После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.11. Среди наиболее заметных изменений: поддержка анклавов Intel SGX, новый механизм перехвата системных вызовов, запрет сборки модулей без MODULE_LICENSE(), режим быстрой фильтрации системных вызовов в seccomp, перенос архитектуры ia64 и технологии WiMAX в ветку «staging», возможность инкапсуляции SCTP в UDP. Основные новшества: Дисковая подсистема, ввод/вывод и файловые системы В Btrfs добавлено несколько опций монтирования для применения при восстановлении данных с повреждённой ФС: «rescue=ignorebadroots» для монтирования, несмотря на повреждения некоторых корневых деревьев (extent, uuid, data reloc, device, csum, free space), «rescue=ignoredatacsums» для отключения проверки контрольных сумм для данных и «rescue=all» для … Читать далее Релиз ядра Linux 5.11

Доступен релиз тулкита Haxe 4.2, включающего одноимённый мультипарадигменный высокоуровневый язык программирования со строгой типизацией, кросс-компилятор и стандартную библиотеку функций. Проектом поддерживается трансляция в С++, HashLink/C, JavaScript, C#, Java, PHP, Python и Lua, а также компиляция в байт-код JVM, HashLink/JIT, Flash и Neko, с доступом к родным возможностям каждой целевой платформы. Код компилятора распространяется под лицензией GPLv2, а стандартной библиотеки и развиваемых для Haxe виртуальных машин HashLink и Neko под лицензией MIT. Язык является expression-ориентированным со строгой типизацией. Поддерживаются приёмы объектно-ориентированного, обобщённого и функционального программирования. Синтаксис Haxe близок к ECMAScript и расширяет его такими возможностями как статическая типизация, автовывод типов, сопоставление … Читать далее Релиз языка программирования Haxe 4.2

Винсент Кэнфилд (Vincent Canfield), администратор почтового сервиса и хостинга-реселлера cock.li, обнаружил, что всю его IP-сеть автоматически внесли в список DNSBL UCEPROTECT за сканирование портов с соседних виртуальных машин. Подсеть Винсента попала в список Level 3, в котором блокировка осуществляется по номерам автономных систем и охватывает целые подсети, с которых многократно и для разных адресов срабатывали детекторы рассылки спама. В результате провайдер M247 отключил анонс одной из его сетей в BGP, фактически приостановив обслуживание. Проблема заключается в том, что подставные серверы UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе … Читать далее Сканировние портов привело к блокировке подсети провайдером из-за попадания в список UCEPROTECT

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 6.2. С момента выпуска версии 6.1 был закрыт 51 отчёт об ошибках и внесено 329 изменений. Наиболее важные изменения: Движок Mono обновлён до версии 6.0 с поддержкой DirectX. Добавлена поддержка API отладчика NTDLL. В компиляторе WIDL (Wine Interface Definition Language) расширена поддержка WinRT IDL (Interface Definition Language). Решены проблемы с использованием контроллеров Xbox One на платформе macOS. Закрыты отчёты об ошибках, связанные с работой игр и приложений: World of Tanks, Directory Opus 9 c дополнением Amiga Explorer Shell, Total Commander 7.x, Foxit Reader, Paint.NET, Earth 2160, AVATAR Demo, iNodeSetup 3.60, QQPlayer 3.1, … Читать далее Выпуск Wine 6.2, Wine staging 6.2 и Proton 5.13-6

После года разработки представлен релиз дистрибутива OpenMandriva Lx 4.2. Проект развивается силами сообщества после того, как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации «OpenMandriva Association». Для загрузки предлагается Live-сборка размером 2.4 ГБ (x86_64), сборка «znver1», оптимизированная для процессоров AMD Ryzen, ThreadRipper и EPYC, а также образы для использования на ARM-устройствах Pinebook Pro, Rock Pi 4(A/B/C), Raspberry Pi 400, Raspberry Pi 4B и Raspberry Pi 3B+. В новой версии: Подготовлен порт для 64-разрядных процессоров ARM (aarch64) и началось формирование сборок для устройств Pinebook Pro, Raspberry Pi 4B/3B+, Rock Pi 4A, 4B и 4C, Synquacer, Cubox Pulse, а также … Читать далее Релиз дистрибутива OpenMandriva Lx 4.2

Компания Yandex сообщила о выявлении нечистого на руку сотрудника, предоставлявшего несанкционированный доступ к почтовым ящикам в сервисе Яндекс.Почта. В махинациях с почтовыми ящиками был уличён один из трёх главных администраторов службы технической поддержки сервиса, имевших полный доступ к инфраструктуре. В результате инцидента было скомпрометировано 4887 почтовых ящиков пользователей Яндекс.Почта. В настоящее время в Yandex проводится внутреннее расследование и ведётся работа по пересмотру процессов работы сотрудников для минимизации влияния человеческого фактора на безопасность данных пользователей. Источник: http://www.opennet.ru/opennews/art.shtml?num=54576 Читать далее Yandex выявил сотрудника, предоставлявшего доступ к чужим почтовым ящикам

Опубликован релиз языка системного программирования Rust 1.50, основанного проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Автоматическое управление памятью в Rust избавляет разработчика от ошибок при манипулировании указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер … Читать далее Выпуск языка программирования Rust 1.50

Разработчики из компании Google опубликовали план реализации в операционной системе Fuchsia механизма для запуска немодифицированных программ, собранных для Linux. Для выполнения Linux-программ в пространстве пользователя планируется предоставить прослойку «starnix», обеспечивающую совместимость с ABI Linux. В развиваемой прослойке системные интерфейсы ядра Linux реализуются в обработчике, запускаемом в виде процесса для ОС Fuchsia, работающего в пространстве пользователя и транслирующего запросы Linux-программ в обращения к соответствующим подсистемам Fuchsia. Отмечается, что при разработке проекта многие подсистемы Fuchsia придётся доработать для реализации всех доступных в Linux системных интерфейсов. Архитектура starnix во многом повторяет подсистму Windows Subsystem for Linux, применяемую в Windows для трансляции системных вызовов … Читать далее В ОС Fuchsia работают над поддержкой запуска немодифицированных Linux-программ

Симон Петер (Simon Peter), создатель формата самодостаточных пакетов AppImage, развивает новый дистрибутив helloSystem, основанный на FreeBSD и оснащённый интерфейсом, напоминающим macOS. Разработка системы ещё не завершена, но для тестирования уже формируются загрузочные образы, размером 1.7 ГБ. Дистрибутив разрабатывается в соответствии с принципом «меньше, но лучше» и позиционируется как система для обычных пользователей, на которую могут перейти любители macOS, недовольные политикой Apple, навязыванием решений и привязкой к одному производителю. Система лишена усложнений, свойственных современным Linux-дистрибутивам, находится под полным контролем пользователя и позволяет чувствовать себя комфортно бывшим пользователям macOS. Интерфейс отталкивается от идеи использования глобального меню. Для формирования глобального меню и строки … Читать далее Автор AppImage развивает дистрибутив helloSystem, использующий FreeBSD и напоминающий macOS

Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, опубликовала новый открытый проект Launch Configurable Keyboard, развивающий клавиатуру, полностью настраиваемую пользователем. Открыты механические и электрические схемы, а также прошивки и используемое для управления программное обеспечение. Проектная документация и модели для САПР FreeCAD распространяются под лицензией CC BY-SA-4.0. Схемы и распайки печатных плат доступны в формате pcb для KiCad и поставляются под лицензией GPLv3. Программное обеспечение включает конфигуратор и прошивку, основанную на коде QMK (Quantum Mechanical Keyboard), которые распространяются под лицензиями GPLv3 и GPLv2. Для обновления прошивки применяется fwupd (LGPLv2.1). Конфигуратор, позволяющий во время работы менять назначение и … Читать далее Компания System76 опубликовала открытую клавиатуру Launch

Участники проекта Tor разработали Anon-Ticket, надстройку для платформы совместной разработки GitLab, позволяющую анонимно отправлять сообщения о проблемах и участвовать в их обсуждении, без необходимости регистрации учётной записи. Код написан на языке Python с использованием фреймворка Django. В тестовом режиме запущен сервис, позволяющий отправлять сообщения о проблемах в репозиториях Tor, но надстройка не привязана к Tor и может применяться в других проектах. Часто пользователи, пожелавшие сообщить разработчикам о проблеме, отказываются от своего намерения, столкнувшись с необходимостью заполнения дополнительных регистрационных форм, передачи персональных данных или ожидания подтверждения. Anon-Ticket позволят обойтись без регистрации, которая излишня при отправке единичных уведомлений, избавиться от ожидания подтверждения … Читать далее Проект Tor представил систему анонимных тикетов для GitLab

Разработчики библиотеки SDL (Simple DirectMedia Layer), нацеленной на упрощение написания игр и мультимедийных приложений, объявили о переводе процесса разработки c системы управления исходными текстами Mercurial и движка отслеживания ошибок Bugzilla на Git и платформу GitHub. По мнению Райана Гордона (Ryan C. Gordon), один из лидеров проекта, Mercurial остаётся лучшей системой управления исходными текстами, а в Git реализован ряд неудачных архитектурных решений, но в современном мире Mercurial становится изгоем и все инструменты разработки и рабочие процессы ориентируются на Git. Большинство разработчиков работают с Git, и участие в проектах на базе Mercurial требует для них изучения дополнительного инструмента. После перехода на Git … Читать далее Проект SDL переходит на Git и GitHub

Состоялся выпуск Live-дистрибутива Finnix 122, основанного на пакетной базе Debian. Дистрибутив поддерживает только работу в консоли, но содержит хорошую подборку утилит для нужд администратора. В состав входит более 600 пакетов со всевозможными утилитами. Размер iso-образа — 411 МБ. В новой версии: Улучшена загрузка с USB Flash накопителей на системах со старыми BIOS. Повышена скорость загрузки. С 509 до 411 МБ сокращён размер iso-образа. Добавлена команда «finnix» для начала работы с системой. Добавлен скрипт wifi-connect для настройки беспроводного соединения. В состав включены пакеты iozone3, rover, iw, crda, wireless-regdb, mscompress, apg, ftp, ftp-ssl и keyutils. Обеспечена генерация кэша man-страниц, позволяющего выполнять команды … Читать далее Выпуск Finnix 122, Live-дистрибутива для системных администраторов

Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. Взломы проводились в рамках программ Bug Bounty, согласованно с атакуемыми компаниями, и уже принесли авторам 130 тысяч долларов, выплаченных в форме вознаграждений за выявление уязвимостей (выплаты продолжают поступать). Метод основан на том, что многие компании используют в своих внутренних приложениях зависимости из репозиториев NPM, PyPI и RubyGems, а также внутренние зависимости, которые не распространяются публично и загружаются из собственных репозиториев … Читать далее Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний

Доступен первый выпуск проекта Datanymizer, решающего задачи по анонимизации информации в базе данных при проведении тестирования продуктов без нарушения конфиденциальности. В работе на тестовых средах бывают нужны данные, максимально приближенные к реальным, уже имеющимся в продукте. Чтобы избежать риска утечки данных, можно использовать Datanymizer — он анонимизирует данные на стороне сервера и передаст в тестовую среду уже чистый SQL-дамп, в котором персональные данные скрыты или заменены несуществующими данными, похожими по формату на реальные. Datanymizer поддерживает глобальные переменные, ограничения уникальности и встроенные правила. Код проекта написан на языке Rust и распространяется под лицензией MIT. Дополнительно, тот же производитель опубликовал новую версию … Читать далее Вышел Datanymizer, анонимайзер чувствительных данных

В системе для изолированного выполнения приложений Firejail выявлена уязвимость (CVE-2021-26910), позволяющая повысить свои привилегии до пользователя root. Firejail использует для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo. Уязвимость вызвана недоработкой в коде для поддержки файловой системы OverlayFS, которая используется для создания поверх основной ФС дополнительного слоя для сохранения изменений, произведённых изолированным процессом. Подразумевается, что изолированный процесс получает доступ на чтение к основной ФС, а все операции записи перенаправляются во временное хранилище и … Читать далее Опасные уязвимости в Firejail, Connman и GNU Guix

Руководящий совет проекта Python утвердил добавление в язык операторов для сопоставления с образцом (match и case). Поддержка новых операторов появится в выпуске Python 3.10. Новые операторы «match» и «case» позволят улучшить читаемость кода, упростят сопоставление произвольных Python-объектов и отладку, а также повысят надёжность кода благодаря возможности расширенной статической проверки типов. Реализация во многом напоминает оператор «match», предоставляемый в языках Scala, Rust и F#, который выполняет сравнение результата выполнения указанного выражения со списком образцов, перечисленных в блоках на основе оператора «case». В отличие от оператора «switch», доступного в языках Си, Java и JavaScript, выражения на основе «match» предлагают гораздо более широкую … Читать далее Утверждено добавление в Python операторов для сопоставления с образцом

Состоялся релиз многотрековой системы нелинейного видеомонтажа Flowblade 2.8, позволяющей компоновать фильмы и видеоролики из набора отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, их обработки при помощи фильтров и многоуровневой компоновки изображений для встраивания в видео. Имеется возможность произвольного определения порядка применения инструментов и корректировки поведения шкалы времени. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Сборки подготовлены в формате deb. Для организации редактирования видео применяется фреймворк MLT. Для обработки различных форматов видео, звука и изображений применяется библиотека FFmpeg. Интерфейс построен с использованием PyGTK. Для математических вычислений задействована … Читать далее Выпуск видеоредакторов Flowblade 2.8 и Shotcut 21.01.29

Доступен корректирующий выпуск Firefox 85.0.2, в котором устранена взаимная блокировка, приводившая к зависанию при запуске. Например, при определённом стечении обстоятельств зависание наблюдается при запуске Firefox через .desktop-файл в окружении Xfce. Отмечается, что вызывающая взаимную блокировку ошибка присутствует достаточно давно, но изменения в Firefox 85 значительно повысили вероятность зависания. Источник: http://www.opennet.ru/opennews/art.shtml?num=54562 Читать далее Обновление Firefox 85.0.2

Компания Jolla опубликовала релиз операционной системы Sailfish 4.0.1, который стал первым выпуском в новой ветке 4.x. Сборки подготовлены для устройств Jolla C, Jolla Tablet, Sony Xperia X, Xperia XA2 и Sony Xperia 10, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт в ближайшие дни). Формирование сборок для смартфона Jolla 1 прекращено после 7 лет сопровождения. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer, который с апреля 2019 года развивается как составная часть Sailfish, и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, … Читать далее Выпуск мобильной ОС Sailfish 4

В популярном мобильном приложении для сканирования штриховых кодов Barcode Scanner, насчитывающем более 10 млн установок, выявлена подстановка вредоносного кода. Проблема была разобрана исследователями из компании Malwarebytes после появления жалоб пользователей на автоматическое открытие других сайтов в браузере и появление всплывающих окон с предложениями по установке фиктивных антивирусных программ. Как правило, появление подобной рекламы связано с установкой сомнительных программ из непроверенных источников, но в разбираемом случае пользователи давно не выполняли установку новых приложений, а все имеющиеся программ имели хорошую репутацию. Детальный анализ показал, что причиной вредоносной активности стало декабрьское обновление приложения Barcode Scanner, которое ранее не вызывало нареканий, пользовалось популярностью у … Читать далее В обновлении Android-приложения с 10 млн установок выявлен вредоносный код