В подсистеме eBPF, позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра. Проблема проявляется вплоть до выпуска 5.11.12 (включительно) и ещё не исправлена в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE, Arch). Исправление доступно в виде патча. По заявлению исследователей, выявивших уязвимость, им удалось разработать рабочий прототип эксплоита для 32- и 64-разрядных систем x86, который может быть использован непривилегированным пользователем. При этом компания Red Hat отмечает, что опасность проблемы зависит от доступности пользователю системного вызова eBPF. … Читать далее Уязвимости в подсистеме eBPF ядра Linux

Подведены итоги трёх дней соревнований Pwn2Own 2021, ежегодно проводимых в рамках конференции CanSecWest. Как и в прошлом году соревнования проводились виртуально и атаки демонстрировались online. Из 23 намеченных целей рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Windows 10, Сhrome, Safari, Parallels Desktop, Microsoft Exchange, Microsoft Teams и Zoom. Во всех случаях тестировались самые свежие версии программ, включающие все доступные обновления. Суммарный размер выплат составил один миллион двести тысяч долларов США (общий призовой фонд насчитывал полтора миллиона долларов). На соревнованиях были предприняты три попытки эксплуатации уязвимостей в Ubuntu Desktop. Первая и вторая попытки были засчитаны и атакующим … Читать далее На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft

После десяти месяцев разработки доступен мультимедиа-пакет FFmpeg 4.4, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 4.4, можно выделить: Реализована возможность использования API VDPAU (Video Decode and Presentation) для аппаратного ускорения декодирования видео в форматах HEVC/H.265 (10/12bit) и VP9 (10/12bit). Обеспечена поддержка декодирования видео в формате AV1 с использованием движков аппаратного ускорения NVIDIA NVDEC и Intel QSV (Quick Sync Video), а также при помощи API DXVA2/D3D11VA. Добавлена возможность кодирования AV1 в … Читать далее Выпуск мультимедиа-пакета FFmpeg 4.4

Спустя три с половиной года с момента формирования прошлой значительной ветки представлен новый выпуск инструментария GnuPG 2.3.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. GnuPG 2.3.0 позиционируется как первый выпуск новой кодовой базы, включающей самые свежие разработки. GnuPG 2.2 рассматривается как стабильная ветка, оптимальная для повсеместного использования, которая будет поддерживаться как минимум до 2024 года. GnuPG 1.4 продолжает сопровождаться в качестве классической серии, потребляющей минимальные ресурсы, подходящей для встраиваемых систем и совместимой с устаревшими алгоритмами шифрования. Основные новшества GnuPG … Читать далее Выпуск GnuPG 2.3.0

Организация Signal Technology Foundation, развивающая систему защищённых коммуникаций Signal, возобновила публикацию кода серверных частей мессенджера. Код проекта изначально было открыт под лицензией AGPLv3, но публикация изменений в публичном репозитории без объяснения причин была прекращена 22 апреля прошлого года. Обновление репозитория прекратилось после объявления о намерении интегрировать в Signal систему платежей. На днях началось тестирование встроенной в Signal системы платежей, основанной на собственной криптовалюте MobileCoin (MOB), разработанной Мокси Марлинспайком (Moxie Marlinspike), автором протокола Signal. Примерно в это же время в репозитории были опубликованы накопившиеся за год изменения серверных компонентов, в том числе включающие реализацию системы платежей. Криптовалюта MobileCoin спроектирована для построения … Читать далее Мессенджер Signal возобновил публикацию серверного кода и интегрировал криптовалюту

Разработчики сообщества Apache проголосовали за прекращение разработки платформы управления ресурсами кластера Apache Mesos и перенос имеющихся наработок в репозиторий устаревших проектов Apache Attic. Заинтересованным в дальнейшем развитии Mesos энтузиастам предлагается продолжить разработку через создание форка git-репозитррия проекта. В качестве причины провала проекта один их ключевых разработчиков Mesos упоминает невозможность конкурировать с платформой Kubernetes, которая была создана позднее, обобщила опыт своих предшественников и создавалась компанией Google, имеющей богатый опыт создания крупных кластеров. В отличие от Kubernetes проект Mesos был создан аспирантами, не имевшими большого опыта работы с кластерами, которые затем были приняты на работу в Twitter. Проект развивался путём проб и … Читать далее Apache сворачивает разработку кластерной платформы Mesos

