The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·05.07.2022 Проект KDE представил четвёртое поколение ноутбуков KDE Slimbook (40 +1)
  Проект KDE представил четвёртое поколение ультрабуков, поставляемых под брендом KDE Slimbook. Продукт разработан при участии сообщества KDE совместно с испанским поставщиком оборудования Slimbook. Программная начинка основана на рабочем столе KDE Plasma, системном окружении KDE Neon на базе Ubuntu и подборкой свободных приложений, таких как графический редактор Krita, система 3D-проектирования Blender, САПР FreeCAD и редактор видео Kdenlive. Графическое окружение по умолчанию использует протокол Wayland. Все поставляемые в KDE Slimbook приложения и обновления досконально тестируются разработчиками KDE для обеспечения высокого уровня стабильности окружения и совместимости с оборудованием.

Новая серия поставляется с процессорами AMD Ryzen 5700U 4.3 GHz с 8 ядрами CPU (16 потоками) и 8 ядрами GPU (в прошлой серии применялся Ryzen 7 4800H). Ноутбук предложен в вариантах с экранами 14 и 15.6 дюймов (1920x1080, IPS, 16:9, sRGB 100%). Вес устройств соответственно составляет 1.05 и 1.55 кг, а цена - 1049€ и 999€. Ноутбуки укомплектованы 250 ГБ M.2 SSD NVME (до 2 ТБ), 8 ГБ ОЗУ (до 64 ГБ), 2 портами USB 3.1, одним портом USB 2.0 и одним USB-C 3.1, HDMI 2.0, Ethernet (RJ45), Micro SD и Wifi (Intel AX200).

  1. OpenNews: Проект KDE представил третье поколение ноутбуков KDE Slimbook
  2. OpenNews: Проект KDE представил вторую модель ультрабука KDE Slimbook
  3. OpenNews: Проект KDE представил ультрабук KDE Slimbook
Обсуждение (40 +1) | Тип: К сведению |
·04.07.2022 Релиз дистрибутива Porteus 5.0 (93 +8)
  Опубликован релиз Live-дистрибутива Porteus 5.0, построенного на пакетной базе Slackware Linux 15 и предлагающего сборки с пользовательскими окружениями Xfce, Cinnamon, GNOME, KDE, LXDE, LXQt, MATE и OpenBox. Состав дистрибутива подобран для минимального потребления ресурсов, что позволяет использовать Porteus на устаревшем оборудовании. Из особенностей также отмечается высокая скорость загрузки. Для загрузки предлагаются компактные Live-образы, размером около 350 МБ, собранные для архитектур i586 и x86_64.

Дополнительные приложения распространяются в форме модулей. Для управления пакетами используется свой пакетный менеджер PPM (Porteus Package Manager), учитывающий зависимости и позволяющий устанавливать программы из репозиториев Porteus, Slackware, и Slackbuilds.org. Интерфейс построен с оглядкой на возможность использования на устройствах, имеющих небольшое экранное разрешение. Для настройки используется собственный конфигуратор Porteus Settings Centre. Дистрибутив загружается из сжатого образа ФС, но все внесённые в процессе работы изменения (история браузера, закладки, загруженные файлы и т.п.) могут быть отдельно сохранены на USB-накопителе или на жестком диске. При загрузке в режиме 'Always Fresh' изменения не сохраняются.

В новой версии осуществлена синхронизация со Slackware 15.0, ядро Linux обновлено до версии 5.18, а набор утилит BusyBox в initrd до версии 1.35. Число формируемых сборок увеличено до 8. Для снижения размера образа компоненты для поддержки языка Perl вынесены во внешний модуль 05-devel. Добавлена поддержка пакетных менеджеров slackpkg и slpkg. В инструментарий для создания загрузчиков добавлена поддержка установки на накопители NMVe.

  1. OpenNews: Выпуск Porteus Kiosk 5.4.0, дистрибутива для оснащения интернет-киосков
  2. OpenNews: Релиз дистрибутива Slackware 15.0
  3. OpenNews: Релиз Linux-дистрибутива Zenwalk 15
  4. OpenNews: Выпуск дистрибутива Absolute Linux 15.0
  5. OpenNews: Релиз дистрибутива Slax 11.2 на базе Debian 11
Обсуждение (93 +8) | Тип: Программы |
·04.07.2022 Уязвимость в web-фреймворке Django, которая может привести к подстановке SQL-кода (54 +6)
  Опубликованы корректирующие выпуски web-фреймворка Django 4.0.6 и 3.2.14, в которых устранена уязвимость (CVE-2022-34265), потенциально позволяющая выполнить подстановку своего SQL-кода. Проблема затрагивает приложения, использующие непроверенные внешние данные в параметрах kind и lookup_name, передаваемых в функции Trunc(kind) и Extract(lookup_name). Программы, которые допускают в значениях lookup_name и kind только проверенные данные уязвимость не затрагивает.

Проблема блокирована через запрет использования в аргументах функций Extract и Trunc символов отличных от букв, цифр, "-", "_", "(" и ")". Ранее в передаваемых значениях не вырезалась одинарная кавычка, что позволяло выполнить свои SQL-конструкции через передачу значений вида "day' FROM start_datetime)) OR 1=1;--" и "year', start_datetime)) OR 1=1;--". В следующем выпуске 4.1 планируется дополнительно усилить защиту методов извлечения и усечения дат, но внесённые в API изменения приведут к нарушению совместимости со сторонними бэкендами для работы с БД.

  1. OpenNews: Выпуск web-фреймворка Django 3.0
  2. OpenNews: WordPress и Apache Struts среди web-платформ лидируют по числу уязвимостей с эксплоитами
  3. OpenNews: Удалённо эксплуатируемая уязвимость в форумном движке MyBB
  4. OpenNews: Отчёт о компрометации git-репозитория и базы пользователей проекта PHP
  5. OpenNews: Новый вариант атаки на Log4j 2, позволяющий обойти добавленную защиту
Обсуждение (54 +6) | Тип: Проблемы безопасности |
·04.07.2022 Конкурс "Код для всех", нацеленный на содействие разработке открытого ПО (83 –12)
  10 июля завершится приём заявок на участие в новой конкурсной программе стажировок для школьников и студентов "Код для всех". Инициаторами конкурса выступили компании Postgres Professional и "Яндекс", к которым позднее присоединились BellSoft и CyberOK. Запуск программы поддержало Кружковое движение Национальной технологической инициативы (НТИ).

Участники «Кода для всех» будут писать код в существующие проекты компаний-организаторов под руководством менторов. Каждый стажер сможет работать дистанционно и будет ежемесячно получать стипендию или итоговое вознаграждение от партнеров программы в размере до 180 тысяч рублей за весь период. Подать заявки можно на несколько направлений – создание патчей для СУБД PostgreSQL (Postgres Professional), решения в сфере кибербезопасности (CyberOK), устранение ошибок и внедрение новых возможностей в Java (BellSoft), а также развитие инструментов и сервисов «Яндекса» (Yandex Database, Yandex CatBoost, технология Hermione и др.).

«Многие сотрудники нашей компании начали работать с открытым кодом ещё будучи студентами, - рассказал заместитель генерального директора Postgres Professional Иван Панченко. - Вовремя сделанный выбор позволяет быстро интегрироваться в сообщество разработчиков и набрать за время учёбы яркий и продуктивный опыт для дальнейшего профессионального развития. Для компаний, занимающихся разработкой свободного ПО, вопрос развития сообщества тоже крайне важен. Поэтому, пообщавшись с коллегами из Яндекса, мы решили организовать программу «Код для всех», направленную на содействие разработке открытого исходного кода».

Подача заявок на участие в программе продлится до 10 июля 2022 года, информацию о прохождении отбора озвучат до конца июля, работа над проектами вместе с менторами будет проходить с июля по сентябрь, подведение итогов намечено на август-сентябрь этого года. Чтобы сделать заявку на стажировку, необходимо выбрать интересующее направление, заполнить анкету, подробно описав свой вклад в opensource-проекты, а также приложить мотивационное эссе. Часть стажировок будут доступны участникам в возрасте от 14 лет, некоторые предназначены для участников старше 18 лет.

