Фонд свободного ПО представил проект JShelter, развивающий браузерное дополнение для защиты от угроз, возникающих при использовании JavaScript на сайтах, включая скрытую идентификацию, отслеживание перемещений и накопление данных о пользователе. Код проекта распространяется под лицензией GPLv3. Дополнение подготовлено для Firefox, Google Chrome, Opera, Brave, Microsoft Edge и других браузеров на основе движка Chromium. Проект развивается как совместная инициатива, финансируемая фондом NLnet Foundation. К разработке JShelter в том числе присоединился Джоржио Маоне (Giorgio Maone), создатель дополнения NoScript, а также основатели проекта J++ и авторы дополнений JS-Shield и JavaScript Restrictor. В качестве основы нового проекта использовано дополнение JavaScript Restrictor. JShelter можно рассматривать как … Читать далее Фонд СПО представил браузерное дополнение JShelter для ограничения JavaScript API

Компания Google сформировала обновление Chrome 94.0.4606.71, в котором исправлены 4 уязвимости, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-37975) вызвана обращением к области памяти после её освобождения (use-after-free) в JavaScript-движке V8, а вторая проблема (CVE-2021-37976) приводит к утечке информации. В анонсе новой версии также упомянута проблема CVE-2021-37974, связанная с обращением к области памяти после её освобождения в реализации режима Safe Browsing. Источник: http://www.opennet.ru/opennews/art.shtml?num=55893 Читать далее Обновление Chrome 94.0.4606.71 с устранением 0-day уязвимостей

Компания Valve опубликовала выпуск проекта Proton 6.3-7, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» (Eventfd … Читать далее Компания Valve выпустила Proton 6.3-7, пакет для запуска Windows-игр в Linux

После года разработки опубликована новая стабильная ветка СУБД PostgreSQL 14. Обновления для новой ветки будут выходить в течение пяти лет до ноября 2026 года. Основные новшества: Добавлена поддержка доступа к данным JSON при помощи выражений, напоминающий работу с массивами: SELECT (‘{ «postgres»: { «release»: 14 }}’::jsonb)[‘postgres’][‘release’]; Аналогичный синтаксис реализован и для данных в формате ключ/значение, обеспечиваемых типом hstore. Подобный синтаксис изначально реализован с использованием универсального фреймворка, который в будущем может быть задействован и для других типов. Пример для типа hstore: INSERT INTO mytable VALUES (‘a=>b, c=>d’); SELECT h[‘a’] FROM mytable; UPDATE mytable SET h[‘c’] = ‘new’; Семейство типов для определения … Читать далее Релиз СУБД PostgreSQL 14

Компания Qt Company опубликовала релиз фреймворка Qt 6.2, в котором продолжена работа по стабилизации и наращиванию функциональности ветки Qt 6. В Qt 6.2 обеспечена поддержка платформ Windows 10, macOS 10.14+, Linux (Ubuntu 20.04+, CentOS 8.1+, openSUSE 15.1+), iOS 13+, Android (API 23+), webOS, INTEGRITY и QNX. Исходные тексты компонентов Qt поставляются под лицензиями LGPLv3 и GPLv2. Qt 6.2 получил статус LTS-выпуска, в рамках которого для пользователей коммерческой лицензии обновления будут формироваться в течение трёх лет (для остальных обновления будут публиковаться полгода до формирования очередного значительного выпуска). Ветка Qt 6.2 отмечена как достигшая паритета с Qt 5.15 по составу модулей и … Читать далее Релиз фреймворка Qt 6.2

Пользователи различных дистрибутивов Linux, у которых применяется планировщик ввода/вывода BFQ, после обновления ядра Linux до выпуска 5.14.7 столкнулись с проблемой, приводящей к краху ядра в течение нескольких часов после загрузки. Проблема также продолжает проявляться в ядре 5.14.8. Причиной стало перенесённое из тестовой ветки 5.15 регрессивное изменение в планировщике ввода/вывода BFQ (Budget Fair Queueing), которое пока устранено только в виде патча. В качестве обходного пути для решения проблемы можно заменить планировщик на mq-deadline. Например, для устройства nvme0n1: echo mq-deadline › /sys/block/nvme0n1/queue/scheduler Источник: http://www.opennet.ru/opennews/art.shtml?num=55886 Читать далее В ядре Linux 5.14.7 выявлена проблема, приводящая к краху на системах с планировщиком BFQ

Проектом Firezone развивается VPN-сервер для организации доступа к хостам во внутренней изолированной сети из пользовательских устройств, находящихся во внешних сетях. Проект на целен на достижение высокого уровня защиты и упрощение процесса развёртывания VPN. Код проекта написан на языках Elixir и Ruby, и распространяется под лицензией Apache 2.0. Проект развивается инженером по автоматизации безопасности из компании Cisco, который попытался создать решение, автоматизирующее работу с конфигурацией хостов и исключающее появление проблем, с которыми приходилось сталкиваться при организации безопасного доступа к облачным VPC. Firezone может рассматриваться как открытый аналог OpenVPN Access Server, построенный поверх WireGuard вместо OpenVPN. Для установки предлагаются rpm- и deb-пакеты … Читать далее Firezone — решение для создания VPN-серверов на базе WireGuard

Доступны первые тестовые выпуски проекта TypeScript Native Compiler, позволяющего скомпилировать приложение на языке TypeScript в машинный код. Компилятор построен с использованием LLVM, что также позволяет добиться таких дополнительных возможностей, как компиляция кода в не зависящий от браузера универсальный низкоуровневый промежуточный код WASM (WebAssembly), способный выполняться в разных операционных системах. Код компилятора написан на языке С++ и распространяется под лицензией MIT. Использование языка TypeScript позволяет писать легко читаемый код, а LLVM даёт возможность скомпилировать его в «нативный» код и провести оптимизацию. Проект сейчас находится в стадии активной разработки. На данный момент ещё не доступна поддержка шаблонов и некоторых специфичных особенностей TypeScript, … Читать далее Предложен компилятор исходных текстов на языке TypeScript в машинный код

Состоялся релиз почтового сервера Exim 4.95, в который внесены накопившиеся исправления и добавлены новые возможности. В соответствии с сентябрьским автоматизированным опросом более миллиона почтовых серверов, доля Exim составляет 58% (год назад 57.59%), Postfix используется на 34.92% (34.70%) почтовых серверов, Sendmail — 3.52% (3.75%), MailEnable — 2% (2.07%), MDaemon — 0.57% (0.73%), Microsoft Exchange — 0.32% (0.42%). Основные изменения: Объявлена стабильной поддержка режима обработки очереди сообщений fast-ramp, который позволяет ускорить начало доставки сообщений при большом размере очереди на отправку и наличии внушительного числа сообщений, направляемых на типовые хосты, например при передаче большого числа писем крупным почтовым провайдерам или отправке через промежуточного … Читать далее Новая версия почтового сервера Exim 4.95

Опубликован релиз Supertuxkart 1.3, свободной гоночной игры с большим количеством картов, трасс и возможностей. Код игры распространяется под лицензией GPLv3. Бинарные сборки доступны для Linux, Android, Windows и macOS. В новом выпуске: Добавлен порт для игровых приставок Nintendo Switch с установленным пакетом Homebrew. Добавлена возможность использования обратной связи через вибрацию для контроллеров, поддерживающих данную функциональность. Добавлены новые арены, поддерживающие режим Capture-The-Flag: Ancient Colosseum Labyrinth (тёмная трасса с лабиринтами и атмосферой в стиле римского колизея) и Alien Signal (воссоздаёт инфраструктуру одного из проектов по поиску внеземных цивилизаций). Проведена работа по модернизации существующих картов. Карт Sara the Racer заменён на карт ведьмы … Читать далее Выпуск свободной гоночной игры SuperTuxKart 1.3

Началось тестирование бета-версии дистрибутива Fedora 35. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 26 октября. Выпуск охватывает Fedora Workstation, Fedora Server, Fedora Silverblue, Fedora IoT и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки сформированы для архитектур x86_64, Power64, ARM64 (AArch64) и различных устройств с 32-разрядными процессорами ARM. Наиболее значимые изменения в Fedora 35: Рабочий стол Fedora Workstation обновлён до выпуска GNOME 41, в котором переработан интерфейс управления установкой приложений. В конфигуратор добавлены новые разделы для настройки управления окнами/рабочими столами и … Читать далее Дистрибутив Fedora 35 перешёл на стадию бета-тестирования

В каталоге дополнений к Firefox (AMO) выявлено вредоносное дополнение Safepal Wallet, которое выдавало себя за официальное дополнение для криптокошелька Safepal, но на деле осуществляло кражу имеющихся у пользователя средств после введения данных учётной записи. Оформление и описание были стилизованы под мобильное приложение Safepal. Дополнение было размещено в каталоге 7 месяцев назад, но насчитывало всего 95 пользователей. Используемые в каталоге AMO проверки не выявили вредоносной активности и администраторы каталога узнали о проблеме только после того, как у один из пользователей дополнения заявил о мошенническом переводе с его счёта 4000 долларов. Примечательно, что в комментариях на странице дополнения три месяца и месяц … Читать далее Firefox-дополнение Safepal Wallet осуществляло кражу криптовалют

Проект PaSh, развивающий инструменты для параллельного выполнения shell-скриптов, объявил о переходе под покровительство организации Linux Foundation, которая предоставит инфраструктуру и сервисы, необходимые для продолжения разработки. Код проекта распространяется под лицензией MIT и включает компоненты на языках Python, Shell, C и OCaml. PaSh включает JIT-компилятор, runtime и библиотеку аннотаций: Runtime предоставляет набор примитивов для поддержки параллельного выполнения скирптов. Библиотека аннотаций определяет набор свойств, описывающих ситуации в которых допускается распараллеливание отдельных команд POSIX и GNU Coreutils. Компилятор на лету разбирает предложенный Shell-скрипт в абстрактное синтаксическое дерево (AST), разбивает на фрагменты, пригодные для параллельного выполнения, и формирует на их основе новый вариант скрипта, … Читать далее Система распараллеливания shell-скриптов PaSh перешла под крыло Linux Foundation

30 сентября в 17:01 по московскому времени истекает время жизни корневого сертификата компании IdenTrust (DST Root CA X3), который использовался для кросс-подписи корневого сертификата удостоверяющего центра Let’s Encrypt (ISRG Root X1), контролируемого сообществом и предоставляющий сертификаты безвозмездно всем желающим. Перекрёстная подпись обеспечивала доверие к сертификатам Let’s Encrypt на широком спектре устройств, операционных систем и браузеров в период интеграции собственного корневого сертификата Let’s Encrypt в хранилища корневых сертификатов. Изначально планировалось, что после устаревания DST Root CA X3 проект Let’s Encrypt перейдёт на формирование подписей с использованием только своего корневого сертификата, но такой шаг привёл бы к потере совместимости с большим числом … Читать далее Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let’s Encrypt на старых устройствах

После трёх с половиной лет разработки представлен первый стабильный релиз проекта GNU Wget2, развивающего полностью переработанный вариант программы для автоматизации рекурсивной загрузки контента GNU Wget. GNU Wget2 спроектирован и переписан с нуля и примечателен выносом базовой функциональности web-клиента в библиотеку libwget, которая может обособленно применяться в приложениях. Утилита поставляется под лицензией GPLv3+, а библиотека под LGPLv3+. Вместо постепенной переработки существующей кодовой базы было решено переделать всё с нуля и основать отдельную ветку Wget2 для воплощений идей по реструктуризации, наращивания функциональности и внесения изменений, нарушающих совместимость. За исключением прекращения поддержки протокола FTP и формата WARC, wget2 в большинстве ситуаций может выступать … Читать далее Первый стабильный релиз утилиты для загрузки web-контента GNU Wget2

Опубликован релиз OpenSSH 8.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Выпуск примечателен отключением по умолчанию возможности использования цифровых подписей на базе RSA-ключей с хэшем SHA-1 («ssh-rsa»). Прекращение поддержки подписей «ssh-rsa» обусловлено повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). Для проверки применения ssh-rsa в своих системах можно попробовать подключиться по ssh с опцией «-oHostKeyAlgorithms=-ssh-rsa». Поддержка подписей RSA с хэшами SHA-256 и SHA-512 (rsa-sha2-256/512), которые поддерживаются с OpenSSH 7.2, оставлена без изменений. В большинстве случаев прекращение поддержки «ssh-rsa» не потребует от пользователей каких-то ручных действий, так … Читать далее Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha

На прошедшей конференции Linux Plumbers 2021 компания Google рассказала об успехах инициативы по переводу платформы Android на использование обычного ядра Linux вместо применения собственного варианта ядра, включающего изменения, специфичные для платформы Android. Наиболее важным изменением в разработке стало решение по переходу после 2023 года на модель «Upstream First», подразумевающую развитие всех новых возможностей ядра, необходимых в платформе Android, непосредственно в основном ядре Linux, а не в своих отдельных ветках (функциональность вначале будет продвигаться в основное ядро, а потом использоваться в Android, а не наоборот). На 2023 и 2024 годы также намечена передача в основной состав ядра всех дополнительных патчей, остающихся … Читать далее Google перейдёт к развитию новшеств для Android в основном ядре Linux

Доступен новый выпуск JavaScript-движка elk 2.0.9, нацеленного на использование в системах с ограниченными ресурсами, такими как микроконтроллеры, включая платы ESP32 и Arduino Nano с 2 КБ ОЗУ и 30КБ Flash. Для работы предоставляемой виртуальной машины достаточно 100 байт памяти и 20 КБ места на накопителе. Код проекта написан на языке Си и распространяется под лицензией GPLv2. Для сборки проекта достаточно Си-компилятора — дополнительные зависимости не используются. Проект развивается разработчиками операционной системы для IoT-устройств Mongoose OS, JavaScript-движка mJS и встраиваемого web-сервера Mongoose (применяется в продуктах таких компаний, как Siemens, Schneider Electric, Broadcom, Bosch, Google, Samsung и Qualcomm). Основным назначением Elk является … Читать далее Проект elk развивает компактный JavaScript-движок для микроконтроллеров

Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.18. С момента выпуска версии 6.17 было закрыто 19 отчётов об ошибках и внесено 485 изменений. Наиболее важные изменения: Библиотеки Shell32 и WineBus преобразованы в формат PE (Portable Executable). Данные Unicode обновлены до версии 14. Движок Mono обновлён до версии 6.4.0. Проведена дополнительная работа по поддержке отладочного формата DWARF 3/4. Включён по умолчанию новый бэкенд для джойстиков, поддерживающих протокол HID (Human Interface Devices). Закрыты отчёты об ошибках, связанные с работой игры Resident Evil 7. Закрыты отчёты об ошибках, связанные с работой приложений: Far Manager 2.0, Melodyne 5, ID Photo Maker 3.2, … Читать далее Выпуск Wine 6.18 и Wine staging 6.18

Платформа HackerOne, дающая возможность исследователям безопасности информировать компании и разработчиков программных продуктов о выявлении уязвимостей и получать за это вознаграждения, сообщила о включении открытого программного обеспечения в область действия проекта Internet Bug Bounty. Выплаты вознаграждений теперь могут быть совершены не только за выявление уязвимостей в корпоративных системах и сервисах, но за информирование о проблемах в широком спектре открытых проектов, развиваемых как командами, так и отдельными разработчиками. В число первых открытых проектов, для которых началось предоставление выплат за найденные уязвимости, включены Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django и Curl. В дальнейшем список будет расширен. За критическую уязвимость предусмотрена выплата $5000, … Читать далее HackerOne реализовал выплату вознаграждений за выявление уязвимостей в открытом ПО

Компания GitHub объявила о добавлении поддержки языка Rust в каталог GitHub Advisory Database, в котором публикуются сведения о уязвимостях, затрагивающих проекты, размещённые на GitHub, а также выполняется отслеживание проблем в пакетах, связанных зависимостями с уязвимым кодом. В каталог добавлена новая секция, позволяющая отслеживать появление уязвимостей в пакетах, содержащих код на языке Rust. В настоящее время предоставлены сведения о 318 уязвимостях в проектах на языке Rust. Ранее в каталоге была предоставлена поддержка репозиториев, в которых развиваются пакеты на базе Composer (PHP), Go, Maven (Java), npm (JavaScript), NuGet (С#), pip (Python) и RubyGems (Ruby). Источник: http://www.opennet.ru/opennews/art.shtml?num=55863 Читать далее GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust