Опубликованы корректирующие выпуски web-фреймворка Django 4.0.6 и 3.2.14, в которых устранена уязвимость (CVE-2022-34265), потенциально позволяющая выполнить подстановку своего SQL-кода. Проблема затрагивает приложения, использующие непроверенные внешние данные в параметрах kind и lookup_name, передаваемых в функции Trunc(kind) и Extract(lookup_name). Программы, которые допускают в значениях lookup_name и kind только проверенные данные уязвимость не затрагивает. Проблема блокирована через запрет использования в аргументах функций Extract и Trunc символов отличных от букв, цифр, «-«, «_», «(» и «)». Ранее в передаваемых значениях не вырезалась одинарная кавычка, что позволяло выполнить свои SQL-конструкции через передачу значений вида «day’ FROM start_datetime)) OR 1=1;—» и «year’, start_datetime)) OR 1=1;—«. В … Читать далее Уязвимость в web-фреймворке Django, которая может привести к подстановке SQL-кода

10 июля завершится приём заявок на участие в новой конкурсной программе стажировок для школьников и студентов «Код для всех«. Инициаторами конкурса выступили компании Postgres Professional и «Яндекс», к которым позднее присоединились BellSoft и CyberOK. Запуск программы поддержало Кружковое движение Национальной технологической инициативы (НТИ). Участники «Кода для всех» будут писать код в существующие проекты компаний-организаторов под руководством менторов. Каждый стажер сможет работать дистанционно и будет ежемесячно получать стипендию или итоговое вознаграждение от партнеров программы в размере до 180 тысяч рублей за весь период. Подать заявки можно на несколько направлений – создание патчей для СУБД PostgreSQL (Postgres Professional), решения в сфере кибербезопасности … Читать далее Конкурс «Код для всех», нацеленный на содействие разработке открытого ПО

Правозащитная организация Software Freedom Conservancy (SFC), предоставляющая юридическую защиту свободным проектам и отстаивающая необходимость соблюдения лицензии GPL, объявила о прекращении любого использования платформы для совместной разработки кода GitHub и призвала разработчиков других открытых проектов последовать своему примеру. Организация также запустила инициативу, нацеленную на упрощение миграции проектов с GitHub на более открытые альтернативы, например, CodeBerg (на базе Gitea) и SourceHut, или внедрение на своих серверах собственных сервисов разработки, основанных на открытых платформах, таких как Gitea или GitLab Community Edition. К созданию инициативы организацию SFC подтолкнуло нежелание GutHub и Microsoft разбираться в этических и юридических тонкостях использование исходных текстов свободного ПО в … Читать далее Организация Software Freedom Conservancy призвала открытые проекты прекратить использовать GitHub

Маттиас Класен (Matthias Clasen), лидер Fedora Desktop Team, участник GNOME Release Team и один из активных разработчиков GTK (подготовил 36.8% изменений в GTK 4), начал обсуждение возможности прекращения поддержки протокола X11 в следующей значительной ветке GTK5 и оставления возможности работы GTK в Linux только с использованием протокола Wayland. В примечании к предложению о прекращении поддержки X11 указано, что «X11 не становится лучше, а Wayland уже повсеместно доступен». Далее поясняется, что GTK-бэкенд X11 и код на основе Xlib находятся в стагнации и испытывают проблемы с сопровождающими. Указано, что для того чтобы поддержка X11 сохранилась, кто-то должен писать и поддерживать связанный с … Читать далее Рассматривается возможность прекращения в GTK5 поддержки X11

Опубликован выпуск проекта Sound Open Firmware 2.2 (SOF), изначально созданного компанией Intel для ухода от практики поставки закрытых прошивок для DSP-чипов, связанных с обработкой звука. Впоследствии проект был переведён под крыло организации Linux Foundation и теперь разрабатывается с привлечением сообщества и при участии компаний AMD, Google и NXP. Проектом развивается SDK для упрощения разработки прошивок, звуковой драйвер для ядра Linux и набор готовых прошивок для различных DSP-чипов, для которых в том числе формируются бинарные сборки, заверенные цифровой подписью. Код прошивок написан на языке Си с ассемблерными вставками и распространяется под лицензией BSD. Благодаря модульной структуре Sound Open Firmware может быть … Читать далее Доступен Sound Open Firmware 2.2, набор открытых прошивок к DSP-чипам

В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE не назначен), позволяющая локальному пользователю выполнить код на уровне ядра и поднять свои привилегии в системе. Исследователями продемонстрирован эксплоит, позволивший локальному пользователю получить права root в Ubuntu 22.04 с ядром 5.15.0-39-generic. Изначально информацию об уязвимости планировалось опубликовать 15 августа, но из-за копирования письма c прототипом эксплоита в публичный список рассылки, эмбарго на раскрытие информации было отменено. Проблема проявляется начиная с выпуска ядра 5.8 и вызвана переполнением буфера в коде для обработки set-списков в модуле nf_tables, произошедшем из-за отсутствия должных проверок в функции nft_set_elem_init. Ошибка внесена … Читать далее Локальная уязвимость в nftables, позволяющая повысить свои привилегии

В развиваемый проектом GNOME web-браузер Epiphany, основанный на движке WebKitGTK и предлагаемый пользователям под именем GNOME Web, добавлена поддержка дополнений в формате WebExtension. API WebExtensions позволяет создавать дополнения при помощи штатных web-технологий и унифицирует разработку дополнений для различных браузеров (WebExtensions применяется в дополнениях для Chrome, Firefox и Safari). Версия с поддержкой дополнений войдёт в состав выпуска GNOME 43, намеченного на 21 сентября. Отмечается, что в Epiphany пока реализована лишь часть API WebExtension, но данной поддержки уже достаточно для запуска некоторых популярных дополнений. Со временем поддержка API WebExtension будет расширяться. Разработка ведётся с оглядкой на реализацию второй версии манифеста дополнений и … Читать далее В web-браузер Epiphany (GNOME Web) добавлена поддержка WebExtension

Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно … Читать далее Выпуск межсетевого экрана firewalld 1.2

Проект Raspberry Pi представил новую плату Raspberry Pi Pico W, продолжающую развитие миниатюрной платы Pico, оснащённой микроконтроллером RP2040 собственной разработки. Новая редакция отличается интеграцией поддержки Wi-Fi (2.4GHz 802.11n), реализованной на базе чипа Infineon CYW43439. Чип CYW43439 также поддерживает Bluetooth Classic и Bluetooth Low-Energy, но они пока не задействованы в плате. Стоимость новой платы — 6 долларов, что на два доллара дороже первого варианта. Из областей применения, помимо совместного использования с компьютерами Raspberry Pi, разработки встраиваемых систем и систем управления различными устройствами, вариант с Wi-Fi позиционируется как платформа для создания устройств интернета-вещей, взаимодействующих по сети. Чип RP2040 включает в себя двухядерный … Читать далее Проект Raspberry Pi представил плату Pico W с поддержкой Wi-Fi

Подошёл к концу срок сопровождения LTS-ветки дистрибутива Debian 9 «Stretch», сформированного в 2017 году. Выпуск обновлений для LTS-ветки осуществлялся отдельной группой разработчиков LTS Team, созданной из энтузиастов и представителей компаний, заинтересованных в длительной поставке обновлений для Debian. В ближайшее время инициативная группа приступит к формированию новой LTS-ветки на базе Debian 10 «Buster», штатная поддержка которого истекает 7 июля 2022 года. Команда LTS Team примет эстафету от Security Team и продолжит сопровождение без перерыва. Выпуск обновлений для Debian 10 будет продлён до 30 июня 2024 года (в дальнейшем LTS-поддержка будет предоставлена для Debian 11, обновления для которого будут выпускаться до 2026 … Читать далее Прекращена LTS-поддержка Debian 9.0

Опубликован выпуск открытой платформы webOS Open Source Edition 2.17, которая может применяться на различных портативных устройствах, платах и автомобильных информационно-развлекательных системах. В качестве эталонной аппаратной платформы рассматриваются платы Raspberry Pi 4. Платформа развивается в публичном репозитории под лицензией Apache 2.0, а разработку курирует сообщество, придерживаясь совместной модели управления разработкой. Платформа webOS была изначально разработана компанией Palm в 2008 году и использовалась на смартфонах Palm Pre и Pixie. В 2010 году после поглощения компании Palm платформа перешла в руки Hewlett-Packard, после чего HP пыталась использовать данную платформу в своих принтерах, планшетах, ноутбуках и ПК. В 2012 году компания HP анонсировала перевод … Читать далее Выпуск платформы webOS Open Source Edition 2.17

После шести месяцев разработки представлен стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.21. Ветка 1.21 обратно совместима на уровне API и ABI с выпусками 1.x и содержит в основном исправления ошибок и незначительные обновления протокола. Несколько дней назад сформировано корректирующее обновление композитного сервера Weston 10.0.1, который развивается в рамках отдельного цикла разработки. Weston предоставляет код и рабочие примеры для использования Wayland в десктоп-окружениях и встраиваемых решениях. Основные изменения в протоколе: В программный интерфейс wl_pointer добавлена поддержка события wl_pointer.axis_value120 для высокоточного скроллинга на манипуляторах мышь с колесом прокрутки высокого разрешения. В сервер добавлены новые функции wl_signal_emit_mutable (аналог wl_signal_emit, поддерживающий … Читать далее Доступен Wayland 1.21

Разработчики проекта Ubuntu Unity, развивающего неофициальную редакцию Ubuntu Linux с рабочим столом Unity, объявили о формировании стабильного выпуска пользовательской оболочки Unity 7.6. Оболочка Unity 7 основана на библиотеке GTK и оптимизирована для эффективного используемого вертикального пространства на ноутбуках с широкоформатными экранами. Код распространяется под лицензией GPLv3. Готовые пакеты сформированы для Ubuntu 22.04. Последний значительный релиз Unity 7 был опубликован в мае 2016 года, после чего в ветку добавлялись только исправления ошибок, а поддержка осуществлялась группой энтузиастов. В Ubuntu 16.10 и 17.04 в дополнение к Unity 7 в состав была включена оболочка Unity 8, переведённая на библиотеку Qt5 и дисплейный сервер … Читать далее Стабильный выпуск пользовательской оболочки Unity 7.6

Опубликован релиз языка программирования общего назначения Rust 1.62, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения … Читать далее Выпуск языка программирования Rust 1.62

Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты («supply chain»). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3. В ходе анализа 330 тысяч пакетов при помощи предложенного инструментария в репозитории PyPi было выявлено 42 вредоносных пакета c бэкдорами и 2.4 тысячи рискованных пакетов. В … Читать далее Packj — инструментарий для выявления вредоносных библиотек на языках Python и JavaScript

В списке рассылки разработчиков набора компиляторов GCC опубликован отчёт о состоянии проекта Rust-GCC, развивающего GCC-фронтэнд gccrs с реализацией компилятора языка Rust на базе GCC. До ноября этого года планируется довести gccrs до возможности сборки кода, собираемого компилятром Rust 1.40, и добиться успешной компиляции и использования штатных Rust-библиотек libcore, liballoc и libstd. В следующие после этого 6 месяцев планируется реализовать проверку заимствования переменных (borrow checker) и поддержку пакета proc_macro. Также началась подготовительная работа к включению gccrs в основной состав GCC. В случае принятия gccrs в основной состав GCC, инструментарий GCC сможет использоваться для компиляции программ на языке Rust. В качестве одного … Читать далее Прогресс в разработке компилятора для языка Rust на базе GCC

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-23 (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri. Обновление Ubuntu Touch OTA-23 сформировано для смартфонов BQ E4.5/E5/M10/U Plus, Cosmo Communicator, F(x)tec Pro1, Fairphone 2/3, Google Pixel 2XL/3a, Huawei Nexus 6P, LG Nexus 4/5, Meizu MX4/Pro 5, Nexus 7 2013, OnePlus 2/3/5/6/One, Samsung Galaxy Note 4/S3 Neo+, Sony Xperia X/XZ/Z4, Vollaphone, Xiaomi Mi A2/A3, Xiaomi Poco F1, Xiaomi Redmi 3s/3x/3sp/4X/7, Xiaomi Redmi Note 7/7 Pro. Отдельно, без метки «OTA-23», будут подготовлены … Читать далее Двадцать третье обновление прошивки Ubuntu Touch

Состоялся релиз фреймворка для реверс-инжиниринга Rizin и связанной с ним графической оболочки Cutter. Проект Rizin начался как форк фреймворка Radare2 и продолжил его развитие с уклоном на удобный API и фокусом на анализ кода без форензики. С момента форка проект перешел на принципиально отличный механизм сохранения сессии («проектов») в виде состояния на базе сериализации. Кроме того, кодовая база значительно переработана в сторону удобства сопровождения. Код проекта написан на языке Си и распространяется под лицензией LGPLv3. Графическая оболочка Cutter написана C++ с использованием Qt и распространяется под лицензией GPLv3. Cutter, как и сам Rizin, нацелен на процесс обратной разработки программ в … Читать далее Релиз фреймворка для реверс-инжиниринга Rizin 0.4.0 и GUI Cutter 2.1.0

Компания Collabora опубликовала выпуск платформы CODE 22.5 (Collabora Online Development Edition), предлагающей специализированный дистрибутив для быстрого развёртывания LibreOffice Online и организации совместной удалённой работы с офисным пакетом через Web для достижения функциональности, похожей на Google Docs и Office 365. Дистрибутив оформлен в виде преднастроенного контейнера для системы Docker и также доступен в виде пакетов для популярных дистрибутивов Linux. Используемые в продукте наработки размещаются в общедоступных репозиториях LibreOffice, LibreOfficeKit, loolwsd (Web Services Daemon) и loleaflet (web-клиент). Наработки, предложенные в версии CODE 6.5, войдут в состав штатного LibreOffice. CODE включает все компоненты, необходимые для работы сервера LibreOffice Online и предоставляет возможность быстрого … Читать далее Увидел свет CODE 22.5, дистрибутив для развёртывания LibreOffice Online

Опубликован выпуск мобильной платформы KDE Plasma Mobile 22.06, основанной на мобильной редакции рабочего стола Plasma 5, библиотеках KDE Frameworks 5, телефонном стеке ModemManager и коммуникационном фреймворке Telepathy. Для вывода графики в Plasma Mobile используется композитный сервер kwin_wayland, а для обработки звука применяется PulseAudio. Одновременно подготовлен выпуск набора мобильных приложений Plasma Mobile Gear 22.06, формируемого по аналогии с набором KDE Gear. Для создания интерфейса приложений применяется Qt, набор компонентов Mauikit и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК. В состав входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, … Читать далее Доступна мобильная платформа KDE Plasma Mobile 22.06

После двух с половиной лет разработки состоялся релиз текстового редактора Vim 9.0. Код Vim распространяется под собственной копилефт лицензией, совместимой с GPL и позволяющей без ограничений использовать, распространять и перерабатывать код. Основная особенность лицензии Vim связана с возвратом изменений — реализованные в сторонних продуктах улучшения должны быть переданы в исходный проект, если мэйнтейнер Vim посчитает эти улучшения заслуживающими внимания и отправит соответствующий запрос. По типу распространения Vim относится к Сharityware, т.е. вместо продажи программы или сбора пожертвований на нужды проекта авторы Vim просят перечислить любую сумму на благотворительность, если программа понравится пользователю. В Vim 9 предложен новый язык разработки скриптов … Читать далее Релиз текстового редактора Vim 9.0