В применяемую в Ubuntu тему оформления Yaru принято изменение, в котором для всех элементов кнопок, ползунков, виджетов и переключателей вместо баклажанового цвета задействован оранжевый цвет. Аналогичная замена выполнена в наборе пиктограмм. Цвет кнопки закрытия активного окна изменён с оранжевого на серый, а цвет ручек ползунков с светло-серого на белый. Если изменение не будет отменено, обновлённая цветовая схема будет предложена в выпуске Ubuntu 22.04. В качестве мотива изменения цвета отмечаются ограничения библиотеки libadwaita, в которую начиная с GTK 4.4 вынесены компоненты используемой в GNOME темы оформления Adwaita. Данная библиотека не позволяет использовать более одного акцентирующего цвета и применяет серый цвет для … Читать далее Тема оформления Ubuntu 22.04 переведена на использование оранжевого цвета

В состав пакетной базы Debian testing, на основе которой будет сформирован релиз Debian 12 «Bookworm», принят пакет fnt с реализацией менеджера шрифтов, решающего задачу установки дополнительных шрифтов и поддержания уже имеющихся шрифтов в актуальном состоянии. Кроме Linux программа также может использоваться во FreeBSD (на днях добавлен порт) и macOS. Код написан на Shell и распространяется под лицензией MIT. Утилита fnt позиционируется как аналог apt для шрифтов и поддерживает похожий набор команд для установки, обновления и поиска. Дополнительно предлагается команда для наглядного предпросмотра шрифтов в консоли при помощи ascii-графики. Для более качественного просмотра предлагаемых шрифтов в браузере подготовлен web-сервис. Утилита позволяет … Читать далее В Debian предложен менеджер шрифтов fnt

В результате декомпиляции приложения TikTok Live Studio, на днях предложенного для тестирования видеохостигом TikTok, выявлены факты заимствования кода свободного проекта OBS Studio без выполнения требований лицензии GPLv2, предписывающих распространять на тех же условиях производные проекты. Компания TikTok не выполнила данные условия и начала распространение тестовой версии только в форме готовых сборок, не предоставив доступ к исходным текстам своего ответвления от OBS. В настоящее время страница для загрузки TikTok Live Studio уже удалена с сайта TikTok, но прямые ссылки для загрузки пока работают. Отмечается, что при первом поверхностном изучении TikTok Live Studio разработчикам OBS сразу бросились в глаза некоторая структурная схожесть … Читать далее В TikTok Live Studio выявлено заимствование кода OBS, нарушающее лицензию GPL

После шести месяцев разработки опубликован выпуск утилиты youtube-dl 2021.12.17, предоставляющей интерфейс командной строки для загрузки звука и видео из YouTube и многих других сайтов и online-сервисов, включая VK, YandexVideo, RUTV, Rutube, PeerTube, Vimeo, Instagram, Twitter и Steam. Код проекта написан на языке Python и распространяется в форме общественного достояния. Из изменений можно отметить: Обновлены шаблоны для извлечения сигнатур со страниц YouTube, что позволило решить проблемы, возникшие после изменения JavaScript-кода YouTube. Повышена надёжность обработки вызовов get_video_info processing и добавлен обход запросов get_video_info, что решило проблемы с загрузкой видео с выставленными возрастными ограничениями. Обновлён список альтернативных серверов для доступа к YouTube, использующих … Читать далее Релиз youtube-dl 2021.12.17

После полутора лет разработки представлен релиз операционной системы ReactOS 0.4.14, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows. Операционная система находится на «альфа»-стадии разработки. Для загрузки подготовлены установочный ISO-образ (115 МБ) и Live-сборка (в zip-архиве 85 МБ). Код проекта распространяется под лицензиями GPLv2 и LGPLv2. Ключевые изменения: В пользовательскую оболочку (Shell) добавлена функция «Send To», позволяющая отправлять файлы и каталоги в предопределённые места, такие как раздел «Мои Документы», рабочий стол или каталог со сжатыми файлами. В контекстное меню рабочего стола добавлены команды «Open File Location» и «Open Command prompt here» для открытия каталога с выбранным файлом в файловом … Читать далее Выпуск операционной системы ReactOS 0.4.14

