В swhkd (Simple Wayland HotKey Daemon) выявлена серия уязвимостей, вызванных некорректной работой с временными файлами, параметрами командной строки и unix-сокетами. Программа написана на языке Rust и выполняет обработку нажатия горячих клавиш в окружениях на базе протокола Wayland (совместимый на уровне файлов конфигурации аналог процесса sxhkd, применяемого в окружениях на базе X11). В состав пакета входит непривилегированный процесс swhks, выполняющий действия для горячих клавиш, и фоновый процесс swhkd, выполняемый с правами root и взаимодействующий с устройствами ввода на уровне API uinput. Для организации взаимодействия swhks и swhkd применяется Unix-сокет. При помощи правил Polkit любому локальному пользователю предоставляется возможность запуска с правами … Читать далее Уязвимости в swhkd, менеджере горячих клавиш для Wayland

После полутора лет разработки доступен релиз Rsync 3.2.4, утилиты для синхронизации файлов и резервного копирования, позволяющей минимизировать трафик за счёт инкрементального копирования изменений. В качестве транспорта могут быть использованы ssh, rsh или собственный протокол rsync. Поддерживается организация работы анонимных rsync-серверов, оптимально подходящих для обеспечения синхронизации зеркал. Код проекта распространяется под лицензией GPLv3. Среди добавленных изменений: Предложен новый метода защиты аргументов командной строки, которая напоминает ранее доступную опцию «—protect-args» («-s»), но не нарушает работу скрипта rrsync (restricted rsync). Защита сводится к экранированию спецсимволов, включая пробелы, при передаче запросов внешнему командному интерпретатору. Новый метод не экранирует спецсимволы внутри обрамлённого кавычками блока, что … Читать далее Выпуск утилиты для синхронизации файлов Rsync 3.2.4

Доступен выпуск системы программирования PascalABC.NET 3.8.3, предлагающей редакцию языка программирования Паскаль с поддержкой генерации кода для платформы .NET, возможностью использования библиотек .NET и дополнительными возможностями, такими как обобщённые классы, интерфейсы, перегрузка операций, λ-выражения, исключения, сборка мусора, методы расширения, безымянные классы и автоклассы. Проект главным образом ориентирован на применение в сфере образования и научных исследований. Пакет также включает среду разработки с подсказками по коду, автоформатированием, отладчиком, дизайнером форм и образцами кода для начинающих. Код проекта распространяется под лицензией LGPLv3. Возможна сборка в Linux (на базе Mono) и Windows. Изменения в новом выпуске: Цикл «for» теперь допускает указание шага step, если не … Читать далее Выпуск среды разработки PascalABC.NET 3.8.3

В язык программирования Zig приняты изменения, позволяющие компилятору Zig stage2, написанному на Zig, собирать самого себя (stage3), что делает данный язык самодостаточным (self-hosting). Предполагается, что данный компилятор будет предлагаться по умолчанию в грядущем релизе 0.10.0. Stage2 всё ещё является неполноценным, так как отсутствует поддержка проверок во время выполнения, присутствуют различия в семантике языка и т.д. Реализованное изменение позволит добавить поддержку «горячей замены» кода во время выполнения (т.е. без прерывания, hot code swapping), частично избавиться от привязки к LLVM и C++ (тем самым облегчив процесс портирования на новые архитектуры), и кардинально уменьшить время сборки программ, а также ускорит разработку компилятора. Источник: … Читать далее В языке программирования Zig обеспечена поддержка самораскрутки (bootstraping)

После полугода разработки состоялся релиз пользовательского окружения LXQt 1.1 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux. Особенности выпуска: В файловом менеджере (PCManFM-Qt) предоставлен … Читать далее Выпуск пользовательского окружения LXQt 1.1

Опубликованы результаты тестов производительности проекта Reiser5, развивающего существенно переработанный вариант файловой системы Reiser4 с поддержкой логических томов, обладающих «параллельным масштабированием», которое, в отличие от традиционных RAID, подразумевает активное участие файловой системы в распределении данных между устройствами-компонентами логического тома. С точки зрения администратора существенное отличие от RAID состоит в том, что компоненты логического тома с параллельным масштабированием являются отформатированными блочными устройствами. Представленные результаты тестов оценивают производительность регулярных файловых операций, таких как запись файла в логический том, чтение файла с логического тома, скомпонованного из переменного числа твердотельных накопителей. Также замерена производительность операций над логическими томами, таких как добавление устройства в логический том, … Читать далее Опубликованы результаты тестов производительности файловой системы Reiser5

