Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM

Компания GitHub раскрыла информацию о двух инцидентах в инфраструктуре репозитория пакетов NPM. 2 ноября сторонние исследователи безопасности (Kajetan Grzybowski и Maciej Piechota) в рамках программы Bug Bounty сообщили о наличии в репозитории NPM уязвимости, позволяющей опубликовать новую версию любого пакета, используя для этого свою учётную запись, не авторизированную для выполнения подобных обновлений. Уязвимость была вызвана некорректной проверкой полномочий в коде микросервисов, обрабатывающих запросы к NPM. Сервис авторизации выполнял проверку прав доступа к пакетам на основе данных, передаваемых в запросе, но другой сервис, загружающий обновление в репозиторий, определял пакет для публикации на основе содержимого метаданных в загруженном пакете. Таким образом, атакующий … Читать далее Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM

В Fedora Linux 37 намерены прекратить поддержку 32-разрядной архитектуры ARM

Для реализации в Fedora Linux 37 намечен перевод в разряд устаревших архитектуры ARMv7, также известной как ARM32 или armhfp. Все усилия разработки для систем ARM планируют сосредоточить на архитектуре ARM64 (Aarch64). Изменение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. В случае утверждения изменения последним выпуском с поддержкой 32-разрядных систем ARM станет Fedora 36, обновления для которого будут формироваться до июня 2023 года. В качестве причин прекращения поддержки ARMv7 упоминается общее сворачивание развития дистрибутива для 32-разрядных систем, так как некоторые новые возможности Fedora, связанные с усилением безопасности и повышением производительности, доступны только … Читать далее В Fedora Linux 37 намерены прекратить поддержку 32-разрядной архитектуры ARM

Представлен новый российский коммерческий дистрибутив РОСА ХРОМ 12

Компания НТЦ ИТ РОСА представила новый дистрибутив Linux РОСА ХРОМ 12, основанный на платформе rosa2021.1, поставляемый только в платных редакциях и ориентированный на использование в корпоративном секторе. Дистрибутив доступен в сборках для рабочих станций и серверов. В редакции для рабочих станций задействована оболочка KDE Plasma 5. Установочные iso-образы не распространяются публично и предоставляются только по отдельному запросу. Для бесплатного использования позиционируется продукт ROSA Fresh 12 на той же платформе, с тем же рабочим столом и с аналогичным набором изменений. Основные особенности РОСА ХРОМ 12 (повторяют возможности, заявленные для продуктов на базе платформы rosa2021.1): Переработанный дизайн интерфейса на основе стиля breeze, … Читать далее Представлен новый российский коммерческий дистрибутив РОСА ХРОМ 12

Обновление Tor Browser 11.0.1 с интеграцией поддержки сервиса Blockchair

Доступна новая версия браузера Tor Browser 11.0.1. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS. В новом выпуске в число поисковых движков добавлен сервис Blockchair, позволяющий осуществлять поиск по 17 блокчейнам популярных криптовалют (Bitcoin, Etherеum, DogeCoin, Litecoin, Monero и т.п.). Например, пользователь теперь может … Читать далее Обновление Tor Browser 11.0.1 с интеграцией поддержки сервиса Blockchair

Релиз дистрибутива Rocky Linux 8.5, идущего на смену CentOS

Состоялся релиз дистрибутива Rocky Linux 8.5, нацеленного на создание свободной сборки RHEL, способной занять место классического CentOS, после того как компания Red Hat приняла решение прекратить поддержку ветки CentOS 8 в конце 2021 года, а не в 2029 году, как предполагалось изначально. Это второй стабильный релиз проекта, признанный готовым для рабочих внедрений. Сборки Rocky Linux подготовлены для архитектур x86_64 и aarch64. Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat. Дистрибутив полностью бинарно совместим с Red Hat Enterprise Linux 8.5 и включает все предложенные в данном выпуске улучшения. В … Читать далее Релиз дистрибутива Rocky Linux 8.5, идущего на смену CentOS

Релиз Chrome 96

Компания Google представила релиз web-браузера Chrome 96. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Ветка Chrome 96 будет сопровождаться 8 недель в рамках цикла Extended Stable. Следующий выпуск Chrome 97 запланирован на 4 января. Основные изменения в Chrome 96: В панели закладок, отображаемой под адресной строкой, по умолчанию скрыта кнопка Apps («Сервисы»), позволявшая открыть страницу «chrome://apps» со списком установленных сервисов и web-приложений. Прекращена поддержка платформы Android 5.0 и более … Читать далее Релиз Chrome 96

Децентрализованное хранилище LF переведено на открытую лицензию

Доступен выпуск LF 1.1.0, децентрализованного реплицируемого хранилища данных в формате ключ/значение. Проект развивается компанией ZeroTier, разрабатывающей виртуальный Ethernet-коммутатор, позволяющий объединить размещённые у разных провайдеров хосты и виртуальные машины в одной виртуальной локальной сети, участники которой обмениваются данными в режиме P2P. Код проекта написан на языке Си. Новый выпуск примечателен переходом на свободную лицензию MPL 2.0 (Mozilla Public License). Ранее код LF был доступен под лицензией BSL (Business Source License), не являющуюся свободной из-за дискриминации отдельных категорий пользователей. Лицензия BSL была предложена сооснователями MySQL в качестве альтернативы модели Open Core. Суть BSL в том, что код расширенной функциональности изначально доступен для … Читать далее Децентрализованное хранилище LF переведено на открытую лицензию

Google представил систему fuzzing-тестирования ClusterFuzzLite

Компания Google представила проект ClusterFuzzLite, позволяющий организовать fuzzing-тестирование кода для раннего выявления потенциальных уязвимостей на этапе работы систем непрерывной интеграции. В настоящее время ClusterFuzz может использоваться для автоматизации fuzzing-тестирования pull-запросов в GitHub Actions, в Google Cloud Build и в Prow, но в дальнейшем ожидается появление поддержки и других CI-систем. Проект базируется на платформе ClusterFuzz, созданной для координации работы кластеров fuzzing-тестирования, и распространяются под лицензией Apache 2.0. Отмечается, что после внедрения в 2016 году компанией Google сервиса OSS-Fuzz в программу непрерывного fuzzing-тестирования было принято более 500 важных открытых проектов. На основе проведённых проверок было устранено более 6500 подтверждённых уязвимостей и исправлено … Читать далее Google представил систему fuzzing-тестирования ClusterFuzzLite

Выпуск Nuitka 0.6.17, компилятора для языка Python

Доступен выпуск проекта Nuitka 0.6.17, развивающего компилятор для трансляции скриптов на языке Python в представление на языке C++, которое затем можно скомпилировать в исполняемый файл, использующий libpython для обеспечения максимальной совместимости с CPython (используются штатные средства CPython для управления объектами). Обеспечена полная совместимость с актуальными выпусками Python 2.6, 2.7, 3.3 — 3.9. По сравнению с CPython скомпилированные скрипты демонстрируют в тестах pystone повышение производительности на 335%. Код проекта распространяется под лицензией Apache. В новой версии добавлена экспериментальная поддержка оптимизации на основе результатов профилирования кода (PGO — Profile-guided optimization), позволяющей учитывать особенности, определяемые во время выполнения программы. Оптимизация пока применима только … Читать далее Выпуск Nuitka 0.6.17, компилятора для языка Python

Уязвимости в процессорах AMD и Intel

Компания AMD сообщила об устранении 22 уязвимостей в первом, втором и третьем поколениях серверных процессоров AMD серии EPYC, позволяющих скомпрометировать работу технологий PSP (Platform Security Processor), SMU (System Management Unit) и SEV (Secure Encrypted Virtualization). 6 проблем были выявлены в 2020 году, а 16 в 2021 году. 11 уязвимостей в ходе проведения внутренних исследований безопасности выявили сотрудники компании Google, 6 — компании Oracle и 5 — компании Microsoft. Для OEM-производителей оборудования выпущены обновлённые наборы прошивок AGESA (AMD Generic Encapsulated Software Architecture), обходным путём блокирующие проявление проблем. Обновления BIOS и UEFI-прошивок для своих серверных систем уже выпустили такие компании, как HP, … Читать далее Уязвимости в процессорах AMD и Intel

Выпуск WineVDM 0.8, прослойки для запуска 16-разрядных приложений Windows

Вышла новая версия WineVDM 0.8 — слоя совместимости для запуска 16-разрядных приложений Windows (Windows 1.x, 2.x, 3.x) на 64-разрядных операционных системах, транслирующего вызовы программ, написанных для Win16, в вызовы Win32. Поддерживается привязка запускаемых программ к WineVDM, а также работа инсталляторов, что делает работу с 16-разрядными программами для пользователя неотличимой от работы с 32-разрядными. Код проекта распространяется под лицензией GPLv2 и основан на наработках проекта Wine. Среди изменений по сравнению с предыдущим релизом: Упрощена инсталляция. Добавлена поддержка DDB (device dependent bitmaps), например, позволяющая играть в игру Fields of Battle. Добавлена подсистема для запуска программ, которые требуют реального режима процессора и не … Читать далее Выпуск WineVDM 0.8, прослойки для запуска 16-разрядных приложений Windows

Подготовлена неофициальная сборка LineageOS 19.0 (Android 12) для Raspberry Pi 4

Для плат Raspberry Pi 4 Model B и Compute Module 4 с 2, 4 или 8 ГБ ОЗУ, а также для моноблока Raspberry Pi 400, сформирована неофициальная сборка экспериментальной ветки прошивки LineageOS 19.0, основанной на платформе Android 12. Исходные тексты прошивки распространяются на GitHub. Для работы сервисов и приложений Google можно установить пакет OpenGApps, но его корректная работа не гарантируется, так как поддержка Android 12 в OpenGApps пока находится на стадии разработки. В сборках поддерживается ускорение графики (V3D, OpenGL, Vulkan, интегрирован свежий выпуск Mesa 21.2.5), звуковая подсистема (Audio DAC, вывод через HDMI, 3.5mm, USB, bluetooth), Bluetooth, Wifi (в том числе … Читать далее Подготовлена неофициальная сборка LineageOS 19.0 (Android 12) для Raspberry Pi 4

Доступен дистрибутив AlmaLinux 8.5, продолжающий развитие CentOS 8

Сформирован выпуск дистрибутива AlmaLinux 8.5, синхронизированный c дистрибутивом Red Hat Enterprise Linux 8.5 и содержащий все предложенные в данном выпуске изменения. Сборки подготовлены для архитектур x86_64 и ARM64 в форме загрузочного (740 МБ), минимального (2 ГБ) и полного образа (10 ГБ). Отдельно подготовлены системные образы для установки на платы Raspberry Pi. Позднее дополнительно обещают сформировать Live-сборки, а также образы для контейнеров и облачных платформ. Дистрибутив идентичен с RHEL по функциональности, за исключением изменений, связанных ребрендингом и удалением специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. AlmaLinux бесплатен для всех категорий пользователей, развивается с привлечением сообщества и использованием модели … Читать далее Доступен дистрибутив AlmaLinux 8.5, продолжающий развитие CentOS 8

Выпуск Nebula 1.5, системы для создания оверлейных P2P-сетей

Доступен выпуск проекта Nebula 1.5, предлагающего инструментарий для построения защищённых оверлейных сетей. Сеть может объединять от нескольких до десятков тысяч территориально разделённых хостов, размещённых у разных провайдеров, формируя отдельную изолированную сеть поверх глобальной сети. Проект написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack, развивающей одноимённый корпоративный мессенджер. Поддерживается работа в Linux, FreeBSD, macOS, Windows, iOS и Android. Узлы в сети Nebula взаимодействуют друг с другом напрямую в режиме P2P — по мере появления необходимости передачи данных между узлами динамически создаются прямые VPN-соединения. Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а подключение к сети требует … Читать далее Выпуск Nebula 1.5, системы для создания оверлейных P2P-сетей

Компания Huawei передала дистрибутив openEuler некоммерческой организации Open Atom

Компания Huawei перевела разработку Linux-дистрибутива openEuler в некоммерческую организацию Open Atom Open Source Foundation, сходную с международными организациями Linux Foundation и Apache Software Foundation, но учитывающую специфику Китая и сосредоточенную на организацию совместной работы над китайскими открытыми проектами. Open Atom выступит нейтральной площадкой для дальнейшей разработки openEuler, не привязанной к определённой коммерческой копании, а также будет управлять связанной с проектом интеллектуальной собственностью. Компания China Telecom, входящая в число крупнейших китайских операторов связи, объявила об использовании OpenEuler в своей инфраструктуре и представила собственную редакцию данного дистрибутива, выпущенную под именем CTyunOS. Дистрибутив openEuler базируется на наработках коммерческого продукта EulerOS, создан как ответвление … Читать далее Компания Huawei передала дистрибутив openEuler некоммерческой организации Open Atom

Web-фреймворк Pusa, переносящий логику JavaScript-фронтэнда на сторону сервера

Опубликован web-фреймворк Pusa с реализацией концепции, переносящей логику фронтэнда, выполняемую в браузере при помощи JavaScript, на сторону бэкенда — управление браузером и DOM элементами, а также бизнеслогика выполняются на бэкенде. Выполняемый на стороне браузера JavaScript код заменяется на универсальную прослойку, вызывающую обработчики, находящиеся на стороне бэкенда. Необходимость разработки с использованием JavaScript для фронтэнда отсутствует. Эталонная реализация Pusa написана на языке PHP и распространяется под лицензией GPLv3. Кроме PHP технология может быть реализована на любому другом языке, включая JavaScript/Node.js, Java, Python, Go и Ruby. Pusа определяет протокол обмена на базе минималистичного набора команд. При загрузке страницы браузер загружает базовое содержимое DOM … Читать далее Web-фреймворк Pusa, переносящий логику JavaScript-фронтэнда на сторону сервера

Релиз дистрибутива Red Hat Enterprise Linux 8.5

Компания Red Hat опубликовала дистрибутив Red Hat Enterprise Linux 8.5. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Ветка 8.x, которая будет поддерживаться как минимум до 2029 года, развивается в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. Ключевые изменения: В Image Builder добавлена поддержка настройки конфигурации файловой системы формируемого дискового образа, переопределения штатных репозиториев, создания образов для выбранных промежуточных выпусков RHEL и генерации загрузочных образов … Читать далее Релиз дистрибутива Red Hat Enterprise Linux 8.5

Google снял ограничения по участию в программе Summer of Code только студентов

Компания Google объявила о проведении ежегодного мероприятия «Google Summer of Code 2022» (GSoC), направленного на стимулирования работы новичков над открытыми проектами. Мероприятие проводится в семнадцатый раз, но отличается от прошлых программ снятием ограничений по участию только студентов и аспирантов. Отныне участником GSoC может стать любой взрослый человек, которому исполнилось 18 лет, но с условием, что ранее он не вносил существенный вклад в разработку проектов вне мероприятия GSoC и не участвовал в GSoC более двух раз. Подразумевается, что мероприятие теперь сможет помочь новичкам, желающим сменить область деятельности или занимающихся самообразованием. Изменился также график проведения мероприятия — вместо фиксированного 12-недельного цикла на … Читать далее Google снял ограничения по участию в программе Summer of Code только студентов

Проект CentOS переходит на разработку с использованием GitLab

Проект CentOS объявил о запуске сервиса для совместной разработки, основанного на платформе GitLab. Решение об использовании GitLab в качестве первичной платформы для хостинга проектов CentOS и Fedora было принято в прошлом году. Примечательно, что инфраструктура поднята не на своих серверах, а на базе сервиса gitlab.com, в котором для связанных с CentOS проектов предоставлен раздел gitlab.com/CentOS. В настоящий момент ведётся работа по интеграции раздела с пользовательской базой проекта CentOS, что даст возможность разработчикам подключаться к сервису Gitlab с использованием существующих учётных записей. Отдельно отмечается, что git.centos.org на базе платформы Pagure продолжит рассматриваться как место для размещения исходных текстов пакетов, перенесённых из … Читать далее Проект CentOS переходит на разработку с использованием GitLab

Релиз альтернативной сборки KchmViewer, программы для просмотра файлов chm и epub

Доступен альтернативный выпуск KchmViewer 8.1, программы для просмотра файлов в форматах chm и epub. Альтернативное ответвление отличается включением некоторых улучшений, которые не попали и скорее всего не попадут в upstream. Программа KchmViewer написана на языке С++ с использованием библиотеки Qt и распространяется под лицензией GPLv3. Выпуск сосредоточен на улучшении перевода пользовательского интерфейса (изначально перевод работал только в приложениях, собранных с поддержкой KDE): Добавлена независимая от KDE поддержка перевода пользовательского интерфейса с помощью GNU Gettext. Диалоги и сообщения Qt и KDE также переводятся при наличии соответствующих файлов. Обновлён перевод на русский язык. Исправлена ошибка с отображением страниц некоторых файлов EPUB. Файлы … Читать далее Релиз альтернативной сборки KchmViewer, программы для просмотра файлов chm и epub

Открыт код MuditaOS, мобильной платформы с поддержкой экранов на базе электронной бумаги

Компания Mudita опубликовала исходные тексты мобильной платформы MuditaOS, основанной на работающей в режиме реального времени операционной системе FreeRTOS и оптимизированной для устройств с экранами, построенными с использованием технологии электронной бумаги (e-ink). Код MuditaOS написан на языках C/C++ и опубликован под лицензией GPLv3. Платформа изначально разработана для использования на минималистичных телефонах с экранами из электронной бумаги, способных длительное время обходиться без подзарядки аккумулятора. В качестве основы использовано ядро операционной системы реального времени FreeRTOS, для работы которого достаточно микроконтроллера с 64KB ОЗУ. Для хранения данных задействована отказоустойчивая файловая система littlefs, разработанная компанией ARM для операционной системы Mbed OS. В системе поддерживается HAL … Читать далее Открыт код MuditaOS, мобильной платформы с поддержкой экранов на базе электронной бумаги