Доступен корректирующий выпуск X.Org Server 21.1.4, в котором устранены две уязвимости в обработчиках расширения Xkb, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Уязвимости вызваны отсутствием корректной проверки размера в обработчиках запросов ProcXkbSetGeometry (CVE-2022-2319) и ProcXkbSetDeviceInfo (CVE-2022-2320), которые можно эксплуатировать для записи в область памяти за границей выделенного буфера. В случае ProcXkbSetGeometry отсутствовала проверка размера полей запроса, что позволяло клиенту вызвать переполнение, указав в запросе число секций, не соответствующее фактически отправленным данным. В обработчике ProcXkbSetDeviceInfo уязвимость вызвана неверным порядком вызова … Читать далее Обновление X.Org Server 21.1.4 с устранением уязвимостей

Доступен выпуск проекта fheroes2 0.9.17, который воссоздает движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II или из оригинальной игры. Основные изменения: Убраны задержки при произведении MIDI-композиций. Внесены оптимизации для повышения качества музыки и MIDI. Новый звук для объекта на карте «Литейная», взятый из неиспользуемых ресурсов оригинальной игры. Изменены цвета некоторых окон интерфейса, чтобы они соответствовали «злой» гамме. Героям ИИ добавлена новая роль — курьер. На карте приключений оптимизировано … Читать далее Выпуск открытого движка Heroes of Might and Magic 2 — fheroes2 — 0.9.17

Для включения в состав ядра Linux предложен набор патчей с оптимизированной реализацией функции memchr(), применяемой для поиска символа в массиве. В отличие от старого варианта, в котором применялось побайтовое сравнение, предложенная реализация построена с учётом полного использования 64- и 32-разрядных регистров CPU. Вместо байтов сравнение осуществляется с использованием машинных слов, что позволяет за раз сравнивать как минимум 4 байта. При поиске в больших строках новый вариант оказался быстрее старого примерно в 4 раза (например, для строк в 1000 символов). Для строк небольшого размера эффективность новой реализации не столь значительна, но всё равно выше по сравнению с исходным вариантом. В ядре … Читать далее Для ядра Linux предложена реализация функции memchr, работающая до 4 раз быстрее

После года разработки опубликован релиз Live-дистрибутива NST 36 (Network Security Toolkit), предназначенного для проведения анализа безопасности сети и мониторинга её функционирования. Размер загрузочного iso-образа (x86_64) составляет 4.1 ГБ. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в уже установленную систему. Дистрибутив построен на базе Fedora 36 и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux. В состав дистрибутива включена большая подборка приложений, имеющих отношение к сетевой безопасности (например: Wireshark, NTop, Nessus, Snort, NMap, Kismet, TcpTrack, Etherape, nsttracroute, Ettercap и т.д.). Для управления процессом проверки безопасности и автоматизации вызова … Читать далее Выпуск дистрибутива Network Security Toolkit 36

Комитет, управляющий разработкой набора компиляторов GCC (GCC Steering Committee), одобрил включение в основной состав GCC реализации компилятора языка Rust, подготовленной проектом gccrs (GCC Rust). После интеграции фронтэнда штатный инструментарий GCC сможет использоваться для компиляции программ на языке Rust без необходимости установки компилятора rustc, построенного с использованием наработок LLVM. Разработчикам gccrs рекомендовано начать работу с командами, отвечающими за рецензирование изменений и подготовку релизов GCC, для проведения финальной проверки и одобрения патчей с точки зрения соблюдения технических требований к коду, добавляемому в GCC. В случае, если разработка gccrs продолжится в соответствии с ранее намеченным графиком и не будет выявлено непредвиденных проблем, фронтэнд … Читать далее В GCC утверждено включение поддержки языка Rust

После семи месяцев разработки опубликован выпуск свободной загрузочной прошивки Libreboot 20220710. Это четвёртый выпуск в составе проекта GNU, преподносимый как первый стабильный релиз (прошлые выпуски отмечались как тестовые, так как требовали дополнительной стабилизации и тестирования). Libreboot развивает полностью свободное ответвление от проекта CoreBoot, предоставляющее очищенную от бинарных вставок замену проприетарным прошивкам UEFI и BIOS, отвечающим за инициализации CPU, памяти, периферийных устройств и других компонентов оборудования. Libreboot нацелен на формирование системного окружения, позволяющего полностью обойтись без проприетарного ПО, не только на уровне операционной системы, но и прошивок, обеспечивающих загрузку. Libreboot не просто очищает CoreBoot от несвободных компонентов, но и дополняет его … Читать далее Выпуск Libreboot 20220710, полностью свободного дистрибутива Coreboot

