Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.19. С момента выпуска версии 6.18 было закрыто 22 отчёта об ошибках и внесено 520 изменений. Наиболее важные изменения: В формат PE (Portable Executable) преобразованы IPHlpApi, NsiProxy, WineDbg и некоторые другие модули. Продолжено развитие бэкенда для джойстиков, поддерживающих протокол HID (Human Interface Devices). Связанные с ядром части GDI перенесены в библиотеку Win32u. Проведена дополнительная работа по поддержке отладочного формата DWARF 3/4. Закрыты отчёты об ошибках, связанные с работой игр: Control Ultimate Edition, A Plague Tale: Innocence, Levelhead, FreeOrion, Darksiders Warmastered Edition, Simucube 2 TrueDrive, Mass Effect Legendary, SimHub, Fanaleds, Thronebreaker: The … Читать далее Выпуск Wine 6.19

Представлен релиз проекта Brython 3.10 (Browser Python) с реализацией языка программирования Python 3 для выполнения на стороне web-браузера, позволяющей использовать Python вместо JavaScript для разработки скриптов для Web. Код проекта написан на языке Python и распространяется под лицензией BSD. Подключив библиотеки brython.js и brython_stdlib.js, web-разработчик может использовать язык Python для определения логики работы сайта на стороне клиента, применяя Python вместо JavaScript. Для включения Python-кода на страницы используется тег ‹script› с mime-типом «text/python». Допускается как встраивание кода на страницу, так и загрузка внешних скриптов (‹script type=»text/python» src=»test.py»›). Из скрипта предоставляется полный доступ к элементам и событиям DOM. Помимо доступа к стандартной … Читать далее Выпуск Brython 3.10, реализации языка Python для web-браузеров

Разработчики Chromium подвели первые итоги запущенного 8 лет назад проекта RenderingNG, нацеленного на проведение постоянной работы по увеличению производительности, надёжности и расширяемости Chrome. Например, добавленные в выпуске Chrome 94 оптимизации по сравнению с Chrome 93 позволили на 8% сократить задержки при обработке страниц и на 0.5% увеличить время автономной работы от аккумулятора. С учётом размера пользовательской базы Chrome данные показатели в глобальном масштабе выражаются в экономии более 1400 лет процессорного времени каждый день. По сравнению с версиям прошлых лет современный Chrome отрисовывает графику быстрее более чем на 150% и 6 раз меньше подвержен крахам в GPU-драйверах на проблемном оборудовании. Среди … Читать далее Результаты оптимизации Chromium, реализованные проектом RenderingNG

Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50, более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51. По своей сути новая проблема (CVE-2021-42013) полностью аналогична изначальной уязвимости (CVE-2021-41773) в 2.4.49, разница лишь в иной кодировке символов «..». В частности, в выпуске 2.4.50 была … Читать далее Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога

Вышла новая версия статического анализатора кода cppcheck 2.6, позволяющего выявлять различные классы ошибок в коде на языках Си и Си++, в том числе при использовании нестандартного синтаксиса, типичного для встраиваемых систем. Предоставляется коллекция плагинов, через которые обеспечена интеграция cppcheck с различными системами разработки, непрерывной интеграции и тестирования, а также предоставлены такие возможности как проверка соответствия кода стилю оформления кода. Для разбора кода может применяться как собственный парсер, так и внешний парсер от Clang. В состав также входит скрипт donate-cpu.py для предоставления локальных ресурсов для выполнения работы по совместной проверке кода пакетов Debian. Исходные тексты проекта распространяются под лицензией GPLv3. Развитие … Читать далее Выпуск cppcheck 2.6, статического анализатора кода для языков C++ и С

Компания Microsoft объявила о включении в Microsoft Office 2021 и Microsoft 365 Office 2021 поддержки открытой спецификации ODF 1.3 (OpenDocument), которая доступна в приложениях Word, Excel и PowerPoint. Ранее возможность работы с документами в формате ODF 1.3 была доступна только в LibreOffice 7.x, а MS Office ограничивался поддержкой спецификации ODF 1.2. Отныне MS Office позволяет работать с актуальной версией формата ODF, которая предлагается наряду с поддержкой собственного формата OOXML (Office Open XML), применяемого в файлах с расширениями .docx, .xlsx и .pptx. При экспорте в ODF документы сохраняются только в формате ODF 1.3, но старые альтернативные офисные пакеты смогут обрабатывать данные … Читать далее Microsoft обеспечил поддержку открытого формата ODF 1.3 в MS Office 2021

Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутренних функций, например можно запретить «system, exec, passthru, popen, proc_open и shell_exec» для блокирования вызова внешних программ, «eval» для защиты от выполнения строк с PHP-кодом и fopen для запрета открытия файлов. Примечательно, что в предложенном эксплоите используется уязвимость, о которой разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность. Предложенный метод атаки основан на изменении значений параметров в памяти процесса и работает во … Читать далее Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini

Опубликован выпуск Linux-дистрибутива Bottlerocket 1.3.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров. Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети … Читать далее Выпуск Bottlerocket 1.3, дистрибутива на базе изолированных контейнеров

Компания Canonical представила первый выпуск оболочки Ubuntu Frame, предназначенной для создания интернет-киосков, терминалов самообслуживания, информационных стендов, цифровых вывесок, умных зеркал, промышленных экранов, IoT-устройств и других подобных применений. Оболочка рассчитана на предоставление полноэкранного интерфейса для одного приложения и базируется на использовании дисплейного сервера Mir и протокола Wayland. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены пакеты в формате snap. Ubuntu Frame можно использования для запуска приложений на базе GTK, Qt, Flutter и SDL2, а также программ на базе Java, HTML5 и Electron. Возможен запуск как приложений, собранных с поддержкой Wayland, так и программ на базе протокола X11 (используется Xwayland). Для … Читать далее Компания Canonical представила оболочку Ubuntu Frame

После пяти месяцев разработки и семи с половиной лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.11, в котором предложено 12 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. В новом выпуске устранены три уязвимости: CVE-2021-33035 — позволяет добиться выполнения кода при открытии специально оформленного файла в формате DBF. Проблема вызвана тем, что при выделении памяти OpenOffice полагался на значения fieldLength и fieldType в заголовке файлов DBF, не проверяя при этом соответствие фактического типа данных в полях. Для совершения атаки можно указать в значении fieldType тип INTEGER, но разместить данные большего размера и указать … Читать далее Выпуск Apache OpenOffice 4.1.11

После трёх лет разработки представлен стабильный релиз прокси-сервера Squid 5.1, готовый для использования в рабочих системах (выпуски 5.0.x имели статус бета-версий). После придания ветке 5.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 6.0. Пользователям прошлой стабильной ветки 4.x рекомендуется спланировать переход на ветку 5.x. Основные новшества Squid 5: В реализацию протокола ICAP (Internet Content Adaptation Protocol), используемого для интеграции с внешними системами проверки контента, добавлена поддержка механизма присоединения данных (trailer), позволяющего прикрепить к ответу дополнительные заголовки с метаданными, размещаемые … Читать далее Стабильный релиз прокси-сервера Squid 5

Представлен релиз дисплейного сервера Mir 2.5, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 20.04/20.10/21.04 (PPA) и Fedora 32/33/34. Код проекта распространяется под лицензией GPLv2. В новой версии предложены дополнительные средства для упрощения создания интернет-киосков, демонстрационных стендов, терминалов самообслуживания … Читать далее Выпуск дисплейного сервера Mir 2.5

Доступен выпуск легковесного оконного менеджера IceWM 2.8. IceWM предоставляет полноценное управление через клавиатурные комбинации, возможность использования виртуальных рабочих столов, панели задач и меню-приложений. Оконный менеджер настраивается через достаточно простой файл конфигурации, возможно использование тем оформления. Доступны встроенные апплеты для мониторинга CPU, памяти, трафика. Отдельно развивается несколько сторонних GUI для настройки, реализаций рабочего стола и редакторов меню. Код написан на языке С++ и распространяется под лицензией GPLv2. В новом выпуске увеличена производительность и масштабируемость меню со списком окон. Добавлена поддержка группировки вместе окон одинаковых приложений. В утилите icesh улучшена фильтрация по свойству WM_CLASS и добавлены опции «+group» и «+Class». Повышена эффективность … Читать далее Релиз оконного менеджера IceWM 2.8

В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер. Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты. Опасность уязвимости сглаживает то, что проблема проявляется только в недавно выпущенной версии 2.4.49 и не затрагивает все более ранние выпуски. В стабильных ветках консервативных … Читать далее Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта

Доступен выпуск проекта fheroes2 0.9.8, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Для существ, атакующих 2 клетки, добавлено отображение зоны поражения. Исправлена генерация рамки главного окна на высоких разрешениях. Улучшен ИИ. В том числе обновлен список объектов, с которыми он может взаимодействовать. Добавлен новый тип ярлыков в списке сценариев для карт «The Succession Wars» и «The Price of Loyalty». * Для пользователей Windows добавлен скрипт для … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.8

