Пользователи Firefox столкнулись с невозможностью загрузить из каталога addons.mozilla.org (AMO) дополнения, позволяющие обойти блокировки Роскомнадзора. На страницах четырёх популярных дополнений, обеспечивавших обход блокировок, при попытке открытия из РФ теперь показывается страница с информацией о запрете доступа к странице из региона пользователя. Разработчик одного из заблокированных дополнений попросил представителей Mozilla назвать причину блокировки, при том, что формально дополнение не нарушает никаких правил каталога AMO. Представители Mozilla пока не указали причин блокировки, но, вероятно, они сделали это после получения требований от Роскомнадзора.

При этом блокировки дополнений, нарушающих законы отдельных стран, не новы, например, в 2022 году Mozilla заблокировала доступ к дополнениям uBlock Origin, AdGuard, AdNauseam и AdBlock из Китая, что было сделано после возникновения угрозы блокировки всего каталога addons.mozilla.org в Китае. Примечательно, что подобные блокировки явно расходятся с принципами, определёнными в манифесте Mozilla, а также идут в разрез с общей политикой компании, в соответствии с которой два года назад сервисы Yandex и Mail.ru были удалены из списка доступных поисковых систем с указанием в качестве мотива преобладания в поисковой выдаче материалов, отражающих предвзятую точку зрения.

Первое дополнение Censor Tracker нацелено на общий обход ограничений, действующих в России, Украине, Беларуси, Казахстане, Кыргызстане, Узбекистане и других странах. Второе дополнение Runet Censorship Bypass специально рассчитано на обход блокировок из Единого реестра запрещённых сайтов РФ, при этом не проксируя остальные ресурсы. Третье дополнение Planet VPN обеспечивает работу VPN-сервиса, не осуществляющего блокировку по спискам Роскомнадзора для пользователей из РФ. Четвёртое дополнение FastProxy выборочно включает использование прокси для сайтов, заблокированных Роскомнадзором.

>>> Подробности

Доля GNU/Linux впервые пересекла барьер в 2% после 2013 года.

( читать дальше... )

>>> Подробности

Два года прошло с тех пор как LinuxTalks запущен в Beta режиме.

Поздравляем всех причастных и не причастных.

>>> Подробности

Выпущен TDE R14.1.2!

Команда разработчиков Trinity Desktop Environment рада сообщить о новой версии TDE- R14.1.2.

TDE — это бесплатная легкая среда рабочего стола, предназначенная для пользователей компьютеров, предпочитающих экономичный и эффективный интерфейс.

Данная среда доступна для различных дистрибутивов Linux, BSD и DilOS.

При низких системных требованиях, она также является идеальным выбором для устаревшего оборудования, но при этом обеспечивает полностью пригодный для использования рабочий стол.

R14.1.2 — это самый крупный выпуск на сегодняшний день, не только из-за улучшений на стороне пользователя, но и из-за большого объема работы, которая была потрачена на очистку кода.

Основные особенности этой версии:

( читать дальше... )

>>> Подробности

Среди разработчиков системного менеджера systemd ведётся обсуждение вопроса сокращения зависимостей у библиотеки libsystemd, которая связывается не только с компонентами systemd, но и со многими внешними приложениями. Например, в Fedora более 150 пакетов используют libsystemd в зависимостях. Инициатор обсуждения считает, что подтягивание в libsystemd дополнительных сторонних библиотек, которые не контролируют разработчики systemd, существенно увеличивает поверхность атаки в случае компрометации сторонних библиотек, как это произошло с библиотекой liblzma.

( читать дальше... )

>>> Подробности

В пакете XZ Utils, включающем библиотеку liblzma и утилиты для работы со сжатыми данными в формате ".xz", выявлен бэкдор (CVE-2024-3094), позволяющий перехватывать и модифицировать данные, обрабатываемые приложениями, связанными с библиотекой liblzma. Основной целью бэкдора является сервер OpenSSH, в некоторых дистрибутивах связанный с библиотекой libsystemd, которая, в свою очередь, использует liblzma. Связывание sshd с уязвимой библиотекой позволяет злоумышленникам получить доступ к SSH-серверу без аутентификации.

( читать дальше... )

>>> Подробности

14 февраля 2024 года Апелляционный суд Парижа вынес решение о том, что крупный французский телекоммуникационный провайдер Orange нарушил авторские права на программное обеспечение Lasso компании Entr’Ouvert и нарушил условия GPL, обязав Orange выплатить 500 000 евро в качестве компенсационного ущерба и 150 000 евро за моральный вред.

( читать дальше... )

>>> Подробности

Последний из публичных экземпляров Nitter пришёл в негодность. Проект Nitter развивал свободный фронтенд для доступа к X.com/Twitter без навязывания JavaScript, аналитики, трекеров и сторонних сервисов. 31 января была прекращена выдача токенов, используемых в Nitter для организации доступа к контенту в X.com. 26 февраля истекло время жизни последних из ранее выданных токенов, что привело к полной остановке работы Nitter.

( читать дальше... )

>>> Подробности

При обсуждении ошибки, связанной с относительно высоким по сравнению с Windows потреблением электроэнергии на APU AMD с поддержкой аппаратного декодирования видео, инженер из AMD, Алекс Дойкер (Alex Deucher, основной разработчик драйвера amdgpu), признал, что отображение видео в Linux в принципе неэффективно.

При выводе видео в Linux сейчас используется следующая цепочка:

• Сжатый видеопоток
• VCN (модуль аппаратного декодирования видео для GPU AMD)
• Сырые YUV данные
• Конвертация палитры, масштабирование на модуле GFX (по сути 3D акселератор в GPU, что заставляет его повышать частоты работы ядра и VRAM)
• RGB данные
• Вывод на дисплей.

Как должно работать:

• Сжатый видеопоток
• VCN
• Сырые YUV данные
• Контроллер дисплея, который будет преобразовывать палитру, масштабировать и отображать.

Более эффективно это может быть решено в Wayland композиторах, но пока реализации нет. Данная проблема решена в Microsoft Windows и Google Android, ибо там есть полноценные одиночные композиторы, которые предоставляют соответствующие возможности и API - чего пока нет в Linux, потому что ни X.org, ни Wayland не могут работать с YUV-потоками напрямую.

>>> Подробности

Опубликован релиз свободного звукового редактора Ardour 8.4, предназначенного для многоканальной записи, обработки и микширования звука. Выпуск 8.3 был пропущен из-за выявления серьёзной ошибки на стадии после создания ветки в Git. В Ardour предоставляется мультитрековая шкала времени, неограниченный уровень отката изменений на всем протяжении работы с файлом (даже после закрытия программы), поддержка разнообразных аппаратных интерфейсов. Программа позиционируется, как свободный аналог профессиональных средств ProTools, Nuendo, Pyramix и Sequoia. Код распространяется под лицензией GPLv2. В ближайшее время неофициальные сборки для Linux будут сформированы в формате Flatpak.

( читать дальше... )

>>> Подробности

Исследователи из компании Aqua Security обратили внимание на возможность совершения атаки на пользователей дистрибутива Ubuntu, используя особенности реализации обработчика "command-not-found", выдающего подсказку в случае попытки запуска отсутствующей в системе программы. Проблема в том, что при оценке запускаемых команд, которые отсутствуют в системе, "command-not-found" использует при выборе рекомендации не только пакеты из штатных репозиториев, но snap-пакеты из каталога snapcraft.io.

( читать дальше... )

>>> Подробности

Максим Дунин, один из трёх активных ключевых разработчиков Nginx, объявил о создании нового форка - FreeNginx. В отличие от проекта Angie, также создавшего ответвление от Nginx, новый форк будет разрабатываться исключительно как некоммерческий проект, развиваемый сообществом. FreeNginx позиционируется как основной потомок Nginx - «с учётом деталей - скорее, форк остался у F5». Целью FreeNginx объявлено обеспечение разработки Nginx, свободной от произвольного корпоративного вмешательства.

Причиной создания нового проекта стало несогласие с политикой руководства компании F5, владеющей проектом Nginx. Компания F5 без согласования с сообществом разработчиков изменила политику безопасности и перешла к практике назначения CVE-идентификаторов для пометки как уязвимостей проблем, потенциально представляющих угрозу безопасности пользователей (Максим был против назначения CVE данным ошибкам, так как они присутствуют в экспериментальном и не используемом по умолчанию коде).

После закрытия московского офиса в 2022 году Максим уволился из F5, но по отдельному соглашению сохранил свою роль в разработке и продолжил развивать и курировать проект Nginx в качестве волонтёра. По мнению Максима, изменение политики безопасности противоречит заключённому соглашению и он больше не может контролировать изменения, которые вносят в Nginx разработчики из компании F5, поэтому, больше не может рассматривать Nginx как открытый и свободный проект, разрабатываемый для общего блага.

>>> Подробности

Следом за назначением нового руководителя, компания Mozilla намерена уволить около 60 сотрудников и изменить стратегию развития продуктов. С учётом того, что по публичным отчётам в компании Mozilla работает от 500 до 1000 человек, увольнения коснутся 5-10% персонала. Это четвёртая массовая волна увольнений - в 2020 году было уволено 320 (250 + 70) работников, а в 2017 - 50.

( читать дальше... )

>>> Подробности

Разработчики проекта Chromium сообщили о намерении реализовать в браузере поддержку технологии Web Monetization, позволяющей автоматически выполнять микроплатежи владельцам сайтов за просмотр их содержимого. Предполагается, что технология может использоваться для монетизации сайтов вместо показа рекламы, в качестве аналога сетевых чаевых или для предоставления выборочного платного доступа к контенту без оформления подписки. Первый прототип реализации Web Monetization рассчитывают добавить в состав выпуска Chromе 127, намеченного на 23 июля.

( читать дальше... )

>>> Подробности

Компания Microsoft представила собственную реализацию утилиты sudo, предназначенную для организации выборочного выполнения команд в терминале с правами администратора. Утилита включена в тестовые сборки Windows 11 Insider Preview Build 26052 (активируется в секции настроек "Developer Features"), войдёт в состав следующего обновления Windows 11 и в будущем возможно будет портирована для Windows 10. Код утилиты планируют открыть под лицензией MIT (в настоящий момент доступен только каркас репозитория и обвязка на PowerShell).

( читать дальше... )

>>> Подробности

Митчелл Бейкер (Mitchell Baker) объявила об уходе с поста руководителя (CEO) компании Mozilla Corporation, который она занимала с 2020 года. С поста CEO Митчелл вернётся на должность председателя совета директоров Mozilla Corporation (Executive Chairwoman), которую она занимала много лет до избрания руководителем. Причиной ухода называется желание разделить руководство бизнесом и миссией Mozilla. Работа нового CEO будет сосредоточена на продвижении успешных продуктов, соответствующих миссии Mozilla, и создании платформ, ускоряющих развитие.

( читать дальше... )

https://www.opennet.ru/opennews/art.shtml?num=60574

>>> Подробности

Компания Google предоставила организации Rust Foundation целевой грант, размером 1 млн долларов, который позволит профинансировать работу по улучшению взаимодействия кода на языке Rust с кодовыми базами, написанными на языке C++. Грант рассматривается как инвестиция, которая в будущем позволит расширить применение Rust в различных компонентах платформы Android.

( читать дальше... )

>>> Подробности

Компания Qualys выявила опасную уязвимость (CVE-2023-6246) в стандартной Си-библиотеке Glibc, позволяющую через манипуляции с запуском SUID-приложений добиться выполнения своего кода с повышенными привилегиями. Исследователи смогли разработать рабочий эксплоит, позволяющий получить права root через манипуляцию с аргументами командной строки при запуске утилиты su.

Уязвимость вызвана переполнением буфера в функций __vsyslog_internal(), используемой при вызове функций syslog() и vsyslog(). Проблема возникает из-за ошибки при попытке вывода через макрос SYSLOG_HEADER слишком длинного имени приложения. При попытке расширения буфера с учётом длинного имени возникает сбой, после которого данные записываются в старый буфер изначального меньшего размера.

При организации атаки через утилиту su атакующий может изменить имя процесса при запуске приложения через замену значения argv[0], которое используется для получения информации об имени программы при выводе в лог, и добиться контролируемой перезаписи данных за пределами выделенного буфера. Далее переполнение можно использовать для перезаписи структуры nss_module в библиотеке nss для создания разделяемой библиотеки и её загрузки с правами root.

Проблема проявляется начиная с выпуска glibc 2.37, опубликованного в августе 2022 года и включающего изменение, обрабатывающее ситуацию с попыткой записи слишком больших сообщений. Вносящее уязвимость исправление было бэкпортировано в ветку glibc 2.36 и пакеты дистрибутивов с более старыми версиями glibc, так как отмеченное исправление устраняло уязвимость CVE-2022-39046, приводящую к утечке данных из кучи. Получилось так, что исправление неопасной уязвимости привело к появлению критической проблемы. Примечательно, что о похожей уязвимости в функции vsyslog() из состава библиотеки libc 5.4.3 сообщалось ещё в 1997 году.

Наличие уязвимости подтверждено в Debian 12/13, Ubuntu 23.04/23.10 и Fedora 37-39. Работа эксплоита для получения непривилегированным пользователем прав root продемонстрирована в полностью обновлённом окружении Fedora 38 со всеми включёнными в конфигурации по умолчанию механизмами защиты. Уязвимость может быть эксплуатирована только локально, так как требует передачи более 1024 байт через параметр argv[0] или аргумент ident в функции openlog().

Исправление уязвимости включено несколько часов назад в кодовую базу Glibc и войдёт в состав завтрашнего обновления Glibc 2.39, наряду с исправлением ещё двух уязвимостей (CVE-2023-6779, CVE-2023-6780) , также затрагивающих код __vsyslog_internal() и приводящих к переполнению буфера. Более того, компания Qualys предупредила о выявлении переполнения буфера в реализации функции qsort(), которое не было отнесено разработчиками Glibc к числу уязвимостей, так как эксплуатация подразумевает использование в качестве аргумента при вызове qsort нетипичной функции сравнения, возвращающей разницу сравниваемых параметров.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware. Протестировать подверженность системы уязвимости можно следующей командой:

   $ (exec -a "`printf '%0128000x' 1`" /usr/bin/su < /dev/null)

>>> Подробности