Проект KDE представил выпуск GCompris 2.0, свободного обучающего центра для детей дошкольного и младшего школьного возраста. Пакет предоставляет более 170 мини-уроков и модулей, включающих от простейшего графического редактора, головоломок и клавиатурного тренажера до уроков математики, географии и обучения чтению. GCompris использует библиотеку Qt и развивается сообществом KDE. Готовые сборки сформированы для Linux, macOS, Windows, Raspberry Pi и Android. В новой версии: Новые уроки: Мышонок (Baby mouse) для получения первого опыта работы за компьютером маленьких детей. Вари (Oware) — реализация одноимённой настольной логической игры. «Кодирование пути» — ребёнку предлагается задать набор команд-направлений для следования героя по предложенному пути. «Декодирование пути» — … Читать далее Выпуск GCompris 2.0, обучающего набора для детей от 2 до 10 лет

Опубликован выпуск проекта Chrony 4.2, предоставляющего независимую реализацию клиента и сервера NTP, применяемую для синхронизации точного времени в различных дистрибутивах Linux, в том числе в Fedora, Ubuntu, SUSE/openSUSE и RHEL/CentOS. Программа поддерживает спецификацию NTPv4 (RFC 5905) и протокол NTS (Network Time Security), использующий элементы инфраструктуры открытых ключей (PKI) и позволяющий применять TLS и аутентифицированное шифрование AEAD (Authenticated Encryption with Associated Data) для криптографической защиты синхронизации времени. Код написан на языке Си и распространяется под лицензией GPLv2. Для получения данных о точном времени могут использоваться как внешние NTP-серверы, так и эталонные часы, например, на базе GPS-ресиверов, при использовании которых может быть … Читать далее Выпуск системы синхронизации точного времени Chrony 4.2

Фонд свободного ПО утвердил два документа, регламентирующих обязанности и поведение участников совета директоров, а также задающих новый стандарт управления организацией. Каждый член совета директоров будет обязан подписать документ «Board Member Agreement«, определяющий список обязанностей и правил работы. Второй документ «Board of Directors Code of Ethics» задаёт общие этические правила поведения, которым должны следовать участники совета директоров. В начале следующего года с учётом представленных документов планируется пересмотреть состав текущих участников совета директоров и начать привлечение новых лиц к управлению организацией. Новые требования рассматривают совет директоров как надзорный и совещательный орган, контролирующий деятельность руководства Фонда (президента и исполнительного директора) и помогающий в … Читать далее Фонд СПО ввёл новые требования к участникам совета директоров

Доступен корректирующий выпуск Firefox 95.0.1, в котором устранено несколько ошибок: Решена проблема, приводившая к невозможности открытия многих сайтов Microsoft, включая www.microsoft.com, docs.microsoft.com, msdn.microsoft.com, support.microsoft.com, answers.microsoft.com, developer.microsoft.com и visualstudio.microsoft.com. При попытке открытия таких сайтов браузер выдавал страницу с сообщением от ошибке MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING. Проблема вызвана ошибкой в реализации механизма OCSP Stapling, при помощи которого обслуживающий сайт сервер на этапе согласовании TLS-соединения может передавать заверенный удостоверяющим центром ответ OCSP (Online Certificate Status Protocol) с информацией о действительности сертификатов. Проблема возникла из-за того, что Microsoft перешёл на использование хэшей SHA-2 в ответах OCSP, в то время как в Firefox сообщения с подобными хэшами не … Читать далее Обновление Firefox 95.0.1, решающее проблему с открытием сайтов microsoft.com

Майкл Свит (Michael R Sweet), автор системы печати CUPS, представил выпуск PAPPL 1.1, фреймворка для разработки приложений для печати на базе протокола IPP Everywhere, которые рекомендуется использовать вместо традиционных драйверов для принтеров. Код фреймворка написан на языке Си и распространяется под лицензией Apache 2.0 с исключением, разрешающим связывание с кодом под лицензиями GPLv2 и LGPLv2. В новой версии: Добавлена возможность настройки через Wi-Fi. Появилась поддержка доступа к принтеру при помощи протокола IPP-over-USB (IPP-USB). Реализован поиск подходящих драйверов для принтера и автоматическое добавление расширенной функциональности. Добавлен режим PAPPL_SOPTIONS_NO_TLS для отключения TLS-шифрования. Добавлены кнопки и команды для приостановки и возобновления работы принтера. … Читать далее Доступен PAPPL 1.1, фреймворк для организации вывода на печать

