GitHub реализовал поддержку нового вида токенов доступа, которые могут выборочно определять полномочия конкретного разработчика или скрипта, охватывающие только те задачи, которые необходимы для выполнения работы. Ожидается, что выборочное предоставление доступа поможет снизить риск атак в случае компрометации учётных данных. Если ранее участник мог сформировать индивидуальные токены, предоставляющие доступ ко всем его репозиториям и организациям, то при помощи новых токенов владелец проекта может детализировать доступ, например, разрешить работу в режиме только для чтения или открыть выборочный доступ к определённым репозиториям. Всего к токену можно привязать более 50 полномочий, охватывающих различные операции с организациями, issues, репозиториями и пользователями. Возможно ограничение времени действия … Читать далее GitHub реализовал поддержку токенов для предоставления выборочного доступа

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.38.1, 2.30.6, 2.31.5, 2.32.4, 2.33.5, 2.34.5, 2.35.5, 2.36.3 и 2.37.4, в которых устранены две уязвимости, проявляющиеся при применении команды «git clone» в режиме «—recurse-submodules» с непроверенными репозиториями и при использовании интерактивного режима работы «git shell». Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. CVE-2022-39253 — возможность манипуляции с файлами через размещение символических ссылок в каталоге $GIT_DIR/objects, клонируемого репозитория. Уязвимость позволяет атакующему, контролирующему содержимое клонируемого репозитория, например, организовать подстановку своего содержимого в Docker-контейнер. Проблема проявляется только при локальном клонировании (в режиме «—local«) или … Читать далее Уязвимости в Git, проявляющиеся при клонировании субмодулей и использовании git shell

Опубликован выпуск проекта Stratis 3.3, развиваемого компанией Red Hat и сообществом Fedora для унификации и упрощения средств настройки и управления пулом из одного или нескольких локальных накопителей. Stratis предоставляет такие возможности, как динамическое выделение места в хранилище, снапшоты, обеспечение целостности и создание слоёв для кэширования. Поддержка Stratis интегрирована в дистрибутивы Fedora и RHEL начиная с выпусков Fedora 28 и RHEL 8.2. Код проекта распространяется под лицензией MPL 2.0. Система во многом повторяет по своим возможностям расширенные средства управления разделами ZFS и Btrfs, но реализована в виде прослойки (демон stratisd), работающей поверх подсистемы device-mapper ядра Linux (используются модули dm-thin, dm-cache, dm-thinpool, … Читать далее Выпуск Stratis 3.3, инструментария для управления локальными хранилищами

Состоялся релиз Node.js 19.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 19 отнесён к ветке с обычным сроком поддержки, обновления для которой будут выпускаться до июня 2023 года. В ближайшие дни будет завершена стабилизация ветки Node.js 18, которая получит статус LTS и будет поддерживаться до апреля 2025 года. Сопровождение прошлой LTS-ветки Node.js 16.0 продлится до сентября 2023 года, а позапрошлой LTS-ветки 14.0 до апреля 2023 года. Основные улучшения: Движок V8 обновлён до версии 10.7, применяемой в Chromium 107. Из изменений в движке по сравнению с веткой Node.js 18 отмечается реализация третьей версии API Intl.NumberFormat, в которой добавлены новые … Читать далее Доступна серверная JavaScript-платформа Node.js 19.0

Состоялся релиз web-браузера Firefox 106. Кроме того, сформировано обновление ветки с длительным сроком поддержки — 102.4.0. На стадию бета-тестирования переведена ветка Firefox 107, релиз которой намечен на 15 ноября. Основные новшества в Firefox 106: Оформление окна просмотра сайтов в приватном режиме переделано так, чтобы его труднее было спутать с обычным режимом. Окно приватного режима теперь выводится с тёмным фоном панелей, а помимо специальной пиктограммы выводится и явное текстовое пояснение. В панель вкладок добавлена кнопка «Firefox View«, упрощающая доступ к ранее просматриваемому содержимому. При нажатии на кнопку открывается служебная страница со списком недавно закрытых вкладок и интерфейсом для просмотра вкладок на … Читать далее Релиз Firefox 106

