Это соответствует примерно 5% всех сотрудников компании.

Многим корпорациям пришлось прибегать к этой мере в условиях сложной макроэкономической ситуации и спада на рынке онлайн-рекламы. Так, Meta сообщила о сокращении 11 тыс. сотрудников, Twitter — о сокращении половины сотрудников (3,7 тыс.).

>>> Подробности

Состоялся релиз web-браузера Firefox 109. Кроме того, сформировано обновление ветки с длительным сроком поддержки - 102.7.0. На стадию бета-тестирования в ближайшее время будет переведена ветка Firefox 110, релиз которой намечен на 14 февраля.

Основные новшества в Firefox 109:

• По умолчанию включена поддержка третьей версии манифеста Chrome, который определяет возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Поддержка второй версии манифеста в обозримом будущем будет сохранена. Так как третья версия манифеста стала объектом критики и приведёт к нарушению работы некоторых дополнений для блокирования нежелательного контента и обеспечения безопасности, компания Mozilla отошла от обеспечения полной совместимости с манифестом в Firefox и реализовала некоторые возможности иначе. Например, не прекращена поддержка старого блокирующего режима работы API webRequest, на смену которому в Chrome пришёл новый декларативный API фильтрации контента.
  Также немного по другому реализована поддержка гранулированной модели запроса полномочий, в соответствии с которой дополнение не может активироваться сразу для всех страниц (убрано полномочие "all_urls"). В Firеfox конечное решение о предоставлении доступа предоставлено пользователю, который может выборочно решать какому дополнению предоставить доступ к своим данным на том или ином сайте. Для управления полномочиями в интерфейс добавлена кнопка "Unified Extensions", при помощи которой пользователь может предоставить и отозвать доступ дополнения к любому сайту. Управление полномочиями применяется только к дополнениям на основе третьей версии манифеста, для дополнений на второй версии манифеста гранулированное управление доступом к сайтам не производится.
  
• На странице Firefox View улучшено оформление пустых секций с недавно закрытыми вкладками и вкладками, открытыми на других устройствах.
• В списке недавно закрытых вкладок, показываемом на странице Firefox View, добавлены кнопки для удаления отдельных ссылок из списка.
  
• Добавлена возможность отображения в адресной строке введённого поискового запроса, вместо показа URL-адреса поисковой системы (т.е. ключи показываются в адресной строке не только в процессе ввода, но и после обращения к поисковой системе и показа связанных с введёнными ключами результатов поиска). Возможность пока отключена по умолчанию и для активации требует выставления в about:config настройки "browser.urlbar.showSearchTerms.featureGate".
  
• Диалог выбора даты для поля <input> с типами "date" и "datetime" адаптирован для управления c клавиатуры, что позволило обеспечить корректную поддержку экранных ридеров и использовать клавиатурные комбинации для навигации по календарю.
• Завершился эксперимент по использованию встроенного дополнения Colorways для изменения внешнего вида браузера (на выбор предлагалось коллекция цветовых тем для области контента, панелей и строки переключения вкладок). Доступ к ранее сохранённым цветовым темам можно получить на странице "Add-ons and themes".
• На системах с GTK реализована возможность одновременного перемещения нескольких файлов в файловый менеджер. Налажено перемещение изображений из одной вкладки в другую.
• В системе автонажатия на баннеры, запрашивающие полномочия по использованию Cookie на сайтах (cookiebanners.bannerClicking.enabled и cookiebanners.service.mode в about:config), реализована возможность добавления сайтов в список исключений, для которых не применяется автонажатие.
• По умолчанию включена настройка network.ssl_tokens_cache_use_only_once для исключения повторного использования сессионных тикетов в TLS.
• Включена настройка network.cache.shutdown_purge_in_background_task, решающая проблему с корректным завершением файлового ввода/вывода при завершении работы.
• В контекстное меню дополнений добавлен элемент ("Pin to toolbar") для закрепления кнопки дополнения в панели.
• Предоставлена возможность использования Firefox в качестве просмотрщика документов, выбираемого в системе через контекстное меню "Open With".
• На страницу about:support добавлены сведения о частоте обновления экрана.
• Добавлены настройки ui.font.menu, ui.font.icon, ui.font.caption, ui.font.status-bar, ui.font.message-box и т.п. для переопределения системных шрифтов.
  
  \
• Включена по умолчанию поддержка события scrollend, генерируемого при завершении пользователем прокрутки (когда позиция перестаёт изменяться) в объектах Element и Document.
• Обеспечено секционирование доступа через API Storage при обработке стороннего контента, независимо от API Storage Access.
• В элемент range добавлена поддержка атрибута list, в котором передаётся идентификатор элемента <datalist> со списком предопределённых значений, предлагаемых к вводу.
• В CSS-свойство content-visibility, применяемое для исключения лишней отрисовки областей вне поля видимости, добавлено значение 'auto', при выставлении которого видимость определяется браузером на основании близости элемента к границе видимой области.
• В CSS-тип <system-color>, определяющий значения по умолчанию цветов различных компонентов страницы, добавлена поддержка значений Mark, MarkText и ButtonBorder.
• В Web Auth добавлена возможность аутентификации с использованием протокола CTAP2 (Client to Authenticator Protocol) с использованием токенов на базе USB HID. Поддержка пока не включена по умолчанию и активируется параметром security.webauthn.ctap2 в about:config.
• В инструментах для web-разработчиков в отладчике JavaScript добавлен новый вариант точек останова, срабатывающий при переходе к обработчику события scrollend.
• В протокол удалённого управления браузером WebDriver BiDi добавлена поддержка команд "session.subscribe" и "session.unsubscribe".
• В сборках для платформы Windows включено использование аппаратного механизма защиты ACG (Arbitrary Code Guard) для блокирования эксплуатации уязвимостей в процессах, обеспечивающих воспроизведение мультимедийного содержимого.
• На платформе macOS изменено действие комбинаций Ctrl/Cmd + trackpad или Ctrl/Cmd + колесо мыши, которые теперь приводят к прокрутке (как в остальных браузерах), а не масштабированию.
• Улучшения в версии для Android:
• При просмотре полноэкранного видео отключён вывод адресной строки при прокрутке.
• Добавлен кнопка для отмены изменения после удаления закреплённого сайта.
• Обеспечено обновление списка поисковых систем после смены языка.
• Устранено аварийное завершение, возникающее при помещении большой порции данных в буфер обмена или адресную строку.
• Повышена производительность вывода элементов canvas.
• Решена проблема с видеовызовами, для которых может использоваться только кодек H.264.

Кроме новшеств и исправления ошибок в Firefox 108 устранена 21 уязвимость. 15 уязвимостей помечены как опасные, из них 13 уязвимостей (собраны под CVE-2023-23605 и CVE-2023-23606) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Уязвимость CVE-2023-23597 вызвана логической ошибкой в коде создания новых дочерних процессов и позволяет запустить новый процесс в контексте file:// для чтения содержимого произвольных файлов. Уязвимость CVE-2023-23598 вызвана ошибкой обработки действий drag&drop в обвязке над GTK и позволяет прочитать содержимое произвольных файлов через вызов DataTransfer.setData.

( читать дальше... )

>>> Подробности

Разработчики браузерного движка Servo, написанного на языке Rust, объявили о получении финансирования, которое поможет возродить проект. В качестве первых задач упоминается возвращение к активной разработке движка, восстановление сообщества и привлечение новых участников. В течение 2023 года планируется заняться улучшением системы компоновки страниц (layout system) и добиться рабочей поддержки CSS2.

Стагнация проекта продолжалась с 2020 года, после того как компания Mozilla уволила команду, развивавшую Servo, и передала проект организации Linux Foundation, в которой для разработки планировалось сформировать сообщество из заинтересованных разработчиков и компаний. До преобразования в независимый проект движок развивался работниками Mozilla в сотрудничестве с компанией Samsung.

Движок написан на языке Rust и отличается поддержкой многопоточного рендеринга web-страниц, а также распараллеливанием операций с DOM (Document Object Model). Кроме эффективного распараллеливания операций, используемые в Rust технологии безопасного программирования позволяют поднять уровень безопасности кодовой базы. Изначально браузерный движок Firefox не мог в полной мере задействовать потенциал современных многоядерных систем из-за использования однопоточных схем обработки контента. Servo позволяет разбить код DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.

( читать дальше... )

>>> Подробности

О, оказывается это можно!

у ТС на лоре это выглядит отстойно, описано отстойно, но технически это вин.

"Квест осложняется тем, что NVIDIA под фряху еще не завезла DRM-прослойку для запуска вяленых WM. Как оказалось, один человечек портировал модуль nvidia-drm.ko под фряху. Собрал его, и sway стартанул без проблем. Были проблемы с билдом модуля, мерцанием экрана и отсутствовшим курсором мыши, которые я зарепортил автору модуля, и он оперативно подсказал как их решить.

Что меня сразу удивило — при env WLR_RENDERER=vulkan и #ozone-platform-hint=wayland страницы в хроме стали рендерится существенно быстрее нежели на X-ах. Да и окна переключались мгновенно, на глаз быстрее нежели в xfce4. И тогда появился самочеленж: а смогу ли я настроить sway до юзабельного состояния + стабилен ли sway для повседневного использования…"

>>> Подробности

Опубликовано обновление продукта Альт Образование 10.1 на основе Деcятой платформы ALT (p10 Aronia). Сборки подготовлены для платформ x86_64, AArch64, i586. Дистрибутив предназначен для образовательных учреждений и внесён в Единый реестр российских программ и баз данных. Продукт поставляется в рамках Лицензионного договора, который предоставляет возможность свободного использования физическими лицами, но юридическим лицам допускается только тестирование, а для использования требуется приобрести коммерческую лицензию или заключить лицензионный договор в письменной форме.

( читать дальше... )

>>> Подробности

Компания Google объявила о включении языка программирования Rust в число языков, допустимых в коде проекта Chromium. Существующий код пока не планируют переписывать на Rust, но отныне будет разрешена интеграция в кодовую базу сторонних библиотек, написанных на Rust. В сборочную систему уже добавлен инструментарий для компиляции кода на языке Rust, проведения тестов и интеграции компонентов на Rust с кодом на C++. Появление кода на Rust в составе выпусков Chrome ожидается в следующем году.

( читать дальше... )

>>> Подробности

Представлен значительный выпуск платформы Discourse 3, предназначенной для ведения линейных обсуждений, которые применяются многими открытыми проектами вместо списков рассылки, web-форумов и чатов. Поддерживается разделение тем на основе тегов, отправка уведомлений о появлении ответов на сообщения, обновление списка сообщений в темах в режиме реального времени, динамическая загрузка содержимого по мере чтения, возможность подписки на интересующие разделы и отправки ответов по email. Система написана на языке Ruby с использованием фреймворка Ruby on Rails и библиотеки Ember.js (данные хранятся в СУБД PostgreSQL, быстрый кэш хранится в Redis). Код распространяется под лицензией GPLv2.

( читать дальше... )

>>> Подробности

Некоммерческая организация Natives in Tech, занимающаяся развитием технологической экосистемы для коренных народов, призвала сообщество Apache Software Foundation прекратить использование слова "Apache" и индейской символики в логотипе, в том числе переименовать все развиваемые под данным именем проекты. Для продвижения инициативы опубликована петиция, которую подписали 40 активистов. Среди поддержавших петицию Бредли Кун (Bradley M. Kuhn), основатель организации Software Freedom Conservancy (SFC), Джош Симмонс (Josh Simmons), председатель совета директоров организации OSI (Open Source Initiative), и Эрин Стейн (Erin Stein), руководитель организации Data and Tech for Good.

( читать дальше... )

>>> Подробности

Дональд Кнут — разработчик ряда программных технологий, в том числе создатель настольных издательских систем ΤΕΧ и METAFONT, предназначенных для набора и вёрстки книг научно-технической тематики, автор 19 книг и 160 статей.

( читать дальше... )

>>> Подробности

Новый закон, подписанный президентом Белоруссии Александром Лукашенко, допускает использование в республике фильмов, музыки и компьютерных программ без согласия их правообладателей из недружественных стран.

Власти Республики Беларусь разрешили ввоз в страну товаров, в том числе программного обеспечения и музыки, без согласия правообладателей. Закон «Об ограничении исключительных прав на объекты интеллектуальной собственности» опубликован на Национальном правовом интернет-портале страны, а в силу он вступит через 10 дней с момента размещения.

Положения упомянутого закона позволяют ввозить в страну и вводить в гражданский оборот товары с заключенными в них объектами интеллектуальной собственности, не имея на то разрешения правообладателей. Продукция, разрешённая для параллельного импорта, будет включаться в особые перечни товаров, являющихся существенно важными для внутреннего рынка страны. При этом параллельный импорт не будет разрешён, если правообладатели товаров сотрудничают с резидентами Беларуси и на внутреннем рынке не наблюдается критический недостаток такой продукции. Товары, которые попадут в список для параллельного импорта, будут исключены Государственным таможенным комитетом из национального таможенного реестра объектов интеллектуальной собственности.

Помимо прочего, под действие нового закона попадает программное обеспечение, аудиовизуальные произведения (в том числе кино, телепрограммы и др.), музыкальные композиции правообладателей из стран, «совершающих недружественные действия» в отношении Беларуси. Правила будут действовать до 31 декабря 2024 года.

В положении об иностранных компьютерных программах, музыке, телепередачах и «аудиовизуальных произведениях» уточняется, что за их использование должно выплачиваться вознаграждение. В том случае, если роялти, зачисленное на счета патентного органа, не будет востребовано в течение трех лет, эти деньги перейдут в бюджет Белоруссии.

Для того чтобы импорт товаров без санкции правообладателя, согласно новому закону, не считался преступлением, достаточно, чтобы он был включен в перечень «существенно важных» для внутреннего рынка.

>>> Подробности

Добрый день, уважемые телезрители! Как вы знаете, эта фича лично мной давно хотелась и много обсуждалась всеми нами. Наприме, @Harald предложил хороший вариант:

«надо каждому заигноренному @crypt -ом показывать поп-ап на весь экран крупным шрифтом уведомление, чтобы заигноренный постоянно осознавал собственную ничтожность, чтоб случайно не забыл о таком великом горе :D»

К сожалению, у меня не так много скилов, чтобы реализовать ее в таком виде, поэтому просто заходите в профиль, ищите скромную ссылку «настройки игнора» и там появился «Список игнорщиков». @Kaschenko, проверь пожалуйста.

И как обычно, спасибо @cocucka за полезные патчи и фиксы, т.к. настоящий программист тут он.

Enjoy!

>>> Подробности

• 27 декабря злоумышленники получили доступ к репозиториям компании Slack, размещённым на GitHub, и смогли загрузить содержимое приватных репозиториев. Причиной стала кража токенов нескольких сотрудников Slack. Отмечается, что пользовательские данные и первичная кодовая база приложения Slack не пострадали.
• В результате компрометации инфраструктуры сервиса непрерывной интеграции CircleCI с 24 декабря по 4 января атакующие получили доступ ко всем данным клиентов, включая OAuth-токены, ключи доступа к API, переменным окружения, SSH-ключи проектов и токены Runner-ов. По заявлению CircleCI сервисом пользуется более миллиона разработчиков и 30 тысяч компаний. Информация о том, как именно злоумышленники смогли получить доступ к инфраструктуре, не разглашается.
• Компания Rackspace атакована при помощи ранее неизвестной (0-day) уязвимости в Microsoft Exchange (CVE-2022-41080). В ходе инцидента зафиксирован доступ к почтовой переписке, календарям-планировщикам, спискам задач, адресной книге и прочим данным в PST-файлах (Personal Storage Table) 27 клиентов Rackspace, пользовавшихся сервисом электронной почты на базе Microsoft Exchange. Доступ к информации клиентов был блокирован атакующими с намерением получить выкуп (ransomware), но Rackspace восстановил содержимое из резервных копий. После инцидента принято решение свернуть сервис Hosted Exchange и перевести клиентов (около 30 тысяч пользователей) на новую платформу Microsoft 365.
• В открытом доступе опубликован архив с информацией о 209 млн учётных записей в Twitter, предположительно полученный в результате утечки персональных данных в конце 2021 года. Архив содержит такие данные, как email, ФИО и время регистрации, что может быть использовано, например, для определения кому принадлежат учётные записи, не раскрывающие детали о владельце. Паролей, номеров телефонов и адресов проживания в опубликованном файле не содержится.

( читать дальше... )

>>> Подробности

Доступен релиз дистрибутива Calculate Linux 23, развиваемого русскоязычным сообществом, построенного на основе Gentoo Linux, поддерживающего непрерывный цикл выпуска обновлений и оптимизированного для быстрого развёртывания в корпоративной среде. В новую версию включена серверная редакция Calculate Container Manager для работы с LXC, добавлена новая утилита cl-lxc, добавлена поддержка выбора репозитория обновления.

( читать дальше... )

>>> Подробности

subj

После ухода Apple из РФ российские операторы не смогли договориться с ней о поддержке функций VoLTE и VoWiFi на своих сетях для телефонов линейки iPhone 14. Эти функции улучшают качество связи, и на звонки через VoLTE в крупных городах России приходится более 60% голосового трафика. На iPhone 14 также недоступна высококачественная передача голоса, а раздача интернета с телефона требует ручной настройки. Но поставщики электроники полагают, что из-за высокой лояльности к Apple даже отключение многих функций едва ли скажется на спросе.

>>> Подробности

После 11 месяцев разработки опубликован релиз композитного менеджера Sway 1.8, построенного с использованием протокола Wayland и полностью совместимого с мозаичным оконным менеджером i3 и панелью i3bar. Код проекта написан на языке Си и распространяется под лицензией MIT. Проект нацелен на использование в Linux и FreeBSD.

( читать дальше... )

>>> Подробности

Компания Intel опубликовала начальную версию нового драйвера для ядра Linux - Xe, предназначенного для использования с интегрированными GPU и дискретными видеокартами на базе архитектуры Intel Xe, которая используется в интегрированной графике начиная с процессоров Tiger Lake и в отдельных видеокартах семейства Arc. В качестве цели разработки драйвера названо предоставление основы для обеспечения поддержки новых чипов, не привязанной к коду для поддержки старых платформ. Также заявлено более активное совместное использование кода Xe с другими компонентами подсистемы DRM (Direct Rendering Manager).

Код изначально рассчитан на поддержку различных аппаратных архитектур и доступен для тестирования на системах x86 и ARM. Реализация пока рассматривается как экспериментальный вариант для обсуждения разработчиками, ещё не готовый для интеграции в основной состав ядра. Работа над старым драйверов i915 не останавливается и его сопровождение будет продолжаться. Довести новый драйвер Xe до готовности планируется в течение 2023 года.

В новом драйвере большая часть кода для взаимодействия с экранами, заимствована из драйвера i915 и в дальнейшем разработчики планируют обеспечить совместное использование данного кода в обоих драйверах, чтобы избежать дублирования типовых компонентов (сейчас подобный код просто пересобирается два раза, но обсуждаются альтернативные варианты совместного использования кода). Модель памяти в Xe во многом близка к реализации модели памяти i915, а реализация execbuf очень походит на execbuf3 из кода i915.

Для обеспечения поддержи графических API OpenGL и Vulkan помимо драйвера для ядра Linux проектом также подготовлены изменения для работы Mesa-драйверов Iris и ANV через модуль Xe. В текущем виде связка Xe с Mesa уже достаточно развита для запуска GNOME, браузеров и игр на базе OpenGL и Vulkan, но пока отмечаются отдельные проблемы и ошибки, среди прочего приводящие к аварийным завершениям работы. Также пока не проводилась работа по оптимизации производительности.

( читать дальше... )

>>> Подробности

В модуле ksmbd, включающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлена критическая уязвимость, позволяющая удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблема проявляется начиная с ядра 5.15, выпущенного в ноябре 2021 года, и без лишней огласки устранена в обновлениях 5.15.61, 5.18.18 и 5.19.2, сформированных в августе 2022 года. Так как CVE-идентификатор проблеме ещё не присвоен, точной информации об устранении проблемы в дистрибутивах ещё нет.

Детали об эксплуатации уязвимости пока не раскрываются, известно только то, что уязвимость вызвана обращением к уже освобождённой области памяти (Use-After-Free) из-за отсутствия проверки существования объекта перед выполнением с ним операций. Проблема связана с тем, что в функции smb2_tree_disconnect() освобождалась память, выделанная под структуру ksmbd_tree_connect, но после этого ещё оставался указатель, используемый при обработке определённых внешних запросов, содержащих команды SMB2_TREE_DISCONNECT.

Кроме упомянутой уязвимости в ksmbd также исправлены 4 менее опасные проблемы:

• ZDI-22-1688 - удалённое выполнение кода с правами ядра из-за отсутствия в коде обработки атрибутов файлов проверки фактического размера внешних данных перед копированием в выделенный буфер. Опасность уязвимости сглаживает то, что атака может быть осуществлена только аутентифицированным пользователем.
• ZDI-22-1691 - удалённая утечка информации из памяти ядра из-за некорректной проверки входных параметров в обработчике команды SMB2_WRITE (атака может быть осуществлена только аутентифицированным пользователем).
• ZDI-22-1687 - удалённый вызов отказа в обслуживании через исчерпание доступной в системе памяти из-за некорректного высвобождения ресурсов в обработчике команды SMB2_NEGOTIATE (атака может быть проведена без аутентификации).
• ZDI-22-1689 - удалённый вызов краха ядра из-за отсутствия должной проверки параметров команды SMB2_TREE_CONNECT, приводящей к чтению из области вне буфера (атака может быть осуществлена только аутентифицированным пользователем).

Поддержка обеспечения работы SMB-сервера при помощи модуля ksmbd присутствует в пакете Samba, начиная с выпуска 4.16.0. В отличие от SMB-сервера, работающего в пространстве пользователя, ksmbd более эффективен с точки зрения производительности, потребления памяти и интеграции с расширенными возможностями ядра. Ksmbd преподносится как высокопроизводительное и готовое для применения на встраиваемых устройствах расширение к Samba, при необходимости интегрируемое с инструментами и библиотеками Samba. Авторами кода ksmbd являются Namjae Jeon из компании Samsung и Hyunchul Lee из LG, а сопровождением в составе ядра занимается Стив Френч (Steve French) из компании Microsoft, мэйнтейнер подсистем CIFS/SMB2/SMB3 в ядре Linux и давний участник команды разработчиков Samba, внёсший значительный вклад в реализацию поддержки протоколов SMB/CIFS в Samba и Linux.

( читать дальше... )

>>> Подробности

Компания Corsair отреагировала на проблемы в игровых клавиатурах Corsair K100, которые были восприняты многими пользователями как свидетельство наличие встроенного кейлоггера, сохраняющего введённые пользователем последовательности нажатий. Суть проблемы в том, что пользователи указанной модели клавиатуры сталкивались с ситуацией, когда в непредсказуемое время клавиатура повторно выдавала последовательности, введённые когда-то ранее. При этом, текст повторно автоматически набирался спустя несколько дней или недель, а иногда выдавались достаточно длительные последовательности, остановить вывод которых удавалось только отключив клавиатуру.

Изначально, предполагалось, что проблема вызвана наличием вредоносного ПО на системах пользователей, но позднее было показано, что эффект специфичен для обладателей клавиатуры Corsair K100 и проявляется в созданных для анализа проблемы проверочных окружениях. Когда стало очевидно, что проблема в аппаратном обеспечении представители Corsair предположили, что она вызвана не скрытым сбором данных о вводе пользователей и не встроенным кейлоггером, а ошибкой в реализации штатной функции записи макросов, присутствующей в прошивке.

Предполагается, что из-за ошибки в произвольные моменты актировалась запись макросов, которые через какое-то время воспроизводились. В пользу гипотезы, что проблема связана с записью макросов, указывает то, что при выводе не просто повторяется введённый текст, а соблюдаются паузы между нажатиями и повторяются такие операции, как нажатие клавиши Backspace. Что именно инициировало запись и воспроизведение макросов пока не ясно, так как разбор проблемы пока полностью не завершён.

( читать дальше... )

>>> Подробности

В компоненте systemd-coredump, обеспечивающем обработку core-файлов, генерируемых после аварийного завершения процессов, выявлена уязвимость (CVE-2022-4415), позволяющая непривилегированному локальному пользователю определить содержимое памяти привилегированных процессов, запущенных с флагом suid root. Наличие проблемы в конфигурации по умолчанию подтверждено в дистрибутивах openSUSE, Arch, Debian, Fedora и SLES.

( читать дальше... )

По заявлению разработчиков systemd уязвимость проявляется, начиная с выпуска systemd 247 (ноябрь 2020 года), но по словам выявившего проблему исследователя уязвимости подвержен и выпуск 246.

( читать дальше... )

>>> Подробности