  1. OpenNews: Google снял ограничения по участию в программе Summer of Code только студентов
  2. OpenNews: Яндекс открыл код библиотеки машинного обучения CatBoost
  3. OpenNews: Яндекс открыл код распределённой СУБД YDB, поддерживающей SQL
  4. OpenNews: Программа от Google: Summer of Code
Обсуждение (83 –12) | Автор: Postgres Professional | Тип: К сведению |
·02.07.2022 Выпуск межсетевого экрана firewalld 1.2 (86 +5)
  Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Основные изменения:

  • Реализованы сервисы snmptls и snmptls-trap для обработки доступа к протоколу SNMP через защищённый канал связи.
  • Реализован сервис с поддержкой протокола, используемого в децентрализованной файловой системе IPFS.
  • Добавлены сервисы с поддержкой gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly, а также защищённой версии k8s controller-plane.
  • Добавлен параметр "--log-target".
  • Добавлен режим запуска failsafe, позволяющий в случае проблем с заданными правилами, откатиться на конфигурацию по умолчанию, не оставляя хост без защиты.
  • Для bash обеспечена поддержка автодополнения команд для работы с правилами.

  1. OpenNews: Выпуск firewalld 1.0
  2. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  3. OpenNews: Релиз дистрибутива для создания межсетевых экранов IPFire 2.27
  4. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 22.1
  5. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.6.0
Обсуждение (86 +5) | Тип: Программы |
·02.07.2022 Выпуск многопользовательского 3D-шутера Xonotic 0.8.5 (167 +39)
  Спустя пять лет с момента прошлого выпуска состоялся релиз Xonotic 0.8.5, свободного 3D-шутера от первого лица, ориентированного на игру по сети. Проект является форком игры Nexuiz, созданным больше десяти лет назад в результате конфликта ключевых разработчиков проекта и компании IllFonic, после намерения коммерциализировать процесс разработки игры. Из особенностей Xonotic можно отметить хорошие графические возможности, продвинутый 3D-движок, разнообразие карт, обилие режимов игры. Код проекта распространяется под лицензией GPLv3+.

В новом улучшен игровой процесс, обновлены карты и модели игроков, добавлены новые звуковые эффекты, предложены более агрессивные боты, реализована новая всплывающая панель HUD (Heads-Up Display), переработано меню, расширены возможности редактора уровней. В отдельный тип игры выделены дуэли (специфичный вариант deathmatch с двумя игроками). Полностью переписан web-интерфейс для обработки статистики XonStat. Добавлены две новые карты: Bromine и Opium.

Добавлены новые виды монстров: Wyvern, Golem, Mage, Spider.

Добавлены новые модели оружия Crylink и Electro.

  1. OpenNews: Выпуск многопользовательского 3D-шутера Xonotic 0.8.2
  2. OpenNews: Выпуск многопользовательского 3D-шутера Xonotic 0.8
  3. OpenNews: Первый релиз свободной игры Xonotic, продолжающей развитие Nexuiz
  4. OpenNews: Выпуск свободного 3D-шутера Warsow 2.0
  5. OpenNews: Открыты исходные тексты игры Postal
Обсуждение (167 +39) | Тип: Программы |
·02.07.2022 Выпуск Wine 7.12 и Wine staging 7.12 (31 +14)
  Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 7.12. С момента выпуска версии 7.11 было закрыто 13 отчётов об ошибках и внесено 266 изменений.

Наиболее важные изменения:

  • Для приложений, использующих Qt5, добавлена поддержка тем оформления.
  • Пакет vkd3d с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan, обновлён до версии 1.4.
  • В API Direct2D улучшена поддержка эффектов.
  • В утилитах для работы с реестром реализована поддержка значений с типом QWORD (UINT64).
  • Закрыты отчёты об ошибках, связанные с работой игр: Star Citizen, Shogun Total War 2, Argentum 20 RPG.
  • Закрыты отчёты об ошибках, связанные с работой приложений: MetaTrader4, Approach (Smart Suite), Wireshark.

Дополнительно можно упомянуть формирование выпуска проекта Wine Staging 7.12, в рамках которого формируются расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 543 дополнительных патча.

В новом выпуске осуществлена синхронизация с кодовой базой Wine 7.12. Из изменений отмечается только обновление патча "winepulse-PulseAudio_Support", решающего проблемы с выбором звуковых устройств при использовании звукового бэкенда PulseAudio, добавляющего поддержку GetPropValue, реализующего режим эксклюзивного доступа к звуковому устройству и передающего свойство KEY_AudioEndpoint_PhysicalSpeakers в драйвер для PulseAudio.

  1. OpenNews: Проект Wine выпустил Vkd3d 1.4 с реализацией Direct3D 12
  2. OpenNews: Выпуск Wine 7.11 и Wine staging 7.11
  3. OpenNews: Компания Valve выпустила Proton 7.0-3, пакет для запуска Windows-игр в Linux
  4. OpenNews: Разработчики Wine приняли решение о переводе разработки на GitLab
  5. OpenNews: Выпуск Wine-wayland 7.7
Обсуждение (31 +14) | Тип: Программы |
·01.07.2022 Выпуск платформы webOS Open Source Edition 2.17 (14 +5)
  Опубликован выпуск открытой платформы webOS Open Source Edition 2.17, которая может применяться на различных портативных устройствах, платах и автомобильных информационно-развлекательных системах. В качестве эталонной аппаратной платформы рассматриваются платы Raspberry Pi 4. Платформа развивается в публичном репозитории под лицензией Apache 2.0, а разработку курирует сообщество, придерживаясь совместной модели управления разработкой.

Платформа webOS была изначально разработана компанией Palm в 2008 году и использовалась на смартфонах Palm Pre и Pixie. В 2010 году после поглощения компании Palm платформа перешла в руки Hewlett-Packard, после чего HP пыталась использовать данную платформу в своих принтерах, планшетах, ноутбуках и ПК. В 2012 году компания HP анонсировала перевод webOS в независимый открытый проект и в 2013 году начала открытие исходных текстов его компонентов. В 2013 году платформа была выкуплена у Hewlett-Packard компанией LG и теперь применяется на более чем 70 миллионах телевизоров и потребительских устройств LG. В 2018 году был основан проект webOS Open Source Edition, через который компания LG попыталась вернуться к открытой модели разработки, привлечь других участников и расширить спектр поддерживаемых в webOS устройств.

Системное окружение webOS формируется с использованием инструментария и базовых пакетов OpenEmbedded, а также сборочной системы и набора метаданных от проекта Yocto. Ключевыми компонентами webOS являются менеджер системы и приложений (SAM, System and Application Manager), отвечающий за выполнение приложений и сервисов, и Luna Surface Manager (LSM), формирующий интерфейс пользователя. Компоненты написаны с использованием фреймворка Qt и браузерного движка Chromium.

Отрисовка осуществляется через композитный менеджер, применяющий протокол Wayland. Для разработки пользовательских приложений предлагается использовать web-технологии (CSS, HTML5 и JavaScript) и фреймворк Enact, основанный на React, но возможно и создание программ на С и C++ с интерфейсом на базе Qt. Пользовательская оболочка и встроенные графические приложения в основном реализованы как нативные программы, написанные с использованием технологии QML. По умолчанию предлагается оболочка Home Launcher, оптимизированная для управления с сенсорных экранов и предлагающая концепцию сменяющих друг друга карт (вместо окон).

Для хранения данных в структурированном виде с использованием формата JSON применяется хранилище DB8, использующее в качестве бэкенда БД LevelDB. Для инициализации используется bootd на основе systemd. Для обработки мультимедийного контента предлагаются подсистемы uMediaServer и Media Display Controller (MDC), в качестве звукового сервера применяется PulseAudio. Для автоматического обновления прошивки применяется OSTree и атомарная замена разделов (создаются два системных раздела, один из которых является активным, а второй используется для копирования обновления).

Основные изменения в новом выпуске:

  • Улучшена отзывчивость при обработке касаний к сенсорному экрану
  • Звуковой сервер PulseAudio обновлён до версии 15.0 (ранее использовался выпуск 9.0).
  • В состав включён фреймворк webOS Edge AI с библиотеками для машинного обучения TensorflowLite, Arm Compute и Edge AI Vision 1.0 (можно использовать, например, для распознания лиц и объектов).
  • В эмуляторе реализована поддержка VLAN.

  1. OpenNews: Уязвимости в webOS, позволяющие перезаписать файлы на телевизорах LG
  2. OpenNews: Выпуск платформы webOS Open Source Edition 2.15
  3. OpenNews: Компания LG опубликовала операционную систему webOS Open Source Edition
  4. OpenNews: Обновление мобильной платформы LuneOS, продолжившей развитием webOS
  5. OpenNews: Компания LG выкупила мобильную платформу webOS у Hewlett-Packard и намерена использовать её в телевизорах
Обсуждение (14 +5) | Тип: Программы |
·01.07.2022 Выпуск системы управления web-контентом InstantCMS 2.15.2 (19)
  Доступен выпуск системы управления web-контентом InstantCMS 2.15.2, из особенностей которой выделяется проработанная система социального взаимодействия и использование "типов контента", чем то напоминающих Joomla. На основе InstantCMS можно создавать проекты любой сложности, от личного блога и лендинга до корпоративных порталов. Проект использует модель MVC (model, view, controller). Код написан на языке PHP и распространяется под лицензией GPLv2. Для хранения данных применяется СУБД MySQL или MariaDB.

Основные изменения в новой версии:

  • Добавлена опция «Автоматически определять язык по локали браузера»;
  • Проведён рефакторинг кода установщика;
  • Добавлена поддержка пространств имён (namespaces) для автозагрузки классов;
  • Добавлена возможность генерации микроразметки schema.org для виджета «Автор записи»;
  • При компиляции SCSS абстрактный счётчик автоматически увеличивается, если был задан;
  • В списке пользователей в интерфейсе администратора и в профилях обеспечен показ местоположения пользователя, определённого по его IP-адресу;
  • Номера страниц, если включена соответствующая опция, теперь добавляются и в meta description;
  • В разделе «Формы» формы теперь открываются в модальном окне и подгружаются при помощи механизма AJAX;
  • После сохранения блока схемы шаблона страница теперь автоматически прокручивается до изменённого блока и подсвечивает его;
  • Исправлена проблема с языком по умолчанию, если разрешена смена языка;
  • Исправлен вывод ошибки сервера 404, если тег был задан через слэш.

  1. OpenNews: Выпуск системы управления контентом Joomla 4.0
  2. OpenNews: Критическая уязвимость в системе управления контентом Drupal
  3. OpenNews: Релиз системы управления web-контентом WordPress 5.0 с новым web-редактором
  4. OpenNews: 7 уязвимостей в системе управления контентом Plone
  5. OpenNews: Уязвимость, позволяющая выполнить SQL-запрос в системе управления контентом Joomla
Обсуждение (19) | Автор: Panda58dev | Тип: Программы |
·30.06.2022 Packj - инструментарий для выявления вредоносных библиотек на языках Python и JavaScript (28 +3)
  Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты ("supply chain"). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3.

В ходе анализа 330 тысяч пакетов при помощи предложенного инструментария в репозитории PyPi было выявлено 42 вредоносных пакета c бэкдорами и 2.4 тысячи рискованных пакетов. В процессе обследования выполняется статический анализ кода для выявления особенностей API и оценивается наличие известных уязвимостей, отмеченных в БД OSV. Для анализа API применяется пакет MalOSS. Код пакетов анализируется на предмет наличия типовых шаблонов, обычно применяемых во вредоносном ПО. Шаблоны подготовлены на основе изучения 651 пакетов с подтверждённой вредоносной активностью.

Также выявляются атрибуты и метаданные, приводящие к повышению риска нецелевого использования, такие как выполнение блоков через "eval" или "exec", формирование нового кода во время работы, использование техник запутывания и скрытия кода (obfuscated), манипуляции с переменными окружения, нецелевой доступ к файлам, обращение к сетевым ресурсам в сценариях установки (setup.py), использование тайпсквотинга (назначение имён, похожих на названия популярных библиотек), выявление устаревших и заброшенных проектов, указание несуществующих email и сайтов, отсутствие публичного репозитория с кодом.

Дополнительно можно отметить выявление другими исследователями безопасности пяти вредоносных пакетов в репозитории PyPi, которые отправляли на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции: loglib-modules (преподносилась как модули к легитимной библиотеке loglib), pyg-modules, pygrata и pygrata-utils (преподносились как дополнения к легитимной библиотеке pyg) и hkg-sol-utils.

  1. OpenNews: Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой phpass (дополнено)
  2. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  3. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
  4. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
  5. OpenNews: В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
Обсуждение (28 +3) | Тип: Программы |
·30.06.2022 Прогресс в разработке компилятора для языка Rust на базе GCC (218 +6)
  В списке рассылки разработчиков набора компиляторов GCC опубликован отчёт о состоянии проекта Rust-GCC, развивающего GCC-фронтэнд gccrs с реализацией компилятора языка Rust на базе GCC. До ноября этого года планируется довести gccrs до возможности сборки кода, поддерживаемого компилятром Rust 1.40, и добиться успешной компиляции и использования штатных Rust-библиотек libcore, liballoc и libstd. В следующие после этого 6 месяцев планируется реализовать проверку заимствования переменных (borrow checker) и поддержку пакета proc_macro.

Также началась подготовительная работа к включению gccrs в основной состав GCC. В случае принятия gccrs в GCC, инструментарий GCC сможет использоваться для компиляции программ на языке Rust без необходимости установки компилятора rustc. В качестве одного из критериев начала интеграции называется успешная компиляция официального тестового набора и реальных проектов на Rust. Отмечается, что не исключено, что разработчики успеют добиться намеченной цели в рамках цикла подготовки текущей экспериментальной ветки GCC и gccrs будет включён в состав выпуска GCC 13, намеченного на май следующего года.

  1. OpenNews: Для GCC подготовлен фронтэнд с поддержкой языка Rust, развиваемого проектом Mozilla
  2. OpenNews: Релиз набора компиляторов GCC 12
  3. OpenNews: Шестая версия патчей для ядра Linux с поддержкой языка Rust
  4. OpenNews: Выпуск языка программирования Rust 1.61
  5. OpenNews: Линус Торвальдс не исключил возможность интеграции поддержки Rust в ядро Linux 5.20
Обсуждение (218 +6) | Тип: Программы |
·29.06.2022 Двадцать третье обновление прошивки Ubuntu Touch (51 +12)
  Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-23 (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri.

Обновление Ubuntu Touch OTA-23 сформировано для смартфонов BQ E4.5/E5/M10/U Plus, Cosmo Communicator, F(x)tec Pro1, Fairphone 2/3, Google Pixel 2XL/3a, Huawei Nexus 6P, LG Nexus 4/5, Meizu MX4/Pro 5, Nexus 7 2013, OnePlus 2/3/5/6/One, Samsung Galaxy Note 4/S3 Neo+, Sony Xperia X/XZ/Z4, Vollaphone, Xiaomi Mi A2/A3, Xiaomi Poco F1, Xiaomi Redmi 3s/3x/3sp/4X/7, Xiaomi Redmi Note 7/7 Pro. Отдельно, без метки "OTA-23", будут подготовлены обновления для устройств Pine64 PinePhone и PineTab. По сравнению с прошлой версией добавлена поддержка смартфонов Asus Zenfone Max Pro M1, Xiaomi Poco M2 Pro, Google Pixel 2 и Google Pixel 3a XL.

Ubuntu Touch OTA-23 по-прежнему основан на Ubuntu 16.04, но в последнее время усилия разработчиков сосредоточены на подготовке к переходу на Ubuntu 20.04. Из изменений в OTA-23 отмечается:

  • Реализована начальная поддержка FM-радио, которую пока можно использовать только на устройствах BQ E4.5, BQ E5 и Xiaomi Note 7 Pro (спектр поддерживаемых устройств будет расширен в следующих выпусках).
  • В приложении для обмена сообщениями улучшена обработка MMS для больших вложений и отключено вырезание спецсимволов "&", "<" и ">" из текстовых сообщений.
  • В медиапроигрывателе появилась поддержка аппаратного ускорения декодирования видео на планшете Jingpad A1.
  • Предоставлена возможность использования протокола Aethercast для подключения к внешним экранам по беспроводному соединению.
  • На всех устройствах обеспечено быстрое гашение и включение экрана, не зависящее от окружающего освещения, что позволяет быстрее получить доступ к устройству и защищает от совершения случайных звонков из-за убирания в карман ещё не отключившегося телефона.

  1. OpenNews: Двадцать второе обновление прошивки Ubuntu Touch
  2. OpenNews: Выпуск пользовательской оболочки Unity 7.6.0
  3. OpenNews: Выпуск дисплейного сервера Mir 2.7
  4. OpenNews: Двадцать первое обновление прошивки Ubuntu Touch
  5. OpenNews: Проект Waydroid развивает пакет для запуска Android в дистрибутивах GNU/Linux
Обсуждение (51 +12) | Тип: Программы |
·29.06.2022 Релиз фреймворка для реверс-инжиниринга Rizin 0.4.0 и GUI Cutter 2.1.0 (18 +11)
  Состоялся релиз фреймворка для реверс-инжиниринга Rizin и связанной с ним графической оболочки Cutter. Проект Rizin начался как форк фреймворка Radare2 и продолжил его развитие с уклоном на удобный API и фокусом на анализ кода без форензики. С момента форка проект перешел на принципиально отличный механизм сохранения сессии ("проектов") в виде состояния на базе сериализации. Кроме того, кодовая база значительно переработана в сторону удобства сопровождения. Код проекта написан на языке Си и распространяется под лицензией LGPLv3.

Графическая оболочка Cutter написана C++ с использованием Qt и распространяется под лицензией GPLv3. Cutter, как и сам Rizin, нацелен на процесс обратной разработки программ в машинном коде или байткоде (например JVM или PYC). Для Cutter/Rizin существуют плагины декомпиляции на основе Ghidra, JSdec и RetDec.

В новом выпуске:

  • Добавлена поддержка создания сигнатур FLIRT, которые потом могут быть загружены в IDA Pro;
  • В поставку включена база стандартных сигнатур для популярных библиотек;
  • Улучшено распознавание функций и строк исполняемых файлов на Go для x86/x64/PowerPC/MIPS/ARM/RISC-V;
  • Реализован новый язык промежуточного представления RzIL на базе BAP Core Theory (SMT-подобный язык);
  • Добавлена возможность авто-определения базового адреса для «сырых» файлов;
  • Реализована поддержка загрузки в отладочном режиме «слепков» памяти на базе Windows PageDump/Minidump форматов;
  • Улучшена работа с удаленными отладчиками на базе WinDbg/KD.
  • На данный момент на новый RzIL переведена поддержка архитектур ARMv7/ARMv8, AVR, 6052, brainfuck. К следующему релизу планируется завершить перевод для SuperH, PowerPC и частично x86.

Также дополнительно выпущены:

  • rz-libyara – плагин для Rizin/Cutter для поддержки загрузки и создания сигнатур в формате Yara;
  • rz-libdemangle – библиотека расшифровки имён функций для языков C++/ObjC/Rust/Swift/Java;
  • rz-ghidra – плагин для Rizin/Cutter для декомпиляции (на базе C++ кода Ghidra);
  • jsdec – плагин для Rizin/Cutter для декомпиляции оригинальной разработки;
  • rz-retdec – плагин для Rizin/Cutter для декомпиляции (на базе RetDec);
  • rz-tracetest – утилита перекрёстной проверки корректности трансляции машинного кода в RzIL путём сравнения с трассой эмуляции (на базе QEMU, VICE).

  1. OpenNews: Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга бинарных файлов
  2. OpenNews: HAL - IDE для реверс-инжиниринга цифровых электронных схем
  3. OpenNews: Инициатива по форсированию разработки фреймворка для обратного инжиниринга radare2
  4. OpenNews: Вышел язык спецификации бинарных форматов Kaitai Struct 0.5
  5. OpenNews: Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP
Обсуждение (18 +11) | Автор: dukebarman | Тип: Программы |
·29.06.2022 Релиз BitTorrent-клиента Deluge 2.1 (77 +17)
  Спустя три года с момента формирования прошлой значительной ветки опубликован релиз многоплатформенного BitTorrent-клиента Deluge 2.1, написанного на языке Python (используется фреймворк Twisted), базирующегося на libtorrent и поддерживающего несколько видов интерфейса пользователя (GTK, web-интерфейс, консольный вариант). Код проекта распространяется в рамках лицензии GPL.

Deluge работает в клиент-серверном режиме, при котором пользовательская оболочка выполняется в виде отдельного процесса, а всеми BitTorrent-операциями управляет отдельный демон, который может быть запущен на удалённом компьютере. Среди особенностей приложения можно отметить поддержку DHT (распределённая хэш таблица), UPnP, NAT-PMP, PEX (Peer Exchange), LSD (Local Peer Discovery), возможность применения шифрования для протокола и работы через прокси, совместимость с WebTorrent, возможность выборочного ограничения скорости для определённых torrent-ов, режим последовательной загрузки.

Среди изменений в новом выпуске:

  • Прекращена поддержка Python 2. Оставлена возможность работы только при наличии Python 3.
  • Повышены требования к библиотеке libtorrent, для сборки теперь требуется как минимум версия 1.2. Проведена чистка кодовой базы от использования устаревших функций libtorrent.
  • Добавлена поддержка пиктограмм трекеров в формате SVG.
  • Обеспечено скрытие паролей в логах.
  • Реализована опциональная поддержка модуля pygeoip для привязки IP-адреса к местоположению.
  • Добавлена возможность использования IPv6 в списках хостов.
  • Добавлен сервис для systemd.
  • В GTK-интерфейсе в меню реализована опция для копирования magnet-ссылки.
  • На платформе Windows по умолчанию отключено декорирование окон на стороне клиента (CSD).

  1. OpenNews: Выпуск qBittorrent 4.4 с поддержкой протокола BitTorrent v2
  2. OpenNews: BitTorrent-клиент Transmission переходит с Си на Си++
  3. OpenNews: Выпуск libtorrent 2.0 с поддержкой протокола BitTorrent 2
  4. OpenNews: Релиз BitTorrent-клиента Deluge 2.0
  5. OpenNews: В libtorrent добавлена поддержка протокола WebTorrent
Обсуждение (77 +17) | Тип: Программы |
·27.06.2022 Уязвимость в OpenSSL 3.0.4, приводящая к удалённому повреждению памяти процесса (48 +11)
  В криптографической библиотеке OpenSSL выявлена уязвимость (CVE-2022-2274), при помощи которой удалённый атакующий может повредить содержимое памяти процесса через отправку специальной оформленных данных в момент установки TLS-соединения. Пока не ясно, может ли проблема привести к выполнению кода атакующего и утечке данных из памяти процесса, или она ограничивается только аварийным завершением работы.

Уязвимость проявляется в выпуске OpenSSL 3.0.4, опубликованном 21 июня, и вызвана некорректным исправлением ошибки в коде, в результате которого может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера. Эксплуатация уязвимости возможна только на системах x86_64 с поддержкой инструкций AVX512 (AVX512IFMA).

Такие ответвления от OpenSSL, как BoringSSL и LibreSSL, а также ветка OpenSSL 1.1.1, проблеме не подвержены. Исправление пока доступно только в виде патча. При наихудшем сценарии, проблема может оказаться более опасной, чем уязвимость Heartbleed, но уровень угрозы снижает то, что уязвимость проявляется только в выпуске OpenSSL 3.0.4, в то время как многие дистрибутивы по умолчанию продолжают поставлять ветку 1.1.1 или ещё не успели сформировать обновления пакетов с версией 3.0.4.

Дополнение: Доступен выпуск OpenSSL 3.0.5 с устранением уязвимости.

  1. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  2. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
  3. OpenNews: Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL
  4. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
  5. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
Обсуждение (48 +11) | Тип: Проблемы безопасности |
Следующая страница (раньше) >>



Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру