Опубликован выпуск пакета OpenLDAP 2.6.0, предлагающего многоплатформенную реализацию протокола LDAP (Lightweight Directory Access Protocol) для организации работы служб каталогов и доступа к ним. Проектом развивается модульная серверверная часть, поддерживающая различные бэкенды хранения и доступа к данным, проси-балансировщик, клиентские утилиты и библиотеки. Код написан на языке Си и распространяется под BSD-подобной открытой лицензией OpenLDAP Public License. В новом выпуске: В прокси-балансировщике lloadd реализованы дополнительные стратегии балансировки нагрузки и опции для улучшения согласованности работы при выполнении расширенных операций. В slapd и lloadd добавлен режим ведения лога с прямой записью в файл, без использования syslog. Объявлены устаревшими бэкенды back-sql (трансляция LDAP-запросов в БД … Читать далее Выпуск OpenLDAP 2.6.0, открытой реализации протокола LDAP

Компания Mozilla сообщила об удалении из каталога addons.mozilla.org (AMO) двух дополнений — Bypass и Bypass XM, которые насчитывали 455 тысяч активных установок и позиционировались как дополнений для предоставления доступа к материалам, распространяемым по платной подписке (обход Paywall). Для модификации трафика в дополнениях использовался API Proxy, позволяющий контролировать выполняемые браузером web-запросы. Помимо заявленных функций указанные дополнения использовали API Proxy для блокировки обращений к серверам Mozilla, что не позволяло загрузить обновления к Firefox и приводило к накоплению неустранённых уязвимостей, при помощи которых злоумышленники могли атаковать системы пользователей. Примечательно, что кроме предотвращения получения обновлений версий Firefox в результате деятельности рассматриваемых дополнений также было … Читать далее Mozilla удалила два популярных дополнения, блокирующих загрузку обновлений к Firefox

После восьми лет разработки увидел свет выпуск проекта Muen 1.0, развивающего ядро разделения (Separation kernel), отсутствие ошибок в исходных текстах которого подтверждено при помощи математических методов формальной верификации надёжности. Ядро доступно для архитектуры x86_64 и может применяться в критически важных системах, требующих повышенного уровня надёжности и гарантии отсутствия сбоев. Исходные тексты проекта написаны на языке Ада и его верифицируемом диалекте SPARK 2014. Код распространяется под лицензией GPLv3. Ядро разделения представляет собой микроядро, предоставляющее окружение для исполнения изолированных друг от друга компонентов, взаимодействие которых жёстко регулируются заданными правилами. Изоляция основана на применении расширений виртуализации Intel VT-x и предусматривает в том числе … Читать далее Выпуск Muen 1.0, открытого микроядра для создания высоконадёжных систем

Разработчики дистрибутива AlmaLinux, основанного компанией CloudLinux в ответ на преждевременное сворачивание поддержки CentOS 8, представили инструментарий ELevate, позволяющий упростить миграцию рабочих установок CentOS 7.x на дистрибутивы, построенные на пакетной базе RHEL 8, с сохранением приложений, данных и настроек. В настоящее время проектом поддерживается миграция на AlmaLinux, Rocky Linux, CentOS Stream и Oracle Linux. Процесс миграции основан на использовании развиваемой компанией Red Hat утилиты Leapp, которая дополнена патчами, учитывающими специфику CentOS и сторонних дистрибутивов, построенных на пакетной базе RHEL. В проекте также задействован расширенный набор метаданных, описывающих шаги для перевода отдельных пакетов от одной ветки дистрибутива к другой. Для миграции достаточно … Читать далее Проект ELevate, упрощающий переход с CentOS 7 на дистрибутивы, основанные на RHEL 8

Опубликован корректирующий релиз системы управления почтовыми рассылками GNU Mailman 2.1.35, используемой для организации общения разработчиков в разнообразных открытых проектах. В обновлении устранены две уязвимости: Первая уязвимость (CVE-2021-42096) позволяет любому пользователю, подписанному на рассылку, определить пароль администратора данного списка рассылки. Вторая уязвимость (CVE-2021-42097) даёт возможность совершить CSRF-атаку на другого пользователя рассылки для захвата его учётной записи. Атака может быть совершена только подписанным участником рассылки. Продукт Mailman 3 проблеме не подвержен. Обе проблемы вызваны тем, что значение csrf_token, применяемое для защиты от CSRF-атак на странице с настройками («options»), всегда совпадает с токеном администратора, а не формируется отдельно для пользователя текущего сеанса. При … Читать далее Уязвимость в Mailman, позволяющая определить пароль администратора почтовой рассылки