Rui Ueyama, автор компоновщика LLVM lld и компилятора chibicc, представил первый стабильный релиз нового высокопроизводительного компоновщика Mold, заметно опережающего по скорости связывания объектных файлов компоновщики GNU gold и LLVM lld. Проект признан готовым для рабочих внедрений и может применяться в качестве более быстрой прозрачной замены GNU linker на Linux-системах. Из планов на следующий значительный выпуск отмечается доведение до готовности поддержки платформы macOS, после чего начнётся работа по адаптации Mold для Windows. Mold написан на языке С++ (C++20) и распространяется под лицензией AGPLv3, которая совместима с GPLv3, но не совместима с GPLv2, так как требует открытия изменений при разработке сетевых сервисов. … Читать далее Первый стабильный релиз компоновщика Mold, развиваемого разработчиком LLVM lld

В USB Gadget, подсистеме ядра Linux, предоставляющей программный интерфейс для создания клиентских USB-устройств и программной симуляции USB-устройств, выявлена уязвимость (CVE-2021-39685), которая может привести к утечке информации из ядра, краху или выполнению произвольного кода на уровне ядра. Атака производится непривилегированным локальным пользователем через манипуляции с различными классами устройств, реализованными на базе API USB Gadget, такими, как rndis, hid, uac1, uac1_legacy и uac2. Проблема устранена в опубликованных на днях обновлениях ядра Linux 5.15.8, 5.10.85, 5.4.165, 4.19.221, 4.14.258, 4.9.293 и 4.4.295. В дистрибутивах проблема пока остаётся неисправленной (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch). Для демонстрации уязвимости подготовлен прототип эксплоита. Проблема вызвана переполнением буфера … Читать далее Уязвимость в подсистеме Linux-ядра USB Gadget, потенциально позволяющая выполнить код

Подготовлен выпуск OpenVPN 2.5.5, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows. В новой версии Перевод в разряд устаревших 64-битных шифров, подверженных атаке SWEET32, отложен до ветки 2.7. В версии для Windows обеспечено использование по умолчанию сетевого адреса для эмулируемого DHCP-сервера, что даёт возможность использовать подсеть /30, необходимую для соединения с OpenVPN Cloud. В сборках для Windows включена обязательная поддержка алгоритмов на основе эллиптических кривых (возможность сборки … Читать далее Новый выпуск OpenVPN 2.5.5

В Toxcore, эталонной реализации P2P-протокола обмена сообщениями Tox, выявлена уязвимость (CVE-2021-44847), которая потенциально позволяет инициировать выполнение кода при обработке специально оформленного UDP-пакета. Уязвимости подвержены все пользователи приложений на базе Toxcore, в которых не отключён транспорт UDP. Для атаки достаточно отправить UDP-пакет, зная IP-адрес, сетевой порт и открытый DHT-ключ жертвы (данные сведения доступны публично в DHT, т.е. атака могла быть совершена на любого пользователя или узел DHT). Проблема проявлялась в выпусках toxcore с 0.1.9 по 0.2.12 и устранена в версии 0.2.13. Из клиентских приложений обновление с устранением уязвимости пока выпустил только проект qTox. В качестве обходного пути защиты можно отключить использование … Читать далее Переполнение буфера в Toxcore, эксплуатируемое через отправку UDP-пакета

Состоялся релиз консольного текстового редактора GNU nano 6.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения. В новом выпуске Добавлена опция «—zero», скрывающая заголовок, строку состояния и область подсказки для высвобождения всего экранного пространства для области редактирования. По-отдельности заголовок и строку состояния можно скрыть и вернуть командой M-Z. Предоставлена возможность определения цветов в web-подобном шестнадцатеричном формате «#rgb». Для тех кто не любит задавать цвета цифрами, предложено 14 текстовых названий цветов: rosy, beet, plum, sea, sky, slate, teal, sage, brown, ocher, sand, tawny, brick и crimson. По умолчанию активирована возможность приостановки … Читать далее Выпуск текстового редактора GNU nano 6.0

