В середине июня в модуле ядра Linux rkvdec была выявлена уязвимость (CVE-2023-35829), приводящая к обращению к области памяти после её освобождения (use-after-free) из-за состояния гонки в процедуре выгрузки драйвера. Предполагалось, что проблема ограничивается вызовом отказа в обслуживании. Недавно в некоторых сообществах в Telegram и Twitter появилась информация, что уязвимость может быть использована для получения root-прав непривилегированным пользователем и в качестве доказательства на GitHub были опубликованы два рабочих прототипа эксплоитов (apkc/CVE-2023-35829-poc и ChriSanders22/CVE-2023-35829-poc — уже удалены GitHub). Разбор опубликованных эксплоитов показал, что они содержат вредоносный код, устанавливающих в Linux-системы вредоносное ПО, настраивающее бэкдор для удалённого входа и отправляющего во вне некоторые … Читать далее Под видом эксплоита к уязвимости в rkvdec распространялся вредоносный код

Опубликован релиз языка программирования общего назначения Rust 1.71, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения … Читать далее Выпуск языка программирования Rust 1.71

Проект AlmaLinux объявил об изменении стратегии развития — дистрибутив больше не будет полностью клонировать Red Hat Enterprise Linux и станет допускать наличие незначительных расхождений в поведении (будет допускаться применение/отсутствие каких-то отдельных патчей). При этом проект сохранит бинарную совместимость на уровне ABI и по-прежнему сможет использоваться в качестве замены RHEL. Отмечается, что для обычных пользователей изменения в использовании AlmaLinux будут минимальны — совместимые с RHEL приложения как и раньше будут работать, а установленные системы получать обновления с устранением уязвимостей. Изменения главным образом коснутся поддержания соответствия пакетов на уровне повторения ошибок — AlmaLinux теперь будет принимать исправления исправления ошибок, которые ещё остаются … Читать далее AlmaLinux отошёл от полного клонирования Red Hat Enterprise Linux

25 сентября компания Postgres Professional впервые проведёт в Санкт-Петербурге PGConf.СПб — международную техническую конференцию по открытой СУБД PostgreSQL. Ежегодно конференция собирает в городах России более 1000 разработчиков, администраторов баз данных и IT-менеджеров для обмена опытом и профессионального общения. Мероприятие пройдёт на площадке отеля «Коринтия». Программа формируется. Всех желающих выступить с докладом организаторы приглашают подать заявку в личном кабинете по 3 сентября 2023 года включительно. Участие платное. При ранней регистрации до 31 августа 2023 года доступны билеты со скидкой 40% — 7000 рублей. С 1 по 17 сентября стоимость составит 9 000 рублей, с 18 по 24 сентября — 12 000 … Читать далее 25 сентября в Санкт-Петербурге состоится конференция PGConf.СПб

В кодовую базу, на основе которой формируется ядро Linux 6.5, принято изменение с реализацией нового системного вызова «cachestat«, позволяющего программам в пространстве пользователя запрашивать более детальную статистику из страничного кэша на стороне ядра. Расширяя уже существующий системный вызов «mincore», используемый для определения, присутствуют ли страницы в памяти, вызов «cachestat» позволяет запрашивать более подробную статистику кэша страниц и стремится обеспечить большую масштабируемость. Системный вызов «cachestat» сообщает такие сведения, как количество прокэшированных страниц, грязных (dirty) страниц, вытесненных страниц, недавно вытесненных страниц и страниц, отмеченных для отложенной записи (writeback). Предоставляемая статистика для файлов позволяет точнее принимать решения по работе с вводом-выводом, проходящим через … Читать далее В ядре Linux 6.5 появится системный вызов cachestat

Компания Google представила в списке разработчиков ядра Linux реализацию механизма Device memory TCP (devmem TCP), позволяющего напрямую по сети передавать данные из памяти одних устройств в память других устройств, без промежуточного копирования этих данных в буферы, размещённые в системной памяти хоста. Реализация пока находится на стадии RFC, т.е. выставлена для обсуждения и рецензирования сообществом, но не оформлена для передачи в основной состав ядра Linux. Ожидается, что Device memory TCP позволит существенно поднять эффективность взаимодействия в кластерах и распределённых системах машинного обучения, использующих дополнительные платы-ускорители. Применение ускорителей машинного обучения приводит к существенному увеличению объёма информации, передаваемой в процессе обучения моделей из … Читать далее Google предложил Device Memory TCP для сетевой передачи данных между устройствами

