Среди изменений в новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62948
Things happen.
continue
bonked 25 Mar 2025 13:05 +0100
original: opennet@honk.any-key.press
Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes Ingress-контроллер выступает в роли шлюза и используется в Kubernetes для организации доступа из внешней сети к сервисам внутри кластера. Контроллер ingress-nginx является наиболее популярным и применяет сервер NGINX для проброса обращений к кластеру, маршрутизации внешних запросов и балансировки нагрузки. Проект Kubernetes предоставляет базовые ingress-контроллеры для AWS, GCE и nginx, последний из которых никак не связан с контроллером kubernetes-ingress, сопровождением которого занимается компания F5/NGINX (рассматриваемые уязвимости не затрагивают проекты, развиваемые разработчиками NGINX, упоминание nginx в названии ingress-nginx связано лишь с задействованием nginx в качестве прокси).
Уязвимости позволяют неаутентифицированному атакующему добиться выполнения своего кода в контексте контроллера ingress-nginx, при возможности отправки запроса к web-обработчику Admission. В ходе сканирования сети выявлено более 6500 уязвимых кластеров Kubernetes, использующих общедоступные уязвимые контроллеры с открытым для внешних запросов обработчиком Admission.
В конфигурации по умолчанию запущенный атакующим код может получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, что позволяет добиться привилегированного доступа ко всему кластеру. В качестве обходного пути защиты рекомендуется отключить в ingress-nginx функцию "Validating Admission Controller".
Контроллер Admission запускается в отдельном pod-окружении и выполняет операцию проверки входящих ingress-объектов перед их развёртыванием. По умолчанию web-обработчик Admission принимает запросы без аутентификации из публичной сети. При выполнении проверки контроллер Admission создаёт конфигурацию для http-сервера nginx на основе содержимого полученного ingress-объекта и проверяет её корректность.
Выявленные уязвимости позволяют добиться подстановки своих настроек в nginx через отправку специально оформленного ingress-объекта напрямую в контроллер Admission. Исследователи обнаружили, что некоторые свойства проверочных запросов, выставленные в поле ".request.object.annotations", напрямую подставляются в конфигурацию nginx. При этом сгенерированная конфигурация не применяется, а лишь тестируется путём запуска исполняемого файла "nginx" c опцией "-t".
В частности, подстановка внешних данных в конфигурацию выполняется для параметров "mirror-target", "mirror-host" (CVE-2025-1098), "auth-tls-match-cn" (CVE-2025-1097) и "auth-url" (CVE-2025-24514).
Например, в строке конфигурации "set $target {{ $externalAuth.URL }};" вместо "{{ $externalAuth.URL }}" подставляется URL, указанный в параметре "auth-url". При этом корректность URL не проверяется. Соответственно, атакующий может передать в качестве URL значение вида "http://example.com/#;\nнастройки" и подставить свои настройки в файл конфигурации.
Для выполнения произвольного кода в процессе проверки конфигурации командой "nginx -t" исследователи воспользовались тем, что помимо проверки синтаксиса nginx загружает библиотеки с модулями и открывает файлы, упомянутые в конфигурации, для оценки их доступности. Среди прочего, при обработке директивы ssl_engine производится загрузка указанной в директиве разделяемой библиотеки для SSL-движка.
Для загрузки своей библиотеки на сервер Kubernetes исследователи воспользовались (CVE-2025-1974) тем, что при обработке больших запросов nginx сохраняет тело запроса во временном файле, который сразу удаляется, но в файловой системе "/proc" для этого файла остаётся открытый файловый дескриптор. Таким образом, можно одновременно отправить запросы для сохранения временного файла и инициирования проверки конфигурации, в которой в директиве "ssl_engine" указан путь к дескриптору в файловой системе "/proc".
Для того, чтобы файловый дескриптор длительное время оставался доступен значение "Content-Length" в запросе можно указать заведомо большим, чем фактически переданные данные (сервер будет ждать приёма оставшихся данных). Дополнительной сложностью является необходимость угадать PID процесса и номер файлового дескриптора, связанного с загруженной разделяемой библиотекой, но так как в контейнере обычно используется минимальное число запущенных процессов, нужные значения угадываются путём перебора в несколько попыток. В случае успеха и загрузки подставленной разделяемой библиотеки, атакующий может получить доступ к хранимым внутри pod-окружения параметрам, достаточным для управления всем кластером.
Для проверки использования уязвимого ingress-nginx можно выполнить команду:
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
Источник: https://www.opennet.ru/opennews/art.shtml?num=62946
Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes Ingress-контроллер выступает в роли шлюза и используется в Kubernetes для организации доступа из внешней сети к сервисам внутри кластера. Контроллер ingress-nginx является наиболее популярным и применяет сервер NGINX для проброса обращений к кластеру, маршрутизации внешних запросов и балансировки нагрузки. Проект Kubernetes предоставляет базовые ingress-контроллеры для AWS, GCE и nginx, последний из которых никак не связан с контроллером kubernetes-ingress, сопровождением которого занимается компания F5/NGINX (рассматриваемые уязвимости не затрагивают проекты, развиваемые разработчиками NGINX, упоминание nginx в названии ingress-nginx связано лишь с задействованием nginx в качестве прокси).
Уязвимости позволяют неаутентифицированному атакующему добиться выполнения своего кода в контексте контроллера ingress-nginx, при возможности отправки запроса к web-обработчику Admission. В ходе сканирования сети выявлено более 6500 уязвимых кластеров Kubernetes, использующих общедоступные уязвимые контроллеры с открытым для внешних запросов обработчиком Admission.
В конфигурации по умолчанию запущенный атакующим код может получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, что позволяет добиться привилегированного доступа ко всему кластеру. В качестве обходного пути защиты рекомендуется отключить в ingress-nginx функцию "Validating Admission Controller".
Контроллер Admission запускается в отдельном pod-окружении и выполняет операцию проверки входящих ingress-объектов перед их развёртыванием. По умолчанию web-обработчик Admission принимает запросы без аутентификации из публичной сети. При выполнении проверки контроллер Admission создаёт конфигурацию для http-сервера nginx на основе содержимого полученного ingress-объекта и проверяет её корректность.
Выявленные уязвимости позволяют добиться подстановки своих настроек в nginx через отправку специально оформленного ingress-объекта напрямую в контроллер Admission. Исследователи обнаружили, что некоторые свойства проверочных запросов, выставленные в поле ".request.object.annotations", напрямую подставляются в конфигурацию nginx. При этом сгенерированная конфигурация не применяется, а лишь тестируется путём запуска исполняемого файла "nginx" c опцией "-t".
В частности, подстановка внешних данных в конфигурацию выполняется для параметров "mirror-target", "mirror-host" (CVE-2025-1098), "auth-tls-match-cn" (CVE-2025-1097) и "auth-url" (CVE-2025-24514).
Например, в строке конфигурации "set $target {{ $externalAuth.URL }};" вместо "{{ $externalAuth.URL }}" подставляется URL, указанный в параметре "auth-url". При этом корректность URL не проверяется. Соответственно, атакующий может передать в качестве URL значение вида "http://example.com/#;\nнастройки" и подставить свои настройки в файл конфигурации.
Для выполнения произвольного кода в процессе проверки конфигурации командой "nginx -t" исследователи воспользовались тем, что помимо проверки синтаксиса nginx загружает библиотеки с модулями и открывает файлы, упомянутые в конфигурации, для оценки их доступности. Среди прочего, при обработке директивы ssl_engine производится загрузка указанной в директиве разделяемой библиотеки для SSL-движка.
Для загрузки своей библиотеки на сервер Kubernetes исследователи воспользовались (CVE-2025-1974) тем, что при обработке больших запросов nginx сохраняет тело запроса во временном файле, который сразу удаляется, но в файловой системе "/proc" для этого файла остаётся открытый файловый дескриптор. Таким образом, можно одновременно отправить запросы для сохранения временного файла и инициирования проверки конфигурации, в которой в директиве "ssl_engine" указан путь к дескриптору в файловой системе "/proc".
Для того, чтобы файловый дескриптор длительное время оставался доступен значение "Content-Length" в запросе можно указать заведомо большим, чем фактически переданные данные (сервер будет ждать приёма оставшихся данных). Дополнительной сложностью является необходимость угадать PID процесса и номер файлового дескриптора, связанного с загруженной разделяемой библиотекой, но так как в контейнере обычно используется минимальное число запущенных процессов, нужные значения угадываются путём перебора в несколько попыток. В случае успеха и загрузки подставленной разделяемой библиотеки, атакующий может получить доступ к хранимым внутри pod-окружения параметрам, достаточным для управления всем кластером.
Для проверки использования уязвимого ingress-nginx можно выполнить команду:
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
Источник: https://www.opennet.ru/opennews/art.shtml?num=62946
continue
bonked 25 Mar 2025 10:43 +0100
original: b000ka@mastodon.ml
@kirill увидела ряд "домовой, водяной, леший" - и стало очевидно, что он "лесной". А подтверждение - в толковых словарях: https://dic.academic.ru/dic.nsf/enc2p/262130
Не могу привести лингвистически правильное обоснование, но переход "лес - леш" ощущается органичным русскому языку.
Разработчики GRUB2 рассматривают возможность использования языка Rust Инициатива пока позиционируется как отдельный эксперимент, который не будет влиять на разработку GRUB2. В качестве оптимального применения Rust в GRUB упоминается написание модулей для новых файловых систем. Также не исключается переписывание на Rust кода для работы с дисковыми разделами и GPT.
Предполагается, что использование Rust поможет проекту уменьшить вероятность появление некоторых видов ошибок, особенно в коде модулей, содержащем множество больших с сложных процедур парсинга. В феврале в результате аудита кодовой базы GRUB были выявлены 72 проблемы с безопасностью, 21 из которых признаны опасными уязвимостями, пригодными для обхода механизма верифицированной загрузки UEFI Secure Boot. 20 из 21 уязвимостей вызваны ошибками при работе с памятью, приводившими к переполнению буфера или обращению к памяти после её освобождения.
Дополнительно можно отметить выпуск проекта GNU Boot 0.1 RC6, в состав которого вошли вышеотмеченные исправления уязвимостей (в самом GRUB2 исправления продолжают распространяться в виде патчей без формирования отдельного релиза). Проект GNU Boot развивает замену проприетарным прошивкам UEFI и BIOS, основанную на CoreBoot, но применяющую более жёсткие требования к включению бинарных компонентов. GNU Boot преподносится как "coreboot-libre", т.е. как редакция CoreBoot, избавленная от блобов и несвободных компонентов, по аналогии с тем, как проект Linux-libre развивает очищенный вариант ядра Linux. Отдельно развиваются похожие проекты Libreboot и
Canoeboot.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62945
Корректирующее обновление графического редактора GIMP 3.0.2 В настоящее время внимание разработчиков сосредоточено на устранении ошибок в ветке GIMP 3.0. Тем не менее уже запущен процесс разработки следующего значительного релиза GIMP 3.2, в котором ожидается поддержка новых возможностей для недеструктивной работы со слоями - связующих слоёв (Link layer) и векторных слёв (Vector layer). Также в ветке GIMP 3.2 будет продолжена работа над расширением поддержки цветовой модели CMYK и управления цветом.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62944
Доступен полностью свободный вариант ядра Linux-libre 6.14 Для очистки ядра от несвободных частей проектом Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих критериям Фонда СПО по построению полностью свободных дистрибутивов GNU/Linux. Например, Linux-libre используется в таких дистрибутивах, как GNU Guix System, Dragora Linux, Trisquel, Dyne:Bolic, gNewSense, Parabola, Musix и Kongoni.
В выпуске Linux-libre 6.14-gnu предложен код для чистки блобов в новых драйверах hx9023s, amdxdna и tas2781 spi. Произведена чистка имён блобов в dts-файлах (devicetree) для архитектуры Aarch64.
Обновлён код удаления блобов в драйверах Intel avs, amdgpu, r8169, mt7996 и iwlwifi. Прекращена чистка драйвера wl128x, который был удалён из состава ядра.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62943
WindowsDefender блокирует свободный драйвер WinRing0, используемый в официальном OEM-ПО Драйвер WinRing0 востребован в проектах, управляющих настройками оборудования, как свободных (OpenRGB, Libre Hardware Monitor, FanControl), так и проприетарных (SignalRGB, Razer Synapse 3). Среди программ, использующих драйвер, есть официальное ПО от десятков производителей оборудования, в том числе популярных. Стоит отметить, что драйвер был подписан самостоятельно автором (разработчиком CrystalDiskMark) и принят Microsoft.
Отмеченная Microsoft проблема, из-за которой произведена блокировка, связана с тем, что доступ к установленному в системе драйверу может получить любая программа, и посредством драйвера программа может манипулировать любым устройством в системе или повысить свои привилегии (CVE-2020-14979).
В свете произведённой блокировки, многие компании были вынуждены отреагировать. Например, SignalRGB перевели программу на использование собственной проприетарной замены, в то время как Steelseries полностью отключили в своём ПО функциональность для вывода показателей системы на встроенные экраны их оборудования.
На данный момент для WinRing0 выпущено исправление, ограничивающее использование драйвера только программами, запущенными с правами администратора, однако, из-за изменений политики Microsoft в отношении драйверов, получить для новой сборки подпись является затруднительным.
Китайская компания HYTE, разрабатывающая ПО для мониторинга оборудования HYTE Nexus, в котором также используется этот драйвер, вызвалась взять бюрократическую процедуру на себя, и анонсировала, что опубликует подписанную сборку для свободного использования. Тем не менее, даже если Microsoft примет обновлённый драйвер, множество программ для управления настройками оборудования и мониторинга потребуется запускать с правами администратора или адаптировать для работы с изменённым драйвером.
У драйвера WinRing0 существует единственный аналог под названием inpout32, который на данный момент не блокируется WindowsDefender и антивирусами, однако он блокируется популярными античитами (наиболее известен этим Vanguard от RIOT, используемый в таких играх как Valorant).
Источник: https://www.opennet.ru/opennews/art.shtml?num=62942
Выпуск композитного сервера Hyprland 0.48 Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Для повышения производительности игр доступна возможность отключения вертикальной синхронизации (VSync) с кадровым гасящим импульсом, применяемая для защиты от появления разрывов при выводе (tearing). Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.
В новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62941
https://docs.kernel.org/next/userspace-api/ntsync.html
ntsync is a support driver for emulation of NT synchronization primitives by user-space NT emulators. It exists because implementation in user-space, using existing tools, cannot match Windows performance while offering accurate semantics. It is implemented entirely in software, and does not drive any hardware device.
NTSYNC_IOC_CREATE_SEMNTSYNC_IOC_CREATE_MUTEXNTSYNC_IOC_CREATE_EVENTNTSYNC_IOC_SEM_POSTNTSYNC_IOC_MUTEX_UNLOCKNTSYNC_IOC_SET_EVENTNTSYNC_IOC_RESET_EVENTNTSYNC_IOC_PULSE_EVENTNTSYNC_IOC_READ_SEMNTSYNC_IOC_READ_MUTEXNTSYNC_IOC_READ_EVENTNTSYNC_IOC_KILL_OWNERNTSYNC_IOC_WAIT_ANYNTSYNC_IOC_WAIT_ALL
continue
bonked 24 Mar 2025 18:21 +0100
original: contrinitiator@metalhead.club
Серый дождливый вечер хорошо сочетается с сольным концертом Ермена Анти - 30 лет альбому "Парашют Александра Башлачёва". Как оказалось, я никогда полностью не слушал этот альбом. Некоторые песни были для меня абсолютно новыми.
Основные новшества в ядре 6.14:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62937
В Wayland-Protocols 1.42 предложена новая версия протокола "cursor-shape", в которой расширены возможности по формированию внешнего вида курсора, добавлена поддержка форм курсора с индикаторами получения информации (знак вопроса) и изменения размера. Также обновлена версия протокола "tablet", предоставляющего возможности для организация ввода с графических планшетов. В новой версии протокола tablet добавлена поддержка событий "bustype" и реализована возможность обработки событий от поворотных элементов управления с передачей относительных изменений по аналогии обработкой движения колеса мыши.
Все протоколы последовательно проходят фазы разработки, тестирования и стабилизации. После завершения стадии разработки (категория "unstable") протокол помещается в ветку "staging" и официально включается в состав набора wayland-protocols, а после завершения тестирования перемещается в категорию стабильных. Протоколы из категории "staging" уже можно применять в композитных серверах и клиентах, где требуется связанная с ними функциональность. В отличие от категории "unstable" в "staging" запрещено внесение изменений, нарушающих совместимость, но в случае выявление проблем и недоработок в ходе тестирования, не исключается замена новой значительной версией протокола или другим Wayland-расширением.
Для ускорения доведения протоколов до разработчиков и стимулирования ранней реализации протоколов в существующих проектах, начиная с позапрошлого выпуска дополнительно была добавлена фаза "experimental", в которой допускается внесение изменений, нарушающих совместимость, и добавление "сырых" протоколов, которые можно постепенно доводить до должного уровня. Если для попадания протокола в фазу "staging" требуется сформировать команду поддержки и получить определённое число подтверждений (ACK) от участников рецензирования, то для попадания в "experimental" достаточно отсутствия возражений (NACK) в течение двухнедельного периода рецензирования.
В настоящее время в состав набора wayland-protocols входят следующие стабильные протоколы, в которых обеспечивается обратная совместимость:
Протоколы, тестируемые в ветке "staging":
Протоколы, разрабатываемые в ветке "unstable":
Источник: https://www.opennet.ru/opennews/art.shtml?num=62940
Выпуск игры The Dark Mod 2.13, созданной по мотивам Thief Основное внимание в версии 2.13 уделено улучшению работы игрового AI, добавлена поддержка Parallax Occlusion Mapping, исправлено около 70 ошибок, переработана система локализации миссий. На русский язык переведено больше 100 игровых миссий (из 210). Установочные пакеты подготовлены для Linux и Windows.
<iframe src="https://www.youtube.com/embed/JhJYFMNLfT4?feature=oembed">
Источник: https://www.opennet.ru/opennews/art.shtml?num=62939
contrinitiator
honked 24 Mar 2025 13:03 +0100
Что такое государство сегодня. От аватархии к анонимархии.
continue
bonked 24 Mar 2025 10:54 +0100
original: xenomorph@mastodon.ml
unspecified horror
23 марта 1960 года родился Андрей Валерьевич Панов — человек, чьё имя стало синонимом панк-рока в Советском Союзе и России. Музыкант, поэт, эпатажный фронтмен «Автоматических удовлетворителей», известный под прозвищем Свин, он не просто исполнял панк — он был им в каждом слове, жесте и аккорде. Его музыка — это голос, прорвавшийся сквозь бетон идеологических стен, насмешка над прилизанной, фальшивой действительностью, хриплый крик свободы там, где все привыкли облизывать сапог и заискивать.unspecified horror
continue
bonked 24 Mar 2025 10:52 +0100
original: Chia@lamp.leemoon.network
continue
bonked 24 Mar 2025 10:46 +0100
original: alexeypegov@mastodon.social
continue
honked back 24 Mar 2025 10:32 +0100
in reply to: https://juick.com/n/3071914-0
И. Бродский, "Развивая Платона"
В этом городе был бы яхт-клуб и футбольный клуб.
По отсутствию дыма из кирпичных фабричных труб
я узнавал бы о наступлении воскресенья
и долго бы трясся в автобусе, мучая в жмене руб.
continue
honked back 24 Mar 2025 10:05 +0100
in reply to: https://mastodon.ml/users/pongo/statuses/114216422869331068
О, я этот самый баг репортил году эдак в 2017 в yandex браузер. Мы тогда работали над интеграцией своего компонента и была возможность написать напрямую тогдашним разработчикам, что бы взяли в работу.
перестал работать клик средней кнопки по папке с закладками
Мне ответили, что бы я записал видео воспроизведения :)
contrinitiator
bonked 24 Mar 2025 08:41 +0100
original: shuro@friends.deko.cloud
@mstadmin Идея домофона как некоего отдельного сервиса, за который можно платить или нет, где ключ может стоить неплохих денег и т.п. - это само по себе мне кажется странноватым, особенно в новых домах. Если это часть дома, должен покрываться обслуживанием помещения.
contrinitiator
honked 24 Mar 2025 06:31 +0100
Мда, оказывается, сняли уже сериальчик (Konflikti) про нападение ихтамнетов на Финляндию, которое начинается с захвата Ханко, и я даже просмотрел пару серий. Настолько продуманная и подготовленная операция - это совсем не уровень Эрэфии.
(Так что видимо имелась в виду какая-то другая страна))
Релиз языка программирования V 0.4.10 Среди изменений в новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62938
Выпуск Wayland Maker 0.5, композитный сервер в стиле Window Maker Среди поддерживаемых возможностей: стековый режим компоновки окон, использование виртуальных рабочих столов, боковая панель и оформление в стиле NeXTSTEP, поддержка закрепления приложений на экране, ориентация на легковесность и высокую производительность. Поддерживаются Wayland протоколы: xdg-decoration-unstable-v1, ext_session_lock_v1, wlr_layer_shell_unstable_v1, xdg_shell и
idle_inhibit_unstable_v1.
Основные возможности Wayland Maker 0.5:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62932
Выпуск Finnix 250, Live-дистрибутива для системных администраторов В новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62935
Проект Landrun развивает непривилегированную систему изоляции приложений Механизм Landlock позволяет непривилегированным программам ограничить использование объектов ядра Linux, таких как иерархии файлов, сетевые сокеты и ioctl. В отличие от пространств имён и фильтрации системных вызовов изолированное окружение формируется ядром Linux в форме дополнительного слоя над существующими системными механизмами управления доступом. Для взаимодействия с подсистемой Landlock в утилите landrun используется библиотека go-landlock от разработчиков LandLock.
Landrun позволяет снизить риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Из возможностей отмечается поддержка выборочного ограничения доступа на уровне отдельных каталогов, привязка полномочий к файловыми путям (разрешение или запрет чтения, записи и исполнения) и контроль над инициированием и приёмом TCP-соединений.
Например, при помощи Landrun процессу можно запретить запуск исполняемых файлов, разрешить запись только в отдельный подкаталог c данными, запретить создание слушающих сокетов для приёма сетевых соединений и разрешить отправку сетевых запросов только на указанные TCP-порты. В простейшем случае для запрета записи, запуска и сетевых возможностей программу можно выполнить командой "landrun --ro /", а для изоляции nginx можно использовать:
В планах на будущее упоминается расширенное управление доступом к файловой системе, поддержка UDP и управление ресурсами процессов. Для ограничения доступа на уровне файловой системы требуется как минимум ядро Linux 5.13, а для сетевых ограничений - 6.8.
Дополнительно можно отметить, что в кодовую базу Firejail уже приняты изменения, позволяющие использовать подсистему ядра Landlock для изоляции без suid-бита и повышения привилегий, но релиз с данной поддержкой ещё не опубликован.
landrun --rox /usr/bin --ro /lib,/lib64,/var/www --rwx /var/log --bind-tcp 80,443 /usr/bin/nginx
Источник: https://www.opennet.ru/opennews/art.shtml?num=62934
continue
bonked 23 Mar 2025 09:35 +0100
original: tixie@mastodon.guerilla.studio
Omggg those raccoons in crochet made by ComplicatedKnots are so cuuute! https://www.youtube.com/watch?v=w6rPbC6VQqo
Patterns are available on Etsy: https://www.etsy.com/listing/1887582013/crochet-pattern-no-sew-raccoon-please
continue
bonked 23 Mar 2025 09:34 +0100
original: lev@mastodon.ml
Уже классика, но я рекомендую перед призывом будь вы срочником или невезучим получателем повестки проконсультироваться в сообществе дсо - движение сознательных отказчиков ,у них есть база критических данных по защите и взаимодействию с военкоматом - " https://docs.google.com/document/u/0/d/e/2PACX-1vR3mfTkjt525hM7VnAIonLeml1NMr3_jMSariDkaeVJyzh3xJxF-D_1BCrbgyuTKC-capDCyHkUWb9R/pub?pli=1#h.94hdf3e9hp0j " а так же само сообщество в телеграмме
" • Каталог ДСО – cutt.ly/B3f9yDc
• Консультации – @stoparmybot
• Форум ДСО и иные чаты – @stoparmy_netbot
• Расписание созвонов-консультаций – cutt.ly/L1eRxtt
• Видео созвонов – @stoparmy_video
https://t.me/stoparmy
П.с : Всем удачи и мира
Для NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ Суть метода в том, что исходный код новой версии приложения собирается два раза - первый раз из кода, загруженного из git-репозитория, а второй из кода, распространяемого в готовых архивах. Если полученные в результате сборок бинарные файлы различаются, возникает повод для подозрений в наличии скрытых модификаций в репозитории или в архивном файле с кодом.
Напомним, что в случае с проектом XZ репозиторий с кодом не содержал подозрительных изменений. Образующие бэкдор вредоносные компоненты поставлялись внутри файлов, используемых в тестовом наборе для проверки корректности работы распаковщика XZ. Бэкдор активировался на уровне системы сборки, а сам исходный код XZ совпадал с кодом из репозитория. Активирующие бэкдор m4-макросы для инструментария Automake были включены только в готовый архив с кодом и отсутствовали в репозитории.
Злоумышленники воспользовались тем, что дистрибутивы в основном собирают пакеты, загружая код из готовых архивов, так как при загрузке кода для сборки можно обойтись одной контрольной суммой для проверки целостности файла с архивом и использовать зеркала. Основное внимание при проверке кода сосредоточено на анализе содержимого репозитория, поэтому неочевидные отличия в архивах не всегда могут быть сразу замечены.
Для упрощения проверки соответствия файлов-архивов и срезов репозитория, соответствующих релизам, некоторые открытые проекты, такие как PostgreSQL, ввели в обиход систему повторяемой генерации архивов. В данном случае предоставляется инструментарий, позволяющий самостоятельно собрать из кода свой архив, полностью соответствующий готовому архиву, доступному для загрузки. Если независимо созданный архив и архив, предоставляемый основным проектом, будут отличаться - имеет место компрометация репозитория или эталонного архива.
