Сообщества VideoLAN и FFmpeg опубликовали выпуск библиотеки dav1d 1.0.0 с реализацией альтернативного свободного декодировщика формата кодирования видео AV1. Код проекта написан на языке C (C99) с ассемблерными вставками (NASM/GAS) и распространяется под лицензией BSD. Реализована поддержка архитектур x86, x86_64, ARMv7 и ARMv8, и операционных систем FreeBSD, Linux, Windows, macOS, Android и iOS. Библиотека dav1d поддерживает все возможности AV1, включая расширенные виды субдискретизации и все заявленные в спецификации параметры управления глубиной цвета (8, 10 и 12 бит). Работа библиотеки протестирована на большой коллекции файлов в формате AV1. Ключевой особенностью dav1d является ориентация на достижение максимально возможной производительности декодирования и обеспечение качественной … Читать далее Выпуск dav1d 1.0, декодировщика AV1 от проектов VideoLAN и FFmpeg

Опубликован релиз web-браузера Pale Moon 30.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 30.0

Компания Mozilla начала применять новый метод идентификации установок браузера. В распространяемые с официального сайта сборки, поставляемые в форме exe-файлов для платформы Windows, подставляются идентификаторы dltoken, уникальные для каждой загрузки. Соответственно, совершенные последовательно несколько загрузок установочного архива для одной и той же платформы приводит к загрузке файлов с разными контрольными суммами, так как идентификаторы добавляются непосредственно в загружаемый файл. Эффект проявляется только при загрузке exe-файлов из окружения Windows. При попытке загрузки из браузера или из командной строки в Linux exe-файлы отдаются всегда одинаковые. Архивы не в исполняемых форматах также не изменяются. Утверждается, что отключить учёт dltoken можно через выключение телеметрии в … Читать далее Mozilla внедряет идентификаторы в загружаемые установочные файлы Firefox

В NPM-пакете node-ipc выявлено вредоносное изменение (CVE-2022-23812), с вероятностью 25% заменяющее на символ «❤️» содержимое всех файлов, к которым имеется доступ на запись. Вредоносный код активируется только при запуске на системах с IP-дресами из России или Белоруссии. Пакет node-ipc насчитыет около миллиона загрузок в неделю и используется в качестве зависимости у 354 пакетов, включая vue-cli. Все проекты, которые имеют в зависимостях node-ipc, также подвержены проблеме. Вредоносный код был размещён в репозитории NPM в составе выпусков node-ipc 10.1.1, 10.1.2 и 10.1.3. В Git-репозитории проекта вредоносное изменение было размещено от имени автора проекта 11 дней назад. В комментариях к предупреждению о появлении … Читать далее В NPM-пакете node-ipc выявлено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии

Апелляционный суд США оставил в силе решение, ранее принятое окружным судом в деле против компании PureThink, связанном с нарушением торговой марки и интеллектуальной собственности компании Neo4j Inc. Иск касается перелицензирования и распространения клона СУБД Neo4j. Изначально СУБД Neo4j развивалась как открытый проект, поставляемый под лицензией AGPLv3. Со временем, продукт разделился на бесплатную Community-редакцию и коммерческую версию Neo4 EE, которая продолжала поставляться под лицензией AGPL. Несколько выпусков назад компания Neo4j Inc изменила условия поставки и внесла изменения в текст AGPL для продукта Neo4 EE, устанавливающие дополнительные условия «Commons Clause«, ограничивающие применение в облачных сервисах. Добавление условий «Commons Clause» перевело продукт в … Читать далее Итоги судебного разбирательства, связанного с проектом Neo4j и лицензией AGPL

В списке рассылки разработчиков набора компиляторов GCC представлен проект gcobol, нацеленный на создание свободного компилятора для язык программирования COBOL. В текущем виде gcobol развивается как форк GCC, но после завершения разработки и стабилизации проекта, изменения планируют предложить для включения в основной состав GCC. Код проекта распространяется под лицензией GPLv3. В качестве причины создания нового проекта упоминается желание получить компилятор для COBOL, распространяемый под свободной лицензией и упрощающий миграцию приложений с мэйнфреймов IBM на системы, в которых используется Linux. Сообществом уже достаточно давно развивается обособленный свободный проект GnuCOBOL, но он является транслятором, переводящим код на язык Си, а также не обеспечивает … Читать далее Представлен gcobol, компилятор для языка COBOL на основе технологий GCC

Подготовлены корректирующие выпуски OpenVPN 2.5.6 и 2.4.12, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows. В новых версиях устранена уязвимость, потенциально позволяющая обойти аутентификацию через манипуляцию с внешними плагинами, поддерживающими режим отложенной аутентификации (deferred_auth). Проблема возникает когда несколько плагинов отправляют отложенные ответы аутентификации, что позволяет внешнему пользователю получить доступ на основе не полностью корректных учётных данных. Начиная с выпусков OpenVPN 2.5.6 и 2.4.12 попытки использования отложенной аутентификации … Читать далее Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости

В ядре Linux выявлена уязвимость (CVE-2022-0742), позволяющая исчерпать доступную память и удалённо вызвать отказ в обслуживании через отправку специально оформленных icmp6-пакетов. Проблема связана с утечкой памяти, возникающей при обработке ICMPv6-сообщений с типами 130 или 131. Проблема проявляется начиная с ядра 5.13 и устранена в выпусках 5.16.13 и 5.15.27. Проблема не затронула стабильные ветки Debian, SUSE и RHEL, устранена в Arch Linux, но остаётся неисправленной в Ubuntu 21.10 и Fedora Linux. Источник: http://www.opennet.ru/opennews/art.shtml?num=56865 Читать далее Удалённая DoS-уязвимость в ядре Linux, эксплуатируемая через отправку пакетов ICMPv6

Представлен релиз языка программирования Go 1.18, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Выпуск языка программирования Go 1.18

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.2 и 1.1.1n. В обновлении устранена уязвимость (CVE-2022-0778), которую можно использовать для организации отказа в обслуживании (бесконечное зацикливание обработчика). Для эксплуатации уязвимости достаточно добиться обработки специально оформленного сертификата. Проблема проявляется как в серверных, так и в клиентских приложениях, которые могут обрабатывать переданные пользователем сертификаты. Проблема вызвана ошибкой в функции BN_mod_sqrt(), приводящей к зацикливанию при вычислении квадратного корня по модулю, отличному от простого числа. Функция применяется при разборе сертификатов с ключами на базе эллиптических кривых. Эксплуатация сводится к подстановке в сертификат неверных параметров эллиптической кривой. Так как проблема проявляется на стадии до проверки цифровой подписи … Читать далее Уязвимость в OpenSSL и LibreSSL, приводящая к зацикливанию при обработке некорректных сертификатов

Компания Google сформировала обновления Chrome 99.0.4844.74 и 98.0.4758.132 (Extended Stable), в которых исправлено 11 уязвимостей, в том числе критическая уязвимость (CVE-2022-0971), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в браузерном движке Blink. Из других исправленных уязвимостей можно отметить проблемы с обращением к уже освобождённой памяти в механизме Safe Browsing, API Extensions, Splitscreen, реализации пользовательского интерфейса, стартовой странице (New Tab) и прослойке ANGLE, отвечающей за трансляцию вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan. … Читать далее Обновление Chrome 99.0.4844.74 с устранением критической уязвимости

Команда, отвечающая за управление учётными записями в проекте Debian, урезала статус Норберта Прейнинга (Norbert Preining) за неуместное поведение в закрытом списке рассылки debian-private. В ответ Норберт принял решение прекратить участие в разработке Debian и перейти в сообщество Arch Linux. Норберт участвовал в разработке Debian с 2005 года и занимался сопровождением около 150 пакетов, в основном связанных с KDE и LaTex. Судя по всему, триггером для урезания прав стал конфликт с Мартиной Феррари (Martina Ferrari), сопровождающей 37 пакетов, среди которых пакет net-tools и компоненты системы мониторинга Prometheus. Манера общения Норберта, который не сдерживал себя в выражениях, была воспринята Мартиной как сексизм … Читать далее Из Debian ушёл мэйнтейнер, не согласный с новой моделью поведения в сообществе

Компания Red Hat развязала судебное разбирательство против Дэниэла Покока (Daniel Pocock), связанное с нарушением торговой марки Fedora в доменном имени WeMakeFedora.org, на котором публиковалась критика в отношении участников проекта Fedora и Red Hat. Представители Red Hat требовали передать компании права на домен, так как он нарушает зарегистрированную торговую марку, но суд встал на сторону ответчика и вынес решение о сохранении прав на домен за текущим владельцем. Суд указал на то, что в соответствии с публикуемой на сайте WeMakeFedora.org информации, деятельность автора подпадает в категорию добросовестного использования торговой марки, так как имя Fedora используется ответчиком для идентификации тематики сайта, на котором … Читать далее Red Hat попытался отобрать домен WeMakeFedora.org под видом нарушения торговой марки

Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, опубликовал новую редакцию исследования Census II, нацеленного на выявление открытых проектов, нуждающихся в первоочередном аудите безопасности. Исследование ориентировано на анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. В итоге подготовлены списки из 500 наиболее часто используемых пакетов, безопасность и качество сопровождения которых требует особого внимания, так как уязвимости и компрометация разработчиков сторонних компонентов, задействованных в работе приложений (supply chain), могут свести на нет все усилия по совершенствованию защиты основного продукта. Всего предложено 8 … Читать далее Обновление рейтинга библиотек, требующих особой проверки безопасности