GitHub предупредил пользователей об атаке, нацеленной на загрузку данных из приватных репозиториев с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CI. Сообщается, что в ходе атаки произошла утечка данных из приватных репозиториев некоторых организаций, открывших доступ к репозиториям для PaaS-платформы Heroku и системы непрерывной интеграции Travis-CI. В числе пострадавших оказалась компания GitHub и проект NPM. Атакующие смогли извлечь из приватных репозиториев GitHub ключ для доступа к API Amazon Web Services, используемый в инфраструктуре проекта NPM. Полученный ключ позволял получить доступ к NPM-пакетам, хранящимся в сервисе AWS S3. GitHub считает, что несмотря на полученный доступ к репозиториям NPM, дело … Читать далее Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM

Опубликован релиз Neovim 0.7.0, ответвления от редактора Vim, сфокусированного на повышении расширяемости и гибкости. В рамках проекта уже более семи лет проводится переработка кодовой базы Vim, в результате которой вносятся изменения, упрощающие сопровождение кода, предоставляющие средства разделения труда между несколькими мэйнтейнерами, отделяющие интерфейс от базовой части (интерфейс можно менять не трогая внутренности) и реализующие новую расширяемую архитектуру на основе плагинов. Оригинальные наработки проекта распространяются под лицензией Apache 2.0, а базовая часть под лицензией Vim. Готовые сборки подготовлены для Linux (appimage), Windows и macOS. Из проблем Vim, побудивших к созданию Neovim, отмечается раздутая монолитная кодовая база, состоящая более чем из 300 … Читать далее Выпуск Neovim 0.7.0, модернизированного варианта редактора Vim

Опубликован новый выпуск кроссплатформенного свободного редактора кода CudaText, написанного с использованием Free Pascal и Lazarus. Редактор поддерживает расширения на Python, и имеет ряд преимуществ над Sublime Text. Присутствуют некоторые возможности интегрированной среды разработки, реализованные в виде плагинов. Для программистов подготовлено более 270 синтаксических лексеров. Код распространяется под лицензией MPL 2.0. Сборки доступны для платформ Linux, Windows, macOS, FreeBSD, OpenBSD, NetBSD, DragonflyBSD и Solaris. За год с предыдущего анонса реализованы следующие улучшения: Добавлены команды, дублирующие функциональность Sublime Text: «Paste and indent», «Paste from history». Оптимизировано редактирование огромных строк, в режиме «перенесённых» строк. Правки стали гораздо быстрее для строки длиной 40 миллионов … Читать далее Обновление редактора кода CudaText 1.161.0

Разработчики Fedora Linux намерены перевести дистрибутив на новый пакетный менеджер Microdnf вместо ныне используемого DNF. Первым шагом на пути к миграции станет планируемое в выпуске Fedora Linux 38 значительное обновление Microdnf, который будет приближен по функциональности к DNF, а в некоторых областях даже станет его превосходить. Отмечается, что новая версия Microdnf будет поддерживать все основные возможности DNF, но при этом сохранит высокую производительность и компактность. Ключевым отличием Microdnf от DNF является использование для разработки языка Си, вместо Python, что позволяет избавиться от большого числа зависимостей. Изначально Microdnf развивался как урезанный вариант DNF для использования в контейнерах Docker, не требующий установки … Читать далее В Fedora планируют заменить пакетный менеджер DNF на Microdnf

Компания Google сформировала обновление Chrome 100.0.4896.127 для Windows, Mac и Linux, в котором исправлена серьёзная уязвимость (CVE-2022-1364), уже применяемая злоумышленниками для совершения атак (0-day). Детали пока не раскрываются, известно лишь, что 0-day уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке Blink, позволяющей обработать объект с некорректным типом, что, например, даёт возможность сформировать 64-разрядный указатель на основе комбинации из двух разных 32-разрядных значений для организации доступа к всему адресному пространству процесса. Пользователям рекомендуется не дожидаться автоматической доставки обновления, а проверить его наличие и инициировать установку через меню «Chrome > Справка > О Google Chrome». Источник: http://www.opennet.ru/opennews/art.shtml?num=57021 Читать далее Обновление Chrome 100.0.4896.127 с устранением 0-day уязвимости

Томас Андерсон (Thomas Anderson) из компании Google опубликовал предварительный набор патчей с реализацией возможности использования Qt для отрисовки элементов интерфейса браузера Chromium на платформе Linux. Изменения пока помечены как не готовые к внедрению и находятся на ранней стадии рецензирования. До этого в Chromium на платформе Linux была обеспечена поддержка библиотеки GTK, которая используется для показа кнопок управления окном и диалоговых окон для открытия/сохранения файлов. Возможность сборки с Qt позволит добиться более однородного оформления интерфейса Chrome/Chromium в KDE и других окружениях на базе Qt. Источник: http://www.opennet.ru/opennews/art.shtml?num=57020 Читать далее Для Chromium развивается возможность использования Qt

Компания eQualite опубликовала выпуск мобильного web-браузера CENO 1.4.0, предназначенного для организации доступа к информации в условиях цензуры, фильтрации трафика или отключения сегментов интернета от глобальной сети. В качестве основы используется Firefox for Android (Mozilla Fennec). Связанная с построением децентрализованной сети функциональность вынесена в отдельную библиотеку Ouinet, которая может быть использована для добавления средств обхода цензуры в произвольные приложения. Наработки проекта распространяются под лицензией MIT. Готовые сборки доступны в Google Play. Браузер CENO и библиотека Ouinet позволяют получить доступ к информации в условиях активной блокировки прокси-серверов, VPN, шлюзов и прочих централизованных механизмов обхода фильтрации трафика, вплоть до полного отключения интернета в … Читать далее Доступен web-браузер CENO 1.4.0, ориентированный на обход цензуры

Компания Facebook (запрещена в РФ) открыла исходные тексты JavaScript-библиотеки Lexical, предлагающей компоненты для создания текстовых редакторов и продвинутых web-форм редактирования текста для сайтов и web-приложений. Из отличительных качеств библиотеки выделяется простота интеграции на сайты, компактное исполнение, модульность и поддержка средств для людей с ограниченными возможностями, таких как экранные ридеры. Код написан на языке JavaScript и распространяется под лицензией MIT. Для ознакомления с возможностями библиотеки подготовлено несколько интерактивных демонстраций. Библиотека рассчитана на простоту подключения и не зависит от внешних web-фрейворков, но при этом предоставляет готовые привязки для упрощения интеграции с фреймворком React. Для использования Lexical достаточно привязать экземпляр редактора к редактируемому … Читать далее Facebook открыл код Lexical, библиотеки для создания редакторов текста

После почти двух лет разработки подготовлен релиз набора Turnkey Linux 17, в рамках которого сформирована коллекция из 119 минималистичных сборок Debian, пригодных для использования в системах виртуализации и облачных окружениях. Из коллекции в настоящий момент сформированы только две готовые сборки — core (339 МБ) с базовыми окружением и tkldev (419 МБ) со средствами разработки и сборки мини-дистрибутивов. Остальные сборки обещают обновить в ближайшее время. Идея дистрибутива в том, чтобы предоставить пользователю возможность сразу после установки получить полностью работоспособные из коробки рабочие окружения с LAMP (Linux, Apache, MariaDB, PHP/Python/Perl), Ruby on Rails, Joomla, MediaWiki, WordPress, Drupal, Apache Tomcat, LAPP, Django, MySQL, … Читать далее Выпуск Turnkey Linux 17, набора мини-дистрибутивов для быстрого развертывания приложений

Разработчики из компании SUSE поделились первыми планами по развитию будущей значительной ветки дистрибутива SUSE Linux Enterprise, которая представлена под кодовыми именем ALP (Adaptable Linux Platform). В новой ветке планируется предложить некоторые радикальные изменения, как в самом дистрибутиве, так и в методах его разработки. В частности, компания SUSE намерена уйти от модели подготовки SUSE Linux за закрытыми дверями в пользу открытого процесса разработки. Если раньше, вся разработка выполнялась внутри компании и после готовности выдавался результат, то теперь процессы создания дистрибутива и его сборки станут публичными, что позволит заинтересованным лицам отслеживать проводимую работу и принимать участие в разработке. Вторым важным изменением станет … Читать далее Планы в отношении следующего поколения дистрибутива SUSE Linux

Доступен для тестирования загрузочный образ для плат Raspberry Pi, основанный на Debian GNU/Linux и поставляемый с набором открытых прошивок от проекта LibreRPi. Образ сформирован с использованием штатных репозиториев Debian 11 для архитектуры armhf и отличается поставкой пакета librepi-firmware, подготовленного на базе прошивки rpi-open-firmware. Состояние разработки прошивки доведено до уровня, пригодного для запуска рабочего стола Xfce. В текущем виде прошивка обеспечивает работу драйвера v3d для графического ускорителя VideoCore, 2D-ускорения, DPI-видео, NTSC-видео (композитный выход), Ethernet, USB host, i2c host и SD-карты на платах Raspberry Pi 2 и Raspberry Pi 3. Среди ещё не поддерживаемых возможностей: ускорение декодирования видео, CSI, SPI, ISP, PWM … Читать далее Прогресс в разработке открытых прошивок для Raspberry Pi

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.35.2, 2.30.3, 2.31.2, 2.32.1, 2.33.2 и 2.34.2, в которых устранены две уязвимости: CVE-2022-24765 — на многопользовательских системах с совместно используемыми каталогами выявлена возможность организации атаки, приводящей к запуску команд, определённых другим пользователем. Атакующий может создать каталог «.git» в местах, пересекающихся с другими пользователями (например, в совместно используемых каталогах или каталогах с временными файлами) и разместить в нём файл конфигурации «.git/config» с настройкой обработчиков, вызываемых при выполнении тех или иных команд git (например, для организации выполнения кода можно использовать параметр core.fsmonitor). Определённые в «.git/config» обработчики будут вызваны с правами другого пользователя, если … Читать далее Две уязвимости в Git

Сформированы корректирующие релизы языка программирования Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10, в которых устранены две уязвимости: CVE-2022-28738 — двойное освобождение памяти (double-free) в коде компиляции регулярных выражений, возникающее при передаче специально оформленной строки при создании объекта Regexp. Уязвимость может быть эксплуатирована при использовании в объекте Regexp непроверенных внешних данных. CVE-2022-28739 — переполнение буфера в коде преобразования из строки в число с плавающей запятой. Потенциально уязвимость может быть эксплуатирована для получения доступа к содержимому памяти при обработке непроверенных внешних данных в таких методах, как Kernel#Float и String#to_f. Источник: http://www.opennet.ru/opennews/art.shtml?num=57012 Читать далее Корректирующие выпуски Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10 с устранением уязвимостей

Доступен корректирующий выпуск Firefox 99.0.1, в котором исправлено несколько ошибок: Устранена проблема с перемещением мышью элементов из панели Download (независимо от того, какой элемент пытались переносить всегда для переноса выбирался только первый элемент). Решены проблемы с работой Zoom, возникавшие при использовании ссылки на zoom.us без указания поддомена. Исправлена специфичная для платформы Windows ошибка, из-за которой не работало аппаратное ускорение декодирования видео на системах с новыми драйверами Intel. Источник: http://www.opennet.ru/opennews/art.shtml?num=57011 Читать далее Обновление Firefox 99.0.1

Компания Perforce, развивающая коммерческие системы управления версиями, управления жизненным циклом ПО и координации совместной работы разработчиков, объявила о поглощении компании Puppet, координирующей разработку одноимённого открытого инструментария для централизованного управления конфигурацией серверов. Сделку, сумма которой не раскрывается, планируют завершить во втором квартале 2022 года. Отмечается, что Puppet вольётся в Perforce в форме отдельного бизнес-подразделения и будет продолжать развивать продукты без смены бренда. С учётом объединения компаний число сотрудников Perforce возрастёт с 1200 до 1700. Предполагается, что интеграция с продуктами Puppet позволит Perforce сформировать единое комплексное решение от одного производителя, покрывающее потребности команд, использующих методологию DevOps, и включающее средства автоматизации управления и … Читать далее Компания Perforce объявила о поглощении проекта Puppet