Представлен выпуск новой стабильной ветки WebKitGTK 2.36.0, порта браузерного движка WebKit для платформы GTK. WebKitGTK позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK, можно отметить штатный браузер GNOME (Epiphany). Ранее WebKitGTK применялся в браузере Midori, но после перехода проекта в руки Astian Foundation старый вариант Midori на WebKitGTK был заброшен и путём создания ответвления от браузера Wexond создан принципиально другой продукт с тем же названием Midori, но на основе платформы Electron … Читать далее Релиз браузерного движка WebKitGTK 2.36.0 и web-браузера Epiphany 42

В CRI-O, runtime для управления изолированными контейнерами, выявлена критическая уязвимость (CVE-2022-0811), позволяющая обойти изоляцию и выполнить свой код на стороне хост-системы. В случае использования CRI-O вместо containerd и Docker для организации запуска контейнеров, работающих под управлением платформы Kubernetes, атакующий может получить контроль над любым узлом в кластере Kubernetes. Для проведения атаки достаточно прав для запуска своего контейнера в кластере Kubernetes. Уязвимость вызвана возможностью изменения sysctl-параметра ядра «kernel.core_pattern» («/proc/sys/kernel/core_pattern»), доступ к которому не блокировался, несмотря на то, что он не входит в число безопасных для изменения параметров, действующих только в пространстве имён текущего контейнера. При помощи данного параметра пользователь из контейнера … Читать далее Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.17. Среди наиболее заметных изменений: новая система управления производительностью для процессоров AMD, возможность рекурсивного маппинга идентификаторов пользователей в файловых системах, поддержка переносимых скомпилированных BPF-программ, перевод генератора псевдослучайных чисел на алгоритм BLAKE2s, утилита RTLA для анализа выполнения в режиме реального времени, новый бэкенд fscache для кэширования сетевых ФС, возможность прикрепления имён к анонимным операциям mmap. В новую версию принято 14203 исправлений от 1995 разработчиков, размер патча — 37 МБ (изменения затронули 11366 файлов, добавлено 506043 строк кода, удалено 250954 строк). Около 44% всех представленных в 5.17 изменений связаны с драйверами устройств, … Читать далее Релиз ядра Linux 5.17

Состоялся релиз дистрибутива Lakka 4.0, позволяющего превратить компьютеры, телеприставки или одноплатные компьютеры в полноценную игровую консоль для запуска ретроигр. Проект является модификацией дистрибутива LibreELEC, изначально рассчитанного на создание домашних кинотеатров. Сборки Lakka формируются для платформ i386, x86_64 (GPU Intel, NVIDIA или AMD), Raspberry Pi 1-4, Orange Pi, Banana Pi, Hummingboard, Cubox-i, Odroid C1/C1+/XU3/XU4 и т.д. Для установки достаточно записать дистрибутив на SD-карту или USB-накопитель, подключить геймпад и загрузить систему. В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых игр при помощи шейдеров, … Читать далее Выпуск Lakka 4.0, дистрибутива для создания игровых консолей

Спустя два года с момента прошлого выпуска опубликован релиз альтернативной сборки дистрибутива Linux Mint — Linux Mint Debian Edition 5, выполненной на основе пакетной базы Debian (классический Linux Mint базируется на пакетной базе Ubuntu). Кроме использования пакетной базы Debian, важным отличием LMDE от Linux Mint является постоянный цикл обновления пакетной базы (модель непрерывных обновлений: частичный роллинг-релиз, semi-rolling release), при котором обновления пакетов выходят постоянно и пользователь в любой момент имеет возможность перейти на последние версии программ. Дистрибутив доступен в виде установочных iso-образов с десктоп-окружением Cinnamon. В поставку LMDE включено большинство улучшений классического релиза Linux Mint 20.3, в том числе оригинальные … Читать далее Выпуск дистрибутива Linux Mint Debian Edition 5

Проект Asahi, нацеленный на портирование Linux для работы на компьютерах Mac, оснащённых ARM-чипом Apple M1 (Apple Silicon), представил первый альфа-выпуск эталонного дистрибутива, позволяющий любому желающему ознакомиться с текущим уровнем развития проекта. Дистрибутив поддерживает установку на устройствах с M1, M1 Pro и M1 Max. Отмечается, что сборки пока не готовы для повсеместного использования обычными пользователями, но уже пригодны для начального ознакомления разработчиками и продвинутыми пользователями. Asahi Linux базируется на пакетной базе Arch Linux, включает традиционный набор программ и поставляется с рабочим столом KDE Plasma. Дистрибутив построен с использованием штатных репозиториев Arch Linux, а все специфичные изменения, такие как ядро, инсталлятор, загрузчик, … Читать далее Первый тестовый выпуск Asahi Linux, дистрибутива для устройств Apple с чипом M1

