Управляющий совет организации Perl Foundation изучил действия и процессы, связанные с работой команды по делам сообщества (CAT, Community Affairs Team) и решил приостановить работу данной группы до формализации всех связанных с её работой процессов и официального утверждения полномочий данной группы. Совет также отменил два ранее опубликованных отчёта об инцидентах, на основе которых были приняты меры в связи с ненадлежащим поведением некоторых участников сообщества при проведении обсуждений на платформе Slack. Команда Community Affairs Team была создана для контроля за соблюдением требований к манере общения в сообществе и разбора жалоб на нарушение кодекса поведения (Code of Conduct). В итоге было выяснено, что … Читать далее Руководство Perl приостановило работу команды, следящей за соблюдением кодекса поведения

Доступна новая версия проекта CalyxOS 2.8.0, развивающего прошивку на основе платформы Android 11, избавленную от привязок к сервисам Google и предоставляющей дополнительные средства для обеспечения конфиденциальности и безопасности. Готовый вариант прошивки подготовлен для устройств Pixel (2, 2 XL, 3, 3a, 3 XL, 4, 4a, 4 XL и 5) и Xiaomi Mi A2. Особенности платформы: Ежемесячное формирование автоматически устанавливаемых обновлений, включающих актуальные исправления уязвимостей. Первоочередное внимание предоставлению шифрованных коммуникаций. Использование по умолчанию мессенджера Signal. Встроенная в интерфейс совершения звонков поддержка осуществления шифрованных вызовов через Signal или WhatsApp. Поставка почтового клиента K-9 с поддержкой OpenPGP. Использование OpenKeychain для управления ключами шифрования. Поддержка … Читать далее Выпуск Android-прошивки CalyxOS 2.8.0, не привязанной к сервисам Google

Опубликован двадцать пятый альфа-выпуск свободной игры 0 A.D., которая представляет собой стратегию реального времени с качественной 3D-графикой и игровым процессом во многом похожим на игры серии «Age of Empires». Исходные тексты игры были открыты компанией Wildfire Games под лицензией GPL после 9 лет разработки в качестве проприетарного продукта. Сборка игры доступна для Linux (Ubuntu, Gentoo, Debian, openSUSE, Fedora и Arch Linux), FreeBSD, OpenBSD, macOS и Windows. Текущая версия поддерживает сетевую игру и однопользовательскую игру с ботами на заранее смоделированных, либо динамически создаваемых картах. Игра охватывает более десяти цивилизаций, существовавших в диапазоне с 500 года до нашей эры до 500 года … Читать далее Доступна двадцать пятая альфа-версия открытой игры 0 A.D.

Представлен выпуск фреймворка GNUnet 0.15, предназначенного для построения защищённых децентрализованных P2P-сетей. Создаваемые при помощи GNUnet сети не имеют единой точки отказа и способны гарантировать неприкосновенность частной информации пользователей, в том числе исключить возможные злоупотребления со стороны спецслужб и администраторов, имеющих доступ к узлам сети. GNUnet поддерживает создание P2P-сетей поверх TCP, UDP, HTTP/HTTPS, Bluetooth и WLAN, может работать в режиме F2F (Friend-to-friend). Поддерживается обход NAT, в том числе с использованием UPnP и ICMP. Для адресации размещения данных возможно использование распределённой хэш таблицы (DHT). Предоставляются средства для развёртывания mesh-сетей. Для выборочного предоставления и отзыва прав доступа применяется сервис децентрализованного обмена атрибутами идентификации … Читать далее Выпуск P2P-платформы GNUnet 0.15.0

В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн (проблема подтверждена в Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей. Первая уязвимость CVE-2021-20090 … Читать далее Уязвимость в домашних маршрутизаторах, охватывающая 17 производителей

Компания Elasticsearch опубликовала выпуск elasticsearch-py 7.14.0, официальной клиентской библиотеки для языка Python, содержащий изменение, блокирующее возможность подключения к серверам, на которых используется не оригинальная коммерческая платформа Elasticsearch. Клиентская библиотека отныне будет выводить ошибку, если на другой стороне используется продукт, представляющийся в заголовке «X-Elastic-Product» не как «Elasticsearch» для новых выпусков, или не передающий поля tagline и build_flavor для старых версий. Библиотека elasticsearch-py продолжает поставляться под лицензией Apache 2.0, но функциональность её теперь ограничена только возможностью подключения к коммерческим продуктам Elasticsearch. По данным компании Amazon блокировка затрагивает не только форки Open Distro for Elasticsearch и OpenSearch, но и решения на базе открытых … Читать далее В официальных клиентах Elasticsearch блокирована возможность подключения к форкам

В стандартных библиотеках языков Rust и Go выявлены уязвимости, связанные с некорректной обработкой IP-адресов с восьмеричными цифрами в функциях разбора адреса. Уязвимости позволяют обойти проверки допустимых адресов в приложениях, например, для организации обращения к адресам loopback-интерфейса (127.x.x.x) или интранет-подсетям при совершении атак SSRF (Server-side request forgery). Уязвимости продолжают цикл проблем, ранее выявленных в библиотеках node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), private-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE-2021-29921), Data::Validate::IP (Perl, CVE-2021-29662) и Net::Netmask (Perl, CVE-2021-29424). В соответствии со спецификацией строковые значения IP-адресов, начинающиеся с нуля, должны интерпретироваться как восьмеричные числа, но многие библиотеки не учитывает данную особенность и просто отбрасывают ноль, обрабатывая значение как … Читать далее Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов

Доступен выпуск Linux-дистрибутива Bottlerocket 1.2.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров. Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети … Читать далее Выпуск Bottlerocket 1.2, дистрибутива на базе изолированных контейнеров

Компания Google ведёт работу по предоставлению полных сборок браузера Chrome для ОС Fuchsia. В Fuchsia уже предоставляется браузерный движок на основе кодовой базы Chromium для выполнения web-приложений, но Chrome как отдельный полноценный продукт для Fuchsia был недоступен, а сама платформа в первую очередь развивалась для IoT и потребительских устройств, таких как Nest Hub. Последнее время ситуация изменилась и началось развитие возможностей Fuchsia, нацеленных на использование как десктоп-платформы. В том числе развивается набор изменений, делающих возможным поставку полноценного Chrome в Fuchsia. Работа по портированию ведётся постепенно — вначале обеспечивается возможность сборки урезанной версии, в которой некоторые возможности заменены на заглушки, которые … Читать далее Google портирует Chrome для ОС Fuchsia

После двух лет разработки представлен релиз панели Latte Dock 0.10, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Frameworks и библиотеки Qt. Поддерживается интеграция с рабочим столом KDE Plasma. Код проекта распространяется под лицензией GPLv2. Проект основан в результате слияния схожих по своим задачам панелей — Now Dock и Candil Dock. После объединения разработчики попытались совместить предлагаемый в Candil принцип формирования обособленной панели, работающей отдельно от Plasma Shell, со свойственными Now Dock качественным оформлением интерфейса и использованием … Читать далее Выпуск Latte Dock 0.10, альтернативной панели для KDE

Доступен выпуск проекта fheroes2 0.9.6, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Полная поддержка русской, польской и французской локализаций. Автоматическое определение и возможность выбора языка в настройках, который поддерживает текущая версия игры. Новое окно настроек позволяет выбрать разрешение, изменить язык или включить экспериментальные опции моддинга. Положение «широкого» существа в бою при атаке теперь показывается на сетке поля. Fheroes2 теперь работает и на Nintendo Switch. Исправлено свыше … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.6

Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки «HTTP Request Smuggling», позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации. Проблеме подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и прочие конфигурации, в которых запросы перенаправляются по схеме фронтэнд-бэкенд. Автор исследования продемонстрировал возможность атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, и получил 56 … Читать далее Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Определены победители ежегодной премии Pwnie Awards 2021, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности. Основные победители (список претендентов): Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена компании Qualys за выявление уязвимости CVE-2021-3156 в утилите sudo, позволяющей получить привилегии root. Уязвимость присутствовала в коде около 10 лет и примечательна тем, что для её выявления потребовался разбор логики работы утилиты. Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление нового вектора атак на Microsoft … Читать далее Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности

Опубликован выпуск проекта PipeWire 0.3.33, развивающего мультимедийный сервер нового поколения, идущий на замену PulseAudio. PipeWire расширяет возможности PulseAudio средствами для работы с потоками видео, возможностью обработки звука с минимальными задержками и новой моделью безопасности для управления доступом на уровне отдельных устройств и потоков. Проект поддерживается в GNOME и уже по умолчанию применяется в Fedora Linux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1. Основные изменения в PipeWire 0.3.33: Реализована возможность автоматического переключения между Bluetooth-профилями HSP (режим гарнитуры) и A2DP (высококачественный вывод звука). В профиле Pro Audio улучшена поддержка виртуальных источников и устройств вывода звука. Улучшено согласование модификаторов … Читать далее Выпуск мультимедийного сервера PipeWire 0.3.33

Кис Кук (Kees Cook), бывший главный системный администратор kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS, выразил опасение текущим процессом исправления ошибок в стабильных ветках ядра. Еженедельно в стабильные ветки включается около ста исправлений, а после закрытия окна приёма изменений в следующий релиз приближается к тысяче (сопровождающие удерживают исправления до закрытия окна, а после формирования «-rc1» публикуют накопившееся разом), что слишком много и требует больших трудозатрат для сопровождения продуктов на базе ядра Linux. По мнению Киса процессу работы с ошибками в ядре не уделяется должное внимание и ядру не хватает как … Читать далее Кис Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux

Компания Osterman Research опубликовала результаты проверки использования открытых компонентов с неисправленными уявзимостями в проприетарном программном обеспечении, выполненном на заказ (COTS). В исследовании были изучены пять категорий приложений — web-браузеры, почтовые клиенты, программы для обмена файлами, мессенджеры и платформы для проведения online-встреч. Результаты оказались плачевны — во всех изученных приложениях было выявлено использование открытого кода с неисправленными уязвимостями, а в 85% приложений уязвимости носили критический характер. Больше всего проблем было найдено в приложениях для проведения online-встреч и email-клиентах. Что касается открытого кода, то в 30% из всех обнаруженных открытых компонентов была выявлена как минимум одна известная, но неисправленная уязвимость. Больше всего … Читать далее Оценка использования уязвимых открытых компонентов в коммерческом ПО

До 13 августа 2021 года идёт набор в бесплатную онлайн-школу для желающих начать работу в Open Source — «Community of Open Source Newcomers» (COMMoN), организованную в рамках конференции Samsung Open Source Conference Russia 2021. Проект направлен на то, чтобы помочь молодым разработчикам начать свой путь контрибьютора. Школа позволит получить опыт взаимодействия с сообществом разработчиков открытого ПО, и даст шанс сделать свой первый коммит в серьёзный Open Source-проект. Формат онлайн-школы включает лекции для общего потока и работу в рамках конкретного направления (трека). В каждый трек набирают группу до 20 человек. Вместе с преподавателем участники пройдут путь с нуля до вклада в … Читать далее Открыт набор в бесплатную онлайн-школу для разработчиков Open Source

После трёх месяцев разработки опубликован релиз свободной реализации API OpenGL и Vulkan — Mesa 21.2.0. Первый выпуск ветки Mesa 21.2.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 21.2.1. В Mesa 21.2 реализована полная поддержка OpenGL 4.6 для драйверов 965, iris (Intel), radeonsi (AMD), zink и llvmpipe. Поддержка OpenGL 4.5 доступна для GPU AMD (r600) и NVIDIA (nvc0), а OpenGL 4.3 для virgl (виртуальный GPU Virgil3D для QEMU/KVM). Поддержка Vulkan 1.2 реализована для карт Intel и AMD, а также в режиме эмулятора (vn), поддержка Vulkan 1.1 доступна для GPU Qualcomm и программного растеризатора lavapipe, а … Читать далее Релиз Mesa 21.2, свободной реализации OpenGL и Vulkan

В ночных сборках Ubuntu Desktop 21.10 началось тестирование нового инсталлятора, реализованного в виде надстройки над низкоуровневым инсталлятором curtin, который уже применяется в инсталляторе Subiquity, используемом по умолчанию в Ubuntu Server. Новый инсталлятор для Ubuntu Desktop написан на языке Dart и использует фреймворк Flutter для построения пользовательского интерфейса. Оформление нового инсталлятора спроектировано с учётом современного стиля рабочего стола Ubuntu и рассчитано на предоставление единого процесса установки для всей линейки продуктов Ubuntu. Предложено три режима: «Repair Installation» для переустановки всех имеющихся в системе пакетов без изменения настроек, «Try Ubuntu» для ознакомления с дистрибутивом в Live-режиме и «Install Ubuntu» для установки дистрибутива на … Читать далее В ночных сборках Ubuntu Desktop появился новый инсталлятор

Проект InitWare, развивающий экспериментальный форк системного менеджера systemd, реализовал поддержку операционной системы OpenBSD на уровне возможности управления пользовательскими сервисами (user manager — режим «iwctl —user», позволяющий пользователям управлять собственными сервисами). PID1 и системные сервисы пока не поддерживаются. Ранее аналогичная поддержка была обеспечена для DragonFly BSD, а возможность управления системными сервисами и управления входом для NetBSD и FreeBSD. Следующим шагом станет реализация поддержки управления пользовательскими сервисами для Illumos. Проект InitWare нацелен на создание переносимого и модульного системного менеджера, способного работать на системах, отличных от Linux. При этом в отличие от systemd проект не пытается охватить необъятное и сосредотачивается только на функциях … Читать далее Системный менеджер InitWare, форк systemd, портирован для OpenBSD

Дискуссионная площадка Stack Overflow опубликовала результаты ежегодного опроса, в котором приняло участие более 83 тысяч разработчиков ПО. Наиболее часто используемым участниками опроса языком является JavaScript 64.9% (год назад 67.7%, большинство участников Stack Overflow web-разработчики). Наибольший рост популярности как и в прошлом году демонстрирует Python, который за год переместился с 4 (44.1%) на 3 место (48.2%), обогнав SQL. Число пользователей языка Rust за год выросло с 5% до 7%, TypeScript с 25.4% до 30.2%, Dart с 4% до 6%, а Go с 8.8% до 9.5%. Популярность Ruby снизилась с 7.1% до 6.7%, Perl c 3.1% до 2.4%, а PHP с 26.2% … Читать далее Опрос Stack Overflow: Rust назван самым любимым, а Python самым востребованным языком