Основные дистрибутивы Linux сформировали корректирующее обновление пакета с загрузчиком GRUB2, решающие проблемы, возникшие после устранения уязвимости BootHole. После установки первого обновления некоторые пользователи столкнулись с невозможностью загрузки своих систем. Проблемы с загрузкой возникали на некоторых системах с BIOS или UEFI в режиме «Legacy», и были вызваны регрессивным изменениями, в определённых ситуациях, приводящими к краху в процессе загрузки или неверному определению загрузочного устройства и некорректной установке загрузчика. Проблема устранена в следующих обновлениях: Debian: grub2_2.02+dfsg1-20+deb10u2, grub2_2.02~beta3-5+deb9u2 Ubuntu: grub-efi-*26.2, grub-efi-*8.17, grub-efi-*3.27 и grub-efi-*1.17. RHEL: shim-*el8_2 (RHEL 8) и shim*-15-8.el7 (RHRL 7). CentOS: shim-x64-15-15.el8_2.x86_64.rpm (CeotOS 7) и shim-x64-15-8.el7_8.x86_64.rpm (CeotOS 8). Пакеты уже опубликованы на … Читать далее Дистрибутивы устранили проблемы с обновлением GRUB2

На портале BSD-Hardware.info проведено исследование, согласно которому поддержка оборудования во FreeBSD не так плоха, как об этом говорят. В оценке было учтено, что не все оборудование на рынке одинаково популярно. Есть широко используемые устройства, поддержка которых необходима и есть редкие устройства, владельцев которых можно пересчитать по пальцам. Соответственно в оценке вес каждого отдельного устройства учитывался пропорционально его популярности. Информация о популярности устройств была предоставлена проектом Linux-Hardware.org на основе проб оборудования 60 тысяч пользователей за последние 5 лет. Информация о поддержке устройств была извлечена из исходных кодов ядра FreeBSD. Средняя доля поддерживаемых устройств по наиболее важным категориям (Ethernet, WiFi, ATA/IDE/RAID, графические … Читать далее FreeBSD 13-CURRENT поддерживает не менее 90% популярного оборудования на рынке

Состоялся релиз web-браузера Pale Moon 28.12, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 28.12

Вышла новая версия компилятора для языка программирования Vala 0.49.1. Язык Vala предоставляет синтаксис, подобный C# и Java, обеспечивает лёгкую интеграцию с библиотеками, написанными на языке C, как с использованием Glib Object System (Gobject), так и без неё. В новой версии: Добавлена экспериментальная поддержка выражения with; Убрана поддержка параметра командной строки —use-header, которая теперь включена по-умолчанию; Улучшены внутренние проверки компилятора при обработке абстрактных/виртуальных методов; Улучшен контроль значений перечисляемых типов; Исправлены ошибки компилятора; Обновлены биндинги к библиотекам gio-unix; Биндинги к glib2, gio-2.0 и gobject-2.0 обновлены до версий 2.66; Биндинг к gstreamer обновлён до версии 1.17.2+; Биндинг к gtk4 обновлён до версии 3.99.0+d743e757; … Читать далее Выпуск компилятора для языка программирования Vala 0.49.1

Кристоф Хелвиг (Christoph Hellwig), известный разработчик ядра Linux, в своё время входивший в управляющий технический комитет организации Linux Foundation и выступавший истцом в связанном с GPL судебном разбирательстве с VMware, предложил ужесточить защиту от связывания проприетарных драйверов с компонентами ядра Linux, экспортируемыми только для модулей под лицензией GPL. Для обхода ограничения на экспорт GPL-символов производители проприетарных драйверов используют модуль-прослойку, код которой открыт и распространяется под лицензией GPLv2, но функции сводятся к трансляции доступа проприетарного драйвера к необходимым API ядра, запрещённым для использования из проприетарного кода напрямую. Для блокирования подобного манёвра Кристоф Хелвиг подготовил для ядра Linux патчи, обеспечивающие наследование флагов, … Читать далее Предложение по блокировке драйверов-прослоек, предоставляющих доступ к GPL-вызовам ядра Linux

Представлен выпуск свободной платформы для развёртывания децентрализованных социальных сетей — Mastodon 3.2, позволяющей на собственных мощностях создавать сервисы, не подконтрольные отдельным поставщикам. Если пользователь не имеет возможности запустить собственный узел, то он может выбрать заслуживающий доверия публичный сервис для подключения. Mastodon относится к категории объединённых (federated) сетей, для образования единой структуры связей в которых применяется набор протоколов ActivityPub. Код серверной части проекта написан на языке Ruby с использованием Ruby on Rails, а клиентский интерфейс написан на JavaScript с применением библиотек React.js и Redux. Исходные тексты распространяются под лицензией AGPLv3. Также имеется статический фронтэнд для публикации общедоступных ресурсов, таких как профили … Читать далее Выпуск Mastodon 3.2, платформы для создания децентрализованных социальных сетей

Некоммерческая организация SPI (Software in the Public Interest), курирующей приём пожертвований и юридические вопросы (торговые марки, владение активами и т.п.) для таких проектов, как Debian, Arch Linux, LibreOffice, X.Org, systemd, 0.A.D, PostgreSQL, FFmpeg, freedesktop.org, OpenWrt, OpenZFS, Jenkins и OpenEmbedded, опубликовала отчёт с финансовыми показателями за 2019 год. Общий размер собранных средств составил 920 тысяч долларов (в 2018 году собрали 1.4 млн). Некоторые из получивших пожертвования проектов (сумма в долларах): Debian 343,753 (+ 137 тысяч на DebConf) ArduPilot 64,213 OpenZFS 52,870 X.Org 44,551 LibreOffice 41,823 NTPsec 38,019 Open Bioinformatics Foundation 28,028 Arch Linux 17,426 PostgreSQL 16,961 FFmpeg 10,435 OpenEmbedded 9,695 Jenkins … Читать далее Отчёт SPI о пожертвованиях Debian, X.Org, systemd, FFmpeg, Arch Linux, OpenWrt

Организация Linux Foundation объявила о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО. OpenSSF продолжит развитие таких инициатив, как Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта. В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits. Отмечается, что в современном мире открытое ПО широко востребовано … Читать далее Учреждён проект OpenSSF, сфокусированный на повышении безопасности открытого ПО

Опубликован релиз языка программирования Julia 1.5, сочетающего такие качества как высокая производительность, поддержка динамической типизации и встроенные средства для параллельного программирования. Синтаксис Julia близок к MATLAB с заимствованием некоторых элементов из Ruby и Lisp. Метод манипуляции строками напоминает Perl. Код проекта распространяется под лицензией MIT. В новой версии: Проведена оптимизация размещения структур в памяти, которая позволила значительно сократить число операций распределения памяти в куче (за счёт inline-развёртывания или размещения в стеке), уменьшить потребление памяти и повысить производительность. Улучшена поддержка многопоточности и стабилизирован API для работы с потоками. Предоставлена возможность выбора уровня оптимизации, используемого при сборке отдельных модулей. При передаче аргумента … Читать далее Выпуск языка программирования Julia 1.5

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.8. Среди наиболее заметных изменений: детектор состояний гонки KCSAN, универсальный механизм доставки уведомлений в пространство пользователя, поддержка оборудования для inline-шифрования, расширенные механизмы защиты для ARM64, поддержка российского процессора Baikal-T1, возможность раздельного монтирования экземпляров procfs, реализация для ARM64 механизмов защиты Shadow Call Stack и BTI. Ядро 5.8 стало самым крупным по числу изменений из всех ядер за всё время существования проекта. При этом изменения не связаны с какой-то одной подсистемой, а охватывают разные части ядра и в основном связаны с внутренними переработками и чисткой. Больше всего изменений наблюдается в драйверах. В … Читать далее Релиз ядра Linux 5.8

В WordPress-плагине wpDiscuz, который установлен на более чем 80 тысячах сайтов, выявлена опасная уязвимость, позволяющая без аутентификации загрузить любой файл на сервер. В том числе можно загрузить PHP-файлы и добиться выполнения своего кода на сервере. Проблеме подвержены версии с 7.0.0 по 7.0.4 включительно. Уязвимость устранена в выпуске 7.0.5. Плагин wpDiscuz предоставляет возможность использования AJAX для динамической отправки комментариев без перезагрузки страницы. Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям. Для ограничения загрузки произвольных файлов вызывалась функция определения MIME-типа по содержимому, которую было легко обойти для загрузки PHP-файлов. Расширение файла не ограничивалось. Например, можно … Читать далее Критическая уязвимость в WordPress-плагине wpDiscuz, насчитывающем 80 тысяч установок

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 5.14. С момента выпуска версии 5.13 было закрыто 26 отчётов об ошибках и внесено 302 изменения. Наиболее важные изменения: Продолжена работа по реструктуризации поддержки консоли. Предложена начальная версия шрифта Webdings. Началось преобразование библиотек MSVCRT в формат PE. Закрыты отчёты об ошибках, связанные с работой игр и приложений: AOL 9.0, Largo Winch, DOSCenter, StarCraft: Brood War, Bayonetta, Star Wars: The Force Unleashed II, Toontown Rewritten, Helm Standalone/VST plugin, PassMark PerformanceTest 10, Diablo III, Chaos Legion, Tableau Desktop, Battle.net, TES4:Oblivion. Источник: http://www.opennet.ru/opennews/art.shtml?num=53475 Читать далее Выпуск Wine 5.14

Опубликовано пятое корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 101 обновление с устранением проблем со стабильностью и 62 обновление с устранением уязвимостей. Из изменений в Debian 10.5 выделяется устранение уязвимости в GRUB2, позволяющей обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Для решения проблемы обновлены инсталлятор, загрузчик GRUB2, пакеты с ядром, fwupd-прошивки и shim-прослойка, которые поставляются с новой цифровой подписью. До свежих стабильных версий обновлены пакеты ClamAV, cloud-init, dbus, dpdk, fwupd, mariadb, nvidia-graphics-drivers и postfix. Удалены пакеты golang-github-unknwon-cae, janus, mathematica-fonts, matrix-synapse, selenium-firefoxdriver, которые остались без сопровождения … Читать далее Обновление Debian 10.5

Разработчики Wayland представили первый выпуск нового пакета wayland-utils, в составе которого будут поставляться утилиты, связанные с Wayland, по аналогии с тем, как в пакете wayland-protocols поставляются дополнительные протоколы и расширения. В настоящее время в состав включена только одна утилита wayland-info, предназначенная для отображения информации о протоколах Wayland, поддерживаемых текущим композитным сервером. Утилита представляет собой обособленный вариант weston-info, выделенный из репозитория Weston. Источник: http://www.opennet.ru/opennews/art.shtml?num=53471 Читать далее Опубликован пакет wayland-utils 1.0.0

В X.Org Server и libX11 выявлены две уязвимости: CVE-2020-14347 — отсутствие инициализации памяти при выделении буферов для пиксельных карт при помощи вызова AllocatePixmap() может привести к утечке X-клиенту содержимого памяти из кучи, когда X-сервер работает с повышенными привилегиями. Указанную утечку можно использовать для обхода технологии рандомизации адресного пространств (ASLR). В сочетании с другими уязвимостями проблема может использоваться при создании эксплоита для повышения привилегий в системе. Исправления пока доступны в виде патчей. Публикация корректирующего выпуска X.Org Server 1.20.9 ожидается в ближайшие дни. CVE-2020-14344 — целочисленное переполнение в реализации XIM (Input Method) в libX11, которое может привести к повреждению областей памяти в … Читать далее Уязвимости в X.Org Server и libX11

Доступен новый выпуск прослойки JPype 1.0.2, позволяющей организовать полный доступ Python-приложений к библиотекам классов на языке Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения, сочетающие код на Java и Python. В отличие от Jython, интеграция с Java достигается не через создание варианта Python для JVM, а через взаимодействие на уровне обеих виртуальных машин, используя разделяемую память. Предложенный подход позволяет не только добиться хорошей производительности, но и предоставляет доступ ко всем библиотекам CPython и Java. Код проекта распространяется под лицензией Apache 2.0. Основные изменения: В вызов методов добавлен кэш, позволяющий избежать разрешения перегрузок, что … Читать далее Обновление JPype 1.0.2, библиотеки для доступа к Java-классам из Python

После пяти месяцев разработки представлен релиз системного менеджера systemd 246. В новом выпуске реализована поддержка заморозки unit-ов, возможность верификации образа корневого диска по цифровой подписи, поддержка сжатия журнала и core-дампов с использованием алгоритма ZSTD, возможность разблокировки переносимых домашних каталогов при помощи токенов FIDO2, поддержка разблокировки разделов Microsoft BitLocker через /etc/crypttab, выполнено переименование BlackList в DenyList. Основные изменения: Добавлена поддержка cgroup-контроллера freezer, при помощи которого можно остановить работу процессов и временно высвободить некоторые ресурсы (CPU, ввод/вывод и потенциально даже память) для выполнения других задач. Управление заморозкой и разморозкой unit-ов осуществляется при помощи новой команды «systemctl freeze» или через D-Bus. Добавлена поддержка … Читать далее Выпуск системного менеджера systemd 246

В развиваемом проектом KDE менеджере архивов Ark выявлена уязвимость (CVE-2020-16116), позволяющая при открытии в приложении специально оформленного архива перезаписать файлы вне каталога, указанного для раскрытия архива. Проблема в том числе проявляется при раскрытии архивов в файловом менеджере Dolphin (пункт Extract в контекстном меню), который использует функциональность Ark для работы с архивами. Уязвимость напоминает давно известную проблему Zip Slip. Эксплуатация уязвимости сводится к добавлению в архив путей, содержащих символы «../», при обработке которых Ark может выйти за пределы базового каталога. Например, при помощи указанной уязвимость можно перезаписать сценарий .bashrc или разместить скрипт в каталог ~/.config/autostart для организации запуска своего кода с … Читать далее Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива

Опубликован финальный экспериментальный выпуск фреймворка GTK 3.99.0, в котором реализованы все возможности, запланированные для GTK 4. Ветка GTK 4 развивается в рамках нового процесса разработки, который пытается предоставить разработчикам приложений стабильный и поддерживаемый в течение нескольких лет API, который можно использовать не опасаясь, что каждые полгода придётся переделывать приложения из-за изменения API в очередной ветке GTK. Релиз GTK 4 ожидается осенью этого года. Из наиболее существенных изменений в GTK 4 можно отметить: Метод раскладки элементов на основе ограничений (constraint layout), при котором расположение и размер дочерних элементов определяется, отталкиваясь от расстояния до границ и размера других элементов. Модуль отрисовки на … Читать далее Выпуск GTK 3.99.0 ознаменовал готовность функциональности, запланированной для GTK 4

GitHub объявил о решении отказаться от поддержки парольной аутентификации при выполнении операций с Git. Прямое подключение к Git будет возможно только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Аналогичное ограничение также будет применяться для REST API. Новые правила аутентификации для API будут применены 13 ноября, а ужесточение доступа к Git запланировано на середину следующего года. Исключение будет предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые смогут подключаться к Git по паролю и дополнительному коду подтверждения. Предполагается, что ужесточение требований к аутентификации позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, … Читать далее GitHub ограничит доступ к Git аутентификацией по токенам и SSH-ключам

Доступен релиз почтового клиента Thunderbird 78.1, развиваемого силами сообщества и основанного на технологиях Mozilla. Thunderbird 78 основан на кодовой базе ESR-выпуска Firefox 78. Выпуск доступен только для прямой загрузки, автоматическое обновление с прошлых выпусков будет сформировано только в версии 78.2. В новой версии признана пригодной для широкого использования и активирована по умолчанию поддержка сквозного шифрования переписки и заверения писем цифровой подписью на основе открытых ключей OpenPGP. Ранее подобная функциональность обеспечивалась дополнением Enigmail, поддержка которого в ветке Thunderbird 78 прекращена. Встроенная реализация является новой разработкой, которая подготовлена при участии автора Enigmail. Основным отличием является использование библиотеки RNP, предоставляющей функциональность OpenPGP, вместо … Читать далее Обновление почтового клиента Thunderbird 78.1 с включением поддержки OpenPGP