Состоялся очередной релиз ErgoFramework 2.2, реализующего полный сетевой стек Erlang и его библиотеку OTP на языке Go. Фреймворк предоставляет разработчику гибкий инструментарий из мира Erlang для создания распределённых решений на языке Go с помощью готовых шаблонов проектирования общего назначения gen.Application, gen.Supervisor и gen.Server, а также специализированных — gen.Stage (distributed pub/sub), gen.Saga (distributed transactions, реализация шаблона проектирования SAGA) и gen.Raft (реализация протокола Raft). Помимо этого, фреймворк предоставляет функциональность прокси с возможностью сквозного шифрования, недоступного в Erlang/OTP и Elixir. Поскольку в языке Go отсутствует прямой аналог процесса Erlang, то во фреймворке используются goroutine как основы для gen.Server с обёрткой «recover» для возможности … Читать далее Выпуск фреймворка для создания сетевых приложений ErgoFramework 2.2

Некоммерческая организация Open 3D Foundation (O3DF) представила выпуск открытого игрового 3D-движка Open 3D Engine 22.10 (O3DE), пригодного для разработки современных игр класса AAA и высокоточных симуляторов, способных работать в режиме реального времени и обеспечивать качество кинематографического уровня. Код написан на С++ и опубликован под лицензией Apache 2.0. Имеется поддержка платформ Linux, Windows, macOS, iOS и Android. Исходные тексты движка O3DE были открыты в июле 2021 года компанией Amazon и основаны на коде ранее развиваемого проприетарного движка Amazon Lumberyard, построенного на технологиях движка CryEngine, лицензированных у компании Crytek в 2015 году. После открытия развитие движка курирует некоммерческая организация Open 3D Foundation, … Читать далее Выпуск игрового движка Open 3D Engine 22.10, открытого компанией Amazon

После четырёх лет разработки сформирован первый выпуск проекта libcamera (0.0.1), предлагающего программный стек для работы с видеокамерами, фотокамерами и TV-тюнерами в Linux, Android и ChromeOS, который продолжает развитие API V4L2 и со временем заменит его. Так как API библиотеки ещё продолжает меняться и окончательно не стабилизирован, до сих пор проект развивался без ответвления отдельных выпусков с использованием непрерывной модели разработки. В ответ на потребность дистрибутивов в отслеживании изменений API, влияющих на совместимость, и для упрощения поставки библиотеки в пакетах теперь принято решение периодически формировать релизы, отражающие степень изменения ABI и API. Код проекта написан на C++ и распространяется под лицензией … Читать далее Первый выпуск libcamera, стека для поддержки камер в Linux

Сформирован релиз специализированного дистрибутива Tails 5.5 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 ГБ. В новой версии задействовано ядро Linux 5.10.140, улучшена поддержка новых графических карт и беспроводных устройств. Tor Browser обновлён до выпуска 11.5.4, в который вошли исправлений уязвимостей, перенесённые из Firefox ESR 102.3. Для утилиты wget … Читать далее Выпуск дистрибутива Tails 5.5

В библиотеке LibKSBA, развиваемой проектом GnuPG и предоставляющей функции для работы с сертификатами X.509, выявлена критическая уязвимость (CVE-2022-3515), приводящая к целочисленному переполнению и записи произвольных данных за пределы выделенного буфера при разборе структур ASN.1, используемых в S/MIME, X.509 и CMS. Проблема усугубляется тем, что библиотека Libksba используется в пакете GnuPG и уязвимость может привести к удалённому выполнению кода атакующего при обработке в GnuPG (gpgsm) зашифрованных или подписанных данных из файлов или почтовых сообщений, использующих S/MIME. В простейшем случае для атаки на жертву, использующую почтовый клиент с поддержкой GnuPG и S/MIME, достаточно отправить специально оформленное письмо. Уязвимость также может использоваться для … Читать далее Уязвимость в LibKSBA, приводящая к выполнению кода при обработке S/MIME в GnuPG

Опубликован релиз языка программирования Crystal 1.6, разработчики которого пытаются совместить удобство разработки на языке Ruby с высокой производительностью приложений, свойственной языку Си. Синтаксис Crystal близок к языку Ruby, но не полностью совместим с ним, несмотря на то, что без переработки выполняются некоторые ruby-программы. Код компилятора написан на языке Crystal и распространяется под лицензией Apache 2.0. В языке применяется статическая проверка типов, реализованная без необходимости явного указания типов переменных и аргументов методов в коде. Программы на Crystal компилируются в исполняемые файлы, с вычислением макросов и генерацией кода во время компиляции. В программах на языке Crystal допускается подключение биндингов, написанных на языке … Читать далее Выпуск языка программирования Crystal 1.6

Разработчики сборки Rolling Rhino Remix объявили о трансформации проекта в отдельный дистрибутив Rhino Linux. Причиной создания нового продукта стал пересмотр целей и модели разработки проекта, который уже перерос состояние любительской разработки и стал выходить за рамки простой пересборки Ubuntu. Новый дистрибутив по-прежнему продолжит собираться на основе Ubuntu, но будет включать дополнительные утилиты и развиваться командой из нескольких разработчиков (к работе подключилось ещё два участника). В качестве рабочего стола будет предложено немного переработанная версия Xfce. В основной состав будет включён пакетный менеджер Pacstall, позиционируемый как аналог репозитория AUR (Arch User Repository) для Ubuntu, позволяющий сторонним разработчикам распространять свои пакеты без включения … Читать далее Представлен Rhino Linux, непрерывно обновляемый дистрибутив на основе Ubuntu

Доступен выпуск проекта Nuitka 1.1, развивающего компилятор для трансляции скриптов на языке Python в представление на языке C, которое затем можно скомпилировать в исполняемый файл, использующий libpython для обеспечения максимальной совместимости с CPython (используются штатные средства CPython для управления объектами). Обеспечена полная совместимость с актуальными выпусками Python 2.6, 2.7, 3.3 — 3.10. По сравнению с CPython скомпилированные скрипты демонстрируют в тестах pystone повышение производительности на 335%. Код проекта распространяется под лицензией Apache. Среди изменений в новой версии: Расширены возможности по заданию конфигурации в формате Yaml. Внесены оптимизации, связанные с исключением неиспользуемых компонентов стандартной библиотеки (zoneinfo, concurrent, asyncio и т.п.), которые … Читать далее Выпуск Nuitka 1.1, компилятора для языка Python

Сформированы новые загрузочные сборки дистрибутива Void Linux, который является самостоятельным проектом, не использующим наработки других дистрибутивов и разрабатываемый с применением непрерывного цикла обновления версий программ (rolling-обновления, без отдельных релизов дистрибутива). Прошлые сборки были опубликованы год назад. Кроме появления актуальных загрузочных образов на основе более свежего среза системы обновление сборок функциональных изменений не несёт и их использование имеет смысл только для новых установок (в уже установленных системах обновления пакетов доставляются по мере готовности). Сборки доступны в вариантах на базе системных библиотек Glibc и Musl. Для платформ x86_64, i686, armv6l, armv7l и aarch64 подготовлены Live-образы с рабочим столом Xfce и базовая консольная … Читать далее Обновление установочных сборок Void Linux

Компания Google объявила об открытии наработок, связанных с проектом KataOS, нацеленным на создание защищённой операционной системой для встраиваемого оборудования. Системные компоненты KataOS написаны на языке Rust и выполняются поверх микроядра seL4, для которого на системах RISC-V предоставлено математическое доказательство надёжности, свидетельствующее о полном соответствии кода спецификациям, заданным на формальном языке. Код проекта открыт под лицензией Apache 2.0. В системе обеспечена поддержка платформ на базе архитектур RISC-V и ARM64. Для симуляции работы seL4 и окружения KataOS поверх оборудования в процессе разработки используется фреймворк Renode. В качестве эталонной реализации предложен программно-аппаратный комплекс Sparrow, комбинирующий KataOS с защищёнными чипами на базе платформы OpenTitan. … Читать далее Google открыл код защищённой операционной системы KataOS

