В Git LFS выявлена критическая уязвимость (CVE-2020-27955), позволяющая удалённому злоумышленнику выполнить свой код в системе жертвы, при клонировании жертвой специально оформленного репозитория. Проблема проявляется только на платформе Windows и устранена в предложенном несколько часов назад обновлении git-lfs 2.12.1. На Unix системах уязвимость не проявляется. Проблема вызвана тем, что на платформе Windows для запуска нового процесса git используется вызов ExecCommand(), но не указывается полный путь к исполняемому файлу git. Если полный путь не указан, то функция ExecCommand() проверяет наличие исполняемого файла в текущем каталоге. Так как запуск осуществляется в контексте текущего репозитория, атакующий может разместить в своём репозитории файлы git.bat, git.exe … Читать далее Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-14 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, VollaPhone, Bq Aquaris E5/E4.5/M10, Sony Xperia X/XZ и OnePlus 3/3T. По сравнению с прошлым выпуском началось формирование стабильных сборок для устройств Xiaomi Redmi 4X, Huawei Nexus 6P и Sony Xperia Z4 Tablet. Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на … Читать далее Четырнадцатое обновление прошивки Ubuntu Touch

Состоялся релиз пользовательского окружения LXQt 0.16 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux. Особенности выпуска: В редакцию файлового менеджера PCManFM-Qt и лежащую в … Читать далее Выпуск графического окружения LXQt 0.16.0

Доступен выпуск инструментария CRIU 3.15 (Checkpoint and Restore In Userspace), предназначенного для сохранения и восстановления процессов в пространстве пользователя. Инструментарий позволяет сохранить состояние одного или группы процессов, а затем возобновить работу с сохранённой позиции, в том числе после перезагрузки системы или на другом сервере без разрыва уже установленных сетевых соединений. Код проекта распространяется под лицензией GPLv2. Из областей применения технологии CRIU отмечается обеспечение перезагрузки ОС без нарушения непрерывности выполнения длительно выполняемых процессов, Live-миграция изолированных контейнеров, ускорение запуска медленных процессов (можно начать работу с состояния, сохранённого после инициализации), проведение обновлений ядра без перезапуска сервисов, периодическое сохранение состояния долговыполняемых вычислительных задач для … Читать далее Выпуск CRIU 3.15, системы для сохранения и восстановления состояния процессов в Linux

В репозитории github/dmca, где публикуются сообщения о нарушениях DMCA, были размещены исходные коды GitHub.com и GitHub Еnterprise. Исходники были опубликованы 4 ноября в 3:51 UTC (6:51 MSK) со следующим сообщением: «felt cute, might put gh source code on dmca repo now idk». Данные опубликованы через учётную запись nat, которая принадлежит Нэту Фридмэну (Nat Friedman), руководителю GitHub. Источник: http://www.opennet.ru/opennews/art.shtml?num=54024 Читать далее В сеть попали исходные коды GitHub.com и GitHub Еnterprise

Компания Google раскрыла информацию о методе эксплуатации уязвимости (CVE-2020-15228) в механизме GitHub Actions, предназначенном для прикрепления обработчиков для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Уязвимость вызвана тем, что обмен командами между процессом запуска Action и запускаемым действием (Action) производится через стандартный поток (STDOUT) — Actions Runner парсит стандартный поток, формируемый в процессе выполнения действий, и выделяет в нём маркеры команд «##[command parameter1=data;]command-value…». Проблема в том, что некоторые обработчики действий допускают передачу через тот же стандартный поток сторонних данных, например, передают через стандартный … Читать далее Уязвимость в GitHub Actions, допускающая подстановку команд

Симон Петер (Simon Peter), создатель формата самодостаточных пакетов AppImage, призвал бойкотировать Wayland «так как он ломает всё». В сообщении говорится: «Wayland не решает никаких проблем, которые у меня есть, но ломает почти все, что мне нужно. И обычно оно остаётся сломанным, потому что связанные с Wayland люди, похоже, заботятся только о GNOME и отдаляют всех остальных в этом процессе. НЕ УСТАНАВЛИВАЙТЕ WAYLAND! Пусть Wayland не уничтожит все, чтобы потом другим людям не пришлось устранять ущерб, который он нанесёт. Или сделайте больше Red Hat/GNOME-специфичных компонентов (glib, Portals, Pipe wire) обязательными зависимостями!» Некоторые из приведённых примеров: Wayland ломает приложения для записи экрана. … Читать далее Инициатива по бойкотированию Wayland

Проект dahliaOS нацелен на создание новой операционной системы, комбинирующей компоненты из GNU/Linux и ОС Fuchsia. Наработки проекта написаны на языке Dart и распространяются под лицензией Apache 2.0. Сборки dahliaOS формируются в двух вариантах — для систем с EFI (158 МБ) и старых систем/виртуальных машин (115 МБ). Базовый дистрибутив dahliaOS собирается на базе ядра Linux и типового системного окружения GNU, а пользовательское окружение базируется на технологиях Fuchsia. Параллельно развиваются сборки на базе микроядра Zircon и окружения из ОС Fuchsia, которые доступны для Raspberry Pi 4, msm8917 и некоторых других устройств. В настоящее время основные усилия сосредоточены на создании собственной пользовательской оболочки … Читать далее Проект dahliaOS развивает дистрибутив на базе технологий Linux и Fuchsia

В репозитории NPM выявлен вредоносный пакет twilio-npm, в котором присутствует бэкдор, позволяющий управлять системой с внешнего сервера (во время импортирования модуля создаётся соединение с сервером злоумышленников и запускается reverse shell). Вредоносный пакет twilio-npm не имеет отношения к официальному пакету Twilio и манипулирует известным брендом в названии для стимулирования установок (официальный пакет twilio насчитывает около 500 тысяч загрузок в неделю и злоумышленники рассчитывают на то, что пользователь перепутает пакет при поиске). Пакет был опубликован 30 октября и до блокировки его успели загрузить 371 раз. Пользователям, использовавшим twilio-npm, следует считать свои системы скомпрометированными, а все хранящиеся в системе ключи шифрования подлежащими замене. … Читать далее В репозитории NPM выявлен вредоносный пакет twilio-npm

Web-интерфейс GitHub примерно на 30 минут оказался неработособен из-за того, что сотрудники забыли вовремя продлить SSL-сертификат для домена githubassets.com, который используется для отдачи JavaScript-сценариев и изображений. Проблемы наблюдались с 2 до 3 утра (MSK). Сертификат для основного сайта github.com оставался работоспособен, но загрузка дополнительных ресурсов со стороннего хоста с просроченным сертификатом была заблокирована браузерами из-за срабатывания защиты от обработки смешанного контента (GitHub выставляет в HTTP-заголовке content-security-policy cвойство block-all-mixed-content). Так как GitHub запрещает обращаться без HTTPS и не поддерживает работу без JavaScript, web-интерфейс на время был выведен из строя. Источник: http://www.opennet.ru/opennews/art.shtml?num=54018 Читать далее Проблемы с GitHub, возникшие из-за просроченного SSL-сертификата

В октябрьском обновлении Solaris была устранена уязвимость (CVE-2020-14871) в подсистеме PAM (Pluggable Authentication Module), которой был присвоен наивысший уровень опасности (10 CVSS), но информация ограничивалась только тем, что проблема может быть эксплуатирована удалённо. Теперь появились первые сведения о совершении реальных атак и доступности рабочего эксплоита, который, как оказалось, продавался на чёрном рынке ещё с апреля этого года. Эксплоит позволяет неаутентифицированному атакующему получить root-доступ к системе. Проблеме подвержены ветки Solaris 10 и 11. Атака может быть совершена при использовании в системе SSHD для организации входа пользователей или при наличии других сетевых сервисов, в работе которых используется PAM. Утверждается, что уязвимость уже … Читать далее Удалённая root-уязвимость в Solaris