Разработчики SQLite развивают экспериментальный VFS-модуль CBS (Cloud Backed SQLite), позволяющий хранить содержимое базы данных не в локальном файле, а во внешнем облачном хранилище. Для хранения используется специально оптимизированный для внешнего хранения формат базы, позволяющий загружать данные из внешнего хранилища динамически по мере необходимости, без предварительного копирования всей БД на локальную систему. Из облачных хранилищ в настоящее время поддерживаются Azure Blob Storage и Google Cloud Storage. На использование CBS могут быть переведены любые приложения, поддерживающие работу с обычным SQLite. VFS-модуль может работать в фоновом и активном режиме. В фоновом режиме в системе постоянно выполняется фоновый процесс, позволяющий обращаться к внешней БД … Читать далее Проекты CBS и sqld развивают облачный и серверный варианты SQLite

Несколько недавно выявленных опасных уязвимостей: CVE-2022-24834 — уязвимость в СУБД Redis, позволяющая вызвать переполнение буфера в библиотеках cjson и cmsgpack при выполнении специально оформленного сценария на языке Lua. Потенциально уязвимость может привести к удалённому выполнению кода на сервере. Проблема проявляется начиная с Redis 2.6 и устранена в выпусках 7.0.12, 6.2.13 и 6.0.20. В качестве обходного пути защиты можно через ACL запретить пользователям Redis выполнять команды EVAL и EVALSHA. CVE-2023-36824 уязвимость в СУБД Redis, приводящая к переполнению буфера при обработке имён ключей, переданных через команду COMMAND GETKEYS или COMMAND GETKEYSANDFLAGS, а так же списков ключей в правилах ACL. Потенциально уязвимость может … Читать далее Уязвимости в Redis, Ghostscript, Asterisk и Parse Server

Разработчики из компании Mozilla приняли решение удалить служебную страницу «about:performance», позволяющую отслеживать создаваемую при обработке различных страниц нагрузку на CPU и потребление памяти. Решение обусловлено появлением начиная с выпуска Firefox 78 похожего по назначению интерфейса «about:processes», который дублирует функциональность «about:performance», но рассматривается как более удобный и предоставляющий больше информации. Например на странице «about:processes» показываются не только заголовки страниц, но и выполняется привязка вкладок и субресурсов к доменам, а также приводятся сведения о потреблении ресурсов служебными процессами и фоновыми worker-ами. Из достоинств подлежащего удалению «about:performance» можно отметить возможность раздельного отслеживания потребления ресурсов дополнениями. Интерфейс «about:performance» уже вызывается по умолчанию при выборе … Читать далее В Firefox 116 будет удалён интерфейс about:performance

Опубликован релиз web-браузера Pale Moon 32.3, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированным в Firefox 29 и 57 интерфейсам Australis и Photon, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox, … Читать далее Выпуск браузера Pale Moon 32.3

Спустя год после публикации прошлого значительного выпуска опубликован релиз почтового клиента Thunderbird 115, развиваемого силами сообщества и основанного на технологиях Mozilla. Новый выпуск отнесён к категории версий с длительным сроком поддержки, обновления для которых выпускаются в течение года. Thunderbird 115 основан на кодовой базе ESR-выпуска Firefox 115. Основные изменения в Thunderbird 115: Полностью переработан интерфейс пользователя, который стал более понятен для новичков, но при этом остался привычным и удобным для старых пользователей. Реализована новая унифицированная боковая панель, в которой вместо старой панели инструментов предложен универсальный динамический формируемый блок, позволяющий получить доступ к наиболее часто используемым операциям и предлагающий свой набор … Читать далее Выпуск почтового клиента Thunderbird 115 c переделанным интерфейсом пользователя

По данным рейтинга StatCounter, осуществляющего мониторинг общемировой статистики использования web-браузеров, доля десктоп-дистрибутивов Linux впервые превысила 3%. В январе доля Linux составляла 2.91%, феврале — 2.94%, марте 2.85%, апреле — 2.83%, мае — 2.70%, июне — 3.08%. C учётом того, что доля основанной на ядре Linux операционной системы Chrome в июне выросла до 4.15%, общая доля настольных Linux-систем достигла отметки в 7.23%. Доля FreeBSD оценивается в 0.01%. Статистика собрана на основании счётчика, размещённого на 1.5 млн сайтах. Статистика из других источников: По данным компании Net Applications доля настольных систем на базе Linux составляет 1.90%, а Chrome OS — 1%. В сервисе … Читать далее По данным сервиса StatCounter доля Linux-дистрибутивов достигла 3%, а Chrome OS — 4%

Компания SUSE сообщила о создании собственного форка дистрибутива Red Hat Enterprise Linux. В следующие несколько лет в сопровождение проекта планируется инвестировать 10 млн долларов. Форк RHEL, упоминаемый под именем Liberty Linux, планируют развивать и поддерживать в качестве общедоступного проекта, курируемого отдельной некоммерческой организацией. Доступ к формируемому в рамках проекта альтернативному набору исходных текстов пакетов, совместимых с RHEL, будет бесплатен для всех желающих и открыт для совместной работы с другими похожими проектами. Новый форк не повлияет на разработку дистрибутивов SUSE Linux Enterprise, ALP (Adaptable Linux Platform) и openSUSE, которые по-прежнему воспринимаются в качестве основных продуктов и ресурсы на их развитие будут … Читать далее Компания SUSE объявила о создании собственного форка RHEL

Компания Oracle заявила о готовности продолжать поддержание совместимости с Red Hat Enterprise Linux в своём дистрибутиве Oracle Linux, несмотря на ограничение компанией Red Hat публичного доступа к исходным текстам пакетов RHEL. Потеря доступа к эталонным исходным текстам пакетов повышает вероятность появления проблем с совместимостью, но компания Oracle готова устранять данные проблемы, если они затрагивают клиентов. Компания Oracle также приветствует создание производных дистрибутивов, как общественных, так и коммерческих, и готова сотрудничать с другими производителями дистрибутивов для облегчения совместной работы над Oracle Linux и сертификации продуктов Oracle для других дистрибутивов. Отмечается, что Oracle пытается помочь в создании лучшей серверной операционной системы на … Читать далее Oracle Linux продолжит поддерживать совместимость с RHEL

Доступен выпуск графического редактора GIMP 2.99.16, продолжающий развитие функциональности будущей стабильной ветки GIMP 3.0, в которой выполнен переход на GTK3, добавлена штатная поддержка Wayland и HiDPI, реализована базовая поддержка цветовой модели CMYK (позднее связывание), проведена значительная чистка кодовой базы, предложен новый API для разработки плагинов, реализовано кэширование отрисовки, добавлена поддержка выделения нескольких слоёв (Multi-layer selection) и обеспечено редактирование в исходном цветовом пространстве. Для установки доступен пакет в формате flatpak (org.gimp.GIMP в репозитории flathub-beta), а также сборки для Windows и macOS. Предполагается, что следующему выпуску будет присвоен статус кандидата в релизы GIMP 3.0. Среди изменений в GIMP 2.99.16: В интерфейсе пользователя … Читать далее Выпуск графического редактора GIMP 2.99.16

После 7 месяцев разработки опубликован выпуск OpenRGB 0.9, открытого инструментария для управления RGB-подсветкой периферийных устройств. Пакет поддерживает материнские платы ASUS, Gigabyte, ASRock и MSI с RGB-подсистемой для подсветки корпуса, модули памяти с подсветкой от ASUS, Patriot, Corsair и HyperX, графические карты ASUS Aura/ROG, MSI GeForce, Sapphire Nitro и Gigabyte Aorus, различные контроллеры светодиодных лент (ThermalTake, Corsair, NZXT Hue+), светящиеся кулеры, мыши, клавиатуры, наушники и аксессуары Razer с подсветкой. Информация о протоколе взаимодействия с устройствами в основном получена через проведение обратного инжиниринга проприетарных драйверов и приложений. Код написан на C/C++ и распространяется под лицензией GPLv2. Готовые сборки формируются для Linux (deb, … Читать далее Выпуск OpenRGB 0.9, инструментария для управления RGB-подсветкой периферийных устройств

