Сообщество разработчиков Glibc объявило о принятии кодекса поведения (Code of Conduct), определяющего правила общения участников в списках рассылки, bugzilla, wiki, IRC и других ресурсах проекта. Кодекс рассматривается как инструмент для воздействия в случае выхода обсуждений за рамки приличия, а также как способ уведомления руководства об оскорбительном поведении участников. Кодекс также поможет новичкам сориентироваться, как нужно себя вести и какое отношение к себе следует ожидать. Одновременно сообщается о поиске добровольцев, готовых принять участие в работе комитета, отвечающего за разбор жалоб и разрешение конфликтных ситуаций. Принятый кодекс приветствует дружелюбие и терпимость, доброжелательность, внимательность, уважительное отношение, аккуратность в высказываниях, и желание вникнуть в … Читать далее В сообществе разработчиков Glibc внедрён кодекс поведения

9 декабря в Китае был запущен спутник Tianyi-33, разработанный в рамках проекта Tiansuan и оснащённый бортовым компьютером, на котором задействовано модифицированное ядро Linux с компонентами для обеспечения работы в режиме реального времени, написанными на языке Rust с использованием абстракций и прослоек, предоставляемых подсистемой Rust for Linux. Операционная система оснащена двойным ядром RROS, сочетающим обычное ядро Linux, применяемое для решения задач общего назначения, с RTOS-ядром на языке Rust, предназначенным для выполнения задач в режиме жёсткого реального времени. Код ядра RROS открыт под лицензией GPLv2. Ядро RROS совместимо с большинством обычных Linux программ, но при этом предоставляет возможности по работе в режиме … Читать далее В Китае запущен спутник с real-time подсистемой ядра Linux, написанной на Rust

Компания Mozilla опубликовала экспериментальное дополнение MemoryCache с реализацией диалоговой системы машинного обучения, учитывающей контент, к которому пользователь обращается в браузере. В отличие от других AI-чатов MemoryCache позволяет персонализировать общение с пользователем и использовать важные для конкретного пользователя данные при формировании ответов на вопросы. Код проекта распространяется под лицензией MPL. Установка в Firefox пока поддерживается только вручную в режиме «about:debugging» и требуется применения патча. Все компоненты MemoryCache выполняются на системе пользователя и не обращаются к внешним ресурсам. В качестве базы знаний в MemoryCache задействована модель GPT4All-J, обученная на коллекциях англоязычного контента Pile (825 ГБ данных), ShareGPT (13 МБ) и Dolly (660 … Читать далее Mozilla представила встраиваемый в браузер AI-бот MemoryCache

Компания Canonical опубликовала новую версию системы управления контейнерами LXD 5.20, которая примечательна изменением лицензии на проект и введением необходимости подписания CLA-соглашения о передаче имущественных прав на код при приёме изменений в LXD. Лицензия на код, добавленный в LXD сотрудниками Canonical, изменена с Apache 2.0 на AGPLv3, а код сторонних участников, на который у Canonical нет имущественных прав, остаётся под Apache 2.0. Так как Canonical не имеет возможность изменить лицензию на весь код LXD, проект теперь будет поставляться под смешанными условиями — часть кода под AGPLv3, а часть под Apache 2.0. Переход на новую лицензию объясняется желанием унифицировать лицензию с другими … Читать далее Компания Canonical перевела проект LXD на лицензию AGPLv3

Опубликованы корректирующие выпуски X.Org Server 21.1.10 и DDX-компонента (Device-Dependent X) xwayland 23.2.3, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены две уязвимости. Первая уязвимость может быть эксплуатирована для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. Выявленные проблемы: CVE-2023-6377 — переполнение буфера в обработчике кнопок XKB, возникающее при переключении логического устройства ввода (например, при переключении с тачпада на мышь) из-за некорректного расчёта информации об устройстве. X-сервер выделял память, достаточную … Читать далее Обновление X.Org Server 21.1.10 с устранением уязвимостей. Удаление поддержки UMS из ядра Linux