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.1 и 1.1.1m, в которых устранена уязвимость (CVE-2021-4044), а также исправлено около десятка ошибок. Уязвимость присутствует в реализации клиентов SSL/TLS и связана с тем, что библиотека libssl некорректно обрабатывает отрицательные значения кодов ошибок, возвращаемые функцией X509_verify_cert(), вызываемой для проверки сертификата, переданного клиенту сервером. Отрицательные коды возвращаются при возникновении внутренних ошибок, например, в случае невозможности выделить память под буфер. В случае возвращения подобной ошибки последующий вызов функций ввода/вывода, таких как SSL_connect() и SSL_do_handshake(), приведёт к возвращению неуспешного завершения и кода ошибки SSL_ERROR_WANT_RETRY_VERIFY, который должен возвращаться только если приложение раннее совершало вызов SSL_CTX_set_cert_verify_callback(). Так как большинство … Читать далее Обновление OpenSSL 3.0.1 и 1.1.1m с устранением уязвимости

Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, опубликовала выпуск дистрибутива Pop!_OS 21.10. Pop!_OS основан на пакетной базе Ubuntu 21.10 и поставляется с собственным окружением рабочего стола COSMIC. Наработки проекта распространяются под лицензией GPLv3. ISO-образы сформированы для архитектуры x86_64 и ARM64 в вариантах для графических чипов NVIDIA (2.9 ГБ) и Intel/AMD (2.5 ГБ), а также для плат Raspberry Pi 4 (2.4 ГБ). Дистрибутив в первую очередь ориентирован на людей, использующих компьютер для создания чего-то нового, например, занимающихся разработкой контента, программных продуктов, 3D-моделей, графики, музыки или научной работой. Идея разработки собственной редакции дистрибутива Ubuntu пришла после решения … Читать далее Выпуск дистрибутива Pop!_OS 21.10, развивающего рабочий стол COSMIC

Представлен релиз проекта QEMU 6.2. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM. Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных … Читать далее Выпуск эмулятора QEMU 6.2

В реализации подстановок JNDI в библиотеке Log4j 2 выявлена ещё одна уязвимость (CVE-2021-45046), проявляющаяся несмотря на добавленные в выпуск 2.15 исправления и независимо от использования настройки «log4j2.noFormatMsgLookup» для защиты. Проблема представляет опасность в основном для старых версий Log4j 2, защищённых при помощи флага «noFormatMsgLookup», так как даёт возможность обойти защиту от прошлой узявимости (Log4Shell, CVE-2021-44228), позволяющей выполнить свой код на сервере. Для пользователей версии 2.15 эксплуатация ограничивается созданием условий для аварийного завершения приложения из-за исчерпания доступных ресурсов. Уязвимость проявляется только на системах, в которых при журналировании используются контекстные запросы (Context Lookup), такие как ${ctx:loginId}, или MDC-шаблоны (Thread Context Map), например, … Читать далее Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту

В X.Org Server выявлены четыре уязвимости, позволяющие поднять свои привилегии в системе, если X-сервер выполняется с правами root, или выполнить код на удалённой системе, если для доступа используется перенаправление сеанса X11 при помощи SSH. Проблемы обещают устранить в выпуске xorg-server 21.1.2, который ожидается в ближайшие дни. В дистрибутивах проблемы пока остаются неисправленными (Debian, Ubuntu, RHEL, SUSE, Fedora, Arch). CVE-2021-4008 — переполнение буфера в функции SProcRenderCompositeGlyphs, связанное с тем, что обработчик запросов CompositeGlyphs в расширении Render некорректно проверяет длину передаваемых данных, что может быть использовано для записи произвольных данных за границу буфера. Патч с исправлением. CVE-2021-4009 переполнение буфера в функции SProcXFixesCreatePointerBarrier, … Читать далее Уязвимости в X.Org Server

Организация Apache Software Foundation опубликовала сводный отчёт о проектах, которые затрагивает критическая уязвимость в Log4j 2, позволяющая выполнить произвольный код на сервере. Проблеме подвержены следующие проекты Apache: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl и Calcite Avatica. Уязвимость также затронула продукты GitHub, включая GitHub.com, GitHub Enterprise Cloud и GitHub Enterprise Server. Проекты Apache, которых не затрагивает уязвимость в Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper и CloudStack. Пользователям проблемных пакетов рекомендуется срочно установить выпущенные для них обновления, отдельно обновить версию Log4j 2 или выставить параметр Log4j2.formatMsgNoLookups в значение … Читать далее 17 проектов Apache оказались затронуты уязвимостью в Log4j 2