Представлен выпуск рабочего стола MaXX 2.1, разработчики которого пытаются воссоздать пользовательскую оболочку IRIX Interactive Desktop (SGI Indigo Magic Desktop) с использованием технологий Linux. Разработка ведётся по соглашению с компанией SGI, разрешающему полное воссоздание всех функций IRIX Interactive Desktop для платформы Linux на архитектурах x86_64 и ia64. Исходные тексты доступны по специальному запросу и представляют собой смесь из проприетарного кода (в соответствии с требованиями соглашения с SGI) и кода под различными открытыми лицензиями. Сборки подготовлены для Ubuntu, RHEL и Debian. Изначально IRIX Interactive Desktop поставлялся на графических рабочих станциях производства SGI, оснащённых операционной системой IRIX, пик популярности которых пришёлся на конец … Читать далее Выпуск рабочего стола MaXX 2.1, адаптации IRIX Interactive Desktop для Linux

Большинство специалистов по информационной безопасности выступило против предложения уйти от использования терминов ‘black hat’ и ‘white hat’. Инициатором предложения выступил Дэвид Клейдермахер (David Kleidermacher), вице-президент Google по инжинирингу, который отказался выступать с докладом на конференции Black Hat USA 2020 и предложил индустрии уйти от использование терминов «black hat», «white hat» и MITM (man-in-the-middle) в пользу более нейтральных альтернатив. Термин MITM вызвал недовольство из-за гендерной привязки, вместо него было предложено использовать слово PITM (people-in-the-middle). Большинство участников дискуссии выразили недоумение тем, как расистские стереотипы пытаются привязать к терминам, не имеющим к ним ни малейшего отношения. Белый и чёрный цвета испокон веков использовались … Читать далее Связанное с информационной безопасностью сообщество отказалось менять термины white hat и black hat

Для включения в ядро Linux предложен новый документ, предписывающий использование инклюзивной терминологии в ядре. Для используемых в ядре идентификаторов предлагается отказаться от использования слов ‘slave’ и ‘blacklist’, вместо которых рекомендуется применять слова secondary, subordinate, replica, responder, follower, proxy и performer. Blacklist рекомендовано заменять на blocklist или denylist. Рекомендации применимы к добавляемому в ядро новому коду, но в долгосрочной перспективе не исключается и избавление существующего кода от применения указанных терминов. При этом для предотвращения нарушения совместимости предусмотрено предоставление исключения для выдаваемого в пространство пользователя API, а также для уже реализованных протоколов и определений аппаратных компонентов, спецификации на которые предписывают использование данных … Читать далее Разработчики ядра Linux рассматривают отказ от терминов slave и blacklist

В SSH-клиентах OpenSSH и PuTTY выявлена уязвимость (CVE-2020-14002 в PuTTY и CVE-2020-14145 в OpenSSH), приводящая к утечке сведений в алгоритме согласования соединения. Уязвимость позволяет атакующему, способному перехватить трафик клиента (например, при подключении пользователя через контролируемую атакующим точку беспроводного доступа), определить попытку первоначального подключения клиента к хосту, когда клиентом ещё не прокэширован ключ хоста. Зная, что клиент пытается подключиться в первый раз и ещё не имеет на своей стороне ключ хоста, атакующий может транслировать соединение через себя (MITM) и выдать клиенту свой хостовый ключ, который SSH-клиент посчитает ключом целевого хоста, если не выполнит сверку отпечатка ключа. Таким образом, атакующий может организовать … Читать далее Уязвимость в SSH-клиентах OpenSSH и PuTTY

В кодовую базу Firefox, на основе которой 25 августа будет сформирован релиз Firefox 80, добавлено изменение, отключающее для Linux привязку поддержки аппаратного ускорение декодирования видео к системам на базе Wayland. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder. Таким образом, поддержка аппаратного ускорения видео через VA-API станет доступна и для Linux-систем, использующих протокол X11. Ранее стабильное аппаратное ускорение видео обеспечивалось только для нового бэкенда, использующего Wayland и механизм DMABUF. Для X11 ускорение не применялось из-за проблем с gfx-драйверами. Теперь проблема с задействованием ускорения видео для X11 решена через использование EGL. Также для систем с X11 реализована возможность работы … Читать далее В Firefox добавлено ускорение декодирования видео через VA-API для систем X11

Дэн Бук (Dan Book), поддерживающий более 70 модулей в CPAN, провёл анализ рисков при воплощении предложенного плана внедрения Perl 7. Напомним, что в ветке Perl 7 намереваются включить по умолчанию режим строгой проверки «strict», активировать «use warnings» и изменить значение ряда параметров, влияющих на совместимость со старым кодом. Ожидается, что изменение приведёт к неработоспособности в Perl 7 большого числа модулей из CPAN и потребует внесения изменений в каждый такой модуль, что нереалистично реализовать за намеченный год, особенно с учётом того, что не все авторы остаются доступными. Нововведения из Perl 7 также не смогут использовать модули, которые рассчитаны на поддержку не … Читать далее Анализ рисков при воплощении в жизнь инициативы Perl 7

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 5.12. С момента выпуска версии 5.11 было закрыто 48 отчётов об ошибках и внесено 337 изменений. Наиболее важные изменения: Библиотека NTDLL преобразована в формат PE; Добавлена поддержка API WebSocket; Улучшена поддержка RawInput; Обновлена спецификация API Vulkan; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Grand Theft Auto 3, Adobe Photoshop 7, Windows Media Player 9, Wing commander 4, Adobe Shockwave Player 11.x, Notepad2, GOTHIC 2 GOLD, Battle.net, Autodesk Fusion 360, Between, League of Legends, Dirt Rally 2.0, PS4 Remote Play 2.x, CompressonatorGUI 3.1, rFactor2, X2: The Threat, SierraChart v2068, Ashes … Читать далее Выпуск Wine 5.12

Компания Google развивает проект Borealis, нацеленный на предоставление в Chrome OS возможности запуска игровых приложений, распространяемых через Steam. Реализация основана на применении виртуальной машины, в которой запускаются компоненты дистрибутива Ubuntu Linux 18.04 с предустановленным клиентом Steam и основанным на Wine пакетом для запуска Windows-игр Proton. Для сборки инструментария vm_guest_tools с поддержкой Borealis предусмотрен флаг «USE=vm_borealis». Окружение проходит внутреннее тестирование на hi-end устройствах Chromebook, оснащённых 10-м поколением процессоров Intel. До сих пор предлагаемое в Chrome OS Linux-окружение Crostini поставлялось с Debian, который также используется в качестве основы развиваемого компанией Valve дистрибутива SteamOS. Реализация основана на предоставляемой с 2018 года подсистеме «Linux … Читать далее Google работает над поддержкой Steam в Chrome OS через виртуальную машину с Ubuntu

Представлен выпуск дистрибутива Elementary OS 5.1.6, позиционируемого в качестве быстрой, открытой и уважающей конфиденциальность альтернативы Windows и macOS. Основное внимание в проекте уделяется качественному дизайну, нацеленному на создание простой в использовании системы, потребляющей минимальные ресурсы и обеспечивающей высокую скорость запуска. Пользователям предлагается собственное окружение рабочего стола Pantheon. При разработке оригинальных компонентов Еlementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и поддержки репозиториев Еlementary OS 5.1.x совместим с Ubuntu 18.04. Графическое окружение основано на собственной оболочке Pantheon, которая объединяет собой такие компоненты, как оконный менеджер Gala (на базе … Читать далее Обновление дистрибутива Elementary OS 5.1.6

Разработчики Ubuntu согласовали ограничение доступа к утилите /usr/bin/dmesg только для пользователей, входящих в группу «adm». В настоящее время непривилегированные пользователи Ubuntu не имеют доступа к /var/log/kern.log, /var/log/syslog и системным событиям в journalctl, но могут посмотреть лог событий ядра через dmesg. В качестве причины упоминается наличие в выводе dmesg сведений, которые могут быть использованы атакующими для упрощения создания эксплоитов для повышения привилегий. Например, в dmesg в случае сбоев отображается дамп стека и имеется возможность определения адресов структур в ядре, которые могут способствовать обходу механизма KASLR. Атакующий может использовать dmesg в качестве обратной связи, постепенно приводя эксплоит к должному виду, наблюдая за … Читать далее В Ubuntu 20.10 будет ограничен доступ к dmesg

Sebastian Krause определил источник странной несовместимости с сервисом Bypass скрипта dehydrated, используемого для автоматизации получения TLS-сертификатов по протоколу ACME. С Bypass работают и эталонный клиент, и uacme, но не dehydrated (точнее, он тоже с некоторыми обходными манёврами заработал, но исключительно в режиме dns-1). Причина оказалась банальна: вместо того чтобы разбирать ответ в формате JSON по настоящему, автор dehydrated использовал особенность форматирования конкретного JSON-вывода от сервиса Let’s Encrypt и выполнял разбор при помощи регулярного выражения. Но Bypass возвращает не красиво отформатированный, а минифицированный JSON, и использованное регулярное выражение не сработало. Указанный подход не исключает возникновения проблем и с LetsEncrypt, если данный … Читать далее Найдена причина проблем dehydrated с ACME-серверами, отличными от LetsEncrypt

После более года разработки состоялся релиз дистрибутива openSUSE Leap 15.2. Выпуск сформирован с использованием базового набора пакетов из находящегося в разработке дистрибутива SUSE Linux Enterprise 15 SP2, поверх которого поставляются более новые выпуски пользовательских приложений из репозитория openSUSE Tumbleweed. Для загрузки доступна универсальная DVD-сборка, размером 4 ГБ, урезанный образ для установки с загрузкой пакетов по сети (138 Мб) и Live-сборки с KDE (910 МБ) и GNOME (820 МБ). Выпуск сформирован для архитектур x86_64, ARM (aarch64, armv7) и POWER (ppc64le). Основные новшества: Обновлены компоненты дистрибутива. Как и в SUSE Linux Enterprise 15 SP1 продолжает поставляться базовое ядро Linux, подготовленное на основе … Читать далее Релиз дистрибутива openSUSE Leap 15.2

Компания Vimeo опубликовала новый выпуск статистического анализатора Psalm 3.12, позволяющего выявлять как очевидные, так и трудноуловимые ошибки в коде на языке PHP, а также автоматически исправлять некоторые виды ошибок. Система подходит для выявления проблем как в устаревшем коде, так и в коде, использующем современные возможности, появившиеся в новых ветках PHP. Код проекта написан на языке PHP и распространяется под лицензией MIT. Psalm определяет большую часть проблем, связанных с некорректным использованием типов, а также разнообразные типовые ошибки. Например, поддерживается вывод предупреждений о смешивании в выражении переменных с разными типами, некорректных логических проверках (таких как «if ($a && $a) {}», «if ($a … Читать далее Выпуск Psalm 3.12, статистического анализитора для языка PHP. Альфа выпуск PHP 8.0

Массачусетский технологический институт удалил набор данных Tiny Images, включающий аннотированную коллекцию из 80 миллионов небольших изображений с разрешением 32×32. Набор поддерживался группой, развивающей технологии компьютерного зрения, и использовался c 2008 года различными исследователями для тренировки и проверки распознавания объектов в системах машинного обучения. Причиной удаления стало выявление использования расистских и женоненавистнических терминов в метках, характеризующих изображённые на картинках объекты, а также образов, которые воспринимались как оскорбительные. Например, присутствовали изображения половых органов с жаргонными терминами, изображения некоторых женщин характеризовались как «шлюхи», применялись недопустимые в современном обществе термины для чернокожих и азиатов. Причиной появления недопустимых слов было использование автоматизированного процесса, использующего при … Читать далее MIT удалил коллекцию Tiny Images из-за выявления расистских и женоненавистнических терминов

Подготовлен новый выпуск адаптированного для запуска в Linux набора классических текстовых UNIX-игр bsd-games 3.0, в который входят такие игры, как Colossal Cave Adventure, червь, цезарь, роботы и клондайк. Выпуск стал первым обновлением после формирования ветки 2.17 в 2005 году и отличается переработкой кодовой базы для упрощения сопровождения, реализацией системы автоматической сборки, поддержкой стандарта XDG (~/.local/share), избавлением от установки флага sgid, модернизацией интерфейса и интеграцией игровых данных в исполняемые файлы. Источник: http://www.opennet.ru/opennews/art.shtml?num=53275 Читать далее Доступен набор классических текстовых игр bsd-games 3.0

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для механизма «DNS Push Notifications» и опубликовал связанную с ним спецификацию под идентификатором RFC 8765. RFC получил статус «Предложенного стандарта», после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний. Механизм «DNS Push Notification» даёт возможность клиенту в асинхронном режиме получать уведомления от DNS-сервера об изменении DNS-записей, без необходимости их периодического опроса. Push-уведомления обрабатываются только с использованием транспорта TCP с защитой канала связи при помощи «TLS over TCP». Авторитативный DNS-сервер может принимать TCP-соединения … Читать далее DNS Push-уведомления получили статус предложенного стандарта

Опубликован экстренный корректирующий выпуск Firefox 78.0.1, в котором устранена всплывшая в Firefox 78 проблема, приводившая к пропаданию установленных поисковых движков. После обновления браузера список быстрого доступа к поисковым системам у некоторых пользователей оказался пустым, нарушилась работа автодополнения ввода в адресной строке и перестали отправляться запросы через поле поиска на стартовой странице. Причиной сбоя оказалось включение в Firefox 78 функции синхронизации настроек поисковых систем. В Firefox 78.0.1 удалённое извлечение настроек отключено и возвращён локальный метод хранения. Также с задержкой почти на сутки раскрыты сведения об устранённых в Firefox 78 уязвимостях. В Firefox 78 устранено 16 уязвимостей, из которых 10 помечены как … Читать далее Выпуск Firefox 78.0.1 и обновление голосовых данных Mozilla Common Voice

Разработчики Fedora обсуждают вопрос прекращения загрузки с использованием классического BIOS и оставления возможности установки только на системах с поддержкой UEFI. Отмечается, что системы на базе платформы Intel с 2005 года поставляются с UEFI и до 2020 года компания Intel планировала прекратить поддержку BIOS в клиентских системах и платформах для датацентров. Обсуждение отказа от поддержки BIOS в Fedora также обусловлено упрощением реализации технологии выборочного показа загрузочного меню, при которой меню по умолчанию скрыто и показывается только после сбоя или активации опции в GNOME. Для UEFI необходимая функциональность уже доступна в sd-boot, но при использовании BIOS требует применения патчей для GRUB2. В … Читать далее В Fedora рассматривают возможность прекращения поддержки BIOS при загрузке

Китайская компания Baidu, входящая в число крупнейших мировых производителей интернет-сервисов (поисковая система Baidu занимает 6 место в рейтинге Alexa) и продуктов, связанных с искусственным интеллектом, вошла в число участников организации Open Invention Network (OIN), занимающейся защитой экосистемы Linux от патентных претензий. Участники OIN обязуются не выдвигать патентные претензии и безвозмездно разрешают использовать запатентованные технологии в проектах, связанных с экосистемой Linux. Baidu обладают значительным числом патентов в области искусственного интеллекта, машинного обучения и интернет-технологий. В число участников OIN входит более 3200 компаний, сообществ и организаций, подписавших лицензионное соглашение о совместном использовании патентов. Среди основных участников OIN, обеспечивающих формирование защищающего Linux патентного … Читать далее Baidu присоединился к инициативе по защите Linux от патентных претензий

Опубликован релиз видеоредактора Shotcut 20.06, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3. В новом выпуске: Добавлен генератор слайд-шоу (Playlist › … Читать далее Выпуск видеоредактора Shotcut 20.06

Сформирован релиз специализированного дистрибутива Tails 4.8 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 Гб. В новом выпуске Tails по умолчанию запрещён запуск браузера Unsafe Browser, допускающего прямое подключение в обход Tor, который используется для подключения через captive-порталы публичных беспроводных сетей. Так как необдуманное использование Unsafe Browser может … Читать далее Релиз дистрибутива Tails 4.8 и Tor Browser 9.5.1