Доступен релиз операционной системы Chrome OS 120, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 120. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 120 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex. Основные изменения в Chrome OS 120: Добавлена функция «Nearby Share Self Share», позволяющая обмениваться файлами между несколькими устройствами одного пользователя. Приём … Читать далее Выпуск Chrome OS 120

Опубликован релиз Linux-дистрибутива Solus 4.5, не основанного на пакетах других дистрибутивов и развивающего собственный установщик, пакетный менеджер и конфигуратор. Ранее в составе дистрибутива развивался рабочий стол Budgie, но теперь он выделен в независимый проект. Следующую ветку Solus 5 решено развивать на технологиях дистрибутива SerpentOS. Код наработок проекта распространяется под лицензией GPLv2, для разработки используются языки Си и Vala. Предоставляются сборки с рабочими столами Budgie, GNOME, KDE Plasma и Xfce. Размер iso-образов 2.7 ГБ (x86_64). Для управления пакетами задействован пакетный менеджер eopkg (форк PiSi из Pardus Linux), предоставляющий привычные средства для установки/удаления пакетов, поиска в репозитории и управления репозиториями. Пакеты могут … Читать далее Релиз дистрибутива Solus 4.5

Рафаэль Садовский (Rafael Sadowski) объявил о доступности пользовательского окружения KDE Plasma 5.27 для установки в OpenBSD-current, формировании готовых для установки пакетов kde-plasma и kde-plasma-extra, и намерении обеспечить поддержку KDE Plasma в весеннем выпуске OpenBSD 7.5. После прекращения поддержки KDE4 в OpenBSD так и не была перенесена возможность использования новой ветки рабочего стола KDE Plasma 5. Пакеты с приложениями KDE Gears 5 и библиотеками KDE Frameworks 5 достаточно давно доступны в портах OpenBSD, но сама оболочка до настоящего времени оставалась неработоспособной. Для установки KDE Plasma и KDE Gear теперь достаточно выполнить команды: pkg_add kde pkg_add kde-plasma pkg_add kde-plasma-extra Отмечается, что переход … Читать далее Для OpenBSD реализована возможность использования рабочего стола KDE Plasma

Компания GSC Game World, разработавшая серию игр S.T.A.L.K.E.R., добилась блокировки на GitHub репозитория открытого проекта OpenXRay, воспроизводящего игровой движок для первых частей игры S.T.A.L.K.E.R. Проект основан после утечки исходных кодов оригинального движка S.T.A.L.K.E.R. и ставит перед собой цель исправления всех оригинальных недочётов и введения новых возможностей, таких как поддержка 64-разрядных платформ, Linux и OpenGL. Лицензионная сторона разработки OpenXRay всегда была под вопросом, но к настоящему времени установился своеобразный статус кво, при котором в GSC знали о проекте, но не препятствовали его разработке (для использования OpenXRay требуются игровые ресурсы из S.T.A.L.K.E.R., которые могут быть получены через покупку оригинальной игры). Теперь ситуация … Читать далее GitHub заблокировал игровой движок OpenXRay по требованию GSC

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.7. Среди наиболее заметных изменений: интеграция ФС Bcachefs, прекращение поддержки архитектуры Itanium, возможность работы Nouvea с прошивками GSP-R, поддержка TLS-шифрования в NVMe-TCP, возможность использования исключений в BPF, поддержка futex в io_uring, оптимизация производительности планировщика fq (Fair Queuing), поддержка расширения TCP-AO (TCP Authentication Option) и возможность ограничения сетевых соединений в механизме защиты Landlock, добавлено управление доступом к user namespace и io_uring через AppArmor. В новую версию принято 18405 исправлений от 2066 разработчиков, размер патча — 72 МБ (изменения затронули 13467 файлов, добавлено 906147 строк кода, удалено 341048 строк). В прошлом выпуске … Читать далее Релиз ядра Linux 6.7

Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.1, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно … Читать далее Выпуск межсетевого экрана firewalld 2.1

Компрометация учётной записи администратора привела к почти четырёхчасовому сбою в работе второго по величине испанского оператора связи Orange Espagne, обслуживающего 11 млн абонентов. Для доступа к интерфейсу регистратора RIPE NCC в Orange Espagne применялся предсказуемый пароль «ripeadmin» и не была включена двухфакторная аутентификация. Пароль к RIPE был перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО и с сентября находился в продаваемых на чёрном рынке базах скомпрометированных паролей. Примечательно, что кроме учётной записи Orange Espagne в указанных базах присутствуют и тысячи других аккаунтов для подключения к access.ripe.net, которые потенциально можно использовать для совершения подобных атак. Инцидент оставался незамеченным до … Читать далее Компрометация учётной записи привела к сбою BGP-маршрутизации Orange Espagne

В Perl-модуле Spreadsheet::ParseExcel, предоставляющем функции для разбора файлов в формате Excel, выявлена критическая уязвимость (CVE-2023-7101), позволяющая выполнить произвольный код при обработке файлов XLS или XLSX, включающих специально оформленные правила форматирования чисел. Уязвимость вызвана использованием при построении вызова «eval» данных, полученных из обрабатываемого файла. Проблема устранена в обновлении Spreadsheet::ParseExcel 0.66. Имеется прототип эксплоита. Уязвимый код: if ( $format_str =~ /^[([‹›=][^]]+)](.*)$/ ) { $conditional = $1; $format_str = $2; } … $section = eval «$number $conditional» ? 0 : 1; Пример эксплоита для выполнения команды whoami: ‹numFmts count=»1″› ‹numFmt numFmtId=»123″ formatCode=»[›123;system(‘whoami › /tmp/inject.txt’)]123″/› ‹/numFmts› Уязвимость была выявлена компанией Barracuda Networks в ходе … Читать далее Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG

В библиотеке Qt выявлена уязвимость (CVE-2023-51714) в реализации протокола HTTP/2, позволяющая добиться записи своих данных за пределы выделенного буфера. Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2. Источник: http://www.opennet.ru/opennews/art.shtml?num=60395 Читать далее Уязвимость в предлагаемой в Qt реализации протокола HTTP/2

Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, выступил с критикой использования AI-инструментов при создании отчётов об уязвимостях. Подобные отчёты включают детальные сведения, написаны нормальным языком и выглядят качественными, но без вдумчивого анализа на деле могут лишь вводить в заблуждение, подменяя реальные проблемы качественно выглядящим мусорным содержимым. Проект Curl выплачивает вознаграждения за выявление новых уязвимостей и уже получил 415 отчётов о потенциальных проблемах, из которых лишь 64 были подтверждены как уязвимости, а 77 как не связанные с безопасностью ошибки. Таким образом 66% всех отчётов не содержали каких-либо полезных сведений и только отняли у разработчиков … Читать далее Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях

Один из разработчиков JavaScript-пакетов провёл эксперимент с созданием и размещением в репозитории NPM пакета «everything«, который охватывает зависимостями все существующие пакеты в репозитории. Для реализации подобной возможности пакет «everything» связан прямыми зависимостями с пятью пакетами «@everything-registry/chunk-N», которые в свою очередь привязываются зависимостями к более 3000 пакетов «sub-chunk-N», в каждом из которых осуществляется привязка к 800 существующих пакетов в репозитории. Размещение «everything» в NPM привело к двум интересным эффектам. Во-первых пакет «everything» стал своеобразным инструментом для совершения DoS-атак, так как попытка его установки приводит к загрузке миллионов размещённых в NPM пакетов и исчерпанию имеющегося дискового пространства или остановке выполнения сборочных процессов. … Читать далее Эксперимент с созданием NPM-пакета, зависимого от всех пакетов в репозитории

Представлен проект по разработке на языке Rust легковесного Unix-подобного ядра, реализующего подмножество системных вызовов ядра Linux, достаточное для создания типовых рабочих окружений. Проект был создан в 2018 году и вначале использовал язык Си, но в 2020 году был полностью перезапущен с нуля с учётом накопленного опыта и перешёл на Rust для снижения вероятности совершения ошибок, возникающих при работе с памятью. Код ядра распространяется под лицензией MIT. Помимо ядра проектом на языке Rust также развиваются X11-сервер, пакетный менеджер, загрузчик, инсталлятор, наборы утилит и другие компоненты, необходимые для построения операционной системы. Ядро имеет монолитную архитектуру и пока поддерживает только системы x86 в … Читать далее Ядро Maestro, написанное на Rust и частично совместимое с Linux

Издание DB-Engines обновило свой рейтинг популярности СУБД и присудило звание СУБД 2023 года проекту PostgreSQL, который за год продемонстрировал наибольших рост популярности из 417 отслеживаемых систем. Второе место присуждено облачной платформе Databricks, которая за год поднялась с 19 на 17 место в рейтиге, а третье место занял движок Google BigQuery, который поднялся с 21 на 19 место в рейтинге. Ранее PostgreSQL уже признавался СУБД года в 2020, 2018 и 2017 годах. В 2022 и 2021 годах это звание было закреплено за СУБД Snowflake, в 2018 — MySQL, в 2016 — Microsoft SQL Server, 2015 — Oracle, 2013 и 2014 — … Читать далее Рейтинг популярности СУБД. PostgreSQL назван СУБД 2023 года

Опубликован выпуск SBCL 2.4.0 (Steel Bank Common Lisp), свободной реализации языка программирования Common Lisp. Код проекта написан на языках Common Lisp и Си, и распространяется под лицензией BSD. В новом выпуске: Изменения, нарушающие совместимость: *COMPILE-VERBOSE* и *LOAD-VERBOSE* привязаны к NIL при запуске системы с аргументом командной строки «—script». при поиске core-файла, система проверяет корректность того, что указано в /proc/self/exe, и, если /proc/self/exe окажется некорректным, то проверяет argv[0]. система больше не предоставляет имена типов для стандартных (CL) символов ARRAY-RANK, ARRAY-TOTAL-SIZE, PATHNAME-HOST, PATHNAME-TYPE, PATHNAME-DIRECTORY, FLOAT-RADIX или FLOAT-DIGITS. Поддержка платформ: На системах arm64 предоставлена возможность включения параллельного сборщика мусора, использующего алгоритм mark-region. Решены … Читать далее Выпуск SBCL 2.4.0, реализации языка Common Lisp

1 января не стало Никлауса Вирта, одного из ведущих теоретиков программирования, который не дожил всего месяц до своего 90-летия. Вирт является автором 10 языков программирования, из которых наиболее известны Pascal, Modula-2 и Oberon, а также одним из создателем парадигмы структурного программирования, идеи выполнения промежуточного байткода и сборки мусора в интерпретаторах. За свой вклад в развитие компьютерных наук Вирт удостоен премии Тьюринга и медали «Пионер компьютерной техники«. Источник: http://www.opennet.ru/opennews/art.shtml?num=60387 Читать далее Умер Никлаус Вирт, создатель языка Pascal

Итоговая подборка наиболее важных и заметных событий 2023 года, связанных с открытыми проектами и информационной безопасностью: Прекращение публикации исходных текстов пакетов дистрибутива Red Hat Enterprise Linux и оставление CentOS Stream в качестве единственного публичного источника кода пакетов RHEL. Недовольство Red Hat продуктами, создаваемыми путём простой пересборки без своих изменений. Перестроение дистрибутивов (Alma Linux, Rocky Linux, Oracle Linux), использующих пакеты RHEL. Образование ассоциации OpenELA, в которой Rocky Linux, Oracle и SUSE объединили усилия в поддержании пакетной базы, совместимой с RHEL. Конфликты: Критика бизнес-модели Red Hat. Попытка продвижения API Web Integrity и удаление из Chromium в ответ на опасения зарождения подобия DRM … Читать далее Наиболее важные события 2023 года, связанные с открытыми проектами

После полутора лет разработки состоялся релиз текстового редактора Vim 9.1. Код Vim распространяется под собственной копилефт лицензией, совместимой с GPL и позволяющей без ограничений использовать, распространять и перерабатывать код. Основная особенность лицензии Vim связана с возвратом изменений — реализованные в сторонних продуктах улучшения должны быть переданы в исходный проект, если мэйнтейнер Vim посчитает эти улучшения заслуживающими внимания и отправит соответствующий запрос. По типу распространения Vim относится к Сharityware, т.е. вместо продажи программы или сбора пожертвований на нужды проекта авторы Vim просят перечислить любую сумму на благотворительность, если программа понравится пользователю. Vim 9.1 стал первым выпуском, подготовленным под управлением коллективного совета, … Читать далее Релиз текстового редактора Vim 9.1

Опубликована вторая редакция проекта PLB (Programming Language Benchmark), нацеленного на тестирование производительности реализаций типовых приложений на различных языках программирования. В отличие от первой редакции, опубликованной в 2011 году, новый вариант оценивает производительность кода для умножения матриц, решения задачи расстановки 15-ферзей, поиск решений в игре Судоку и определение пересечений двух массивов. Код для тестирования был написан на 20 языках программирования. Наиболее высокую производительность показала реализация тестовых приложений на языке Zig. На втором месте оказался язык Mojo, а на третьем — Nim. Четвёртное место разделили языки Си (при компиляции в clang) и V. На пятом месте оказался язык Crystal, на шестом — … Читать далее Сравнение эффективности 20 языков программирования

Опубликован выпуск проекта Snoop 1.4.0, развивающего криминалистический OSINT-инструмент, который разыскивает учётные записи пользователей в публичных данных (разведка на основе открытых источников). Программа анализирует различные сайты, форумы и социальные сети на предмет наличия искомого имени пользователя, т.е. позволяет определить на каких сайтах имеется пользователь с указанным ником. Проект разработан на материалах исследовательской работы в области скрапинга публичных данных. Сборки подготовлены для Linux и Windows. Код написан на языке Python и распространяется под лицензией, ограничивающей применение только для личного пользования. При этом проект является ответвлением от кодовой базы проекта Sherlock, поставляемой под лицензией MIT (форк был создан из-за невозможности расширить базу сайтов). … Читать далее Выпуск Snoop 1.4.0, OSINT-инструмента для сбора информации о пользователях из открытых источников

Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о внедрении обязательной двухфакторной аутентификации для всех пользователей. Без включения двухфакторной аутентификации пользователь теперь не сможет загружать файлы и выполнять действия, связанные с управлением своим проектом. Ранее двухфакторная аутентификация была принудительно включена для учётных записей пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации. Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. Получение злоумышленниками доступа в результате захвата учётных записей является … Читать далее Каталог PyPI перешёл на обязательную двухфакторную аутентификацию

После года разработки опубликован выпуск системы синхронизации точного времени NTPsec 1.2.3, являющейся форком эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированным на переработке кодовой базы с целью повышения безопасности (выполнена чистка устаревшего кода, задействованы методы предотвращения атак, защищённые функции для работы с памятью и строками). Проект развивается под руководством Эрика Реймонда (Eric S. Raymond) при участии некоторых разработчиков оригинального NTP Classic, инженеров из компаний Hewlett Packard и Akamai Technologies, а также проектов GPSD и RTEMS. Исходные тексты NTPsec распространяются под лицензиями BSD, MIT и NTP. Среди изменений в новой версии: Изменено выравнивание пакетов управляющего протокола Mode 6, что может привести … Читать далее Доступен NTP-сервер NTPsec 1.2.3