В репозитории NPM наблюдается очередной массовый сбой в работе проектов из-за возникновения проблем в новой версии одной из популярных зависимостей. Источником проблем стал новый выпуск пакета mini-css-extract-plugin 2.5.0, предназначенного для извлечения CSS в отдельные файлы. Пакет насчитывает более 10 млн еженедельных загрузок и используется в качестве прямой зависимости у более чем 7 тысяч проектов. В новой версии были внесены изменения, нарушающие обратную совместимость при импорте библиотеки и приводившие к выводу ошибки при попытке использования ранее допустимой и описанной в документации конструкции «const MiniCssExtractPlugin = require(‘mini-css-extract-plugin’)», которую при переходе на новую версию потребовалось заменить на «const MiniCssExtractPlugin = require(«mini-css-extract-plugin»).default». Проблема проявилась … Читать далее Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах

Компания Google исключила из кодовой базы Chromium возможность удаления предлагаемых по умолчанию поисковых систем. В конфигураторе в секции «Управление поисковыми системами» (chrome://settings/searchEngines) теперь нельзя удалить элементы из списка поисковых систем по умолчанию (Google, Bing, Yahoo). Изменение начало действовать начиная с выпуска Chromium 97 и также затронуло все браузеры на его основе, включая новые выпуски Microsoft Edge, Opera и Brave (Vivaldi пока остаётся на движке Chromium 96). Помимо скрытия кнопки удаления в браузере также ограничены возможности редактирования параметров поисковой системы, которые теперь позволяют изменить лишь название и ключевые слова, но блокируют изменение URL c параметрами запроса. При этом сохранена функция удаления … Читать далее В Chromium и браузерах на его основе ограничено удаление поисковых систем

В пакете Cryptsetup, применяемом для шифрования дисковых разделов в Linux, выявлена уязвимость (CVE-2021-4122), позволяющая через модификацию метаданных добиться отключения шифрования в разделах в формате LUKS2 (Linux Unified Key Setup). Для эксплуатации уязвимости атакующий должен иметь физический доступ к зашифрованному носителю, т.е. метод имеет смысл в основном для атаки на зашифрованные внешние накопители, такие как Flash-диски, к которым злоумышленник имеет доступ, но не знает пароля для расшифровки данных. Атака применима только для формата LUKS2 и связана с манипуляцией метаданными, отвечающими за активацию расширения «online reencryption», позволяющего при необходимости смены ключа доступа инициировать процесс перешифрования данных на лету без остановки работы с … Читать далее Уязвимость в cryptsetup, позволяющая отключить шифрование в LUKS2-разделах

Представлен выпуск сборочного инструментария Qbs 1.21. Это восьмой выпуск после ухода компании Qt Company от разработки проекта, подготовленный силами сообщества, заинтересованного в продолжении разработки Qbs. Для сборки Qbs в числе зависимостей требуется Qt, хотя сам Qbs рассчитан на организацию сборки любых проектов. Qbs использует упрощённый вариант языка QML для определения сценариев сборки проекта, что позволяет определять достаточно гибкие правила сборки, в которых могут подключаться внешние модули, использоваться функции на JavaScript и создаваться произвольные правила сборки. Используемый в Qbs язык сценариев адаптирован для автоматизации генерации и разбора сценариев сборки интегрированными средами разработки. Кроме того, Qbs не генерирует make-файлы, а сам, без … Читать далее Выпуск сборочного инструментария Qbs 1.21 и начало тестирования Qt 6.3

Разработчики анонимной сети Tor представили выпуск проекта Arti 0.0.3, развивающего Tor-клиент, написанный на языке Rust. Проект имеет статус экспериментальной разработки, отстаёт от функциональности от основного клиента Tor на языке Си и пока не готов полноценно заменить его. В марте ожидается выпуск 0.1.0, который позиционируется как первый бета-выпуск проекта, а осенью выпуск 1.0 со стабилизацией API, CLI и настроек, который будет пригоден для начального использования обычными пользователями. В более отдалённом будущем, когда код на Rust достигнет уровня, способного полностью заменить вариант на Си, разработчики намерены придать Arti статус основной реализации Tor и прекратить сопровождение реализации на Си. В отличие от реализации … Читать далее Проект Tor опубликовал Arti 0.0.3, реализацию клиента Tor на языке Rust

Доступен стабильный релиз интерфейса для упрощения настройки параметров сети — NetworkManager 1.34.0. Плагины для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN развиваются в рамках собственных циклов разработки. Основные новшества NetworkManager 1.34: Реализован новый сервис nm-priv-helper, предназначенный для организации выполнения операций, требующих повышенных привилегий. В настоящее время использование данного сервиса ограничено, но в дальнейшем планируется избавить основной процесс NetworkManager от расширенных привилегий и использовать nm-priv-helper для выполнения привилегированных операций. В консольном интерфейсе nmtui реализована возможность добавления и редактирования профилей для установки соединений через VPN Wireguard. Добавлена возможность настройки DNS over TLS (DoT) на базе systemd-resolved. В nmcli реализована команда «nmcli device … Читать далее Релиз сетевого конфигуратора NetworkManager 1.34.0

По горячим следам сформирован корректирующий выпуск Firefox 96.0.1, в котором устранена появившаяся в Firefox 96 ошибка в коде для разбора заголовка «Content-Length», проявляющаяся при использовании HTTP/3. Ошибка сводилась к тому, что поиск строки «Content-Length:» производился с учётом регистра символов, из-за чего не учитывалось такие варианты написания, как «content-length:». В новой версии также устранена специфичная для Windows проблема, приводящая к нарушению работы правил работы в обход настроек прокси. Кроме того, не упомянута в примечании к выпуску, но исправлена в обновлении ещё одна проблема в коде HTTP/3, приводящая к бесконечному зацикливанию при попытке открытия сайтов при помощи протокола HTTP/3 и при использовании … Читать далее Обновление Firefox 96.0.1. В Firefox Focus включён режим изоляции Cookie

В коде файловой системы XFS обнаружена уязвимость (CVE-2021-4155), позволяющая локальному непривилегированному пользователю читать данные неиспользуемых блоков напрямую с блочного устройства. Все значительные версии ядра Linux старше 5.16, содержащие драйвер XFS, подвержены этой проблеме. Исправление вошло в версию 5.16, а также в обновления ядер 5.15.14, 5.10.91, 5.4.171, 4.19.225 и т.д. Состояние формирования обновлений с устранением проблемы в дистрибутивах можно отследить на данных страницах: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Уязвимость вызвана некорректным поведением двух специфичных для XFS ioctl(XFS_IOC_ALLOCSP) и ioctl(XFS_IOC_FREESP), которые являются функциональным аналогом общеядерного системного вызова fallocate(). При увеличении размера файла, не выровненного на размер блока, ioctl XFS_IOC_ALLOCSP/XFS_IOC_FREESP не обнуляют … Читать далее Уязвимость в XFS, позволяющая читать сырые данные блочного устройства

Исследователи из университета Уотерлу и Исследовательской лаборатории Военно-морского флота США представили результаты разработки симулятора сети Tor, сравнимого по числу узлов и пользователей с основной сетью Tor и позволяющего проводить эксперименты, приближенные к реальным условиям. Подготовленный в ходе эксперимента инструментарий и методология моделирования сети позволили на компьютере с 4 ТБ ОЗУ симулировать работу сети из 6489 узлов Tor, к которой одновременно подключено 792 тысячи виртуальных пользователей. Отмечается, что это первая полномасштабная симуляция сети Tor, число узлов в которой соответствует реальной сети (рабочая сеть Tor насчитывает около 6 тысяч узлов и 2 млн подключённых пользователей). Полноценная симуляция сети Tor представляет интерес с … Читать далее Эксперимент по симуляции полноразмерной сети Tor

Опубликован релиз языка системного программирования Rust 1.58, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Автоматическое управление памятью в Rust избавляет разработчика от ошибок при манипулировании указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения … Читать далее Выпуск языка программирования Rust 1.58

Проект LLVM сообщил о переходе с системы почтовых рассылок на сайт llvm.discourse.group на базе платформы Discourse для общения разработчиков и публикации анонсов. До 20 января все архивы прошлых обсуждений будут перенесены на новую площадку. Работа списков рассылки будет переведена в режим только для чтения 1 февраля. Переход позволит сделать общение более простым и привычным для новичков, структурировать обсуждения в llvm-dev, организовать полноценное модерирование и фильтрацию спама. Участники не желающие использовать web-интерфейс и мобильное приложение смогут воспользоваться предоставляемым в Discourse шлюзом для взаимодействия по email. Платформа Discourse предоставляет систему линейных обсуждений, предлагаемых для замены списков рассылки, web-форумов и чатов. Поддерживается разделение … Читать далее Проект LLVM переходит со списков рассылки на платформу Discourse

В подсистеме eBPF выявлена ещё одна уязвимость (CVE отсутствует), как и вчерашняя проблема позволяющая локальному непривилегированному пользователю выполнить код на уровне ядра Linux. Проблема проявляется начиная с ядра Linux 5.8 и пока остаётся неисправленной. Рабочий эксплоит обещают опубликовать 18 января. Новая уязвимость вызвана некорректной проверкой передаваемых для выполнения eBPF-программ. В частности верификатор eBPF должным образом не ограничивал некоторые типы указателей *_OR_NULL, что давало возможность производить манипуляции с указателями из eBPF-программ и добиться повышения своих привилегий. Для блокирования эксплуатации уязвимости предлагается запретить выполнение BPF-программ непривилегированным пользователям командой «sysctl -w kernel.unprivileged_bpf_disabled=1». Источник: http://www.opennet.ru/opennews/art.shtml?num=56504 Читать далее Ещё одна уязвимость в подсистеме eBPF, позволяющая повысить свои привилегии

Кристофер Дуц (Christofer Dutz), создатель и основной разработчик набора свободных библиотек для промышленной автоматизации Apache PLC4X, занимающий в организации Apache Software Foundation пост вице-президента, курирующего проект Apache PLC4X, предъявил корпорациям ультиматум, в соответствии с которым выразил готовность прекратить разработку, если не сможет решить проблемы с финансированием своей работы. Недовольство вызвано тем, что использование Apache PLC4X вместо проприетарных решений позволяет корпорациям экономить десятки миллионов евро на покупке лицензий, но в ответ от компаний не поступает должной помощи для ведения разработки, при том, что работа над Apache PLC4X требует больших трудозатрат и финансовых вложений на оборудование и ПО. Воодушевившись тем, что его … Читать далее Лидер Apache PLC4X перешёл на модель платного развития функциональности

Состоялся релиз IPython 8.0, интерактивной оболочки для языка Python, которая сочетает возможности интерактивной консоли Python и командной оболочки Unix, предоставляет гибкие средства отладки, редактирования кода и визуализации данных. IPython активно используется в научной среде для разработки, обработки данных и интерактивного выполнения приложений, связанных с библиотеками numpy, matplotlib, sympy и scipy. В новой версии добавлена возможность переформатирования кода с использованием инструментария Black. Повышена информативность трассировок вызовов в сообщениях об ошибках. Улучшен выборочный поиск по истории операций. Реализован режим autosuggestion для автоматического вывода рекомендаций по продолжению ввода. Проведена значительная чистка и переработка кодовой базы, нацеленная на упрощение сопровождения проекта, удаление устаревших функций … Читать далее Выпуск интерактивной оболочки IPython 8.0

Патрик Фолькердинг (Patrick Volkerding) объявил о формировании третьего, последнего, кандидата в релизы дистрибутива Slackware 15.0, который достиг стадии заморозки 99% пакетов перед релизом. Для загрузки подготовлен установочный образ, размером 3.4 ГБ (x86_64), а также сокращённая сборка для запуска в Live-режиме. Из финальных изменений перед заморозкой отмечается обновление ядра Linux до версии 5.15.14 (рассматривается возможность включения в релиз выпуска 5.15.15), KDE Plasma 5.23.5, KDE Gear 21.12.1, KDE Frameworks 5.90, eudev 3.2.11, vala 0.54.6, iproute2 5.16.0, firefox 91.5, thunderbird 91.5.0, sqlite 3.37.2, mercurial 6.0.1, pipewire 0.3.43, pulseaudio 15.0, mdadm 4.2, mesa 21.3.3, wpa_supplicant 2.9, xorg-server 1.20.14, gimp 2.10.30, gtk 3.24, freetype 2.11.1. … Читать далее Третий кандидат в релизы Slackware Linux 15.0

Во входящей в состав systemd утилите systemd-tmpfiles выявлена уязвимость (CVE-2021-3997), позволяющая вызвать неконтролируемую рекурсию. Проблему можно использовать для организации отказа в обслуживании во время загрузки системы через создание в каталоге /tmp большого числа вложенных подкаталогов. Исправление пока доступно в форме патча. Обновления пакетов с устранением проблемы предложены в Ubuntu и SUSE, но пока недоступны в Debian, RHEL и Fedora (исправления на стадии тестирования). При создании тысяч вложенных каталогов выполнение операции «systemd-tmpfiles —remove» приводит к аварийному завершению из-за исчерпания стека. Обычно утилита systemd-tmpfiles в одном вызове выполняет операции удаления и создания каталогов («systemd-tmpfiles —create —remove —boot —exclude-prefix=/dev»), при этом вначале выполняется … Читать далее Уязвимости в systemd, Flatpak, Samba, FreeRDP, Clamav, Node.js

В подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-4204), дающая возможность локальному непривилегированному пользователю добиться повышения привилегий и выполнения своего кода на уровне ядра Linux. Проблема проявляется начиная с ядра Linux 5.8 и пока остаётся неисправленной (затрагивает в том числе выпуск 5.16). Состояние формирования обновлений с устранением проблемы в дистрибутивах можно отследить на данных страницах: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Заявлено о создании рабочего эксплоита, который планируют опубликовать 18 января (пользователям и разработчикам дана неделя на устранение уязвимости). Уязвимость вызвана некорректной проверкой передаваемых для выполнения eBPF-программ. Подсистема eBPF предоставляет вспомогательные … Читать далее Уязвимость в подсистеме eBPF, позволяющая выполнить код на уровне ядра Linux

Сообщество Pine64, занимающееся созданием открытых устройств, объявило о начале приёма предзаказов на смартфон PinePhone Pro Explorer Edition. Поставки по предзаказам, отправленным до 18 января, ожидаются в конце января или в начале февраля. Для заказов после 18 января поставка будет задержана до конца новогодних праздников в Китае. Стоимость устройства — 399 долларов, что более чем в два раза дороже первой модели PinePhone, но повышение цены оправдано существенной модернизацией аппаратной начинки. Модель PinePhone Pro продолжает позиционироваться как устройство для энтузиастов, которые устали от Android и iOS, и хотят получить полностью контролируемое и защищённое окружение на базе альтернативных открытых Linux-платформ. Смартфон построен на … Читать далее Доступен для предзаказа смартфон PinePhone Pro, поставляемый с KDE Plasma Mobile

Сформирован релиз специализированного дистрибутива Tails 4.26 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 ГБ. В новом выпуске обновлена версия Tor Browser 11.0.4 и добавлен ярлык для открытия мастера настройки соединения (Tor Connection Assistant), если при запуске Tor Browser не было установлено подключение к сети Tor. Одновременно выпущена … Читать далее Выпуск Tor Browser 11.0.4 и дистрибутива Tails 4.26

Иржи Конечный (Jiri Konecny) из компании Red Hat объявил о работе по модернизации и улучшению пользовательского интерфейса инсталлятора Anaconda, применяемого в Fedora, RHEL, CentOS и некоторых других дистрибутивах Linux. Примечательно, что вместо библиотеки GTK новый интерфейс будет построен на базе web-технологий и будет допускать удалённое управление через web-браузер. Отмечается, что решение о переработке инсталлятора уже принято, но реализация пока находится на стадии рабочего прототипа, не готового для демонстрации. В качестве основы для создания нового интерфейса задействованы компоненты проекта Cockpit, используемого в продуктах Red Hat для настройки и управления серверами. Cockpit выбран как хорошо зарекомендовавшее себя решение с поддержкой бэкенда для … Читать далее Используемый в Fedora и RHEL инсталлятор Anaconda переводят на web-интерфейс

Состоялся релиз библиотеки SDL 2.0.20 (Simple DirectMedia Layer), нацеленной на упрощение написания игр и мультимедийных приложений. Библиотека SDL предоставляет такие средства как аппаратно-ускоренный вывод 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES/Vulkan и множество иных сопутствующих операций. Библиотека написана на языке Си и распространяется под лицензией zlib. Для использования возможностей SDL в проектах на различных языках программирования предоставляются биндинги. Код библиотеки распространяется под лицензией Zlib. В новом выпуске: Повышена точность вывода горизонтальных и вертикальных линий при использовании OpenGL и OpenGL ES. Добавлен признак SDL_HINT_RENDER_LINE_METHOD для выбора метода отрисовки линий, влияющего на скорость, корректность и совместимость. Функция … Читать далее Выпуск мультимедийной библиотеки SDL 2.0.20