Мигель Охеда (Miguel Ojeda), автор проекта Rust-for-Linux, предложил для рассмотрения разработчиками ядра Linux выпуск v5 компонентов для разработки драйверов устройств на языке Rust. Это шестая редакция патчей с учётом первого варианта, опубликованного без номера версии. Поддержка Rust рассматривается как экспериментальная, но уже включена в ветку linux-next и достаточно развита для начала работы по созданию слоёв абстракции над подсистемами ядра, а также для написания драйверов и модулей. Разработка финансируется компанией Google и организацией ISRG (Internet Security Research Group), которая является учредителем проекта Let’s Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета. Напомним, что предложенные изменения дают возможность … Читать далее Новая версия патчей для ядра Linux с поддержкой языка Rust

Сообщества VideoLAN и FFmpeg опубликовали выпуск библиотеки dav1d 1.0.0 с реализацией альтернативного свободного декодировщика формата кодирования видео AV1. Код проекта написан на языке C (C99) с ассемблерными вставками (NASM/GAS) и распространяется под лицензией BSD. Реализована поддержка архитектур x86, x86_64, ARMv7 и ARMv8, и операционных систем FreeBSD, Linux, Windows, macOS, Android и iOS. Библиотека dav1d поддерживает все возможности AV1, включая расширенные виды субдискретизации и все заявленные в спецификации параметры управления глубиной цвета (8, 10 и 12 бит). Работа библиотеки протестирована на большой коллекции файлов в формате AV1. Ключевой особенностью dav1d является ориентация на достижение максимально возможной производительности декодирования и обеспечение качественной … Читать далее Выпуск dav1d 1.0, декодировщика AV1 от проектов VideoLAN и FFmpeg

Опубликован релиз web-браузера Pale Moon 30.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 30.0

Компания Mozilla начала применять новый метод идентификации установок браузера. В распространяемые с официального сайта сборки, поставляемые в форме exe-файлов для платформы Windows, подставляются идентификаторы dltoken, уникальные для каждой загрузки. Соответственно, совершенные последовательно несколько загрузок установочного архива для одной и той же платформы приводит к загрузке файлов с разными контрольными суммами, так как идентификаторы добавляются непосредственно в загружаемый файл. Эффект проявляется только при загрузке exe-файлов из окружения Windows. При попытке загрузки из браузера или из командной строки в Linux exe-файлы отдаются всегда одинаковые. Архивы не в исполняемых форматах также не изменяются. Утверждается, что отключить учёт dltoken можно через выключение телеметрии в … Читать далее Mozilla внедряет идентификаторы в загружаемые установочные файлы Firefox

В NPM-пакете node-ipc выявлено вредоносное изменение (CVE-2022-23812), с вероятностью 25% заменяющее на символ «❤️» содержимое всех файлов, к которым имеется доступ на запись. Вредоносный код активируется только при запуске на системах с IP-дресами из России или Белоруссии. Пакет node-ipc насчитыет около миллиона загрузок в неделю и используется в качестве зависимости у 354 пакетов, включая vue-cli. Все проекты, которые имеют в зависимостях node-ipc, также подвержены проблеме. Вредоносный код был размещён в репозитории NPM в составе выпусков node-ipc 10.1.1, 10.1.2 и 10.1.3. В Git-репозитории проекта вредоносное изменение было размещено от имени автора проекта 11 дней назад. В комментариях к предупреждению о появлении … Читать далее В NPM-пакете node-ipc выявлено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии

Апелляционный суд США оставил в силе решение, ранее принятое окружным судом в деле против компании PureThink, связанном с нарушением торговой марки и интеллектуальной собственности компании Neo4j Inc. Иск касается перелицензирования и распространения клона СУБД Neo4j. Изначально СУБД Neo4j развивалась как открытый проект, поставляемый под лицензией AGPLv3. Со временем, продукт разделился на бесплатную Community-редакцию и коммерческую версию Neo4 EE, которая продолжала поставляться под лицензией AGPL. Несколько выпусков назад компания Neo4j Inc изменила условия поставки и внесла изменения в текст AGPL для продукта Neo4 EE, устанавливающие дополнительные условия «Commons Clause«, ограничивающие применение в облачных сервисах. Добавление условий «Commons Clause» перевело продукт в … Читать далее Итоги судебного разбирательства, связанного с проектом Neo4j и лицензией AGPL

В списке рассылки разработчиков набора компиляторов GCC представлен проект gcobol, нацеленный на создание свободного компилятора для язык программирования COBOL. В текущем виде gcobol развивается как форк GCC, но после завершения разработки и стабилизации проекта, изменения планируют предложить для включения в основной состав GCC. Код проекта распространяется под лицензией GPLv3. В качестве причины создания нового проекта упоминается желание получить компилятор для COBOL, распространяемый под свободной лицензией и упрощающий миграцию приложений с мэйнфреймов IBM на системы, в которых используется Linux. Сообществом уже достаточно давно развивается обособленный свободный проект GnuCOBOL, но он является транслятором, переводящим код на язык Си, а также не обеспечивает … Читать далее Представлен gcobol, компилятор для языка COBOL на основе технологий GCC

