Выпуск мобильной платформы /e/OS 2.4

Прошивка /e/OS развивается как ответвление от платформы Android (используются наработки LineageOS), избавленное от привязки к сервисам и инфраструктуре Google, что позволяет с одной стороны сохранить совместимость с Android-приложениями и упростить поддержку оборудования, а с другой стороны блокировать передачу телеметрии на серверы Google и обеспечить высокий уровень конфиденциальности. Блокируется и неявная отправка информации, например, обращение к серверам Google при проверке доступности сети, резолвинге DNS и определении точного времени.

Для взаимодействия с сервисами Google предустановлен пакет microG, который позволяет обойтись без установки проприетарных компонентов и предлагает вместо сервисов Google независимые аналоги. Например, для определения местоположения по Wi-Fi и базовым станциям (без GPS) задействована прослойка UnifiedNlp, способная работать через OpenWlanMap, openBmap, OpenCellID, lacells.db и другие альтернативные сервисы. Вместо поисковой системы Google предлагается собственный метапоисковый сервис на основе форка движка Searx, обеспечивающий анонимность отправляемых запросов.

Для синхронизации точного времени вместо Google NTP используется NTP Pool Project, а вместо DNS-серверов Google (8.8.8.8) - DNS-серверы текущего провайдера. В web-браузере по умолчанию включён блокировщик рекламы и скриптов для отслеживания перемещений. Для синхронизации файлов и данных приложений разработан собственный сервис, который может работать c инфраструктурой на базе NextCloud. Серверные компоненты основаны на открытом ПО и доступны для установки на подконтрольных пользователю системах.

Интерфейс пользователя существенно переработан и включает собственное окружение для запуска приложений BlissLauncher, улучшенную систему уведомлений, новый экран блокировки и иное стилевое оформление. В BlissLauncher задействован специально разработанный для проекта набор автоматически масштабируемых пиктограмм и подборка виджетов (например, виджет для показа прогноза погоды).

Проектом также развивается собственный менеджер аутентификации, позволяющий использовать для всех сервисов единую учётную запись (user@murena.io), регистрируемую в процессе первой установки. Учётную запись можно использовать для получения доступа к своему окружению через Web или на других устройствах. В облаке Murena Cloud бесплатно предоставляется 1ГБ для хранения своих данных, синхронизации приложений и резервных копий.

По умолчанию в состав входят такие приложения, как почтовый клиент (K9-mail), web-браузер (Cromite, ответвление от Chromium), программа для работы с камерой (OpenCamera), программа для отправки мгновенных сообщений (qksms), система для ведения заметок (nextcloud-notes), PDF-просмотрщик (MJ PDF), планировщик (opentasks), программа для работы с картами (Magic Earth), галерея фотографий (gallery3d), файловый менеджер (DocumentsUI).

Основные изменения в /e/OS 2.4:

• Обеспечена официальная поддержка смартфона Google Pixel 7.
• Реализована возможность обновления программы управления учётными записями через менеджер приложений App Lounge, по аналогии с остальными приложениями. Кроме того, в App Lounge добавлена поддержка автообновления самого себя.
• В web-браузере обеспечена загрузка с собственного хоста gitlab.e.foundation фильтров для блокироваиня рекламы. Браузерный движок обновлён до кодовой базы Chromium 127.
• В календаре-планировщике предоставлена возможность добавления в календарь ics-файлов, включающих информацию о нескольких событиях.
• В прошивке для смартфона Fairphone 5 появилась возможность использования родного для данного смартфона приложения для работы с камерой. Улучшен интерфейс камеры для смартфона Murena Two.
• В программе доставки обновлений каналы stable и dev переименованы в official и community.
• Перенесены исправления и обновления из платформы LineageOS 20.
• Просмотрщик PDF обновлён до версии 2.2.1.

I am very happy to announce that Rabbit Waves is out!

The idea for this project came after @neauoire & I were discussing the disappearance of certain traditional seasteading skills and maritime communication knowledge. We believe these skills are valuable when electronics misbehave, but they're also just generally fun to learn and to use.

All of the art is drawn by hand :>! We will add more content as we go!

https://rabbitwaves.ca/

Выпуск СУБД MySQL 9.1.0

Основные изменения в MySQL 9.1:

• В операцию "CREATE VIEW" добавлена поддержка выражения "IF NOT EXISTS", позволяющего организовать создание представления только если представления с указанным именем ещё не существует и избежать возвращения ошибки, если представление уже создано.
• Прекращена загрузка триггеров при выполнении операций, связанных только с чтением. Ранее триггеры загружались при любом доступе к таблице, что приводило к расходованию памяти и созданию нагрузки на CPU в ситуациях, когда триггеры не использовались (например, при выполнении запросов SELECT). В MySQL 9.1 обработка и загрузка триггеров разделена на две стадии: чтение метаданных о триггере и разбор+выполнение траггера. Данные, полученные на первой стадии сохраняются один раз и затем совместно используются в различных экземплярах триггера. Разбор и выполнение триггера производится только для выражений, приводящих к изменению данных. Кроме того, для сокращения потребления памяти вместо статического выделения буферов для обработки ошибок в триггерах осуществлён переход к динамическому выделению памяти по необходимости.
• Расширен вывод операции "EXPLAIN", в котором теперь отображаются сведения об использовании многодиапазонного чтения (multi-range) и применении стратегии полуобъединения (semijoin), при которой при операциях JOIN обрабатываются строки только из одной таблицы.
• Обеспечено атомарное выполнение операций "CREATE DATABASE" и "DROP DATABASE" для защиты от сбоев в случае аварийного завершения или возникновения ошибок на уровне файловой системы во время выполнения данных операций. Например, ранее при аварийном завершении "CREATE DATABASE" могла быть сформирована неполная нерабочая структура хранилища БД, для очистки которой требовалось ручное вмешательство.
• В написанных на JavaScript хранимых процедурах обеспечена поддержка типа VECTOR. Данные с указанным типом теперь могут передаваться во входных и возвращаемых параметрах.
• Добавлена возможность аутентификации при подключении к СУБД с использованием протокола OpenID Connect.
• Устранено 27 уязвимостей, самой серьёзной из которых (CVE-2024-5535) присвоен критический уровень опасности (9.1 из 10). Уязвимость может быть эксплуатирована удалённо без прохождения аутентификации. Проблема вызвана чтением данных из области вне выделенного буфера в библиотеке OpenSSL и приводит к аварийному завершению или утечке содержимого памяти в ответе после соединения с сервером с указанием некорректных параметров протокола.

— Господи, почему ты не создал мир до Большого Взрыва?
— Ну как вам сказать... Понимаете... Времени не было.
©пиздил

Опубликована платформа Node.js 23.0 с начальной поддержкой языка TypeScript

Основные улучшения:

• Добавлена экспериментальная поддержка языка TypeScript, допускающего явное определение типов. Поддержка включается при помощи опций "--experimental-strip-types" и "--experimental-transform-types". В случае первой опции работа с TypeScript сводится к очистке специфичных для данного языка определений типов (проверка типов не выполняется, код просто приводится к виду JavaScript без типов). Вторая опция осуществляет преобразование в код на JavaScript некоторых элементов синтаксиса TypeScript, например, перечислений (enum) и пространств имён (namespace).
• Включена по умолчанию возможность использования вызова "require()" для загрузки JavaScript-модулей ESM (ECMAScript Modules) в синхронном режиме. ESM-модули применяются в браузерах и идут на смену модулям CommonJS, специфичным для Node.js. Для загрузки через "require()" в Node.js ESM-модуль должен выполняться в синхронном режиме (без await на верхнем уровне).
• Обеспечено автоматическое выявление ESM-модулей в файлах без расширения или с расширением ".js". Ранее подобные файлы трактовались как модули CommonJS, если в размещённом в том же каталоге файле package.json явно не указывался их тип ("type": "module"). В новой версии для файлов, тип которых не обозначен в package.json, вначале осуществляется попытка загрузки как модуля CommonJS, а если это не удалось, то как модуля ESM.
• Добавлена экспериментальная реализация совместимого с браузерами API Web Storage, предназначенного для постоянного (класс localStorage) или временного (класс sessionStorage) хранения данных в формате ключ/значение. Для включения поддержки Web Storage требуется запуск с флагом "--experimental-webstorage" и указание пути к файлу с хранилищем через флаг "--localstorage-file".
• Добавлен экспериментальный API SQLite для работы с базами данных, используя язык запросов SQL и хранилище на базе библиотеки SQLite. Помимо хранения базы данных в файле на диске, её также можно размещать в памяти, указав вместо имени файла ":memory:". Вышеотмеченной API Web Storage также реализован поверх SQLite, что привело к добавлению SQLite в число зависимостей для Node.js.
• Объявлена стабильной команда "node --run", предназначенная для запуска скриптов, определённых в файле package.json.
• Реализована опциональная поддержка кэширования скомпилированного кода на диске для существенного ускорения запуска модулей. Включение кэширования осуществляется через переменную окружения NODE_COMPILE_CACHE. По своему назначению возможность напоминает пакет v8-compile-cache, но отличается более высокой производительностью и поддержкой модулей ESM.
• Проведена оптимизация объекта Buffer, позволившая значительно увеличить производительность методов Buffer.copy() и Buffer.write().
• Повышена производительность модуля node:fs, в котором также сокращено число вызовов кода на C++ в процессе работы.
• Движок V8 обновлён до версии 12.9, применяемой в Chromium 129.
• Удалена поддержка 32-разрядных систем с ОС Windows.
• Из-за внедрения в Node.js и движке V8 возможностей, определённых в стандарте C++20, повышены требования к версии компилятора GCC. Для сборки Node.js теперь требуется как минимум версия GCC 12.

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обеспечения обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8 (дополнительно Microsoft развивает вариант Node.js с движком Chakra-Core). По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python Twisted и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.


Источник: https://www.opennet.ru/opennews/art.shtml?num=62066

Google проанализировал уязвимости, в 2023 году задействованные для совершения атак

Из тенденций также отмечается значительное ускорение разработки эксплоитов - среднее время появления эксплоитов для новых уязвимостей в 2023 году составило 5 дней после публикации исправления в уязвимом ПО, в то время как в 2021 и 2022 годах этот показатель составлял 32 дня, в 2020 году - 44 дня, а в 2018-2019 годах - 63 дня. В 12% случаев первый факт эксплуатации уязвимости выявлен в течение суток после публикации патча, в 29% - в течение недели, в 56% - в течение месяца, в 5% - 6 месяцев (в 2022 году этот показатель составлял 25%).

В качестве примеров рассмотрены критические уязвимости CVE-2023-28121 и CVE-2023-27997, затрагивающие плагин WooCommerce Payments к WordPress и Fortinet FortiOS. В первом случае эксаплуатация была примитивной и требовала отправки определённого HTTP-запроса для обхода аутентификации, а во втором случае для эксплуатации переполнения буфера и обхода механизма рандомизации адресов потребовалось создание достаточно сложного эксплоита. Атаки на WooCommerce Payments начались через 10 дней после публикации технических деталей, а на FortiOS лишь спустя 3 месяца, при этом первые рабочие эксплоиты были предложены через 8 дней и 3 дня соответственно.

Доступна платформа совместной разработки Forgejo 9.0, перешедшая на лицензию GPLv3

Ключевыми особенностями платформы является низкое потребление ресурсов (может использоваться на плате Raspberry Pi или в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев. Отдельно выделяется возможность использования протокола ActivityPub для объединения в федеративную сеть отдельных серверов разработчиков.

Основные изменения:

• Осуществлён переход c пермиссивной лицензией MIT на копилефт лицензию GPLv3+ для нового кода. Cмена лицензии упростит задействование в проекте кода, распространяемого под копилефт-лицензиями, не совместимыми с MIT, а также снизит риск применения недобросовестных бизнес-практик, таких как привязка пользователя к определённому поставщику и создание модифицированных версий Forgejo, распространяемых с дополнительными ограничениями.
• Добавлена начальная реализация системы настраиваемых квот, позволяющих ограничивать размер пользовательских данных на сервере. Реализация основана на установке мягких квот (soft quota), превышение которых проверяется только перед выполнением операций, но не ограничивается в случае превышения квоты в процессе выполнения операций.
• Разрешено использование SSH-ключей вместо паролей для аутентификации операций зеркалирования.
• Для работы с Git оставлен только бэкенд на базе штатного инструментарий Git. Удалён бэкенд go-git с реализацией Git на языке Go, что упростит сопровождение, позволит развивать Forgejo без оглядки на функциональность go-git и исключит проблемы с повреждением репозиториев, возникавших в go-git.
• Удалён провайдер сеансов на базе СУБД Couchbase, так как он завязан на несвободное ПО, возможности тестирования которого ограничены.

Репозиторий с кодом WinAmp удалён с GitHub

Проект Asterinas развивает ядро на языке Rust, совместимое с Linux

Проект развивается с осени 2022 года и намерен уже в этом году добиться уровня, пригодного для широкого использования в виртуальных машинах с архитектурой x86-64. Начиная со следующего года основное внимание планируют переключить на реализацию поддержки оборудования и других архитектур CPU. Из приоритетных областей применения называются системы, завязанные на Linux ABI, но требующие более высокого уровня защищённости. Например, Asterinas предлагается использовать для формирования системного окружения защищённых виртуальных машин, для изоляции которых используются такие технологии, как ARM CCA, AMD SEV и Intel TDX, а также на стороне хост-системы, обеспечивающей запуск контейнеров.

Для снижения вероятности появления ошибок при работе с памятью, являющихся главным источником наиболее опасных уязвимостей, при написании Asterinas задействован язык Rust и тактика ограниченного использования unsafe-блоков. Ядро построено с использованием архитектуры framekernel, в которой разработчики попытались совместить возможности изоляции микроядер с эффективностью монолитных ядер.

Компоненты ядра в Asterinas размещаются в общем адресном пространстве, а безопасность достигается на уровне логического разделения безопасного кода и кода в котором не исключено возникновение проблем с безопасностью. Ядро разбито на две части, написанные на Rust: OS Framework и OS Services. В OS Services запрещено применение unsafe-блоков, а все низкоуровневые операции, требующие выполнения кода в блоках unsafe, вынесены в OS Framework и доступны только через высокоуровневый API. Все системные вызовы, файловые системы и драйверы реализуются на уровне OS Services и не могут включать unsafe-блоки.

При разработке системных сервисов и модулей ядра предлагается использовать инструментарий OSDK (Operating System Development Kit), предоставляющий утилиту cargo-osdk для создания, сборки, тестирования и запуска компонентов операционной системы. Для разработчиков подготовлен набор библиотек OSTD (Operating System Standard Library), представляющий собой редакцию стандартных библиотек Rust(crate std), адаптированную для использования в компонентах операционной системы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62061

Capibara Zero — дешёвая альтернатива Flipper Zero

https://capibarazero.github.io/docs/docs/intro/

Выпуск музыкального проигрывателя Fooyin 0.8

Поддерживается воспроизведение файлов в формате FLAC, MP3, MP4, Vorbis, Opus, WavPack, WAV, AIFF, Musepack, Monkey's Audio, VGM и различных трековых форматов. Среди возможностей Fooyin: извлечение сведений о порядке и длительности звуковых треков из CUE-файлов, воспроизведение без пауз (gapless), создание, импорт и экспорт списков воспроизведения в форматах M3U/M3U8, фильтрация содержимого музыкальной библиотеки по любым полям, древовидное представление коллекции, редактирование тегов, визуализации при помощи спектрограмм, навигация на уровне каталогов в файловой системе с возможностью прямого воспроизведения выбранных файлов. Для внешнего управления проигрывателем может использоваться D-Bus-интерфейс MPRIS (Media Player Remote Interfacing Specification).

В новой версии:

• Расширены возможности для нормализации громкости (ReplayGain). Для расчёта параметров нормализации может использоваться библиотека libebur128 или FFmpeg.
• В скрипты FooScript добавлен синтаксис запросов, который можно использовать для фильтрации и поиска содержимого. В следующей версии данная возможность будет использована при реализации умных списков воспроизведения.
• Добавлены новые плагины визуализации звуковой волны "peak" и "VU".
• Добавлена начальная поддержка загрузки и воспроизведения контента в формате DSF/DSDIFF.
• Реализована поддержка показа обложек альбомов при работе с коллекцией в древовидном режиме.
• Во встроенный виджет поиска добавлены новые режимы поиска. Реализована отдельная страница с настройками поиска.

Выпуск компилятора ISPC 1.25, развиваемого Intel для языка Си с расширениями SPMD

Си-программы с расширениями SPMD компилируются для выполнения на вычислительных блоках SIMD, предоставляемых CPU и GPU, что позволяет задействовать механизмы векторизации SIMD без низкоуровневых оптимизаций и явного применения в коде SIMD-инструкций. Для написания распараллеливаемых функций используется привычный синтаксис и идиомы языка Си - SPMD-функции напрямую взаимодействуют с функциями и структурами, написанными на C/C++. Для отладки программ могут применяться существующие отладчики.

В качестве бэкенда для генерации кода и оптимизации в ISPC используется инфраструктура LLVM. Поддерживаются векторные инструкции x86 (SSE2, SSE4, AVX, AVX2, AVX512) и ARM (NEON), а также вынос вычислений на сторону GPU (Intel Gen9 и Xe). На архитектурах с векторными блоками SSE, обрабатывающими по 4 элемента за раз, применение ISPC даёт возможность добиться ускорения выполнения программы в 3 или более раз, а на архитектурах с векторными блоками AVX, обрабатывающими по 8 элементов за раз, ускорение может достигать 5-6 раз. При этом помимо размера векторного блока, масштабирование также обеспечивается за счёт выполнения на разных процессорных ядрах.

Основные новшества, добавленные в версии ISPC 1.25:

• При объявлении переменных и функций разрешено указание атрибутов "noescape", "address_space(N)", "external_only" и "unmangled" при помощи ключевого слова "__attribute__".
• Добавлена поддержка использования шаблонов при объявлении векторов и массивов.
• Обеспечен вывод сообщений об ошибках при использовании несовместимых типов при объявлении переменных.
• Улучшена генерация кода для циклов foreach. Повышена эффективность генерации кода на основе наборов инструкций AVX2 и AVX512.
• Обеспечена упреждающая компиляция стандартной библиотеки (stdlib), выполняемая на стадии сборки ISPC, а не при компиляции проектов. Изменение позволило сократить время сборки на 5-60%, в зависимости от размера собираемого кода.
• Добавлены новые сборочные цели: xe2hpg-x16 и xe2hpg-x32 для GPU Intel Xe2 Battlemage, xe2lpg-x16 и xe2lpg-x32 для GPU Intel X Xe2 Lunar Lake. Также добавлены определения arrowlake, lunarlake и graniterapids для CPU Intel ArrowLake, LunarLake и GraniteRapids.
• Объявлены устаревшими сборочные цели avx512knl-x16, gen9-x8 и gen9-x16.
• В стандартную библиотеку для данных с типами float и double добавлены атомарные операции сложения, вычитания, поиска минимума и максимума.
• Добавлена опция командной строки "-ffunction-sections" для генерации каждой функции в отдельной секции.
• Предоставлена возможность сборки ISPC в двух режимах "slim" и "composite" (по умолчанию). Второй режим отличается интеграцией библиотек stdlib и binutils в единый исполняемый файл, вместо их поставки в виде отдельных файлов.

Опубликован исходный код игры Rogue Legacy

Опубликован только код без игровых ресурсов, которые можно перенести из своей копии игры. Предложенный код рассчитан на применение пакета FNA с открытой реализацией библиотек Microsoft XNA Game Studio 4.0 Refresh. При этом отдельно отмечается, что ведётся работа по портированию игры на библиотеку SDL 3.

Intel и AMD при участии Линуса Торвальдса создали консультативную группу по экосистеме x86

Ключевой задачею инициативы названа совместная работа над обеспечением совместимости между платформами, упрощением разработки программного обеспечения для систем x86 и выявлением потребностей разработчиков в расширении архитектуры. Целью является поддержание развития архитектуры x86 как вычислительной платформы, востребованной как разработчиками, так и потребителями.

Ожидается, что группа поможет объединить лидеров индустрии и учесть интересы как производителей оборудования, так и сообществ разработчиков ПО, для формирования будущего архитектуры и предоставления разработчикам более унифицированного набора инструкций и архитектурных интерфейсов. В область интересов группы попадают различные области применения, включая решения для центров обработки данных, клиентских систем, облачных сервисов, встраиваемых устройств, машинного обучения и 3D-графики.

