Представлен выпуск GHC 9.4.6 (Glasgow Haskell Compiler), компилятора для функционального языка программирования Haskell, обеспечивающего эффективное распараллеливание вычислений и поддерживающего программную транзакционную память (STM, Software Transactional Memory). В компиляторе реализована полная поддержка спецификации Haskell 2010 и многочисленных языковых расширений. Компилятор поддерживает генерацию исполняемых файлов с машинным кодом, формирование байткода или трансляцию в исходные тексты на языке Си. Код проекта написан на языке Haskell и распространяется под лиценизей BSD. Основные изменения в этом выпуске: Исправление ошибок для упрощения выражений, исправление аварийных завершений компилятора, циклов и неправильной кодогенерации. Исправление ошибок проверки типов, включая семейства экземпляров newtype, улучшение работы сравнения типов и работа над … Читать далее Доступен GHC 9.4.6, компилятор для языка Haskell

Компания Google намерена реализовать несколько шагов для усиления использования HTTPS по умолчанию. Конечной целью является включение для всех пользователей режима HTTPS-First, выполняющего автоматическое перенаправление HTTP-запросов на HTTPS. Отмечается, что в настоящее время более 90% запросов отправляются пользователями Chrome с использованием HTTPS, но 5-10% трафика по-прежнему привязано к HTTP. Так как не все сайты пока поддерживают HTTPS и существуют конфигурации, в которых при обращении по HTTP и HTTPS отдаётся разное содержимое, перед повсеместным внедрением автоматического проброса на HTTPS решено реализовать ряд промежуточных мер. Начиная с Chrome 115 началось постепенное включение по умолчанию режима HTTPS-First для небольшого процента пользователей. Для обеспечения работы … Читать далее Инициатива по форсированию проброса на HTTPS в Chrome

Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.1.1, 1.0.2, 0.103.9, в которых устранена уязвимость (CVE-2023-20197), приводящая к отказу в обслуживании при сканировании в ClamAV файлов со специально оформленными дисковыми образами в формате HFS+. Это вторая за год уязвимость в парсере файлов HFS+: прошлая проблема позволяла выполнить свой код с правами процесса ClamAV и была отмечена наградой Pwnie Awards, как лучшая уязвимость за год, приводящая к удалённому выполнению кода. В выпуске ClamAV 1.0.2 также устранена специфичная для ветки 1.0.x уязвимость CVE-2023-20212, приводящая к отказу в обслуживании при разборе данных в формате AutoIt. Из не связанных с безопасностью исправлений можно … Читать далее Новые версии антивирусного пакета ClamAV 1.1.1, 1.0.2, 0.103.9 с устранением уязвимости

Доступен корректирующий выпуск Firefox 116.0.3, в котором предложены следующие исправления: Устранена ошибка в реализации протокола HTTP/3, при определённом стечении обстоятельств приводившая к зависанию браузера на 30-60 секунд после отправки поисковых запросов в Google. Потенциально проблема может проявиться и на других сервисах, использующих HTTP/3. Ошибка вызвана сбоем при попытке повторить запрос с другого IP-адреса после неудачной попытки установить соединение по IPv6/IPv4. Проблема возникла после включения в Firefox 116 настройки «network.http.http3.retry_different_ip_family», которую в качестве временного решения отключили в обновлении 116.0.3. Устранена проблема с предоставлением совместного доступа к экрану в окружениях на базе протокола Wayland. Решены проблемы с доступом к файлам в OPFS … Читать далее Обновление Firefox 116.0.3 с устранением зависаний при обращении к Google

На конференции Black Hat USA 2023 объявлены победители ежегодной премии Pwnie Awards 2023, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности. Основные победители: Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена уязвимости USB Excalibur (CVE-2022-31705) в реализации USB-контроллера, применяемого в продуктах виртуализации VMware ESXi, Workstation и Fusion. Уязвимость позволяет получить доступ к хост-окружению из гостевой системы и выполнить код с правами процесса VMX. Среди номинантов отмечается серия уязвимости в ядре Linux, связанная с использованием небезопасного макроса container_of(). Лучшая уязвимость, приводящая к удалённому выполнению кода. Победа … Читать далее Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности

Разработчики проекта Debian объявили о реализации порта «loong64» для систем на базе архитектуры набора команд LoongArch, применяемой в процессорах Loongson 3 5000 и реализующей RISC ISA, похожий на MIPS и RISC-V. Поддержка нового порта добавлена в сборочную инфраструктуру и официальный архив Debian. На текущем этапе интеграции на базе имеющейся в debian-ports пакетной базы для LoongArch собран набор из примерно 200 пакетов, который будет постепенно расширяться. Источник: http://www.opennet.ru/opennews/art.shtml?num=59617 Читать далее В Debian добавлена поддержка архитектуры LoongArch

Компания CodeWeavers выпустила релиз пакета Crossover 23.0, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 23.0 можно загрузить на данной странице. В новой версии: Кодовая база обновлена до версии Wine 8.0.1 (в прошлых выпусках использовался Wine 7.7). Движок Wine Mono с реализацией платформы .NET обновлён до выпуска 7.4. Пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.8. … Читать далее Релиз CrossOver 23.0 для Linux, Chrome OS и macOS

Вышел релиз Steampunk Blimp 0.31, мода MineTest (открытый клон игры MineCraft), который добавляет дирижабль, способный перевозить 7 игроков. Чтобы летать на нем, необходимо предоставить некоторые предметы, такие как топливо для сжигания и вода для котла. Топливом может быть уголь, угольный блок и дрова. Также, за счёт давления его можно посадить на воду. Для работы мода нужно установить мод airutils. Код проекта написан на языке Lua и распространяется под лицензией MIT. В новой версии была добавлена поддержка игр Mineclone2 и Mineclonia. Источник: http://www.opennet.ru/opennews/art.shtml?num=59614 Читать далее Выпуск Steampunk Blimp 0.31, мода minetest, добавляющего дирижабль

Компания Google представила релиз web-браузера Chrome 116. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 117 запланирован на 12 сентября. Основные изменения в Chrome 116: Сокращён цикл формирования промежуточных обновлений с устранением уязвимостей. Если ранее в рамках 4-недельного цикла … Читать далее Релиз Chrome 116

Компания «Базальт СПО» выпустила российскую операционную систему Альт СП 10, построенную на 10-й платформе стабильной ветки независимого репозитория «Сизиф». Альт СП соответствует требованиям ФСТЭК России по защите средств виртуализации и контейнеризации. Дистрибутив подготовлен для архитектур x86_64 (AMD, Intel) и AArch64 (ARMv8) в трёх вариантах поставки (рабочая станция, сервер и рабочая станция + сервер), но не доступен публично (ознакомительный экземпляр можно получить только после отдельного запроса). Сертификация Альт СП проводилась в соответствии с документами «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России от 27 октября 2022 г. № 187) и «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК … Читать далее Доступен проприетарный дистрибутив Альт СП 10, соответствующий требованиям ФСТЭК

Сформирован выпуск основной ветки nginx 1.25.2, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD. Среди изменений: При использовании HTTP/3 реализовано определение максимального размера информации, которая при обмене данных с заданным хостом может быть передана в пакете без фрагментации (Path MTU Discovery). При использовании HTTP/3 предоставлена возможность использования набора шифров TLS_AES_128_CCM_SHA256. При загрузке конфигурации OpenSSL обеспечено использование «nginx» в качестве имени приложения (параметр … Читать далее Выпуск nginx 1.25.2

Проект Debian празднует своё тридцатилетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdock) 16 августа 1993 года в списке рассылки comp.os.linux.development. Главной целью проекта была разработка дистрибутива, развиваемого в соответствии с духом полной открытости, свойственной Linux и GNU, а также стремление к техническому совершенству и надёжности. За время существования Debian было выпущено 18 релизов, обеспечена поддержка 26 аппаратных архитектур, сформирован репозиторий из более чем 60 тысяч пакетов. Общий суммарных размер всех предложенных в дистрибутиве исходных текстов составляет 1.3 млрд строк кода. Суммарный размер всех пакетов — 365 GB. В проект вовлечено более 1000 разработчиков, на технологиях Debian создано около 400 … Читать далее Debian GNU/Linux исполнилось 30 лет