После года разработки опубликован релиз языка системного программирования Nim 1.6, который использует статическую типизацию и создан с оглядкой на Pascal, C++, Python и Lisp. Исходный код на языке Nim компилируется в представление на C, C++ или JavaScript. В дальнейшем полученный C/C++ код компилируется в исполняемый файл при помощи любого доступного компилятора (clang, gcc, icc, Visual C++), что позволяет добиться производительности близкой к Си, если не учитывать затраты на выполнение сборщика мусора. По аналогии с Python в Nim в качестве разделителей блоков применяются отступы. Поддерживаются средства метапрограммирования и возможности для создания предметно-ориентированных языков (DSL). Код проекта поставляется под лицензией MIT. Среди … Читать далее Релиз языка программирования Nim 1.6.0

Опубликован релиз web-браузера qutebrowser 2.4, предоставляющего минимальный графический интерфейс, не отвлекающий от просмотра содержимого, и систему навигации в стиле текстового редактора Vim, построенную целиком на клавиатурных комбинациях. Код написан на языке Python с использованием PyQt5 и QtWebEngine. Исходные тексты распространяются под лицензией GPLv3. Применение Python не сказывается на производительности, так как отрисовка и разбор контента осуществляется силами движка Blink и библиотеки Qt. Браузер поддерживает систему вкладок, менеджер загрузок, режим приватного просмотра, встроенный просмотрщик PDF (pdf.js), систему блокировки рекламы (на уровне блокировки хостов), интерфейс для просмотра истории посещений. Для просмотра видео в YouTube можно настроить вызов внешнего видеопроигрывателя. Перемещение по странице … Читать далее Доступны web-браузеры qutebrowser 2.4 и Min 1.22

Компания Microsoft прислушалась к мнению сообщества и вернула в репозиторий .NET SDK код с реализацией функции «Hot Reload», несколько дней назад удалённый из кодовой базы, несмотря на то что он уже числился открытым и входил в состав предварительного выпусков .NET 6. Представители компании принесли сообществу извинение и признали, что совершили ошибку, удалив уже добавленный код и сразу не отреагировав на недовольство сообщества. Заявлено также, что компания продолжает позиционировать .NET как открытую платформу и будет продолжать её развитие в соответствии с открытой моделью разработки. Поясняется, что из-за нехватки ресурсов и времени перед релизом .NET 6 было решено предложить Hot Reload только … Читать далее Microsoft вернул код Hot Reload в репозиторий .NET

Компания Intel открыла наработки, связанные с исследовательским проектом ControlFlag, нацеленным на создание системы машинного обучения для повышения качества кода. Подготовленный проектом инструментарий позволяет на основе модели, обученной на большом объёме существующего кода, выявлять различные ошибки и аномалии в исходных текстах, написанных на высокоуровневых языках, таких как C/C++. Система подходит для определения в коде различных видов проблем, от определения опечаток и неверного сочетания типов, до выявления пропущенных проверок значения NULL в указателях и проблем при работе с памятью. Код ControlFlag написан на языке С++ и открыт под лицензией MIT. Система самообучается путём построения статистической модели имеющегося массива кода открытых проектов, опубликованных … Читать далее Intel открыл код системы машинного обучения ControlFlag для выявления ошибок в коде

Разработчики компилятора Rakudo для языка программирования Raku (бывший Perl 6) опубликовали релиз 2021.10. Одновременно доступен новый выпуск виртуальной машины MoarVM 2021.10, формирующей среду для запуска скомпилированного байт-кода. Также компиляция поддерживается для JVM и некоторых виртуальных машин для JavaScript. В новой версии выделяется серьёзный прирост производительности, которого удалось достигнуть благодаря новому механизму диспетчеризации. Ценой повышения производительности стало увеличение времени компиляции примерно на 25%. Других серьёзных изменений не отмечается. Raku является Perl-подобным языком программирования, не обеспечивающим совместимость с Perl5 на уровне исходных текстов и имеющим своё сообщество разработчиков. Первый релиз состоялся после 15 лет разработки и на данный момент разработчики призывают любых … Читать далее Релиз компилятора Rakudo 2021.10 для языка программирования Raku (бывший Perl 6)

История с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, получила неожиданное продолжение — неизвестные злоумышленники захватили контроль над учётной записью автора проекта UAParser.js и выпустили обновления, содержащие код для кражи паролей и майнинга криптовалют. Проблема в том, что библиотека UAParser.js, которая предлагает функции для разбора HTTP-заголовка User-Agent, насчитывает около 8 млн загрузок в неделю и используется в качестве зависимости в более чем 1200 проектах. Заявлено, что UAParser.js применяется в проектах таких компаний, как Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP и Verison. Атака была совершена через … Читать далее В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО

Правительство РФ опубликовало постановление «Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети «Интернет» организатором сервиса обмена мгновенными сообщениями» (PDF), в котором вводятся новые требования к регистрации российских пользователей в мессенджерах. Постановление предписывает начиная с 1 марта 2022 года запрашивать у новых пользователей номер телефона, верифицировать его через отправку SMS или проверочный звонок, после чего формировать запрос оператору связи для проверки наличия в его базе паспортных данных, привязанных к указанному пользователем номеру телефона. В регистрации должно быть отказано при отсутствии паспортных данных в базе оператора , если абонент не найден или если оператор не вернул ответ в течение 20 минут. При наличии … Читать далее В РФ утверждено требование наличия паспортных данных при регистрации в мессенджерах

Компания Microsoft перешла к практике удаления ранее открытого кода из состава платформы .NET. В частности, из открытой кодовой базы, в которой велась разработка новой ветки платформы .NET 6, была удалена реализация функции Hot Reload, изначально предложенной не только в среде разработки Visual Studio 2019 16.11 (Preview 1), но и в открытой утилите «dotnet watch». В качестве причины удаления упоминается решение поставлять указанную функции только в коммерческом продукте Visual Studio 2022, чтобы повысить его привлекательность по сравнению с открытым редактором Visual Studio Code. Примечательно, что 21 октября в заметке с анонсом Hot Reload появилось дополнение, в котором говорилось, что поддержка Hot … Читать далее Microsoft удалил функциональность Hot Reload из открытого .NET для поставки только в Visual Studio 2022

Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.20. С момента выпуска версии 6.19 было закрыто 29 отчётов об ошибках и внесено 399 изменений. Наиболее важные изменения: В формат PE (Portable Executable) преобразованы MSXml, XAudio, DInput и некоторые другие модули. В состав включены некоторые системные библиотеки для поддержи сборок на базе формата PE. В DirectInput оставлена поддержка только нового бэкенда для джойстиков, поддерживающих протокол HID (Human Interface Devices). В Winelib улучшекена поддержка сборок MSVCRT. Закрыты отчёты об ошибках, связанные с работой игр: Emergency 3, Need For Speed Most Wanted 2005, Path of Exile, Victor Vran, Diablo 2: Resurrected, Rise … Читать далее Выпуск Wine 6.20 и Wine staging 6.20

В пакете GPSD, применяемом для извлечения точного времени и данных о координатах из GPS-устройств, выявлена критическая проблема, из-за которой 24 октября произойдёт смещение времени на 1024 недели назад, т.е. время будет переведено на март 2002 года. Проблема проявляется в выпусках с 3.20 по 3.22 включительно и устранена в выпуске GPSD 3.23 (исправление также бэкпортировано в пакет с версией 3.22 для Debian). Всем пользователям систем, в которых используется GPSD, необходимо срочно установить обновления, или быть готовым к сбою. Эффект от ошибки может привести к непредсказуемым сбоям на разных системах, в том числе напрямую не использующих GPSD, так как данное приложение применяется … Читать далее Ошибка в GPSD в это воскресенье переведёт к сдвигу времени на 19 лет назад

Компании ООО «РусБИТех-Астра» представила дистрибутив Astra Linux Special Edition 1.7, который представляет сборку специального назначения, обеспечивающую защиту конфиденциальной информации и государственной тайны до уровня «особой важности». Пользовательское окружение построено на основе проприетарного рабочего стола Fly (интерактивная демонстрация) с компонентами, использующими библиотеку Qt. Дистрибутив распространяется в рамках лицензионного соглашения, которое накладывает ряд ограничений на пользователей, в частности, запрещены коммерческое использование без заключения лицензионного договора, декомпиляция и дизассемблирование продукта. Оригинальные, реализованные специально для Astra Linux, алгоритмы работы и исходные коды отнесены к категории коммерческой тайны. Пользователю предоставляется возможность воспроизведения только одного экземпляра продукта на одном компьютере иди виртуальной машине, а также даётся … Читать далее Доступен защищённый российский дистрибутив Astra Linux Special Edition 1.7

Исследователи из Оборонного научно-технического университета Народно-освободительной армии Китая, Национального университета Сингапура и Швейцарской высшей технической школы Цюриха разработали новый метод атаки на изолированные анклавы Intel SGX (Software Guard eXtensions). Атака получила название SmashEx и вызвана проблемами с реентерабельностью при обработке исключительных ситуаций в процессе работы runtime-компонентов для Intel SGX. Предложенный метод атаки даёт возможность при наличии контроля за операционной системой определить конфиденциальные данные, размещённые в анклаве, или организовать копирование своего кода в память анклава и его исполнение. Прототипы эксплоитов подготовлены для анклавов с runtime на базе Intel SGX SDK (CVE-2021-0186) и Microsoft Open Enclave (CVE-2021-33767). В первом случае продемонстрирована возможность … Читать далее Атака на Intel SGX, позволяющая извлечь конфиденциальные данные или выполнить код в анклаве

Даниэль Колеса (Daniel Kolesa) из компании Igalia, принимающий участие в разработке проектов Void Linux, WebKit и Enlightenment, развивает новый дистрибутив Chimera Linux. Проект используется ядро Linux, но вместо инструментария GNU формирует окружение пользователя на основе начинки базовой системы FreeBSD, а для сборки использует LLVM. Дистрибутив изначально развивается как кроссплатформенный и поддерживает архитектуры x86_64, ppc64le, aarch64, riscv64 и ppc64. В качестве цели проекта называется желание предоставить Linux-дистрибутив с альтернативным инструментарием и учесть при создании нового дистрибутива опыт разработки Void Linux. По мнению автора проекта пользовательские компоненты FreeBSD менее усложнены и больше подходят для легковесных и компактных систем. Своё влияние также оказала … Читать далее Дистрибутив Chimera Linux, сочетающий ядро Linux с окружением FreeBSD

Состоялся релиз легковесного дистрибутива MX Linux 21, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве используется система инициализации sysVinit и собственные инструменты для настройки и развёртывания системы. Для загрузки доступны 32- и 64-разрядные сборки, размером 1.9 ГБ (x86_64, i386) с рабочим столом Xfce, а также 64-разрядные сборки с рабочим столом KDE. В новом выпуске: Осуществлён переход на пакетную базу Debian 11. Ядро Linux обновлено до ветки 5.10. Обновлены версии приложений, в том числе задействованы пользовательские окружения Xfce 4.16, … Читать далее Выпуск дистрибутива MX Linux 21

Компания SiFive, основанная создателями архитектуры набор команд RISC-V и в своё время подготовившая первый прототип процессора на базе RISC-V, представила новое RISC-V ядро CPU в линейке SiFive Performance, которое на 50% быстрее прошлого топового ядра P550 и опережает по производительности ARM Cortex-A78, наиболее мощный процессор на базе архитектуры ARM. SoC на базе нового ядра ориентированы прежде всего на серверные системы и рабочие станции, но возможно и создание урезанных вариантов для мобильных и встраиваемых устройств. Заявлено, что по сравнению с P550 новое процессорное ядро SiFive содержит 16 МБ L3-кэша вместо 4MB, может объединять в одном чипе до 16 ядер вместо 4, … Читать далее Компания SiFive представила ядро RISC-V, опережающее по производительности ARM Cortex-A78

Состоялся релиз гипервизора Bareflank 3.0, предоставляющего инструментарий для быстрой разработки специализированных гипервизоров. Bareflank написан на языке C++, поддерживает C++ STL. Модульная архитектура Bareflank позволят легко расширять имеющиеся возможности гипервизора и создавать собственные варианты гипервизоров, как работающих поверх оборудования (как Xen), так и запускаемых в имеющемся программном окружении (как VirtualBox). Имеется возможность выполнения операционной системы хост-окружения в отдельной виртуальной машине. Код проекта распространяется под лицензией LGPL 2.1. В Bareflank реализована поддержка Linux, Windows и UEFI на 64-разрядных CPU Intel и AMD. Для аппаратного разделения ресурсов виртуальных машин применяется технология Intel VT-x. На будущее запланирована поддержка macOS и BSD-систем, а также возможность … Читать далее Выпуск гипервизора Bareflank 3.0