Выпуск дистрибутива Tails 5.20

В новой версии:

• Tor Browser обновлён до версии 13.0.4, синхронизированной с кодовой базой Firefox 115.5.0 ESR, в которой устранено 14 уязвимостей (12 признаны опасными).
• Обновлена версия почтового клиента Thunderbird 115.5.0.
• Для защиты от скрытой идентификации браузера отключена загрузка списка фильтрации AdGuard для uBlock Origin, привязанного к языку текущего сеанса.
• Решены проблемы с активацией постоянного хранилища и исправлены ошибки в переводе.
• В интерфейсе WhisperBack упрощена отправка сообщений об ошибках с необходимой диагностической информацией.

Опубликован сервер комментариев Comentario 3.0.0

Среди изменений в новой версии:

• Реализована возможность определения ролей пользователей и добавлена глобальная привилегия суперпользователя.
• Добавлена статическая и динамическая конфигурация сервера.
• Предоставлена возможность банить пользователей.
• Расширены настройки модерации.
• Добавлена поддержка расширений, проверяющих текст комментариев на наличие спама или токсичного контента.
• Расширена статистика посещений (пока только сбор).
• Обеспечен просмотр страниц и комментариев по всему домену.
• Добавлена поддержка загрузки аватаров пользователей.
• Предоставлена возможность входа через Facebook, неинтерактивный Single Sign-On.
• Добавлена поддержка изображений в комментариях.
• Предоставлена возможность запретить ссылки в комментариях.
• Добавлена опция для замены содержимого главной страницы.
• Полностью переработана структура базы данных.
• Добавлена поддержка версий PostgreSQL с 10 по 16 включительно.
• Сформирована бинарные серверной части в виде .deb- и .rpm-пакетов, при установке которых Comentario запускается в виде systemd-сервиса.

Red Hat удалит сервер X.org и связанные компоненты из RHEL 10

Переход от системы X Window System, которой в следующем году исполнится 40 лет, к более новому стеку на базе Wayland происходит уже 15 лет, и компания Red Hat с самого начала принимает в нём активное участие. Со временем стало ясно, что протокол X11 и сервер X.org имеют фундаментальные проблемы, которые необходимо решить, и Wayland стал таким решением. Сегодня Wayland признан де-факто инфраструктурой для оконной системы и вывода графики в Linux.

В то время как сообщество реализовывало новые возможности и устраняло недоработки в Wayland, разработка сервера X.org и инфраструктуры X11 сворачивалась. Wayland значительно улучшается, но это приводит к увеличению нагрузки на обслуживание двух стеков: возникает много новой работы для поддержки Wayland, но остаётся и необходимость обслуживания старого стека на базе X.org. В конечном счёте, подобное дробление усилий стало приводить к трудностям и желанию сосредоточиться на решении основных задач.

По мере развития и расширения возможностей Wayland компания Red Hat, совместно с различными поставщиками оборудования, программного обеспечения, клиентами, представителями индустрии визуальных эффектов (VFX) и другими проектами, пыталась понять и разработать необходимые проекты для устранения имеющихся ограничений и расширения стека Wayland. Среди подобных проектов:

• Поддержка высокого динамического диапазона (HDR) и управления цветом;
• Развитие Xwayland в качестве основы для обратной совместимости с клиентами X11;
• Разработка инфраструктуры для поддержки современных решений для удалённых рабочих столов;
• Анализ и разработка поддержки явной (explicit) синхронизации в протоколе Wayland и соответствующих проектах;
• Создание библиотеки Libei для обеспечения эмуляции и захвата ввода;
• Участие в инициативе Wakefield по обеспечению работы OpenJDK с (X)Wayland.

В начале 2023 года в рамках планирования RHEL 10 инженеры из Red Hat провели исследование, чтобы понять состояние Wayland не только с точки зрения инфраструктуры, но и с точки зрения экосистемы. В результате проведённой оценки был сделан вывод, что, несмотря на то, что ещё есть некоторые недоработки и существуют приложения, требующие определённой адаптации, в целом инфраструктура и экосистема Wayland находятся в хорошей форме и остающиеся недоработки могут быть устранены к выходу RHEL 10.

В связи с этим, решено удалить сервер X.org и другие X-серверы (кроме Xwayland) из RHEL 10 и последующих релизов. C большинством X11-клиентов, которые не будут сразу перенесены на Wayland, должен справиться Xwayland. При необходимости клиенты компании смогут остаться на RHEL 9 на весь его жизненный цикл, пока решаются вопросы перехода на экосистему Wayland. В анонсе отдельно отмечается, что "X.org Server" и "X11" не следует воспринимать как синонимы: X11 - это протокол, который будет продолжать поддерживаться через Xwayland, а X.org Server - это одна из реализаций протокола X11.

Удаление X.org Server позволит, начиная с RHEL 10, сосредоточить усилия исключительно на современном стеке и экосистеме, что даст возможность решить такие проблемы, как поддержка HDR, предоставить повышенную безопасность, возможность работать одновременно с мониторами с разной плотностью пикселей, улучшить горячее подключение видеокарт и дисплеев, улучшить управление жестами и прокрутку и т.д.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60187

Выпуск композитного сервера Weston 13.0

Смена значительного номера версии Weston обусловлена изменениями ABI, нарушающими совместимость. Изменения в новой ветке Weston:

• Добавлена возможность загрузки сразу нескольких бэкендов, например, вместе с основным бэкендом вывода можно загрузить вторичные бэкенды vnc, rdp и pipewire.
• В бэкенды backend-vnc, backend-pipewire и backend-rdp добавлена поддержка отрисовки с использованием OpenGL.
• В оболочке для создания интернет-киосков (kiosk-shell) улучшена работа в полноэкранном режиме. Добавлена возможность создавать полноэкранные поверхности для приложений, запускаемых через xwayland.
• Добавлена поддержка совмещения (overlapping) вывода, позволяющая размещать элементы на плоскостях, показываемых на нескольких устройствах вывода.
• В оболочке desktop-shell реализована возможность ограничения области перемещения указателя (pointer confinement) на полноэкранных поверхностях.
• В бэкенде drm-backend и различных клиентах прекращена поддержка версий библиотеки libgbm до 21.1.1.
• Добавлена функция weston_view_move_to_layer() для перемещения видимой области (view) на указанный слой или удаления из графа сцены, если в качестве слоя указано значение NULL.
• Функции weston_view_set_position, weston_touch и weston_output, а также оболочки, переведены на использование структуры weston_coord.
• Добавлена функция weston_log_scopes_iterate() для перебора областей в логе.
• Удалён компонент launcher-logind, вместо которого следует использовать launcher-libseat, также поддерживающий systemd-logind.

Опубликован мессенджер Delta Chat 1.42, использующий email в качестве транспорта

Delta Chat не использует собственные серверы и может работать практически через любой почтовый сервер, поддерживающий SMTP и IMAP (для быстрого определения поступления новых сообщений применяется техника Push-IMAP). Поддерживается шифрование с использованием OpenPGP и сквозное шифрования при помощи стандарта Autocrypt или децентрализованных протоколов SecureJoin. Трафик шифруется с использованием TLS в реализации штатных системных библиотек.