Представлен выпуск дистрибутива Devuan 5.0 «Daedalus», форка Debian GNU/Linux, поставляемого без системного менеджера systemd. Новая ветка примечательна переходом на пакетную базу Debian 12 «Bookworm». Для загрузки подготовлены Live-сборки и установочные iso-образы для архитектур i386, amd64, armel, armhf, arm64 и ppc64el. Проектом поддерживаются ответвления для около 400 пакетов Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan полностью совместим с Debian и может использоваться в качестве основы для создания специализированных сборок Debian без systemd. … Читать далее Выпуск дистрибутива Devuan 5.0, форка Debian 12 без systemd

Открыта регистрация на конкурс по системному программированию Open OS Challenge 2023, который проводят российский разработчик программного обеспечения СберТех и АНО Центр развития инновационных технологий «ИТ-Планета». Конкурсантам будут предложены задания, составленные на базе реальных задач крупных компаний и связанные с системным программированием для продуктов на основе Linux-дистрибутива OpenScaler, совместимого с Red Hat Enterprise Linux. Призовой фонд конкурса 600 тысяч рублей (1 место — 300 тыс. руб, 2 место — 200 тыс. руб., 3 место — 100 тыс. руб). Соревнование проводится впервые и призвано популяризировать использование и развитие открытых операционных систем на базе компонентов GNU и ядра Linux. Принять участие в мероприятии … Читать далее СберТех и ИТ-Планета проводят конкурс программирования для Linux-дистрибутива OpenScaler

Подготовлен релиз платформы Electron 26.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 116, платформы Node.js 18.16.1 и JavaScript-движка V8 11.2. Среди изменений в новом выпуске: Добавлена частичная поддержка метода chrome.tabs.query(). В основном процессе Electron предоставлена возможность использования дополнительных опций командной строки Node.js. В файле-манифесте реализована поддержка параметра minimum_chrome_version. Добавлены API safeStorage.setUsePlainTextEncryption и safeStorage.getSelectedStorageBackend. Для сообщений, отправляемых через метод ipcRenderer.sendTo(), реализована поддержка параметра senderIsMainFrame. Добавлена поддержка всплывающих меню, вызываемых при помощи клавиатуры. Объявлены устаревшими: Метод webContents.getPrinters — следует использовать … Читать далее Выпуск Electron 26.0.0, платформы создания приложений на базе движка Chromium

Разработчики Ubuntu намерены на следующей неделе задействовать по умолчанию в тестовых сборках Ubuntu 23.10 новый менеджер приложений Ubuntu Store, написанный языке Dart с использованием фреймворка Flutter и распространяемый под лицензией GPLv3. При этом в LTS-выпуске Ubuntu 24.04 по умолчанию будет оставлен классический менеджер приложений Ubuntu Software, основанный на GNOME Software (в выпуске Ubuntu 23.10 приложение Ubuntu Software сохранится в качестве опции). Ubuntu Store предоставляет комбинированный интерфейс для работы с пакетами в формате DEB и Snap, позволяет выполнять поиск и навигацию по каталогу пакетов snapcraft.io и подключённым DEB-репозиториям, даёт возможность управлять установкой, удалением и обновлением приложений, устанавливать отдельные deb-пакеты из локальных … Читать далее Прогресс в продвижении нового менеджера приложений Ubuntu Store

Группа китайских исследователей на конференции Black Hat USA 2023 раскрыла детали атаки MaginotDNS, позволяющей осуществить подстановку некорректных NS-записей в кэш DNS-серверов (отравление кэша), используемых одновременно для перенаправления запросов (forwarder) и рекурсивного определения имён (resolver). Успешное проведение атаки может привести к обращению к неверным DNS-серверам, отдающим ложные сведения о целевом домене, и подмене атакующим целиком DNS-зон, в том числе для доменов верхнего уровня ( .com, .net, .ru и т.п.). Возможность подмены NS-записей для другого домена вызвана ошибкой в применении в DNS-серверах алгоритма проверки Bailiwick, который не допускает приём серверов имён, напрямую не связанных с запрошенным доменом. В ситуации, когда DNS-сервер одновременно … Читать далее Атака MaginotDNS, позволяющая подменить данные в кэше DNS

Компания Google сообщила о включении в кодовую базу, на основе которой сформирован выпуск Chrome 116, новой реализации механизма инкапсуляции ключей (KEM, Key Encapsulation Mechanism), в которой задействован гибридный алгоритм X25519Kyber768, устойчивый к подбору на квантовых компьютерах. Для создания сессионных ключей, применяемых для шифрования данных внутри TLS-соединений, теперь может использоваться комбинация из механизма обмена ключами X25519, основанного на эллиптических кривых и ныне применяемого в TLS, c алгоритмом Kyber-768, использующим методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах. Спецификации расширения TLS 1.3, использующего X25519Kyber768 при обмене ключами, передана в комитет IETF (Internet … Читать далее В Chrome 116 добавлен механизм инкапсуляции ключей, устойчивый к подбору на квантовых компьютерах

Участники из сообщества взяли в свои руки разработку текстового редактора Vim, оставшегося без сопровождающего после смерти Брама Моленара (Bram Moolenaar), который единолично руководил разработкой и вносил подавляющее большинство изменений (Бремом было добавлено 16.5 тыс. коммитов и написано 3.5 млн строк кода, что в 50 раз больше, чем вклад всех остальных разработчиков вместе взятых). Родственники Брама Моленара передали представителям из сообщества учётные данные к репозиторию, сайту и элементам инфраструктуры, что позволило возродить разработку Vim. Обязанности сопровождающих взяли на себя Кен Таката (Ken Takata), Кристиан Брабандт (Christian Brabandt), Егаппан Лакшманан (Yegappan Lakshmanan), Доминик Пелле (Dominique Pellé), @zeertzjq (5 наиболее активных разработчиков Vim), … Читать далее Сообщество взяло в свои руки разработку проекта Vim

После восьми месяцев разработки опубликован выпуск консольного файлового менеджера Midnight Commander 4.8.30, распространяемого в исходных текстах под лицензией GPLv3+. Список основных изменений: Добавлена поддержка буферов панелизации для обеих файловых панелей, что, например, позволяет панелизировать результаты двух разных операций поиска в панелях. Добавлена сборочная опция «—with-search-engine=pcre2» для использования движка регулярных выражений PCRE2. В VFS добавлена поддержка расширенных заголовков архивов TAR, позволяющих, например, работать с длинными именами файлов и файлами, содержащими пустые области. Во встроенном редакторе реализована подсветка синтаксиса для языка программирования «B» и файлов инструментария непрерывной интеграции Jenkins. Улучшена подсветка синтаксиса для ECMAScript, TypeScript и сообщений git-коммитов. В панелях обеспечена подсветка … Читать далее Выпуск файлового менеджера Midnight Commander 4.8.30

Несколько недавно выявленных уязвимостей: В PHP выявлена уязвимость (CVE-2023-3824) в реализации функции phar_dir_read(), которая может привести к переполнению буфера и потенциально выполнению кода злоумышленника при обработке содержимого специально оформленного phar-файла. Проблема вызвана отсутствием должных проверок размера элементов, присутствующих в phar-файле. Уязвимость устранена в выпусках PHP 8.0.30, 8.1.22 и 8.2.8. Уязвимость (CVE-2023-3823) PHP-функциях для разбора файлов XML, позволяющая добиться утечки информации в приложениях, при обработке XML-документов с конструкцией вида «‹!DOCTYPE root [ %remote; %intern; n%trick;]›». Например, в ходе эксплуатации уязвимости можно узнать содержимое произвольных файлов или результат выполнения внешнего запроса. Уязвимость устранена в выпусках PHP 8.0.30, 8.1.22 и 8.2.8. Уязвимости в … Читать далее Уязвимости в PHP, GStreamer, Xen, Node.js, Python, GNOME Files и librsvg