Ожидается, что в итоге удастся улучшить совместимость между программным и аппаратным обеспечением, упростить руководства по архитектуре и стандартизировать интерфейсы продуктов Intel и AMD, а также обеспечить более эффективную интеграцию новых аппаратных возможностей в операционные системы, фреймворки и приложения.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62056

Amazon адаптировал инструментарий управлениями контейнерами Finch для работы в Linux

Интерфейс командной строки в Finch реализован с использованием наработок проекта nerdctl, предоставляющего совместимый с Docker набор команд для сборки, запуска, публикации и загрузки контейнеров (build, run, push, pull и т.п.), расширенного дополнительными возможностями, такими как режим работы без root, шифрование образов, распространение образов в режиме P2P при помощи IPFS и заверение образов цифровой подписью. В качестве runtime для управления контейнерами применяется containerd. Для сборки образов в формате OCI задействован инструментарий BuildKit.

В версиях для Windows и macOS для запуска виртуальных машин с Linux, настройки совместного доступа к файлам и перенапрпвления сетевых портов в Finch применяется отдельная прослойка Lima, позволяющая использовать технологии виртуализации VF (Virtualization Framework) в macOS и WSL2 в Windows для реализации используемых в Linux примитивов изоляции. В версии Finch для Linux вместо Lima осуществляется прямое обращение к штатным возможностям ядра, таким как пространства имён и cgroup.

Finch связывает nerdctl, containerd и BuildKit в одно целое и позволяет сразу приступить к работе, без необходимости разбираться и настраивать все эти компоненты по отдельности. Для работы предлагается собственная утилита finch, которая скрывает за унифицированным интерфейсом детали работы с каждым входящим в состав компонентом. Для начала работы достаточно установить один пакет, который включает всё что необходимо, после чего можно сразу создавать и запускать контейнеры.

В версии для Linux доступны все возможности, ранее предоставляемые для macOS и Windows, среди которых сборка образов контейнеров на основе Dockerfiles, запуск контейнеров на локальной системе, помещение и извлечение образов контейнеров из реестров, управление сетями и дисковыми разделами, использование команды "finch compose" для формирования многоконтейнерых приложений.

В процессе разработки Finch компанией Amazon также подготовлено несколько расширений к nerdctl, которые уже приняты в основной состав данного проекта. В частности, в nerdctl добавлены компоненты для заверения образов цифровой подписью и реализация возможности создания и запуска образов, используя технологию SOCI (Seekable OCI), изначально созданную для AWS и позволяющую заметно ускорить загрузку образов контейнеров (SOCI позволяет начать запуск не дожидаясь окончания полной загрузки образа и подгружать необходимые для работы части по мере необходимости).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62055

Обновление VirtualBox 7.1.4

• В дополнениях для гостевых систем с Linux добавлена начальная поддержка ядра 6.12, релиз которого ожидается в конце ноября. Из-за перехода гипервизора KVM к инициализации сразу после загрузки модуля ядра для запуска виртуальных машин в VirtualBox необходимо выставить параметр в командной строке ядра "kvm.enable_virt_at_load=0" или выгрузить модуль ядра kvm_*.
• Предоставлена возможность автоматического обновления дополнений для гостевых систем с Linux для ARM через меню Devices.
• В драйвере VMSVGA устранены проблемы с мерцанием, появлением чёрного экрана и нарушениями обновления информации на экране, проявляющиеся на системах с ядром Linux 6.4 и новее.
• В трансляторе адресов решена проблема с восстановлением состояния окружений, созданных в VirtualBox 7.0.X.
• В VBoxManage налажена работа команд "list vms" и "showvminfo" для недоступных виртуальных машин.
• В дополнениях для хостов c Windows решены проблемы с проверкой размера системных DLL при использовании Windows 11 24H2 и сборок Insider Preview.
• Для систем с EFI добавлен недостающий драйвер для LsiLogic MPT SCSI, решающий проблемы с загрузкой устройств, прикреплённых к хранилищам на основе данного контроллера.
• В EFI восстановлена поддержка сетевой загрузки.

Помимо данных изменений в новой версии устранено 5 уязвимостей с максимальным уровнем опасности 7.5. Подробности об уязвимостях не раскрываются. В ветке VirtualBox 7.0.x уязвимости устранены в выпуске 7.0.22.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62054

В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth

Процесс sshd-auth запускается из sshd-session и позволяет дополнительно изолировать связанные с аутентификацией данные в адресном пространстве отдельного процесса, что не даст получить доступ к этим данным в памяти в случае проведения атак на код, используемый для обработки стадий соединения до завершения аутентификации. Кроме того, изменение немного снизит потребление памяти, так как связанный с аутентификацией код теперь присутствует в памяти только в момент проведения аутентификации, а затем выгружается при завершении процесса sshd-auth.

По аналогии с sshd, ssh-session и ssh-agent для процесса sshd-auth применена операция случайной перекомпоновки исполняемого файла во время каждой загрузки операционной системы. Случайная перекомпоновка делает плохо предсказуемым смещения функций в исполняемых файлах и библиотеках, что затрудняет создание эксплоитов, использующих методы возвратно-ориентированного программирования (ROP - Return-Oriented Programming). При использовании техники ROP атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62052

#техника #история #микроволновка

А вот еще интересная штука: 1987 г., #Sharp, капсульная микроволновка. Переносная, позиционировалась «для использования за обеденным столом». Видимо, обусловлено японской культурой. Идея развития не получила.

А на мой взгляд — зря. Мы пользуемся микроволновкой 10 минут в день максимум. Остальное время она занимает место на кухонном столе. Кто-то вообще пользуется редко. И вот эту малышку можно было бы доставать и убирать в шкаф при необходимости (я не предлагаю делать это 3 раза в день ;-) но, например, быстро освободить место).

А смотрится так вообще шикарно. Вопросы, конечно, есть к излучению... Похоже, над этим в 87-м не особо задумывались.

https://design.sharp.co.jp/eng/design_column/a08_1987microwave-re2

Выпуск Sevimon 0.2, программы видеоконтроля напряжения мышц лица

Основные изменения:

• Добавлена настройка для вывода звукового предупреждения.
• Добавлена настройка задержки предупреждения.
• Появилась возможность выбора основного лица для анализа.
• Несовместимые изменения в формате файла с настройками.
• Внесены исправления для работы в macOS.
• Уменьшен размер образа Docker, а также файлов для Windows.

Для пользователей Windows 10+ подготовлен архив с бинарной сборкой. Поскольку для сборки используется компилятор Nuitka, некоторые антивирусы выдают предупреждение. Для пользователей Linux подготовлен образ Docker с программой, всеми её зависимостями и моделями, который запускается без доступа к сети.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62051

Мигрантофобию в каждый дом: «Тренды порядка и хаоса», эпизод 179

Вышел новый эпизод нашего еженедельного подкаста « #Тренды порядка и хаоса» с анархистской точкой зрения на текущие события.

Этот эпизод подготовило Движение Иркутских Анархистов и Анархисток @diana_irk. В нём:

— Повседневная мигрантофобия
— Задержания вместо бомб
— Жильё признано незаконным и аварийным. Мы его у вас отберём.

https://avtonom.org/news/migrantofobiya-v-kazhdyy-dom-trendy-poryadka-i-haosa-epizod-179

#мигранты #FoodNotBombs #Иркутск #antifa #ЕдаВместоБомб #Екатеринбург #АвтономноеДействие

LibreSSL 4.0.0 Released

The release announcement reads,

Subject:    LibreSSL 4.0.0 Released
From:       Brent Cook <busterb () gmail ! com>

We have released LibreSSL 4.0.0, which will be arriving in the
LibreSSL directory of your local OpenBSD mirror soon. This is the
first stable release for the 4.0.x branch, also available with OpenBSD 7.6

It includes the following change from LibreSSL 3.9.2:

  * Portable changes
    - Added initial Emscripten support in CMake builds.
    - Removed timegm() compatibility layer since all uses were replaced
      with OPENSSL_timegm(). Cleaned up the corresponding test harness.
    - The mips32 platform is no longer actively supported.
    - Fixed Windows support for dates beyond 2038.

Read more…

Релиз дистрибутива Solus 4.6

Для управления пакетами задействован пакетный менеджер eopkg (форк PiSi из Pardus Linux), предоставляющий привычные средства для установки/удаления пакетов, поиска в репозитории и управления репозиториями. Пакеты могут выделяться в тематические компоненты, которые в свою очередь образуют категории и подкатегории. Например, Firefox отнесён к компоненту network.web.browser, входящему в категорию сетевых приложений и подкатегорию приложений для Web. Для установки из репозитория предлагается более 2000 пакетов.

Дистрибутив придерживается гибридной модели разработки, в соответствии с которой периодически выпускаются значительные выпуски, в которых предлагаются новые технологии и значительные улучшения, а в промежутке между значительными выпусками дистрибутив развивается с применением rolling-модели обновления пакетов.

Окружение Budgie базируется на технологиях GNOME и собственной реализации оболочки GNOME Shell (в следующей ветке Budgie 11 планируют отделить функциональность рабочего стола от слоя, обеспечивающего визуализацию и вывод информации). Для управления окнами задействован оконный менеджер Budgie Window Manager (BWM), являющийся расширенной модификацией базового плагина Mutter. Основу Budgie составляет панель, близкая по организации работы к классическим панелям рабочего стола. Все элементы панели являются апплетами, что позволяет гибко настраивать состав, менять размещение и заменять реализации основных элементов панели на свой вкус.

Среди доступных апплетов можно отметить классическое меню приложений, систему переключения задач, область со списком открытых окон, просмотр виртуальных рабочих столов, индикатор управления питанием, апплет управления уровнем громкости, индикатор состояния системы и часы. Для воспроизведения музыки в редакциях с рабочими столами Budgie и GNOME предложен проигрыватель Rhythmbox c расширением Alternate Toolbar, предлагающим интерфейс с компактной панелью, реализованной с применением декорирования окон на стороне клиента (CSD). Для воспроизведения видео в редакциях Budgie и GNOME задействован Celluloid. В редакции с KDE для воспроизведения музыки доступен Elisa, а для видео - Haruna. В редакции с Xfce для воспроизведения мультимедийных файлов использован плеер Parole.

Основные изменения:

• Завершена третья стадия переноса всех исполняемых файлов и библиотек из корневых каталогов в раздел /usr (каталоги /bin, /sbin и /lib* теперь унифицированы с соответствующими каталогами внутри /usr и оформлены через символические ссылки на них). Подобная реструктуризация избавит от путаницы с размещением файлов и приведёт дистрибутив к соответствию требованиям systemd, в котором начиная с выпуска 255 прекращена поддержка раздельных иерархий каталогов. Все пользователи Solus после установки обновлений будут переведены на унифицированный раздел /usr.
• Помимо предлагаемого по умолчанию интерфейса для установки приложений solus-sc (Solus Software Center) предоставлена экспериментальная возможность использования менеджеров приложений GNOME Software и KDE Discover для установки и обновления программ из репозиториев Solus, а также управления пакетами в формате Flatpak, устанавливаемыми из каталога Flathub. GNOME Software можно использовать в редакциях на базе Budgie, GNOME и Xfce, а KDE Discover в редакции на основе KDE Plasma.
• Обновлены системные компоненты и пользовательские программы, например, предложено ядро Linux 6.10.13 (в качестве опции доступны пакеты с LTS-ядром 6.6.54 и дополнительными патчами для AppArmor), Mesa 24.2.3, Firefox 131.0.3, LibreOffice 24.2.5.2, Thunderbird 128.3.1.
• Рабочий стол Budgie обновлён до выпуска 10.9.2. Вместо некоторых ранее поставлявшихся приложений GNOME по умолчанию задействованы аналоги из набора XApps, развиваемого проектом Linux Mint 22. В частности, просмотрщик документов Evince заменён на XReader, просмотрщик изображений Eye of GNOME на XViewer, а менеджер архивов File Roller на Engrampa.
• Рабочий стол GNOME обновлён до выпуска 46.5, в котором появилась функция глобального поиска, повышена производительность файлового менеджера, добавлена экспериментальная поддержка механизма VRR (Variable Refresh Rate), улучшено качество вывода при дробном масштабировании, расширены возможности подключением к внешним сервисам, обновлён конфигуратор и улучшена система уведомлений.
• Сборка на базе KDE Plasma обновлена до выпусков KDE Plasma 6.1.5, KDE Gear 24.08.1, KDE Frameworks 6.6.0, Qt 6.7.3 и sddm 0.21.0.
• В сборках с Xfce задействованы компоненты из ветки 4.18, а также пакеты Mousepad 0.6.2, Parole 4.18.1, Ristretto 0.13.2, Thunar 4.18.11 и Whiskermenu 2.8.3. Вместо менеджера архивов File Roller по умолчанию предложен Engrampa от проекта MATE, для просмотра PDF задействован XReader. В состав включён плагин для переключения раскладки клавиатуры. В репозиторий добавлены пакеты xfdashboard, xfce4-battery-plugin и xfce4-clipman-plugin.

Обновление Firefox 131.0.3

• Устранена уязвимость (CVE-2024-9936), вызванная неопределённым поведением в реализации кэша DOM-узлов, охватываемых при выделении текста на странице (selection node cache). Уязвимость помечена как опасная и может привести к аварийному завершению при обработке определённого контента.
• Решены проблемы, из-за которых перестал работать сервис Bill Pay на сайтах некоторых банков.
• Исправлена ошибка, приводившая к некорректному отображению в YouTube пространственных видео, снятых в режимах 360 и 180 (VR180) градусов.
• Устранено аварийное завершение при просмотре некоторых сайтов, проявляющееся на системах Windows с установленным антивирусом Avast или AVG.
• Исправлена ошибка, не позволявшая переместить из панели кнопку со списком всех вкладок ("List all tabs").

Вторая экспериментальная сборка Firefox для ОС Haiku

Кроме того, можно отметить сокращение до 128Mb требований к размеру оперативной памяти для запуска в QEMU 64-битной версии системы с браузером Webpositive, и до 100Mb для 32-битной версии. Также возобновлены работы по использованию в app_server для отрисовки 2D-графики библиотеки Skia, что заодно поможет исправить в app_server множество давних проблем. Одно из главных преимуществ движка Skia в том, что он имеет поддержку рендеринга через GPU, при этом нет необходимости реализовывать интеграцию с видеодрайверами. А еще Skia умеет обрабатывать современную векторную графику, применяемую например в Web, и может отрисовывать текст для языков с начертанием справа налево, таких как арабский язык.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62047

✨ Recently Played ✨

💀👻 An English Haunting 👻💀

by @postmodernadv tells a ghost story that takes place in England and is set in 1907.

You play the role of a university professor who sets out to prove that ghosts and the afterlife exist.

The story is well-written and includes several creepy moments! 😱

If you liked the spiritual predecessor / sequel "Nightmare Frames", you should give this one a try as well! 🧡

#PointAndClick #AdventureGames #PixelArt #Horror #London #Scotland #Gore #Ghosts

#jupiter9 #autumn

Google экспериментирует с возможностью запуска Linux-приложений в Android

Для виртуализации используется добавленный в Android 13 фреймворк AVF (Android Virtualization Framework), реализованный на базе гипервизора KVM и инструментария crosvm. Похожая конфигурация ранее применялась Google в экспериментах с запуском Chromium OS в Android и в функциональности для запуска Linux в Chrome OS.

В отличие от эксперимента с Chromium OS новое приложение пока ограничивается доступом к Linux-системе в режиме командной строки, несмотря на наличие во фреймворке AVF возможности запуска операционных систем с графическим интерфейсом пользователя.

Для активации приложения Terminal в сборках Android из репозитория AOSP следует включить в секции "Settings > System > Developer" опцию "Linux terminal". После этого в списке приложений появляется программа Terminal, при запуске которой осуществляется запуск виртуальной машины с Debian и подключение к ней при помощи компонента на базе WebView через локальный IP-адрес. Настройка виртуальной машины пока не автоматизирована и требует загрузки системного образ с Debian и создания конфигурации в ручном режиме.

При этом в одном из коммитов упоминается намерение добавить приложение LinuxInstaller для автоматизации загрузки Debian и запуска виртуальной машины. В планах также отмечается добавление в приложение Terminal меню с операциями копирования IP-адреса, остановки виртуальной машины и настройками, позволяющими изменять размер дискового образа, устанавливать перенаправление сетевых портов и использовать функцию "Recovery". Кроме того, упоминается тестирование новой подсистемы на устройствах с кодовыми именами "tangorpro" и "komodo", под которыми подразумеваются планшеты Pixel Tablet и Pixel 9 Pro XL. Про реализацию поддержки запуска графических Linux-приложений пока ничего не сообщается.

Google экспериментирует с возможностью запуска Linux-приложений в Android

Для виртуализации используется добавленный в Android 13 фреймворк AVF (Android Virtualization Framework), реализованный на базе гипервизора KVM и инструментария crosvm. Похожая конфигурация ранее применялась Google в экспериментах с запуском Chromium OS в Android и в функциональности для запуска Linux в Chrome OS.

В отличие от эксперимента с Chromium OS новое приложение пока ограничивается доступом к Linux-системе в режиме командной строки, несмотря на наличие во фреймворке AVF возможности запуска операционных систем с графическим интерфейсом пользователя.

Для активации приложения Terminal в сборках Android из репозитория AOSP следует включить в секции "Settings > System > Developer" опцию "Linux terminal". После этого в списке приложений появляется программа Terminal, при запуске которой осуществляется запуск виртуальной машины с Debian и подключение к ней при помощи компонента на базе WebView через локальный IP-адрес. Настройка виртуальной машины пока не автоматизирована и требует загрузки системного образ с Debian и создания конфигурации в ручном режиме.

При этом в одном из коммитов упоминается намерение добавить приложение LinuxInstaller для автоматизации загрузки Debian и запуска виртуальной машины. В планах также отмечается добавление в приложение Terminal меню с операциями копирования IP-адреса, остановки виртуальной машины и настройками, позволяющими изменять размер дискового образа, устанавливать перенаправление сетевых портов и использовать функцию "Recovery". Кроме того, упоминается тестирование новой подсистемы на устройствах с кодовыми именами "tangorpro" и "komodo", под которыми подразумеваются планшеты Pixel Tablet и Pixel 9 Pro XL. Про реализацию поддержки запуска графических Linux-приложений пока ничего не сообщается.

Да это же "вылитый" Гарри Дюбуа из Disco Elysium!
Источник

(#вочтопоиграть #discoelysium)

Релиз фреймворка Qt 6.8

Qt 6.8 получил статус LTS-выпуска, для которого обновления будут формироваться в течение пяти лет для обладателей коммерческой лицензии, что на два года больше, чем в прошлых LTS-выпусках. Для некоммерческих пользователей время сопровождения составит полгода (до формирования нового значительного выпуска). Поддержка прошлой LTS-ветки Qt 6.5 продлится до мая 2026 года, а поддержка позапрошлой LTS-ветки Qt 6.2 прекращена 30 сентября 2024 года. Ветка Qt 5.15 будет сопровождаться до мая 2025 года.

Основные изменения в Qt 6.8:

• Стабилизирован и переведён в разряд полностью поддерживаемых модуль Qt Graphs, предназначенный для построения различных видов 2D- и 3D-графиков, а также визуализации больших коллекций быстро меняющихся данных. Модуль развивается как универсальная замена старого модуля Qt DataVisualization, завязанного на OpenGL, и модуля Qt Charts. Новый модуль использует Qt Quick 3D и движок рендеринга RHI (Rendering Hardware Interface), поддерживающий различные 3D API (OpenGL, Vulkan, Metal и Direct 3D).

  По сравнению с прошлым выпуском в Qt Graphs 3D добавлены оптимизации производительности, обеспечена поддержка прозрачности на трёхмерных графиках (Bars3D), расширены возможности управления местоположением и оформлением меток и заголовков, улучшена отрисовка линий навигационной сетки. В Qt Graphs 2D предоставлена возможность отрисовки собственных видов столбчатых диаграмм (через QML-компоненты), добавлена поддержка стековых столбчатых диаграмм, расширены средства отображения меток. Унифицирован API для задействования тем оформления в 2D- и 3D-графиках. Специфичные для виджетов вызовы перенесены в модуль Qt Graphs Widgets.

• Стабилизирован и переведён в разряд полностью поддерживаемых модуль QtHttpServer, позволяющий интегрировать в приложения функциональность HTTP-сервера, который поддерживает HTTP/1.1, TLS/HTTPS, WebSockets, обработку ошибок, маршрутизацию запросов на основе параметров в URL (QHttpServerRouter) и REST API. По сравнению с прошлой версией в классе QNetworkAccessManager реализована возможность отправки HTTP-запросов через локальный сокет. Предоставлена поддержка использования класса QFormDataBuilder для упрощения передачи нескольких наборов данных (например, текстовых данных и приложенного файла) в одном HTTP-запросе (HTTP multi-part).
• Стабилизирован и переведён в разряд полностью поддерживаемых модуль Qt GRPC, позволяющий обращаться к сервисам при помощи протокола gRPC.
• Стабилизирован и переведён в разряд полностью поддерживаемых модуль Qt Protobuf, предназначенный для сериализации Qt-классов, используя протокол Protocol Buffer.
• Добавлена поддержка мобильных платформ Android 14 и iOS 18.
• Предоставлена возможность разработки приложений для десктоп-систем Linux и Windows с процессорами ARM, а также 3D-шлемов Apple Vision Pro и Meta Quest 3 XR.
• Добавлена поддержка Raspberry Pi 5, NVIDIA AGX Orin и некоторых плат на базе SoC NXP, Toradex и STM. Добавлена поддержка RISC-V плат StarFive VisionFive 2.
• Расширены возможности для формирования урезанных сборок Qt, которые могут использоваться на устройствах с небольшим объёмом памяти. Например, отключив неиспользуемые возможности и компоненты Qt можно добиться сокращения размера сборки в постоянном хранилище на 77% и уменьшения потребления ОЗУ на 32%, а также заметно сократить время запуска.
• В модуле Qt Multimedia на платформе Linux реализована поддержка захвата экрана с использованием класса QScreenCapture в окружениях на базе протокола Wayland, используя сервис ScreenCast и систему порталов XDG Desktop. Добавлены классы QVideoFrameInput, QAbstractVideoBuffer и QAudioBufferInput, при помощи которых можно организовать отправку собственных мультимедийных данных в сеанс записи (QMediaCaptureSession), а также класс QAudioBufferOutput для подключения обработчиков, получающих звуковые данные на стадии после декодирования.
• Добавлен модуль Qt Quick Vector Image, позволяющий интегрировать в сцены Qt Quick векторные изображения в формате SVG, что может быть использовано, например, для создания масштабируемых элементов интерфейса, не зависящих от разрешения и размера экрана.
• Добавлен модуль Qt Quick 3D XR для создания приложений для платформ виртуальной и дополненной реальности, используя технологии Qt Quick 3D. Для организации взаимодействия с трёхмерными окружениями, созданными при помощи Qt Quick 3D, поддерживается использование устройств отслеживания движения рук и VR-контроллеров. Для визуализации могут применяться очки Apple VisionPro или 3D-шлемы с поддержкой стандарта OpenXR, такие как Meta Quest 2/3.
• В Qt Quick добавлены оптимизации, ускоряющие отрисовку сложных сцен. В модуле Qt Quick Effect Maker появилась поддержка анимирования спрайтов, искривления элементов в круг или дугу, а также использования в эффектах свечения и выборочного размытия (masked blur). В модуле Qt Quick Shapes при заливке контура разрешено использование в элементах с типом ShapePath любых провайдеров текстур. В класс QQuickRenderTarget добавлены новые методы для управления обработкой текстур и упрощения интеграции Qt Quick 3D с внешними движками, фреймворками и API. В классе TableView появилась возможность перемещения столбцов и строк. В типах Image и BorderImage реализована поддержка асинхронной загрузки изображений (старое изображение остаётся пока грузится новое).
• В Qt Quick Controls предложен новый стиль Fluent WinUI3, позволяющий сформировать интерфейс, выглядящий как Windows 11 на любых платформах. На платформе macOS реализована возможность использования предоставляемого платформой глобального меню в интерфейсах, создаваемых при помощи Quick MenuBar.
• В Qt Quick 3D улучшена отрисовка теней, благодаря использованию каскадных карт теней и мягкой фильтрации теней. В тип PrincipledMaterial добавлены новые свойства. Предоставлена возможность использования в собственных материалах тех же свойств, что и в материалах на базе типа PrincipledMaterial.
• В модуль Qt Network Auth добавлен класс QOAuthUriSchemeReplyHandler для создания обработчиков редиректа на другую схему URI при аутентификации при помощи OAuth 2.0. В класс QOAuth2AuthorizationCodeFlow добавлена поддержка OAuth-расширения PKCE (Proof Key for Code Exchange).
• В класс QDnsLookup добавлена возможность отправки запросов, используя "DNS over TLS", реализована поддержка DNS-записей TLSA (TLS Certificate Association) и обеспечено информирование клиента о выполнении верификации данных DNS-сервером.
• В Qt Core добавлен класс QChronoTimer с обвязкой над библиотекой std::chrono, позволяющей добиться повышения точности операций со временем. Реализована возможность изменения размера QString, QByteArray и QList без инициализации данных. В QHash добавлена поддержка хранения в одном хэше данных с типами QString и QStringView. В QDirListing предоставлен API на базе итератора для перебора содержимого каталогов.
• В Qt GUI предоставлена возможность переопределения настроек системной цветовой схемы, например, для выбора тёмного или светлого режима, а также настроек действий, приводящих к вызову контекстного меню.
• В Qt Sql драйверы СУБД PostgreSQL и MySQL/MariaDB теперь корректно обрабатывают время и даты в ситуации когда у клиента и на сервере выбраны разные часовые пояса.
• Qt WebEngine добавлены новые классы: QWebEngineFrame для работы на уровне отдельных iframe-блоков; QWebEngineClientHints для управления идентификацией браузера; QWebEnginePermission для управления правами доступа в привязке к сайтам.
• В Qt Widgets улучшена отрисовка виджетов на экранах с высокой плотностью пикселей (high-DPI).
• Генератор документации QDoc переведён с C API на С++ API и для его работы теперь требуется как минимум Clang 17. Добавлены новые команды, такие как "\keyword" и "\nativetype".
• В рамках работы по повышению стабильности и производительности LTS-выпуска внесено более 500 исправлений и оптимизаций.

Parking machine scam, Ireland.

Выпуск редактора векторной графики Inkscape 1.4

Ключевые новшества:

• Добавлен новый набор пиктограмм Dash, в котором доступно более 500 дополнительных значков для кнопок, курсоров и прочих элементов интерфейса. В коллекции имеются как символьные, так и масштабируемые версии, адаптированные для светлых и тёмных тем оформления.
• Предложен новый диалог "Галерея фильтров" (Filter Gallery) с интерфейсом для выбора фильтров, поддерживающим как поиск по ключевым словам, так и навигацию по тематическим категориям. Доступные фильтры отображаются в форме наглядных эскизов, демонстрирующих результаты применения фильтров. Размер эскизов можно изменять на свой вкус. Для фильтров, добавленных пользователем, предложена отдельная персональная категория.
• Добавлен режим "Модульная сетка" (Modular Grid) с реализацией выравнивающей сетки в форме повторяющихся прямоугольных блоков, размер ячеек, границы и отступы в которой могут настраиваться пользователем. В свойствах документа предложены новые кнопки выбора режима отображения выравнивающей сетки.
• Полностью переделан диалог "Образцы" ("Swatches") для работы с палитрами, в который добавлено выпадающее меню со список доступных цветовых палитр. Палитры могут выводиться в форме списка или в виде сетки с настраиваемым размером ячеек. Для каждой палитры в списке показывается эскиз для наглядной оценки имеющихся цветов. Возможен импорт новых палитр, включая палитры из Adobe Color Book в цветовом пространстве CIELAB. Улучшено преобразование из цветового пространства CMYK в RGB.
• В редакторе шрифтов в формате SVG предложены новые кнопки для удаления и сортировки глифов.
• Предложен экспериментальный универсальный просмотрщик шрифтов (Edit ➞ Preferences ➞ Interface ➞ Dialogs: Text and Font), в котором сразу можно посмотреть как будет выглядеть введённый пользователем текст с различными шрифтами. Доступны различные режимы сортировки и возможность поиска с учётом коллекции шрифтов.
• Предоставлена возможность настройки размера, цвета, ширины, контура и непрозрачности "рычагов" (handle), применяемых для манипуляции с объектами на холсте.
• В инструмент "Создание форм" (Shape Builder) добавлена функция редактирования растровых изображений, что может оказаться полезным для быстрого исправления или вырезания частей изображения.
• Произведено слияние диалогов со свойствами и атрибутами объектов ( "Object Properties" и "Objective Attributes").
• Расширены возможности импорта и экспорта. Добавлена возможность открытия файлов, сохранённых в векторном редакторе Affinity Designer (*.afdesign) или распространяемых в формате Computer Graphics Metafile (*.cgm). Улучшена поддержка импорта файлов в формате DXF (Autodesk R13+). В экспортируемых PDF-документах реализована поддержка внутренних ссылок. Расширены возможности экспорта в пакетном режиме.
• Добавлены шаблоны для быстрого создания многостраничных буклетов. В пользовательских шаблонах разрешено использование категорий и меток.
• Внесены изменения, готовящие кодовую базу к переходу на использование библиотеки GTK4.

sshd(8) splitting continues

The commit message summarizes why this makes sense,

Splitting this code into a separate binary ensures that the crucial
pre-authentication attack surface has an entirely disjoint address
space from the code used for the rest of the connection. It also
yields a small runtime memory saving as the authentication code will
be unloaded after thhe authentication phase completes.

The code is in snapshots as we type.

Read the whole thing after the fold -

Read more…

OpenSMTPD 7.4.6p0 Released

Omar Polo (op@) has announced the release of version 7.6.0p0 of OpenSMTPD.

The changes (including the table protocol change on which we reported earlier) are:

 - Introduced a new K_AUTH service to allow offloading the credentials
   to a proc table for non-crypt(3) authentication.  Helps with use
   cases like LDAP or custom auth.

 - Implement report responses for proc-filters too.

 - Changed the table protocol to a simpler text-based one.  Existing
   proc tables needs to be updated since old ones won't work.  The new
   protocol is documented in smtpd-tables(7).

 - Fixed the parsing of IPv6 addresses in file-backed table(5)

 - Document expected MDA behavior and the environment set by OpenSMTPD.

 - Set ORIGINAL_RECIPIENT in the environment of MDA scripts for
   compatibility with postfix.

 - Updated the bundled libtls.

See the release announcement for full details.

Снадобье это, как нам предстоит еще увидеть, издавна было хорошо известно на Мадагаскаре как средство не только возбуждать половое влечение, но и подчинить вполне кого-либо своей воле. Практически любые магические средства, направленные на то, чтобы контролировать сознание и поведение других, относятся к области «любовной магии».

"Пиратское Просвещение, или Настоящая Либерталия", Дэвид Гребер

(#федичитает #чтопочитать)

The cemetery is crowded.
#jupiter9

The cemetery is empty
#jupiter9 #cemetery

Location: Saint Petersburg

Владельцы Wordpress заменили на свой форк плагин ACF, имеющий 2 млн установок

Подобное действие было объяснено заботой о безопасности и необходимостью доведения до пользователей исправления уязвимости, которая оставалась неустранённой в версии ACF, распространяемой через каталог Wordpress.org. В объявлении о создании форка также упоминается, что разработчики ACF заявили о переходе на доставку обновлений плагина со своего сайта вместо доставки обновлений через WordPress.org, но представители WordPress.org не рекомендуют переходить пользователям на предложенную разработчиками ACF собственную систему обновлений, пока они не устранят уязвимость в плагине. Утверждается, что совершённая подмена плагина является исключительной ситуацией, подкрепляемой юридическими нападками компании WP Engine, развивающей плагин ACF. Кроме устранения уязвимости в форке была проведена чистка от привязок к сервисам WP Engine.

Нелепость ситуации в том, что за несколько недель до этого компания Automattic сама заблокировала доступ разработчиков ACF к Wordpress.org, поэтому сопровождающие ACF не имели возможность опубликовать обновление с устранением уязвимости на Wordpress.org, но при этом разместили исправление на своём сайте и рекомендовали установить его вручную или через альтернативный собственный каталог WP Engine. Обновление с устранением уязвимости в ACF было подготовлено за 5 дней до объявления Automattic о создании форка.

Захват пользовательской базы и страницы ACF на Wordpress.org стал продолжением конфликта между компанией WP Engine и Мэттом Мулленвегом, основателем платформы Wordpress и владельцем компании Automattic. С 2011 года Мэтт Мулленвег являлся инвестором компании WP Engine, но ушел из числа инвесторов в 2018 году, после попадания WP Engine в область интересов инвестиционной компании Silver Lake. Помимо разработки плагина ACF, компания WP Engine также развивает платформу хостинга проектов на движке Wordpress, конкурирующую с Wordpress.com

Конфликт активировался после того, как организация WordPress Foundation в июне подала заявку на регистрацию товарных знаков "Managed WordPress" и "Hosted WordPress", которые использовались нас сайте WP Engine. 20 сентября Мэтт Мулленвег выступил на конференции WordComp с критикой деятельности WP Engine и опубликовал статью с пояснением, что WP Engine не имеет никакого отношения к официальному проекту Wordpress, несмотря на риторику и маркетинг WP Engine, пытающийся убедить пользователей в обратном.

Также было высказано недовольство слабой вовлечённостью WP Engine в разработку - при выручке 500 млн. долларов данная компания вкладывает примерно 40 часов в неделю в разработку платформы WordPress, при том, что вклад Automattic оценён в 3915 часов в неделю. В статье WP Engine сравнивался c раковой опухолью и упоминалось, что для продолжения бизнеса компании WP Engine теперь потребуется лицензия на товарный знак WordPress. Ссылка на статью появилась в виджете новостей в панели администратора на всех установках WordPress, включая установки в хостинге WP Engine.

23 сентября компания WP Engine направила Automattic официальное внесудебное требование (Cease and Desist) прекратить ложные, вводящие в заблуждение и порочащие репутацию заявления. В ответ, компания Automattic потребовала у WP Engine прекратить использование торговой марки Wordpress и внесла изменение в правила использования торговых марок, упоминающее название "WP Engine" в качестве примера введения в заблуждение пользователей из-за стилизации под официальный движок WordPress.

25 сентября для WP Engine был заблокирован доступ к ресурсам, распространяемым через сайт Wordpress.org, включая доступ к обновлениям с исправлениями уявзимостей, плагинам и темам оформления. В этот же день в каталоге Wordpress.org были заблокированы учётные записи сотрудников WP Engine, что не позволяло им публиковать обновления к плагину ACF. 27 сентября блокировка доступа WP Engine к ресурсам частично была убрана, но затем опять возобновлена 1 октября.

2 октября компания WP Engine подала судебный иск против Automattic и Мэтта Мулленвега. Компания Automattic в ответ отвергла все обвинения. Из Automattic уволилась исполнительный директор Джозефа Хейден (Josephа Haden) и ещё 158 сотрудников (из примерно 1700), не согласных с позицией в отношении WP Engine. 5 октября компания Automattic публично раскрыла сведения об уязвимости плагине ACF в нарушение кодекса поведения, а 8 октября изменила страницу входа на сайт WordPress.org, не которой появилась необходимость подтверждения отсутствия связи с компанией WP Engine. 7 октября компания WP Engine подготовила обновление ACF с устранением уязвимости, а 12 октября компания Automattic заявила о создании форка и подменила не него страницу плагина ACF в каталоге Wordpress.org.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62041

#сегодня утром

Выпуск Distrobox 1.8, инструментария для вложенного запуска дистрибутивов

Проект предоставляет надстройку над Docker, Podman или Lilipod и отличается максимальным упрощением работы и интеграции запущенного окружения с остальной системой. Для создания окружения с другим дистрибутивом достаточно выполнить одну команду distrobox-create, не задумываясь о тонкостях. После запуска Distrobox обеспечивает проброс домашнего каталога пользователя в контейнер, настраивает доступ к серверу X11 и Wayland для выполнения из контейнера графических приложений, позволяет подключать внешние накопители, добавляет вывод звука, реализует интеграцию на уровне SSH-агента, D-Bus и udev.

В Distrobox заявлена возможность использования в качестве хост-системы 26 дистрибутивов, включая Alpine, Manjaro, Gentoo, EndlessOS, NixOS, Void, Arch, SUSE, Ubuntu, Debian, RHEL и Fedora. В контейнере может быть запущен любой дистрибутив для которого имеются образы в формате OCI. После установки пользователь может полноценно работать в другом дистрибутиве не покидая основную систему.

Из основных областей применения называются эксперименты с атомарно обновляемыми дистрибутивами, такими как Endless OS, Fedora Silverblue, OpenSUSE MicroOS и SteamOS3, создание отдельных изолированных окружений (например, для запуска домашней конфигурации на рабочем ноутбуке), доступ к более свежим версиям приложений из экспериментальных веток дистрибутивов.

В новом выпуске:

• Улучшена интеграция с GPU NVIDIA.
• Улучшено управление переменными окружения XDG_DATA_DIRS и XDG_DATA_HOME.
• Добавлена возможность указания внешних ini-файлов с конфигурацией контейнеров (манифестом) для команды "distrobox assemble". Например, "distrobox assemble create --file https://foo.com/file.ini".
• Добавлена поддержка запуска в контейнерах дистрибутива Universal Blue и системных образов toolbx-images.
• Добавлена поддержка новых версий Fedora, Ubuntu, Alpine и Wolfi.

Выпуск Wayland-Protocols 1.38

Все протоколы последовательно проходят три фазы - разработка, тестирование и стабилизация. После завершения стадии разработки (категория "unstable") протокол помещается в ветку "staging" и официально включается в состав набора wayland-protocols, а после завершения тестирования перемещается в категорию стабильных. Протоколы из категории "staging" уже можно применять в композитных серверах и клиентах, где требуется связанная с ними функциональность. В отличие от категории "unstable" в "staging" запрещено внесение изменений, нарушающих совместимость, но в случае выявление проблем и недоработок в ходе тестирования, не исключается замена новой значительной версией протокола или другим Wayland-расширением.

В новой версии в категорию "staging" добавлены протоколы:

• xdg-system-bell - позволяет выводить системный сигнал, который может использоваться, например, как предупреждение в эмуляторе терминалов. Форма вывода сигнала определяется на усмотрение композитного менеджера, это может быть не только звук, но визуальный отклик.
• fifo - реализует FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности. С практической стороны протокол позволяет при выводе использовать ожидание завершения вертикальной развёртки (vblank) вместо использования callback-вызовов при каждой готовности отобразить новый кадр, что решает проблему с высокой нагрузкой на GPU при использовании VSync.
• commit-timing - позволяет привязать ограничение времени к содержимому поверхности (композитный сервер должен отобразить изменение контента по возможности через указанное время, но не раньше).

В настоящее время в состав wayland-protocols входят следующие стабильные протоколы, в которых обеспечивается обратная совместимость:

• "viewporter" - позволяет клиенту выполнять действия по масштабированию и обрезанию краёв поверхности на стороне сервера.
• "presentation-time" - обеспечивает отображение видео.
• "xdg-shell" - интерфейс создания и взаимодействия с поверхностями как с окнами, что позволяет их передвигать по экрану, сворачивать, разворачивать, изменять размер и т.д.
• "linux-dmabuf" - обеспечивает совместное использование нескольких видеокарт при помощи технологии DMA-BUF (позволяет создать wl_buffer на базе DMA-BUF).
• "tablet" - организация ввода с графических планшетов.

Протоколы, тестируемые в ветке "staging":

• drm-lease - предоставляет ресурсы, необходимые для формирования стереокартинки с разными буферами для левого и правого глаза при выводе на шлемы виртуальной реальности.
• "ext-session-lock" - определяет средства блокировки сеанса, например, во время работы хранителя экрана или вывода диалога аутентификации.
• "single-pixel-buffer" - позволяет создавать однопиксельные буферы, включающие четыре 32-разрядных значения RGBA.
• "xdg-activation" - позволяет передать фокус между разными поверхностями первого уровня (например, при помощи xdg-activation одно приложение может переключить фокус на другое).
• content-type - позволяет клиентам передать композитному серверу сведения об отображаемом содержимом, которые могут использоваться для оптимизации поведения с учётом содержимого, например, выставлении специфичных DRM-свойств, таких как "content type". Заявлена поддержка следующих типов контента: none (нет сведений о типе данных), photo (вывод цифровых фото, требующий минимальной обработки), video (видео или анимация, требуется более точная синхронизация, чтобы исключить подтормаживания) и game (запуск игр, требуется вывод с минимальной задержкой).
• ext-idle-notify - даёт возможность композитным серверам передавать клиентам уведомления о неактивности пользователя, что может использоваться для активации дополнительных режимов энергосбережения после определённого времени неактивности.
• tearing-control - позволяет отключить в полноэкранных приложениях вертикальную синхронизацию (VSync) с кадровым гасящим импульсом, применяемую для защиты от появления разрывов при выводе (tearing). В мультимедийных приложениях появление артефактов из-за разрывов является нежелательным эффектом, но в игровых программах с артефактами можно смириться, если борьба с ними приводит к дополнительным задержкам.
• ext-foreign-toplevel-list - получение информации о поверхностях, размещённых на самом верхнем уровне (toplevel), которые позволяют организовать закрепление окон поверх другого содержимого, например, для подключения собственных панелей и переключателей окон.
• security-context - позволяет идентифицировать клиентов, использующих sandbox-изоляцию. Клиент может зарегистрировать новое подключение к композитному серверу на базе Wayland и прикрепить к нему контекст безопасности, после чего в соответствии с указанным контекстом безопасности композитный менеджер ограничит возможности, доступные для установленного соединения.
• cursor-shape - альтернативный способ настройки внешнего вида курсора, основанный на передаче серии изображений курсора вместо привязки к поверхности (wl_surface).
• "ext-transient-seat" - предназначен для создания временных независимых сеансов (seat), рассчитанных на использование вместе с виртуальными устройствами ввода. Например, при реализации возможности подключения к удалённому рабочему столу протокол позволяет создать для каждого пользователя отдельный сеанс с виртуальными клавиатурой и мышью.
• "xdg-toplevel-drag" - расширяет механизм "drag & drop" возможностью прикрепления окон верхнего уровня к операции перемещения, что может быть использовано, например, для организации перетаскивания мышью панелей инструментов или вкладок браузера. Новый протокол позволяет создавать отсоединяемые части окна, которые при перетаскивании из этого окна становятся новыми окнами и могут перемещаться поверх существующего окна перед повторным прикреплением.
• "xdg-dialog" - позволяет назначать поверхностям верхнего уровня признаки, специфичные для диалоговых окон, например, можно создавать модальные диалоги, которые блокируют взаимодействие пользователя с остальной частью интерфейса.
• "linux-drm-syncobj" - предоставляет инструменты для явной синхронизациии буферов при помощи объектов синхронизации DRM (Direct Rendering Manager). Предполагается, что в контексте синхронизации при отрисовке в буфер предложенный протокол позволит улучшить работу с драйверами на базе графических API Vulkan и OpenGL (реализация базируется на обработчиках в драйверах). Новый протокол даёт возможность убедиться, что операция отрисовки в буфер завершена до того, как композитный менеджер отобразит данный буфер.
• alpha-modifier, позволяющий клиентам менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера, который в свою очередь может переадресовать эти операции KMS.
• xdg-toplevel-icon - привязка пиктограммы к окну верхнего уровня.
• ext-image-capture-source и ext-image-copy-capture - организация захвата контента, выводимого на экран.

Протоколы, разрабатываемые в ветке "unstable":

• "fullscreen-shell" - управление работой в полноэкранном режиме.
• "input-method" - обработка методов ввода.
• "idle-inhibit" - блокировка запуска скринсейвера (экранной заставки).
• "input-timestamps" - временные метки для событий ввода.
• "keyboard-shortcuts-inhibit" - управление прикреплением клавиатурных комбинаций и горячих клавиш.
• "linux-explicit-synchronization" - специфичный для Linux механизм синхронизации буферов в привязке к поверхности.
• "pointer-gestures" - управление с сенсорных экранов.
• "pointer constraints" - ограничения указателей (блокировка).
• "primary-selection" - по аналогии с X11 обеспечивает работу первичного буфера обмена (primary selection), вставка информации из которого обычно осуществляется средней кнопкой мыши.
• "relative pointer events" - относительные события указателей.
• "text-input" - организация ввода текста.
• "xdg-foreign" - интерфейс взаимодействия с поверхностями "соседнего" клиента.
• "xdg-decoration" - отрисовка декораций окон на стороне сервера.
• "xdg-output" - дополнительные сведения о видеовыходе (используется для дробного масштабирования).
• "xwayland-keyboard-grab" - захват ввода в приложениях XWayland.

Дополнительно можно отметить предложение сотрудника компании Valve по добавлению ещё одной фазы продвижения новых протоколов Wayland - "experimental", которая позволит снизить барьер включения протоколов в состав набора Wayland-Protocols и ускорить их внедрение. В настоящее время для попадания протокола в фазу staging требуется сформировать команду поддержки и получить определённое число подтверждений (ACK) от участников рецензирования. В "experimental" предлагается принимать протокол не через получение подтверждений, а на основании отсутствия возражений (NACK) в течение двухнедельного периода рецензирования. При необходимости участники рецензирования также могут продлить обсуждение ещё на две недели, выставив статус "WAIT".

В фазе "experimental" также предлагается разрешить внесение изменений нарушающих совместимость и добавление "сырых" протоколов, которые можно будет постепенно доводить до должного уровня. Таким образом, фаза "experimental" позволит быстро доводить до разработчиков новые прототипы протоколов, стимулировать их реализацию в существующих проектах и получать обратную связь от пользователей. Предлагаемый процесс должен избавить разработчиков протоколов от длительных обсуждений и волокиты, перед принятием в состав Wayland-Protocols. Например, принятые в нынешний выпуск протоколы xdg-system-bell, fifo и commit-timing обсуждались более года.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62038

Уязвимости в Libarchive, приводящие к повреждению памяти

Уязвимости устранены в версии Libarchive 3.7.5, в которой также исправлено более десятка ошибок, приводящих к выходу за границы буфера, обращению к уже освобождённой памяти или целочисленным переполнениям при обработке файлов в форматах cpio, lzop, rpm, zip, uu и rar. Исправления помечены как проблемы с безопасностью, но без присвоения CVE-идентификаторов. Пока не ясно можно ли эксплуатировать данные проблемы для организации выполнения кода при обработке специально оформленных файлов.

Libarchive используется как зависимость во многих популярных пакетах, например, в smbclient, flatpak, appstream, libappimage, dpdk, cmake, rpm, nix, pacman, elfutils, unrar, claws-mail, ark, epiphany, evince, vagrant, vlc, mpv, gvfs, fwupd, systemd (опционально) и file-roller (менеджер архивов в GNOME). Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62037

Сформированы сборки KDE Neon на базе Ubuntu 24.04

Проект KDE neon создан Джонатаном Ридделом (Jonathan Riddell), смещённым с поста лидера дистрибутива Kubuntu, с целью предоставления возможности установки свежих версий программ и компонентов KDE. Сборки и связанные с ними репозитории KDE Neon по возможности обновляются сразу после выхода релизов KDE, заметно раньше чем новые версии KDE появляются в репозиториях дистрибутивов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62036

Выпуск пакетного менеджера RPM 4.20 и начало разработки RPM 6

В следующем году ожидается публикация значительной ветки RPM 6, в которой будет задействован новый формат архива, позволяющий в отличие от ныне используемого формата cpio создавать пакеты размером более 4 ГБ (преодоление данного ограничения важно так как SRC-пакет с Chromium близок к пределу и имеет размер 3.7 ГБ). В новой ветке также намерены разрешить использование языка C++ для разработки RPM. Новая значительная ветка будет приурочена юбилею проекта - 27 ноября 2025 году исполнится 30 лет с момента первого коммита в RPM. Версии RPM 5.x будут пропущены для исключения пересечений с проектом RPM5, который непосредственно не связан с RPM от Red Hat, развивался независимой командой разработчиков и не обновляется с 2010 года.

Наиболее заметные улучшения в RPM 4.20:

• В состав включена новая утилита rpm2archive, которая пришла на смену утилите rpm2cpio и в дальнейшем упростит переход на новый формат пакетов, не использующий cpio. В отличие от rpm2cpio новая утилита преобразует RPM-файл не в архив cpio, а в архив в формате tar, сжатый при помощи gzip. Старая утилита rpm2cpio заменена символической ссылкой на rpm2archive.
• Предложена декларативная система сборки, основанная на использовании новой директивы "BuildSystem", через которую может быть определена система сборки, используемая при формировании пакета. Исходный код автоматически подготавливается, компилируется и устанавливается с учётом указанной системы сборки, без необходимости отдельного определения в SPEC-файле скриптов подготовки, сборки и установки в блоках "%prep", "%build" и "%install". В RPM поддерживаемые системы сборки определяются в форме коллекций макросов.

  Основная идея в том, что декларативный формат настройки позволит разработчикам дистрибутивов создавать отдельные макросы для типовых процессов сборки, чтобы не определять повторяющиеся сценарии в каждом пакете. Например, вместо определения последовательностей запуска команд configure и make для программ, использующих Autotools, теперь достаточно указать "BuildSystem: autotools" и обойтись без секций "%prep", "%build" и "%install". В настоящее время подобные макросы подготовлены для Autotools и CMake. При необходимости реализации нестандартного поведения сопровождающим пакеты предоставлена возможность подключения своих макросов для переопределения разных стадий формирования пакета.

• Добавлена поддержка прикрепления дополнительных секций c командами подготовки, сборки, установки, настройки, очистки и проверки, дополняющих базовые секции %prep, %conf, %build, %install, %check и %clean. Для запуска дополнительного скрипта перед выполнением кода из базовой секции предложена опция "-p", а после базовой секции - опция "-a". Подобные подстановки могут оказаться полезными для точечной корректировки поведения при использовании вышеописанного декларативного режима сборки.
• В динамически формируемые части SPEC-файлов разрешено включать директивы и секции, не влияющие на процесс сборки.
• Добавлен макрос %builddir и реализована управляемая через RPM возможность привязки своих сборочных каталогов к отдельным пакетам.
• Предложен новый протокол "multi-file", значительно ускоряющий генерацию зависимостей.
• В команду rpm добавлена опция "--json" для вывода результатов запросов в формате JSON.
• Добавлен плагин rpm-plugin-unshare, обеспечивающий изоляцию скриптов, выполняемых в сборочных секциях, используя пространства имён в Linux. Например, плагин позволяет запретить доступ к сети и ограничить доступ к файловой системе, а также использовать отдельные приватные каталоги /tmp и /home для защиты на случай небезопасной работы со временными файлами при сборке пакетов.
• Предложен публичный API для разработки плагинов, который будет сохранять совместимость между релизами. Раньше API для плагинов был рассчитан только на внутреннее использование и мог меняться от релиза к релизу.
• В команду rpmkeys добавлены опции "--list" и "--delete".
• В команду rpmsign добавлена поддержка создания цифровых подписей для пакетов, используя ключи ECDSA.
• Улучшена поддержка повторяемых сборок. Добавлен макрос "%build_mtime_policy", позволяющий управлять содержимом добавляемых при сборке меток со временем (через значение clamp_to_source_date_epoch можно использовать фиксированную метку, а через clamp_to_buildtime указывать фактическое время сборки).
• В файлах sysusers.d разрешено добавлять строки для определения членов группы.
• Обеспечена корректная и независимая от дистрибутивов поддержка файлов debuginfo.
• Объявлен устаревшим синтаксис макросов %patchN (без пробела перед N), использование которого теперь будет приводить к ошибке (следует использовать синтаксис "%patch N" или "%patch -P N", где N - номер патча).
• Удалён устаревший парсер OpenPGP.
• Генераторы зависимостей для Perl и Python ABI вынесены в отдельные репозитории.

Выпуск игрового движка Open 3D Engine 24.09, открытого компанией Amazon

Исходные тексты движка O3DE были открыты в июле 2021 года компанией Amazon и основаны на коде ранее развиваемого проприетарного движка Amazon Lumberyard, построенного на технологиях движка CryEngine, лицензированных у компании Crytek в 2015 году. После открытия развитие движка курирует некоммерческая организация Open 3D Foundation, созданная под эгидой Linux Foundation. Помимо Amazon к совместной работе над проектом подключились такие компании, как Epic Games, Adobe, Huawei, Microsoft, Intel и Niantic.

Движок включает в себя интегрированную среду для разработки игр, многопоточную систему фотореалистичного рендеринга Atom Renderer с поддержкой Vulkan, Metal и DirectX 12, расширяемый редактор 3D-моделей, систему анимирования персонажей (Emotion FX), систему разработки полуфабрикатов (prefab), движок симуляции физических процессов в реальном режиме времени и математические библиотеки, использующие инструкции SIMD. Для определения игровой логики может использоваться среда визуального программирования (Script Canvas), а также языки Lua и Python.

Проект изначально рассчитан на возможность адаптации под свои нужды и имеет модульную архитектуру. Всего предлагается более 30 модулей, поставляемых в виде отдельных библиотек, пригодных для замены, интеграции в сторонние проекты и использования по отдельности. Например, благодаря модульности разработчики могут заменить рендер графики, звуковую систему, поддержку языков, сетевой стек, физический движок и любые другие компоненты.

Среди изменений в новой версии:

• Добавлена возможность создавать проекты с готовым инсталлятором, не требующие компиляции кода на C++ и содержащие только скрипты на Lua и Script Canvas.
• Существенно ускорен запуск редактора - для крупных проектов с большим числом ассетов сокращение времени запуска может достигать 90%.
• Добавлен высокопроизводительный конвейер рендеринга для мобильных устройств (Mobile Render Pipeline), позволяющий до 400% повысить производительность игр для iOS, Android и устройств виртуальной/дополненной реальности. Значительно снижено потребление памяти в системе рендеринга.
• В бэкенды DX12 и Vulkan добавлена поддержка геометрических шейдеров и шейдеров пересечений (intersection shader).
• Для использования в симуляторах добавлен компонент Georeference, поддерживающий разбор данных в формате Gazebo, а также компонент ROS2FrameComponent.
• Версии движка симуляции физических процессов PhysX 4 и PhysX 5 разделены на отдельные пакеты, что позволило упростить переключение между версиями PhysX в готовых сборках игр.
• Добавлен графический интерфейс для экспорта проекта, поддерживающий экспорт для iOS, Android, Linux и Windows.
• Добавлены настройки, позволяющие значительно (до 90%) сократить размер сервера для работы в режиме без экрана (headless).
• Добавлены специфичные для мобильных устройств графические конвейеры (rendering pipeline), позволяющие пользователю легко включать и выключать различные возможности рендеринга.
• Предоставлены настройки качества, привязываемые к возможностям устройств. Например, доступно три уровня производительности (низкий, средний и высокий), выбираемые в зависимости от параметров CPU, GPU и памяти.
• Предложено несколько вариантов шейдеров, позволяющих при отрисовке автоматически выбирать наиболее производительный шейдер, подходящий для заданных параметров рендеринга.
• Реализована техника "Entity Silhouette", позволяющая выделить границы объекта, например, для определения какие части объекта должны быть отрисованы, а какие можно игнорировать.
• Добавлен фреймворк для взаимодействия с большими языковыми моделями машинного обучения.
• При высокой нагрузке на CPU для предотвращения разрыва сетевого соединения по таймауту реализована отправка heartbeat-пакетов.
• Добавлена поддержка изображений в формате PGM.

Уязвимости в прошивках и драйверах для чипов Qualcomm

Уязвимость присутствует в открытом драйвере FastRPC для DSP-чипов Qualcomm, применяемом для организации выполнения операций на стороне DSP. Проблема вызвана обращением к памяти после её освобождения и позволяет локальному атакующему инициировать повреждение памяти и выполнение кода на уровне привилегированного системного сервиса, взаимодействующего с DSP. Исправление доступно в виде патча, который ещё не интегрирован в прошивки производителей устройств, использующих DSP от Qualcomm (например, уязвимый драйвер применяется во многих Android-смартфонах). Проблема затрагивает более 60 моделей чипов, среди которых серии FastConnect и Snapdragon.

Что касается критической уязвимости CVE-2024-33066, то она выявлена группой Claroty Research и доведена до производителя в рамках инициативы Trend Micro Zero Day. Уязвимость может быть эксплуатирована удалённо через беспроводную сеть. Проблема вызвана некорректной проверкой входных параметров во WLAN Resource Manager, что может привести к перенаправлению файла с логом в любой файл в системе. Проблема затрагивает системы с чипами различных серий Immersive Home, IPQxxxx, QCAxxxx, QCFxxxx, QCNxxxx, SDXxx и Snapdragon X65 5G Modem-RF.

Также выделяются 11 опасных уязвимостей, приводящих к повреждению памяти в проприетарных компонентах, закрытом драйвере камеры и открытых компонентах для беспроводной сети, GPU и DSP Qualcomm.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62031

Уязвимости в прошивках и драйверах для чипов Qualcomm

Уязвимость присутствует в открытом драйвере FastRPC для DSP-чипов Qualcomm, применяемом для организации выполнения операций на стороне DSP. Проблема вызвана обращением к памяти после её освобождения и позволяет локальному атакующему инициировать повреждение памяти и выполнение кода на уровне привилегированного системного сервиса, взаимодействующего с DSP. Исправление доступно в виде патча, который ещё не интегрирован в прошивки производителей устройств, использующих DSP от Qualcomm (например, уязвимый драйвер применяется во многих Android-смартфонах). Проблема затрагивает более 60 моделей чипов, среди которых серии FastConnect и Snapdragon.

Что касается критической уязвимости CVE-2024-33066, то она выявлена группой Claroty Research и доведена до производителя в рамках инициативы Trend Micro Zero Day. Уязвимость может быть эксплуатирована удалённо через беспроводную сеть. Проблема вызвана некорректной проверкой входных параметров во WLAN Resource Manager, что может привести к перенаправлению файла с логом в любой файл в системе. Проблема затрагивает системы с чипами различных серий Immersive Home, IPQxxxx, QCAxxxx, QCFxxxx, QCNxxxx, SDXxx и Snapdragon X65 5G Modem-RF.

Также выделяются 11 опасных уязвимостей, приводящих к повреждению памяти в проприетарных компонентах, закрытом драйвере камеры и открытых компонентах для беспроводной сети, GPU и DSP Qualcomm.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62031

Microsoft начал продвижение в ядро Linux компонентов хост-окружения (Dom0) для гипервизора Hyper-V

Изначально возможность использования Linux в роли хост-окружения для системы виртуализации Hyper-V была представлена в 2020 году и уже применяется в инфраструктуре Microsoft, но до сих пор развивалась в форме отдельных патчей. Новая инициатива направлена на интеграцию данных патчей в основной состав ядра. Необходимость использования Linux для управления гипервизором Hyper-V обусловлена желанием упростить сопровождение и повысить производительность серверов, обслуживающих облачные системы Microsoft, в условиях того, что с 2018 года число гостевых систем с Linux в облачном сервисе Azure превышает число окружений с Windows.

Начальный набор патчей пока ограничивается добавлением заголовочных файлов, используемых в гипервизоре Hyper-V и дополняющих ранее включённые в ядро заголовочные файлы, применяемые в драйверах для гостевых систем. SPEC-файл пакета с ядром 5.15, включающим реализацию хост-окружения для гипервизора Hyper-V, можно найти в репозитории дистрибутива Azure Linux, но использование устройства /dev/mshv для управления Hyper-V пока не документировано.

Проект Asahi Linux подготовил инструментарий для запуска Windows-игр

Необходимые для работы пакеты уже добавлены в штатный репозиторий дистрибутива Fedora Asahi Remix - для запуска игр достаточно обновить драйверы командой "dnf upgrade --refresh" и установить Steam командой "dnf install steam" и она подтянет все необходимые зависимости. Используемый для запуска игр стек построен на основе Vulkan-драйвера Honeykrisp, эмулятора FEX, позволяющего выполнять x86-приложений на системах ARM, проекта Wine и прослоек DXVK и vkd3d-proton с реализацией API DirectX поверх Vulkan.

Из-за дополнительных накладных расходов, вызванных эмуляцией, рекомендуется наличие в системе 16 ГБ ОЗУ. Проблемы с выравниванием из-за несоответствия размера страниц памяти, используемого в операционной системе и необходимого приложениям (программы собранные для x86 рассчитаны на страницы 4К, в то время как на системах Apple используются страницы 16K), удалось решить через запуск в виртуальном окружении второго ядра Linux, собранного с другим размером страниц памяти. Для запуска игр в отдельных виртуальных машинах со своим ядром задействован инструментарий muvm. Например, таким образом удалось запустить игру Fallout 4.

Для обеспечения работы игр, таких как The Witcher 3 и Ghostrunner, в которых используются тесселяция и геометрические шейдеры, задействована эмуляция при помощи вычислительных шейдеров. Из пока не реализованных возможностей отмечается поддержка в драйвере Honeykrisp мозаичного текстурирования (sparse texturing), необходимого для запуска некоторых игр на базе DX12, таких как Cyberpunk 2077. Кроме того, ведётся работа по оптимизации производительности для достижения в эмулируемом окружении уровня 60 FPS.