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 7.19. С момента выпуска версии 7.18 было закрыто 17 отчётов об ошибках и внесено 270 изменений. Наиболее важные изменения: Добавлена возможность сохранения DOS-атрибутов файлов на диск. Пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.5. Реализована поддержка формата сжатия звука MPEG-4 (AAC). Закрыты отчёты об ошибках, связанные с работой игр: Resident Evil Revelations 2; Ultimate Marvel vs Capcom 3, Kheops Studio, Sonic Adventure DX (2004), AIMP 3. Закрыты отчёты об ошибках, связанные с работой приложений: Visual Studio Express, .NET Framework 3.0, OpenMPT, HP … Читать далее Выпуск Wine 7.19

В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом «404», но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям. Определение имён пакетов в закрытых репозиториях может потребоваться для совершения атаки через смешивание зависимостей, манипулирующей пересечением имён зависимостей в публичных и внутренних репозиториях. Зная, какие внутренние NPM-пакеты … Читать далее Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях

В беспроводном стеке (mac80211) ядра Linux выявлена, серия уязвимостей, некоторые из которых потенциально позволяют добиться переполнения буфера и удалённого выполнения кода через отправку точкой доступа специально оформленных пакетов. Исправление пока доступно только в форме патча. Для демонстрации возможности проведения атаки опубликованы примеры кадров, вызывающих переполнение, а также утилита для подстановки этих кадров в беспроводной стек 802.11. Уязвимости не зависят от используемых беспроводных драйверов. Предполагается, что выявленные проблемы могут быть использованы для создания рабочих эксплоитов для удалённой атаки на системы. CVE-2022-41674 — переполнение буфера в функции cfg80211_update_notlisted_nontrans, позволяющее переписать до 256 байт в куче. Уязвимость проявляется начиная с ядра Linux 5.1 … Читать далее Уязвимости в беспроводном стеке ядра Linux, допускающие удалённое выполнение кода

После года разработки опубликована новая стабильная ветка СУБД PostgreSQL 15. Обновления для новой ветки будут выходить в течение пяти лет до ноября 2027 года. Основные новшества: Добавлена поддержка SQL-команды «MERGE«, напоминающей выражение «INSERT … ON CONFLICT». MERGE позволяет создавать условные SQL-выражения, объединяющие в одном выражении операции INSERT, UPDATE и DELETE. Например, при помощи MERGE можно организовать слияние двух таблиц, вставляя недостающие записи и обновляя существующие. MERGE INTO customer_account ca USING recent_transactions t ON t.customer_id = ca.customer_id WHEN MATCHED THEN UPDATE SET balance = balance + transaction_value WHEN NOT MATCHED THEN INSERT (customer_id, balance) VALUES (t.customer_id, t.transaction_value); Значительно улучшены алгоритмы сортировки … Читать далее Релиз СУБД PostgreSQL 15

Опубликованы исходные тексты игры A Robot Named Fight, развиваемой в жанре roguelike. Игроку предлагается управляя роботом исследовать процедурно генерируемые неповторяющиеся уровни-лабиринты, собирать артефакты и бонусы, выполнять задания для получения доступа к новому содержимому, уничтожать нападающих тварей и в финале сразиться с главным монстром. Код написан на языке С# с использованием движка Unity и опубликован под собственной несвободной лицензией, запрещающей распространение производных работ в коммерческих целях. Тем не менее, автор игры заявил, что рассматривает возможность перевода кода на GPL или похожую лицензию. Источник: http://www.opennet.ru/opennews/art.shtml?num=57911 Читать далее Опубликован код игры A Robot Named Fight

Правительство РФ приняло постановление «О проведении эксперимента по предоставлению права использования программ для электронных вычислительных машин, алгоритмов, баз данных и документации к ним, в том числе исключительное право на которые принадлежит Российской Федерации, на условиях открытой лицензии и созданию условий для использования открытого программного обеспечения». Постановление предписывает: Создание национального репозитория ПО с открытым кодом; Размещение в репозитории программного обеспечения, созданного, в том числе, за бюджетные средства, для повторного использования в других проектах; Формирование нормативной базы для публикации ПО с открытым кодом. В качестве целей инициативы называется поддержка сообщества разработчиков открытого ПО, повышение качества ПО для госучреждений, снижение издержек за счёт … Читать далее В РФ утверждено создание национального репозитория открытого кода