Опубликован выпуск проекта Valetudo 2023.01.0, предлагающего открытое решение для избавления роботов-пылесосов от привязки к облачным сервисам. Многие модели роботов-пылесосв поддерживают управление через мобильное приложений или сайт, но ценой подобной возможности является привязка к внешнему облачному сервису производителя. Valetudo развивает набор изменений для штатных прошивок, позволяющих заменить привязку к облаку на полностью подконтрольный пользователю интерфейс, не обращающийся к внешним хостам. Код интерфейса написан на JavaScript (серверная часть использует Node.js) и распространяется под лицензией Apache 2.0. Проектом поддерживается более 20 моделей роботов-пылесосов, производимых такими компаниями, как Xiaomi, Dreame, Roborock, MOVA, Viomi, Cecotec и Proscenic. Установка Valetudo требует получения root-доступа к программному окружению … Читать далее Проект Valetudo развивает модификации прошивок для локального управления роботами-пылесосами

Опубликованы результаты сканирования пакетов в репозитории PyPI (Python Package Index) на предмет наличия забытых в коде ключей доступа к Amazon Web Services (AWS). Провести проверку побудил прошлогодний инцидент с утечкой AWS-ключей компании InfoSys. Как оказалось случай не единичный и в коде представленных в PyPi пакетов удалось выявить ещё 57 действующих ключей, которые присутствовали среди прочего в проектах таких крупных компаний, как Amazon, Intel, Terradata, General Atomics, Top Glove и Delta Lake, а также в репозиториях австралийского правительства и университетов Сендфорда, Портланда и Луизианы. Для поиска ключей в коде использовалась утилита ripgrep с регулярным выражением «((?:ASIA|AKIA|AROA|AIDA)([A-Z0-7]{16}))» для выявления наличия идентификаторов ключей … Читать далее В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS

Проект OpenMandriva представил первый релиз новой редакции дистрибутива OpenMandriva Lx ROME (23.01), в которой используется модель непрерывной доставки обновлений (rolling-выпуски). Предложенная редакция позволяет получить доступ к новым версиям пакетов, развиваемым для ветки OpenMandriva Lx 5, не дожидаясь формирования классического дистрибутива. Для загрузки подготовлены iso-образы размером 2.8 ГБ c рабочими столами KDE и GNOME, поддерживающие загрузку в Live-режиме. Особенности выпуска: Предложены новые версии пакетов, включая ядро Linux 6.1 (по умолчанию предлагается ядро, собранное в Clang, а опционально — в GCC), systemd 252, PHP 8.2.0, FFmpeg 5.1.2, binutils 2.39, gcc 12.2, glibc 2.36, Java 20. Компилятор Clang, используемый для сборки пакетов, обновлён … Читать далее Первый выпуск rolling-дистрибутива OpenMandriva Lx ROME

В библиотеке Hyper, предлагающей реализацию протоколов HTTP/1 и HTTP/2 на языке Rust, выявлена особенность работы с памятью, которая может использоваться для инициирования отказа в обслуживании через исчерпание доступной процессу памяти. Для эксплуатации уязвимости достаточно отправить специально оформленный HTTP-запрос уязвимому обработчику, использующему Hyper. Библиотека достаточно популярна (67 млн загрузок) и используется в качестве зависимости у 2579 проектов, представленных в каталоге crates.io. Причиной уязвимости является отсутствие ограничений на размер ресурсов, передаваемых в HTTP-запросах и -ответах. В библиотеке Hyper для копирования запроса или тела ответа предлагается функция body::to_bytes, копирующая данные запроса и ответа целиком в один буфер без проверки размера полученных данных. Соответственно, … Читать далее Уязвимость в приложениях на базе HTTP-библиотеки Hyper

После года разработки сформирован выпуск Linux-дистрибутива OpenIPC 2.3, предназначенного для использования в камерах видеонаблюдения вместо штатных прошивок, большинство из которых со временем перестают обновляться производителями. Наработки проекта распространяются под лицензией MIT. Образы прошивок подготовлены для IP-камер на основе чипов Hisilicon Hi35xx, Goke GK7205*, Ingenic T31*, SigmaStar SSC335, XiongmaiTech XM510/XM530/XM550. Предлагаемая прошивка предоставляет такие функции, как поддержка аппаратных детекторов движения, собственная реализация протокола RTSP для раздачи видео с одной камеры более чем 10 клиентам одновременно, возможность задействования аппаратной поддержки кодеков h264/h265, поддержка звука с частотой дискретизации до 96КГц, возможность перекодирования JPEG-изображений на лету для чересстрочной загрузки (progressive) и поддержка RAW-формата Adobe … Читать далее Релиз OpenIPC 2.3, альтернативной прошивки для камер видеонаблюдения