Состоялся релиз web-браузера Firefox 93. Кроме того, сформировано обновление веток с длительным сроком поддержки — 78.15.0 и 91.2.0. На стадию бета-тестирования переведена ветка Firefox 94, релиз которой намечен на 2 ноября. Основные новшества: Включена по умолчанию поддержка формата изображений AVIF (AV1 Image Format), в котором задействованы технологии внутрикадрового сжатия из формата кодирования видео AV1. Поддерживаются цветовые пространства с полным и ограниченным диапазоном цветов, а также операции трансформации (поворот и отзеркаливание). Анимация пока не поддерживается. Для настройки соответствия спецификации в about:config предложен параметр «image.avif.compliance_strictness’. Значение HTTP-заголовка ACCEPT изменено по умолчанию на «image/avif,image/webp,*/*». Переведён в разряд обязательных движок WebRender, который написан на … Читать далее Релиз Firefox 93

После шести месяцев разработки представлен релиз проекта LLVM 13.0 — GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизаций). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Улучшения в Clang 13.0: Реализована поддержка гарантированных хвостовых вызовов (вызов подпрограммы в самом конце функции, образующий хвостовую рекурсию в случае, если подпрограмма вызывается саму себя). Поддержка гарантированных хвостовых вызовов обеспечена при помощи атрибута «[[clang::musttail]]» в C++ и «__attribute__((musttail))» в C, применяемых в выражении «return». Возможность позволяет реализовать оптимизации через развёртывание кода в … Читать далее Релиз набора компиляторов LLVM 13.0

Facebook столкнулся с крупнейшим сбоем в своей истории, в результате которого все сервисы компании, включая facebook.com, instagram.com и WhatsApp, оказались недоступны в течение 6 часов — с в 18:39 (MSK) в понедельник до 0:28 (MSK) во вторник. Источником сбоя стало изменение в настройках BGP на магистральных маршрутизаторах, управляющих трафиком между датацентрами, которое привело к каскадному нарушению связности датацентров Facebook с остальной глобальной сетью. Со стороны произошедшее выглядело так, как будто кто-то разом отключил кабели ото всех датацентов Facebook. Интересно, что сбой привёл к нарушению работоспособности внутренних информационных систем и систем связи, из-за чего сотрудники, большая часть которых работала удалённо, не … Читать далее Некорректные манипуляции с BGP привели к 6-часовой недоступности Facebook, Instagram и WhatsApp

После года разработки представлен значительный выпуск языка программирования Python 3.10. Новая ветка будет поддерживаться в течение полутора лет, после чего ещё три с половиной года для неё будут формироваться исправления с устранением уязвимостей. Одновременно началось альфа-тестирование ветки Python 3.11 (в соответствии с новым графиком разработки работа над новой веткой начинается за пять месяцев до релиза предыдущей ветки и к моменту очередного релиза достигает стадии альфа-тестирования). Ветка Python 3.11 будет находиться на стадии альфа-выпусков в течение семи месяцев, во время которых будут добавляться новые возможности и производиться исправление ошибок. После этого в течение трёх месяцев будет проводиться тестирование бета-версий, во время … Читать далее Выпуск языка программирования Python 3.10

Доступен выпуск набора OnlyOffice Desktop 6.4, предназначенного для работы с текстовыми документами, таблицами и презентациями. Редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Код проекта распространяется под свободной лицензией AGPLv3. В OnlyOffice заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины … Читать далее Выпуск офисного пакета OnlyOffice Desktop 6.4

Опубликованы корректирующие выпуски CУБД Redis 6.2.6, 6.0.16 и 5.0.14, в которых устранено 8 уязвимостей. Всем пользователям рекомендовано срочно обновить Redis до новых версий. Четыре уязвимости (CVE-2021-41099, CVE-2021-32687, CVE-2021-32628, CVE-2021-32627) могут привести к переполнению буфера при обработке специально оформленных команд и сетевых запросов, но для эксплуатации необходимо чтобы некоторые параметры конфигурации (proto-max-bulk-len, set-max-intset-entries, hash-max-ziplist-*, proto-max-bulk-len, client-query-buffer-limit) были выставлены в очень большие значения. Уязвимость CVE-2021-32762 может привести к переполнению буфера в redis-cli и redis-sentinel при разборе больших ответов на старых платформах. Уязвимость CVE-2021-32675 может привести к отказу в обслуживании при обработке интенсивно потупающих RESP-запросов с большим числом элементов. Уязвимость CVE-2021-32672 может привести … Читать далее Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей