Разработчики библиотеки SDL (Simple DirectMedia Layer), нацеленной на упрощение написания игр и мультимедийных приложений, объявили о переводе процесса разработки c системы управления исходными текстами Mercurial и движка отслеживания ошибок Bugzilla на Git и платформу GitHub. По мнению Райана Гордона (Ryan C. Gordon), один из лидеров проекта, Mercurial остаётся лучшей системой управления исходными текстами, а в Git реализован ряд неудачных архитектурных решений, но в современном мире Mercurial становится изгоем и все инструменты разработки и рабочие процессы ориентируются на Git. Большинство разработчиков работают с Git, и участие в проектах на базе Mercurial требует для них изучения дополнительного инструмента. После перехода на Git … Читать далее Проект SDL переходит на Git и GitHub

Состоялся выпуск Live-дистрибутива Finnix 122, основанного на пакетной базе Debian. Дистрибутив поддерживает только работу в консоли, но содержит хорошую подборку утилит для нужд администратора. В состав входит более 600 пакетов со всевозможными утилитами. Размер iso-образа — 411 МБ. В новой версии: Улучшена загрузка с USB Flash накопителей на системах со старыми BIOS. Повышена скорость загрузки. С 509 до 411 МБ сокращён размер iso-образа. Добавлена команда «finnix» для начала работы с системой. Добавлен скрипт wifi-connect для настройки беспроводного соединения. В состав включены пакеты iozone3, rover, iw, crda, wireless-regdb, mscompress, apg, ftp, ftp-ssl и keyutils. Обеспечена генерация кэша man-страниц, позволяющего выполнять команды … Читать далее Выпуск Finnix 122, Live-дистрибутива для системных администраторов

Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. Взломы проводились в рамках программ Bug Bounty, согласованно с атакуемыми компаниями, и уже принесли авторам 130 тысяч долларов, выплаченных в форме вознаграждений за выявление уязвимостей (выплаты продолжают поступать). Метод основан на том, что многие компании используют в своих внутренних приложениях зависимости из репозиториев NPM, PyPI и RubyGems, а также внутренние зависимости, которые не распространяются публично и загружаются из собственных репозиториев … Читать далее Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний

Доступен первый выпуск проекта Datanymizer, решающего задачи по анонимизации информации в базе данных при проведении тестирования продуктов без нарушения конфиденциальности. В работе на тестовых средах бывают нужны данные, максимально приближенные к реальным, уже имеющимся в продукте. Чтобы избежать риска утечки данных, можно использовать Datanymizer — он анонимизирует данные на стороне сервера и передаст в тестовую среду уже чистый SQL-дамп, в котором персональные данные скрыты или заменены несуществующими данными, похожими по формату на реальные. Datanymizer поддерживает глобальные переменные, ограничения уникальности и встроенные правила. Код проекта написан на языке Rust и распространяется под лицензией MIT. Дополнительно, тот же производитель опубликовал новую версию … Читать далее Вышел Datanymizer, анонимайзер чувствительных данных

В системе для изолированного выполнения приложений Firejail выявлена уязвимость (CVE-2021-26910), позволяющая повысить свои привилегии до пользователя root. Firejail использует для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo. Уязвимость вызвана недоработкой в коде для поддержки файловой системы OverlayFS, которая используется для создания поверх основной ФС дополнительного слоя для сохранения изменений, произведённых изолированным процессом. Подразумевается, что изолированный процесс получает доступ на чтение к основной ФС, а все операции записи перенаправляются во временное хранилище и … Читать далее Опасные уязвимости в Firejail, Connman и GNU Guix

Руководящий совет проекта Python утвердил добавление в язык операторов для сопоставления с образцом (match и case). Поддержка новых операторов появится в выпуске Python 3.10. Новые операторы «match» и «case» позволят улучшить читаемость кода, упростят сопоставление произвольных Python-объектов и отладку, а также повысят надёжность кода благодаря возможности расширенной статической проверки типов. Реализация во многом напоминает оператор «match», предоставляемый в языках Scala, Rust и F#, который выполняет сравнение результата выполнения указанного выражения со списком образцов, перечисленных в блоках на основе оператора «case». В отличие от оператора «switch», доступного в языках Си, Java и JavaScript, выражения на основе «match» предлагают гораздо более широкую … Читать далее Утверждено добавление в Python операторов для сопоставления с образцом

Состоялся релиз многотрековой системы нелинейного видеомонтажа Flowblade 2.8, позволяющей компоновать фильмы и видеоролики из набора отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, их обработки при помощи фильтров и многоуровневой компоновки изображений для встраивания в видео. Имеется возможность произвольного определения порядка применения инструментов и корректировки поведения шкалы времени. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Сборки подготовлены в формате deb. Для организации редактирования видео применяется фреймворк MLT. Для обработки различных форматов видео, звука и изображений применяется библиотека FFmpeg. Интерфейс построен с использованием PyGTK. Для математических вычислений задействована … Читать далее Выпуск видеоредакторов Flowblade 2.8 и Shotcut 21.01.29

Доступен корректирующий выпуск Firefox 85.0.2, в котором устранена взаимная блокировка, приводившая к зависанию при запуске. Например, при определённом стечении обстоятельств зависание наблюдается при запуске Firefox через .desktop-файл в окружении Xfce. Отмечается, что вызывающая взаимную блокировку ошибка присутствует достаточно давно, но изменения в Firefox 85 значительно повысили вероятность зависания. Источник: http://www.opennet.ru/opennews/art.shtml?num=54562 Читать далее Обновление Firefox 85.0.2

Компания Jolla опубликовала релиз операционной системы Sailfish 4.0.1, который стал первым выпуском в новой ветке 4.x. Сборки подготовлены для устройств Jolla C, Jolla Tablet, Sony Xperia X, Xperia XA2 и Sony Xperia 10, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт в ближайшие дни). Формирование сборок для смартфона Jolla 1 прекращено после 7 лет сопровождения. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer, который с апреля 2019 года развивается как составная часть Sailfish, и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, … Читать далее Выпуск мобильной ОС Sailfish 4

В популярном мобильном приложении для сканирования штриховых кодов Barcode Scanner, насчитывающем более 10 млн установок, выявлена подстановка вредоносного кода. Проблема была разобрана исследователями из компании Malwarebytes после появления жалоб пользователей на автоматическое открытие других сайтов в браузере и появление всплывающих окон с предложениями по установке фиктивных антивирусных программ. Как правило, появление подобной рекламы связано с установкой сомнительных программ из непроверенных источников, но в разбираемом случае пользователи давно не выполняли установку новых приложений, а все имеющиеся программ имели хорошую репутацию. Детальный анализ показал, что причиной вредоносной активности стало декабрьское обновление приложения Barcode Scanner, которое ранее не вызывало нареканий, пользовалось популярностью у … Читать далее В обновлении Android-приложения с 10 млн установок выявлен вредоносный код

Основная команда разработчиков языка Rust (Rust Core Team) объявила о завершении процесса создания независимой некоммерческой организации Rust Foundation, которой компания Mozilla передала связанную с проектом Rust интеллектуальную собственность и элементы инфраструктуры, в том числе торговые марки и доменные имена, ассоциируемые с Rust, Cargo и реестром пакетов crates.io. Организация будет курировать связанную с языком Rust экосистему, поддерживать основных мэйнтейтнеров, занимающихся разработкой и принятием решений, а также отвечать за организацию финансирования проекта. Напомним, что Rust изначально развивался как проект подразделения Mozilla Research, который в 2015 году был преобразован в самостоятельный проект с независимым от Mozilla управлением. Несмотря на то, что с тех … Читать далее Завершён процесс создания организации Rust Foundation

Опубликована реализация новой техники идентификации конкретного экземпляра браузера. Метод основывается на особенностях обработки изображений Favicon, при помощи которых сайт определяет пиктограммы, отображаемые в закладках, вкладках и прочих элементах интерфейса браузера. В качестве области хранения используется кэш Favicon, который выступает в роли «Supercookie». Изображения Favicon сохраняются браузерами в отдельном кэше, который не пересекается с другими кэшами, является общим для всех режимов работы и не очищается штатными средствами очистки кэша и истории посещений. Данная особенность позволяет использовать идентификатор даже при работе в режиме инкогнито и затрудняет его удаление. На идентификацию с использованием предложенного метода также не влияет применение VPN и дополнений для … Читать далее Метод идентификации браузера через манипуляции с кэшированием Favicon

Разработчики языка программирования Perl сообщили об успешном завершении процесса возвращения домена perl.com, который был захвачен посторонним лицом после компрометации учётной записи. Возвращение домена было усложнено тем, что после получение контроля над доменом атакующие несколько раз сменили регистратора — из области ответственности компании Network Solutions домен был переведён вначале китайскому регистратору Bizcn, а затем передан на обслуживание регистратору Key-Systems GmbH. Процесс восстановления начался с того, что компания Verisign вернула для домена perl.com корректные DNS-серверы (в выводе whois должны быть серверы *.bitnames.com). Теперь восстановление завершено, домен вернулся к регистратору Network Solutions, который обеспечил привязку perl.com к прежнему владельцу. Источник: http://www.opennet.ru/opennews/art.shtml?num=54551 Читать далее Сообщество вернуло контроль над доменом perl.com

Представлен релиз пользовательского дистрибутива PCLinuxOS 2021.02. Дистрибутив был основан в 2003 году на базе Mandrake Linux, но позднее ответвился в самостоятельный проект. Пик популярности PCLinuxOS пришёлся на 2010 год, в котором, по результатам опроса читателей журнала Linux Journal, PCLinuxOS уступал по популярности лишь Ubuntu (в рейтинге 2013 года PCLinuxOS уже занимал 10 место). Дистрибутив нацелен на использование в Live-режиме, но поддерживает и установку на жесткий диск. Для загрузки подготовлены загрузочные образы с рабочими столами KDE (полный 3.5 ГБ и сокращённый 1.5 ГБ), MATE (2.4 ГБ) и Xfce (2.2 ГБ). Отдельно сообществом развиваются сборки на базе рабочих столов Trinity, Openbox и … Читать далее Выпуск Linux-дистрибутива PCLinuxOS 2021.02

После трёх месяцев разработки и почти семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.9, в котором предложено 6 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. Изменения в новом выпуске: Исправлен некорректный сценарий удаления файлов, который при чистке командой «dmake clean» сборочного окружения мог привести к удалению всего дерева исходных файлов. Проблема была вызвана наличием в сценарии main/makefile.mk кода «rm -rf */$(INPATH)», который удалял лишнее в случае вызова в некорректно настроенном сборочном окружении, в котором не была установлена переменная окружения INPATH. Устранён крах, проявляющийся при открытии документов .docx, .xlsx и .pptx на … Читать далее Выпуск Apache OpenOffice 4.1.9 с исправлением неаккуратного использования «rm -rf»

Доступен выпуск проекта fheroes2 0.9, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на С++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. За прошедший год разработки игра значительно приблизилась к оригиналу, а местами даже предлагает более широкие возможности. Основные новшества: Проведена большая работа по оптимизации. Переписаны тысячи строк кода и теперь, помимо исправленных сотен ошибок, игровой движок fheroes2 стал значительно быстрее работать на всех платформах. Производительность повысилась на 50% и игра работает значительно плавнее. Хоть это ещё далеко … Читать далее Выпуск движка Free Heroes of Might and Magic II 0.9

Подготовлен первый бета-выпуск FreeBSD 13.0. Выпуск FreeBSD 13.0-BETA1 доступен для архитектур amd64, powerpc64, powerpc64le, powerpcspe, aarch64 и riscv64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Сборки для i386 и 32-разрядных плат ARM не сформированы. Примечания к выпуску со списком изменений пока ограничиваются пустым шаблоном, но из изменений, ранее намеченных для включения во FreeBSD 13.0, можно отметить: Осуществлён переход на унифицированную c Linux реализацию файловой системы ZFS от проекта OpenZFS. Среди возможностей, которые стали доступны во FreeBSD после перехода на OpenZFS: расширенная система квот, шифрование наборов данных, раздельный выбор классов распределения блоков (allocation … Читать далее Началось бета-тестирование FreeBSD 13.0

Опубликовано восьмое корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 56 обновлений с устранением проблем со стабильностью и 45 обновлений с устранением уязвимостей. Из изменений в Debian 10.8 выделяется обновление до свежих стабильных версий пакетов dpdk, intel-microcode, nvidia-graphics-drivers, postgresql-11 и steam. Из репозиториев удалён пакет compactheader, так как он несовместим с поставляемой версией почтового клиента Thunderbird. Для загрузки и установки «с нуля» в ближайшие часты будут подготовлены установочные сборки, а также live iso-hybrid c Debian 10.8. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 10.8, … Читать далее Обновление Debian 10.8

Грег Кроа-Хартман (Greg Kroah-Hartman) опубликовал выпуски ядра Linux 4.4.256 и 4.9.256, которые сформированы специально для проверки корректности обработки значения цифры версии, не укладывающееся в однобайтовое значение. Изменения в опубликованных выпусках ограничиваются только увеличением номера версии в Makefile для того, чтобы проверить не возникнет ли проблем в пространстве пользователя. Изначально под счётчик номера версии в ядре было выделено 8-битовое значение, что делает вызов макроса KERNEL_VERSION(4, 4, 256) эквивалентным KERNEL_VERSION(4, 5, 0). Значение макроса KERNEL_VERSION, вычисляемого как «(((a) ‹‹ 16) + ((b) ‹‹ 8) + (c))», экспортируется в пространство пользователя в форме константы LINUX_VERSION_CODE, которая используется при проверке текущей версии ядра. Для … Читать далее Опубликованы ядра Linux 4.4.256 и 4.9.256 для тестирования переполнения 8-битового номера версии

В ядре Linux выявлено три уязвимости, которые потенциально позволяют локальному пользователю поднять свои привилегии в системе: Уязвимость (CVE-2021-26708) в реализации сокетов с адресацией AF_VSOCK, предназначенных для сетевого взаимодействия приложений гостевых систем и хостов. Проблема вызвана состоянием гонки при установке блокировок для обработки нескольких видов транспорта (VSOCK multi-transport). Выявивший уязвимость исследователь утверждает о создании рабочего эксплоита, позволяющего получить права root в Fedora Server 33, обойдя механизмы защиты SMEP (Supervisor Mode Execution Prevention) и SMAP (Supervisor Mode Access Prevention). Код эксплоита будет опубликован после повсеместного распространения обновлений. Уязвимость проявляется начиная с выпуска v5.5-rc1 и устранена в обновлении 5.10.13. В RHEL проблема проявляется … Читать далее Уязвимости в ядре Linux, затрагивающие реализации VSOCK, Futex и io_uring

Спустя девять лет с момента прошлого выпуска сформирован релиз набора GNU inetutils 2.0 с коллекцией сетевых программ, большая часть которых перенесена из BSD-систем. В частности, в состав входят inetd и syslogd, серверы и клиенты для ftp, telnet, rsh, rlogin, tftp и talk, а также типовые утилиты, такие как ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger и т.п. Среди изменений: В traceroute и ping реализован метод отправки запросов ICMP ECHOREQUEST, требующий меньших привилегий в GNU/Linux. В ifconfig добавлена поддержка смены MAC-адреса в GNU/Linux, добавлен вывод дополнительной статистики для BSD-систем и улучшена поддержка GNU/Hurd. В ftp добавлена поддержка формата «user@host» и … Читать далее Выпуск GNU inetutils 2.0