Представлен выпуск дистрибутива Elementary OS 6, позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. Для загрузки подготовлены загрузочные iso-образы (2.36 ГБ), доступные для архитектуры amd64 (для бесплатной загрузки с сайта проекта в поле с суммой пожертвования необходимо ввести 0). При разработке оригинальных компонентов Еlementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и поддержки репозиториев … Читать далее Выпуск дистрибутива Elementary OS 6

Состоялся релиз библиотеки SDL 2.0.16 (Simple DirectMedia Layer), нацеленной на упрощение написания игр и мультимедийных приложений. Библиотека SDL предоставляет такие средства как аппаратно-ускоренный вывод 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES/Vulkan и множество иных сопутствующих операций. Библиотека написана на языке Си и распространяется под лицензией zlib. Для использования возможностей SDL в проектах на различных языках программирования предоставляются биндинги. В новом выпуске: Значительно улучшена поддержка Wayland. Добавлена возможность вывода и захвата звука при помощи мультимедийного сервера Pipewire и AAudio (Android). Добавлена поддержка игровых контроллеров Amazon Luna и Xbox Series X. Добавлена поддержка эффекта адаптивной вибрации (rumble) … Читать далее Выпуск мультимедийной библиотеки SDL 2.0.16

Сформирован релиз специализированного дистрибутива Tails 4.21 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 ГБ. В новом выпуске обновлены версии Tor Browser 10.5.4 и Thunderbird 78.12. В инсталляторе решена проблема с удалением постоянных данных при выборе кнопки «Cancel» во время обновления дистрибутива в ручном режиме. Одновременно выпущена новая … Читать далее Выпуск Tor Browser 10.5.4 и дистрибутива Tails 4.21

Состоялся релиз web-браузера Firefox 91. Выпуск Firefox 91 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Кроме того, сформировано обновление прошлой ветки с длительным сроком поддержки 78.13.0 (в дальнейшем ожидается ещё два обновления 78.14 и 78.15). На стадию бета-тестирования в ближайшее время будет переведена ветка Firefox 92, релиз которой намечен на 7 сентября. Основные новшества: В режиме приватного просмотра по умолчанию активирована политика HTTPS-First, похожая на ранее доступную в настройках опцию «HTTPS Only». При попытке открытия страницы без шифрования по HTTP в приватном режиме браузер вначале попытается обратиться к сайту по HTTPS … Читать далее Релиз Firefox 91

Управляющий совет организации Perl Foundation изучил действия и процессы, связанные с работой команды по делам сообщества (CAT, Community Affairs Team) и решил приостановить работу данной группы до формализации всех связанных с её работой процессов и официального утверждения полномочий данной группы. Совет также отменил два ранее опубликованных отчёта об инцидентах, на основе которых были приняты меры в связи с ненадлежащим поведением некоторых участников сообщества при проведении обсуждений на платформе Slack. Команда Community Affairs Team была создана для контроля за соблюдением требований к манере общения в сообществе и разбора жалоб на нарушение кодекса поведения (Code of Conduct). В итоге было выяснено, что … Читать далее Руководство Perl приостановило работу команды, следящей за соблюдением кодекса поведения

Доступна новая версия проекта CalyxOS 2.8.0, развивающего прошивку на основе платформы Android 11, избавленную от привязок к сервисам Google и предоставляющей дополнительные средства для обеспечения конфиденциальности и безопасности. Готовый вариант прошивки подготовлен для устройств Pixel (2, 2 XL, 3, 3a, 3 XL, 4, 4a, 4 XL и 5) и Xiaomi Mi A2. Особенности платформы: Ежемесячное формирование автоматически устанавливаемых обновлений, включающих актуальные исправления уязвимостей. Первоочередное внимание предоставлению шифрованных коммуникаций. Использование по умолчанию мессенджера Signal. Встроенная в интерфейс совершения звонков поддержка осуществления шифрованных вызовов через Signal или WhatsApp. Поставка почтового клиента K-9 с поддержкой OpenPGP. Использование OpenKeychain для управления ключами шифрования. Поддержка … Читать далее Выпуск Android-прошивки CalyxOS 2.8.0, не привязанной к сервисам Google

Опубликован двадцать пятый альфа-выпуск свободной игры 0 A.D., которая представляет собой стратегию реального времени с качественной 3D-графикой и игровым процессом во многом похожим на игры серии «Age of Empires». Исходные тексты игры были открыты компанией Wildfire Games под лицензией GPL после 9 лет разработки в качестве проприетарного продукта. Сборка игры доступна для Linux (Ubuntu, Gentoo, Debian, openSUSE, Fedora и Arch Linux), FreeBSD, OpenBSD, macOS и Windows. Текущая версия поддерживает сетевую игру и однопользовательскую игру с ботами на заранее смоделированных, либо динамически создаваемых картах. Игра охватывает более десяти цивилизаций, существовавших в диапазоне с 500 года до нашей эры до 500 года … Читать далее Доступна двадцать пятая альфа-версия открытой игры 0 A.D.

Представлен выпуск фреймворка GNUnet 0.15, предназначенного для построения защищённых децентрализованных P2P-сетей. Создаваемые при помощи GNUnet сети не имеют единой точки отказа и способны гарантировать неприкосновенность частной информации пользователей, в том числе исключить возможные злоупотребления со стороны спецслужб и администраторов, имеющих доступ к узлам сети. GNUnet поддерживает создание P2P-сетей поверх TCP, UDP, HTTP/HTTPS, Bluetooth и WLAN, может работать в режиме F2F (Friend-to-friend). Поддерживается обход NAT, в том числе с использованием UPnP и ICMP. Для адресации размещения данных возможно использование распределённой хэш таблицы (DHT). Предоставляются средства для развёртывания mesh-сетей. Для выборочного предоставления и отзыва прав доступа применяется сервис децентрализованного обмена атрибутами идентификации … Читать далее Выпуск P2P-платформы GNUnet 0.15.0

В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн (проблема подтверждена в Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей. Первая уязвимость CVE-2021-20090 … Читать далее Уязвимость в домашних маршрутизаторах, охватывающая 17 производителей

Компания Elasticsearch опубликовала выпуск elasticsearch-py 7.14.0, официальной клиентской библиотеки для языка Python, содержащий изменение, блокирующее возможность подключения к серверам, на которых используется не оригинальная коммерческая платформа Elasticsearch. Клиентская библиотека отныне будет выводить ошибку, если на другой стороне используется продукт, представляющийся в заголовке «X-Elastic-Product» не как «Elasticsearch» для новых выпусков, или не передающий поля tagline и build_flavor для старых версий. Библиотека elasticsearch-py продолжает поставляться под лицензией Apache 2.0, но функциональность её теперь ограничена только возможностью подключения к коммерческим продуктам Elasticsearch. По данным компании Amazon блокировка затрагивает не только форки Open Distro for Elasticsearch и OpenSearch, но и решения на базе открытых … Читать далее В официальных клиентах Elasticsearch блокирована возможность подключения к форкам

В стандартных библиотеках языков Rust и Go выявлены уязвимости, связанные с некорректной обработкой IP-адресов с восьмеричными цифрами в функциях разбора адреса. Уязвимости позволяют обойти проверки допустимых адресов в приложениях, например, для организации обращения к адресам loopback-интерфейса (127.x.x.x) или интранет-подсетям при совершении атак SSRF (Server-side request forgery). Уязвимости продолжают цикл проблем, ранее выявленных в библиотеках node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), private-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE-2021-29921), Data::Validate::IP (Perl, CVE-2021-29662) и Net::Netmask (Perl, CVE-2021-29424). В соответствии со спецификацией строковые значения IP-адресов, начинающиеся с нуля, должны интерпретироваться как восьмеричные числа, но многие библиотеки не учитывает данную особенность и просто отбрасывают ноль, обрабатывая значение как … Читать далее Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов

Доступен выпуск Linux-дистрибутива Bottlerocket 1.2.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров. Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети … Читать далее Выпуск Bottlerocket 1.2, дистрибутива на базе изолированных контейнеров

Компания Google ведёт работу по предоставлению полных сборок браузера Chrome для ОС Fuchsia. В Fuchsia уже предоставляется браузерный движок на основе кодовой базы Chromium для выполнения web-приложений, но Chrome как отдельный полноценный продукт для Fuchsia был недоступен, а сама платформа в первую очередь развивалась для IoT и потребительских устройств, таких как Nest Hub. Последнее время ситуация изменилась и началось развитие возможностей Fuchsia, нацеленных на использование как десктоп-платформы. В том числе развивается набор изменений, делающих возможным поставку полноценного Chrome в Fuchsia. Работа по портированию ведётся постепенно — вначале обеспечивается возможность сборки урезанной версии, в которой некоторые возможности заменены на заглушки, которые … Читать далее Google портирует Chrome для ОС Fuchsia