Раскрыта информация о нескольких взломах крупных компаний, приведших к утечке конфиденциальных данных: 27 декабря злоумышленники получили доступ к репозиториям компании Slack, размещённым на GitHub, и смогли загрузить содержимое приватных репозиториев. Причиной стала кража токенов нескольких сотрудников Slack. Отмечается, что пользовательские данные и первичная кодовая база приложения Slack не пострадали. В результате компрометации инфраструктуры сервиса непрерывной интеграции CircleCI с 24 декабря по 4 января атакующие получили доступ ко всем данным клиентов, включая OAuth-токены, ключи доступа к API, переменным окружения, SSH-ключи проектов и токены Runner-ов. По заявлению CircleCI сервисом пользуется более миллиона разработчиков и 30 тысяч компаний. Информация о том, как именно … Читать далее Утечка конфиденциальных данных в Slack, CircleCI и Rackspace

Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно … Читать далее Выпуск межсетевого экрана firewalld 1.3

После двух лет разработки доступен выпуск платформы для потребительских интернет-устройств WebThings Gateway 1.1. Изначально платформа развивалась компанией Mozilla, но затем была преобразована в независимый проект, управляемый и развиваемый сообществом. Платформа WebThings состоит из шлюза WebThings Gateway и библиотеки WebThings Framework. Код проекта написан на языках TypeScript и JavaScript с использованием серверной платформы Node.js и распространяется под лицензией MPL 2.0. Загрузочные сборки с интегрированной поддержкой WebThings Gateway, предоставляющие унифицированный интерфейс для настройки умного дома, подготовлены для плат Raspberry Pi и контейнеров Docker. WebThings Gateway представляет собой универсальную прослойку для организации доступа к различным категориям потребительских и IoT-устройств, скрывающую за собой особенности … Читать далее Выпуск WebThings Gateway 1.1, шлюз для умного дома и IoT-устройств

Проектом blink развивается новый эмулятор процессоров x86-64, позволяющий запускать статически собранные Linux-приложения в виртуальной машине с эмулируемым процессором. Основным назначением проекта является предоставление возможности запуска собранных для архитектуры x86-64 Linux-программ в других операционных системах (macOS, FreeBSD, NetBSD, OpenBSD) и на оборудовании с другой аппаратной архитектурой (x86, ARM, RISC-V, MIPS, PowerPC, s390x). Код проекта написан на языке Си (ANSI C11) и распространяется под лицензией ISC. Из зависимостей требуется только libc (POSIX.1-2017). Проект развивает автор таких разработок, как Си-библиотека Cosmopolitan, порт механизма изоляции pledge для Linux и система универсальных исполняемых файлов Redbean. По функциональности blink напоминает команду qemu-x86_64, но отличается от QEMU … Читать далее Представлен Blink, эмулятор x86-64, опережающий QEMU по производительности

После года разработки опубликован релиз открытого растрового графического редактора Pinta 2.1, представляющего собой попытку переписать программу Paint.NET с использованием GTK. Редактор предоставляет базовый набор возможностей для рисования и обработки изображений, ориентируясь на начинающих пользователей. Интерфейс максимально упрощен, редактор поддерживает неограниченный буфер отката изменений, позволяет работать с несколькими слоями, укомплектован набором инструментов для наложения различных эффектов и корректировки изображений. Код Pinta распространяется под лицензией MIT. Проект написан на языке C# с использованием Mono и обвязки Gtk#. Бинарные сборки подготовлены для Linux (Flatpak, Snap), macOS и Windows. В новом выпуске: Пикторгаммы заменены на символьные SVG-изображения, более подходящие для использования с тёмными темами … Читать далее Выпуск графического редактора Pinta 2.1

Группа исследователей из нескольких китайских научных центров и университетов предложила новый способ оптимизации процесса факторизации параметров RSA-ключей на квантовых компьютерах. По заявлению исследователей разработанный ими метод позволяет обойтись для взлома ключей RSA-2048 квантовым компьютером с 372 кубитами. Для сравнения, IBM Osprey, самый мощный из ныне созданных квантовых компьютеров, содержит 433 кубита. Тем не менее, метод пока является лишь теоретическим, не опробован на практике и вызывает скептическое отношение некоторых криптографов. В основе шифрования RSA лежит операция возведения в степень по модулю большого числа. В открытом ключе содержится модуль и степень. Модуль формируется на основании двух случайных простых чисел, которые известны только … Читать далее Предложен метод взлома ключей RSA-2048 на современном квантовом компьютере

Опубликован выпуск дистрибутива Nitrux 2.6.0, построенного на пакетной базе Debian, технологиях KDE и системе инициализации OpenRC. Проект предлагает собственный рабочий стол NX Desktop, который представляет собой надстройку над пользовательским окружением KDE Plasma. На основе библиотеки Maui для дистрибутива развивается набор типовых пользовательских приложений, которые можно использовать как на настольных системах, так и на мобильных устройствах. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages. Размер полного загрузочного образа составляет 3 ГБ. Наработки проекта распространяются под свободными лицензиями. Рабочий стол NX Desktop предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений … Читать далее Выпуск дистрибутива Nitrux 2.6 с рабочим столом NX Desktop

На конференции RISC-V Summit компания Google заявила о намерении обеспечить официальную поддержку архитектуры RISC-V в платформе Android. Осенью в репозиторий AOSP (Android Open Source Project), в котором развиваются исходные тексты платформы Android, началось включение изменений, обеспечивающих поддержку устройств с процессорами на основе архитектуры RISC-V. Изменения в основном подготовлены компанией Alibaba Cloud, но продвигаются в сотрудничестве с Google и с привлечением специальной рабочей группы Android SIG, созданной при организации RISC-V International и открытой для присоединения других компаний, заинтересованные в работе программного стека Android на процессорах RISC-V. Изменения охватывают такие подсистемы, как графический стек, звуковую систему, компоненты воспроизведения видео, библиотеку bionic, виртуальную … Читать далее Google намерен включить RISC-V в число первичных архитектур для Android

Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora Linux, утвердил создание официальных ISO-образов с графическими оболочками Budgie и Sway. Для сопровождения пакетов и сборок с Budgie и Sway основаны группы Budgie SIG и Sway SIG. Пакеты для установки данных окружений уже доступны в репозитории текущего стабильного релиза Fedora, но начиная с Fedora Linux 38 появится возможность использования готовых ISO-образов. Fedora Budgie Spin и Fedora Sway Spin дополнят коллекцию сборок Fedora Spins, в которой на данный момент представлены альтернативные рабочие среды, такие как KDE, Cinnamon, Xfce, LXQt, MATE, LXDE, i3 и SOAS (Sugar on a Stick). … Читать далее В Fedora 38 одобрена поставка сборок с окружениями Budgie и Sway

Вышла новая LTS-версия Reatom 3, менеджера состояния для веб-приложений, работающих по модели Flux. Проект может применяться в качестве альтернативы Redux. В новой ветке поменялось практически все, кроме ключевых принципов: работа в выделенном глобальном контексте и разделение на чистые вычисления и побочные эффекты (side-effect) для облегчения тестирования, разделение на атомы (atoms) и действия (actions) для DCI-подобного описания логики. Код написан на JavaScript и распространяется под лицензией MIT. Нововведения: Более проактивная и дружелюбная политика развития экосистемы, более десятка новых пакетов, скрипт для старта нового пакета. Пакет для обработки асинхронных запросов, добавления к ним мета статусов, кеширования, перезапросов. Агресивный механизм группировки вызовов (batching), … Читать далее Вышла новая LTS-версия менеджера состояния Reatom

Состоялся релиз легковесного http-сервера lighttpd 1.4.68, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD. Основные изменения: В mod_openssl и mod_gnutls обеспечено включение функций SSL_sendfile() и gnutls_record_send_file(), использующих KTLS (реализация TLS на уровне ядра). Для TLS применены более строгие настройки шифров и отключены по умолчанию устаревшие шифры. Настройка CipherString изменена со значения «HIGH» на «EECDH+AESGCM:AES256+EECDH:CHACHA20:SHA256:!SHA384». Также удалены устаревшие опции TLS: ssl.honor-cipher-order, ssl.dh-file, ssl.ec-curve, ssl.disable-client-renegotiation, ssl.use-sslv2, ssl.use-sslv3. Продолжена чистка мини-модулей, которые можно заменить … Читать далее Выпуск http-сервера Lighttpd 1.4.68

После года разработки опубликован релиз DragonFlyBSD 6.4, операционной системы с гибридным ядром, созданной в 2003 году с целью альтернативного развития ветки FreeBSD 4.x. Из особенностей DragonFly BSD можно выделить распределённую версионную файловую систему HAMMER, поддержку загрузки «виртуальных» ядер системы как пользовательских процессов, возможность кэширования данных и мета-данных ФС на SSD-накопителях, учитывающие контекст вариантные символические ссылки, возможность заморозки процессов с сохранением их состояния на диске, гибридное ядро, использующее легковесные потоки (LWKT). Основные улучшения, добавленные в DragonFlyBSD 6.4: Продолжена работа над файловой системой HAMMER2, которая примечательна такими функциями, как отдельное монтирование снапшотов, доступные на запись снапшоты, квоты на уровне директорий, инкрементальное зеркалирование, … Читать далее Релиз операционной системы DragonFly BSD 6.4

Опубликован выпуск проекта FerretDB 0.8, позволяющего заменить документо-ориентированную СУБД MongoDB на PostgreSQL без внесения изменений в код приложений. FerretDB реализован как прокси-сервер, транслирующий обращения к MongoDB в SQL-запросы к PostgreSQL, что позволяет использовать PostgreSQL в качестве фактического хранилища. Версия 0.8 отмечена как первый выпуск, имеющий статус бета-версии (ранее разработка находилась на стадии альфа-тестирования). Код написан на языке Go и распространяется под лицензией Apache 2.0. Необходимость внедрения FerretDB может возникнуть в связи с переходом MongoDB на несвободную лицензию SSPL, которая основана на лицензии AGPLv3, но не является открытой, так как содержит дискриминирующее требование поставки под лицензией SSPL не только кода самого … Читать далее Первый бета-выпуск FerretDB, реализации MongoDB на базе СУБД PostgreSQL

Опубликован выпуск СУБД AlaSQL 2.5.0, предназначенной для использования в web-приложениях в браузере, в мобильных приложениях на базе web-технологий или в серверных обработчиках на основе платформы Node.js. СУБД оформлена в виде JavaScript-библиотеки и позволяет использовать для манипуляции с данными язык SQL. Поддерживается как хранение в традиционных реляционных таблицах, так и в форме вложенных JSON-структур, не требующих жёсткого определения схемы хранения. Для манипуляции с данными из командной строки предоставляется утилита alasql. Код проекта написан на JavaScript и распространяется под лицензией MIT. Библиотека изначально рассчитана на быструю обработку данных в оперативной памяти для приложений бизнес-аналитики и поддерживает такие оптимизации, как кэширование запросов в … Читать далее Проект AlaSQL развивает СУБД для браузеров и Node.js

Компания Netgear выпустила обновление прошивок к беспроводным маршрутизаторам серий RAX40, RAX35, R6400v2, R6700v3, R6900P, R7000P, R7000, R7960P и R8000P, в которых устранена уязвимость (CVE-2022-48196), позволяющая добиться переполнения буфера без прохождения аутентификации. Технические детали и информация о наличии эксплоитов пока не приводится, но судя по выставленному уровню опасности и рекомендации незамедлительно обновить прошивку, проблема напоминает ноябрьскую уязвимость, позволявшую добиться выполнения своего кода с правами root через манипуляции во внешней сети на стороне WAN-интерфейса. Источник: http://www.opennet.ru/opennews/art.shtml?num=58421 Читать далее Уязвимость в устройствах Netgear, эксплуатируемая на стадии до аутентификации

Опубликован выпуск проекта Rigs of Rods 2022.12, развивающего реалистичный симулятор автомобилей, кораблей, самолётов, вертолётов, поездов и других видов транспорта. В проекте задействован графический движок OGRE и собственный физический движок, использующий физику мягких тел для симуляции движения, повреждений и деформации транспортных средств. Код написан на языке С++ и распространяется под лицензией GPLv3. Симулятор начинал своё развитие как исследовательский проект Пиерра Мишеля-Рикорделя в области физики мягких тел. После того как проект привлёк внимание сообщества для симулятора были созданы тысячи различных карт и транспортных средств. Пользователю предоставляется окружение с полной свободой действий и возможностью использования разных карт и видов транспорта с реалистичной моделью … Читать далее Релиз симулятора транспортных средств Rigs of Rods 2022.12