Delta Chat полностью контролируется пользователем и не привязан к централизованным сервисам. Для работы не требуется регистрация в новых сервисах - в качестве идентификатора можно использовать существующий email. Если корреспондент не использует Delta Chat он может прочитать сообщение как обычное письмо. Борьба со спамом осуществляется при помощи отсеивания сообщений от неизвестных пользователей (по умолчанию отображаются только сообщения от пользователей из адресной книги и тех, кому раньше отправлялись сообщения, а также ответы на собственные сообщения). Возможно отображение вложений и прикреплённых изображений и видео.

Поддерживается создание групповых чатов, в которых могут общаться несколько участников. При этом имеется возможность привязки к группе верифицируемого списка участников, не позволяющего прочитать сообщения посторонним лицам (проверка участников осуществляется по криптографической подписи, а сообщения шифруются с использованием оконечного шифрования). Подключение к верифицированным группам осуществляется через отправку приглашения с QR-кодом.

Ядро мессенджера разрабатывается отдельно в форме библиотеки и может быть использовано для написания новых клиентов и ботов. Актуальный вариант базовой библиотеки написан на языке Rust (старый вариант был написан на языке Си). Имеются биндинги для Python, Node.js и Java. В разработке неофициальные биндинги для Go. Существует DeltaChat для libpurple, который может использовать как новое Rust-ядро, так и старое Cи-ядро.

В версии 1.42 представлена новая реализация сквозного шифрования, основанная на использовании децентрализованных протоколов SecureJoin, гарантирующих защиту от перехвата начальных ключей интернет-провайдерами или администраторами серверов. Ранее применяемое сквозное шифрование было основано на механизме автоматического обмена ключами Autocrypt, который обходится без использования серверов ключей за счёт передачи ключа в первом отправленном сообщении. Соответственно, во время передачи первого сообщения ключ мог быть перехвачен в ходе MITM-атаки или действий на стороне почтового сервера.

SecureJoin решает проблемы с компрометацией сеанса сквозного шифрования в ходе MITM-атак и предоставляет защиту от совершения вредоносных действий на уровне транзитных сетей и почтовых серверов. Новый метод основан на использовании QR-кодов для верификации пользователей и настройки ключей шифрования. После сканирования QR-кода в приложении создаётся чат с группой из двух участников (1:1), помеченной специальной "зелёной меткой" и позволяющей отправлять и принимать шифрованные сообщения, защищённые от транзитного перехвата. В дальнейшем через отправку приглашений с QR-кодом к группе могут быть подключены дополнительные участники.

Другие изменения:

• Между всеми устройствами пользователя обеспечена синхронизация действий, связанных с принятием/блокировкой, архивированием, закреплением и отключением уведомлений.
• В версии для настольных систем включено сжатие отправляемых изображений.
• В версии для настольных систем реализована общая галерея (Global Gallery) с изображениями, документами и мультимедийными файлами из всех чатов.
• В расширенные настройки версии для Android добавлена опция для включения реакций.

Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS

• В корректирующем выпуске Perl 5.38.1 устранена уязвимость (CVE-2023-47038), которая может привести к записи одного байта за пределы выделенного буфера при обработке скомпилированных регулярных выражений с некорректно повторно определённым внутренним Unicode-свойством с именем, начинающимся на "utf8::perl". Проблема проявляется начиная с ветки Perl 5.30.

  Кроме того, в Perl 5.38.1 устранена специфичная для платформы Windows уязвимость (CVE-2023-47039), позволяющая выполнить свой код при запуске скриптов при наличии возможности размещения в текущем каталоге файла cmd.exe (из-за отсутствия чистки путей для поиска исполняемых файлов Perl вначале пытается запустить cmd.exe в текущем каталоге). Например, злоумышленник может разместить свой cmd.exe в каталог C:\ProgramData и поднять свои привилегии, если администратор запустит Perl-скрипт из этого каталога.

• В облачной платформы ownCloud, от которой в 2016 году отделился проект Nextcloud, выявлена уязвимость (CVE-2023-49103), затрагивающая приложение graphapi и позволяющая определить содержимое переменных окружения, которые могут содержать пароль администратора, лицензионный ключ и учётные данные для подключения к почтовому серверу. Проблема вызвана использованием в graphapi сторонней библиотеки, которая среди прочего предоставляет обработчик GetPhpInfo.php, вызывающий функцию phpinfo(), в выводе которой присутствуют переменные окружения.
• В мультимедийном фреймворке GStreamer выявлены две уязвимости: CVE-2023-44446 - обращение к памяти после её освобождения (Use-After-Free) в коде разбора файлов MXF; CVE-2023-44429 - переполнение буфера в коде разбора формата AV1. Первая проблема вызвана отсутствием проверки объекта перед выполнением с ним операций, а вторая отсутствием проверки размера данных перед копированием в фиксированный буфер. Уязвимости могут привести к выполнению кода злоумышленника при попытке обработки специально оформленных файлов MXF и мультимедийных данных в формате AV1. Отмечается, что векторы атаки зависят от реализации атакуемого приложения. Проблемам присвоен уровень опасности 8.8 из 10. Уязвимости устранены в выпуске GStreamer 1.22.7.
• В операционной системе реального времени Zephyr RTOS выявлено 25 уязвимостей, большинство из которых потенциально могут привести к выполнению кода атакующего. Уязвимости вызвана переполнениями буферов в WiFi shell, стеке Bluetooth, драйвере IPM, USB-стеке, драйвере IEEE 802.15.4, подсистеме Mgmt, файловой системе, драйвере eS-WiFi и подсистеме CANbus. Большинство уязвимостей устранено в выпуске Zephyr 3.5.0, но одна проблема (CVE-2023-4261) остаётся неисправленной (подробности о данной уязвимости не публикуются до появления исправления).

Выпуск системы управления контейнерами Incus 0.3

Напомним, что сообщество Linux Containers курировало разработку LXD до того, как компания Canonical решила развивать LXD отдельно как корпоративный проект. Целью форка называется предоставление управляемой независимым сообществом альтернативы проекту LXD, подконтрольному компании Canonical. В рамках проекта Incus также планируется устранить некоторые концептуальные ошибки, допущенные при разработке LXD, которые ранее невозможно было исправить без нарушения обратной совместимости.

Incus предоставляет средства для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC, в состав которого входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор привязок для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux (пространства имён, cgroups, Apparmor, SELinux, Seccomp).

Наиболее заметные изменения:

• Добавлена поддержка управления авторизацией пользователей на базе модели Relationship-Based Access Control, реализованной при помощи фонового процесса OpenFGA, отвечающего за принятие решений по предоставлению пользователям тех или иных полномочий. В сочетании с провайдером OpenID Connect поддержка OpenFGA позволяет сформировать открытый стек идентификации и авторизации, позволяющий использовать Incus в качестве полной замены конфигураций LXD с Canonical RBAC. Для настройки доступа к OpenFGA предложены параметры openfga.api.token, openfga.api.url, openfga.store.id и openfga.store.model_id.
• Улучшена утилита lxd-to-incus, автоматизирующая миграцию с LXD на Incus. В новой версии добавлена поддержка дистрибутивов с системой инициализации OpenRC, реализована возможность переноса хранилищ Ceph и сетей OVN, обеспечено ведение лога миграции и создание резервных копий.
• В виртуальных машинах добавлена поддержка горячего подключения и горячего удаления (hot-plug/hot-remove) файловых путей или отдельных разделов, проброшенных из хост-окружения. Ранее подобный проброс при помощи драйвера virtio-fs или ФС 9p требовал остановки виртуальной машины. Для обхода этого ограничения задействована возможность QEMU по горячему подключению PCI-устройств и монтирование пути внутри гостевой системы через incus-agent.

Microsoft анонсировал открытие кода Azure RTOS и передачу проекта сообществу Eclipse

После полного открытия исходных текстов (код ThreadX был доступен и до этого, но под ограничивающей лицензией) продукт перейдёт под покровительство некоммерческой организации Eclipse Foundation и будет развиваться под именем Eclipse ThreadX в виде независимого совместного проекта, не привязанного к отдельным поставщикам. Предполагается, что перевод проекта на независимую площадку позволит привлечь к разработке новых участников и подстегнуть развитие платформы и связанной с ней экосистемы. О присоединении к совместному проекту уже заявили компании AMD, Cypherbridge, NXP, PX5, Renesas, ST Microelectronics, Silicon Labs и Witekio (Avnet).

Операционная система Eclipse ThreadX в минимальной сборке занимает всего 2 КБ, способна работать на чипах с 1 КБ оперативной памяти, обеспечивает переключение контекста за доли микросекунд и загрузку за 120 процессорных циклов. Серди возможностей ThreadX: архитектура на базе пикоядра, планировщики для вытесняющей многозадачности (на базе приоритетов) и кооперативной многозадачности, механизм минимизации переключений контекста за счёт отключения вытеснения задач до указанного порогового приоритета, поддержка связывания событий (event chaining), большой набор подключаемых системных сервисов, очень быстрая обработка прерываний, дополнительная оптимизация обработки прерывания от таймера, средства управления памятью c поддержкой MMU/MPU, защита памяти, механизм обмена сообщений и организации обмена данными между потоками, доставка уведомлений о событиях, механизмы синхронизации потоков, поддержка мьютексов и семафоров.

Помимо кода операционной системы будут открыты и переданы Eclipse сопутствующие компоненты:

• NetX Duo - сетевой стек, рассчитанный на использование в системах реального времени и устройствах интернета вещей (IoT). Поддерживается IPv4, IPv6, TCP, UDP, ICMP, TLS, DTLS, IPsec, PPPoE, DHCP, DNS, HTTP, IGMP, POP3, SMTP, SNMP, MQTT, CoAP, LWM2M.
• USBX - USB-стек с поддержкой клиентского, хостового (EHCI, OHCI) и OTG (on-the-go) режимов.
• FileX - файловая система, совместимая с FAT (FAT12/16/32 и exFAT) и полностью интегрируемая в ядро ThreadX.
• LevelX - реализация алгоритма выравнивания износа (Wear Leveling) для ФС FileX, позволяющая подлить время жизни Flash-накопителей.
• GUIX - библиотека для создания встраиваемых графических интерфейсов пользователя.
• GuiX Studio - среда проектирования, позволяющая создавать графические элементы для библиотеки GUIX и автоматически генерировать Си-код для запуска в окружении ThreadX.
• TraceX - инструмент для трассировки, предоставляющий графический интерфейс для отслеживания и анализа событий в режиме реального времени.

Поддерживается работа на большинстве популярных микроконтроллеров и процессоров, включая многоядерные процессоры x86, MIPS, RISC-V и ARM, а также чипы от STM, NXP, Qualcomm, Renesas, Texas Instruments и Microchip. Предоставляются прослойки для обеспечения совместимости с FreeRTOS, POSIX и OSEK. Система сертифицирована для использования на критических важных системах, требующих особого уровня надёжности, признана соответствующей требованиям стандартов безопасности и надёжности IEC 61508, IEC 62304, ISO 26262, EN 50128 и EAL4+ Common Criteria.

Связанные с сертификацией компоненты также переданы организации Eclipse и будут доступны под открытой лицензией на условиях не требующих выплаты отчислений (royalty-free). Имеющиеся сертификаты позволяют использовать Eclipse ThreadX на химических производствах, системах для нефтегазовой отрасли, электростанциях, аэрокосмической промышленности, железной дороге, автомобильных системах (включая чипы управления двигателем, системы помощи при вождении и автопилоты), медицинских устройствах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60181

Выпуск мультимедийного сервера PipeWire 1.0.0

PipeWire предоставляет возможности для обработки любых мультимедийных потоков, способен смешивать и перенаправлять потоки с видео, может применяться для управления источниками видео, такими как устройства захвата видео, web-камеры или выводимое приложениями содержимое экрана. Например, PipeWire даёт возможность организовать совместную работу нескольких приложений с веб-камерой и решает проблемы с безопасным захватом содержимого экрана и удалённым доступом к экрану в окружении Wayland.

PipeWire также может выступать в роли звукового сервера, обеспечивающего минимальные задержки и предоставляющего функциональность, комбинирующую возможности PulseAudio и JACK, в том числе учитывающую потребности систем профессиональной обработки звука, на которую не мог претендовать PulseAudio. Кроме того, PipeWire предлагает расширенную модель безопасности, позволяющую управлять доступом на уровне отдельных устройств и конкретных потоков, и упрощающую организацию проброса звука и видео из изолированных контейнеров и в них. Одной из главных целей является поддержка самодостаточных приложений в формате Flatpak и работа в графическом стеке на базе Wayland.

Основные возможности:

• Захват и воспроизведение звука и видео с минимальными задержками;
• Средства для обработки видео и звука в режиме реального времени;
• Многопроцессная архитектура, позволяющая организовать совместный доступ к контенту нескольких приложений;
• Модель обработки на основании графа мультимедийных узлов с поддержкой циклов обратной связи и атомарных обновлений графа. Допускается подключение обработчиков как внутри сервера, так и внешних плагинов;
• Эффективный интерфейс доступа к видеопотокам через передачу файловых дескрипторов и доступа к звуку через совместно используемые кольцевые буферы (shared ringbuffer);
• Возможность обработки мультимедийных данных от любых процессов;
• Наличие плагина к GStreamer для упрощения интеграции с существующими приложениями;
• Поддержка изолированных окружений и Flatpak;
• Поддержка плагинов в формате SPA (Simple Plugin API) и возможность создания плагинов, работающих в режиме жесткого реального времени;
• Гибкая система согласования используемых мультимедийных форматов и выделения буферов;
• Использование одного фонового процесса для маршрутизации звука и видео. Возможность работы в форме звукового сервера, хаба для предоставления видео приложениям (например, для gnome-shell screencast API) и сервера для управления доступом к аппаратным устройствам захвата видео.



Источник: https://www.opennet.ru/opennews/art.shtml?num=60182

Релиз дистрибутива OpenMandriva Lx 5.0

Основные изменения:

• Проведена реорганизация структуры файловой системы - все исполняемые файлы и библиотеки из корневых директорий перенесены в раздел /usr (каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr).
• Компилятор Clang, используемый для сборки пакетов, обновлён до ветки LLVM 17. Для сборки всех компонентов дистрибутива можно обойтись только Clang, в том числе доступен вариант пакета с ядром Linux, собранный в Clang.
• Обновлены системные пакеты, в том числе ядро Linux 6.6.2, systemd 254.5, GCC 13.1, glibc 2.38, binutils 2.41, инсталлятор Calamares 3.2.62.
• Обновлены компоненты рабочего стола и графического стека: KDE Plasma 5.27.9, KDE Frameworks 5.112, KDE Gear 23.08.3, LxQt 1.4, Qt 5.15.11, Xorg 21.1.9, Wayland 23.2.2, Mesa 23.3.0 rc4.3
• Обновлены пользовательские приложения: LibreOffice 7.6.3, Falkon 23.08.3, Firefox 120, Chromium 119, Krita 5.2.1, GIMP 2.10.36, Calligra Suite 3.3.0, Digikam 8.1.0, SMPlayer 23.6.0, VLC 3.0.18, Virtualbox 7.0.12a, OBS Studio 30.0.0.
• Возобновлена поддержка установки на разделы с ФС BTRFS и XFS.
• Помимо предлагаемого по умолчанию пакетного менеджера dnf4 в качестве альтернатив предложены dnf5 и zypper.
• Добавлена поддержка пакетов в формате Flatpak.
• Началось формирование урезанной сборки с KDE и cборки с пользовательским окружением LXQt.
• Обновлены развиваемые для OpenMandriva приложения OM Welcome, OM Control Center, Repository Selector (repo-picker), Update Configuration (om-update-config).
• Как и ранее в сборках присутствует конфигуратор Desktop Presets (om-feeling-like), предлагающий набор преднастроек, позволяющих придать рабочему столу KDE Plasma внешний вид других окружений (например, сделать похожим на интерфейс Ubuntu, Windows 7, Windows 10, macOS, Plasma).
• Продолжается работа над портом для архитектуры RISC-V, который возможно войдёт в состав релиза 6.0.

Выпуск дистрибутива Radix cross Linux 1.9.226

Выпуск 1.9.226 дополнен сборкой GRUB и EDK II для устройства Orange Pi 5 на базе SoC RK3588s. Образ EDK II (orange-pi5.spi-flash.image) доступен в каталоге orange-pi5 и может быть прошит с помощью U-Boot или mtd-utils. Если же установить систему с помощью утилиты Setup на NVMe-диск (/dev/nvme0n1), то EDK II будет прошит автоматически и далее с платой можно работать так, как мы привыкли работать с обычными ПК и инсталлировать различные OS с внешних носителей.

Следует также отметить выпуск образа для SBC VisionFive2 с архитектурой RISC-V. Для данной архитектуры создан инструментарий, позволяющий собирать как программы использующие GNU Libc, так и писать программы для микроконтроллеров GD32VF103 и многих других. Инструментарий можно найти в каталоге toolchains для всех популярных агхитектур.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60179

LibreOffice Viewer размещён в Google Play

LibreOffice Viewer представляет собой просмотрщик документов в форматах Open Document (odt, ods, odp) и Microsoft Office (docx, xlsx, pptx, doc, xls и ppt), основанный на одном движке со стационарным офисным пакетом LibreOffice. Интерфейс построен с использованием технологий Mozilla, применяемых в Firefox для Android. Имеется режим редактирования документов, включаемый в настройках, но позиционируемый как экспериментальный. Для работы требуется Android 5.0 или более новые выпуски платформы. Размер установочного APK-файла 77 МБ.

Опубликованы Wine 8.21, Wine staging 8.21 и VKD3D-Proton 2.11

Наиболее важные изменения:

• Продолжено развитие функциональности, нацеленной на реализацию возможности использования Wine в окружениях на базе протокола Wayland без применения XWayland и компонентов X11. В драйвер winewayland.drv добавлена поддержка графического API Vulkan и возможность масштабирования вывода на экранах с высокой плотностью пикселей (High-DPI). Решена проблема с пропаданием курсора в GNOME на системах с двумя мониторами.
• Добавлена начальная поддержка ABI ARM64EC, предложенного Microsoft в Windows 11.
• Обновлена база локалей.
• Решена проблема с выводом звука во FreeBSD при использовании звуковой подсистемы OSS.
• Закрыты отчёты об ошибках, связанные с работой приложений: PhotoScape, RootMagic 6, PreSonus Studio One 2.6, WechatOCR, 3DMark 2000, Office 2021, ModOrganizer 2.5.0, Quicken, WinSCP.
• Закрыты отчёты об ошибках, связанные с работой игр The Elder Scrolls: Drome Racers, Ninki Seiyuu no Tsukukurikata, Godhood, Age of Empires II Definitive Edition, Death Stranding, Port Royale 2, DragonAge Origins.

Одновременно сформирован выпуск проекта Wine Staging 8.21, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 491 дополнительный патч. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 8.21 и обновлён патч vkd3d-latest.

Дополнительно можно отметить публикацию компанией Valve проекта VKD3D-Proton 2.11, развивающего ответвление от кодовой базы vkd3d, созданного для улучшения поддержки Direct3D 12 в пакете для запуска игр Proton. В VKD3D-Proton поддерживаются специфичные для Proton изменения, оптимизации и улучшения для более качественной работы Windows-игр на базе Direct3D 12, которые пока не приняты в основной состав vkd3d. Из отличий также отмечается ориентация на использование современных расширений Vulkan и возможностей свежих выпусков графических драйверов для достижения полной совместимости с Direct3D 12.

Среди изменений в VKD3D-Proton 2.11:

• Включена по умолчанию поддержка API DXR (DirectX Raytracing).
• Добавлена эмуляция механизма Sampler Feedback, необходимая для реализации DirectX FL 12.2 (Feature Level 12_2).
• Для систем с GPU RDNA2+ и Turing+ включена по умолчанию поддержка DirectX Ultimate (FL 12.2).
• Реализованы функции IndependentFrontAndBackStencilRefMaskSupported, TriangleFanSupported, DynamicIndexBufferStripCutSupported, DynamicDepthBiasSupported, NonNormalizedCoordinateSamplersSupported, MismatchingOutputDimensionsSupported, PointSamplingAddressesNeverRoundUp, RasterizerDesc2Supported, NarrowQuadrilateralLinesSupported, AnisoFilterWithPointMipSupported.
• Выполнена оптимизация группировки и пакетной обработки команд для расширений NV_device_generated_commands и NV_device_generated_commands_compute, позволившая на 15% повысить FPS в игре Halo Infinite на системах с драйвером RADV и на 1-2% поднять производительность игры Starfield.
• Проведена оптимизация выделения памяти для буферов DGC, что привело к значительному снижению нагрузки на CPU при использовании драйвера NVIDIA.
• Добавлена поддержка Vulkan-расширения VK_EXT_image_compression_control и NVIDIA-расширения NV_device_generated_commands_compute.
• Улучшена совместимость с играми Resident Evil 4 - Separate Ways, Lords of the Fallen, Witcher 3, Cyberpunk 2077, Windjammers 2, Jurassic World Evolution 2.