После двух лет разработки представлен релиз панели Latte Dock 0.10, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Frameworks и библиотеки Qt. Поддерживается интеграция с рабочим столом KDE Plasma. Код проекта распространяется под лицензией GPLv2. Проект основан в результате слияния схожих по своим задачам панелей — Now Dock и Candil Dock. После объединения разработчики попытались совместить предлагаемый в Candil принцип формирования обособленной панели, работающей отдельно от Plasma Shell, со свойственными Now Dock качественным оформлением интерфейса и использованием … Читать далее Выпуск Latte Dock 0.10, альтернативной панели для KDE

Доступен выпуск проекта fheroes2 0.9.6, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Полная поддержка русской, польской и французской локализаций. Автоматическое определение и возможность выбора языка в настройках, который поддерживает текущая версия игры. Новое окно настроек позволяет выбрать разрешение, изменить язык или включить экспериментальные опции моддинга. Положение «широкого» существа в бою при атаке теперь показывается на сетке поля. Fheroes2 теперь работает и на Nintendo Switch. Исправлено свыше … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.6

Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки «HTTP Request Smuggling», позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации. Проблеме подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и прочие конфигурации, в которых запросы перенаправляются по схеме фронтэнд-бэкенд. Автор исследования продемонстрировал возможность атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, и получил 56 … Читать далее Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Определены победители ежегодной премии Pwnie Awards 2021, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности. Основные победители (список претендентов): Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена компании Qualys за выявление уязвимости CVE-2021-3156 в утилите sudo, позволяющей получить привилегии root. Уязвимость присутствовала в коде около 10 лет и примечательна тем, что для её выявления потребовался разбор логики работы утилиты. Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление нового вектора атак на Microsoft … Читать далее Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности

Опубликован выпуск проекта PipeWire 0.3.33, развивающего мультимедийный сервер нового поколения, идущий на замену PulseAudio. PipeWire расширяет возможности PulseAudio средствами для работы с потоками видео, возможностью обработки звука с минимальными задержками и новой моделью безопасности для управления доступом на уровне отдельных устройств и потоков. Проект поддерживается в GNOME и уже по умолчанию применяется в Fedora Linux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1. Основные изменения в PipeWire 0.3.33: Реализована возможность автоматического переключения между Bluetooth-профилями HSP (режим гарнитуры) и A2DP (высококачественный вывод звука). В профиле Pro Audio улучшена поддержка виртуальных источников и устройств вывода звука. Улучшено согласование модификаторов … Читать далее Выпуск мультимедийного сервера PipeWire 0.3.33

Кис Кук (Kees Cook), бывший главный системный администратор kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS, выразил опасение текущим процессом исправления ошибок в стабильных ветках ядра. Еженедельно в стабильные ветки включается около ста исправлений, а после закрытия окна приёма изменений в следующий релиз приближается к тысяче (сопровождающие удерживают исправления до закрытия окна, а после формирования «-rc1» публикуют накопившееся разом), что слишком много и требует больших трудозатрат для сопровождения продуктов на базе ядра Linux. По мнению Киса процессу работы с ошибками в ядре не уделяется должное внимание и ядру не хватает как … Читать далее Кис Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux

Компания Osterman Research опубликовала результаты проверки использования открытых компонентов с неисправленными уявзимостями в проприетарном программном обеспечении, выполненном на заказ (COTS). В исследовании были изучены пять категорий приложений — web-браузеры, почтовые клиенты, программы для обмена файлами, мессенджеры и платформы для проведения online-встреч. Результаты оказались плачевны — во всех изученных приложениях было выявлено использование открытого кода с неисправленными уязвимостями, а в 85% приложений уязвимости носили критический характер. Больше всего проблем было найдено в приложениях для проведения online-встреч и email-клиентах. Что касается открытого кода, то в 30% из всех обнаруженных открытых компонентов была выявлена как минимум одна известная, но неисправленная уязвимость. Больше всего … Читать далее Оценка использования уязвимых открытых компонентов в коммерческом ПО

До 13 августа 2021 года идёт набор в бесплатную онлайн-школу для желающих начать работу в Open Source — «Community of Open Source Newcomers» (COMMoN), организованную в рамках конференции Samsung Open Source Conference Russia 2021. Проект направлен на то, чтобы помочь молодым разработчикам начать свой путь контрибьютора. Школа позволит получить опыт взаимодействия с сообществом разработчиков открытого ПО, и даст шанс сделать свой первый коммит в серьёзный Open Source-проект. Формат онлайн-школы включает лекции для общего потока и работу в рамках конкретного направления (трека). В каждый трек набирают группу до 20 человек. Вместе с преподавателем участники пройдут путь с нуля до вклада в … Читать далее Открыт набор в бесплатную онлайн-школу для разработчиков Open Source