Опубликован выпуск проекта FreeRDP 3.0.0, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft. Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0. В новой версии: Добавлена поддержка аутентификации при помощи смарткарт и реализована полная эмуляция смарткарт. Предложена новая эталонная реализация клиента, использующая библиотеку SDL2. Добавлена поддержка методов аутентификации AAD (Azure AD) и AVD (Azure Virtual Desktop). Реализована возможность использования транспорта на базе Websocket. Переписан прокси и предложен новый API модулей. … Читать далее Релиз FreeRDP 3.0, свободной реализации протокола RDP

Организация Linux Foundation представила первый выпуск открытой платформы для программно управляемых Flash-накопителей SEF (Software Enabled Flash), построенной на основе кода, переданного компанией KIOXIA (до переименования Toshiba Memory Corporation), в которой в 1980 году была изобретена Flash-память. Исходные тексты инструментария написаны на языке Си и распространяются под лицензией BSD. Инструментарий включает в себя набор патчей для ядра Linux, блочный драйвер для устройств SEF (Software Enabled Flash), утилиты для управления из командной строки, паравиртуализированные SEF-драйверы для QEMU, библиотека с API для разработки приложений, патчи для nvme-cli и FIO, добавляющие поддержку SEF. SDK также включает эталонную реализацию программного уровня FTL (Flash Translation Layer), … Читать далее Опубликована платформа SEF для программно управляемых Flash-накопителей

Опубликован выпуск высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера Angie 1.4.0, ответвлённого от Nginx группой бывших разработчиков проекта, уволившихся из компании F5 Network. Исходные тексты Angie доступны под лицензией BSD. Проект получил сертификаты совместимости с российскими операционными системами Ред ОС, Astra Linux Special Edition, Роса Хром 12 Сервер, Альт и ФСТЭК-версии Альт. Сопровождением разработки занимается компания «Веб-сервер«, образованная прошлой осенью и получившая инвестиции в размере 1 млн долларов. Среди совладельцев компании Веб-сервер: Валентин Бартенев (лидер команды, развивавшей продукт Nginx Unit), Иван Полуянов (бывший руководитель фронтэнд-разработчиков Rambler и Mail.Ru), Олег Мамонтов (руководитель команды техподдержки NGINX Inc) и Руслан Ермилов (ru@FreeBSD.org). Изменения в выпуске … Читать далее Выпуск Angie 1.4.0, российского форка Nginx

Раскрыта информация о двух уязвимостях в свободном офисном пакете LibreOffice, которым присвоен высокий уровень опасности (8.3 из 10). Проблемы устранены в недавних обновлениях LibreOffice 7.6.4 и 7.5.9. Первая уязвимость (CVE-2023-6186) позволяет организовать выполнение произвольного скрипта при нажатии пользователем на специально добавленную в документ ссылку, запускающую встроенные макросы или внутренние команды. В определённых ситуациях можно было добиться отключения показа предварительного предупреждения о совершаемой операции при нажатии на подобные ссылки. Вторая уязвимость (CVE-2023-6185) позволяет при открытии документа со специально оформленным встроенным видео добиться на платформе Linux выполнения произвольных плагинов к мультимедийному фреймворку Gstreamer. Проблема вызвана отсутствием должного экранирования спецсимволов в имени файла … Читать далее Уязвимости в LibreOffice, позволяющие выполнить скрипт или плагин Gstreamer

Джеймс Боттомли (James Bottomley) из подразделения IBM Research, сопровождающий подсистемы SCSI и PA-RISC в ядре Linux и ранее возглавлявший технический комитет Linux Foundation, предложил вариант решения проблемы с возможным привлечением к ответственности разработчиков открытого кода за ошибки в коде или ненадлежащее устранение уязвимостей. Идея заключается в том, чтобы переложить юридическую ответственность за ошибки в исходном коде с разработчиков открытых проектов на поставщиков конечных коммерческих продуктов на основе этого кода, т.е. сместить ответственность с того, кто разрабатывает код на того, кто зарабатывает на этом коде. Например, если компания использует сторонний открытый код в своём продукте и ошибка/уязвимость в этом коде привела … Читать далее Предложение по перекладыванию ответственности за ошибки в открытом коде

Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной ветки ядра Linux, опубликовал знаковый выпуск ядра 6.6.6, в котором предложено одно изменение, затрагивающее беспроводной стек cfg80211. Изменение откатывает добавленное в выпуск 6.6.5 исправление ошибки, которое привело к появлению регрессий из-за того, что вместе с исправлением в ядро 6.6.5 из ветки 6.7 не был перенесён ещё один связанный коммит. Аналогичный откат исправления предложен в версии 6.1.67. Источник: http://www.opennet.ru/opennews/art.shtml?num=60271 Читать далее Обновление ядра Linux 6.6.6

В системе сборки Buildroot, нацеленной на формирование загрузочных Linux-окружений для встраиваемых систем, выявлены шесть уязвимостей, позволяющих в ходе перехвата транзитного трафика (MITM) добиться внесения изменений в генерируемые системные образы или организовать выполнение кода на уровне сборочной системы. Уязвимости устранены в выпусках Buildroot 2023.02.8, 2023.08.4 и 2023.11. Первые пять уязвимости (CVE-2023-45841, CVE-2023-45842, CVE-2023-45838, CVE-2023-45839, CVE-2023-45840) затрагивают код проверки целостности пакетов по хэшам. Проблемы сводятся к возможности использования HTTP для загрузки файлов и отсутствию проверочных hash-файлов для некоторых пакетов, что позволяет подменить содержимое данных пакетов, имея возможность вклиниться в трафик сборочного сервера (например, при подключении пользователя через беспроводную сеть, контролируемую атакующим). В … Читать далее Уязвимости в Buildroot, позволяющие через MITM-атаку выполнить код на сборочном сервере

Под покровительством организации Linux Foundation основан проект OpenBao, который продолжит развитие кодовой базы хранилища Hashicorp Vault под свободной лицензией MPLv2 (Mozilla Public Licence). Форк создан в ответ на перевод компанией HashiCorp своих продуктов на проприетарную лицензию BSL 1.1, ограничивающую использование кода в облачных системах, конкурирующих с продуктами и сервисами HashiCorp. Создатели проекта OpenBao намерены продолжить разработку форка Hashicorp Vault на нейтральной площадке Linux Foundation при участии сообщества, сформированного из заинтересованных в проекте компаний и энтузиастов, и используя открытую модель управления. Фокр будет ответвлён от ветки Hashicorp Vault 1.14.x и будет включать все изменения, опубликованные под лицензией MPL 2.0. Инициатором форка … Читать далее Проект OpenBao начал развитие форка Hashicorp Vault

Опубликован релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.28, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Код CMake написан на языке C++ и распространяется под лицензией BSD. Основные улучшения: В генераторы сборочных сценариев для Visual Studio и Ninja добавлена поддержка модулей, определённых … Читать далее Релиз системы сборки CMake 3.28

Состоялся выпуск набора интернет-приложений SeaMonkey 2.53.18, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60.8 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox). В новой версии проведена дополнительная чистка упоминаний элементов бренда Mozilla, осуществлён переход на BugSplat для отправки отчётов об ошибках, унифицированы ярлыки для уведомлений и запросов полномочий, библиотеки … Читать далее Новые версии браузеров SeaMonkey 2.53.18, Qutebrowser 3.1.0 и Tor Browser 13.0.6

Сформировано корректирующее обновление дистрибутива Debian 12.4, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 94 обновления с устранением проблем со стабильностью и 65 обновлений с устранением уязвимостей. Выпуск Debian 12.3 решено пропустить из-за выявления на финальной стадии его подготовки ошибки в пакете с ядром kernel-image-6.1.0-14, которая может привести к повреждению данных в ФС Ext4. В Debian 12.4 поставляется пакет с ядром kernel-image-6.1.0-15, основанный на версии ядра 6.1.66 и включающей исправление проблемы. Из изменений в Debian 12.4 также можно отметить обновление до свежих стабильных версий пакетов gnome-shell, mutter, nvidia-graphics-drivers, postgresql-15, qemu, systemd, xen, tbsync, gosa, lastpass-cli. … Читать далее Обновление Debian 12.4

Разработчики проекта Lubuntu опубликовали план перевода дистрибутива на Qt 6 и Wayland. Поддержка опционального сеанса на базе Wayland появится в выпуске Lubuntu 24.02, а в версии Lubuntu 24.10 данный сеанс будет задействован по умолчанию. Параллельно продолжается работа по интеграции поддержки Wayland и Qt 6 в пользовательское окружение LXQt, поставляемое в Lubuntu (актуальный выпуск LXQt 1.4 продолжает основываться на ветке Qt 5.15, но следующий выпуск LXQt обещают перевести на Qt 6). Решение по переходу Lubuntu на Wayland принято на фоне общей тенденции ухода от X11 в дистрибутивах, например, в Ubuntu Desktop сеанс на базе Wayland по умолчанию предоставляется начиная с выпуска … Читать далее Дистрибутив Lubuntu перейдёт на использование Qt 6 и Wayland

Разработчики проекта Debian объявили о приостановке публикации установочных образов с обновлением Debian 12.3 из-за выявления в ядре Linux ошибки, приводящей к повреждению данных в файловой системе Ext4. Пользователям уже установленных систем рекомендовано воздержаться от установки обновлений пакетов с ядром из репозитория до публикации исправления. Проблема проявляется в стабильной ветке ядра Linux 6.1, в которую было перенесено исправление, изначально добавленное в ветку 6.5 и устраняющее аварийное завершение из-за ошибки в коде обновления размера файла, сократившегося после операции прямого ввода/вывода с флагом O_SYNC. Повреждение отмечено как не критическое (что именно подразумевается под этим не поясняется, вероятно потеря данных происходит при очень редком … Читать далее Выпуск Debian 12.3 отложен из-за проблемы, приводящей к повреждению ФС Ext4

Марк Ньюлин (Marc Newlin), семь лет назад выявивший уязвимость MouseJack, раскрыл сведения о похожей уязвимости (CVE-2023-45866), затрагивающей Bluetooth-стеки Android, Linux, macOS и iOS, и позволяющей осуществить подстановку нажатий клавиш через симуляцию активности устройства ввода, подключённого через Bluetooth. Имея доступ к клавиатурному вводу атакующий может выполнить такие действия, как запуск команд в системе, установка приложений и перенаправление сообщений. Уязвимость вызвана тем, что хостовые HID (Human Interface Device) драйверы для Bluetooth-устройств имеют режим, позволяющий удалённому периферийному устройству создавать и устанавливать шифрованные соединения без аутентификации. Среди прочего, подключившиеся таким образом устройства могут передавать клавиатурные сообщения и HID-стек их обработает, что позволяет организовать атаку … Читать далее Уязвимость в Bluetooth-стеках Linux, macOS, Android и iOS, допускающая подстановку нажатий клавиш

Высший земельный суд Дрездена удовлетворил апелляцию компании Quad9 в деле, в ходе которого по требованию компании Sony Music было вынесено судебное предписание о блокировке пиратских сайтов на уровне публичных DNS-резолверов Quad9. В случае невыполнения требования о блокировке организации Quad9 грозил штраф в размере 250 тысяч евро. Решение суда в Дрездене помечено окончательным и не подлежащим пересмотру. Решение суда высшей инстанции подвело черту под продолжающимися более двух лет попытками Quad9 обжаловать изначальное решение и недопустить образования судебного прецедента. Прошлая апелляция в окружном суде Гамбурга была отклонена, но компания Quad9 не остановилась и подала апелляцию в Высший земельный суд Дрездена. Суд высшей … Читать далее Quad9 выиграл апелляцию в разбирательстве с Sony о принуждении к блокировке через DNS

Началось тестирование первого кандидата в релизы Wine 9.0, открытой реализации WinAPI. Кодовая база переведена на стадию заморозки перед релизом, который ожидается во второй половине января. По сравнению с выпуском Wine 8.21 закрыто 52 отчёта об ошибках и внесено 391 изменение. Наиболее важные изменения: Встроенный пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.10. Продолжено развитие функциональности, нацеленной на реализацию возможности использования Wine в окружениях на базе протокола Wayland без применения XWayland и компонентов X11. В драйвере winewayland.drv добавлена поддержка раскладок клавиатуры. Расширена поддержка графического API Vulkan и добавлены функции vkQueuePresentKHR, vkGetDeviceGroupSurfacePresentModesKHR, … Читать далее Кандидат в релизы Wine 9.0 и релиз vkd3d 1.10