Злоумышленникам удалось встроить бэкдор в 40 плагинов и 53 темы оформления для системы управления контентом WordPress, разрабатываемых компанией AccessPress, которая заявляет, что её дополнения используются на более чем 360 тысячах сайтов. Результаты разбора инцидента пока не приводятся, но предполагается, что вредоносный код удалось внедрить в ходе компрометации сайта AccessPress, внеся изменения предлагаемые для загрузки архивы с уже выпущенными релизами, так как бэкдор присутствует только в коде, распространяемом через официальный сайт AccessPress, но отсутствует в тех же выпусках дополнений, распространяемых через каталог WordPress.org. Наличие вредоносных изменений было выявлено исследователем из компании JetPack (подразделение компании Automatic, занимающейся разработкой WordPress) в ходе изучения … Читать далее Бэкдор в 93 плагинах и темах оформления AccessPress, применяемых на 360 тысячах сайтов

Производитель ноутбуков Framework Computer, являющийся сторонником предоставления пользователям права на самостоятельный ремонт и пытающийся сделать свои продукта максимально удобными для разборки, модернизации и замены компонентов, объявил о публикации исходных текстов прошивки Embedded Controller (EC), используемой в ноутбуке Framework Laptop. Код открыт под лицензией BSD. Основная идея Framework Laptop в предоставлении возможности компоновки ноутбука из модулей, по аналогии с тем как пользователь может собрать себе настольный компьютер из отдельных составных частей, не навязываемых конкретным производителем. Framework Laptop может быть заказан по запчастям и собран в конечное устройство самим пользователем. Каждый компонент в устройстве наглядно промаркирован и легко извлекаем. При необходимости пользователь … Читать далее Компания Framework Computer открыла код прошивки для ноутбуков

После объявления о переводе на web-интерфейс инсталлятора Anaconda, применяемого в Fedora и RHEL, разработчики инсталлятора YaST раскрыли планы по разработке проекта D-Installer и созданию фронтэнда для управления установкой дистрибутивов openSUSE и SUSE Linux через web-интерфейс. Отмечается, что проектом уже давно развивается web-интерфейс WebYaST, но он ограничен возможностями удалённого администрирования и настройки системы, не рассчитан для использования в качестве инталлятора, и жестко привязан к коду YaST. D-Installer рассматривается как платформа, обеспечивающая работу поверх YaST нескольких фронтэндов для установки (Qt GUI, CLI и Web). Из сопутствующих планов также отмечается проведение работы по сокращению процесса установки, отделению пользовательского интерфейса от внутренних компонентов YaST … Читать далее openSUSE развивает web-интерфейс для инсталлятора YaST

В API Filesystem Context, предоставляемым ядром Linux, выявлена уязвимость (CVE-2022-0185), позволяющая локальному пользователю добиться получения прав root в системе. Выявивший проблему исследователь опубликовал демонстрацию работы эксплоита, позволяющего выполнить код с правами root в Ubuntu 20.04 в конфигурации по умолчанию. Код эксплоита планируется разместить на GitHub в течение недели, после того как дистрибутивы выпустят обновление с исправлением уязвимости. Уязвимость присутствует в функции legacy_parse_param() в VFS и вызвана отсутствие должной проверки максимального размера параметров, предоставляемых в файловых системах, не поддерживающих API Filesystem Context. При передаче слишком большого параметра можно вызвать переполнение целочисленной переменной, используемой для расчета размера записываемых данных — в коде … Читать далее Уязвимость в VFS ядра Linux, позволяющая повысить свои привилегии

Опубликован выпуск Linux-дистрибутива ArchLabs 2021.01.18, основанного на пакетной базе Arch Linux и поставляемого с легковесным пользовательским окружением на основе оконного менеджера Openbox (опционально доступны i3, Bspwm, Awesome, JWM, dk, Fluxbox, Xfce, Deepin, GNOME, Connamon, Sway). Для организации стационарной установки предлагается инсталлятор ABIF. В базовую поставку включены такие приложения, как Thunar, Termite, Geany, Firefox, Audacious, MPV и Skippy-XD. Размер установочного iso-образа 959 Мб. В новой версии добавлена поддержка мозаичного оконного менеджера dk и пользовательского окружения Sway, в котором используется Wayland. Улучшена реализация сеанса на базе Xfce. Обновлены пакеты в репозитории и обновлена тема оформления. Задействована новая версия утилиты BAPH для работы … Читать далее Выпуск дистрибутива ArchLabs 2022.01.18

