После двух лет разработки представлен релиз панели Latte Dock 0.10, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Frameworks и библиотеки Qt. Поддерживается интеграция с рабочим столом KDE Plasma. Код проекта распространяется под лицензией GPLv2. Проект основан в результате слияния схожих по своим задачам панелей — Now Dock и Candil Dock. После объединения разработчики попытались совместить предлагаемый в Candil принцип формирования обособленной панели, работающей отдельно от Plasma Shell, со свойственными Now Dock качественным оформлением интерфейса и использованием … Читать далее Выпуск Latte Dock 0.10, альтернативной панели для KDE

Доступен выпуск проекта fheroes2 0.9.6, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Полная поддержка русской, польской и французской локализаций. Автоматическое определение и возможность выбора языка в настройках, который поддерживает текущая версия игры. Новое окно настроек позволяет выбрать разрешение, изменить язык или включить экспериментальные опции моддинга. Положение «широкого» существа в бою при атаке теперь показывается на сетке поля. Fheroes2 теперь работает и на Nintendo Switch. Исправлено свыше … Читать далее Выпуск игры Free Heroes of Might and Magic II (fheroes2) — 0.9.6

Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки «HTTP Request Smuggling», позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации. Проблеме подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и прочие конфигурации, в которых запросы перенаправляются по схеме фронтэнд-бэкенд. Автор исследования продемонстрировал возможность атаки на системы Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, и получил 56 … Читать далее Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Определены победители ежегодной премии Pwnie Awards 2021, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности. Основные победители (список претендентов): Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена компании Qualys за выявление уязвимости CVE-2021-3156 в утилите sudo, позволяющей получить привилегии root. Уязвимость присутствовала в коде около 10 лет и примечательна тем, что для её выявления потребовался разбор логики работы утилиты. Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление нового вектора атак на Microsoft … Читать далее Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности

Опубликован выпуск проекта PipeWire 0.3.33, развивающего мультимедийный сервер нового поколения, идущий на замену PulseAudio. PipeWire расширяет возможности PulseAudio средствами для работы с потоками видео, возможностью обработки звука с минимальными задержками и новой моделью безопасности для управления доступом на уровне отдельных устройств и потоков. Проект поддерживается в GNOME и уже по умолчанию применяется в Fedora Linux. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1. Основные изменения в PipeWire 0.3.33: Реализована возможность автоматического переключения между Bluetooth-профилями HSP (режим гарнитуры) и A2DP (высококачественный вывод звука). В профиле Pro Audio улучшена поддержка виртуальных источников и устройств вывода звука. Улучшено согласование модификаторов … Читать далее Выпуск мультимедийного сервера PipeWire 0.3.33

Кис Кук (Kees Cook), бывший главный системный администратор kernel.org и лидер Ubuntu Security Team, ныне работающий в компании Google над обеспечением защиты Android и ChromeOS, выразил опасение текущим процессом исправления ошибок в стабильных ветках ядра. Еженедельно в стабильные ветки включается около ста исправлений, а после закрытия окна приёма изменений в следующий релиз приближается к тысяче (сопровождающие удерживают исправления до закрытия окна, а после формирования «-rc1» публикуют накопившееся разом), что слишком много и требует больших трудозатрат для сопровождения продуктов на базе ядра Linux. По мнению Киса процессу работы с ошибками в ядре не уделяется должное внимание и ядру не хватает как … Читать далее Кис Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux

Компания Osterman Research опубликовала результаты проверки использования открытых компонентов с неисправленными уявзимостями в проприетарном программном обеспечении, выполненном на заказ (COTS). В исследовании были изучены пять категорий приложений — web-браузеры, почтовые клиенты, программы для обмена файлами, мессенджеры и платформы для проведения online-встреч. Результаты оказались плачевны — во всех изученных приложениях было выявлено использование открытого кода с неисправленными уязвимостями, а в 85% приложений уязвимости носили критический характер. Больше всего проблем было найдено в приложениях для проведения online-встреч и email-клиентах. Что касается открытого кода, то в 30% из всех обнаруженных открытых компонентов была выявлена как минимум одна известная, но неисправленная уязвимость. Больше всего … Читать далее Оценка использования уязвимых открытых компонентов в коммерческом ПО

До 13 августа 2021 года идёт набор в бесплатную онлайн-школу для желающих начать работу в Open Source — «Community of Open Source Newcomers» (COMMoN), организованную в рамках конференции Samsung Open Source Conference Russia 2021. Проект направлен на то, чтобы помочь молодым разработчикам начать свой путь контрибьютора. Школа позволит получить опыт взаимодействия с сообществом разработчиков открытого ПО, и даст шанс сделать свой первый коммит в серьёзный Open Source-проект. Формат онлайн-школы включает лекции для общего потока и работу в рамках конкретного направления (трека). В каждый трек набирают группу до 20 человек. Вместе с преподавателем участники пройдут путь с нуля до вклада в … Читать далее Открыт набор в бесплатную онлайн-школу для разработчиков Open Source

После трёх месяцев разработки опубликован релиз свободной реализации API OpenGL и Vulkan — Mesa 21.2.0. Первый выпуск ветки Mesa 21.2.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 21.2.1. В Mesa 21.2 реализована полная поддержка OpenGL 4.6 для драйверов 965, iris (Intel), radeonsi (AMD), zink и llvmpipe. Поддержка OpenGL 4.5 доступна для GPU AMD (r600) и NVIDIA (nvc0), а OpenGL 4.3 для virgl (виртуальный GPU Virgil3D для QEMU/KVM). Поддержка Vulkan 1.2 реализована для карт Intel и AMD, а также в режиме эмулятора (vn), поддержка Vulkan 1.1 доступна для GPU Qualcomm и программного растеризатора lavapipe, а … Читать далее Релиз Mesa 21.2, свободной реализации OpenGL и Vulkan

В ночных сборках Ubuntu Desktop 21.10 началось тестирование нового инсталлятора, реализованного в виде надстройки над низкоуровневым инсталлятором curtin, который уже применяется в инсталляторе Subiquity, используемом по умолчанию в Ubuntu Server. Новый инсталлятор для Ubuntu Desktop написан на языке Dart и использует фреймворк Flutter для построения пользовательского интерфейса. Оформление нового инсталлятора спроектировано с учётом современного стиля рабочего стола Ubuntu и рассчитано на предоставление единого процесса установки для всей линейки продуктов Ubuntu. Предложено три режима: «Repair Installation» для переустановки всех имеющихся в системе пакетов без изменения настроек, «Try Ubuntu» для ознакомления с дистрибутивом в Live-режиме и «Install Ubuntu» для установки дистрибутива на … Читать далее В ночных сборках Ubuntu Desktop появился новый инсталлятор

Проект InitWare, развивающий экспериментальный форк системного менеджера systemd, реализовал поддержку операционной системы OpenBSD на уровне возможности управления пользовательскими сервисами (user manager — режим «iwctl —user», позволяющий пользователям управлять собственными сервисами). PID1 и системные сервисы пока не поддерживаются. Ранее аналогичная поддержка была обеспечена для DragonFly BSD, а возможность управления системными сервисами и управления входом для NetBSD и FreeBSD. Следующим шагом станет реализация поддержки управления пользовательскими сервисами для Illumos. Проект InitWare нацелен на создание переносимого и модульного системного менеджера, способного работать на системах, отличных от Linux. При этом в отличие от systemd проект не пытается охватить необъятное и сосредотачивается только на функциях … Читать далее Системный менеджер InitWare, форк systemd, портирован для OpenBSD

Дискуссионная площадка Stack Overflow опубликовала результаты ежегодного опроса, в котором приняло участие более 83 тысяч разработчиков ПО. Наиболее часто используемым участниками опроса языком является JavaScript 64.9% (год назад 67.7%, большинство участников Stack Overflow web-разработчики). Наибольший рост популярности как и в прошлом году демонстрирует Python, который за год переместился с 4 (44.1%) на 3 место (48.2%), обогнав SQL. Число пользователей языка Rust за год выросло с 5% до 7%, TypeScript с 25.4% до 30.2%, Dart с 4% до 6%, а Go с 8.8% до 9.5%. Популярность Ruby снизилась с 7.1% до 6.7%, Perl c 3.1% до 2.4%, а PHP с 26.2% … Читать далее Опрос Stack Overflow: Rust назван самым любимым, а Python самым востребованным языком

Компания CodeWeavers выпустила релиз пакета Crossover 21.0, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 21.0 можно загрузить на данной странице. В новой версии: Кодовая база обновлена до ветки Wine 6.0 с портированием некоторых изменений из свежих экспериментальных выпусков Wine. Прослойка DXVK с реализацией DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11 поверх API Vulkan обновлена до версии 1.7. В состав включён компонент Wine Mono. … Читать далее Релиз CrossOver 21.0 для Linux, Chrome OS и macOS

Опубликован релиз операционной системы Chrome OS 92, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 92. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 92 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 92: Расширена функциональность виртуальных рабочих столов. Предоставлена возможность прикрепления приложений Linux и Android … Читать далее Выпуск Chrome OS 92

Кристиан Риу (Christien Rioux) сообщил о решении открыть исходные тексты инструментария L0phtCrack, предназначенного для восстановления паролей по хешам. Продукт развивается с 1997 года и в 2004 году был продан компании Symantec, но в 2006 году выкуплен тремя основателями проекта, в числе которых был Кристиан Риу. В 2020 году проект поглотила компания Terahash, но в июле этого года права на код были возвращены изначальным авторам из-за невыполнение обязательств по сделке. В итоге, создатели L0phtCrack решили отказаться от поставки инструментария в форме проприетарного продукта и открыть исходные тексты. Код планируется опубликовать после конференции DEFCON, которая пройдёт с 5 по 8 августа. Код … Читать далее Анонсировано открытие исходных текстов программы для аудита паролей L0phtCrack

Компания Google предупредила, что начиная с 27 сентября будет прекращена возможность подключения к учётной записи Google на устройствах, оснащённых выпусками Android, сформированными более 10 лет назад. В качестве причины называется забота о безопасности пользователей. При попытке подключения к продуктам Google, включая сервисы Gmail, YouTube и Google Maps, со старой версии Android пользователю будет выдана ошибка о неверном имени пользователя или пароле. Под блокировку подпадают выпуски вплоть до версии Android 2.3.7. Мобильная платформа Android 2.3 была опубликована в 2010 году, а обновление 2.3.7 было предложено в сентябре 2011 года. Для продолжения работы с сервисами Google рекомендовано обновить свои устройства как минимум … Читать далее Google запретит подключение к своим сервисам очень старых версий Android

Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, представил проект WireGuardNT, развивающий высокопроизводительный порт VPN WireGuard для ядра Windows, совместимый с Windows 7, 8, 8.1 и 10, и поддерживающий архитектуры AMD64, x86, ARM64 и ARM. Код реализации распространяется под лицензией GPLv2. Новый драйвер уже включён в состав клиента WireGuard для Windows, но пока помечен экспериментальным и не активирован по умолчанию. Порт основан на проверенной кодовой базе основной реализации WireGuard для ядра Linux, которая была переведена на использование сущностей ядра Windows и сетевого стека NDIS. По сравнению с ранее доступной для Windows реализацией wireguard-go, работающей в пространстве пользователя и использующей сетевой … Читать далее Представлена реализация VPN WireGuard для ядра Windows

В соответствии с опубликованным компанией Valve июльским отчётом о предпочтениях пользователей сервиса доставки игр Steam, доля активных пользователей Steam, использующих платформу Linux, достигла значения в 1%. Месяц назад данный показатель составлял 0.89%. Из дистрибутивов лидирует Ubuntu 20.04.2, которым пользуются 0.19% пользователей Steam, далее следуют Manjaro Linux — 0.11%, Arch Linux — 0.10%, Ubuntu 21.04 — 0.06% и Linux Mint 20.1 — 0.05%. С учётом того, что число активных пользователей Steam оценивается в 120 миллионов, число пользователей Linux в Steam приблизительно составляет 1.2 млн. Рост интереса к Linux среди пользователей Steam можно объяснить анонсом игровой консоли Steam Deck на базе Linux. … Читать далее Доля Linux-пользователей в Steam составила 1%. Valve и AMD работают над улучшением управления частотой CPU AMD в Linux

В ядре Linux выявлены две уязвимости, позволяющие использовать подсистему еBPF для обхода защиты от атаки Spectre v4 (SSB, Speculative Store Bypass). При помощи непривилегированной BPF-программы атакующий может создать условия для спекулятивного выполнения определённых операций и определить содержимое произвольных областей памяти ядра. Сопровождающие подсистемы eBPF в ядре получили доступ к прототипу эксплоита, демонстрирующего возможность совершения атак на практике. Проблемы устранены в форме патчей (1, 2), которые войдут в состав ближайшего обновления ядра Linux. Обновления в дистрибутивах пока не сформированы (Debian, RHEL, SUSE, Arch, Fedora, Ubuntu). Метод атаки Spectre 4 базируется на восстановлении осевших в процессорном кэше данных после отбрасывания результата спекулятивного … Читать далее Уязвимости в eBPF, позволяющие обойти защиту от атаки Spectre 4

После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.34, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2017. В состав нового выпуска включены исправления от 66 разработчиков. Из реализованных в Glibc 2.34 улучшений можно отметить: В основной состав libc интегрированы библиотеки libpthread, libdl, libutil и libanl, использование функциональности которых в приложениях отныне не требует связывания при помощи флагов -lpthread, -ldl, -lutil и -lanl. Проведена подготовка к интеграции libresolv в libc. Интеграция позволит добиться более цельного процесса обновления glibc и упростит реализацию runtime. Для обеспечения обратной совместимости с приложениями, собранными со старыми версиями glibc, предоставлены библиотеки-заглушки. Из-за … Читать далее Выпуск системной библиотеки Glibc 2.34

Опубликован релиз дистрибутива Lakka 3.3, позволяющего превратить компьютеры, телеприставки или одноплатные компьютеры в полноценную игровую консоль для запуска ретро игр. Проект является модификацией дистрибутива LibreELEC, изначально рассчитанного на создание домашних кинотеатров. Сборки Lakka формируются для платформ i386, x86_64 (GPU Intel, NVIDIA или AMD), Raspberry Pi 1-4, Orange Pi, Cubieboard, Cubieboard2, Cubietruck, Banana Pi, Hummingboard, Cubox-i, Odroid C1/C1+/XU3/XU4 и т.д. Для установки достаточно записать дистрибутив на SD-карту или USB-накопитель, подключить геймпад и загрузить систему. В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых … Читать далее Выпуск Lakka 3.3, дистрибутива для создания игровых консолей