В офисном пакете Apache OpenOffice выявлена уязвимость (CVE-2021-33035), позволяющая добиться выполнения кода при открытии специально оформленного файла в формате DBF. Выявивший проблему исследователь предупредил о создании рабочего эксплоита для платформы Windows. Исправление уязвимости пока доступно только в форме патча в репозитории проекта, который вошёл в состав тестовых сборок OpenOffice 4.1.11. Обновления для стабильной ветки пока не сформировано. Проблема вызвана тем, что при выделении памяти OpenOffice полагался на значения fieldLength и fieldType в заголовке файлов DBF, не проверяя при этом соответствие фактического типа данных в полях. Для совершения атаки можно указать в значении fieldType тип INTEGER, но разместить данные большего размера … Читать далее Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла

Представлен релиз классической системы инициализации sysvinit 3.0, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart, а теперь продолжает использоваться в таких дистрибутивах, как Devuan, Debian GNU/Hurd и antiX. Изменение номера версии на 3.0 не связано со значительными изменениями, а является следствием достижения максимального значения второй цифры, что, в соответствии с применяемой в проекте логикой нумерации версий, привело к переходу к номеру 3.0 после 2.99. В новом выпуске устранены проблемы в утилите bootlogd, связанные с определением устройства для консоли. Если раньше в bootlogd принимались только устройства с именами, соответствующими известным консольным устройствам, то теперь можно указать произвольное … Читать далее Выпуск системы инициализации sysvinit 3.0

Представлен релиз Samba 4.15.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.15: Завершена работа по модернизации слоя VFS. По историческим причинам код с реализацией файлового сервера был завязан на обработку файловых путей, которая применялась в том числе для протокола SMB2, переведённого на использование дескрипторов. Модернизация свелась к переводу кода, обеспечивающего доступ к файловой системе … Читать далее Выпуск Samba 4.15.0

Доступен выпуск прослойки DXVK 1.9.2, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как Mesa RADV 20.2, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D 9/10/11, работающих поверх OpenGL. Основные изменения: В реализации D3D9 снижена нагрузка на CPU и устранены различные сбои в тестовом наборе. Решены проблемы, проявлявшиеся при включении опций d3d9.evictManagedTexturesOnUnlock и d3d11.relaxedBarriers. Решены … Читать далее Выпуск DXVK 1.9.2, реализации Direct3D 9/10/11 поверх API Vulkan

Проект Headscale развивает открытую реализацию серверного компонента VPN-сети Tailscale, позволяющего создавать похожие на Tailscale VPN-сети на своих мощностях, не привязываясь к сторонним сервисам. Код Headscale написан на языке Go и распространяется под лицензией BSD. Проект развивает Хуан Фонт Алонсо (Juan Font) из Европейского космического агентства. Tailscale позволяет объединить произвольное число территориально разнесённых хостов в одну сеть, построенную по образу mesh-сети, в которой каждый узел взаимодействует с другими узлами напрямую (P2P) или через соседние узлы, без передачи трафика через централизованные внешние серверы VPN-провайдера. Поддерживается управление доступом и маршрутами на основе ACL. Для установки каналов связи в условиях применения трансляторов адресов (NAT) … Читать далее Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale

После 10 лет разработки доступен первый стабильный выпуск проекта Bespoke Synth, развивающего модульный программный синтезатор звука, позволяющий генерировать и обрабатывать звук на основе наглядного перенаправления звуковых потоков между разными модулями, формирующими и меняющими форму звуковой волны, а также накладывающими эффекты. Код проекта написан на языке С++ и распространяется под лицензией GPLv3. Готовые сборки подготовлены для Linux, macOS и Windows. Из особенностей приложения отмечается возможность изменения окружения на лету — можно не прерывая воспроизведения музыки добавлять и менять узлы. Для создания звуковых цепочек доступно более 190 модулей. Поддерживается подключение готовых VST-плагинов и быстрое создание собственных обработчиков на языке Python. Предоставляются средства … Читать далее Выпуск программного звукового синтезатора Bespoke Synth 1.0

Исполнилось 30 лет с момента формирования первого публичного выпуска ядра Linux. Ядро 0.01 имело размер 62 Кб в сжатом виде и содержало около 10 тысяч строк исходного кода. По мнению Линуса Торвальдса именно момент публикации ядра 0.01 является настоящей датой 30-летия проекта. Линус написал в списке рассылки разработчиков ядра Linux: Это просто случайное наблюдение, чтобы люди знали, что сегодня на самом деле одна из основных дат 30-летнего юбилея: версия 0.01 была загружена 17 сентября 1991 года. Релиз 0.01 никогда не был публично объявлен, и я только написал об этом десятку людей в частном порядке (и старых email тех дней у … Читать далее 30 лет с момента первого релиза ядра Linux 0.01

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.23. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 октября. Ключевые улучшения: В теме оформления Breeze изменён дизайн кнопок, элементов меню, переключателей, ползунков и полос прокрутки. Для повышения удобства работы с сенсорных экранов увеличен размер полоc прокрутки и полос-регуляторов (spinbox). Добавлен новый индикатор загрузки, оформленный в виде вращающейся шестерёнки. Реализован эффект, подсвечивающий виджеты, касающиеся края панели. Для виджетов, размещённых на рабочем столе, обеспечено размытие фона. Значительное переработан код с реализацией нового меню … Читать далее Тестирование рабочего стола KDE Plasma 5.23

В ядре Linux выявлена уязвимость (CVE-2021-41073), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана ошибкой в реализации интерфейса асинхронного ввода/вывода io_uring, приводящей к обращению к уже освобождённому блоку памяти. Отмечается, что исследователем удалось добиться освобождения памяти по заданному смещению при манипуляции с функцией loop_rw_iter() со стороны непривилегированного пользователя, что делает возможным создание рабочего эксплоита. Проблема пока устранена только в виде патча, который бэкпортирован в стабильные ветки ядра, но обновление ещё не выпущено. Источник: http://www.opennet.ru/opennews/art.shtml?num=55828 Читать далее Уязвимость в подсистеме io_uring ядра Linux, позволяющая поднять свои привилегии

Кэрол Хербст (Karol Herbst) из компании Red Hat, принимающий участие в разработке Mesa, драйвера Nouveau и открытого стека OpenCL, опубликовал rusticl — экспериментальную программную реализацию OpenCL (фронтэнд OpenCL) для Mesa, написанную на языке Rust. Rusticl выступает в роли аналога уже присутствующего в Mesa OpenCL-фронтэнда Clover и также разработан с использованием предоставляемого в Mesa интерфейса Gallium. Разработка была представлена 17 сентября на конференции XDC 2021 (X.Org Developers Conference). Целью разработки было изучение Rust, выработка оптимальных путей интеграции Rust в Mesa, опробование создания реализаций API на другом языке и проверка сочетаемости компонентов на Rust с остальным кодом на языке Си. Разработка ещё … Читать далее Для Mesa развивается фронтэнд OpenCL, написанный на языке Rust

Доступен предварительный выпуск дистрибутива Windowsfx 11, нацеленного на воссоздание интерфейса Windows 11 и специфичных для Windows визуальных эффектов. Окружение воссоздано при помощи специализированной темы оформления WxDesktop и дополнительных приложений. В качестве основы сборки используется Ubuntu 20.04 и рабочий стол KDE Plasma 5.22.5. Для загрузки подготовлен iso-образ размером 4.3 ГБ. Проектом также развивается платная сборка, включающая дополнительные возможности, приближающие окружение к Windows, такие как конфигуратор, голосовой ассистент, поддержка Active Directory и доступ к сервису OneDrive. Состав приложений также по возможности приближен к Windows, например, пользователю предлагаются офисные пакеты OnlyOffice и MS Office Online, браузер Edge, платформа совместной работы MS Teams, мессенджер … Читать далее Проект Windowsfx подготовил сборку Ubuntu с интерфейсом, стилизованным под Windows 11

Опубликован выпуск графического редактора GIMP 2.10.28. Версия 2.10.26 была пропущена из-за выявления серьёзной ошибки на поздней стадии формирования выпуска. Для установки доступны пакеты в формате flatpak (пакет snap пока не готов). Выпуск в основном включает исправления ошибок. Все усилия по наращиванию функциональности сосредоточены на подготовке ветки GIMP 3, которая находится на стадии тестирования предварительных выпусков. Из изменений в GIMP 2.10.28 выделяется: Включение исправлений, связанных с улучшением поддержки платформы Windows. В Dashboard реализован вывод информации о памяти на платформе OpenBSD. Включены оптимизации производительности, специфичные для операционной системы macOS Big Sur. Улучшена работа плагинов для поддержи форматов DICOM, GIF, PS, Sunras, BMP, … Читать далее Выпуск графического редактора GIMP 2.10.28

Доступен новый выпуск блокировщика нежелательного контента uBlock Origin 1.38, обеспечивающего блокирование рекламы, вредоносных элементов, кода для отслеживания перемещения, JavaScript-майнеров и других мешающих нормальной работе элементов. Дополнение uBlock Origin отличается высокой производительностью и экономным расходованием памяти, и позволяет не только избавиться от назойливых элементов, но и сократить потребление ресурсов и ускорить загрузку страниц. Основные изменения: Началась публикация пакета для Node.js, который позволяет импортировать и использовать в Node.js-приложениях движки для статической и динамической фильтрации контента. В правила добавлена поддержка оператор «:matches-path(…)» для исключения ложных срабатываний при применении модификатора $path. Для всех браузеров за исключением Firefox для Android убрана настройка «Prevent WebRTC from … Читать далее Выпуск дополнения для блокировки рекламы uBlock Origin 1.38.0

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о сотрудничестве с компанией Google, которая выразила готовность профинансировать проведение независимого аудита безопасности 8 открытых проектов. На полученные от Google средства решено провести аудит Git, JavaScript-библиотеки Lodash, PHP-фреймворка Laravel, Java-фреймворка Slf4j, JSON-библиотек Jackson (Jackson-core и Jackson-databind) и Java-компонентов Apache Httpcomponents (Httpcomponents-core и Httpcomponents-client). Ранее на полученные в результате сбора пожертвований средства фонд OSTIF уже провёл аудит проектов OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS и QRL. Отдельно сообществом уже собраны средства для аудита PHP-фреймворка Symfony. В случае получения дополнительного финансирования для аудита также намечены проекты Systemd, … Читать далее Google профинансирует аудит безопасности 8 важных открытых проектов

Компания Mozilla проводит эксперимент по переводу 1% пользователей Firefox на использование по умолчанию поисковой системы Microsoft Bing. Эксперимент начался 6 сентября и продлится до конца января 2022 года. Оценить своё участие в экспериментах Mozilla можно на странице «about:studies». Для пользователей, предпочитающих другие поисковые системы, в настройках сохраняется возможность выбора поискового движка на свой вкус. Напомним, что в англоязычной сборке Firefox по умолчанию предлагается Google, в русскоязычной и турецкой — Yandex, а в сборках для Китая — Baidu. С применяемыми по умолчанию поисковыми системами заключены конктракты о выплате отчислений за переходы, которые приносят львиную долю доходов Mozilla. Например, в 2019 году … Читать далее В Firefox проводится эксперимент по использованию поисковой системы Bing по умолчанию

Опубликовано обновление дистрибутива Ubuntu 18.04.6 LTS. В состав выпуска включены только накопившиеся обновления пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Версии ядра и программ соответствуют версии 18.04.5. Основной целью нового выпуска является обновление установочных образов для архитектур amd64 и arm64. В установочном образе решены проблемы, связанные с отзывом ключей в ходе устранения второго варианта уязвимости BootHole в загрузчике GRUB2. Таким образом возобновлена возможность установки Ubuntu 18.04 на системы с UEFI Secure Boot. Использовать представленную сборку имеет смысл только для новых установок, но для новых систем более актуальным является выпуск Ubuntu 20.04.3 LTS. Системы, установленные ранее, могут получить … Читать далее Релиз дистрибутива Ubuntu 18.04.6 LTS

Вышла новая версия транслятора языка программирования Vala 0.54.0. Язык Vala является объектно-ориентированным языком программирования, предоставляет синтаксис, подобный языкам C# или Java. Код на Vala транслируется в программу на языке C, которая, в свою очередь, компилируется в бинарный файл и выполняется со скоростью приложения, откомпилированного в объектный код целевой платформы. Имеется возможность запуска программ в режиме сценария. Язык развивается под эгидой проекта GNOME. В качестве объектной модели используется Gobject (Glib Object System). Код компилятора распространяется под лицензией LGPLv2.1. В языке имеется поддержка интроспекции, лямбда-функций, интерфейсов, делегатов и замыканий, сигналов и слотов, исключений, свойств, ненулевых типов, выведения типов для локальных переменных (var). … Читать далее Выпуск транслятора языка программирования Vala 0.54.0

Компания Oracle изменила лицензионное соглашение на пакет JDK 7 (Java SE Development Kit), в рамках которого предоставляются эталонные сборки инструментов для разработки и выполнения приложений на языке Java (утилиты, компилятор, библиотека классов и среда исполнения JRE). Начиная с JDK 7 пакет поставляется под новой лицензией NFTC (Oracle No-Fee Terms and Conditions), которая разрешает бесплатное использование в персональных и коммерческих проектах, а также допускает применение в рабочих окружениях коммерческих систем. Более того, сняты ограничения по подтверждению операций загрузки на сайте, что позволяет загружать JDK автоматически из скриптов. Лицензия NFTC также подразумевает возможность бесплатного ежёквартального получения обновлений с устранением ошибок и уязвимостей, … Читать далее Компания Oracle убрала ограничение по использованию JDK в коммерческих целях

Разработчики офисного пакета LibreOffice опубликовали планы по усовершенствованию интерфейса пользователя и представили макет будущих изменений, которые ожидаются в следующем значительном выпуске LibreOffice 8.0. Наиболее заметным новшеством стала встроенная поддержка вкладок, через которые можно быстро переключаться между разными документами по аналогии с тем как осуществляется переключение между сайтами в современных браузерах. При необходимости каждую вкладку можно открепить в форме отдельного окна или наоборот преобразовать окно во вкладку. Возможно также свернуть все вкладки в выпадающий список, доступный при нажатии кнопки «^». В заголовке также показана кнопка «LibreOffice», предназначенная для запуска начального интерфейса, который ранее показывался при запуске или закрытии всех документов, и … Читать далее Доступен макет нового интерфейса LibreOffice 8.0 с поддержкой вкладок

В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API. Проблема присутствовала в Travis CI с 3 по 10 сентября. Примечательно, что информация об уязвимости была передана разработчикам 7 сентября, но в ответ была лишь получена отписка с рекомендацией использовать ротацию ключей. Не получив должной обратной связи исследователи связались с GitHub и предложили занести … Читать далее Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев

Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей: CVE-2021-33193 — подверженность mod_http2 новому варианту атаки «HTTP Request Smuggling», позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). CVE-2021-40438 — SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим. CVE-2021-39275 — переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно … Читать далее Релиз http-сервера Apache 2.4.49 с устранением уязвимостей