Разработчики репозитория Python-пакетов PyPI опубликовали план перехода на обязательную двухфакторную аутентификацию для пакетов, входящих в категорию критически важных. Важность определяется по числу загрузок и изменение будет применено к учётным записям сопровождающих и владельцев проектов, связанных с 1% пакетов, лидирующих по числу загрузок за 6 месяцев. С учётом, что в настоящее время репоизторий PyPI включает более 350 тысяч пакетов, двухфакторная аутентификация будет применена примерно для 3500 пакетов. Для проверки попадание учётной записи в список подотовлена специальная страница. Точная дата включения обязательной двухфакторной аутентификации пока не определена, предполагается, что это произойдёт в ближайшие месяцы. В отличие от перехода на двухфакторную аутентификацию проектов … Читать далее Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета

Опубликовано четвёртое корректирующее обновление дистрибутива Debian 11, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 81 обновление с устранением проблем со стабильностью и 79 обновлений с устранением уязвимостей. Из изменений в Debian 11.4 можно отметить обновление до свежих стабильных версий пакетов apache2, clamav, postfix, network-manager, ganeti, libtgowt, nvidia-graphics-drivers, nvidia-persistenced, nvidia-settings, nvidia-xconfig, telegram-desktop, ublock-origin, usb.ids, wireless-regdb. Удалены пакеты elog и python-hbmqtt, оставшиеся без сопровождения и имеющие проблемы с безопасностью и работоспособностью. Для загрузки и установки «с нуля» в ближайшее время будут подготовлены установочные сборки, а также live iso-hybrid c Debian 11.4. Системы, установленные ранее и поддерживаемые … Читать далее Обновление Debian 11.4

Опубликован релиз пакета wayland-protocols 1.26, содержащего набор протоколов и расширений, дополняющих возможности базового протокола Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений. Все протоколы последовательно проходят три фазы — разработка, тестирование и стабилизация. После завершения стадии разработки (категория «unstable«) протокол помещается в ветку «staging» и официально включается в состав набора wayland-protocols, а после завершения тестирования перемещается в категорию стабильных. Протоколы из категории «staging» уже можно применять в композитных серверах и клиентах, где требуется связанная с ними функциональность. В отличие от категории «unstable» в «staging» запрещено внесение изменений, нарушающих совместимость, но в случае выявление проблем и недоработок … Читать далее Выпуск Wayland-Protocols 1.26

Компания Microsoft внесла изменения в условия использования каталога-магазина App Store, которые начнут действовать со следующей недели. Наиболее спорным изменением стал запрет продажи открытых приложений, которые обычно распространяются бесплатно. Вводимое требование нацелено на борьбу с третьими лицами, которые наживаются на продаже сборок популярных открытых программ. Новые правила сформулированы таким образом, что запрет на продажу распространяется на все проекты под открытыми лицензиями, так как код данных проектов доступен и может быть использован для создания бесплатных сборок. Запрет применим независимо от связи учётной записи с прямыми разработчиками и в том числе применяется к приложениям, размещённым в App Store основными проектами с целью финансовой … Читать далее Microsoft вводит запрет на размещение платного открытого ПО в App Store

Спустя 9 лет с момента выхода ветки 3.0 представлен первый выпуск новой стабильной ветки кроссплатформенного тулкита wxWidgets 3.2.0, позволяющего создавать графические интерфейсы для Linux, Windows, macOS, UNIX и мобильных платформ. По сравнению с веткой 3.0 наблюдается ряд несовместимостей на уровне API. Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library License, одобренной Фондом СПО и организацией OSI. Лицензия основана на LGPL и отличается позволением использования собственных условий для распространения производных работ в бинарной форме. Кроме разработки программ на С++ wxWidgets предоставляет биндинги для большинства популярных языков программирования, в том числе для PHP, Python, Perl и Ruby. В … Читать далее Выпуск графического тулкита wxWidgets 3.2.0

Компания Facebook (запрещена в РФ) опубликовала наработки проекта NLLB (No Language Left Behind), нацеленного на создание универсальной модели машинного обучения для прямого перевода текста с одного языка на другой, минуя промежуточный перевод на английский язык. Предложенная модель охватывает более 200 языков, включая редкие языки африканских и австралийских народов. Конечной целью проекта является предоставление средств для общения любых людей, независимо от языка на котором они говорят. Модель доступна под лицензией Creative Commons BY-NC 4.0, разрешающей копирование, распространение, задействование в своих проектах и создание производных работ, но при условии указания авторства, сохранения лицензии и использования только для некоммерческих целей. Инструментарий для работы … Читать далее Facebook опубликовал модель для машинного перевода, поддерживающую 200 языков

Леннарт Поттеринг (Lennart Poettering), создавший такие проекты, как Avahi (реализация протокола ZeroConf), звуковой сервер PulseAudio и системный менеджер systemd, уволился из компании Red Hat, в которой работал с 2008 года и руководил разработкой systemd. В качестве нового места работы называется компания Microsoft, деятельность Леннарта в которой также будет связана с разработкой systemd. Компания Microsoft использует systemd в своём дистрибутиве CBL-Mariner, который развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Помимо Леннарта в Microsoft также трудоустроены такие известные деятели открытого ПО, как Гвидо ван Россум (создатель языка Python), Мигель де Икаса (создатель … Читать далее Леннарт Поттеринг ушёл из Red Hat и трудоустроился в Microsoft

Доступен корректирующий выпуск Firefox 102.0.1, в котором устранено несколько недоработок: Устранена проблема, не позволявшая проверять правописание в содержимом, сочетающем слова на английском языке и языке не на основе латиницы. Например, проблема не позволяла выявлять ошибки в тексте на основе кириллицы при одновременном включении английского и русского словарей. Исправлена ошибка, приводившая к мельканию белого фона на боковой панели закладок при использовании тёмной темы оформления. Исправлена проблема, из-за которой включение режима очистки Cookie и данных сайтов после завершения работы не сохранялось и настройка сбрасывалась в исходное состояние. Решена проблема с созданием ярлыков на страницы при перетаскивании мышью пиктограммы сайта из адресной строки … Читать далее Обновление Firefox 102.0.1

Национальный институт стандартов и технологий США (NIST) объявил победителей конкурса криптоалгоритмов, стойких к подбору на квантовом компьютере. Конкурс был организован шесть лет назад и нацелен на выбор алгоритмов постквантовой криптографии, пригодных для выдвижения в качестве стандартов. В процессе проведения конкурса предложенные международными командами исследователей алгоритмы были изучены независимыми экспертами на предмет возможных уязвимостей и слабых мест. Победителем среди универсальных алгоритмов, которые можно использовать для защиты передачи информации в компьютерных сетях, выбран CRYSTALS-Kyber, сильными сторонами которого являются относительно небольшой размер ключей и высокая скорость работы. CRYSTALS-Kyber рекомендован для перевода в разряд стандартов. Кроме CRYSTALS-Kyber выделены ещё четыре алгоритма общего назначения — … Читать далее NIST утвердил алгоритмы шифрования, устойчивые к квантовым вычислениям

Компания Oracle опубликовала стабильные выпуски дистрибутива Oracle Linux 9 и ядра Unbreakable Enterprise Kernel 7 (UEK R7), позиционируемого для использования в дистрибутиве Oracle Linux в качестве альтернативы штатному пакету с ядром из Red Hat Enterprise Linux. Дистрибутив Oracle Linux 9 создан на основе пакетной базы Red Hat Enterprise Linux 9 и полностью бинарно совместим с ней. Для загрузки без ограничений предложены установочные iso-образы, размером 8.6 ГБ и 840 МБ, подготовленные для архитектур x86_64 и ARM64 (aarch64). Для Oracle Linux 9 открыт неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Для загрузки … Читать далее Доступны Oracle Linux 9 и ядро Unbreakable Enterprise Kernel 7

Проект KDE представил четвёртое поколение ультрабуков, поставляемых под брендом KDE Slimbook. Продукт разработан при участии сообщества KDE совместно с испанским поставщиком оборудования Slimbook. Программная начинка основана на рабочем столе KDE Plasma, системном окружении KDE Neon на базе Ubuntu и подборкой свободных приложений, таких как графический редактор Krita, система 3D-проектирования Blender, САПР FreeCAD и редактор видео Kdenlive. Графическое окружение по умолчанию использует протокол Wayland. Все поставляемые в KDE Slimbook приложения и обновления досконально тестируются разработчиками KDE для обеспечения высокого уровня стабильности окружения и совместимости с оборудованием. Новая серия поставляется с процессорами AMD Ryzen 5700U 4.3 GHz с 8 ядрами CPU (16 … Читать далее Проект KDE представил четвёртое поколение ноутбуков KDE Slimbook

Тим Бернерс-Ли (Tim Berners-Lee) объявил о решении придать спецификации, определяющей децентрализованные идентификаторы для Web (DID, Decentralized Identifier), статус рекомендованного стандарта. Возражения, заявленные компаниями Google и Mozilla, отклонены. Спецификация DID вводит в обиход новый тип уникальных глобальных идентификаторов, не привязанных к отдельным централизованным службам и организациям, таким как регистраторы доменов и удостоверяющие центры. Идентификатор может быть ассоциирован с произвольным ресурсом и сгенерирован при помощи систем, которым доверяет владелец ресурса. Для проверки подлинности идентификатора применяется аутентификация с доказательством владения на основе криптографических механизмов, таких как цифровые подписи. Спецификация позволяет использовать различные методы распределённого управления и получения информации об идентификаторах, включая методы на … Читать далее Децентрализованные идентификаторы будут стандартизированы, несмотря на возражения Google и Mozilla

Представлена новая версия свободной системы мониторинга с полностью открытым исходным кодом Zabbix 6.2. Вышедший релиз включает в себя улучшения производительности, гибкой работы с автоматически обнаруженными хостами, детального мониторинга процессов, значительного улучшения мониторинга платформы VMWare, новых средств визуализации и сбора данных, расширенного списка интеграций и шаблонов, и многое другое. Код проекта распространяется под лицензией GPLv2. Zabbix — универсальная система для мониторинга производительности и доступности серверов, инженерного и сетевого оборудования, приложений, баз данных, систем виртуализации, контейнеров, ИТ-сервисов, веб-сервисов, облачной инфраструктуры. Система реализует полный цикл от сбора данных, их обработки и преобразования, анализа этих данных для обнаружения проблем, и заканчивая хранением этих данных, визуализацией … Читать далее Выпуск системы мониторинга Zabbix 6.2

Опубликован релиз Live-дистрибутива Porteus 5.0, построенного на пакетной базе Slackware Linux 15 и предлагающего сборки с пользовательскими окружениями Xfce, Cinnamon, GNOME, KDE, LXDE, LXQt, MATE и OpenBox. Состав дистрибутива подобран для минимального потребления ресурсов, что позволяет использовать Porteus на устаревшем оборудовании. Из особенностей также отмечается высокая скорость загрузки. Для загрузки предлагаются компактные Live-образы, размером около 350 МБ, собранные для архитектур i586 и x86_64. Дополнительные приложения распространяются в форме модулей. Для управления пакетами используется свой пакетный менеджер PPM (Porteus Package Manager), учитывающий зависимости и позволяющий устанавливать программы из репозиториев Porteus, Slackware, и Slackbuilds.org. Интерфейс построен с оглядкой на возможность использования на … Читать далее Релиз дистрибутива Porteus 5.0

Опубликованы корректирующие выпуски web-фреймворка Django 4.0.6 и 3.2.14, в которых устранена уязвимость (CVE-2022-34265), потенциально позволяющая выполнить подстановку своего SQL-кода. Проблема затрагивает приложения, использующие непроверенные внешние данные в параметрах kind и lookup_name, передаваемых в функции Trunc(kind) и Extract(lookup_name). Программы, которые допускают в значениях lookup_name и kind только проверенные данные уязвимость не затрагивает. Проблема блокирована через запрет использования в аргументах функций Extract и Trunc символов отличных от букв, цифр, «-«, «_», «(» и «)». Ранее в передаваемых значениях не вырезалась одинарная кавычка, что позволяло выполнить свои SQL-конструкции через передачу значений вида «day’ FROM start_datetime)) OR 1=1;—» и «year’, start_datetime)) OR 1=1;—«. В … Читать далее Уязвимость в web-фреймворке Django, которая может привести к подстановке SQL-кода