Компания Collabora представила выпуск Monado 0.4, открытой реализации стандарта OpenXR. Стандарт OpenXR подготовлен консорциумом Khronos и определяет универсальный API для создания приложений виртуальной и дополненной реальности, а также набор прослоек для взаимодействия с оборудованием, абстрагирующим особенности конкретных устройств. Monado предоставляет runtime, полностью соответствующий требованиям OpenXR, который может использоваться для организации работы с виртуальной и дополненной реальности на смартфонах, планшетах, ПК и любых других устройствах. Код проекта написан на языке Си и распространяется под свободной лицензией Boost Software License 1.0, совместимой с GPL. Основные изменения: Реализация доведена до состояния, успешно проходящего все предоставляемые консорциумом Khronos тесты на совместимость со стандартом OpenXR. … Читать далее Выпуск открытой платформы виртуальной реальности Monado 0.4

Проект Raspberry Pi анонсировал компактный персональный компьютер Raspberry Pi 400, оформленный в виде моноблока c интегрированной клавиатурой. В основу компьютера заложен модифицированный вариант платы Raspberry Pi 4, оснащённый 4ГБ ОЗУ. Кроме иного форм-фактора новой платы, ключевым отличием от ранее выпускаемых плат Raspberry Pi 4 стало увеличение частоты CPU с 1.5 Ghz до 1.8Ghz. Частоту удалось увеличить благодаря реализации системы отвода тепла на базе крупной металлической пластины к которой крепится клавиатура. Устройство доступно для заказа по цене 70 долларов. На заднюю часть корпуса выведены разъёмы: 40-пиновый GPIO, два порта micro-HDMI, слот для MicroSD-карт, два порта USB 3.0 и один порт USB … Читать далее Представлен моноблок Raspberry Pi 400, объединённый с клавиатурой

В ответ на активность пользователей по массовому созданию клонов заблокированного репозитория youtube-dl на GitHub, Джесси Джерачи (Jesse Geraci), корпоративный юрист компании GitHub, внёс изменения в пояснение про обработку нарушений Закона об авторском праве в цифровую эпоху (DMCA). В документе появилось предупреждение о недопустимости повторной публикации заблокированного контента другими пользователями. Подобное действие рассматривается как нарушение условий использования GitHub и может привести приостановке действия учётной записи пользователя. Источник: http://www.opennet.ru/opennews/art.shtml?num=54012 Читать далее GitHub предупредил о возможной блокировке пользователей, тиражирующих заблокированные репозитории

Компания Google работает над реализацией унифицированного хранилища корневых сертификатов удостоверяющих центров (Chrome Root Store), которое планируют использовать в Chrome вместо специфичных для каждой операционной системы хранилищ. Указанный подход напоминает подход компании Mozilla, которая поддерживает отдельное независимое хранилище корневых сертификатов для Firefox. Инициатива по внедрению нового хранилища корневых сертификатов пока находится на стадии планирования. Для упрощения перехода конфигураций, завязанных на системные хранилища, и обеспечения переносимости, какое-то время будет действовать переходный период, в течение которого в Chrome Root Store будет включена полная подборка сертификатов, одобренных на большинстве поддерживаемых платформ. Удостоверяющие центры для включения Chrome Root Store будут выбраны на основе публично доступной … Читать далее В Chrome планируют добавить собственное хранилище корневых сертификатов

Представлен релиз Composer 2.0.0, менеджера для установки зависимостей в проектах на языке PHP. Composer позволяет определить какие библиотеки функций необходимы для работы проекта, после чего берёт на себя работу по установке недостающих зависимостей и обновлению новых версий. Доступные для установки библиотеки размещены в репозитории Packagist, который насчитывает более 287 тысяч пакетов. Код Composer написан на PHP и распространяется под лицензией MIT. Composer позиционируется как система установки зависимостей, спроектированная с оглядкой на возможности пакетных менеджеров npm и bundler, используемых в сообществах разработчиков Node.js и Ruby. Система оперирует пакетами в привязке к конкретным проектам и рассчитана на установку зависимостей в локальные каталоги … Читать далее Доступен Composer 2.0.0, менеджер зависимостей для PHP

Представлен релиз легковесного Linux-дистрибутива ArchBang 0111, основанного на наработках Arch Linux и предоставляющего интерфейс пользователя на базе оконного менеджера i3. Дистрибутив предлагает непрерывный цикл выпуска обновлений, позволяющий всегда работать с самыми последними версиями программ из репозиториев Arch Linux. Размер iso-образа 958 МБ. Ключевым изменением в новой версии стала смена оконного менеджера — вместо Openbox пользовательское окружение теперь основано на i3wm. Отмечается, что наблюдаются отдельные изменения горячих клавиш, и вначале окружение на базе i3 может показаться необычным, но к нему быстро можно привыкнуть, после чего не возникнет желания вернуться на Openbox. В базовый состав также возвращён браузер Firefox так как функциональность … Читать далее Выпуск дистрибутива ArchBang Linux 0111

Несмотря на продолжающуюся блокировку репозитория проекта на GitHub сформирован новый выпуск утилиты youtube-dl 2020.11.01.1, предоставляющей интерфейс командной строки для загрузки звука и видео из YouTube и многих других сайтов. Релиз подготовлен с использованием нового репозитория на GitLab. В новой версии, помимо исправления ошибок, добавлена поддержка извлечения контента с сервисов «video.ibm.com» и «di.se», в экстракторе «iprima» улучшен код для определения идентификаторов видео, решены проблемы с извлечением URL JavaScript-проигрывателя YouTube, упрощены регулярные выражения для определения URL в экстракторе 23video, улучшена работа экстрактора ytsearch. Тестовые загрузки (загружается не весь ролик, а лишь первые 10 килобайт данных), которые стали причиной блокировки после жалобы Ассоциации … Читать далее Новый выпуск youtube-dl 2020.11.01.1

Опубликован новый выпуск кроссплатформенного свободного редактора кода CudaText, написанного с использованием Free Pascal и Lazarus. Редактор поддерживает расширения на Python, и имеет несколько особенностей, позаимствованных из Sublime Text. Присутствуют некоторые возможности интегрированной среды разработки, реализованные в виде плагинов. Для программистов подготовлено более 200 синтаксических лексеров. Код распространяется под лицензией MPL 2.0. Сборки доступны для платформ Linux, Windows, macOS, FreeBSD, OpenBSD, NetBSD, DragonflyBSD и Solaris. За 4 месяца с предыдущего анонса реализованы следующие улучшения: Доработан движок регулярных выражений TRegExpr. Добавлены атомарные группы, именованные группы, lookahead+lookbehind assertions, поиск юникодных групп по \p \P, поддержка символов юникода наборов U+FFFF, поддержка «рекурсии» и «подпрограмм», … Читать далее Обновление редактора кода CudaText 1.117.0

Опубликован релиз десктоп-окружения Trinity R14.0.9, продолжающего развитие кодовой базы KDE 3.5.x и Qt 3. Бинарные пакеты в ближайшее время будут подготовлены для Ubuntu, Debian, RHEL/CentOS, Fedora, openSUSE и других дистрибутивов. Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в системе KDE-приложений. Также присутствуют средства … Читать далее Релиз десктоп-окружения Trinity R14.0.9, продолжающего развитие KDE 3.5

Опубликован релиз свободного дистрибутива OpenIndiana 2020.10, пришедшего на смену бинарному дистрибутиву OpenSolaris, развитие которого было прекращено компанией Oracle. OpenIndiana предоставляет пользователю рабочее окружение, построенное на базе свежего среза кодовой базы проекта Illumos. Непосредственно разработка технологий OpenSolaris продолжается проектом Illumos, в котором развивается ядро, сетевой стек, файловые системы, драйверы, а также базовый набор пользовательских системных утилит и библиотек. Для загрузки сформировано три вида iso-образов — серверная редакция с консольными приложениями (877 МБ), минимальная сборка (345 МБ) и сборка с графическим окружением MATE (1.6 ГБ). Основные изменения в OpenIndiana 2020.10: Встроена поддержка гипервизора BHyVe, который ранее был перенесён в основной состав кодовой … Читать далее Выпуск дистрибутива OpenIndiana 2020.10, продолжающего развитие OpenSolaris