На прошедшем в Таллине хакатоне g2k23 разработчики проекта OpenBSD провели эксперимент по запуску в OpenBSD графического окружения, использующего протокол Wayland. До сих пор для формирования графического окружения в OpenBSD применялась собственная редакция X11-стека — Xenocara, основанная на библиотеках X.Org 7.7, X Server 1.21.6 и Mesa 22.3.4. Участники хакатона исследовали вопрос применения в OpenBSD отличных от X11 систем и попытались создать окружение на основе композитного менеджера Sway, построенного с использованием протокола Wayland и совместимого с мозаичным оконным менеджером i3 и панелью i3bar. Мероприятие показало, что в OpenBSD вполне реально организовать работу окружения на базе Wayland, несмотря на то, что предложенное решение … Читать далее Разработчики OpenBSD экспериментируют с использованием Wayland

После девяти месяцев разработки опубликован выпуск почтового клиента Geary 44.0, ориентированного на использование в окружении GNOME. Изначально проект был основан организацией Yorba Foundation, создавшей популярный менеджер фотографий Shotwell, но позднее разработка перешла в руки сообщества GNOME. Код написан на языке Vala и распространяется под лицензией LGPL. Готовые сборки в ближайшее время будут подготовлены в форме самодостаточного пакета flatpak. Целью развития проекта является создание богатого по возможностям продукта, но при этом предельно простого в использовании и потребляющего минимум ресурсов. Почтовый клиент рассчитан как на обособленное использование, так и на работу совместно с web-ориентированными почтовыми сервисами, такими как Gmail и Yahoo! Mail. … Читать далее Выпуск почтового клиента Geary 44.0

После четырёх месяцев разработки опубликован релиз свободного игрового движка Godot 4.1, подходящего для создания 2D- и 3D-игр. Движок поддерживает простой для изучения язык задания игровой логики, графическую среду для проектирования игр, систему развёртывания игр в один клик, широкие возможности анимации и симуляции физических процессов, встроенный отладчик и систему выявления узких мест в производительности. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой сервер, бэкенды 2D/3D рендеринга и т.п.) распространяются под лицензией MIT. Исходные тексты движка были открыты в 2014 году студией OKAM, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации … Читать далее Выпуск открытого игрового движка Godot 4.1

В мультимедийном фреймворке GStreamer выявлены две уязвимости, которые могут привести к выполнению кода при обработке специально оформленных файлов в форматах SRT (CVE-2023-37329) и PGS (CVE-2023-37328) в приложениях, использующих GStreamer. Уязвимости вызваны переполнениями буфера в коде разбора и декодирования субтитров из файлов в форматах SRT и PGS. Переполнения возникают из-за отсутствия должной проверки размера присутствующих в файлах полей, перед копированием их содержимого в выделенный буфер. Уязвимости устранены в выпуске 1.22.4 наборов gst-plugins-good, gst-plugins-bad и gst-plugins-base. Источник: http://www.opennet.ru/opennews/art.shtml?num=59410 Читать далее Уязвимости в GStreamer, приводящие к выполнению кода при обработке файлов SRT и PGS

В ядре Linux выявлены три уязвимости: CVE-2023-31248 — уязвимость в подсистеме Netfilter, позволяющая локальному пользователю выполнить свой код на уровне ядра. Проблема вызвана обращением к памяти после её освобождения (use-after-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables, из-за отсутствия должной проверки состояния цепочки во время обработки операции поиска в цепочке функцией nft_chain_lookup_byid, что не исключает возвращение ссылки на уже удалённую цепочку nf_tables. Для проведения атаки требуется наличие доступа к nftables, который можно получить при наличии прав CAP_NET_ADMIN в любом пространстве имён идентификаторов пользователей (user namespace) или сетевом пространстве имён (network namespace), которые могут предоставляться, например, в изолированных контейнерах. Уязвимость … Читать далее Уязвимости в ядре Linux, затрагивающие nftables и модуль tcindex