Подготовлены корректирующие выпуски OpenVPN 2.5.6 и 2.4.12, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows. В новых версиях устранена уязвимость, потенциально позволяющая обойти аутентификацию через манипуляцию с внешними плагинами, поддерживающими режим отложенной аутентификации (deferred_auth). Проблема возникает когда несколько плагинов отправляют отложенные ответы аутентификации, что позволяет внешнему пользователю получить доступ на основе не полностью корректных учётных данных. Начиная с выпусков OpenVPN 2.5.6 и 2.4.12 попытки использования отложенной аутентификации … Читать далее Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости

В ядре Linux выявлена уязвимость (CVE-2022-0742), позволяющая исчерпать доступную память и удалённо вызвать отказ в обслуживании через отправку специально оформленных icmp6-пакетов. Проблема связана с утечкой памяти, возникающей при обработке ICMPv6-сообщений с типами 130 или 131. Проблема проявляется начиная с ядра 5.13 и устранена в выпусках 5.16.13 и 5.15.27. Проблема не затронула стабильные ветки Debian, SUSE и RHEL, устранена в Arch Linux, но остаётся неисправленной в Ubuntu 21.10 и Fedora Linux. Источник: http://www.opennet.ru/opennews/art.shtml?num=56865 Читать далее Удалённая DoS-уязвимость в ядре Linux, эксплуатируемая через отправку пакетов ICMPv6

Представлен релиз языка программирования Go 1.18, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Выпуск языка программирования Go 1.18

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.2 и 1.1.1n. В обновлении устранена уязвимость (CVE-2022-0778), которую можно использовать для организации отказа в обслуживании (бесконечное зацикливание обработчика). Для эксплуатации уязвимости достаточно добиться обработки специально оформленного сертификата. Проблема проявляется как в серверных, так и в клиентских приложениях, которые могут обрабатывать переданные пользователем сертификаты. Проблема вызвана ошибкой в функции BN_mod_sqrt(), приводящей к зацикливанию при вычислении квадратного корня по модулю, отличному от простого числа. Функция применяется при разборе сертификатов с ключами на базе эллиптических кривых. Эксплуатация сводится к подстановке в сертификат неверных параметров эллиптической кривой. Так как проблема проявляется на стадии до проверки цифровой подписи … Читать далее Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов

Компания Google сформировала обновления Chrome 99.0.4844.74 и 98.0.4758.132 (Extended Stable), в которых исправлено 11 уязвимостей, в том числе критическая уязвимость (CVE-2022-0971), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в браузерном движке Blink. Из других исправленных уязвимостей можно отметить проблемы с обращением к уже освобождённой памяти в механизме Safe Browsing, API Extensions, Splitscreen, реализации пользовательского интерфейса, стартовой странице (New Tab) и прослойке ANGLE, отвечающей за трансляцию вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan. … Читать далее Обновление Chrome 99.0.4844.74 с устранением критической уязвимости

Команда, отвечающая за управление учётными записями в проекте Debian, урезала статус Норберта Прейнинга (Norbert Preining) за неуместное поведение в закрытом списке рассылки debian-private. В ответ Норберт принял решение прекратить участие в разработке Debian и перейти в сообщество Arch Linux. Норберт участвовал в разработке Debian с 2005 года и занимался сопровождением около 150 пакетов, в основном связанных с KDE и LaTex. Судя по всему, триггером для урезания прав стал конфликт с Мартиной Феррари (Martina Ferrari), сопровождающей 37 пакетов, среди которых пакет net-tools и компоненты системы мониторинга Prometheus. Манера общения Норберта, который не сдерживал себя в выражениях, была воспринята Мартиной как сексизм … Читать далее Из Debian ушёл мэйнтейнер, не согласный с новой моделью поведения в сообществе

Компания Red Hat развязала судебное разбирательство против Дэниэла Покока (Daniel Pocock), связанное с нарушением торговой марки Fedora в доменном имени WeMakeFedora.org, на котором публиковалась критика в отношении участников проекта Fedora и Red Hat. Представители Red Hat требовали передать компании права на домен, так как он нарушает зарегистрированную торговую марку, но суд встал на сторону ответчика и вынес решение о сохранении прав на домен за текущим владельцем. Суд указал на то, что в соответствии с публикуемой на сайте WeMakeFedora.org информации, деятельность автора подпадает в категорию добросовестного использования торговой марки, так как имя Fedora используется ответчиком для идентификации тематики сайта, на котором … Читать далее Red Hat попытался отобрать домен WeMakeFedora.org под видом нарушения торговой марки

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 … Читать далее Обновление рейтинга библиотек, требующих особой проверки безопасности