имело размер 62 Кб в сжатом виде и содержало около 10 тысяч строк исходного кода. Современное ядро Linux насчитывает более 30 млн строк кода. По данным исследования, проведённого в 2010 году по заказу Евросоюза, приблизительная стоимость разработки с нуля проекта, аналогичного современному ядру Linux, составила бы более миллиарда долларов США (расчёт производился, когда в … Читать далее Ядру Linux исполнилось 32 года

Опубликован релиз языка программирования общего назначения Rust 1.72, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения … Читать далее Выпуск Rust 1.72. Решение поставлять пакет serde_derive только в скомпилированном виде

Представлен выпуск инструментария Tor 0.4.8.4, используемого для организации работы анонимной сети Tor. Версия Tor 0.4.8.4 признана первым стабильным выпуском ветки 0.4.8, которая развивалась последние 15 месяцев. Ветка 0.4.8 будет поддерживаться в рамках штатного цикла сопровождения — выпуск обновлений будет прекращён через 9 месяцев или через 3 месяца после релиза ветки 0.4.9.x. Основные изменения в новой ветке: Реализован протокол разделения трафика Conflux, позволяющий повысить пропускную способность и надёжность соединений, благодаря разделению трафика к выходному узлу на два потока, проходящего через разные цепочки узлов. Пары conflux-цепочек выбираются из предварительно построенного пула, после исчерпания которого выполняется откат на применение обычных цепочек. При отправке … Читать далее Выпуск новой стабильной ветки Tor 0.4.8

В приложении openSUSE-welcome, применяемом в дистрибутиве openSUSE для ознакомления новых пользователей с особенностями системы, выявлена уязвимость (CVE-2023-32184), позволяющая выполнить код с правами другого пользователя. Приложение openSUSE-welcome запускается автоматически после первого входа пользователя в систему и в случае выбора графического окружения Xfce предлагает возможность включения альтернативных вариантов раскладки элементов на рабочем столе. Обработчик, выполняющий выбор раскладки, некорректно обрабатывал временные файлы, что позволяло другому пользователю организовать выполнение своего кода с правами жертвы, перешедшего к выбору раскладки рабочего стола Xfce. Уязвимость вызвана тем, что в методе PanelLayouter::applyLayout() использовался фиксированный каталог «/tmp/layout» для сохранения tar-архива с настройками Xfce. Архив с настройками обрабатывался через вызов … Читать далее Уязвимость в приложении openSUSE-welcome, позволяющая выполнить код под другим пользователем