Проблема в том, что подобный метод практикуется лишь в отдельных случаях, в то время как многие проекты продолжают включение в архивы дополнительных артефактов, отсутствующих в основном репозитории, таких как man-страницы, документация, примеры, сценарии создание пакетов для дистрибутивов и дополнительные сборочные файлы. В основном такое происходит в силу исторических причин и особенностей процессов формирования релизов.
Простая сверка соответствия начинки репозитория и архива в этом случае не подходит. Как выход предложено собирать бинарные файлы релиза, как из репозитория (например, можно использовать автоматически генерируемый в GitHub архив для релизного тега), так и из архива, подготовленного сопровождающим, сравнивая затем результат.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62933
Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов в репозиториях Fedora и openSUSE В платформе Pagure, используемой в Fedora для совместной работы c кодом и метаданными пакетов, выявлены 4 уязвимости. Для эксплуатации выявленных проблем требуется наличие учётной записи в сервисе Pagure, которую может получить любой желающий (в настоящее время в Pagure.io зарегистрировано 24899 пользователей). Три проблемы позволяют прочитать файлы в системе, а одна проблемы выполнить свой код на сервере. Проблемы были выявлены 1 января 2024 года, сообщены через bugzilla.redhat.com 25 апреля 2024 года и устранены в Pagure через 3 часа.
Pagure выполняется под пользователем git, поэтому перезаписать получится только файлы данного пользователя. Для организации выполнения своего кода на сервере можно воспользоваться сервисом для доступа к репозиторию по SSH, при обращении к которому выполняется команда "bash -c /usr/libexec/pagure/aclchecker.py". Атакующий может использовать уязвимость для перезаписи файла "/srv/git/.bashrc" и данный файл будет запущен командным интерпретатором bash при обращении к репозиторию по ssh.
Атака сводится к регистрации в системе Pagure, созданию репозитория, добавлению в репозиторий файла README.md с примечанием к коммиту вида "|| /bin/bash" и отправке запроса "http://pagure.local:5000/test/history/README.md?identifier=--output=/srv/git/.bashrc". В ходе данных шагов в файл "/srv/git/.bashrc" будет записана строка вида "34а5с43 || /bin/bash". Для запуска созданного файла "/srv/git/.bashrc" достаточно подключиться к репозиторию по SSH под своей учётной записью. Выполнения кода с правами пользователя git на сервере Pagure позволяет контролировать всё содержимое репозиториев с пакетами.
В платформе OBS (Open Build Service), применяемой в openSUSE и некоторых других дистрибутивах для сборки пакетов, выявлена одна уязвимость (CVE-2024-22033), позволяющая выполнить свой код на сервере. Уязвимость выявлена 27 июня 2024 года, сообщена проекту openSUSE 29 июня и устранена 10 июля.
Уязвимость присутствует в сервисе "obs-service-download_url", в котором отсутствовала должная проверка URL, применяемого при запуске утилиты wget из скрипта, осуществляющего загрузку исходного кода в OBS. Атакующий может указать в сервисе OBS конфигурацию формируемого пакета, в которой вместо URL для загрузки кода будет указана опция командной строки для wget, например:
Для обхода возвращения ошибки при попытке запустить wget без URL в примере указана опция "download-manifest", позволяющая указать список URL в отдельном файле. Вышеуказанный пример приведёт к запуску команды:
которая позволяет записать в файл /tmp/test содержимое, загруженное по ссылке, указанной в файле /srv/obs/service/XXXXX/src/tempfile из кода, загруженного атакующим в OBS через интерфейс build.opensuse.org, допускающий свободную регистрацию. Кроме перезаписи файла на сервере, атакующий также может отправить себе любой файл, указав вместо "--output-document" опцию "--post-file", например, "--post-file=/etc/passwd". Таким образом атакующий может читать и записывать файлы на сервере, насколько позволяют права доступа, под которым выполняется сервис OBS.
Для того, чтобы превратить возможность записи в файл в выполнение кода на сервере исследователи предложили метод, состоящий из двух этапов. Два этапа необходимы, так атакующий может создать файл ".wgetrc" с настройками к wget, но этого недостаточно для запуска команд. Но при этом, через ".wgetrc" можно создать условия для выполнения в системе любой программы, но без передачи ей аргументов. Для запуска произвольного кода предложено запускать программу "prove", которая обрабатывает файл конфигурации ".proverc", допускающий указание опции "--exec" для выполнения любого кода.
На первом этапе через вышеотмеченные манипуляции с "download-manifest" в домашнем каталоге пользователя "obsservicerun" создаётся файл ".proverc", включающая команды, которые будут выполнены при запуске процесса "prove". На втором этапе создаётся файл
.wgetrc" с параметром "use-askpass=/usr/bin/prove", приводящим к вызову "prove". После появления данных файлов достаточно создать условия загрузки любых данных при помощи wget и это приведёт к запуску кода атакующего на сервере с правами пользователя "obsservicerun". Прав пользователя "obsservicerun" достаточно для извлечения из репозиториев ключей, используемых пользователями OBS для заверения пакетов.
http://pagure.local:5000/test/history/README.md?identifier=--output=/tmp/foo.bar
<iframe src="https://player.vimeo.com/video/1066145210?h=0716980f9b">
‹services›
‹service name="download_url"›
‹param name="url"›--output-document=/tmp/test‹/param›
‹param name="download-manifest"›tempfile‹/param›
‹/service›
‹/services›
/usr/bin/wget -i /srv/obs/service/XXXXX/src/tempfile -4 --output-document=/tmp/test
Источник: https://www.opennet.ru/opennews/art.shtml?num=62928
continue
honked back 22 Mar 2025 21:02 +0100
in reply to: https://metalhead.club/users/contrinitiator/statuses/114207386431780237
contrinitiator
honked back 22 Mar 2025 18:58 +0100
in reply to: https://honk.any-key.press/u/contrinitiator/h/Hc26MR968ZfFq42VzY
contrinitiator
honked back 22 Mar 2025 18:57 +0100
in reply to: https://honk.any-key.press/u/contrinitiator/h/CBxm4ZfGfqQ2TWhNpY
contrinitiator
honked 22 Mar 2025 18:57 +0100
Последние зимние глифы.
#сегодня утром на градусник показывал -10, а я наконец-то выбрался в лес. Из-за ночного мороза снежный наст уверено держит взрослого человека. В лесу я нашёл свежие следы лосей и решил идти по ним. Через какое-то я вышел к поваленным стволам деревьев: похоже, это место лосиной трапезы. Искренне надеюсь, что я не спугнул их во время еды.
fw_update(8) gains support for arbitrary dmesg files Hitherto,
Andrew Hewus Fresh (
This is a very welcome change indeed!
At least one of the editors (and we suspect several of our readers) would have saved quite a bit of time while installing our favourite operating system on hardware that requires firmware that for some reason is not included in the install media, such as some recent-ish laptops.
fw_update(8)
has gathered system information largely from
/var/run/dmesg.boot
(on the host on which it is invoked).afresh1@) has
committed a change
which allows
specifying
an
arbitrary dmesg file.
The commit message explains the rationale:
CVSROOT: /cvs
Module name: src
Changes by: afresh1@cvs.openbsd.org 2025/03/21 18:33:34
Modified files:
usr.sbin/fw_update: fw_update.8 fw_update.sh
Log message:
Allow using a different dmesg for driver detection
This also solves an issue that jmc@ was having with installing
downloaded firmware. (thanks for reporting)
It also adjusts detecting the OpenBSD version from the dmesg
instead of from sysctl while still allowing sysupgrade to override.
I see two main uses for this, the first being downloading firmware
to be used on a machine that doesn't have access to download for
itself. The other would be for testing detection of devices in a
dmesg for a machine you don't have or that is hard to test such as
from the installer.
Выпуск операционной системы ReactOS 0.4.15 После прошлого выпуска внесено более 8600 изменений и закрыто 1319 отчётов о проблемах. Ключевые изменения:
В master-ветке дополнительно развивается поддержка UEFI, SMP и управления энергопотреблением, добавлены графический инсталлятор и драйвер NTFS.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62931
Наиболее важные изменения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62930
Google развивает систему перезагрузки ядра без остановки работы устройств В качестве основной области применения LUO называются облачные окружения, в которых появится возможность обновления гипервизора KVM без нарушения работы запущенных виртуальных машин. В частности, можно будет приостановить виртуальные машины на время перезагрузки ядра с гипервизором, сохранив в рабочем состоянии все прикреплённые к виртуальным машинам устройства.
Для воплощения данной возможности LUO предоставляет возможности для сохранения состояния устройств до переключения на новое ядро и восстановления состояния сразу после задействования нового ядра, таким образом, что непрерывные операции системы и приложений в пространстве пользователя с устройствами не будут нарушены. В процессе перезагрузки ядра также обеспечена неразрывность выполняемых операций с DMA и активность, связанная с обработкой прерываний.
Для координации сохранения состояния и переключения на новое ядро
LUO предоставляет API, позволяющий другим подсистемам ядра подключать обработчики для отслеживания и участия в процессе Live-перезагрзки. Среди подсистем, которые могут интегрироваться с LUO, отмечены гипервизор KVM, iommu, система прерываний и драйверы. Для передачи состояния памяти от старого ядра к новому задействован KHO (Kexec HandOver). Управление производится через файлы sysfs "/sys/kernel/liveupdate/{state, prepare, finish}".
Источник: https://www.opennet.ru/opennews/art.shtml?num=62929
Для плат Raspberry Pi опубликован генератор системных образов rpi-image-gen Инструментарий rpi-image-gen концептуально отличается от ранее предлагаемых утилит pi-gen, рассчитанных на подготовку вариантов сборок дистрибутива Raspberry Pi OS. В rpi-image-gen система формируется с использованием концепции "коллекций" (примеры), представляющих собой подборки YAML-файлов со списками устанавливаемых пакетов и метаданными, определяющими выполняемые операции. Выбранные коллекции образуют профиль сборки. Для генерации rootfs и образов с различными ФС и раскладкой разделов в rpi-image-gen применяются утилиты bdebstrap, mmdebstrap и genimage.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62927
Опубликована децентрализованная видеовещательная платформа PeerTube 7.1 PeerTube даёт возможность запустить собственный сервер для распространения видео и подключить его к общей федеративной сети. Посетители участвуют в доставке контента и имеют возможность подписки на каналы и получения уведомлений о новых видео, независимо от того, какой именно сервер они используют. Федеративная сеть PeerTube образуется как содружество связанных между собой небольших серверов хостинга видео, на каждом из которых имеется свой администратор и приняты свои правила.
Каждый сервер с видео выполняет роль BitTorrent-трекера, размещающего учётные записи и видео пользователей. Для взаимодействия серверов в федеративной сети применяется протокол ActivityPub. Идентификатор пользователя формируются как "@имя_пользователя@домен_сервера". При просмотре видео данные по возможности загружаются через обращение к браузерам других посетителей, просматривающих тот же контент. Если запрошенное видео никто не просматривает, отдача организуется сервером, на который загружено видео (используется протокол WebSeed).
Помимо распределения трафика между пользователями, просматривающими видео, PeerTube позволяет серверам кэшировать видео других авторов. Таким образом формируется распределённая сеть не только из клиентов, но и из серверов, а также обеспечивается отказоустойчивость. Кроме распространения готового видео имеется поддержка потокового вещания (live streaming) с доставкой контента в режиме P2P. Для управления стримингом могут использоваться типовые программы, такие как OBS.
Для начала вещания через PeerTube пользователю необходимо загрузить на один из серверов видеоролик, описание и набор тегов. После этого ролик станет доступен во всей федеративной сети, а не только на сервере первичной загрузки. Для работы с PeerTube и участия в распространении контента достаточно обычного браузера. Распространять видео с использованием P2P-коммуникаций можно добавив на свой сайт специальный виджет со встроенным web-плеером, по аналогии с тем как на страницы встраиваются ролики с YouTube. Отслеживать появление видео можно через подписку на выбранные видеоканалы в федеративных социальных сетях (например, в Mastodon и Pleroma) или через RSS.
В настоящее время в федеративную сеть входит 994 сервера, поддерживаемых добровольцами и организациями. Если пользователя не устраивают правила размещения видео на определённом сервере PeerTube, он может подключиться к другому серверу или запустить свой собственный сервер. Для быстрого развёртывания сервера предоставляется преднастроенный образ в формате Docker (chocobozzz/peertube).
Изначально платформа PeerTube основывалась на применении BitTorrent-клиента WebTorrent, запускаемого в браузере и использующего технологию WebRTC для организации прямого P2P-канала связи между браузерами. Позднее вместо WebTorrent был задействован протокол HLS (HTTP Live Streaming) в связке с WebRTC, позволяющий адаптивно управлять потоком в зависимости от полосы пропускания. Web-интерфейс построен с использованием фреймворка Angular.
Основные новшества PeerTube 7.1:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62923
continue
bonked 21 Mar 2025 17:53 +0100
original: binarygolf@haunted.computer
contrinitiator
bonked 21 Mar 2025 17:43 +0100
original: Konstantin@pixelfed.de
В GCC-фронтэнде с компилятором Rust реализован Borrow checker Предложенная реализация Borrow checker отличается тем, что написана на языке Rust и предоставляет расширенные возможности верификации кода, позволяющие в ряде случаев считать безопасным (safe) код, который до сих пор требовал пометки ключевым словом Unsafe из-за ограничений применяемой по умолчанию реализации Borrow checker.
Подготовленное для GCC решение имеет ограничения:
Полная реализация самодостаточной сборки подразумевает 2-стадийную раскрутку, при которой сначала GCC соберёт gccrs без Borrow checker, а затем соберёт упомянутую реализацию Borrow checker, написанную на языке Rust, используя урезанный варианта компилятора и считая код условно-доверяемым (т.е. не выполняя проверку заимствования). После сборки Borrow checker-а будет выполнена ещё одна пересборка компилятора, но уже с выполнением проверок заимствования.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62924
Для ОС Haiku началось портирование драйвера NVIDIA и опубликован порт GIMP 3.0 Решение использовать код от компании NVIDIA, а не драйвер Nouveau, было принято исходя из лёгкости портирования - драйвер от NVIDIA спроектирован как переносимый и использующий общий код в сборках для Windows, Linux, FreeBSD и Solaris. Кроме того, драйвер NVIDIA имеет более высокое качество и лучше поддерживается.
Дополнительно можно отметить портирование для Haiku графического редактора GIMP 3.0. Порт создан Герасимом Троеглазовым (3dEyes).
Источник: https://www.opennet.ru/opennews/art.shtml?num=62926
contrinitiator
honked back 21 Mar 2025 13:21 +0100
in reply to: https://lor.sh/users/coaxial/statuses/114200352889329264
contrinitiator
honked back 21 Mar 2025 13:11 +0100
in reply to: https://honk.any-key.press/u/contrinitiator/h/cy5Yj6KnV5Dfz3324J
В случае жирных бизнес-интересов больше пол-тысячи сотрудников разных ведомств могут выйти на один объект и работать даже ночью.
contrinitiator
honked 21 Mar 2025 13:07 +0100
Питерские "силовики" расхреначили Апрашку, при этом чиновники называют это освобождением Апраксина двора, так, словно там засели какие-то враги и долго оборонялись.
Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов Проблемы возникают из-за того, что подобные ИИ-индексаторы действуют агрессивно, собирают информацию в несколько потоков и не учитывают правила доступа к контенту, заданные на сайтах через файл robots.txt. Проблему усугубляет то, что разработками в области машинного обучения занимаются большое число разных компаний по всему миру, которые пытаются собирать как можно больше данных в меру своих возможностей. Каждая компания запускает свой индексатор и все вместе они создают огромную паразитную нагрузку на элементы инфраструктуры.
После начала блокировки подобного трафика, некоторые индексаторы начали притворяться типовыми браузерами для обхода фильтрации по идентификатору User Agent и использовать распределённые сети, охватывающие большое число хостов, для преодоления ограничений интенсивности обращений с одного IP. Наиболее сильно из-за активности ИИ-индексаторов страдают инфраструктуры открытых проектов, использующих собственные хостинги Git-репозиториев, форумы и Wiki, которые изначально не были рассчитаны на обработку высокой нагрузки.
Проблемы возникли у платформы совместной разработки SourceHut, развиваемой Дрю ДеВолтом (Drew DeVault), автором пользовательского окружения Sway. Дрю сетует на то, что в очередной раз вместо того, чтобы заниматься развитием платформы ему приходится тратить большую часть своего времени на разгребание неожиданно возникших проблем. Четыре года назад проблемой для SourceHut стало использование CI-инфраструктуры для майнинга криптовалют. Два года назад пришлось разбираться с флудом запросами "git clone" из-за сервиса Go Module Mirror. В прошлом году платформа была выведена из строя на неделю из-за DDoS-атаки. Теперь возникла новая напасть - ИИ-индексаторы.
По словам Дрю, решение нескольких приоритетных задач было отложено на недели или даже месяцы из-за того, что создателей SourceHut постоянно отвлекает блокировка ИИ-ботов. Чтобы избежать сбоев правила блокировки приходится пересматривать по несколько раз в день. Для снижения запросов к ресурсоёмким обработчикам в SourceHut были внедрены ловушки на базе инструментария Nepenthes, генерирующего в ответ на запросы ботов случайный контент с зацикленными на ловушку ссылками. До этого разработчики SourceHut из-за агрессивного поведения ИИ-ботов были вынуждены заблокировать трафик из нескольких облачных платформ, включая Google Cloud Platform и Azure.
При этом введённые меры не лишены ложных срабатываний, от чего уже пострадали многие пользователи, так как внедрённая система блокировки не всегда может отличить реальных пользователей от ботов (например, возникли проблемы со сборкой пакетов для репозиториев Nix). ИИ-боты сканируют всё до чего могут дотянуться, включая ресурсоёмкие операции, такие как "git blame", перебирают каждую страницу в "git log" каждого репозитория, мимикрируя под запросы обычных пользователей, используя случайные индинтификаторы реальных браузеров (User Agent) и отправляя запросы с десятков тысяч IP, не связанных к какой-то одной подсетью.
Другие проекты, обратившие внимание на проблему:
Администраторы микроблогинговой платформы Framapiaf подготовили список блокировки, насчитывающий 460 тысяч адресов с которых зафиксирована активность ИИ-ботов. Отдельно развивается проект ai.robots.txt, собравший список идентификаторов (User Agent) ИИ-индексаторов, которые не скрывают имя бота, а также опубликовавший статистику о том, какие из ботов учитывают правила из файла robots.txt. Примеры блокировки по заголовку User-Agent предложены для Apache httpd и nginx.
Дополнительно можно отметить, ловушку для ИИ-ботов AI Labyrinth, представленную вчера компанией Cloudflare. Пользователям Cloudflare предоставлена опция, позволяющая вместо блокировки ИИ-ботов, игнорирующих запрет на индексацию, отдавать фиктивные страницы и зацикливать ботов на их обработке. Предполагается, что выдача ИИ-ботам мусорного контента заставит их разработчиков следовать правилам robots.txt и снизить интенсивность запросов. По статистике Cloudflare около 1% всего трафика в сети приходится на ИИ-ботов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62925
continue
honked back 21 Mar 2025 11:27 +0100
in reply to: https://craba.cab/users/cybertailor/statuses/114198643975166334
Вот этот одноплатник нужно сделать роутером. Но проще с роутерера прокинуть нужные порты (80, 443 и т.п.) на одноплатник.
Заказал себе одноплатник на RiscV, хочу провести белый IP и сделать из него домашний сервер под пет проекты.
Хочу, чтобы все устройства подключённые к роутеру пользовались бы серым IP, а белый вывести только на одно устройство. Как такое делается ?
continue
bonked 21 Mar 2025 11:20 +0100
original: contrinitiator@metalhead.club
contrinitiator
honked 21 Mar 2025 10:25 +0100
Современный человек перешёл с телесного, эмпирического проживания реальности на виртуальное — внутри своей или чужой психики. Поэтому изменился характер инициации. В телесно ориентированных обществах (неиндустриализированные страны, которые остались в аграрной экономике) и сообществах (тюрьма, армия) человека инициируют по-старинке. В остальных человека инициируют через информацию, запакованную в эмоции — в контент. Проводят моментальный экскурс в инаковость и смертность человека, в противоречивую природу мира.
contrinitiator
honked back 20 Mar 2025 14:57 +0100
in reply to: https://silverbay.space/users/multed/statuses/114195045955022893
contrinitiator
honked back 20 Mar 2025 14:39 +0100
in reply to: https://silverbay.space/users/multed/statuses/114194915297325147
@multed Если вопрос, переводит ли Tusky посты - то да, переводит. Тыкнуть на троеточие, где меню для взаимодействия с постом.
Браузер Chrome переведён на шрифтовой движок Skrifa, написанный на Rust В Chrome 128 написанный на Rust бэкенд был включён в экспериментальном режиме для редко используемых форматов шрифтов, таких как CFF2 и цветные шрифты. Начиная с выпуска Chrome 133 новый бэкенд задействован для всех web-шрифтов в сборках для платформ Linux, Android и ChromeOS. На платформах Windows и macOS новый движок пока используется в качестве запасного и применяется в случае, если система не поддерживает формат шрифта, который пытается отобразить браузер.
Код Skrifa разработан инженерами Google в рамках инструментария Fontations и открыт под лицензиями MIT и Apache 2.0. Для проверки корректности работы Skrifa подготовлено около 700 unit-тестов. Помимо библиотеки Skrifa, предоставляющей API для доступа к метаданным шрифтов и загрузки контуров глифов, инструментарий Fontations включает низкоуровневые библиотеки для чтения, разбора, изменения и создания шрифтовых данных в формате OpenType. В свою очередь Fontations является частью проекта Oxidize, созданного для перевода утилит и библиотек для работы с текстом и шрифтами с компонентов на языках Python (fonttools, fontmake, nanoemoji) и C++ (HarfBuzz, FreeType) на новые реализации, написанные на Rust.
Разработка компонентов на Rust началась из-за недостаточной эффективности выявления ошибок при помощи fuzzing-тестирования, так как форматы шрифтов слишком сложны для охвата всех возможных комбинаций. Например, на прошлой неделе во FreeType была выявлена критическая уязвимость, позволяющая выполнить код при обработке специально оформленных шрифтов. Помимо движка FreeType проблемы с обеспечением безопасности могут создавать и используемые в нём зависимости, такие как bzip2, libpng и zlib.
Использование Rust позволило значительно снизить вероятность появления проблем при работе с памятью, повысить качество кода, тратить меньше времени на исправление проблем с безопасностью и ускорить внесение улучшений в возможности Chrome, связанные со шрифтами. По статистике Google и Microsoft около 70% опасных уязвимостей вызваны проблемами при работе с памятью, которых можно избежать при использовании языка Rust без unsafe-блоков.
Например, из проблем, в прошлом выявлявшихся в коде FreeType, можно было избежать проблем, связанных с обращением к освобождённым областям памяти, выходом за границу буфера, доступом к массивам без проверки индексов, целочисленными переполнениями, некорректным использованием необнулённых областей памяти и ошибками приведения типов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62922
Релиз программы для редактирования видео LosslessCut 3.65.0 Без перекодирования программа также может решать такие задачи как прикрепление звукового трека или субтитров к видео, вырезание отдельных сцен из роликов (например, вырезание рекламы из записей телепередач), раздельное сохранение фрагментов, привязанных к меткам/главам, перегруппировка частей видео, разделение звука и видео по разным файлам, изменение типа мультимедийного контейнера (например, из MKV в MOV), сохранение в форме изображений отдельных кадров видео, создание миниатюр, экспорт фрагмента в отдельный файл, изменение метаданных (например, данных о местоположении, времени записи, горизонтальной или вертикальной ориентации). Присутствуют средства для определения и автоматического вырезания пустых областей (чёрный экран на видео и фрагменты без звука в звуковых файлах), а также привязки к изменениям сцены.
Возможно соединение фрагментов из разных файлов, но файлы должны быть закодированы с использованием идентичного кодека и параметров (например, сняты одной камерой без изменения настроек). Возможно редактирование отдельных частей с выборочным перекодированием только изменяемых данных, но с оставлением в исходном видео остальной информации, не затронутой при редактировании. В процессе редактирования поддерживается откат изменений (undo/redo) и показ лога команд FFmpeg (можно повторить типовые операции из командной строки без использования LosslessCut).
Ключевые изменения в новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62921
Выпуск miracle-wm 0.5, композитного менеджера на базе Wayland и Mir Целью miracle-wm является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие продукты, как Swayfx. При этом проект позволяет использовать и классические приёмы работы с плавающими окнами, например, можно размещать отдельные окна поверх мозаичной сетки или закреплять окна к определённому месту на рабочем столе. Поддерживается виртуальные рабочие столы с возможностью выставления для каждого рабочего стола своего режима работы с окнами по умолчанию (мозаичная компоновка или плавающие окна).
Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают получить визуальные эффекты и более яркое графическое оформление с плавными переходами и цветами. Конфигурация определяется в формате YAML. Для установки miracle-wm можно использовать команду "sudo snap install miracle-wm --classic".
Основные новшества:
<iframe src="https://www.youtube.com/embed/KwOp8J09Zdw?si=bPfWVwoONr4n_U4V">
Источник: https://www.opennet.ru/opennews/art.shtml?num=62918
continue
honked back 20 Mar 2025 10:16 +0100
in reply to: https://mastodon.online/users/lost_enchanter/statuses/114190966396227262
Меня все реже радует трата денег на себя, поэтому совет из личного опыта: задонать тем, кто (по твоему мнению) делает что-то важное.
С днём рождения!
continue
bonked 20 Mar 2025 10:10 +0100
original: prahou@merveilles.town
contrinitiator
bonked 20 Mar 2025 10:06 +0100
original: gusev@mastodon.ml
День весеннего равноденствия — это не только символ победы света над тьмой, но и важное астрономическое событие, когда день становится равен ночи. Этот день неизменен и не подвластен человеку. Никто не может перенести его или изменить, разве что в своём воображении. Природные явления, такие как равноденствие и солнцестояние, напоминают нам о величии и мощи природы. Они демонстрируют неустанное движение небесной механики, частью которой является наша планета Земля. Эта космическая мощь настолько великолепна, что все человеческие попытки что-либо изменить кажутся нелепыми. Земля существует уже 4,5 миллиарда лет и пережила множество изменений. Человеческая деятельность не может существенно повлиять на её судьбу, но важно понимать и ценить окружающую природу. Сегодня прекрасный день, чтобы выйти под высокое весеннее небо, где поёт жаворонок, собраться с мыслями и насладиться красотой весеннего дня.
#деньвесеннегоравноденствия
continue
bonked 20 Mar 2025 09:58 +0100
original: gusev@mastodon.ml
День весеннего равноденствия — это не только символ победы света над тьмой, но и важное астрономическое событие, когда день становится равен ночи. Этот день неизменен и не подвластен человеку. Никто не может перенести его или изменить, разве что в своём воображении. Природные явления, такие как равноденствие и солнцестояние, напоминают нам о величии и мощи природы. Они демонстрируют неустанное движение небесной механики, частью которой является наша планета Земля. Эта космическая мощь настолько великолепна, что все человеческие попытки что-либо изменить кажутся нелепыми. Земля существует уже 4,5 миллиарда лет и пережила множество изменений. Человеческая деятельность не может существенно повлиять на её судьбу, но важно понимать и ценить окружающую природу. Сегодня прекрасный день, чтобы выйти под высокое весеннее небо, где поёт жаворонок, собраться с мыслями и насладиться красотой весеннего дня.
#деньвесеннегоравноденствия
contrinitiator
honked back 20 Mar 2025 09:03 +0100
in reply to: https://mastodon.social/users/coolingfan375/statuses/114193693340466796
contrinitiator
honked 20 Mar 2025 07:06 +0100
Поздравляю с Равноденствием!
Наконец нормальный праздник в этом году.
Теперь можно и блинами полакомиться. Хотя можно было и до того, и даже после!
Птиц уже закликали, Тополя будили. Костёр сегодня не получится сделать, но что-нибудь зажжём.
Выпуск среды рабочего стола GNOME 48 Для терминалов и редакторов кода задействован моноширинный шрифт Adwaita Mono, являющийся модифицированным вариантом шрифта Iosevka, приближенным по стилю к шрифту Inter.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62916
Выпуск Java SE 24 и OpenJDK 24 Java SE 24 отнесён к категории выпусков с обычным сроком поддержки, обновления для которого будут выпускаться до следующего релиза. В качестве ветки с длительным сроком поддержки (LTS) следует использовать Java SE 21 или Java SE 17, обновления для которых будут выпускаться до 2031 и 2029 годов соответственно (общедоступные - до 2028 и 2026 годов). Расширенная поддержка LTS-ветки Java SE 8 продлится до 2030 года, а Java SE 11 - до 2032 года. Следующим LTS-релизом станет осенний выпуск Java SE 25.
Среди предложенных в Java SE 24 новшеств:
Дополнительно можно отметить публикацию обновления платформы для создания приложений с графическим интерфейсом JavaFX 24 и новый выпуск универсальной виртуальной машины GraalVM, поддерживающей запуск приложений на JavaScript (Node.js), Python, Ruby, R, любых языках для JVM (Java, Scala, Clojure, Kotlin) и языках, для которых может формироваться биткод LLVM (C, C++, Rust). Кроме поддержки JDK 24 в новой версии GraalVM проведены оптимизации для задач, связанных с машинным обучением, улучшена поддержка компиляции Java-байткода в машинный код, добавлен механизм SkipFlow для сокращения размера исполняемых файлов и уменьшения времени компиляции.
ClassFile cf = ClassFile.of();
ClassModel classModel = cf.parse(bytes);
byte[] newBytes = cf.build(classModel.thisClass().asSymbol(),
classBuilder -> {
for (ClassElement ce : classModel) {
if (!(ce instanceof MethodModel mm
&& mm.methodName().stringValue().startsWith("debug"))) {
classBuilder.with(ce);
}
}
});
jshell› Stream.of(1,2,3,4,5,6,7,8,9).gather(new WindowFixed(3)).toList()
$1 ==› [[1, 2, 3], [4, 5, 6], [7, 8, 9]]
switch (x.getStatus()) {
case 0 -› "okay";
case 1 -› "warning";
case 2 -› "error";
case int i -› "unknown status: " + i;
}
if (i instanceof byte b) {
... b ...
}
class Outer {
void hello() {
System.out.println("Hello");
}
class Inner {
Inner() {
hello();
super();
}
}
}
// было
public class HelloWorld {
public static void main(String[] args) {
System.out.println("Hello world!");
}
}
// теперь можно
void main() {
System.out.println("Hello, World!");
}
Источник: https://www.opennet.ru/opennews/art.shtml?num=62914
Представлены две модели умных часов на открытой платформе PebbleOS Прошлые модели часов Pebble выпускались с 2013 по 2016 год и пользовались популярностью благодаря длительной автономной работе из-за экрана не базе электронной бумаги и возможности установки на часы дополнительных программ из каталога, насчитывающего более 10 тысяч приложений. В 2016 году производство и разработка часов Pebble были свёрнуты после поглощения компанией Fitbit. В 2021 году компания Fitbit была куплена корпорацией Google, которая в январе 2025 года открыла код операционной системы PebbleOS под лицензией Apache 2.0 в рамках инициативы по поддержке энтузиастов, заинтересованных в продолжении развития платформы.
Основатель Pebble воспользовался публикацией PebbleOS для возрождении проекта и разработал две новые модели часов - "Core 2 Duo" и "Core Time 2". Между собой новые модели отличаются использованием 1.26-дюймового черно-белого (144x168) и 1.5-дюймового цветного сенсорного (200x228) экрана на базе электронной бумаги, а также пластиковым и металлическим корпусом. В остальном параметры часов близки. Модель Core Time 2 доступна для предзаказа по цене $149, а Core Time 2 - $225. Производство первой модели начнётся в июле, а второй в декабре.
У часов Core 2 Duo 1.26-дюймовый черно-белый экран и корпус идентичен ранее выпускаемой модели Pebble 2. Устройство тоже доступно в черном и белом исполнении, защищено от попадания влаги (IPX8), имеет встроенный микрофон, функции отслеживания продолжительности сна и шагомер. Отличия от Pebble 2 сводятся к автономной работе в течение 30 суток, задействованием Bluetooth LE чипа Nordic nRF52840, наличием громкоговорителя, барометра, компаса, линейного резонансного привода (тише и мощнее вибромотора) и более надёжными 4 кнопками.
Модель Core Time 2 оснащена 64-цветным 1.5-дюймовым экраном на базе электронной бумаги, превышающим экран модели Pebble Time 2, выполненный по той же технологии, на 53% по размеру и на 88% по числу пикселей. Экран сенсорный и накрыт плоской стеклянной линзой, которая в отличие от изогнутой линзы часов Pebble Time 2 вносит меньше искажений и бликов. Корпус и 4 кнопки выполнены из металла. Обеспечен уровень защиты от попадания влаги IPX8. Время автономной работы заявлено в 30 дней. Помимо функций отслеживания продолжительности сна и шагомера, часы укомплектованы пульсометром. Имеется микрофон и громкоговоритель.
Новые модели созданы в соответствии со следующими принципами:
Прошивки для устройств построены на открытом коде платформы PebbleOS и поддерживают все основные возможности старых часов Pebble, такие как вывод уведомлений и сообщений со смартфона (например, уведомления о входящих звонках и событиях календаря-планировщика, информация о новых SMS, email и сообщениях из популярных мессенджеров), списки действий, смена тем оформления экрана, будильник, таймер, календарь, управление воспроизведением музыки, функции фитнес-трекера, расширение функциональности через установку приложений из каталога apps.rebble.io. Для Android и iOS будут опубликованы новые сопутствующие приложения для взаимодействия смартфона с умными часами.
Источник: https://www.opennet.ru/opennews/art.shtml?num=62913
Производительность Ubuntu-пакета jq удалось увеличить в 1.9 раза путём пересборки Итоги эксперимента:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62912
continue
bonked 19 Mar 2025 10:15 +0100
original: h3artbl33d@exquisite.tube
[2023] How OpenBSD’s malloc helps the developer - Otto Moerbeek
Otto Moerbeek: How OpenBSD's malloc helps the developer
It has been 15 years since my malloc implementation was imported into OpenBSD. It features randomization, keeping meta-data strictly separate from user data and detecting various forms of API misuse like use-after-free and writes inside the allocation but outside the requested size.
These features not only improve security but also help the developer to find bugs. We will discuss the malloc features that help the developer doing proper memory management, concentrating on memory leak detection. While available for some time, the leak detection code was not compiled in by default and cumbersome to use. Recently it was reworked to make it easier to use and it is now available by default.
Otto Moerbeek has been a OpenBSD developer for 20 years. His contributions to OpenBSD include major work on utilities like patch(1) and diff(1), new versions of dc(1) and bc(1), privilege separated tcpdump(8), work on ntpd(8) and kernel time code, unwind(8), large partition and ffs2 support, a complete rewrite of malloc(3) and work on the OpenBSD/loongson port.
Otto Moerbeek: External Attachment: https://exquisite.tube/w/4kzn4wYpbi6zxXrEX82Zrq [2023] How OpenBSD’s malloc helps the developer - Otto Moerbeek
continue
bonked 19 Mar 2025 10:13 +0100
original: oilime@infosec.exchange
continue
bonked 19 Mar 2025 10:10 +0100
original: mxjaygrant@triangletoot.party
I'm not sure where I picked up this site from, but for the last couple of weeks, whenever I've been unhappily pissed off about the state of the world, I've looked at owls in towels and felt better
continue
bonked 19 Mar 2025 10:04 +0100
original: sn4il@blog.sn4il.site
https://t.me/RepkaPitalk/40643
В проекте Repka Pi стали доступными и открытыми репозитории с исходными кодами загрузчика U-Boot (с DeviceTree) и ядра Linux (также с DT) на GitFlic — это российском аналоге GitHub.
Репозитории пока опубликованы для Repka Pi 4, скоро ожидается и для Repka Pi 3.
Repka Pi является российской альтернативой и аналогом одноплатников Raspberry Pi, выполнен в идентичном форм-факторе, включая размеры, расположение портов, крепления, распиновку 40 pin разъема. При этом Repka Pi оснащается более производительной оперативной памятью DDR, а не LP DDR, как у аналогов, что позволяет получать производительность на 15-20% выше, чем у аналогичных моделей (Raspberry Pi и других).
Repka Pi — одноплатные компьютеры отечественной разработки, со 100% локализацией производства с использованием комплектующих материковой части КНР. Применяя Repka Pi вы получаете прямые поставки без посредников из России, гарантийные обязательства, возможности сервиса, замены и ремонта, возможности адаптации под свои задачи и получения необходимых консультаций.
Загрузчик U-Boot (с DT)
https://gitflic.ru/project/npo_rbs/repka-os_boot-loader
Ядро Linux (так же с DT)
https://gitflic.ru/project/npo_rbs/repka-os_kernel
пока для Repka Pi 4, скоро будет для Repka Pi 3.
#РепкаОС #ОС #RepkaOS #OS
continue
honked back 19 Mar 2025 10:00 +0100
in reply to: https://mstdn.io/users/ale/statuses/114188253961639650
Я "Привет" отправляю вторым сообщением, если сразу перечитал первое и понял, что забыл поздороваться :)
Проект SDL3Lite развивает версию библиотеки SDL3 с поддержкой старых систем
Источник: https://www.opennet.ru/opennews/art.shtml?num=62909
Выпуск платформы OpenSilver 3.2, продолжающей развитие технологии Silverlight Изначально проект OpenSilver был нацелен на предоставление инструментария для продления жизни существующих Silverlight-приложений, после прекращения разработки и сопровождения платформы Silverlight компанией Microsoft в 2021 году, а также прекращения поддержки связанных с ней плагинов в браузерах. В OpenSilver поддерживаются все основные возможности движка Silverlight, включая полную поддержку языков C# и XAML, а также реализацию большей части API платформы, достаточную для использования таких C#-библиотек, как Telerik UI, WCF RIA Services, PRISM и MEF.
В текущем виде OpenSilver вышел за рамки прослойки для продления жизни Silverlight и может рассматриваться как самостоятельная платформа для создания новых приложений. Например, проектом развивается среда разработки, обеспечивается поддержка новых версий языка C# и платформы .NET, предоставляется совместимость с библиотеками на языке JavaScript.
В качестве основы OpenSilver задействован код открытых проектов Mono (mono-wasm) и Microsoft Blazor (часть ASP.NET Core), а для выполнения в браузере применяется компиляция приложений в промежуточный код WebAssembly. OpenSilver продолжает развитие проекта CSHTML5, позволяющего компилировать приложения C#/XAML/.NET в представление на языке JavaScript, пригодное для запуска в браузере, и расширяет его кодовую базу возможностями для компиляции C#/XAML/.NET в WebAssembly, а не в JavaScript.
В новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62911
continue
honked back 19 Mar 2025 09:58 +0100
in reply to: https://honk.any-key.press/u/opennet/h/sdrV97cv7x3VMQV1KJ
У меня при старте пустого FF выводился, я уже волноваться начал.
Устранена проблема , из-за которой запрос master-пароля выводился в ситуациях, когда он не требуется.
continue
bonked 19 Mar 2025 09:55 +0100
original: opennet@honk.any-key.press
Обновление Firefox 136.0.2. Новые требования Mozilla к удостоверяющим центрам Дополнительно можно отметить публикацию третьей версии правили хранилища корневых сертификатов Mozilla (MRSP - Mozilla Root Store Policy). Изменения вступили в силу 15 марта и нацелены на решение проблем с задержкой отзыва сертификатов удостоверяющими центрами. Добавлены новые требования для обеспечения оперативного отзыва сертификатов, убрана возможность получения отсрочки отзыва сертификатов в отдельных ситуациях и расширены условия отслеживания жизненного цикла закрытых ключей. Кроме того, добавлен пункт, запрещающий создание корневых сертификатов двойного назначения, применяемых как для сайтов, так и для почты (для TLS и S/MIME теперь должны создаваться отдельные корневые сертификаты).
Источник: https://www.opennet.ru/opennews/art.shtml?num=62906
continue
honked back 19 Mar 2025 09:51 +0100
in reply to: https://lor.sh/users/MrClon/statuses/114188111764145367
continue
honked back 19 Mar 2025 09:50 +0100
in reply to: https://lor.sh/users/MrClon/statuses/114188111764145367
@MrClon
Мне кажется, что не важно как часто здороваться, если приветсвие будет НЕ отдельным сообщением: https://nohello.net/ru/
Выпуск дистрибутива elementary OS 8.0.1 При разработке оригинальных компонентов elementary OS используется GTK3, язык Vala и собственный фреймворк Granite. В качестве основы дистрибутива используются наработки проекта Ubuntu. На уровне пакетов и поддержки репозиториев elementary OS 8.x совместим с Ubuntu 24.04. Все дополнительные приложения, предлагаемые для установки через AppCenter, а также некоторые поставляемые по умолчанию приложения упакованы с использованием формата Flatpak. Графическое окружение основано на собственной оболочке Pantheon, которая объединяет собой такие компоненты, как оконный менеджер Gala (на базе LibMutter), лаунчер Slingshot, панель управления Switchboard, верхнюю панель Wing, панель задач Dock и менеджер сессий Pantheon Greeter (на основе LightDM).
В состав окружения входит набор тесно интегрированных в единое окружение приложений, необходимых для решения задач пользователей. Среди приложений большую часть составляют собственные разработки проекта, такие как эмулятор терминала Pantheon Terminal, файловый менеджер Pantheon Files, текстовый редактор Code и музыкальный проигрыватель Music (Noise). Проектом также развиваются менеджер фотографий Pantheon Photos (ответвление от Shotwell) и почтовый клиент Mail (ответвление от Evolution).
Основные изменения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62908
Обновление Firefox 136.0.2. Новые требования Mozilla к удостоверяющим центрам Дополнительно можно отметить публикацию третьей версии правили хранилища корневых сертификатов Mozilla (MRSP - Mozilla Root Store Policy). Изменения вступили в силу 15 марта и нацелены на решение проблем с задержкой отзыва сертификатов удостоверяющими центрами. Добавлены новые требования для обеспечения оперативного отзыва сертификатов, убрана возможность получения отсрочки отзыва сертификатов в отдельных ситуациях и расширены условия отслеживания жизненного цикла закрытых ключей. Кроме того, добавлен пункт, запрещающий создание корневых сертификатов двойного назначения, применяемых как для сайтов, так и для почты (для TLS и S/MIME теперь должны создаваться отдельные корневые сертификаты).
Источник: https://www.opennet.ru/opennews/art.shtml?num=62906
Новая стабильная версия браузера Vivaldi 7.2 Проект ставит своей задачей создание настраиваемого и функционального браузера, сохраняющего приватность данных пользователей. В число основных функций входит блокировщик слежки и рекламы, менеджеры заметок, истории и закладок, приватный режим просмотра, синхронизация, защищённая сквозным шифрованием, режим группировки вкладок, боковая панель, конфигуратор с большим числом настроек, режим горизонтального отображения вкладок, а также в тестовом режиме встроенный почтовый клиент, RSS-ридер и календарь.
В новой версии отмечены следующие улучшения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=62904