После года разработки состоялся релиз фреймворка Ergo 1.2, реализующего полный сетевой стек Erlang и его библиотеку OTP на языке Go. Фреймворк предоставляет разработчику гибкий инструментарий из мира Erlang для создания распределённых решений на языке Go с помощью готовых шаблонов проектирования Application, Supervisor и GenServer. Поскольку в языке Go отсутствует прямой аналог процесса Erlang, то во фреймворке используются goroutine как основы для GenServer с обёрткой recover для возможности обработки исключительных ситуаций. Код проекта распространяется под лицензией MIT. В новом выпуске: Реализована поддержка TLS 1.3 с возможностью автогенерации самоподписанных сертификатов (если необходимо шифровать соединения, но нет потребности в его авторизации, поскольку подключение … Читать далее Новый выпуск фреймворка для создания сетевых приложений Ergo 1.2

Компания IBM объявила о решении 16 апреля опубликовать компилятор языка программирования COBOL для платформы Linux. Компилятор будет поставляться в форме проприетарного продукта. COBOL является одним из старейших из активно применяемых языков программирования (10 лет назад около 70-80% бизнес-транзакций в Великобритании осуществлялись приложениями на COBOL) — в этом году ему исполнится 62 года. Благодаря наличию компилятора GnuCOBOL, поддержка языка COBOL на платформе Linux присутствовала и ранее, но не рассматривалось предприятиями как решение для промышленного использования. Версия для Linux основана тех же технологиях, что и продукте Enterprise COBOL для z/OS, и обеспечивает совместимость со всеми актуальными спецификациями, в том числе включает изменения, … Читать далее IBM опубликует компилятор COBOL для Linux

Компания Google объявила о включении языка программирования Rust в число языков, допустимых для разработки платформы Android. Компилятор языка Rust был включён в дерево исходных текстов Android ещё в 2019 году, но поддержка данного языка оставалась экспериментальной. Одними из первых компонентов на Rust, которые планируется поставлять в Android, являются новые реализации механизма межпроцессного взаимодействия Binder и Bluetooth-стека. Внедрение Rust произведено в рамках проекта по усилению защищённости, продвижению приёмов безопасного программирования и повышению эффективности выявления проблем при работе с памятью в Android. Отмечается, что около 70% из всех опасных уязвимостей, выявленных в Android, вызваны ошибками при работе с памятью. Применение языка Rust, … Читать далее Rust включён в число основных языков для разработки платформы Android

Вышел релиз свободной стратегической (RTS) игры Warzone 2100 4.0.0. Игра изначально разработана компанией Pumpkin Studios и выпущена на рынок в 1999 году. В 2004 году исходные тексты были открыты под лицензией GPLv2 и развитие игры продолжилось силами сообщества. Поддерживается как одиночная игра против ботов, так и проведение сетевых игр. Пакеты подготовлены для Ubuntu, Windows и macOS. Краткий список улучшений и изменений в новой версии: Добавлена поддержка новых графических движков: Vulkan 1.0+ OpenGL ES 3.0 / 2.0 DirectX (через библиотеку libANGLE, OpenGL ES -> DirectX) Metal (через библиотеку MoltenVK, Vulkan -> Metal) OpenGL 3.0+ Core Profile (выбран по умолчанию) Добавлены «Фракции» … Читать далее Релиз стратегической игры Warzone 2100 4.0

Опубликованы первые результаты разбора инцидента, связанного с выявлением в Git-репозитории проекта PHP двух вредоносных коммитов с бэкдором, активируемым при передаче запроса со специально оформленным заголовком User Agent. В ходе изучения следов деятельности атакующих был сделан вывод, что непосредственно сервер git.php.net, на котором был размещён git-репозиторий не был взломан, но была скомпрометирована база данных с учётными записями разработчиков проекта. Не исключается, что злоумышленники смогли загрузить базу пользователей, хранившуюся в СУБД на сервере master.php.net. Содержимое master.php.net уже перенесено на новый сервер main.php.net, установленный с нуля. Все пароли разработчиков, использовавшиеся для доступа к инфраструктуре php.net, были сброшены и инициирован процесс их смены через … Читать далее Отчёт о компрометации git-репозитория и базы пользователей проекта PHP

Разработчики Mozilla решили не удалять компактный режим отображения панелей и продолжить поставку связанной с ним функциональности. При этом видимая пользователям настройка для выбора режима панели (меню «гамбургер» в панели -> Customize -> Density -> Compact или Персонализация -> Значки -> Компактные) будет убрана по умолчанию. Для возвращения настройки в about:config появится параметр «browser.compactmode.show», возвращающий кнопку для активации компактного режима, но с примечанием об отсутствии его официальной поддержки. Для пользователей, у которых включён компактный режим, параметр будет активирован автоматически. Изменение будет реализовано в выпуске Firefox 89, намеченном на 18 мая, в котором также запланировано включение обновлённого оформления, развиваемого в рамках проекта … Читать далее В Firefox решено не удалять компактный режим и активировать WebRender для всех Linux-окружений

Компания Google представила новый аудиокодек Lyra, оптимизированный для достижения максимального качества передачи речи даже при использовании очень медленных каналов связи. Код реализации Lyra написан на C++ и открыт под лицензией Apache 2.0, но в числе необходимых для работы зависимостей присутствует проприетарный модуль ядра Linux, открыть код которого не представляется возможным. Указанный модуль используется для математических вычислений и связывается через библиотеку libsparse_inference.so. Отмечается, что проприетарный модуль является временным — в дальнейшем Google обещает разработать открытую замену и обеспечить поддержку платформ, отличных от Linux. По качеству передаваемых голосовых данных на низких скоростях Lyra существенно превосходит традиционные кодеки, в которых используются методы цифровой … Читать далее Google опубликовал аудиокодек Lyra для передачи речи при плохом качестве связи

Разработчики проекта KDE Neon, формирующего Live-сборки с актуальными версиями программ и компонентов KDE, сообщили о прекращении разработки LTS-редакции KDE neon Plasma, поддержка которой осуществлялась восемнадцать месяцев вместо обычных четырёх. Сборка была рассчитана на повседневное использование людьми, которые хотят получить новые версии приложений, но сохранить стабильный рабочий стол (предлагалась LTS-ветка рабочего стола Plasma, но самые свежие версии приложений). Прекращение формирование LTS-сборок KDE neon намечено на 1 июля. В качестве причин принятого решения отмечаются огромные затраты на сопровождение, несоответствие общей идее проекта (предоставление самого свежего и современного окружения KDE) и относительно низкая востребованность LTS-сборок у пользователей. Пользователям LTS-ветки KDE neon предложено перейти … Читать далее KDE neon объявил о сворачивании LTS-сборок

В связи с ограничением компанией Qt Company доступа к репозиторию с исходными текстами LTS-ветки Qt 5.15 проект KDE приступил к поставке собственной коллекции патчей Qt5PatchCollection, нацеленной на поддержание на плаву ветки Qt 5 до завершения миграции сообщества на Qt6. KDE взял на себя сопровождение патчей к Qt 5.15, включающих исправления функциональных дефектов, крахов и уязвимостей. Патчи доступны в Git-репозитории qtbase. В настоящее время коллекция включает только патчи, рецензированные и одобренные проектом Qt, но, в будущем могут быть приняты и патчи, по каким-то причинам не утверждённые в upstrem. Критериями включения патчей в коллекцию является важность реализуемого исправления и востребованность в открытом … Читать далее KDE взял на себя продолжение сопровождения общедоступной ветки Qt 5.15

Сформированы корректирующие релизы языка программирования Ruby 3.0.1, 2.7.3, 2.6.7 и 2.5.9, в которых устранены две уязвимости: CVE-2021-28965 — уязвимость во встроенном модуле REXML, которая при разборе и сериализации специально оформленного XML-документа может привести к созданию некорректного XML-документа, структура которого не совпадает с оригиналом. Опасность уязвимости сильно зависит от контекста, но не исключается организация атак на некоторые приложения, использующие REXML. CVE-2021-28966 — специфичная для платформы Windows уязвимость, позволяющая создать произвольный каталог или файл в частях ФС, в которых разрешена запись для пользователя, с правами которого выполняется процесс Ruby. Проблема вызвана неверной обработкой префикса в методе Dir.mktmpdir, в котором не исключается подстановка … Читать далее Обновление Ruby 3.0.1 с устранением уязвимостей

Представлен выпуск открытой платформы webOS Open Source Edition 2.10, которая может применяться на различных портативных устройствах, платах и автомобильных информационно-развлекательных системах. В качестве эталонной аппаратной платформы рассматриваются платы Raspberry Pi 4. Платформа развивается в публичном репозитории под лицензией Apache 2.0, а разработку курирует сообщество, придерживаясь совместной модели управления разработкой. Платформа webOS в 2013 году была выкуплена компанией LG у Hewlett-Packard и применяется на более чем 70 миллионах телевизоров и потребительских устройств LG. Проект webOS Open Source Edition был основан в 2018 году, после того как компания LG попыталась вернуться к открытой модели разработки для привлечения других участников и расширения спектра … Читать далее Выпуск платформы webOS Open Source Edition 2.10

Леонид Хозяинов подготовил перевод документации по CPython 3.8.8. Опубликованный материал по своей структуре, оформлению и функциональным возможностям стремится к официальной документации docs.python.org. Переведены следующие разделы: Учебник (для тех. кто только делает первые шаги в программировании на Python) Справочник по стандартной библиотеке (богатая коллекция встроенных модулей для решения повседневных задач) Справочник по языку (языковые конструкции, операторы, выражения, модель данных и др.) Настройка и использование Python Установка Python модулей Распространение Python модулей Расширение и встраивание Часто задаваемые вопросы по Python Python HOWTO Python/C API Источник: http://www.opennet.ru/opennews/art.shtml?num=54908 Читать далее Перевод на русский язык документации по CPython 3.8.8

Верховный суд США вынес решение, касающееся рассмотрения тянущегося с 2010 года судебного разбирательства «Oracle против Google», связанного с использованием Java API в платформе Android. Суд высшей инстанции встал на сторону Google и признал, что использование Java API носит характер добросовестного использования (fair use). Суд согласился, что целью Google было создание другой системы, ориентированной на решение задач для иного вычислительного окружения (смартфонов), а разработка платформы Android помогла реализовать и популяризировать данную цель. История показывает, что существуют различные пути, в которых повторная реализация интерфейса может способствовать дальнейшему развитию компьютерных программ. Намерения Google были нацелены на достижение подобного творческого прогресса, поддержание которого является … Читать далее Google одержал победу в разбирательстве с Oracle, связанном с Java и Android

Четвертого апреля была завершена предварительная дискуссия и дан старт голосованию, которое должно определить официальную позицию проекта Debian относительно возвращения Ричарда Столлмана на пост руководителя Free Software Foundation. Голосование продлится две недели, до 17 апреля. Изначально голосование инициировал сотрудник компании Canonical Стив Лангасек (Steve Langasek), который предложил для ратификации первый вариант заявления (призвать к отставке совета директоров FSF и поддержать открытое письмо против Столлмана). Однако, в соответствии с процедурой публичного обсуждения, представители сообщества Debian предложили альтернативные варианты заявления: Призвать к отставке только Столлмана. Ограничить взаимодействие с FSF, пока Столлман находится во главе организации. Призвать FSF к повышению прозрачности процессов управления (выдвинувшая … Читать далее Проект Debian начинает голосование по позиции относительно Столлмана

Доступен выпуск проекта fheroes2 0.9.2, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. Основные изменения: Добавлены заклинания просмотра карты мира (View Heroes/Towns/Artifacts/Mines/Resources/All). Это были последние недостающие заклинания в проекте. На поле боя теперь должны появляться препятствия занимающие большую площадь, которых не было в предыдущих реализациях движка. ИИ теперь умеет пользоваться высокоуровневыми заклинаниями. А также проводит оценку необходимости их использования. Добавлена возможность переиграть быструю битву вручную при помощи кнопки «Restart» … Читать далее Выпуск игры Free Heroes of Might and Magic II 0.9.2