Апелляционный суд США оставил в силе решение, ранее принятое окружным судом в деле против компании PureThink, связанном с нарушением торговой марки и интеллектуальной собственности компании Neo4j Inc. Иск касается перелицензирования и распространения клона СУБД Neo4j. Изначально СУБД Neo4j развивалась как открытый проект, поставляемый под лицензией AGPLv3. Со временем, продукт разделился на бесплатную Community-редакцию и коммерческую версию Neo4 EE, которая продолжала поставляться под лицензией AGPL. Несколько выпусков назад компания Neo4j Inc изменила условия поставки и внесла изменения в текст AGPL для продукта Neo4 EE, устанавливающие дополнительные условия «Commons Clause«, ограничивающие применение в облачных сервисах. Добавление условий «Commons Clause» перевело продукт в … Читать далее Итоги судебного разбирательства, связанного с проектом Neo4j и лицензией AGPL

В списке рассылки разработчиков набора компиляторов GCC представлен проект gcobol, нацеленный на создание свободного компилятора для язык программирования COBOL. В текущем виде gcobol развивается как форк GCC, но после завершения разработки и стабилизации проекта, изменения планируют предложить для включения в основной состав GCC. Код проекта распространяется под лицензией GPLv3. В качестве причины создания нового проекта упоминается желание получить компилятор для COBOL, распространяемый под свободной лицензией и упрощающий миграцию приложений с мэйнфреймов IBM на системы, в которых используется Linux. Сообществом уже достаточно давно развивается обособленный свободный проект GnuCOBOL, но он является транслятором, переводящим код на язык Си, а также не обеспечивает … Читать далее Представлен gcobol, компилятор для языка COBOL на основе технологий GCC

Подготовлены корректирующие выпуски OpenVPN 2.5.6 и 2.4.12, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows. В новых версиях устранена уязвимость, потенциально позволяющая обойти аутентификацию через манипуляцию с внешними плагинами, поддерживающими режим отложенной аутентификации (deferred_auth). Проблема возникает когда несколько плагинов отправляют отложенные ответы аутентификации, что позволяет внешнему пользователю получить доступ на основе не полностью корректных учётных данных. Начиная с выпусков OpenVPN 2.5.6 и 2.4.12 попытки использования отложенной аутентификации … Читать далее Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости

В ядре Linux выявлена уязвимость (CVE-2022-0742), позволяющая исчерпать доступную память и удалённо вызвать отказ в обслуживании через отправку специально оформленных icmp6-пакетов. Проблема связана с утечкой памяти, возникающей при обработке ICMPv6-сообщений с типами 130 или 131. Проблема проявляется начиная с ядра 5.13 и устранена в выпусках 5.16.13 и 5.15.27. Проблема не затронула стабильные ветки Debian, SUSE и RHEL, устранена в Arch Linux, но остаётся неисправленной в Ubuntu 21.10 и Fedora Linux. Источник: http://www.opennet.ru/opennews/art.shtml?num=56865 Читать далее Удалённая DoS-уязвимость в ядре Linux, эксплуатируемая через отправку пакетов ICMPv6

Представлен релиз языка программирования Go 1.18, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Выпуск языка программирования Go 1.18

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.2 и 1.1.1n. В обновлении устранена уязвимость (CVE-2022-0778), которую можно использовать для организации отказа в обслуживании (бесконечное зацикливание обработчика). Для эксплуатации уязвимости достаточно добиться обработки специально оформленного сертификата. Проблема проявляется как в серверных, так и в клиентских приложениях, которые могут обрабатывать переданные пользователем сертификаты. Проблема вызвана ошибкой в функции BN_mod_sqrt(), приводящей к зацикливанию при вычислении квадратного корня по модулю, отличному от простого числа. Функция применяется при разборе сертификатов с ключами на базе эллиптических кривых. Эксплуатация сводится к подстановке в сертификат неверных параметров эллиптической кривой. Так как проблема проявляется на стадии до проверки цифровой подписи … Читать далее Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов

Компания Google сформировала обновления Chrome 99.0.4844.74 и 98.0.4758.132 (Extended Stable), в которых исправлено 11 уязвимостей, в том числе критическая уязвимость (CVE-2022-0971), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в браузерном движке Blink. Из других исправленных уязвимостей можно отметить проблемы с обращением к уже освобождённой памяти в механизме Safe Browsing, API Extensions, Splitscreen, реализации пользовательского интерфейса, стартовой странице (New Tab) и прослойке ANGLE, отвечающей за трансляцию вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan. … Читать далее Обновление Chrome 99.0.4844.74 с устранением критической уязвимости

Команда, отвечающая за управление учётными записями в проекте Debian, урезала статус Норберта Прейнинга (Norbert Preining) за неуместное поведение в закрытом списке рассылки debian-private. В ответ Норберт принял решение прекратить участие в разработке Debian и перейти в сообщество Arch Linux. Норберт участвовал в разработке Debian с 2005 года и занимался сопровождением около 150 пакетов, в основном связанных с KDE и LaTex. Судя по всему, триггером для урезания прав стал конфликт с Мартиной Феррари (Martina Ferrari), сопровождающей 37 пакетов, среди которых пакет net-tools и компоненты системы мониторинга Prometheus. Манера общения Норберта, который не сдерживал себя в выражениях, была воспринята Мартиной как сексизм … Читать далее Из Debian ушёл мэйнтейнер, не согласный с новой моделью поведения в сообществе

Компания Red Hat развязала судебное разбирательство против Дэниэла Покока (Daniel Pocock), связанное с нарушением торговой марки Fedora в доменном имени WeMakeFedora.org, на котором публиковалась критика в отношении участников проекта Fedora и Red Hat. Представители Red Hat требовали передать компании права на домен, так как он нарушает зарегистрированную торговую марку, но суд встал на сторону ответчика и вынес решение о сохранении прав на домен за текущим владельцем. Суд указал на то, что в соответствии с публикуемой на сайте WeMakeFedora.org информации, деятельность автора подпадает в категорию добросовестного использования торговой марки, так как имя Fedora используется ответчиком для идентификации тематики сайта, на котором … Читать далее Red Hat попытался отобрать домен WeMakeFedora.org под видом нарушения торговой марки

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 … Читать далее Обновление рейтинга библиотек, требующих особой проверки безопасности

Разработчики операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows, объявили о готовности начального набора патчей для загрузки проекта на многопроцессорных системах со включённым режимом SMP. Изменения для поддержки SMP пока не включены в основную кодовую базу ReactOS и требуют доработки, но сам факт возможности загрузки в с включённым режимом SMP отмечается как важное достижение в развитии проекта (до сих пор одним из существенных ограничений ReactOS было использование в процессе работы только одного ядра CPU). Работа над реализацией SMP в ReactOS положительно отразилась на общей стабильности системы, так как позволила выявить и устранить многие сопутствующие ошибки … Читать далее Для ReactOS реализована начальная поддержка SMP

Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости: CVE-2022-22720 — возможность совершения атаки «HTTP Request Smuggling«, позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). Проблема вызвана оставлением открытыми входящих соединений после возникновения ошибок при обработке некорректного тела запроса. CVE-2022-23943 — переполнение буфера в модуле mod_sed, позволяющее перезаписать содержимое памяти кучи данными, контролируемыми атакующим. CVE-2022-22721 — возможность записи за границу буфера из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350МБ. Проблема проявляется на 32-разрядных … Читать далее Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей

Разработчики Debian опубликовали план заморозки пакетной базы выпуска Debian 12 «Bookworm». Релиз Debian 12 ожидается в середине 2023 года. 12 января 2023 года начнётся первая стадия заморозки пакетной базы, в рамках которой будет прекращено выполнение «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing), а также прекращено обновление пакетов, необходимых для сборки (build-essential). 12 февраля 2023 года состоится мягкая заморозка пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. 12 марта 2023 года будет применена жёсткая заморозка перед релизом, при которой процесс переноса … Читать далее Определена дата заморозки пакетной базы Debian 12

Компании Microsoft, Igalia и Bloomberg выступили с инициативой включения в спецификацию JavaScript синтаксиса для явного определения типов, похожего на синтаксис, применяемый в языке TypeScript. В настоящее время прототип изменений, предложенный для включения в стандарт ECMAScript, вынесен для предварительных обсуждений (Stage 0). На ближайшем мартовском заседании комитета TC39 планируется перейти на первую стадию рассмотрения предложения с привлечением экспертного сообщества из ECMA. Наличие явно заданной информации о типах позволит избежать многих ошибок в процессе разработки, даст возможность задействовать дополнительные техники оптимизации, упростит отладку и сделает код более читаемым и простым для доработки и поддержки сторонними разработчиками. Поддержку типов предлагается реализовать в виде … Читать далее В язык JavaScript предложено добавить синтаксис с информацией о типах

Компания Mozilla опубликовала корректирующий выпуск браузера Firefox 98.0.1, наиболее заметным изменением в котором стало удаление Yandex и Mail.ru из списка поисковых систем, доступных для применения в качестве провайдеров поиска. Причины удаления не поясняются. Кроме того, Yandex перестал использоваться в русскоязычной и турецкой сборках, в которых он предлагался по умолчанию в соответствии с ранее заключённым договором о передаче поискового трафика. Yandex и Mail.ru также будут удалены из установок Firefox в которых они были вручную выбраны пользователями. Вернуть поддержку Yandex можно вручную установив поисковый виджет (добавить можно через подсказку в адресной строке при открытии сайта Yandex). Источник: http://www.opennet.ru/opennews/art.shtml?num=56852 Читать далее Обновление Firefox 98.0.1 с удалением поисковых систем Yandex и Mail.ru

Опубликован первый стабильный выпуск консольного браузера Offpunk, поддерживающего помимо открытия Web-страниц работу по протоколам Gemini, Gopher и Spartan, а также чтение новостных лент в форматах RSS и Atom. Программа написана на языке Python и распространяется под лицензией BSD. Ключевой особенностью Offpunk является ориентация на просмотр контента в offile-режиме. Браузер позволяет подписываться на страницы или помечать их для дальнейшего просмотра, после чего данные страницы автоматически кэшируются и при необходимости обновляются. Таким образом, при помощи Offpunk можно поддерживать копии сайтов и страниц, доступные всегда для локального просмотра и поддерживаемые в актуальном состоянии благодаря выполнению периодической синхронизации данных. Параметры синхронизации настраиваются пользователем, например, … Читать далее Первый выпуск консольного браузера Offpunk, оптимизированного для работы в offline-режиме

Опубликован выпуск фреймворка TUF 1.0 (The Update Framework), предоставляющего средства для безопасной проверки наличия и загрузки обновлений. Основной целью проекта является защита клиента от типовых атак на репозитории и инфраструктуры, включая противодействие продвижению злоумышленниками фиктивных обновлений, созданных после получения доступа к ключам для формирования цифровых подписей или компрометации репозитория. Проект развивается под эгидой организации Linux Foundation и применяется для повышения безопасности доставки обновлений в таких проектах, как Docker, Fuchsia, Automotive Grade Linux, Bottlerocket и PyPI (включение верификации загрузок и метаданных в PyPI ожидается в ближайшее время). Код эталонной реализации TUF написан на языке Python и распространяется под лицензией Apache 2.0. … Читать далее Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений

Раскрыта информация об уязвимостях в открытой платформе webOS, которые могут применяться для получения доступа к привилегированным низкоуровневым API системного окружения телевизоров LG и других устройств на базе данной платформы. Атака совершается через запуск непривилегированного приложения, эксплуатирующего уязвимости через обращение ко внутренним API, и позволяет перезаписать/прочитать произвольные файлы или выполнить другие действия, которые допускают системные API. Первая из выявленных уязвимостей позволяет обойти ограничения доступа к API Notification Manager, а вторая позволяет использовать Notification Manager для обращения к другим внутренним API, недоступным напрямую пользовательскому приложению. CVE-идентификаторы проблемам пока не присвоены. Возможность эксплуатации уязвимостей проверена на телевизоре LG 65SM8500PLA с прошивкой на базе … Читать далее Уязвимости в webOS, позволяющие перезаписать файлы на телевизорах LG

Дальнейшая судьба дистрибутива elementary OS находится под вопросом из-за конфликта между основателями проекта, которые не могут поделить между собой компанию, курирующую разработку и аккумулирующую поступающие средства. Компания была совместно создана двумя основателями — Кэссиди Блейдом (Cassidy Blaede) и Даниэлой Форе (Danielle Foré, ранее Daniel Foré), которые работали над проектом в режиме полного рабочего дня, получая средства от пожертвований при загрузке сборок и оказания техподдержки. Из-за снижения финансовых показателей на фоне коронавирусной пандемии поступления средств уменьшились и компания была вынуждена урезать зарплату сотрудников на 5%. В феврале планировалось провести совещание для ещё большего урезания бюджета. В первую очередь предлагалось сократить зарплату … Читать далее Раскол среди основателей проекта elementary OS

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 7.4. С момента выпуска версии 7.3 было закрыто 14 отчётов об ошибках и внесено 505 изменений. Наиболее важные изменения: Задействована по умолчанию тема оформления ‘Light’. В основной состав встроена библиотека vkd3d 1.3 с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan. Библиотеки WineD3D, D3D12 и DXGI переведены на использование формата исполняемых файлов PE (Portable Executable) вместо ELF. Добавлены заглушки для функций распознавания речи (API SpeechRecognizer). В библиотеку gsm добавлена поддержка формата WAV49. В DLL crypt32 добавлена начальная поддержка кодирования и декодирования запросов OCSP (Online Certificate Status Protocol), заверенных цифровой … Читать далее Выпуск Wine 7.4 и Wine staging 7.4

Разработчики из компании NVIDIA представили открытую библиотеку libvdpau 1.5 с реализацией поддержкой API VDPAU (Video Decode and Presentation) для Unix-подобных систем. Библиотека VDPAU даёт возможность задействовать механизмы аппаратного ускорения для обработки видео в форматах h264, h265, VC1, VP9 и AV1, и вынести на сторону GPU такие задачи, как пост-обработка, слияние (compositing), отображение и декодирование видео. Изначально в библиотеке поддерживались только GPU от компании NVIDIA, но впоследствии появилась поддержка открытых драйверов для карт AMD. Код libvdpau распространяется под лицензией MIT. Кроме исправления ошибок в libvdpau 1.5 реализована поддержка ускорения декодирования видео в формате AV1, а также добавлены средства для трассировки для … Читать далее Компания NVIDIA выпустила библиотеку libvdpau 1.5 с поддержкой AV1