Релиз видеоплеера MPV 0.37

Среди изменений в новой версии:

• В модуле ao_oss реализована поддержка сквозной передачи через канал S/PDIF, позволяющая передавать помимо звука сопутствующую информацию, например, данные для декодирования звукового потока на нескольких колонках при организации объёмного звучания.
• В hwtransfer реализована поддержка преобразования аппаратных форматов (HW->HW).
• Добавлена поддержка стандарта цифрового телевидения ISDB-T.
• Добавлена поддержка маппинга до 64 звуковых каналов (включая раскладку 22.2).
• В библиотеку libmpv добавлена функция mpv_time_ns().
• В модули вывода видео vo_gpu, vo_gpu_next добавлена поддержка графического API Vulkan на платформе macOS.
• В число обязательных зависимостей добавлена библиотека libplacebo.
• В hwdec добавлена поддержка аппаратного декодирования через API Apple VideoToolbox с использованием библиотеки libplacebo.
• По умолчанию возвращён старый метод выбора субтитров.
• Прекращена поддержка сборочной системы waf.
• Добавлены новые опции:
  • --hdr-peak-percentile для модуля вывода vo_gpu_next
  • --term-remaining-playtime
  • --x11-wid-title
  • --libplacebo-opts для модуля вывода vo_gpu_next
  • --subs-match-os-language
  • --video-crop для модулей вывода
  • --window-corners, --window-affinity, --title-bar, --backdrop-type для Win32.
  • --sub-stretch-durations option

В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов

Всего выделено более 150 типов утечек конфиденциальной информации, среди которых обычные пароли, криптографические ключи, токены доступа к облачным сервисам, системам непрерывной интеграции и API. Как минимум 768 учётных данных оставались действующими на момент проведения исследования. В качестве примера популярных утечек, сохраняющих актуальность, упоминаются ключи доступа к Azure Active Directory, учётные данные к SSH, MongoDB, MySQL и PostgreSQL, ключи к GitHub OAuth App, Dropbox и Auth0, параметры входа в Coinbase и Twilio.

Из набирающих популярность типов утечек упоминаются токены для доступа к ботам в Telegram, число которых удвоилось в начале 2021 года и затем ещё раз удвоилось весной 2023 года. Постоянный рост утечек также фиксируется с 2020 года для ключей доступа к Google API, а с 2022 года - учётных данных к СУБД. Из пакетов, лидирующих по числу утечек, упоминаются пакеты chatllm и safire, в которых были забыты 209 ключей к OpenAI и 320 ключей к Google Cloud.

Среди типов файлов, в которых выявлено наибольшее число утечек, помимо файлов с расширением ".py", отмечаются файлы с расширением .json (610 утечек), .md (270), PKG-INFO (240), METADATA (210), .txt (170), а также файлы README (209) и файлы из каталогов с именем test (675). Много утечек также связано с недосмотром и ошибками с настройкой исключения файлов при формировании пакетов. Например, файлы с локальными файлами конфигурации (.cookiecutterrc, .env, .pypirc и т.п.) могут исключаться из Git-репозитория через файл ".gitignore", который не учитывается при создании пакета. В частности, в репозитории было найдено 43 файла .pypirc, содержащих учётные данные для доступа к PyPI. В 15 случаях утечек разработчики не планировали публично размещать пакеты, изначально созданные для внутреннего использования, но опубликовали их в PyPI по ошибке.

Дополнительно можно упомянуть ещё два события, связанных с PyPI:

• В репозитории PyPI выявлены 8 вредоносных пакетов, преподносимых как утилиты для обфускации, т.е. приведения кода к нечитаемому виду, усложняющему восстановление алгоритма работы. Выявленные пакеты содержали в названиях строку "pyobf" (Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse и pyobfgood) и были загружены более 2000 раз.

  Интегрированный в пакеты вредоносный код был специфичен для платформы Windows и позволял подключаться к внешнему управляющему серверу, запускать произвольные команды на компьютере разработчика, находить и отправлять на внешний сервер конфиденциальную информацию, такую как ключи доступа, а также передавать произвольные файлы с системы. Кроме того, вредоносный код мог выполнять функции кейлоггера, перехватывать вводимые в Chrome пароли, создавать скриншоты, записывать звук и даже управлять web-камерой.

• Опубликованы результаты независимого аудита кодовой базы инструментария, применяемого для организации работы репозитория pypi.org, и фреймворка "cabotage", задействованного в инфраструктуре для оркестровки контейнеров. Аудит проведён при поддержке некоммерческой организации OTF (Open Technology Fund). В ходе аудита не выявлено проблем с высоким уровнем опасности, а исходные тексты признаны отвечающими основным требованиям к безопасному написанию кода. При этом отмечен недостаточный охват тестами кодовой базы cabotage и выявлено 29 проблем, из которых восьми присвоен умеренный уровень опасности, 6 - низкий, а 14 помечены как информирующие замечания.

  Наиболее заметные проблемы:

  • Недостаточная проверка цифровых подписей, используемых для интеграции PyPI с AWS SNS, позволяла отправлять уведомления на email отдельных пользователей.
  • Утечка информации в обработчике загрузок, позволяющая определить существование учётной записи без генерации событий о попытках входа.
  • Применение ненадёжных криптографических хэшей, не исключающих атаки по отравлению кэша.
  • При наличии прав запуска процессов сборки через cabotage, атакующий потенциально мог добиться подстановки своих команд.
  • При наличии прав развёртывания (deployment) в cabotage, атакующий потенциально мог развернуть легитимно выглядящий образ.

Выпуск дистрибутива Proxmox VE 8.1

Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. Среди особенностей web-интерфейса: поддержка безопасной VNC-консоли; управление доступом ко всем доступным объектам (VM, хранилище, узлы и т.п.) на основе ролей; поддержка различных механизмов аутентификации (MS ADS, LDAP, Linux PAM, Proxmox VE authentication).

В новом выпуске:

• Осуществлена синхронизация с пакетной базой Debian 12.2. Ядро Linux обновлено до выпуска 6.5. Задействованы новые выпуски QEMU 8.1.2, LXC 5.0.2 и OpenZFS 2.2.0 (с переносом исправлений из ветки 2.2.1).
• В базовую поставку добавлен пакет для создания программно определяемых сетей (SDN, Software-Defined Networking), в которых управление сетью отделено от уровня передачи данных и настраивается программно. При помощи SDN в Proxmox VE можно создавать многопользовательские виртуализированные зоны и сети (VNets), развёртываемые на уровне датацентра и управляемые напрямую через Web-интерфейс. Поддерживается создание как изолированных виртуальных частных сетей для отдельных узлов кластера, так и сложных оверлейных сетей, охватывающих несколько кластеров.
• Добавлена поддержка верифицированной загрузки в режиме UEFI Secure Boot, гарантирующей использование при загрузке только проверенных компонентов с корректными цифровыми подписями. Для UEFI Secure Boot предоставляется shim-загрузчик, заверенный цифровой подписью, воспринимаемой в большинстве аппаратных устройств с UEFI.
• Предложена гибкая система уведомлений, поддерживающая перенаправление уведомлений на основе заданных правил сопоставления, позволяющих выбирать способ доставки в зависимости от связанного с уведомлением типа события. Поддерживаются различные методы доставки уведомлений, среди которых локальный почтовый сервер Postfix, внешние SMTP-серверы с аутентификацией и серверы доставки сообщениями Gotify.
• Добавлена поддержка создания хранилищ на базе выпусков Ceph 18.2.0 "Reef" и Ceph 17.2.7 "Quincy" (используемая версия Ceph выбирается в процессе инсталляции).

Выпуск OpenSSL 3.2.0 с клиентской поддержкой протокола QUIC

Основные новшества OpenSSL 3.2.0:

• Добавлена клиентская поддержка протокола QUIC (RFC 9000), используемого в качестве транспорта в протоколе HTTP/3. Реализация включает среди прочего возможность передачи нескольких потоков через один канал связи. Компоненты для использования QUIC на серверах будут включены в выпуск OpenSSL 3.3, который планируют опубликовать не позднее 30 апреля 2024 года.

  QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Протокол был создан в 2013 году компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных.

• В TLS реализована поддержка расширения для сжатия сертификатов на этапе согласования соединений (RFC 8879), позволяющего ускорить установку соединения так как на передачу данных сертификатов приходится львиная доля трафика на этапе согласования соединения. Поддерживается сжатие с использованием библиотек zlib, zstd и Brotli.
• Добавлена поддержка детерминированного варианта цифровых подписей ECDSA (Deterministic ECDSA, RFC 6979) в котором вместо случайной последовательности при генерации подписи используется хэш HMAC-SHA256 от закрытого ключа и текста подписываемого сообщения, что позволяет всегда получать одну и ту же подпись в разных операциях подписывания, но не допускает утечки данных, которые могут быть использованы для подбора закрытого ключа (закрытый ключ можно подобрать, если хотя бы две подписи для разных данных сформированы с использованием повторяющейся случайной последовательности).
• Добавлена поддержка расширенных вариантов цифровых подписей с открытым ключом Ed25519 и Ed448: Ed25519ctx, Ed25519ph и Ed448ph (RFC 8032).
• Добавлена поддержка режима шифрования AES-GCM-SIV (RFC 8452), который сочетает высокую производительность режима GCM (Galois/Counter Mode) c устойчивостью к утечкам при повторном использовании случайного кода nonce.
• Реализована функция формирования ключа Argon2 (RFC 9106), в 2015 году победившая на конкурсе функций хеширования паролей. Добавлена возможность использования пула потоков.
• Добавлена поддержка гибридного шифрования на основе механизма HPKE (Hybrid Public Key Encryption, RFC 9180), совмещающего простоту передачи ключа в шифровании с открытым ключом с высокой производительностью симметричного шифрования (данные шифруются быстрым симметричным ключом, а сам ключ шифруется медленным асимметричным).
• В TLS реализована возможность использования "сырых" (raw) открытых ключей (RFC 7250).
• Добавлена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения.
• В TLS реализована поддержка подключаемых схем цифровых подписей, позволяющих использовать сторонние реализации алгоритмов, например, для использования в TLS алгоритмов устойчивых к подбору на квантовых компьютерах.
• В TLS 1.3 добавлена поддержка защищённых эллиптических кривых Brainpool.
• Добавлена поддержка процессорных инструкций SM4-XTS.
• На платформе Windows реализована возможность использования системного хранилища корневых сертификатов (по умолчанию отключено).Для обращения к сертификатам в хранилище Windows предложен URI "org.openssl.winstore://".

Проект openSUSE выбирает новый логотип

Релиз языка программирования PHP 8.3

Ключевые изменения в PHP 8.3:

• Во время клонирования классов предоставлена возможность повторной инициализации свойств с атрибутом "readonly". Переопределение readonly-свойств допускается только внутри функции "__clone":

     readonly class Post
     {
         public function __construct(
             public DateTime $createdAt,
         ) {}
         public function __clone()
         {
             $this->createdAt = new DateTime(); // разрешено, несмотря на то, что свойство "createdAt" доступно в режиме только для чтения.
         }
     }
  

• Предоставлена возможность использования констант с указанием типа в классах, типажах и перечислениях:

     class Foo
     {
         const string BAR = 'baz'; 
     } 
  

• Добавлена поддержка атрибута "#[Override]", при помощи которого разработчик может информировать интерпретатор о том, что отмеченный метод переопределяет какой-то родительский метод. В случае если переопределения не будет интерпретатор выведет ошибку.
• Изменена обработка отрицательных значений в качестве индекса массива. Например, при добавлении в пустой массив элемента с номером "-5" и добавлении ещё одного элемента, раньше второй элемент сохранялся с индексом "0", а начиная с версии PHP 8.3 будет сохраняться с индексом "-4". $array = []; $array[-5] = 'a'; $array[] = 'b'; var_export($array); // Было array (-5 => 'a', 0 => 'b') // Стало array (-5 => 'a', -4 => 'b')
• Добавлена возможность создания анонимных классов в режиме только для чтения:

     $class = new readonly class {
         public function __construct(
             public string $foo = 'bar',
         ) {}
     };
  

• Добавлена функция json_validate() для быстрой проверки соответствия строки формату JSON без выполнения операций декодирования.

   
     json_validate(string $json, int $depth = 512, int $flags = 0): bool
  

• В класс Randomizer, предоставляющий высокоуровневый API для генерации псеводослучайных чисел и последовательностей, добавлены новые методы: getBytesFromString для формирования строки заданного размера, использующей в случайном порядке символы, присутствующие в другой строке; getFloat и nextFloat для генерации случайного числа с плавающей запятой, укладывающегося в указанный диапазон.
• Добавлена возможность извлечения констант, используя синтаксис динамических классов:

     class Foo  
     {
         const BAR = 'bar';
     }
  
     $name = 'BAR';
   
     // Ранее для извлечения константы BAR нужно было вызывать
     constant(Foo::class . '::' . $name);
  
     // А теперь достаточно указать
     Foo::{$name};
  
  

• Добавлена генерация отдельных исключений (DateMalformedIntervalStringException, DateInvalidOperationException, DateRangeError) в случае проблем, возникающих в операциях работы с датами и временем.
• Улучшена обработка ошибок, возникающих в процессе разбора сериализированных данных в функции unserialize(). В случае проблем unserialize() теперь выдаёт код E_WARNING вместо E_NOTICE.
• Внесены изменения в функцию range(). Обеспечена генерация исключения при попытке передачи объектов, ресурсов или массивов в переменных, определяющих границы диапазона, а также при указании отрицательного значения в параметре $step или неопределённого значения в любом параметре. Обеспечен вывод списка символов при указании строк вместо чисел (например, "range('5', 'z')").
• Изменено поведение типажей со статическими свойствами, которые теперь переопределяют статические свойства, унаследованные из родительского класса.
• Добавлены настройки для защиты от переполнения стека. В ini-файл добавлены директивы zend.max_allowed_stack_size и zend.reserved_stack_size, определяющие максимально разрешённый и зарезервированный размер стека. Программа будет завершаться ошибкой при приближении к исчерпанию стека, когда стек заполнен больше, чем на разницу между значениями zend.max_allowed_stack_size и zend.reserved_stack_size (выполнение будет остановлено не доводя ситуацию до возникновения segmentation fault). По умолчанию значение zend.max_allowed_stack_size выставлено в 0 (0 - размер определяется автоматически, для отключения ограничения можно выставить -1).
• Добавлены новые POSIX-функции posix_sysconf(), posix_pathconf(), posix_fpathconf() и posix_eaccess().
• Добавлена функция mb_str_pad, представляющая собой аналог строковой функции str_pad(), рассчитанный на работу с многобайтовыми кодировками, такими как UTF-8.
• Разрешено создание замыканий из методов и передачи именованных аргументов в эти замыкания.

     $test = new Test();
     $closure = $test->magic(...);
     $closure(a: 'hello', b: 'world'); 
  

• Изменено поведение при обработке видимости констант в интерфейсах.

     interface I {
         public const FOO = 'foo';
     }
     class C implements I {
         private const FOO = 'foo';
     }
  

• Расширены возможности функций array_sum(), array_product(), posix_getrlimit(), gc_status(), class_alias(), mysqli_poll(), array_pad() и proc_get_status().
• Объявлена устаревшей возможность передачи отрицательного значения $widths в mb_strimwidth(). Удалена константа NumberFormatter::TYPE_CURRENCY. Прекращена поддержка вызова функции ldap_connect() с двумя параметрами $host и $port. Удалена настройка opcache.consistency_checks.

Увидела свет среда разработки Qt Creator 12

В новой версии:

• Добавлен плагин Compiler Explorer, позволяющий в режиме реального времени по мере набора исходных текстов отслеживать генерируемый компилятором ассемблерный код и выявляемые компилятором ошибки. При необходимости можно посмотреть результат выполнения скомпилированного кода. Предоставляется возможность выбора используемого компилятора (GCC, Clang и т.п.) и среды редактирования для разных языков программирования. Набранный код можно сохранить вместе с настройками в файле в формате ".qtce". Для активации плагина следует выбрать его в окне "Help > About Plugins > CompilerExplorer", после чего плагин можно вызвать через меню "Use Tools > Compiler Explorer > Open Compiler Explorer").
• Добавлена возможность отладки и профилирования сборочных сценариев CMake при помощи протокола DAP (Debug Adapter Protocol), поддерживаемого начиная с выпуска CMake 3.27. Возможно выполнение таких операций, как установка точек останова в CMake-файлы и отладка процесса настройки. Отладку можно запустить через меню "Debug > Start Debugging > Start CMake Debugging". Кроме того, доступна функция профилирования сценариев CMake, вызываемая через меню "Analyze > CMake Profiler".
• Добавлен плагин ScreenRecorder (Help > About Plugins > ScreenRecorder) для записи на видео процесса работы в Qt Creator, что может быть полезным для оформления обучающих статей или прикрепления наглядной демонстрации проявления проблемы к отчётам об ошибках.
• Значительно сокращено время запуска на некоторых системах.
• Clangd и Clang analyzer обновлены до выпуска LLVM 17.0.1.
• Улучшены средства для рефакторинга кода на языке C++.
• В редактор текста в формате Markdown добавлены кнопки для выбора стилей текста.
• Добавлена возможность использования прокси для доступа к интеллектуальному помощнику GitHub Copilot, способному генерировать типовые конструкции при написании кода.
• Добавлены связанные с проектами настройки наименования файлов с кодом на C++ и документирования через комментарии.
• Улучшен редактор файлов в формате CMake, в котором значительно расширены возможности автодополнения ввода и добавлены функции быстрого перехода на указанную позицию, макрос, сборочную цель или определение пакета.
• Обеспечено автоматическое определение установок PySide.

Выпуск инсталлятора Archinstall 2.7, применяемого в дистрибутиве Arch Linux

Archinstall предоставляет диалоговый (guided) и автоматизированный режимы работы. В диалоговом режиме пользователю последовательно задаются вопросы, охватывающие основные настройки и действия из руководства по установке. В автоматизированном режиме имеется возможность использования скриптов для развёртывания типовых конфигураций. Инсталлятор также поддерживает профили установки, например, профиль "desktop" для выбора рабочего стола (KDE, GNOME, Awesome) и установки необходимых для его работы пакетов, или профили "webserver" и "database" для выбора и установки начинки web-серверов и СУБД.

Среди изменений в новой версии:

• Добавлена поддержка образов ядра в формате UKI (Unified Kernel Image), генерируемых в инфраструктуре дистрибутива и заверенных цифровой подписью дистрибутива. UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
• При установке проприетарных драйверов NVIDIA обеспечена установка пакета nvidia-dkms.
• Добавлен параметр "--skip-ntp" для отключения определения и проверки NTP-сервера для систем, на которых время устанавливается вручную.
• Добавлена проверка наличия более новой версии при запуске archinstall.

Уязвимость в strongSwan IPsec, приводящая к удалённому выполнению кода

Ошибка вызвана отсутствием проверки размера публичных значений Diffie-Hellman перед их копированием в буфер фиксированного размера в стеке. Переполнение может быть инициировано через отправку специального оформленного сообщения IKE_SA_INIT, обрабатываемого без аутентификации. В старых версиях strongSwan проверка размера осуществлялась в обработчике KE payload (Key Exchange), но в версии 5.3.0 были добавлены изменения, переносящие проверку публичных значений на сторону обработчика протокола DH (Diffie-Hellman) и добавляющие типовые функции для упрощения проверки корректности известных групп DH. По недосмотру, новые функции проверки забыли добавить в процесс charon-tkm, работающий как прокси между процессом IKE и TKM (Trusted Key Manager), в результате чего в функции memcpy() оказались непроверенные значения, позволяющие записать в 512-байтовый буфер до 10000 байтов данных.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60168

В OpenZFS выявлена ошибка, которая может привести к повреждению файлов

Изначально предполагалось, что проблема проявляется только в ветке 2.2.x и вызвана ошибкой во включённом в OpenZFS 2.2.0 механизме клонирования блоков, позволяющем создать копию файла или его части без дублирования данных, используя во второй копии ссылки на уже существующие блоки данных исходного файла без их фактического копирования. В версии OpenZFS 2.2.1 для блокирования проблемы механизм клонирования блоков был отключён по умолчанию, а для возвращения поддержки данного режима добавлена настройка zfs_bclone_enabled.

Позднее разработчики заявили о воспроизведении проблемы и в конфигурациях с веткой OpenZFS 2.1.x. Не подтвердились и предположения, что проблема проявляется на системах со старыми выпусками пакета coreutils - ошибку удалось воспроизвести во FreeBSD и в Linux-дистрибутивах со свежим выпуском coreutils 9.4.

Повреждение файлов проявляется при достаточно редком стечении обстоятельств, например, выполнение в Gentoo команды "emerge -1 dev-lang/go" приводит к установке инструментария для языка Go с повреждением файлов в каталоге /usr/lib/go/pkg/tool/linux_amd64/compile. Предполагается, что ошибка начала проявляться после выставления по умолчанию параметра "zfs_dmu_offset_next_sync=1" в версии openzfs 2.1.4. Источник ошибки пока не выявлен. В качестве рекомендованного обходного пути блокирования ошибки предложено выставить в 0 параметр "/sys/module/zfs/parameters/zfs_dmu_offset_next_sync".

Источник: https://www.opennet.ru/opennews/art.shtml?num=60167

Обновление дистрибутивов AlmaLinux 8.9 и Rocky Linux 8.9

Дистрибутивы бинарно совместимы с Red Hat Enterprise Linux и могут использоваться в качестве замены RHEL 8.9 и CentOS 8 Stream. Как и в классическом CentOS внесённые в пакеты Rocky Linux и AlmaLinux изменения сводятся к избавлению от привязки к бренду Red Hat. Дополнительно проектом AlmaLinux поддерживается репозиторий Synergy c пакетами для установки пользовательского окружения Pantheon из Elementary OS, а проектом Rocky Linux подготовлены репозитории plus c пакетом open-vm-tools, nfv c пакетами для виртуализации компонентов сетей, развиваемыми SIG-группой NFV (Network Functions Virtualization), RT с пакетами для работы в режиме реального времени, HighAvailability и ResilientStorage с пакетами для создания отказоустойчивых систем и хранилищ.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60166

Представлена система синтеза видео Stable Video Diffusion

Для загрузки доступно два варианта модели: SVD (Stable Video Diffusion) для генерации 14 кадров с разрешением 576x1024 на основе заданного статического изображения и SVD-XT для генерации 25 кадров. Возможна генерация видео без движения или с очень медленным поворотом камеры, продолжительностью не более 4 секунд. Прямое управление моделью на основе текстового описания на естественном языке пока не поддерживается, но можно вначале подготовить исходное изображение при помощи старой модели Stable Diffusion 2.1, а затем преобразовать его в видео, используя модель SVD.

Качество видео пока не обеспечивает идеального фотореализма и гарантированно правильной отрисовки лиц и людей. По производительности предложенная открытая модель опережает проприетарные аналоги от компаний Runway и Pika Labs. Модель может легко адаптироваться для решения различных задач, например, может применяться для формирования объёмных фигур.

Дополнительно можно отметить публикацию инструментария машинного обучения Video-LLaVA, позволяющего создавать единое визуальное представление объекта, формируемое на основе использования при обучении одновременно фотографий и видеозаписей объектов. Система может применяться, например, для распознания наличия одних и тех же объектов на изображениях и видео. Код написан на Python и распространяется под лицензией Apache 2.0.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60165

Доступна система управления исходными текстами Git 2.43

По сравнению с прошлым выпуском в новую версию принято 464 изменения, подготовленные при участии 80 разработчиков, из которых 17 впервые приняли участие в разработке. Основные новшества:

• В команду "git repack" добавлены опции "--filter" и "--filter-to", позволяющие выполнить переупаковку репозитория c учётом заданного фильтра объектов, и при необходимости перенести в отдельное место объекты, не удовлетворяющие заданному фильтру. Опции можно использовать для разделения репозитория в соответствии с определёнными критериями (например, для выноса ненужных или слишком больших объектов), сохраняя при этом возможность доступа ко всем частям при помощи частичного клонирования. Например для оставления в репозитории блобов, размером менее 1 МБ, и выносом в отдельный репозиторий остальных крупных объектов, можно выполнить:

     $ git init --bare ../backup.git
     $ git repack -ad --filter='blob:limit=1m' \
        --filter-to=../backup.git/objects/pack/pack
  

  Инициализация репозитория при помощи частичного клонирования позволяет работать с неполной копией репозитория, корректно обрабатывая обращения к отсутствующим объектам (при обращении к отсутствующим объектам, они на лету будут загружаться по мере необходимости).

• Добавлена возможность работы с несколькими pack-файлами с информацией о недостижимых объектах ("cruft packs"), на которые в репозитории отсутствуют ссылки (не ссылаются ветки или теги). При помощи новой опции "git repack --max-cruft-size" можно определить максимальный размер отдельного pack-файла и добиться разделения базы недостижимых объектов на серию pack-файлов небольшого размера. Использование нескольких мелких pack-файлов вместо одного крупного позволяет значительно сократить операции ввода/вывода при переупаковке репозиториев с большим числом недостижимых объектов, так как для каждой операции переупаковки не нужно будет перезаписывать все данные.
• Добавлено распознавание попыток выполнения двойной отмены коммита через "git revert" и учёт этого факта при формировании сообщения об отмене (при повторном "git revert" вместо "Revert: Revert: fix bug" будет записано "Reapply fix bug", а если откатить изменение третий раз - "Revert Reapply fix bug").

     $ git revert --no-edit HEAD >/dev/null
     $ git revert --no-edit HEAD >/dev/null
     $ git log --oneline
     a300922 (HEAD -> main) Reapply "fix bug"
     0050730 Revert "fix bug"
     b290810 fix bug
  

• Разрешено совместное использование опций "--rfc" и "--subject-prefix". Например, для формирования письма с префиксом "[RFC PATCH bpf-next]" в теме сообщения можно указать:

    $ git format-patch --subject-prefix="PATCH bpf-next" --rfc
  

• В команде "git log" разрешено указание заполнителя "%(decorate)" для показа имён связанных веток при определении формата при помощи опции "--format", например:

     $ git log --format='%cr%(decorate) (%h) %s'
     3 days ago (HEAD -> master, origin/master, origin/HEAD) (e0939bec27) RelNotes: minor wording fixes in 2.43.0 release notes
     7 days ago (tag: v2.43.0-rc1) (dadef801b3) Git 2.43-rc1
     7 days ago (8ed4eb7538) Merge branch 'tb/rev-list-unpacked-fix'
  

• В "git for-each-ref" и похожие команды добавлена возможность применения правил .mailmap к заданным через опцию "--format" спецификаторам формата, таким как "%(authorname)" и "%(committeremail)".

Новые версии почтового клиента Claws Mail 3.20.0 и 4.2.0

Ключевые новшества:

• Добавлена возможность открытия выбранной почтовой папки сразу после запуска (включается через пункт 'Open on start-up' в контекстном меню, показываемом при щелчке правой кнопкой мыши по названию папки, или во вкладке 'Folder list' раздела настроек /Configuration/Preferences/Display/Summaries).
• На страницу с информацией о сеансе добавлена статистика о выявленном спаме.
• Добавлена возможность сохранения только приложений к письму, без других частей сообщения.
• В быстрый поиск добавлена поддержка поискового выражения "v H V".
• Обеспечено определение MIME-типов "font/*" и "chemical/*".
• В IMAP реализована поддержка механизмов аутентификации SCRAM-SHA-{224,256,384,512}.
• В строку состояния добавлен индикатор выполнения операций удаления через IMAP.
• Удалён плагин GData.
• Плагин Fancy больше не требует libsoup и libsoup-gnome в качестве зависимостей.
• Код плагина LiteHTML Viewer синхронизирован с библиотекой litehtml 0.7 и требует для сборки как минимум версии библиотеки libgumbo 0.12.
• Добавлены опции "--enable-more-addressbook-debug" и "--enable-more-ldap-debug" для расширенной отладки адресной книги и обращений к LDAP.
• Улучшен перевод интерфейса на русский язык.