Представлен релиз дистрибутива Linux Mint 21, перешедший на пакетную базу Ubuntu 22.04 LTS. Дистрибутив полностью совместим с Ubuntu, но существенно отличается подходом к организации интерфейса пользователя и подбором используемых по умолчанию приложений. Разработчики Linux Mint предоставляют десктоп-окружение, соответствующее классическим канонам организации рабочего стола, которое является более привычным для пользователей, не принимающих новые методы построения интерфейса GNOME 3. Для загрузки доступны DVD-сборки на базе оболочек MATE 1.26 (2 ГБ), Cinnamon 5.4 (2 ГБ) и Xfce 4.16 (2 ГБ). Linux Mint 21 отнесён к выпускам с длительным сроком поддержи (LTS), обновления для которого будут формироваться до 2027 года.
Czkawka (чикавка (IPA: [ʈ͡ʂkafka]), «икота» на польском языке) – это простое, быстрое и бесплатное приложение для удаления ненужных файлов с вашего компьютера. Утилита написана на языке Rust и использует GTK 4 для отрисовки графического интерфейса.
Наиболее опасная уязвимость (CVE-2022-32744) позволяет пользователям домена Active Directory изменить пароль любого пользователя, в том числе можно изменить пароль администратора и получить полный контроль над доменом. Проблема вызвана тем, что KDC принимает запросы kpasswd, зашифрованные любым известным ключом.
Злоумышленник, имеющий доступ к домену, может отправить фиктивный запрос установки нового пароля от имени другого пользователя, зашифровав его своим ключом, и KDC обработает его без проверки соответствия ключа учётной записи. В том числе для отправки фиктивных запросов могут использоваться ключи контроллеров домена, работающих только в режиме чтения (RODC), которые не имеют полномочий для смены паролей. В качестве обходного способа защиты можно отключить поддержку протокола kpasswd, добавив в smb.conf строку «kpasswd port = 0».
Другие уязвимости:
CVE-2022-32746 - пользователи Active Directory через отправку специально оформленных LDAP-запросов «add» или «modify» могут инициировать обращение к памяти после её освобождения (use-after-free) в серверном процессе. Проблема вызвана тем, что модуль для ведения лога аудита обращается к содержимому LDAP-сообщения после того, как модуль работы с БД освобождает память, отведённую для сообщения. Для совершения атаки необходимо наличие прав на добавление или модификацию некоторых привилегированных атрибутов, таких как userAccountControl.
CVE-2022-2031 - пользователи Active Directory могут обойти некоторые ограничения в контроллере домена. KDC и сервис kpasswd имеют возможность расшифровывать тикеты друг друга, так как совместно используют один набор ключей и учётных записей. Соответственно, пользователь, запросивший смену пароля, может использовать полученный тикет для доступа к другим сервисам.
CVE-2022-32745 - пользователи Active Directory могут вызвать аварийное завершение серверного процесса через отправку LDAP-запросов «add» или «modify», приводящих к обращению к неинициализированным данным.
CVE-2022-32742 - утечка информации о содержимом памяти сервера через манипуляции с протоколом SMB1. Клиент SMB1, имеющий право записи в совместное хранилище, может создать условия для записи отрывков содержимого памяти серверного процесса в файл или отправки на принтер. Атака производится через отправку запроса «write» с указанием некорректного диапазона. Проблема касается только веток Samba до 4.11 (в ветке 4.11 поддержка SMB1 отключена по умолчанию).
Valgrind – инструментальное программное обеспечение, предназначенное для отладки использования памяти, обнаружения утечек памяти, а также профилирования. Название valgrind взято из германо-скандинавской мифологии, где является названием главного входа в Вальгаллу.
Один из разработчиков программы, Николас Незеркоут, написал на 20-ю годовщину выпуска Valgrind 1.0:
Это одновременно восхитительно и сюрреалистично видеть, что Valgrind все еще широко используется сегодня. Первоначальной целью Джулиана [Сьюарда] было улучшить качество программ на C и C++. Очевидно, что это принесло огромный успех. Memcheck нашел бесчисленное количество ошибок в бесчисленных программах и является стандартной частью системы тестирования для многих из них.
Fedora собирается запретить включать в проект код с лицензией CC0
Лицензия Creative Commons CC0 (официальный перевод) – это, по сути, не лицензия, а декларация общественного достояния (настолько близкая к ней, насколько это возможно в юрисдикциях, где нет общественного достояния). Проект Fedora изначально разрешал распространение кода под этой лицензией, но, как объявил Ричард Фонтана, эта политика меняется и CC0 больше не будет разрешена для использования в качестве лицензии:
Причина изменений: В течение долгого времени в FOSS формировался консенсус о том, что лицензии, которые исключают любую форму патентного лицензирования или патентного запрета, не могут считаться FOSS. В CC0 есть пункт, который гласит: «Используя данный документ, Заявитель не отказывается от прав на товарный знак или патентных прав».
Существующие пакеты с лицензией CC0 могут быть сохранены, но решение об этом еще не принято.
Опубликован выпуск проекта NsCDE 2.2 (Not so Common Desktop Environment), развивающего окружение рабочего стола с ретро-интерфейсом в стиле CDE (Common Desktop Environment), адаптированное для использования на современных Unix-подобных системах и Linux. Окружение базируется на оконном менеджере FVWM с темой оформления, приложениями, патчами и надстройками для воссоздания оригинального рабочего стола CDE. Код проекта распространяется под лицензией GPLv3. Надстройки написаны на Python и Shell. Установочные пакеты сформированы для Fedora, openSUSE, Debian и Ubuntu.
Целью проекта является предоставление комфортного и удобного окружения для любителей ретро-стиля, поддерживающего современные технологии и не вызывающего дискомфорта из-за отсутствия функциональности. Для придания запускаемым пользовательским приложениям стиля CDE подготовлены генераторы тем оформления для Xt, Xaw, Motif, GTK2, GTK3 и Qt5, позволяющие стилизовать под ретро-интерфейс оформление большинства программ, использующих X11. NsCDE позволяет связать оформление CDE и современные технологии, такие как растеризация шрифтов с использованием XFT, Unicode, динамические и функциональные меню, виртуальные рабочие столы, апплеты, обои рабочего стола, темы оформления/пиктограмм и т.п.
В новой версии:
Реализована возможность размещения панели в верхней части экрана (включается через добавление в файл ~/.NsCDE/NsCDE.conf настройки «InfoStoreAdd frontpanel.on.top 1»).
Для калькулятора kcalc добавлена цветовая схема, соответствующая оформлению dtcalc.
Обновлено оформление пиктограмм.
Добавлена поддержка стилизации Firefox 100+. Обновлены CSS-файлы для настройки оформления Firefox.
Объединены CSS-файлы для движков GTK2 и GTK3.
Реализовано и включено по умолчанию использование клавиатурных комбинаций, соответствующих спецификации CUA (Common User Access). Для возвращения старых клавиатурных комбинаций в файле ~/.NsCDE/NsCDE.conf следует установить параметр «InfoStoreAdd kbd_bind_set nscde1x» или изменить настройки в интерфейсе Keyboard Style Manager.
Улучшено определение PolkitAgent.
В движке тем оформление Kvantum, который может быть выбран в настройках Color Style Manager, реализовано более близкое к Motif стилевое оформление для списков Qt5.
Команда разработчиков игры Veloren выпустила новую версию 0.13.
Veloren — это многопользовательская воксельная ролевая игра, написанная на языке Rust. Она вдохновлена такими играми, как Cube World, Legend of Zelda: Breath of the Wild, Dwarf Fortress и Minecraft.
Проект Veloren полностью с открытым исходным кодом и лицензией GPL 3. В игре используется оригинальная графика, музыка и другие ресурсы, созданные сообществом. Будучи ориентированным на контрибьюторов, сообщество разработчиков и сообщество пользователей – это одно и то же: разработчики, игроки, художники и музыканты объединяются для создания игры.
Закончилась поддержка релиза Ubuntu 21.10 («Impish Indri»). Начиная с 14 июля обновления больше не будут выпускаться. Пользователям, которые до сих пор не обновились, настоятельно рекомендуется обновится как можно скорее. Репозиторий пакетов будет перемещен в old-releases.ubuntu.com в ближайшее время.
Команда Debian Long Term Support объявляет, что Debian 9
«Stretch» достиг конца срока поддержки 1 июля 2022 года,
через пять лет после его первоначального выпуска 17 июня 2017 года. Команда Debian больше не будет предоставлять дальнейшие обновления безопасности для Debian 9, лишь некоторая часть пакетов stretch будет поддерживаться сторонними разработчиками.
Команда Debian LTS будет готовить переход на Debian 10 «Buster», который является текущим oldstable выпуском. Команда LTS примет на себя поддержку от Debian Security Team в течение августа, а последнее точечное обновление для buster будет будет выпущено в течение этого месяца.
Debian 10 будет получать поддержку в течение пяти лет после его
выпуска. Поддержка закончится 30 июня 2024 года. Поддерживаемые
архитектуры будут объявлены позднее.
Несколько недель назад компания Microsoft без лишнего шума обновила Microsoft Store Policies, добавив новые правила (которые вступят в силу на следующей неделе), содержащие следующий текст:
all pricing … must … [n]ot attempt to profit from open-source or other software that is otherwise generally available for free [meaning, in price, not freedom].
Данное изменение эффективно запрещает продажу СПО в магазине Microsoft Store, т.к. оно доступно бесплатно в других местах.
Сейчас многие разработчики поддерживают свои СПО проекты (на законных основаниях, по крайней мере, в соответствии с лицензиями) через продажи в магазинах приложений. Известная программа для рисования Krita и программа для редактирования видео ShotCut продаются в Microsoft Store (и обе скоро будут нарушать условия Microsoft). Проект Inkscape в одностороннем порядке решил только просить, а не требовать пожертвований от пользователей Microsoft Store, но это новое условие вынуждает Inkscape принять это решение навсегда. Ещё одним примером может послужить Fedora Remix for WSL, который не нарушает условий распространения дистрибутива Fedora и лишь предоставляет удобный способ использовать этот дистрибутив в WSL.
В основную ветку ядра Linux только что добавили патчи, устраняющие новый набор специфических для Intel аппаратных уязвимостей.
Уязвимости MMIO Stale Data в процессоре – это класс уязвимостей ввода-вывода с использованием памяти (MMIO), которые могут привести к раскрытию данных. Поскольку большинство таких уязвимостей требуют от злоумышленника доступа к MMIO, многие системы не подвержены эксплуатации данного типа атак. Системам, использующим виртуализацию, где доступ к MMIO предоставляется недоверенным гостям, необходимо принять меры к предотвращению эксплуатации уязвимости. Этот класс уязвимостей отличается от уязвимостей в спекулятивном исполнении инструкций ЦПУ (Spectre и т.п.). Тем не менее, эти уязвимости могут переносить устаревшие данные в буферы ядра, где эти данные могут быть впоследствии найдены в результате атаки типа Spectre. Устранение этих уязвимостей включает в себя сочетание обновления микрокода и патчей для ПО.
Для вариантов этой уязвимости было выпущено три отдельных номера CVE:
Более подробную информацию можно найти в этом патче. Обновления пакетов, содержащие эти исправления, находятся в процессе ревью и должны быть выпущены в ближайшее время.
Компания Mozilla объявила о включении функции «полной защиты файлов cookie» во всех версиях браузера Firefox по умолчанию.
Total Cookie Protection работает путем создания отдельной «банки с печеньем» для каждого посещаемого вами сайта. Вместо того чтобы позволить трекерам связать ваши посещения на нескольких сайтах путём отслеживания их cookie, они получают возможность видеть только cookie помещённые конкретным сайтом. Каждый раз, когда веб-сайт или сторонний клиент, встроенный в веб-сайт, помещает cookie в ваш браузер, этот файл попадает в контейнер cookie, предназначенный только для этого сайта. Никакие другие сайты не смогут залезть в не принадлежащие им контейнеры и узнать какие ещё сайты вы посещали.
Стадия бета тестирования продлится около двух недель. За это время будет проработана структрура разделов, реализована необходимая функциональность, а также пофикшены баги. По окончанию этой стадии тестовые темы будут удалены, остальные дискуссии останутся.
Приглашаем к обсуждению правил, структуры разделов и желаемой функциональности в соответствующий раздел.
p.s.
Текущим и бывшим пользователям linux.org.ru будет компенсирован скор эквивалентно заработанному там для доступа ко всем разделам данного сайта.