Представлен релиз системы мониторинга Monitorix 3.14.0, предназначенной для наглядного слежения за работой разнообразных сервисов, например, мониторинга температуры CPU, нагрузки на систему, сетевой активности и отзывчивости сетевых сервисов. Управление системой производится через web-интерфейс, данные представлены в виде графиков. Система написана на языке Perl, для генерации графиков и хранения данных используется RRDTool, код распространяется под лицензией GPLv2. Программа достаточно компактная и самодостаточная (имеется встроенный http-сервер), что позволяет использовать ее даже на встраиваемых системах. Поддерживается достаточно широкий спектр параметров мониторинга, от слежения за работой планировщика задач, ввода/вывода, распределения памяти и параметров ядра ОС до визуализации данных по сетевым интерфейсам и специфичным приложениям (почтовые … Читать далее Новая версия системы мониторинга Monitorix 3.14.0

Доступен корректирующий выпуск Firefox 96.0.2, в котором устранено несколько ошибок: Устранено аварийное завершение при изменении размера окна браузера, в котором открыто web-приложение Facebook. Устранена проблема, приводящая в сборках для Linux к расползанию кнопки вкладки при воспроизведении на странице звука. Исправлена ошибка, из-за которой в режиме инкогнито выводилось пустое меню дополнения Lastpass. Источник: http://www.opennet.ru/opennews/art.shtml?num=56552 Читать далее Обновление Firefox 96.0.2

В стандартной библиотеке языка Rust выявлена уязвимость (CVE-2022-21658), связанная с состоянием гонки в функции std::fs::remove_dir_all(). В случае применения данной функции для удаления временных файлов в привилегированном приложении злоумышленник может добиться удаления произвольных системных файлов и каталогов, к удалению которых в обычных условиях у атакующего нет доступа. Уязвимость вызвана некорректной реализацией проверки символических ссылок перед рекурсивным удалением каталогов. Вместо запрета следования по символическим ссылкам, функция remove_dir_all() вначале проверяет, является ли файл символической ссылкой. Если определена ссылка, то она удаляется как файл, а если каталог — то вызывается операция рекурсивного удаления содержимого. Проблема в том, что между проверкой и началом операции удаления … Читать далее Уязвимость в стандартной библиотеке языка Rust

Появились дополнительные подробности о проекте SUSE Liberty Linux, который утром был анонсирован компанией SUSE без технических деталей. Оказалось, что в рамках проекта подготовлена новая редакция дистрибутива Red Hat Enterprise Linux 8.5, собранная с использованием платформы Open Build Service и пригодная для использования вместо классического CentOS 8, поддержка которого была прекращена в конце 2021 года. Предполагается, что пользователи CentOS 8 и RHEL 8 смогут перевести свои системы на дистрибутив SUSE Liberty Linux, предоставляющий полную бинарную совместимость с RHEL и пакетами из репозитория EPEL. Новый дистрибутив интересен тем, что содержимое пространства пользователя в SUSE Liberty Linux сформировано путём пересборки исходных SRPM-пакетов из … Читать далее Компания SUSE развивает собственную замену CentOS 8, совместимую с RHEL 8.5

Компания Qt Company опубликовала первый выпуск платформы Qt Digital Advertising для упрощения монетизации разработки приложений на основе библиотеки Qt. Платформа предоставляет одноимённый кроссплатформенный Qt-модуль с QML API для встраивания рекламы в интерфейс приложений и организации её доставки по аналогии со вставкой рекламных блоков в мобильные приложения. Интерфейс для упрощения вставки рекламных блоков оформлен в виде плагинов для Qt Design Studio и Qt Creator. Ключевой целью проекта является предоставление разработчикам настольных и мобильных Qt-приложений ещё одной бизнес-модели, позволяющей получить финансирование за счёт показа рекламы, не прибегая к продаже платных версий. Платформа также может оказаться полезной для создателей специализированных встраиваемых решений, например, … Читать далее Компания Qt Company представила платформу для встраивания рекламы в Qt-приложения

Компания SUSE представила проект SUSE Liberty Linux, нацеленный на предоставление единого сервиса для поддержки и управления смешанными инфраструктурами, в которых помимо SUSE Linux и openSUSE, применяются дистрибутивы Red Hat Enterprise Linux и CentOS. Инициатива подразумевает: Оказание единой техподдержки, позволяющей не обращаться по отдельности к производителю каждого используемого дистрибутива и решать все проблемы через одну службу. Предоставление переносимого инструментария на базе SUSE Manager, автоматизирующего управление смешанными информационными системами на основе решений от разных производителей. Организацию единого процесса доставки обновлений с исправлением ошибок и устранением уязвимостей, охватывающего разные дистрибутивы. Источник: http://www.opennet.ru/opennews/art.shtml?num=56543 Читать далее Инициатива SUSE Liberty Linux для унификации поддержки SUSE, openSUSE, RHEL и CentOS

Поисковая система Sourcegraph, нацеленная на индексацию имеющихся в открытом доступе исходных текстов, расширена возможностью поиска и навигации по исходным текстам всех пакетов, распространяемых через репозиторий Fedora Linux, в дополнение к ранее предоставляемому поиску по проектам GitHub и GitLab. Проиндексировано более 34.5 тысяч пакетов с исходными текстами из Fedora. Предоставляются гибкие средства для формирования выборки с учётом репозиториев, пакетов, языков программирования или имён функций, а также наглядного просмотра найденного кода с возможностью анализа вызова функций и мест определения переменных. Изначально разработчики Sourcegraph намеревались довести размер индекса до 5.5 млн репозиториев, имеющих более одной звёздочки на GitHub или GitLab, но осознали, что … Читать далее В Sourcegraph добавлен поиск по репозиториям Fedora

Состоялся релиз легковесного http-сервера lighttpd 1.4.64. В новой версии представлено 95 изменений, в том числе применены ранее запланированные изменения значений по умолчанию и проведена чистка от устаревшей функциональности: Таймаут по умолчанию для операций graceful restart/shutdown уменьшен с бесконечности до 8 секунд. Таймаут можно настроить при помощи опции «server.graceful-shutdown-timeout». Осуществлён переход на использование сборки с библиотекой PCRE2 (—with-pcre2), для возвращения на старый вариант PCRE можно использовать опцию «—with-pcre». Удалены модули, ранее объявленные устаревшими: mod_geoip (нужно использовать mod_maxminddb), mod_authn_mysql (нужно использовать mod_authn_dbi), mod_mysql_vhost (нужно использовать mod_vhostdb_dbi), mod_cml (нужно использовать mod_magnet), mod_flv_streaming (потерял смысл после завершения времени жизни Adobe Flash), mod_trigger_b4_dl (нужно использовать … Читать далее Выпуск http-сервера Lighttpd 1.4.64

Компания Google сформировала обновления Chrome 97.0.4692.99 и 96.0.4664.174 (Extended Stable), в которых исправлено 26 уязвимостей, в том числе критическая уязвимость (CVE-2022-0289), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в реализации режима Safe Browsing. Из других исправленных уязвимостей можно отметить проблемы с обращением к уже освобождённой памяти в механизме изоляции сайтов, технологии Web pack и коде, связанном с обработкой Push-уведомлений, адресной строкой Omnibox, выводом на печать, использованием API Vulkan, редактированием методов ввода, работой с закладками. В инструментах … Читать далее Обновление Chrome 97.0.4692.99 с устранением критической уязвимостей

Опубликован выпуск программы AlphaPlot 1.02, предоставляющей графический интерфейс для анализа и визуализации научных данных. Разработка проекта началась в 2016 году как форк SciDAVis 1.D009, который, в свою очередь, является форком QtiPlot 0.9rc-2. В процессе разработки была осуществлена миграция с библиотеки QWT на QCustomplot. Код написан на языке C++, использует библиотеку Qt и распространяется под лицензией GPLv2. AlphaPlot стремится быть инструментом для анализа и графического представления данных, обеспечивающим мощную математическую обработку и визуализацию (2D и 3D). Имеется поддержка различных методов приближения к заданным точкам с помощью кривых. Результаты могут сохраняться в растровых и векторных форматах, таких как PDF, SVG, PNG и … Читать далее Выпуск AlphaPlot, программы для построения научных графиков

После года разработки и 30 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API — Wine 7.0, который вобрал в себя более 9100 изменений. Из ключевых достижений новой версии отмечается перевод большинства модулей Wine в формате PE, поддержка тем оформления, расширение стека для джойстиков и устройств ввода с интерфейсом HID, реализация архитектуры WoW64 для запуска 32-разрядных программ в 64-разрядном окружении. В Wine подтверждена полноценная работа 5156 (год назад 5049) программ для Windows, ещё 4312 (год назад 4227) программ прекрасно работают при дополнительных настройках и внешних DLL. У 3813 программ (года назад 3703) наблюдаются небольшие проблемы в работе, которые не мешают … Читать далее Стабильный релиз Wine 7.0

Игорь Сысоев, создатель высокопроизводительного HTTP-сервера NGINX, уволился из компании F5 Network, в которой после продажи компании NGINX Inc находился в числе технических руководителей проекта NGINX. Отмечается, что уход обусловлен желанием проводить больше времени в семье и заниматься личными проектами. В компании F5 Игорь занимал должность главного архитектора. Руководство разработкой NGINX теперь сосредоточится в руках Максима Коновалова, занимающего пост вице-президента по инжинирингу группы продуктов NGINX. Игорь основал NGINX в 2002 году и до создания компании NGINX Inc в 2011 году практически в одиночку занимался всей разработкой. С 2012 года Игорь отстранился от рутинного написания кода NGINX и основную работу по сопровождению … Читать далее Игорь Сысоев ушёл из компаний F5 Network и покинул проект NGINX

Опубликован выпуск ONLYOFFICE DocumentServer 7.0 с реализацией сервера для online-редакторов ONLYOFFICE и организации совместной работы. Редакторы можно использовать для работы с текстовыми документами, таблицами и презентациями. Код проекта распространяется под свободной лицензией AGPLv3. Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 7.0, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная … Читать далее Релиз офисного пакета ONLYOFFICE Docs 7.0

Состоялся релиз дистрибутива Deepin 20.4, основанного на пакетной базе Debian 10, но развивающего собственный рабочий стол Deepin Desktop Environment (DDE) и около 40 пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект основан группой разработчиков из Китая, но трансформировался в международный проект. Дистрибутив поддерживает русский язык. Все наработки распространяются под лицензией GPLv3. Размер загрузочного iso-образа 3 ГБ (amd64). Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ (Qt5) и Go. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов работы. В классическом режиме осуществляется … Читать далее Выпуск дистрибутива Deepin 20.4, развивающего собственное графическое окружение

После года разработки сформирован новый значительный релиз свободной платформы цифровой обработки сигналов GNU Radio 3.10. Платформа включает набор программ и библиотек, позволяющих создавать произвольные радиосистемы, схемы модуляции и форма принимаемых и отправляемых сигналов в которых задаются программно, а для захвата и генерации сигналов применяются простейшие аппаратные устройства. Проект распространяется под лицензией GPLv3. Код большей части компонентов GNU Radio написан на языке Python, части, критичные к производительности и времени задержки, написаны на языке С++, что позволяет использовать пакет при решении задач в режиме реального времени. В комбинации с универсальными программируемыми приёмопередатчиками, не привязанными к полосе частот и типу модуляции сигнала, платформа … Читать далее Выпуск GNU Radio 3.10.0

После полутора лет разработки подготовлен выпуск hostapd/wpa_supplicant 2.10, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2, WPA3 и EAP, состоящего из приложения wpa_supplicant для подключения к беспроводной сети в роли клиента и фонового процесса hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD. Кроме функциональных изменений в новой версии блокирован новый вектор атаки по сторонним каналам, затрагивающий метод согласования соединений SAE (Simultaneous Authentication of Equals) и протокол EAP-pwd. Злоумышленник, имеющий возможность выполнения непривилегированного кода на системе пользователя, подключающегося к беспроводной … Читать далее Выпуск hostapd и wpa_supplicant 2.10