Опубликовано пятое корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 101 обновление с устранением проблем со стабильностью и 62 обновление с устранением уязвимостей. Из изменений в Debian 10.5 выделяется устранение уязвимости в GRUB2, позволяющей обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Для решения проблемы обновлены инсталлятор, загрузчик GRUB2, пакеты с ядром, fwupd-прошивки и shim-прослойка, которые поставляются с новой цифровой подписью. До свежих стабильных версий обновлены пакеты ClamAV, cloud-init, dbus, dpdk, fwupd, mariadb, nvidia-graphics-drivers и postfix. Удалены пакеты golang-github-unknwon-cae, janus, mathematica-fonts, matrix-synapse, selenium-firefoxdriver, которые остались без сопровождения … Читать далее Обновление Debian 10.5

Разработчики Wayland представили первый выпуск нового пакета wayland-utils, в составе которого будут поставляться утилиты, связанные с Wayland, по аналогии с тем, как в пакете wayland-protocols поставляются дополнительные протоколы и расширения. В настоящее время в состав включена только одна утилита wayland-info, предназначенная для отображения информации о протоколах Wayland, поддерживаемых текущим композитным сервером. Утилита представляет собой обособленный вариант weston-info, выделенный из репозитория Weston. Источник: http://www.opennet.ru/opennews/art.shtml?num=53471 Читать далее Опубликован пакет wayland-utils 1.0.0

В X.Org Server и libX11 выявлены две уязвимости: CVE-2020-14347 — отсутствие инициализации памяти при выделении буферов для пиксельных карт при помощи вызова AllocatePixmap() может привести к утечке X-клиенту содержимого памяти из кучи, когда X-сервер работает с повышенными привилегиями. Указанную утечку можно использовать для обхода технологии рандомизации адресного пространств (ASLR). В сочетании с другими уязвимостями проблема может использоваться при создании эксплоита для повышения привилегий в системе. Исправления пока доступны в виде патчей. Публикация корректирующего выпуска X.Org Server 1.20.9 ожидается в ближайшие дни. CVE-2020-14344 — целочисленное переполнение в реализации XIM (Input Method) в libX11, которое может привести к повреждению областей памяти в … Читать далее Уязвимости в X.Org Server и libX11

Доступен новый выпуск прослойки JPype 1.0.2, позволяющей организовать полный доступ Python-приложений к библиотекам классов на языке Java. При помощи JPype из Python можно использовать специфичные для Java библиотеки, создавая гибридные приложения, сочетающие код на Java и Python. В отличие от Jython, интеграция с Java достигается не через создание варианта Python для JVM, а через взаимодействие на уровне обеих виртуальных машин, используя разделяемую память. Предложенный подход позволяет не только добиться хорошей производительности, но и предоставляет доступ ко всем библиотекам CPython и Java. Код проекта распространяется под лицензией Apache 2.0. Основные изменения: В вызов методов добавлен кэш, позволяющий избежать разрешения перегрузок, что … Читать далее Обновление JPype 1.0.2, библиотеки для доступа к Java-классам из Python

После пяти месяцев разработки представлен релиз системного менеджера systemd 246. В новом выпуске реализована поддержка заморозки unit-ов, возможность верификации образа корневого диска по цифровой подписи, поддержка сжатия журнала и core-дампов с использованием алгоритма ZSTD, возможность разблокировки переносимых домашних каталогов при помощи токенов FIDO2, поддержка разблокировки разделов Microsoft BitLocker через /etc/crypttab, выполнено переименование BlackList в DenyList. Основные изменения: Добавлена поддержка cgroup-контроллера freezer, при помощи которого можно остановить работу процессов и временно высвободить некоторые ресурсы (CPU, ввод/вывод и потенциально даже память) для выполнения других задач. Управление заморозкой и разморозкой unit-ов осуществляется при помощи новой команды «systemctl freeze» или через D-Bus. Добавлена поддержка … Читать далее Выпуск системного менеджера systemd 246

В развиваемом проектом KDE менеджере архивов Ark выявлена уязвимость (CVE-2020-16116), позволяющая при открытии в приложении специально оформленного архива перезаписать файлы вне каталога, указанного для раскрытия архива. Проблема в том числе проявляется при раскрытии архивов в файловом менеджере Dolphin (пункт Extract в контекстном меню), который использует функциональность Ark для работы с архивами. Уязвимость напоминает давно известную проблему Zip Slip. Эксплуатация уязвимости сводится к добавлению в архив путей, содержащих символы «../», при обработке которых Ark может выйти за пределы базового каталога. Например, при помощи указанной уязвимость можно перезаписать сценарий .bashrc или разместить скрипт в каталог ~/.config/autostart для организации запуска своего кода с … Читать далее Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива

Опубликован финальный экспериментальный выпуск фреймворка GTK 3.99.0, в котором реализованы все возможности, запланированные для GTK 4. Ветка GTK 4 развивается в рамках нового процесса разработки, который пытается предоставить разработчикам приложений стабильный и поддерживаемый в течение нескольких лет API, который можно использовать не опасаясь, что каждые полгода придётся переделывать приложения из-за изменения API в очередной ветке GTK. Релиз GTK 4 ожидается осенью этого года. Из наиболее существенных изменений в GTK 4 можно отметить: Метод раскладки элементов на основе ограничений (constraint layout), при котором расположение и размер дочерних элементов определяется, отталкиваясь от расстояния до границ и размера других элементов. Модуль отрисовки на … Читать далее Выпуск GTK 3.99.0 ознаменовал готовность функциональности, запланированной для GTK 4

GitHub объявил о решении отказаться от поддержки парольной аутентификации при выполнении операций с Git. Прямое подключение к Git будет возможно только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Аналогичное ограничение также будет применяться для REST API. Новые правила аутентификации для API будут применены 13 ноября, а ужесточение доступа к Git запланировано на середину следующего года. Исключение будет предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые смогут подключаться к Git по паролю и дополнительному коду подтверждения. Предполагается, что ужесточение требований к аутентификации позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, … Читать далее GitHub ограничит доступ к Git аутентификацией по токенам и SSH-ключам

Доступен релиз почтового клиента Thunderbird 78.1, развиваемого силами сообщества и основанного на технологиях Mozilla. Thunderbird 78 основан на кодовой базе ESR-выпуска Firefox 78. Выпуск доступен только для прямой загрузки, автоматическое обновление с прошлых выпусков будет сформировано только в версии 78.2. В новой версии признана пригодной для широкого использования и активирована по умолчанию поддержка сквозного шифрования переписки и заверения писем цифровой подписью на основе открытых ключей OpenPGP. Ранее подобная функциональность обеспечивалась дополнением Enigmail, поддержка которого в ветке Thunderbird 78 прекращена. Встроенная реализация является новой разработкой, которая подготовлена при участии автора Enigmail. Основным отличием является использование библиотеки RNP, предоставляющей функциональность OpenPGP, вместо … Читать далее Обновление почтового клиента Thunderbird 78.1 с включением поддержки OpenPGP

Некоторые пользователи RHEL 8 и CentOS 8 столкнулись с проблемами после установки вчерашнего обновления загрузчика GRUB2 с устранением критической уязвимости. Проблемы проявляются в невозможности загрузки после установки обновления, в том числе на системах без UEFI Secure Boot. На некоторых системах (например, HPE ProLiant XL230k Gen1 без UEFI Secure Boot) проблема проявляется в том числе на свежеустановленном в минимальной конфигурации RHEL 8.2. После обновления пакетов и перезагрузки наблюдается зависание и даже не показывается меню GRUB. Похожие проблемы с загрузкой отмечаются для RHEL 7 и CentOS 7, а также для Ubuntu и Debian. Пользователям имеет смысл до прояснения ситуации повременить с установкой … Читать далее В обновлении GRUB2 выявлена проблема, приводящая к невозможности загрузки

Компания IBM объявила об открытии исходных текстов тулкита FHE (IBM Fully Homomorphic Encryption) с реализацией системы полного гомоморфного шифрования для обработки данных в шифрованном виде. FHE позволяет создавать сервисы для конфиденциальных вычислений, в которых данные обрабатываются зашифрованными и не фигурируют в открытой форме ни на одном из этапов. Результат также формируется зашифрованным. Код написан на языке С++ и распространяется под лицензией MIT. Помимо версии для Linux, параллельно развиваются аналогичные тулкиты для macOS и iOS, написанные на Objective-C. В ближайшее время ожидается публикация варианта для Android. FHE поддерживает полные гомоморфные операции, позволяющие выполнять сложение и умножение зашифрованных данных (т.е. можно реализовать … Читать далее IBM открыл тулкит гомоморфного шифрования для Linux

Аналитическая компания RedMonk опубликовала новую редакцию рейтинга языков программирования, построенный на основе оценки сочетания популярности на GitHub c активностью обсуждений на Stack Overflow. Из наиболее заметных изменений отмечается попадание языка Rust в 20 самых популярных языков и вытеснение из двадцатки языка Haskell. По сравнению с прошлой редакций, опубликованной полгода назад, также перемещение C++ на пятое место, перемещение Scala с 14 на 13 место. R сдвинулся с 13 на 14 место, язык Java потерял одну позицию и оказался на третьем месте (в прошлом рейтинге он разделял второе место с Python). 1 JavaScript 2 Python 3 Java 4 PHP 5 C++ 5 … Читать далее Rust вошёл в 20 самых популярных языков по рейтингу Redmonk

Разработчики операционной системы Redox, написанной с использованием языка Rust и концепции микроядра, сообщили о реализации возможности отладки приложений при помощи отладчика GDB. Для использования GDB следует раскомментировать строки с gdbserver и gnu-binutils в файле filesystem.toml и запустить прослойку gdb-redox, которая запустит собственный gdbserver и подключит его к gdb через IPC. Другой вариант подразумевает запуск отдельного gdbserver (принимает соединения на сетевом порту 64126) и подсоединение к нему по сети GDB, выполняемого на внешней Linux-системе. Источник: http://www.opennet.ru/opennews/art.shtml?num=53457 Читать далее В Redox OS, написанной на Rust, появилась возможность отладки программ при помощи GDB

Фонд Apache представил отчёт за 2020 финансовый год (c 1 мая 2019 по 30 апреля 2020 года). Объём активов за отчётный период составил 3.5 млн долларов, что на 300 тысяч меньше, чем за 2019 финансовый год. Размер собственного капитала за год уменьшился на 281 тысячу долларов и составил 2.16 млн долларов. Большая часть средств получена от спонсоров — в настоящее время насчитывается 10 платиновых спонсоров, 9 золотых, 11 серебряных и 25 бронзовых, а также 24 спонсора целевых проектов и 500 индивидуальных спонсора. Некоторая статистика: Совокупная стоимость разработки с нуля всех проектов Apache оценивается в 20 млрд долларов при расчёте с … Читать далее Фонд Apache опубликовал отчёт за 2020 финансовый год

Во FreeBSD приняты изменения, позволяющие выполнять операции поиска в VFS без блокировок (lockless lookup). Оптимизации реализованы для файловых систем TmpFS, UFS и ZFS, но пока не распространяется на ACL, Capsicum, доступ к файловым дескрипторам, символические ссылки и «..» в путях. Для указанных возможностей осуществляется откат на старый механизм определения файлов. Проведённый на TmpFS тест, измеряющий время доступа к разным файлам, показал увеличение производительности с 2165816 до 151216530 операций в секунду (прирост в 69 раз). Другой тест показал снижение времени выполнения задания с 23 до 14 секунд. Источник: http://www.opennet.ru/opennews/art.shtml?num=53442 Читать далее Во FreeBSD существенно оптимизированы операции поиска в VFS

В загрузчике GRUB2 выявлено 8 уязвимостей. Наиболее опасная проблема (CVE-2020-10713), которой присвоено кодовое имя BootHole, даёт возможность обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Особенностью данной уязвимости является то, что для её устранения не достаточно обновить GRUB2, так как атакующий может использовать загрузочный носитель со старой уязвимой версией, заверенной цифровой подписью. Атакующий может скомпрометировать процесс верификации не только Linux, но и других операционных систем, включая Windows. Проблема решается только обновлением в системе списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux. Некоторые производители оборудования уже … Читать далее Критическая уязвимость в загрузчике GRUB2, позволяющая обойти UEFI Secure Boot

Состоялся релиз консольного текстового редактора GNU nano 5.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения. В том числе утверждён переход на nano следующего выпуска Fedora Linux. В новом выпуске: При помощи опции «—indicator» или настройки ‘set indicator’ в правой части экрана теперь можно отобразить подобие полосы прокрутки, позволяющей судить о позиции в общем тексте. Добавлена клавиатурная комбинация «Alt+Insert», позволяющая пометить любые строки для последующего перехода между ближайшими метками, нажимая «Alt+PageUp» и «Alt+PageDown». В основном меню обеспечен доступ к строке ввода команд. Для эмуляторов терминалов, поддерживающих как минимум 256 цветов, … Читать далее Выпуск текстового редактора GNU nano 5.0

Компания Microsoft присоединилась к программе Blender Development Fund в качестве золотого спонсора, перечисляющего на развитие свободной системы 3D-моделирования Blender от 30 тысяч евро в год. Microsoft использует Blender для генерации синтетических 3D-моделей и изображений людей, которые могут использоваться для тренировки моделей систем машинного обучения. Также отмечается, что наличие высококачественного свободного 3D-пакета оказалось очень полезным для научных проектов и исследователей. Источник: http://www.opennet.ru/opennews/art.shtml?num=53451 Читать далее Компания Micrоsoft стала участником Blender Development Fund

Проект OpenJDK, развивающий эталонную реализацию языка Java, ведёт работу по миграции с системы управления версиями Mercurial на Git и платформу совместной разработки GitHub. Переход планируется завершить в сентябре этого года, перед релизом JDK 15, чтобы вести разработку JDK 16 уже на новой платформе. Ожидается, что миграция позволит повысить производительность операций с репозиторием, увеличить эффективность хранения, обеспечить доступность в репозиторий изменений за всю историю проекта, улучшить поддержку рецензирования кода и задействовать API для автоматизации рабочих процессов. Кроме того, применение Git и GitHub сделает проект более привлекательным для новичков и разработчиков, привыкших к Git. Ранее часть подпроектов OpenJDK, включая Loom, Valhalla и … Читать далее OpenJDK переходит на использование Git и GitHub

В Chrome-дополнении Screenshot & Screen Capture Elite, насчитывающем более миллиона установок и предназначенном для создания скриншотов web-страниц, выявлена вредоносная активность. Пользователи дополнения, применяющие блокировщик UBlock Origin, обратили внимание, что у них продолжает показываться реклама, несмотря на явное присутствие правил для её блокирования. Пользователи стали предъявлять претензии автору UBlock Origin, что он намеренно пропускает рекламу Google, но разбор ситуации показал, что источником данной аномалии является дополнение «Screenshot & Screen Capture Elite», которое подставляет свои рекламные блоки на страницы поисковой выдачи Google. Осуществляющий подстановку рекламы код загружался с адреса «67.205.139.234», который также применялся в дополнении для организации сервиса обмена скриншотами. Реклама подставлялась … Читать далее Chrome-дополнение с миллионной аудиторией уличено в подстановке рекламы в результаты поиска Google

В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года. Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году. Вредоносная активность сводится к попытке загрузки и выполнения кода со стороннего сервера (http://r.cx:1/) в процессе выполнения тестового набора, запускаемого при установке модуля. Предполагается, что изначально загружаемый с внешнего сервера код не был вредоносным, но теперь запрос перенаправляется на домен ww.limera1n.com, отдающий свою порцию кода для выполнения. Для выполнения загрузки в файле 05_rcx.t используется следующий код: my … Читать далее В Perl-пакете Module-AutoLoad выявлен вредоносный код