В ядре Linux выявлена уязвимость (CVE-2021-41073), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана ошибкой в реализации интерфейса асинхронного ввода/вывода io_uring, приводящей к обращению к уже освобождённому блоку памяти. Отмечается, что исследователем удалось добиться освобождения памяти по заданному смещению при манипуляции с функцией loop_rw_iter() со стороны непривилегированного пользователя, что делает возможным создание рабочего эксплоита. Проблема пока устранена только в виде патча, который бэкпортирован в стабильные ветки ядра, но обновление ещё не выпущено. Источник: http://www.opennet.ru/opennews/art.shtml?num=55828 Читать далее Уязвимость в подсистеме io_uring ядра Linux, позволяющая поднять свои привилегии

Кэрол Хербст (Karol Herbst) из компании Red Hat, принимающий участие в разработке Mesa, драйвера Nouveau и открытого стека OpenCL, опубликовал rusticl — экспериментальную программную реализацию OpenCL (фронтэнд OpenCL) для Mesa, написанную на языке Rust. Rusticl выступает в роли аналога уже присутствующего в Mesa OpenCL-фронтэнда Clover и также разработан с использованием предоставляемого в Mesa интерфейса Gallium. Разработка была представлена 17 сентября на конференции XDC 2021 (X.Org Developers Conference). Целью разработки было изучение Rust, выработка оптимальных путей интеграции Rust в Mesa, опробование создания реализаций API на другом языке и проверка сочетаемости компонентов на Rust с остальным кодом на языке Си. Разработка ещё … Читать далее Для Mesa развивается фронтэнд OpenCL, написанный на языке Rust

Доступен предварительный выпуск дистрибутива Windowsfx 11, нацеленного на воссоздание интерфейса Windows 11 и специфичных для Windows визуальных эффектов. Окружение воссоздано при помощи специализированной темы оформления WxDesktop и дополнительных приложений. В качестве основы сборки используется Ubuntu 20.04 и рабочий стол KDE Plasma 5.22.5. Для загрузки подготовлен iso-образ размером 4.3 ГБ. Проектом также развивается платная сборка, включающая дополнительные возможности, приближающие окружение к Windows, такие как конфигуратор, голосовой ассистент, поддержка Active Directory и доступ к сервису OneDrive. Состав приложений также по возможности приближен к Windows, например, пользователю предлагаются офисные пакеты OnlyOffice и MS Office Online, браузер Edge, платформа совместной работы MS Teams, мессенджер … Читать далее Проект Windowsfx подготовил сборку Ubuntu с интерфейсом, стилизованным под Windows 11

Опубликован выпуск графического редактора GIMP 2.10.28. Версия 2.10.26 была пропущена из-за выявления серьёзной ошибки на поздней стадии формирования выпуска. Для установки доступны пакеты в формате flatpak (пакет snap пока не готов). Выпуск в основном включает исправления ошибок. Все усилия по наращиванию функциональности сосредоточены на подготовке ветки GIMP 3, которая находится на стадии тестирования предварительных выпусков. Из изменений в GIMP 2.10.28 выделяется: Включение исправлений, связанных с улучшением поддержки платформы Windows. В Dashboard реализован вывод информации о памяти на платформе OpenBSD. Включены оптимизации производительности, специфичные для операционной системы macOS Big Sur. Улучшена работа плагинов для поддержи форматов DICOM, GIF, PS, Sunras, BMP, … Читать далее Выпуск графического редактора GIMP 2.10.28

Доступен новый выпуск блокировщика нежелательного контента uBlock Origin 1.38, обеспечивающего блокирование рекламы, вредоносных элементов, кода для отслеживания перемещения, JavaScript-майнеров и других мешающих нормальной работе элементов. Дополнение uBlock Origin отличается высокой производительностью и экономным расходованием памяти, и позволяет не только избавиться от назойливых элементов, но и сократить потребление ресурсов и ускорить загрузку страниц. Основные изменения: Началась публикация пакета для Node.js, который позволяет импортировать и использовать в Node.js-приложениях движки для статической и динамической фильтрации контента. В правила добавлена поддержка оператор «:matches-path(…)» для исключения ложных срабатываний при применении модификатора $path. Для всех браузеров за исключением Firefox для Android убрана настройка «Prevent WebRTC from … Читать далее Выпуск дополнения для блокировки рекламы uBlock Origin 1.38.0

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о сотрудничестве с компанией Google, которая выразила готовность профинансировать проведение независимого аудита безопасности 8 открытых проектов. На полученные от Google средства решено провести аудит Git, JavaScript-библиотеки Lodash, PHP-фреймворка Laravel, Java-фреймворка Slf4j, JSON-библиотек Jackson (Jackson-core и Jackson-databind) и Java-компонентов Apache Httpcomponents (Httpcomponents-core и Httpcomponents-client). Ранее на полученные в результате сбора пожертвований средства фонд OSTIF уже провёл аудит проектов OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS и QRL. Отдельно сообществом уже собраны средства для аудита PHP-фреймворка Symfony. В случае получения дополнительного финансирования для аудита также намечены проекты Systemd, … Читать далее Google профинансирует аудит безопасности 8 важных открытых проектов

Компания Mozilla проводит эксперимент по переводу 1% пользователей Firefox на использование по умолчанию поисковой системы Microsoft Bing. Эксперимент начался 6 сентября и продлится до конца января 2022 года. Оценить своё участие в экспериментах Mozilla можно на странице «about:studies». Для пользователей, предпочитающих другие поисковые системы, в настройках сохраняется возможность выбора поискового движка на свой вкус. Напомним, что в англоязычной сборке Firefox по умолчанию предлагается Google, в русскоязычной и турецкой — Yandex, а в сборках для Китая — Baidu. С применяемыми по умолчанию поисковыми системами заключены конктракты о выплате отчислений за переходы, которые приносят львиную долю доходов Mozilla. Например, в 2019 году … Читать далее В Firefox проводится эксперимент по использованию поисковой системы Bing по умолчанию

Опубликовано обновление дистрибутива Ubuntu 18.04.6 LTS. В состав выпуска включены только накопившиеся обновления пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Версии ядра и программ соответствуют версии 18.04.5. Основной целью нового выпуска является обновление установочных образов для архитектур amd64 и arm64. В установочном образе решены проблемы, связанные с отзывом ключей в ходе устранения второго варианта уязвимости BootHole в загрузчике GRUB2. Таким образом возобновлена возможность установки Ubuntu 18.04 на системы с UEFI Secure Boot. Использовать представленную сборку имеет смысл только для новых установок, но для новых систем более актуальным является выпуск Ubuntu 20.04.3 LTS. Системы, установленные ранее, могут получить … Читать далее Релиз дистрибутива Ubuntu 18.04.6 LTS

Вышла новая версия транслятора языка программирования Vala 0.54.0. Язык Vala является объектно-ориентированным языком программирования, предоставляет синтаксис, подобный языкам C# или Java. Код на Vala транслируется в программу на языке C, которая, в свою очередь, компилируется в бинарный файл и выполняется со скоростью приложения, откомпилированного в объектный код целевой платформы. Имеется возможность запуска программ в режиме сценария. Язык развивается под эгидой проекта GNOME. В качестве объектной модели используется Gobject (Glib Object System). Код компилятора распространяется под лицензией LGPLv2.1. В языке имеется поддержка интроспекции, лямбда-функций, интерфейсов, делегатов и замыканий, сигналов и слотов, исключений, свойств, ненулевых типов, выведения типов для локальных переменных (var). … Читать далее Выпуск транслятора языка программирования Vala 0.54.0

Компания Oracle изменила лицензионное соглашение на пакет JDK 7 (Java SE Development Kit), в рамках которого предоставляются эталонные сборки инструментов для разработки и выполнения приложений на языке Java (утилиты, компилятор, библиотека классов и среда исполнения JRE). Начиная с JDK 7 пакет поставляется под новой лицензией NFTC (Oracle No-Fee Terms and Conditions), которая разрешает бесплатное использование в персональных и коммерческих проектах, а также допускает применение в рабочих окружениях коммерческих систем. Более того, сняты ограничения по подтверждению операций загрузки на сайте, что позволяет загружать JDK автоматически из скриптов. Лицензия NFTC также подразумевает возможность бесплатного ежёквартального получения обновлений с устранением ошибок и уязвимостей, … Читать далее Компания Oracle убрала ограничение по использованию JDK в коммерческих целях

Разработчики офисного пакета LibreOffice опубликовали планы по усовершенствованию интерфейса пользователя и представили макет будущих изменений, которые ожидаются в следующем значительном выпуске LibreOffice 8.0. Наиболее заметным новшеством стала встроенная поддержка вкладок, через которые можно быстро переключаться между разными документами по аналогии с тем как осуществляется переключение между сайтами в современных браузерах. При необходимости каждую вкладку можно открепить в форме отдельного окна или наоборот преобразовать окно во вкладку. Возможно также свернуть все вкладки в выпадающий список, доступный при нажатии кнопки «^». В заголовке также показана кнопка «LibreOffice», предназначенная для запуска начального интерфейса, который ранее показывался при запуске или закрытии всех документов, и … Читать далее Доступен макет нового интерфейса LibreOffice 8.0 с поддержкой вкладок

В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API. Проблема присутствовала в Travis CI с 3 по 10 сентября. Примечательно, что информация об уязвимости была передана разработчикам 7 сентября, но в ответ была лишь получена отписка с рекомендацией использовать ротацию ключей. Не получив должной обратной связи исследователи связались с GitHub и предложили занести … Читать далее Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев

Опубликован релиз HTTP-сервера Apache 2.4.49, в котором представлено 27 изменений и устранено 5 уязвимостей: CVE-2021-33193 — подверженность mod_http2 новому варианту атаки «HTTP Request Smuggling», позволяющему через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). CVE-2021-40438 — SSRF-уязвимость (Server Side Request Forgery) в mod_proxy, позволяющая через отправку специально оформленного запроса uri-path добиться перенаправления запроса на сервер, выбранный атакующим. CVE-2021-39275 — переполнение буфера в функции ap_escape_quotes. Уязвимость помечена как неопасная, так как все штатные модули не передают внешние данные в данную функцию. Но теоретически возможно … Читать далее Релиз http-сервера Apache 2.4.49 с устранением уязвимостей

Доступен релиз открытой биллинговой системы ABillS 0.91, компоненты которой поставляются под лицензией GPLv2. Основные новшества: Paysys: переработаны все модули. Paysys: добавлены тесты платёжных систем. Добавлено клиентское API. Triplay: переработан механизм управления суб сервисами Internet/TV/Телефония. Cams: Интеграция с облачной системой видеонаблюдения Форпост. Ureports. Добавлена возможность отправлять оповещения одновременно несколькими типами. Maps2: Добавлены слои: Visicom Maps, 2GIS. Callcenter: Улучшена работа с CRM. Источник: http://www.opennet.ru/opennews/art.shtml?num=55808 Читать далее Релиз открытой биллинговой системы ABillS 0.91

30 сентября в Нижнем Новгороде пройдёт PGConf.NN — бесплатная техническая конференция по СУБД PostgreSQL. Организаторы — компания Postgres Professional и ассоциация IT-компаний iCluster. Начало докладов — в 14:30. Место проведения — технопарк «Анкудиновка» (ул. Академика Сахарова, д. 4). Требуется предварительная регистрация. Доклады: «JSON or not JSON» — Олег Бартунов, генеральный директор, Postgres Professional «Обзор возможностей резервного копирования в PostgreSQL и Postgres Pro» — Иван Фролков. Ведущий инженер Postgres Professional «SQL vs NoSQL» — Дмитрий Адмакин, руководитель отдела разработки «БАРС Груп» Источник: http://www.opennet.ru/opennews/art.shtml?num=55807 Читать далее В Нижнем Новгороде состоится конференция по PostgreSQL

Компания Mozilla представила новую систему рекомендаций Firefox Suggest, выводящую дополнительные предложения во время ввода в адресной строке. От рекомендаций на основе локальных данных и обращения к поисковой системе, новая функция отличается возможностью предоставления информации от сторонних партнёров, которыми могут выступать как некоммерческие проекты, такие как Wikipedia, так и платные спонсоры. Например, при начале ввода в адресной строке названия города будет предложена ссылка на описание наиболее подходящего города в Wikipedia, а при вводе товара — ссылка на покупку в интернет-магазине eBay. Предложения также могут включать рекламные ссылки, полученные в рамках партнёрской программы с компанией adMarketplace. Включить или отключить дополнительные рекомендации можно … Читать далее Mozilla представила Firefox Suggest и новый интерфейс браузера Firefox Focus

Разработчики десктоп окружения Budgie приняли решение уйти от использования библиотеки GTK в пользу библиотек EFL (Enlightenment Foundation Library), развиваемых проектом Enlightenment. Результаты миграции будут предложены в выпуске Budgie 11. Примечательно , что это не первая попытка ухода от использования GTK — в 2017 году проект уже принимал решение о переходе на Qt, но позднее пересмотрел планы, в надежде, что в GTK4 ситуация изменится. К сожалению GTK4 не оправдал ожиданий разработчиков из-за продолжения полной ориентации только на потребности проекта GNOME, разработчики которого не прислушиваются к мнению альтернативных проектов и не желают учитывать их потребности. Основным стимулом для ухода от применения GTK … Читать далее Рабочий стол Budgie переходит с GTK на библиотеки EFL от проекта Enlightenment

После шести месяцев разработки компания Oracle выпустила платформу Java SE 17 (Java Platform, Standard Edition 17), в качестве эталонной реализации которой используется открытый проект OpenJDK. За исключением удаления некоторых устаревших возможностей в Java SE 17 сохранена обратная совместимость с прошлыми выпусками платформы Java — большинство ранее написанных Java-проектов без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 17 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64, AArch64), Windows (x86_64) и macOS (x86_64, AArch64). Разработанная в рамках проекта OpenJDK эталонная реализация Java 17 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими … Читать далее Выпуск Java SE 17

В большинстве клиентских приложений для платформы децентрализованных коммуникаций Matrix выявлены уязвимости (CVE-2021-40823, CVE-2021-40824), позволяющие получить сведения о ключах, использованных для передачи сообщений в чатах со сквозным шифрованием (E2EE). Атакующий, скомпрометировав одного из пользователей чата, может расшифровать сообщения, ранее отправленные этому пользователю из уязвимых клиентских приложений. Для успешной эксплуатации требуется наличие доступа к учётной записи получателя сообщений. Доступ может быть получен как через утечку параметров учётной записи, так и через взлом Matrix-сервера, через который подключается пользователь. Наибольшую опасность уязвимости представляют для пользователей шифрованных чат-комнат, к которым подключены Matrix-серверы, подконтрольные злоумышленникам. Администраторы подобных серверов могут попытаться выдать себя за пользователей сервера для … Читать далее Уязвимости в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования

В ночные сборки, на основе которых будет сформирован выпуск Firefox 94, добавлено изменение, включающее по умолчанию новый бэкенд отрисовки для графических окружений, использующих протокол X11. Новый бэкенд примечателен использованием для вывода графики интерфейса EGL вместо GLX. Бэкенд поддерживает работу с открытыми OpenGL-драйверами Mesa 21.x и c проприетарными драйверами NVIDIA 470.x. Проприетарные OpenGL-драйверы AMD пока не поддерживаются. Применение ЕGL решает проблемы с gfx-драйверами и позволяет расширить спектр устройств, для которых доступно ускорение видео и WebGL. Ранее для активации нового бэкенда для X11 требовался запуск с переменной окружения MOZ_X11_EGL, после установки которой Webrender и компоненты композитинга OpenGL переключались на использование EGL. Новый … Читать далее В Friefox 94 вывод для X11 будет переведён на использование EGL по умолчанию

Компания Google сформировала обновление Chrome 93.0.4577.82, в котором исправлены 11 уязвимостей, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-30632) вызвана ошибкой, приводящей к записи за границу буфера в JavaScript-движке V8, а вторая проблема (CVE-2021-30633) присутствует в реализации API Indexed DB и связана с обращением к области памяти после её освобождения (use-after-free). Среди других уязвимостей: две проблемы, вызванные обращением к памяти после её освобождения в API Selection и Permissions; неправильная обработка типов (Type Confusion) в движке Blink; переполнения буфера в прослойке ANGLE (Almost Native Graphics Layer Engine). Все … Читать далее Обновление Chrome 93.0.4577.82 с устранением 0-day уязвимостей