LINUXTALKS.CO

Новости

Выпуск новой версии окружения рабочего стола Trinity

Новости — Open Source
Группа Open Source

Выпущен TDE R14.1.2!

Команда разработчиков Trinity Desktop Environment рада сообщить о новой версии TDE- R14.1.2.

TDE — это бесплатная легкая среда рабочего стола, предназначенная для пользователей компьютеров, предпочитающих экономичный и эффективный интерфейс.

Данная среда доступна для различных дистрибутивов Linux, BSD и DilOS.

При низких системных требованиях, она также является идеальным выбором для устаревшего оборудования, но при этом обеспечивает полностью пригодный для использования рабочий стол.

R14.1.2 — это самый крупный выпуск на сегодняшний день, не только из-за улучшений на стороне пользователя, но и из-за большого объема работы, которая была потрачена на очистку кода.

Основные особенности этой версии:

( читать дальше... )

>>> Подробности

 

odalist ()

Инициатива по сокращению зависимостей у libsystemd

Новости — systemd
Группа systemd

Среди разработчиков системного менеджера systemd ведётся обсуждение вопроса сокращения зависимостей у библиотеки libsystemd, которая связывается не только с компонентами systemd, но и со многими внешними приложениями. Например, в Fedora более 150 пакетов используют libsystemd в зависимостях. Инициатор обсуждения считает, что подтягивание в libsystemd дополнительных сторонних библиотек, которые не контролируют разработчики systemd, существенно увеличивает поверхность атаки в случае компрометации сторонних библиотек, как это произошло с библиотекой liblzma.

( читать дальше... )

>>> Подробности

 ,

cocucka ()

В библиотеке xz/liblzma выявлен бэкдор, организующий вход через sshd

Новости — Безопасность
Группа Безопасность

В пакете XZ Utils, включающем библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz", выявлен бэкдор (CVE-2024-3094), позволяющий перехватывать и модифицировать данные, обрабатываемые приложениями, связанными с библиотекой liblzma. Основной целью бэкдора является сервер OpenSSH, в некоторых дистрибутивах связанный с библиотекой libsystemd, которая, в свою очередь, использует liblzma. Связывание sshd с уязвимой библиотекой позволяет злоумышленникам получить доступ к SSH-серверу без аутентификации.

( читать дальше... )

>>> Подробности

 , ,

TheAnonymous ()

Французский суд присудил компенсацию за нарушение GPL

Новости — Open Source
Группа Open Source

14 февраля 2024 года Апелляционный суд Парижа вынес решение о том, что крупный французский телекоммуникационный провайдер Orange нарушил авторские права на программное обеспечение Lasso компании Entr’Ouvert и нарушил условия GPL, обязав Orange выплатить 500 000 евро в качестве компенсационного ущерба и 150 000 евро за моральный вред.

( читать дальше... )

>>> Подробности

 , ,

cocucka ()

Проект Nitter, свободного альтернативного фронтенда к Twitter, закрыт

Новости — Корпорации
Группа Корпорации

Последний из публичных экземпляров Nitter пришёл в негодность. Проект Nitter развивал свободный фронтенд для доступа к X.com/Twitter без навязывания JavaScript, аналитики, трекеров и сторонних сервисов. 31 января была прекращена выдача токенов, используемых в Nitter для организации доступа к контенту в X.com. 26 февраля истекло время жизни последних из ранее выданных токенов, что привело к полной остановке работы Nitter.

( читать дальше... )

>>> Подробности

 ,

cocucka ()

Инженер из AMD признал, что графический стек Linux нуждается в совершенствовании

Новости — Ядро Linux
Группа Ядро Linux

При обсуждении ошибки, связанной с относительно высоким по сравнению с Windows потреблением электроэнергии на APU AMD с поддержкой аппаратного декодирования видео, инженер из AMD, Алекс Дойкер (Alex Deucher, основной разработчик драйвера amdgpu), признал, что отображение видео в Linux в принципе неэффективно.

При выводе видео в Linux сейчас используется следующая цепочка:

  • Сжатый видеопоток
  • VCN (модуль аппаратного декодирования видео для GPU AMD)
  • Сырые YUV данные
  • Конвертация палитры, масштабирование на модуле GFX (по сути 3D акселератор в GPU, что заставляет его повышать частоты работы ядра и VRAM)
  • RGB данные
  • Вывод на дисплей.

Как должно работать:

  • Сжатый видеопоток
  • VCN
  • Сырые YUV данные
  • Контроллер дисплея, который будет преобразовывать палитру, масштабировать и отображать.

Более эффективно это может быть решено в Wayland композиторах, но пока реализации нет. Данная проблема решена в Microsoft Windows и Google Android, ибо там есть полноценные одиночные композиторы, которые предоставляют соответствующие возможности и API - чего пока нет в Linux, потому что ни X.org, ни Wayland не могут работать с YUV-потоками напрямую.

>>> Подробности

 , , ,

cocucka ()

В звуковом редакторе Ardour 8.4 создано собственное ответвление GTK2

Новости — Open Source
Группа Open Source

Опубликован релиз свободного звукового редактора Ardour 8.4, предназначенного для многоканальной записи, обработки и микширования звука. Выпуск 8.3 был пропущен из-за выявления серьёзной ошибки на стадии после создания ветки в Git. В Ardour предоставляется мультитрековая шкала времени, неограниченный уровень отката изменений на всем протяжении работы с файлом (даже после закрытия программы), поддержка разнообразных аппаратных интерфейсов. Программа позиционируется, как свободный аналог профессиональных средств ProTools, Nuendo, Pyramix и Sequoia. Код распространяется под лицензией GPLv2. В ближайшее время неофициальные сборки для Linux будут сформированы в формате Flatpak.

( читать дальше... )

>>> Подробности

 

crypt ()
Новости: Изменения в подготовке промежуточных выпусков Red Hat Enterprise Linux (7 комментариев)

Сценарий атаки на обработчик не установленных приложений в Ubuntu

Новости — Canonical / Ubuntu
Группа Canonical / Ubuntu

Исследователи из компании Aqua Security обратили внимание на возможность совершения атаки на пользователей дистрибутива Ubuntu, используя особенности реализации обработчика "command-not-found", выдающего подсказку в случае попытки запуска отсутствующей в системе программы. Проблема в том, что при оценке запускаемых команд, которые отсутствуют в системе, "command-not-found" использует при выборе рекомендации не только пакеты из штатных репозиториев, но snap-пакеты из каталога snapcraft.io.

( читать дальше... )

>>> Подробности

 

crypt ()
Новости: FreeBSD прекратит поддержку 32-разрядных платформ (7 комментариев)

Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5

Новости — Open Source
Группа Open Source

Максим Дунин, один из трёх активных ключевых разработчиков Nginx, объявил о создании нового форка - FreeNginx. В отличие от проекта Angie, также создавшего ответвление от Nginx, новый форк будет разрабатываться исключительно как некоммерческий проект, развиваемый сообществом. FreeNginx позиционируется как основной потомок Nginx - «с учётом деталей - скорее, форк остался у F5». Целью FreeNginx объявлено обеспечение разработки Nginx, свободной от произвольного корпоративного вмешательства.

Причиной создания нового проекта стало несогласие с политикой руководства компании F5, владеющей проектом Nginx. Компания F5 без согласования с сообществом разработчиков изменила политику безопасности и перешла к практике назначения CVE-идентификаторов для пометки как уязвимостей проблем, потенциально представляющих угрозу безопасности пользователей (Максим был против назначения CVE данным ошибкам, так как они присутствуют в экспериментальном и не используемом по умолчанию коде).

После закрытия московского офиса в 2022 году Максим уволился из F5, но по отдельному соглашению сохранил свою роль в разработке и продолжил развивать и курировать проект Nginx в качестве волонтёра. По мнению Максима, изменение политики безопасности противоречит заключённому соглашению и он больше не может контролировать изменения, которые вносят в Nginx разработчики из компании F5, поэтому, больше не может рассматривать Nginx как открытый и свободный проект, разрабатываемый для общего блага.

>>> Подробности

 , ,

cocucka ()

Mozilla уволит около 60 сотрудников и сосредоточит внимание на AI-технологиях в Firefox

Новости — Firefox
Группа Firefox

Следом за назначением нового руководителя, компания Mozilla намерена уволить около 60 сотрудников и изменить стратегию развития продуктов. С учётом того, что по публичным отчётам в компании Mozilla работает от 500 до 1000 человек, увольнения коснутся 5-10% персонала. Это четвёртая массовая волна увольнений - в 2020 году было уволено 320 (250 + 70) работников, а в 2017 - 50.

( читать дальше... )

>>> Подробности

 

crypt ()

В Chromium экспериментируют с автоматическими микроплатежами для монетизации сайтов

Новости — Chromium совместимые
Группа Chromium совместимые

Разработчики проекта Chromium сообщили о намерении реализовать в браузере поддержку технологии Web Monetization, позволяющей автоматически выполнять микроплатежи владельцам сайтов за просмотр их содержимого. Предполагается, что технология может использоваться для монетизации сайтов вместо показа рекламы, в качестве аналога сетевых чаевых или для предоставления выборочного платного доступа к контенту без оформления подписки. Первый прототип реализации Web Monetization рассчитывают добавить в состав выпуска Chromе 127, намеченного на 23 июля.

( читать дальше... )

>>> Подробности

 ,

cocucka ()

Microsoft опубликовал собственную реализацию утилиты sudo для Windows

Новости — Корпорации
Группа Корпорации

Компания Microsoft представила собственную реализацию утилиты sudo, предназначенную для организации выборочного выполнения команд в терминале с правами администратора. Утилита включена в тестовые сборки Windows 11 Insider Preview Build 26052 (активируется в секции настроек "Developer Features"), войдёт в состав следующего обновления Windows 11 и в будущем возможно будет портирована для Windows 10. Код утилиты планируют открыть под лицензией MIT (в настоящий момент доступен только каркас репозитория и обвязка на PowerShell).

( читать дальше... )

>>> Подробности

 

crypt ()

Митчелл Бейкер ушла с поста руководителя Mozilla Corporation

Новости — Firefox
Группа Firefox

Митчелл Бейкер (Mitchell Baker) объявила об уходе с поста руководителя (CEO) компании Mozilla Corporation, который она занимала с 2020 года. С поста CEO Митчелл вернётся на должность председателя совета директоров Mozilla Corporation (Executive Chairwoman), которую она занимала много лет до избрания руководителем. Причиной ухода называется желание разделить руководство бизнесом и миссией Mozilla. Работа нового CEO будет сосредоточена на продвижении успешных продуктов, соответствующих миссии Mozilla, и создании платформ, ускоряющих развитие.

( читать дальше... )

https://www.opennet.ru/opennews/art.shtml?num=60574

>>> Подробности

 

crypt ()

Google выделил миллион долларов на улучшение переносимости между С++ и Rust

Новости — Корпорации
Группа Корпорации

Компания Google предоставила организации Rust Foundation целевой грант, размером 1 млн долларов, который позволит профинансировать работу по улучшению взаимодействия кода на языке Rust с кодовыми базами, написанными на языке C++. Грант рассматривается как инвестиция, которая в будущем позволит расширить применение Rust в различных компонентах платформы Android.

( читать дальше... )

>>> Подробности

 

crypt ()

Уязвимость в glibc, позволяющая получить root-доступ в системе

Новости — Безопасность
Группа Безопасность

Компания Qualys выявила опасную уязвимость (CVE-2023-6246) в стандартной Си-библиотеке Glibc, позволяющую через манипуляции с запуском SUID-приложений добиться выполнения своего кода с повышенными привилегиями. Исследователи смогли разработать рабочий эксплоит, позволяющий получить права root через манипуляцию с аргументами командной строки при запуске утилиты su.

Уязвимость вызвана переполнением буфера в функций __vsyslog_internal(), используемой при вызове функций syslog() и vsyslog(). Проблема возникает из-за ошибки при попытке вывода через макрос SYSLOG_HEADER слишком длинного имени приложения. При попытке расширения буфера с учётом длинного имени возникает сбой, после которого данные записываются в старый буфер изначального меньшего размера.

При организации атаки через утилиту su атакующий может изменить имя процесса при запуске приложения через замену значения argv[0], которое используется для получения информации об имени программы при выводе в лог, и добиться контролируемой перезаписи данных за пределами выделенного буфера. Далее переполнение можно использовать для перезаписи структуры nss_module в библиотеке nss для создания разделяемой библиотеки и её загрузки с правами root.

Проблема проявляется начиная с выпуска glibc 2.37, опубликованного в августе 2022 года и включающего изменение, обрабатывающее ситуацию с попыткой записи слишком больших сообщений. Вносящее уязвимость исправление было бэкпортировано в ветку glibc 2.36 и пакеты дистрибутивов с более старыми версиями glibc, так как отмеченное исправление устраняло уязвимость CVE-2022-39046, приводящую к утечке данных из кучи. Получилось так, что исправление неопасной уязвимости привело к появлению критической проблемы. Примечательно, что о похожей уязвимости в функции vsyslog() из состава библиотеки libc 5.4.3 сообщалось ещё в 1997 году.

Наличие уязвимости подтверждено в Debian 12/13, Ubuntu 23.04/23.10 и Fedora 37-39. Работа эксплоита для получения непривилегированным пользователем прав root продемонстрирована в полностью обновлённом окружении Fedora 38 со всеми включёнными в конфигурации по умолчанию механизмами защиты. Уязвимость может быть эксплуатирована только локально, так как требует передачи более 1024 байт через параметр argv[0] или аргумент ident в функции openlog().

Исправление уязвимости включено несколько часов назад в кодовую базу Glibc и войдёт в состав завтрашнего обновления Glibc 2.39, наряду с исправлением ещё двух уязвимостей (CVE-2023-6779, CVE-2023-6780) , также затрагивающих код __vsyslog_internal() и приводящих к переполнению буфера. Более того, компания Qualys предупредила о выявлении переполнения буфера в реализации функции qsort(), которое не было отнесено разработчиками Glibc к числу уязвимостей, так как эксплуатация подразумевает использование в качестве аргумента при вызове qsort нетипичной функции сравнения, возвращающей разницу сравниваемых параметров.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware. Протестировать подверженность системы уязвимости можно следующей командой:

   $ (exec -a "`printf '%0128000x' 1`" /usr/bin/su < /dev/null)

>>> Подробности

 , ,

cocucka ()
Новости: Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC (1 комментарий)

Haier заставил разработчика плагинов для Home Assistant убрать их из публичного доступа

Новости — Корпорации
Группа Корпорации

Крупный производитель бытовой техники Haier направил уведомление о лишении лицензии разработчику программного обеспечения за создание плагинов Home Assistant для бытовой техники компании и их публикацию на GitHub.

Haier – транснациональная корпорация по производству бытовой техники и потребительской электроники, продающая широкий ассортимент продукции под брендами General Electric Appliances, Hotpoint, Hoover, Fisher & Paykel и Candy.

Немецкий разработчик программного обеспечения Андре Баше, заявил, что получил юридическую угрозу с требованием немедленно удалить его плагины с платформы GitHub.

Home Assistant – это платформа домашней автоматизации с открытым исходным кодом, позволяющая пользователям контролировать и автоматизировать устройства «умного дома» с помощью централизованного интерфейса. Плагины Андре Баше для Home Assistant позволяют пользователям управлять кондиционерами, очистителями, посудомоечными машинами, индукционными плитами, духовками, холодильниками, стиральными и сушильными машинами Haier, Candy и Hoover.

Согласно уведомлению, опубликованному владельцем репозитория, Haier утверждает, что эти плагины наносят фирме значительный финансовый ущерб и нарушают законы об авторском праве, требуя от разработчика удалить их, чтобы избежать дальнейших судебных разбирательств.

We are writing to inform you that we have discovered two Home Assistant integration plug-ins developed by you (https://github.com/Andre0512/hon and https://github.com/Andre0512/pyhOn) that are in violation of our terms of service," reads the notice from Haier Europe Security and Governance Department.

Specifically, the plug-ins are using our services in an unauthorized manner, which is causing significant economic harm to our Company.

We take the protection of our intellectual property very seriously and demand that you immediately cease and desist all illegal activities related to the development and distribution of these plug-ins.

Юридические угрозы Haier напугали разработчика, и он объявил, что проект будет удален в ближайшие пару дней. Тем временем эта ситуация вызвала ответную реакцию сообщества на действия Haier: пользователи призывают потребителей бойкотировать Haier, считая подход компании чрезмерно агрессивным. На данный момент репозитории плагинов для Haier были форкнуты 228 раз, причем многие из них – после появления новостей о юридических угрозах.

>>> Подробности

 ,

cocucka ()

Вычислить по IP: Роскомнадзор намерен обязать российских операторов сообщать о геолокации всех сетевых адресов

Новости — СССР
Группа СССР

Роскомнадзор планирует с сентября 2024 года собирать с операторов связи географические координаты всех используемых ими IP-адресов. РКН утверждает, что это позволит эффективнее бороться с DDoS-атаками. Как следует из проекта приказа ведомства, создание базы позволит привести цифровую границу государства в соответствие с физическими границами России. Однако, по мнению экспертов, отражению DDoS-атак эта информация никак не поможет, разве что будет проще находить тех, кто размещает запрещенную в России информацию, или точечно блокировать ресурсы в отдельно взятых регионах.

>>> Подробности

 ,

cocucka ()