Разработчики операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows, объявили о готовности начального набора патчей для загрузки проекта на многопроцессорных системах со включённым режимом SMP. Изменения для поддержки SMP пока не включены в основную кодовую базу ReactOS и требуют доработки, но сам факт возможности загрузки в с включённым режимом SMP отмечается как важное достижение в развитии проекта (до сих пор одним из существенных ограничений ReactOS было использование в процессе работы только одного ядра CPU). Работа над реализацией SMP в ReactOS положительно отразилась на общей стабильности системы, так как позволила выявить и устранить многие сопутствующие ошибки … Читать далее Для ReactOS реализована начальная поддержка SMP

Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости: CVE-2022-22720 — возможность совершения атаки «HTTP Request Smuggling«, позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). Проблема вызвана оставлением открытыми входящих соединений после возникновения ошибок при обработке некорректного тела запроса. CVE-2022-23943 — переполнение буфера в модуле mod_sed, позволяющее перезаписать содержимое памяти кучи данными, контролируемыми атакующим. CVE-2022-22721 — возможность записи за границу буфера из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350МБ. Проблема проявляется на 32-разрядных … Читать далее Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей

Разработчики Debian опубликовали план заморозки пакетной базы выпуска Debian 12 «Bookworm». Релиз Debian 12 ожидается в середине 2023 года. 12 января 2023 года начнётся первая стадия заморозки пакетной базы, в рамках которой будет прекращено выполнение «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing), а также прекращено обновление пакетов, необходимых для сборки (build-essential). 12 февраля 2023 года состоится мягкая заморозка пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. 12 марта 2023 года будет применена жёсткая заморозка перед релизом, при которой процесс переноса … Читать далее Определена дата заморозки пакетной базы Debian 12

Компании Microsoft, Igalia и Bloomberg выступили с инициативой включения в спецификацию JavaScript синтаксиса для явного определения типов, похожего на синтаксис, применяемый в языке TypeScript. В настоящее время прототип изменений, предложенный для включения в стандарт ECMAScript, вынесен для предварительных обсуждений (Stage 0). На ближайшем мартовском заседании комитета TC39 планируется перейти на первую стадию рассмотрения предложения с привлечением экспертного сообщества из ECMA. Наличие явно заданной информации о типах позволит избежать многих ошибок в процессе разработки, даст возможность задействовать дополнительные техники оптимизации, упростит отладку и сделает код более читаемым и простым для доработки и поддержки сторонними разработчиками. Поддержку типов предлагается реализовать в виде … Читать далее В язык JavaScript предложено добавить синтаксис с информацией о типах

Компания Mozilla опубликовала корректирующий выпуск браузера Firefox 98.0.1, наиболее заметным изменением в котором стало удаление Yandex и Mail.ru из списка поисковых систем, доступных для применения в качестве провайдеров поиска. Причины удаления не поясняются. Кроме того, Yandex перестал использоваться в русскоязычной и турецкой сборках, в которых он предлагался по умолчанию в соответствии с ранее заключённым договором о передаче поискового трафика. Yandex и Mail.ru также будут удалены из установок Firefox в которых они были вручную выбраны пользователями. Вернуть поддержку Yandex можно вручную установив поисковый виджет (добавить можно через подсказку в адресной строке при открытии сайта Yandex). Источник: http://www.opennet.ru/opennews/art.shtml?num=56852 Читать далее Обновление Firefox 98.0.1 с удалением поисковых систем Yandex и Mail.ru

Опубликован первый стабильный выпуск консольного браузера Offpunk, поддерживающего помимо открытия Web-страниц работу по протоколам Gemini, Gopher и Spartan, а также чтение новостных лент в форматах RSS и Atom. Программа написана на языке Python и распространяется под лицензией BSD. Ключевой особенностью Offpunk является ориентация на просмотр контента в offile-режиме. Браузер позволяет подписываться на страницы или помечать их для дальнейшего просмотра, после чего данные страницы автоматически кэшируются и при необходимости обновляются. Таким образом, при помощи Offpunk можно поддерживать копии сайтов и страниц, доступные всегда для локального просмотра и поддерживаемые в актуальном состоянии благодаря выполнению периодической синхронизации данных. Параметры синхронизации настраиваются пользователем, например, … Читать далее Первый выпуск консольного браузера Offpunk, оптимизированного для работы в offline-режиме

Опубликован выпуск фреймворка TUF 1.0 (The Update Framework), предоставляющего средства для безопасной проверки наличия и загрузки обновлений. Основной целью проекта является защита клиента от типовых атак на репозитории и инфраструктуры, включая противодействие продвижению злоумышленниками фиктивных обновлений, созданных после получения доступа к ключам для формирования цифровых подписей или компрометации репозитория. Проект развивается под эгидой организации Linux Foundation и применяется для повышения безопасности доставки обновлений в таких проектах, как Docker, Fuchsia, Automotive Grade Linux, Bottlerocket и PyPI (включение верификации загрузок и метаданных в PyPI ожидается в ближайшее время). Код эталонной реализации TUF написан на языке Python и распространяется под лицензией Apache 2.0. … Читать далее Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений