Опубликована платформа обмена сообщениями Zulip 9

Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, автоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:

• Изменено оформление пользовательского интерфейса, в котором задействованы более крупные шрифты и заметные межстрочные отступы. Старый стиль оформления можно вернуть в разделе настроек, выбрав компактный режим. Предоставлена возможность скрытия боковых панелей, даже при работе в полноэкранном режиме. В правой панели реализовано наглядное выделение пользователей, присутствующих в текущем канале или в личном чате. Значительно ускорена загрузка тем и сообщений при открытии web-интерфейса или десктоп-приложения.
• Модернизировано оформление блока написания сообщений. Предоставлена возможность сохранения набранного текста в качестве черновика и перехода к написанию нового сообщения. При начале набора обеспечен показ недавно редактируемого черновика в текущем обсуждении. При вставке из буфера обмена реализовано сохранение стиля и форматирования текста (дополнительно имеется возможность вставки голого текста). Вставляемые ссылки на темы и сообщения теперь автоматически форматируются должным образом. Добавлена возможность выделения текста для ответа с цитированием части другого сообщения.
  
  
• Упрощена навигация. Предложены три режима компоновки списка обсуждений - "Комбинированная лента" (было "Все сообщения"), "Лента каналов" и "Лента личных сообщений". Упрощён непрерывный просмотр разных тем сообщений (в левой панели предоставлены ссылки для перехода к первому сообщению каждой темы). Обеспечено автоматическое переключение на обсуждение при отправке в него сообщения.
• Изменено оформление основной строки поиска, в которой реализовано отображения заданных поисковых фильтров. Добавлена возможность выборки всех сообщений с реакциями и быстрого просмотра выставленных реакций на сообщения пользователя. Также появилась возможность поиска только в отслеживаемых темах и непрочитанных сообщениях. Добавлена возможность показа в боковой панели только личных чатов или обсуждений с участием определённого пользователя.
• Изменено оформление всех меню. Предоставлена возможность переключения тем оформления через личное меню.
• Изменено оформление экрана с историей редактирования сообщений.
• Добавлены настройки для выбора метода предпросмотра анимированных изображений (можно отключить анимацию или показывать только при наведении курсора).
• Добавлена возможность отключения индикаторов набора текста другими пользователями.
• В интерфейсе администратора сервера предложена новая комбинированная панель управления пользователями, в которой также отображаются сведения об отключённых пользователях и отправленных приглашениях новым пользователям. В настройках помимо имён пользователей обеспечен показ аватаров. Добавлены новые настройки для определения прав на отправку прямых сообщений. Поля в профиле теперь могут помечаться обязательными к заполнению по желанию администратора. Расширены возможности управления каналами.
• Переработано приглашение, знакомящее новых пользователей с основными особенностями платформы.
• Задействована более привычная для мессенджеров терминология - потоки ("Streams") переименованы в каналы ("Channels").
• Предоставлена возможность автоматической отправки пользователям связанных с проектом анонсов, например, объявлений об изменениях в новых версиях. Подобные анонсы отправляются в тему "Zulip updates" в канале, выбранном администратором сервера.
• В сервер Zulip встроены средства для генерации миниатюр для ускорения предпросмотра загруженных изображений.
• Внесены оптимизации, повышающие масштабирование серверов в больших организациях, насчитывающих тысячи сотрудников.
• Добавлена поддержка развёртывания сервера Zulip в Ubuntu 24.04 и прекращена поддержка Ubuntu 20.04.
• Добавлены компоненты для интеграции с Patreon и GitHub Sponsors. Улучшена интеграция с GitHub и Grafana.

В KDE продолжена работа по улучшению интерфейса пользователя

• Обновлены рекомендации по оформлению элементов пользовательского интерфейса KDE (HIG, Human Interface Guidelines), которые определяют общие шаблоны и правила оформления интерфейса приложений KDE, позволяющие разработчикам унифицировать внешний вид своих приложений с общим оформлением платформы KDE и добиться его гармоничного сочетания с другими приложениями. Руководство сосредоточено на использовании фреймворка Kirigami на базе Qt Quick, позволяющего создавать универсальные интерфейсы, пригодные как для десктопов, так и для мобильных устройств. Из наиболее заметных изменений выделяется расширение страницы с рекомендациями по выбору пиктограмм и их стилей.
• В KWin при выводе крупных окон, минимальный размер которых не вмещается по высоте, заголовок теперь не выходит за рамки видимой области, чтобы окно можно было переместить не прибегая к возможности перетаскивания за край с удержанием клавиши Alt, о которой знают не все пользователи.
• В эмулятор терминала Konsole добавлена кнопка для автоматического сохранения всего терминального вывода в отдельный файл.
• В программу Info Center добавлена отдельная страница с информацией о памяти.
• Для дистрибутивов предоставлена возможность настройки набора рекомендованных приложений, показываемого по умолчанию в Kickoff, Kicker и Application Dashboard.
• В KRunner улучшено качество поиска информации, имеющейся на страницах конфигуратора.
• В интерфейс настройки графических планшетов добавлено предупреждение, показываемое если планшет не поддерживает смену ориентации экрана.
• Повышена производительность эффекта затухания на экране завершения работы, который теперь также учитывает настройки скорости анимации.
• В боковой панели Places (Точки входа) файлового менеджера, а также в диалогах сохранения и открытия файлов, при сборке с Qt 6.8 добавлено отображение всплывающих подсказок с дополнительной информацией.
• В окружениях на базе Wayland добавлена опция для отключения механизма "sticky keys" при удержании двух клавиш. Механизм "sticky keys" позволяет людям c нарушением мелкой моторики пальцев рук пользоваться клавиатурными комбинациями, требующими одновременного нажатия нескольких клавиш (нажатие клавиши-модификатора запоминается и применяется к следующей клавише).
• В менеджер приложений Discover добавлена встроенная возможность установки и обновления пакетов для дистрибутива PostmarketOS.
• С целью повышения безопасности KAuth переведён на использование файловых дексрипторов вместо файловых путей при организации доступа к привилегированным операциям в конфигураторе.

Выпуск языка программирования Rust 1.80

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлены структуры LazyCell и LazyLock, позволяющие отложить инициализацию данных до первого доступа (вызов функции инициализации осуществляется при попытке доступа к значению). LazyLock отличается от LazyCell поддержкой средств синхронизации для использования в многопоточном коде.

     use std::sync::LazyLock;
     use std::time::Instant;
  
     static LAZY_TIME: LazyLock‹Instant› = LazyLock::new(Instant::now);
  
     fn main() {
         let start = Instant::now();
         std::thread::scope(|s| {
             s.spawn(|| {
                 println!("Thread lazy time is {:?}", LAZY_TIME.duration_since(start));
             });
             println!("Main lazy time is {:?}", LAZY_TIME.duration_since(start));
         });
     }
  

• В компиляторе rustc стабилизирована опция "--check-cfg", которая задействована в пакетном менеджере для проверки всех имён и значений, задаваемых через cfg, включая имена из Cargo.toml.

     fn main() {
         println!("Hello, world!");
  
         #[cfg(feature = "crayon")]
         rayon::join(
             || println!("Hello, Thing One!"),
             || println!("Hello, Thing Two!"),
         );
     }
  
     warning: unexpected `cfg` condition value: `crayon`
      --> src/main.rs:4:11
       |
     4 |     #[cfg(feature = "crayon")]
       |           ^^^^^^^^^^--------
       |                     |
       |                     help: there is a expected value with a similar name: `"rayon"`
  

• В шаблонах разрешено указание диапазонов в форматах "a..b" и "..b", которые аналогичны использованию выражений Range и RangeTo.

     pub fn size_prefix(n: u32) -› &'static str {
         const K: u32 = 10u32.pow(3);
         const M: u32 = 10u32.pow(6);
         const G: u32 = 10u32.pow(9);
         match n {
             ..K =› "",
             K..M =› "k",
             M..G =› "M",
             G.. =› "G",
         }
  }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • impl Default for Rc‹CStr>
  • impl Default for Rc‹str>
  • impl Default for Rc‹[T]>
  • impl Default for Arc‹str>
  • impl Default for Arc‹CStr>
  • impl Default for Arc‹[T]>
  • impl IntoIterator for Box‹[T]>
  • impl FromIterator for Box‹str>
  • impl FromIterator‹char> for Box‹str>
  • LazyCell
  • LazyLock
  • Duration::div_duration_f32
  • Duration::div_duration_f64
  • Option::take_if
  • Seek::seek_relative
  • BinaryHeap::as_slice
  • NonNull::offset
  • NonNull::byte_offset
  • NonNull::add
  • NonNull::byte_add
  • NonNull::sub
  • NonNull::byte_sub
  • NonNull::offset_from
  • NonNull::byte_offset_from
  • NonNull::read
  • NonNull::read_volatile
  • NonNull::read_unaligned
  • NonNull::write
  • NonNull::write_volatile
  • NonNull::write_unaligned
  • NonNull::write_bytes
  • NonNull::copy_to
  • NonNull::copy_to_nonoverlapping
  • NonNull::copy_from
  • NonNull::copy_from_nonoverlapping
  • NonNull::replace
  • NonNull::swap
  • NonNull::drop_in_place
  • NonNull::align_offset
  • ‹[T]>::split_at_checked
  • ‹[T]>::split_at_mut_checked
  • str::split_at_checked
  • str::split_at_mut_checked
  • str::trim_ascii
  • str::trim_ascii_start
  • str::trim_ascii_end
  • ‹[u8]>::trim_ascii
  • ‹[u8]>::trim_ascii_start
  • ‹[u8]>::trim_ascii_end
  • Ipv4Addr::BITS
  • Ipv4Addr::to_bits
  • Ipv4Addr::from_bits
  • Ipv6Addr::BITS
  • Ipv6Addr::to_bits
  • Ipv6Addr::from_bits
  • Vec::‹[T; N]>::into_flattened
  • ‹[[ T; N]]>::as_flattened
  • ‹[[ T; N]]>::as_flattened_mut
• Признак "const", определяющий возможность использования в любом контексте вместо констант, применён в функциях:
  • ‹[T]>::last_chunk
  • BinaryHeap::new
• Реализован третий уровень поддержки для платформы x86_64-unknown-linux-none. Третий уровень подразумевает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.

В 806 моделях материнских плат выявлен тестовый ключ, позволяющий обойти UEFI Secure Boot

В параметрах ключа указывалось, что он не заслуживает доверия и его не следует поставлять в своих продуктах. Подразумевалось, что данный тестовый ключ следует заменить на собственный, но производители не обратили внимание на предупреждение и использовали в итоговых прошивках типовой общий ключ, отправляемый всем партнёрам и клиентам компании AMI.

Закрыта часть тестового ключа AMI, необходимая для создания цифровых подписей, оказалась доступна публично после утечки информации у одного из производителей оборудования, сотрудник которого по ошибке разместил в публичном репозитории на GitHub код, содержащий данный ключ. Закрытый ключ был размещён в зашифрованном файле, при шифровании которого использовался простой 4-символьный пароль, который удалось легко подобрать методом перебора.

Ключ платформы используется в качестве корня доверия для заверения БД с ключами для Secure Boot. Получение закрытой части ключа платформы приводит к компрометации всей цепочки доверия, задействованной при проверке валидности компонентов загружаемой системы - зная ключ платформы можно обойти защиту Secure Boot и организовать подстановку при загрузке собственных компонентов через манипуляцию ключом KEK (Key Exchange Key) и базами данных "db" (Signature Database) и "dbx" (Forbidden Signature Database). KEK отвечает за создание цепочки доверия между прошивкой и операционной системой, "db" содержит сертификаты и подписи для загрузчика и сторонних компонентов UEFI, а "dbx" включает отозванные подписи известных вредоносных компонентов.

Для совершения атаки достаточно сгенерировать новые ключи и сертификаты для KEK и db, после чего использовать попавший в открытый доступ тестовый ключ платформы для загрузки в UEFI-прошивку созданного KEK-сертификата. Загрузив в прошивку KEK-сертификат можно использовать связанный с ним закрытый ключ для загрузки в БД db нового сертификата. После загрузки сертификата db, связанный с ним закрытый ключ может применяться для заверения загружаемых EFI-компонентов.

   openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY KEK/" -out KEK.crt
   openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY db/" -out db.crt

   efi-updatevar -a -c KEK.crt -k PK.key KEK
   efi-updatevar -a -c db.crt -k KEK.key db
   sbsign --key db.key --cert db.crt --output rogue.efi.signed rogue.efi

Для проверки корректности ключа платформы достаточно запустить утилиту "efi-readvar -v PK" из пакета efitools и убедиться, что ключ платформы не является тестовым:

   efi-readvar -v PK

   Variable PK, length 862
   PK: List 0, type X509
       Signature 0, size 834, owner 26dc4851-195f-4ae1-9a19-fbf883bbb35e
           Subject:
               CN=DO NOT TRUST - AMI Test PK
           Issuer:
               CN=DO NOT TRUST - AMI Test PK

Началось бета-тестирование VirtualBox 7.1.0

Основные изменения:

• Модернизирован графический интерфейс. Предоставлена возможность выбора между режимами для обычных и продвинутых пользователей - в режиме для обычных пользователей часть расширенных функций интерфейса скрыта. Осуществлён переход на новую версию библиотеки Qt.
• Добавлен новый движок для трансляции адресов (NAT), поддерживающий IPv6.
• В дополнениях для гостевых систем и хостов на базе Linux реализована возможность использования совместного буфера обмена в графических окружениях на базе протокола Wayland.
• Повышена производительность создания скринкастов.
• Для EFI добавлены новые сертификаты Microsoft DB/KEX, применяемые в новых виртуальных машинах.
• В компонентах для интеграции с OCI (Oracle Cloud Infrastructure) реализованы функции для клонирования и сброса экземпляров виртуальных машин. В информационную панель добавлены данные о потреблении ресурсов локальными виртуальными машинами.
• В VRDE (Virtual Remote Desktop Extension), расширении для удалённого подключения к виртуальной машине с использованием протокола RDP, реализовано применение и поддержание в актуальном виде самоподписанных сертификатов для TLS, если пользователь явно не добавил собственный сертификат.
• В хост окружениях с macOS, развёрнутых на системах с процессорами на базе архитектуры ARM, обеспечено использование доступных в ARM расширений для виртуализации при запуске виртуальных машин с Linux и BSD-системами.

Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.7

Базовая начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

В дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.

Среди изменений:

• Осуществлён переход на кодовую базу FreeBSD 14.1 (ранее использовался код FreeBSD 13.2).
• Предложена новая реализация информационной страницы (dashboard), примечательная современным оформлением и переходом на новый формат виджетов (поддержка старых виджетов прекращена).
• Значительно ускорена установка соединений в VPN на базе WireGuard. Добавлена поддержка генерации QR-кодов для быстрой настройки мобильных клиентов.
• Для OpenVPN реализована поддержка механизма DCO (Data Channel Offload) для выноса операций шифрования, обработки пакетов и управления каналом связи на сторону модуля, работающего на уровне ядра. DCO избавляет от накладных расходов, связанных с переключением контекста, оптимизирует работу за счёт прямого обращения к внутренним API ядра и исключает медленную передачу данных между ядром и пространством пользователя (шифрование, расшифровка и маршрутизация выполняется модулем без отправки трафика в обработчик в пространстве пользователя).
• Интерфейсы для управления туннелями GIF и GRE, а также настройки цепочки доверия, отказоустойчивости и прямой трансляции адресов (NAT "1-в-1") переведены на использование MVC-фреймворка. Добавлены Web API для автоматизации управления сетевой конфигурацией.
• Расширена поддержка DHCPv6.
• Добавлена поддержка динамического создания туннелей IPsec VTI (Virtual Tunnel Interface).
• Обновлены версии Python 3.11, hostapd 2.11, libpfctl 0.12, phalcon 5.8.0, openvpn 2.6.12, wpa_supplicant 2.11.
• Обновлены плагины: os-acme-client 4.4, os-caddy 1.6.1, os-dec-hw 1.1, os-etpro-telemetry 1.7, os-freeradius 1.29.4, os-nginx 1.34, os-theme-cicada 1.37 и os-theme-vicuna 1.47.

Релиз Multipass 1.14, инструментария для развёртывания Ubuntu в виртуальных машинах

Multipass самостоятельно извлекает необходимый образ операционной системы и поддерживает его в актуальном состоянии. Для настройки может применяться cloud-init. Предусмотрена возможность как монтирования дисковых разделов в виртуальное окружение (команда "multipass mount"), так и передачи отдельных файлов между хост-системой и виртуальной машиной (команда "multipass transfer"). Поддерживается полная интеграция установленной виртуальной машины с основным рабочим столом (добавляются пиктограммы приложений, системное меню и уведомления).

Основные изменения:

• Добавлен графический интерфейс для взаимодействия с сервисами multipass, упрощающий управление виртуальными машинами.
• Предоставлена возможность добавить внешний сетевой мост к существующему экземпляру виртуальной машины.
• Добавлена опция для принудительного завершения экземпляров виртуальной машины: "multipass stop --force ‹instance-name›".
• Для бэкенда VirtualBox добавлена поддержка снапшотов, которые ранее были для QEMU и Hyper-V.
• Добавлены дополнительные ограничения при монтировании каталогов из хост-окружения в гостевые системы. Реализована защита от пересечения идентификаторов пользователей при монтировании.
• Размер snap-пакета сокращён на 48% (c 122MB до 64MB).
• При сборке vcpkg вместо gRPC задействована библиотека POCO.

Selectel начал публичное бета-тестирование собственного серверного дистрибутива Linux

Дистрибутив предназначен для установки как на новое оборудование, так и на уже использующиеся серверы, как внутри, так и вне инфраструктуры Selectel. В настоящее время сборки доступны только для процессоров с архитектурой x86, но в дальнейшем планируется добавить поддержку и других аппаратных архитектур. В ходе тестирования Selectel планирует отработать процесс миграции пользователей на новый дистрибутив, чтобы подготовить продукт к коммерческому запуску, который планируют провести до конца 2024 года.

В ходе бета-тестирования предлагается оценить работу пакетов для систем виртуализации (KVM, QEMU, libvirt), веб-серверов (Apache httpd и nginx), LDAP, мониторинга (Zabbix, Prometheus), СУБД (MariaDB, PostgreSQL, MongoDB), резервного копирования (Bacula) и работы с контейнерами (Kubernetes, Docker). Обеспечена интеграция с облачными сервисами Selectel и объектным хранилищем S3. Из особенностей продукта отмечается гарантируемая Selectel поддержка по SLA.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61609

Релиз дистрибутива Linux Mint 22

Основные изменения в Linux Mint 22:

• Пользовательское окружение Cinnamon обновлено до выпуска 6.2, обзор изменений в котором был предложен в отдельном анонсе.
• Для файлового менеджера Nemo предложен инструмент "Layout Editor", позволяющий на свой вкус настроить размещение действий в меню. Поддерживается создание вложенных подменю, привязка или переопределение пиктограмм, использование разделителей, переименование элементов и компоновка в режиме drag&drop. "Действия" представляют собой дополнения к файловому менеджеру Nemo, позволяющие подключить обработчики, вызываемые через контекстное меню и загружаемые по аналогии с апплетами и темами оформления.
• Оптимизирована установка языковых пакетов. После завершения установки обеспечено удаление лишних языковых пакетов для высвобождения занимаемого не используемыми языковыми пакетами дискового пространства. После завершения установки оставляются только пакеты для английского и дополнительно выбранного языка. В установочном iso-образе поставляются языковые пакеты только для 8 языков, включая английский и русский, а пакеты для остальных языков при необходимости загружаются динамически при наличии сетевого соединения на стадии установки.
• Осуществлён переход на пакетную базу Ubuntu 24.04 и ядро Linux 6.8. Настройки активных репозиториев переведены на использование формата deb822, поддержка которого добавлена в графический интерфейс управления пакетами Software Sources.
• По умолчанию задействован звуковой сервер Pipewire.
• В темах оформления обеспечена поддержка GTK4.
• Из-за перевода некоторых штатных GNOME-приложений на libAdwaita и прекращения поддержки системной темы Mint, приложения Celluloid, GNOME Calculator, Simple Scan, Baobab, System Monitor, GNOME Calendar, File Roller и Zenity заменены в Linux Mint 22 на более ранние версии, использующие GTK3, а приложение GNOME Font Viewer удалено из дистрибутива.
• Добавлено XApp-приложение "GNOME Online Accounts GTK", представляющее интерфейс для управления подключением к облачным сервисам, таким как Google Drive, и получения доступа к сохранённым там данным. В отличие от штатного GNOME Online Account новое приложение доступно в вариантах для GTK4 и GTK3 (используются разные версии библиотеки libgoa), а также адаптировано для работы в различных дистрибутивах и пользовательских окружениях, например, работоспособно не только в GNOME, но и в Cinnamon, Budgie, Unity, MATE и Xfce.
• В интерфейсе установки программ Software Manager по умолчанию скрыты Flatpak-пакеты, не верифицированные в каталоге FlatHub, т.е. формируемые сторонними энтузиастами (например, пакет Chrome во FlatHub формирует неизвестный под ником refi64). В настоящее время во FlatHub примерно 42% пакетов помечены как верифицированные, т.е. публикуемые основными проектами или лицами, связанными с ними. Показ неверифицированных пакетов можно вернуть в настройках, но они будут явно помещены как не заслуживающие доверия и иметь нулевой рейтинг.

  Из изменений в Software Manager также отмечается значительное сокращение времени запуска - основной экран со списком категорий рекомендованных приложений теперь появляется почти мгновенно. Кроме того, в приложении улучшено выполнение в многопоточном режиме, добавлена новая страница с настройками и реализована возможность показа слайдшоу в области баннера.

  
• После сворачивания разработки IRC-клиента Hexchat проект перешёл на использование сети Matrix, для работы с которой в состав добавлен Matrix-клиент Element, реализованный в виде самодостаточного web-приложения.
• Сохранена поставка классического deb-пакета с почтовым клиентом Thunderbird, который в Ubuntu 24.04 был заменён на snap-пакет.
• В менеджер фотографий Pix и инструментарий для генерации миниатюр добавлена поддержка формата JPEG XL.
• В репозиторий добавлен новый генератор миниатюр xapp-thumbnailer-gimp для формата изображений, используемого в GIMP.
• Все приложения, использующие библиотеку libsoup2 для работы с протоколом HTTP, переведены на ветку libsoup3.
• В загрузочной заставке Plymouth и экране входа в систему Slick-Greeter улучшена поддержка экранов с высокой плотностью пикселей (HiDPI).
• В приложении для ведения заметок Stick предоставлена возможность настройки позиции по умолчанию при создании новой заметки. Добавлена возможность создания заметки из командной строки.
• В текстовый редактор Xed в меню Edit добавлена кнопка "Duplicate" и комбинация клавиш Ctrl+Shift+D для дублирования выделенного текста. В настройки добавлена опция, определяющая выходить или нет из программы при закрытии последней вкладки.
• В секции со списком недавно открытых файлов число элементов увеличено с 5 до 10.
• В программе для резервного копирования Timeshift реализован запрос подтверждения опеарции при попытке удаления снапшота.
• В web-приложениях, создаваемых через WebApp Manager и запускаемых в Firefox, реализовано адаптивное отображение меню и панели инструментов, которые скрыты по умолчанию, но становятся видимыми при открытии вкладки.
• В Xfce предоставлена возможность настройки размера символьных и цветных пиктограмм в системном лотке
• В ISO-образе реализована совместимость с FAT32 в режиме FST (File System Transposition).

В Node.js добавлена экспериментальная поддержка языка TypeScript

Для трансляции задействован компилятор SWC (Speedy Web Compiler), написанный на языке Rust. Для того, чтобы не добавлять дополнительные зависимости к Node.js, задействовано представление компилятора swc/wasm-typescript, поставляемое в промежуточном коде WebAssembly и уже применяемое для тех же целей в платформе Deno. Добавленное изменение добавлено в ответ на многочисленные просьбы пользователей реализовать возможность запуска кода на TypeScript без установки внешних загрузчиков и дополнительных зависимостей. В конкурирующих платформах Deno и Bun поддержка TypeScript была реализована изначально.

Ключевым отличием TypeScript от JavaScript является явное определение типов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации, упрощает отладку и делает код более читаемым и простым для доработки и поддержки сторонними разработчиками. В добавленной в Node.js реализации данные возможности TypeScript теряются, так как в процессе трансляции исходных текстов в JavaScript проверка типов не осуществляется.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61607

Конкурс по разработке концепции образовательного курса, связанного с открытым ПО

Регистрация и приём работ осуществляется до 15 августа 2024 года. К участию приглашаются педагоги и сотрудники учреждений высшего образования, среднего профессионального образования и дополнительного профессионального образования. Возможно как индивидуальное участие, так и формирование команд единомышленников  для совместной разработки проекта.

Жюри конкурса:

• Владимир Рубанов, член Правления ИТ-ассоциаций АПКИТ и РУССОФТ;
• Егор Бугаенко, директор лаборатории создания инструментов разработки ПО, основатель Zerocracy, автор книги «Элегантные объекты»;
• Сергей Шалашный, учредитель АНО Центр развития инновационных технологий «ИТ-Планета»;
• Александр Белоцерковский, директор по технологическому евангелизму, GitVerse;
• Андрей Баженов, директор по разработке системного ПО, СберТех;
• Дмитрий Варенов, технический лидер сообщества OpenScaler.

Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки

Возможность доступа к коммитам по хэшу во всех связанных форками репозиториях вызвано тем, что GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в основном репозитории любой коммит из любого форка, явно указав его хэш в URL. Например, пользователь может создать форк репозитория "/torvalds/linux" и добавить в него любой код, после чего этот код станет доступен по прямой хэш-ссылке в репозитории "/torvalds/linux". В случае удаления репозитория, если имеется хотя бы один публичных форк, данные из удалённого репозитория остаются доступны по хэшу коммита.

Предлагается три сценария, представляющих угрозу безопасности:

• Первый сценарий затрагивает ситуации, когда разработчики создают форки публичных репозиториев, добавляют в них изменения, экспериментируют, а затем удаляют. Помимо утечки кода, который не предназначен для публикации, опасность представляет ситуация, когда в экспериментах в код файлов с примерами добавляются рабочие ключи доступа к API. В этом случае атакующий может получить доступ к изменению по хэшу коммита, адресуемому после удаления форка через основной репозиторий. Например, предложенным способом исследователи смогли определить 30 рабочих ключей доступа к API, изучив три связанных с машинным обучением репозитория с большим числом форков.
• Второй сценарий касается возможности получения доступа к данным после удаления первичного репозитория, если для этого репозитория были созданы форки. В качестве примера приводится случай, когда в публичном репозитории одной компании были случайно опубликованы закрытые ключи одного из сотрудников, позволяющие получить полный доступ ко всем репозиториям данной компании на GitHub. Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.
  
  
• Третий сценарий связан с моделью разработки проектов, которые развивают базовую открытую версию в публичном репозитории и расширенную проприетарную версию в приватном. Если компания изначально развивала проект в приватном репозитории, а затем после открытия кода проекта перевела его в разряд публичных, но продолжила разработку закрытой внутренней или расширенной версии в приватном форке, имеется возможность доступа к добавленным в приватный форк изменениям по хэшам коммитов через публичный репозиторий. При этом доступ возможен только к изменениям, добавленным в приватный форк до перевода основного репозитория в разряд публичных (хранилища приватных и публичных репозиториев разделяются, но когда два репозитория были приватными коммиты хранились совместно, поэтому остались в репозитории после его перевода в разряд публичных).

Трюк, позволяющий получить доступ к коммитам в форках репозитория через ссылку на основной репозиторий, известен уже много лет и периодически используется для различных шуток и ввода в заблуждение разработчиков (например, шутники периодически подобным образом создают видимость подстановки бэкдоров в репозиторий с ядром Linux на GitHub). В качестве меры для противодействия подобным шуткам GitHub добавил предупреждение о том, что запрошенный коммит не относится к веткам в текущем репозитории и возможно принадлежит форку. При этом сама возможность доступа к коммитам по хэшу в любых связанных форками репозиториях рассматривалась как безобидная, так как для обращения к данным в удалённых и приватных форках требуется знание хэша коммита.

Подобрать хэш коммита, формируемый на базе алгоритма SHA-1 и включающий 32 символа, не реально, но оказалось, что это и не требуется. GitHub поддерживает сокращённую форму обращения к коммитам, позволяющую адресовать изменения по нескольким первым символам хэша, если отсутствуют пересечения с другими коммитами. Минимальное число символов для сокращённой адресации хэша - 4, что соответствует перебору всего 65 тысяч комбинаций (16^4). При этом перебор может и не потребоваться, так как API GitHub позволяет подключать обработчики для перехвата событий, которые используются сторонними проектами, ведущими архив с полным логом всех операций, в котором информация о хэшах коммитов остаётся и после удаления репозиториев.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61605

Реструктуризация проекта OpenSSL. Переход под крыло OpenSSL библиотек Bouncy Castle и Cryptlib

Миссия проекта охватывает такие ценности, как важность сообщества, приверженность модели разработки на основе открытого кода, соблюдение конфиденциальности, открытые и прозрачные методы управления. Ранее действовавший управляющий комитет OpenSSL Management Committee (OMC) упразднён, а принятие решений возложено на совместную работу советов директоров, избираемых отдельно в OpenSSL Foundation и OpenSSL Corporation. Обе организации имеют по 10 голосующих участников.

Кроме того, в OpenSSL Foundation и OpenSSL Corporation из представителей сообщества и заинтересованных коммерческих компаний избираются надзорные комитеты - Technical Advisory Committee (TAC) и Business Advisory Committee (BAC), которые могут напрямую представлять интересы сообщества в разработке планов. Комитет BAC будет сформирован в конце октября 2024 года, а TAC - в конце апреля 2025 года.

Проект отныне не ограничивается только библиотекой OpenSSL и открыт для других связанных с криптографией разработок. Первыми двумя присоединившимися проектами стали библиотеки Bouncy Castle (крипто-API для API Java и C#) и cryptlib (высокоуровневый API для упрощения добавления шифрования и аутентификации в программы), которые теперь будут развиваться под покровительством OpenSSL Foundation и OpenSSL Corporation.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61603

Выпуск DNS-сервера BIND 9.20.0, переведённый на libuv и новый бэкенд для БД

Основные изменения:

• Ядро приложения, связывающее все компоненты, переведено на использование цикла обработки событий в неблокирующем режиме, реализованного на основе библиотеки libuv, применяемой в таких проектах, как Node.js, Knot DNS, H2O, Luvit и MoarVM. В ветке 9.16 на libuv был переведён менеджер сетевых соединений в BIND, а теперь и части, используемые для взаимодействия внутренних компонентов инфраструктуры, а также длительно выполняемые в отдельных потоках вспомогательные обработчики (threadpool), используемые для верификации DNSSEC, трансфера зон, поддержания каталога зон и обработки RPZ (Response Policy Zone). Для сборки BIND теперь требуется как минимум выпуск libuv 1.34.0.
• Предложен новый бэкенд для работы с БД - "QP trie", который пришёл на смену RBTDB (Red-Black Tree Database) и задействован по умолчанию для хранения кэша и базы DNS-зон. Для многопоточной работы в QP trie задействована библиотека liburcu с реализацией в пространстве пользователя структур, не использующих блокировки, благодаря применению механизма синхронизации RCU (read-copy-update) и метода безопасного освобождения памяти QSBR (Quiescent-State-Based Reclamation).
• Задействован обновлённый механизм сжатия доменных имён, использующий более компактный метод кодирования имён с большим числом меток.
• Расширены возможности DNSSEC: "dnssec-policy" разрешено применять для управления подписанными зонами (опция auto-dnssec удалена); при использовании "inline-signing" добавлена поддержка RFC 8901 (DNSSEC multi-signer model 2); возобновлена поддержка PKCS#11 на базе OpenSSL 3.0.0 Engine API; в "dnssec-policy" добавлена поддержка HSM (Hardware Security Module).
• Добавлена поддержка второй версии каталога зон (Catalog Zone, RFC 9432), упрощающего поддержание вторичных DNS-серверов за счёт того, что вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача каталога вторичных зон. После настройки передачи каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, автоматически создаются на вторичном сервере без необходимости правки файлов конфигурации.
• Добавлена поддержка механизма расширенных ошибок (Extended DNS Errors, RFC 8914), позволяющего возвращать дополнительную информацию о причине ошибки, возникшей при выполнении DNS-запроса.
• Реализация технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), применяемых для шифрования запросов клиентов к резолверу и шифрованного обмена данными между серверами, переведена на использование унифицированного транспорта.
• Добавлена возможность использования протокола PROXYv2 со всеми транспортами, поддерживаемыми в BIND. Протокол PROXY позволяет передавать информацию о соединении для сохранения сведений об исходном IP-адресе и номере порта при пробросе DNS-запросов через другие бэкенды, балансировщики нагрузки и прокси-серверы.
• Добавлена поддержка режима USDT (User Statically Defined Tracing), дающего возможность выполнять трассировку приложения при помощи команды perf, не создавая дополнительные накладные расходы, когда трассировка отключена.
• В собираемой статистике реализовано отражения информации о незавершённых входящих операциях передачи зон.
• Проведена работа по сокращению задержек, уменьшению потребления памяти и снижению нагрузки на CPU при резолвинге, работе DNS-over-TLS и формировании ответов по UDP и TCP.
  
  <img alt="" src="https://www.isc.org/images/blog/2024-bind-9-20/UDP-15x/latency-cold.svg">
  
  <img alt="" src="https://www.isc.org/images/blog/2024-bind-9-20/UDP-15x/memory.current-docker.svg">
  
  <img alt="" src="https://www.isc.org/images/blog/2024-bind-9-20/UDP-15x/cpu.usage_percent.cg-docker.svg">

External Attachment: image

External Attachment: image

External Attachment: image

Выпуск операционной системы MidnightBSD 3.2

Основные новшества:

• Из базовой системы удалён интерпретатор языка программирования Perl (для использования Perl теперь требуется его установка из портов). Аналогично из базовой системы удалены brainfuck и subversion.
• Предоставлена возможность использования системы пакетов Ravenports в окружениях на базе архитектуры amd64 (для окружений i386 доступен только инструментарий mports). Пакеты загружаются при помощи утилиты ravensw и устанавливаются в каталог /raven. В отличие от mports в Ravenports поставляются более свежие версии некоторых приложений, а также имеются пакеты, пока не собранные для mports. Например, в Ravenports доступны свежие версии Firefox. Ravenports и mports можно использовать по отдельности, выбрав желаемую систему во время установки, или применять их вместе бок о бок.
• Пакетный менеджер mport обновлён до версии 2.6.2.
• В библиотеке libarchive включена поддержка алгоритма сжатия zstd.
• Из поставки удалён telnetd.
• Для улучшения совместимости с Linux в состав включён заголовочный файл endian.h.
• Обновлены сторонние компоненты: expat 2.6.2, ldns 1.8.3, sendmail 8.18.1, libarchive 3.7.2, zstd 1.5.2, Unbound 1.19.3, xz / lzma 5.4.5, tzdata 2023d, mandoc 1.14.6, OpenSSH 9.3p2, nvi 2.2.1 и openssl 1.1.1w.
• Обновлён список идентификаторов поддерживаемых PCI-устройств.
• Добавлена поддержка датчиков температуры, используемых в процессорах AMD zen4.
• В драйвер ahci добавлена поддержка использования чипсета AMD KERNCZ в режиме RAID.

В Thunderbird добавили иконку с уведомлением о новых письмах, закрыв жалобу 24-летней давности

Выпуск hostapd и wpa_supplicant 2.11, реализации стека беспроводных протоколов

Основные изменения в новых выпусках hostapd и wpa_supplicant:

• Добавлена поддержка третьей версии протокола DPP (Device Provisioning Protocol), в обиходе известного как "Wi-Fi Easy Connect", а также предоставлена возможность передачи параметров с настройками при помощи DPP. Протокол DPP предоставляет возможность упрощённой настройки беспроводных устройств без экранного интерфейса, используя другое более продвинутое устройство, уже подключенное к беспроводной сети. DPP основывается на применении аутентификации по открытым ключам, например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе и кодирующего открытый ключ.
• Добавлена начальная поддержка Wi-Fi 7 (EHT/IEEE 802.11be) и улучшена поддержка Wi-Fi 6 (HE/IEEE 802.11ax).
• Добавлена поддержка изменений API, предложенных в ветке криптографической библиотеки OpenSSL 3.0.
• В реализации протоколов аутентификации EAP-SIM (Extensible Authentication Protocol - Subscriber Identity Module) и EAP-AKA (Extensible Authentication Protocol - Authentication and Key Agreement), использующих для аутентификации информацию с SIM- и USIM-карт, реализована поддержка механизма обеспечения конфиденциальности идентификатора абонента мобильной сети, исключающего раскрытие IMSI при подключении к точке доступа.
• Добавлена поддержка режимов работы SAE AKM (Simultaneous Authentication of Equals Authentication and Key Management) с переменным размером ключей.
• Добавлена поддержка варианта AKM (Authentication and Key Management) на базе хэшей SHA384.
• В реализации механизма PASN (Pre Association Security Negotiation), применяемого для установки защищённого соединения и защиты обмена управляющими кадрами на ранней стадии подключения, обеспечена поддержка технологии "secure ranging" для безопасного определения расстояния между двумя Wi-Fi устройствами.
• Добавлена поддержка механизма USD (Unsynchronized Service Discovery), упрощающего обнаружение сервисов беспроводными устройствами.
• Добавлена поддержка явной защиты SSID при четырёхэтапном согласовании подключения. Защита включается при помощи опции "ssid_protection=1" и блокирует уязвимость CVE-2023-52424, позволяющую организовать подключение к менее защищённой беспроводной сети.
• Изменения, специфичные для wpa_supplicant:
  • Добавлена поддержка фонового обнаружения помех от радарных систем, работающих в тех же частотных диапазонах (при обнаружении осуществляется переключение на другие частоты). Также добавлена поддержка механизма CAC (Channel Availability Check), предназначенного для прослушивания канала перед его использованием с целью проверки его занятости радарной системой.
  • В реализации метода согласования соединений SAE (Simultaneous Authentication of Equals) появилась возможность извлечения пароля из RADIUS-сервера.
  • Добавлена поддержка проверок ACL (Access-Control List) и PSK (Pre-Shared Key) с использованием протокола RADIUS во время согласования соединения (wpa_psk_radius=3).
  • В реализации механизма ACS (Automatic Channel Selection) при выборе используемого канала обеспечен учёт типов и пропускной способности каналов.
  • Расширена поддержка использования на одной точке доступа нескольких идентификаторов BSSID (Basic Service Set Identifier) для обеспечения работы виртуальных беспроводных сетей.
  • Добавлена начальная поддержка использования TLS для шифрования обращений по протоколу RADIUS.
• Изменения, специфичные для wpa_supplicant:
  • В реализации стандарта MACsec (IEEE 802.1AE), предоставляющего средства для защиты канала передачи данных, предоставлена возможность использования набора шифров GCM-AES-256 и добавлена поддержка аппаратного ускорения через вынос операций на сторону сетевого адаптера.
  • Для TLSv1.3 улучшена поддержка EAP-TLS.
  • Усилена защита от DoS-атак при использовании PMF (Protected Management Frames).
  • Улучшен роуминг между AKM (Authentication and Key Management) при выборе SME/BSS драйвером.
  • Предоставлена возможность использования механизма PASN (Protected Access Secure Negotiation) с внешними программами.
  • Добавлена поддержка использования заранее сгенерированных MAC-адресов (mac_addr=3) вместо генерации случайного MAC для каждой сети.
  • Включено по умолчанию использовании второй фазы аутентификации (phase2_auth=1) для протокола EAP-PEAP, подразумевающей аутентификацию клиента внутри защищённого туннеля.
  • Расширена поддержка технологии MSCS (Multi-Streaming Channel Switching), позволяющей устройству переключаться между несколькими каналами.
  • Расширена поддержка технологии SCS (Spatial Channel Switching) для приоритетной обработки важного трафика при использовании QoS.

Google передумал прекращать поддержку сторонних Cookie в Chrome

Компания Mozilla активировала блокировку сторонних Cookie по умолчанию в выпуске Firefox 69, сформированном в 2019 году. Примерно в то же время по умолчанию началась блокировка сторонние Cookie в Safari. Компания Google опубликовала первые намерения о прекращении поддержки сторонних Cookie в 2020 году и планировала реализовать отключение до 2022 года, но затем сдвинула срок прекращения поддержки до середины 2023 года, потом перенесла на четвёртый квартал 2024 года, а теперь вообще отменила данный план.

План прекращения поддержки сторонних Cookie отменён в связи с негативным влиянием на сложившуюся экосистему интернет-рекламы, позволяющую авторам сайтов бесплатно распространять контент. Несмотря на многолетние усилия Google индустрия интернет-рекламы оказалась не готова к замене отслеживающих Cookie на новые специализированные API, учитывающие потребность пользователей в конфиденциальности, такие как FedCM (Federated Credential Management, позволяет создавать объединённые сервисы идентификации), Private State Tokens (позволяет разделять пользователей без использования межсайтовых идентификаторов), Topics (позволяет ранжировать пользователей по группам интересов), Protected Audience (таргетинг и изучение аудитории) и Attribution Reporting (оценка эффективности рекламы).

Связанные с Cookie изменения продвигаются в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Ранее попытки внедрения в Chrome замен отслеживающим Cookie вызвали сопротивление в сообществе и критику, связанную с тем, что идущие на смену отслеживающим Cookie методы не решают всех проблем и создаёт новые риски, такие как создание условий для дискриминации пользователей и появление дополнительного фактора для скрытой идентификации и отслеживания перемещений пользователя.

В анонсе изменений также упоминается план по реализации в режиме инкогнито в Chrome возможности для скрытия IP-адреса пользователя от владельцев сайтов через отправки трафика не напрямую, а через прокси-сервер. При использовании нового режима целевой сервер будет видеть в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN. Для анонимизации запроса упоминается возможность проброса запроса последовательно через несколько прокси. В этом случае информация об IP-адресе клиента будет известна только первому прокси, а второй прокси в цепочке будет видеть адрес первого прокси.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61595

Выпуск системной библиотеки Glibc 2.40

Из реализованных в Glibc 2.40 улучшений можно отметить:

• В заголовочный файл math.h добавлены новые экспоненциальные и логарифмические функции, определённые в стандарте C23: exp2m1, exp10m1.log2p1, log10p1 и logp1. Функции доступны в вариантах для типов float, double, long double, _FloatN и _FloatNx.
• Добавлен макрос _ISOC23_SOURCE, определяющий использование возможностей, предложенных в стандарте C23 (в настоящее время в Glibc реализованы лишь часть возможностей C23). Использование C23 также можно включить при компиляции через указание в GCC опций -std=c23, -std=gnu23, -std=c2x или -std=gnu2x.
• Добавлена настройка "glibc.rtld.enable_secure", позволяющая при проведении тестирования запускать программу так, как если бы она имела флаг смены идентификатора пользователя (setuid).
• На платформе Linux заголовочный файл epoll.h обновлён для поддержки новых ioctl и структур epoll, появившихся в ядре Linux 6.9.
• Функциональность для выявления возможных переполнений буфера и связанных с безопасностью ошибок во время выполнения функций работы со строками и управления памятью ("_FORTIFY_SOURCE") адаптирована для сборки Glibc при помощи компилятора Clang.
• В библиотеке с векторными математическими функциями (libmvec) предложены реализации функций acosh, asinh, atanh, cbrt, cosh, erf, erfc, hypot, pow, sinh и tanh для архитектуры Aarch64.
• На системах x86 для ускорения записи больших наборов данных в функции memset предоставлена возможность отключения использования временных буферов. Оптимизация активируется при помощи настройки "x86_memset_non_temporal_threshold".
• Макросы в заголовочном файле stdbit.h, работающие с различными типами (type-generic), при использовании GCC 14 переведены на использование встроенных функций __builtin_stdc_bit_ceil для поддержки операндов с типами __int128 и _BitInt(N).
• Поля с эпохальным счётчиком времени в структурах lastlog, utmp и utmpx переведены с использования 32-разрядного знакового типа на беззнаковый тип, что позволяет продлить максимальное адресуемое счётчиком время с 2038 года до 2106 года.
• Устранены уязвимости:
  • CVE-2024-2961 - переполнение буфера при преобразовании специально оформленных строк в кодировке ISO-2022-CN-EXT функцией iconv(). На практике уязвимость может быть использована для удалённой атаки на PHP-приложения, приводящей к выполнению кода.
  • CVE-2024-33599 - переполнение буфера в коде для работы с кэшем netgroup в процессе nscd (Name Service Cache Daemon). Уязвимость может быть эксплуатирована через отправку клиентом специально оформленного запроса.
  • CVE-2024-33600 - разыменование нулевого указателя в процессе nscd, которое может привести к аварийному завершению при обработке определённых запросов.
  • CVE-2024-33601 - ошибка при работке с кэшем netgroup может привести к аварийному завершению процесса nscd из-за сбоя при выделении памяти.
  • CVE-2024-33602 - повреждение памяти при работе с кэшем netgroup в процессе nscd.
  
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=61594

Обновлён бесплатный курс по администрированию PostgreSQL

Основные изменения:

• Добавлена информация про версии PostgreSQL 14, 15 и 16.
• Заменены четыре темы раздела «Управление доступом», по которым в дальнейшем появится отдельный подробный курс;
• Частично изменена структура: изложение стало более логичным и последовательным;
• Физическая и логическая репликации теперь рассматриваются в отдельных темах.
• Исправлены недочёты в изложении, ошибки в скриптах демонстраций и практических заданий.

Релиз инструмента анонимизации баз данных nxs-data-anonymizer 1.9.0

Программа поддерживает анонимизацию данных на основе шаблонов и функций библиотеки Sprig. Nxs-data-anonymizer можно использовать через неименованные каналы (pipe) в командной строке для перенаправления дампа из исходной БД непосредственно в целевую БД с необходимыми преобразованиями. Процесс анонимизации может быть индексирован - через указанные промежутки выводятся данные о прогрессе выполнения операции. Благодаря внешним командам через добавление в значение столбца "type: command" можно задавать значение полей.

В зависимости от типа сущностей в настройках безопасности инструмент анонимизирует столбцы для таблиц с правилами, описанными в разделе filters. Если таблица не содержит никаких правил, данные все равно будут в надёжно защищены, так как анонимайзер не включит их в результирующий дамп.

В новой версии в фильтр столбцов добавлен блок "Link", благодаря которому можно связать анонимизацию сущностей базы данных в разных таблицах. В этом блоке хранятся правила, по которым инструмент анонимизирует связанные между собой столбцы в указанных конфигурацией таблицах по всей базе данных. Таким образом, ячейки в определённых столбцах, которые имели одинаковые значения до анонимизации, будут иметь одинаковые значения после анонимизации.

Так же, появилась возможность работы с разово-сгенерированными данными с помощью глобальных переменных через специально разработанных модуль, который обеспечивает генерацию с возможностью использования в фильтрах.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61592

В OpenBSD добавлена поддержка VA-API для аппаратного ускорения декодирования видео

Работа аппаратного ускорения протестирована с драйверами для GPU Intel и AMD при использовании браузера Firefox и видеопроигрывателя mpv. Необходимые для работы драйверы для GPU Intel предложены в портах graphics/intel-media-driver и graphics/intel-vaapi-driver, а для работы с GPU AMD используются штатные компоненты из состава Mesa.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61591

Обновление проекта FPDoom, развивающем порт игры Doom для кнопочных телефонов

• Сборка протестирована на 24-х устройствах, поддержан старый чип SC6530. В числе поддерживаемых устройств есть детский фотоаппарат.
• Портирован движок Build и три игры на нём: Duke Nukem 3D, Shadow Warrior, Blood.
• Сделана поддержка чтения клавиши питания (имеет отдельный от остальных клавиш драйвер).
• Проведён реверс-инжинириг подсистемы SDIO, через которую можно читать и перезаписывать сектора на SD картах.
• Написан компактный драйвер файловой системы FAT32. Для запуска игр всё ещё требуется USB-подключение, но после телефон можно отключить от компьютера, игра может читать ресурсы игры с SD-карты.
• Утилита spreadtrum_flash, что используется в этом проекте для загрузки кода игр в оперативную память телефона, дополнена экстрактором pac-архивов с прошивками и анализатором дампов флэш памяти (например, может распаковывать код и ресурсы прошивки, или прочитать СМС из дампа флэш памяти телефона).
• Из ещё не реализованных возможностей можно отметить отсутствие поддержки звука.

Инцидент с отстранением одного из директоров GNOME Foundation

Участники проекта GNOME выразили сомнение, что уставу организации GNOME Foundation соответствуют действия за закрытыми дверями без информирования сообщества и без обеспечения должной прозрачности процессов принятия решений. По мнению некоторых участников, голосовавших за Сонни, они должны знать почему он был отстранён, на каком основании и кто голосовал за это решение. Также отмечается, что продемонстрированный способ рассмотрения жалобы на нарушение кодекса поведения не типичен и, вероятно, жалоба использована лишь как повод для отстранения Сонни Пирса. Например, возникают вопросы, почему некоторые сопровождающие регулярно грубят другим участникам в обсуждениях, но не исключаются из сообщества, в то время как одной жалобы на Сони оказалось достаточно для его удаления.

Роберт Маккуин (Robert McQueen), президент GNOME Foundation, пояснил, что произошедшее является беспрецедентной ситуацией и детали не раскрываются по рекомендации юристов, чтобы ограничить возможную юридическую ответственность Фонда GNOME, а также чтобы защитить людей, вовлечённых в конфликт. Отмечается, что в этом году управляющий совет провёл 15-16 заседаний по этому поводу и уделил большое внимание принятию решения, пытаясь найти баланс между юридическими рисками и моральными обязательствами перед сообществом.

Затягивание объявления об отстранении Сони объясняется намерением исключить влияние решения на выборы нового состава управляющего совета и желанием обеспечить утверждение решения на первом официальном заседании нового совета. На задержку в публикации объявления также повлиял незавершённый процесс разрешения конфликта, в котором организация GNOME Foundation выступила в роли нейтрального посредника (медиатора), помогающего сторонам конфликта достичь приемлемого решения.

Сохранение конфиденциальности при разрешении конфликта и нераскрытие протоколов заседаний не является нарушением, так как устав лишь определяет общие цели Фонда, но не является учредительным документом и не определяет процессы управления организацией. Для вопросов, которые должны рассматриваться в частном порядке, в соответствии с законодательством штата Калифорния, предусмотрена возможность не отображения информации в публичных протоколах.

Сонни Пирс опубликовал заявление о случившемся, в котором упомянул, что процесс и решение шокировали его, но не раскрыл никаких деталей из-за желания защитить людей, вовлечённых в работу над проектом GNOME, ограничившись лишь комментарием, что случившееся не рассматривается им как "межличностный конфликт". Сонни также упомянул об успешном воплощении в жизнь предложений, указанных при выдвижении своей кандидатуры на пост директора. Помимо GNOME Сонни также принимал участие в работе над XMPP и Firefox, и является автором GNOME-приложений Workbench, Tangram и Junction.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61590

Выпуск свободной системы 3D-моделирования Blender 4.2

Среди добавленных улучшений:

• Модернизированы и унифицированы системы дополнений (Add-on) и тем оформления, которые трансформированы в общую концепцию расширений (Extension). Расширения можно легко устанавливать с диска, локального репозитория или сайта extensions.blender.org в режиме Drag & Drop и обновлять прямо из интерфейса Blender (проверка наличия обновлений в репозиториях осуществляется при каждом запуске).
• Включена новая полностью переписанная реализация движка рендеринга EEVEE, поддерживающего физически корректный рендеринг в реальном времени и использующего GPU для визуализации. Новый вариант движка развивается в рамках проекта EEVEE Next и примечателен поддержкой реалистичного рендеринга с использованием глобального освещения (рендеринг с учётом косвенного освещения, отражения и преломления света), смещений (деформация в соответствии с текстурной картой), улучшенного SSS (Subsurface Scattering, имитация рассеяния света внутри полупрозрачных материалов), стабильных дизеринговых объёмных эффектов (dithered volumetric) при навигации по сцене, неограниченного числа BSDF (Bidirectional Scattering Distribution Function) и источников света в сцене и применением эффекта размытия движения во вьюпорте (имитация размытия при быстром движении объектов). EEVEE теперь позволяет автоматически выделять интенсивные источники света внешней среды и обрабатываться их как солнечные лучи, обеспечивая отрисовку более реалистичных теней.
  
  
• В систему рендеринга Cycles внесены изменения, нацеленные на повышение качества и скорости рендеринга. Добавлена новая нода Ray Portal BSDF для переноса лучей на новое место в сцене, что можно использовать, например, для рендеринга порталов. В ноде с принципиальным шейдером BSDF (Principled BSDF) реализована поддержка физически точных эффектов интерференции в тонкой плёнке, например, для реалистичной отрисовки пузырей. Повышено качество устранения шумов и добавлена возможность ускорения операций устранения шумов с привлечением GPU AMD на системах с Linux и Windows.
• Расширены возможности для автоматизации развёртывания и сопровождения сборок Blender в анимационных студиях, а также в изолированных окружениях, не предоставляющих доступ к глобальной сети (используемые скрипты и дополнения могут оформляться в виде отдельных наборов, а для запуска в offline-режиме предусмотрен флаг "--offline-mode").
• Встроена поддержка опубликованной консорциумом Khronos спецификации PBR Neutral Tone Mapper, позволяющей добиться фотореалистичной цветопередачи при рендеринге ассетов.
• Добавлен новый режим для быстрого создания многоугольных фигур - в данном режиме при каждом нажатии на левую кнопку мыши добавляется новая точка многоугольника, а если нажатие совпадает с начальной точкой, фигура замыкается. В режиме скульптурного моделирования жест для создания линии теперь может использоваться для обрезки (Trim), формирования наборов граней (Face Set) и скрытия, а жест свободного выделения "лассо" для скрытия областей.
• Добавлен новый тип сокетов, использующих матрицы и существенно упрощающих преобразования. Также добавлены типовые ноды для работы с матрицами.
  
  
• Повышена интерактивность работы с инструментарием "Node tools", который можно использовать для расширения базовых возможностей Blender и изменения существующих инструментов, используя геометрические ноды вместо скриптов на языке Python. В системе нодов теперь можно использовать информацию о вьюпорте и позиции мыши, добавлена функция применения выбранного оператора только после щелчка мышью. Проведена оптимизация геометрических нод, связанная с использованием многопоточности. В 4-10 раз ускорено выполнение нод для масштабирования элементов, и в 10-20 раз для сэмплировании UV-поверхностей.
  
  
• Улучшен интерфейс нелинейного видеоредактора (Video Sequencer). Для более заметного разделения скруглены углы элементов и увеличены отступы на монтажном столе, утолщены контуры активных и выделенных дорожек. Для корректировки позиции элемента достаточно подвести курсор к краю дорожки или области между дорожками и перемешать мышь, удерживая левую клавишу. Элементы, связанные с несуществующими файлами, теперь выделяются красным цветом и специальной пиктограммой. В текстовых дорожках добавлены дополнительные настройки тени, которые отбрасывает текст.
• Обеспечена совместимость со спецификацией CY2024, определяющей утилиты и библиотеки эталонной платформы VFX. Обновлены версии Python 3.11, OpenEXR 3.2, OpenColorIO 2.3 и OpenSubdiv 3.6.
• Добавлена поддержка привязки своего обработчика экспорта к каждой коллекции, чтобы не выбирать каждый раз формат при повторном экспорте ассетов. Например, можно привязать использование формата glTF к ассетам для игр или формата USD для студийных работ. Настройки экспорта сохраняются в файлах .blend и не сбрасываются между сеансами. Добавлена возможность импорта и экспорта в формате USD моделей волос и импорта облаков точек. В 3-2 раза ускорен процесс проверки мэшей при импорте. Включена проверка мэшей при импорта файлов в форматах USD, OBJ, PLY и STL. Добавлена возможность импорта сразу нескольких файлов Alembic за один раз.
• Добавлены средства для создания переносимых установок, в которых автоматически подхватываются настройки для воссоздания окружения пользователя. Настройки размещаются в каталоге portable, из которого Blender пытается перенести конфигурацию во время запуска.
• В системе постобработки (Compositor) реализована поддержка ускорения с задействованием GPU.
• Значительно повышена производительность графического редактора.
• Во встроенном текстовом редактора обеспечена подсветка синтаксиса языка шейдеров GLSL.
• Оптимизировано оформление различных диалогов и улучшено масштабирование интерфейса.
• В 5 раз ускорено выполнение отката изменений (Undo).
• В пользовательских окружениях на базе протокола Wayland реализована возможность копирования и вставки изображений из буфера обмена.
• На платформе Linux предоставлена поддержка регистрации и удаления файловых ассоциаций, позволяющих вызывать приложение Blender при попытке открытия различных типов файлов.

Выпуск дистрибутива OpenMandriva ROME 24.07

Особенности выпуска:

• По умолчанию задействована среда рабочего стола KDE Plasma 6, сформированная на основе выпусков KDE Plasma 6.1.3, KDE Frameworks 6.4.0, KDE Gears 24.05.2 и Qt 6.7.2. Опционально доступны пакеты и сборки с KDE Plasma 5.27.11, KDE Frameworks 5.116, KDE Gears 23.08.5 и Qt 5.15.14. По умолчанию продолжает использоваться графический стек на базе X11, но отдельно подготовлен iso-образ с KDE Plasma 6 на базе Wayland (поддержка Wayland в KDE отмечена как пока не достаточно зрелая для замены X11 для большинства пользователей).
• Обновлены версии пользовательских окружений LXQt 2.0.0 и GNOME 46.3.
• Компоненты графического стека обновлены до версий Xorg Server 21.1.13, Wayland 1.23.0 и Mesa 24.1.4.
• Обновлены системные компоненты: ядро Linux 6.10.0 (собрано компилятором Clang вместо GCC), systemd 255.7, LLVM/clang 18.1.8, binutils 2.42, gcc 14.1.0, glibc 2.39, Java 22. Инсталлятор обновлён до Calamares 3.3.8.
• Обновлены пользовательские приложения: LibreOffice 24.2.5 (с компонентами для интеграции с Qt 6 и KDE Plasma 6), Falkon 24.05.2, Firefox 128.0, Chromium 126.0.6478.182, QMPlay2 24.06.16, Telegram Desktop 5.1.7, Krita 5.2.3, GIMP 2.10.38, Digikam 8.4.0, SMPlayer 24.5.0, VLC 3.0.21, Virtualbox 7.0.18, VokoscreenNG 4.2.0 и OBS Studio 30.2.0.
• В дополнение к пакету wine в состав включены пакеты proton и proton-experimental, нацеленные на запуск в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam.
• В новый совмещённый интерфейс приветствия входа и настройки системы OM-Welcome встроены модули из старых приложений oma-welcome и om-control-center, что позволяет использовать OM-Welcome в качестве отправной точки для настройки системы и установки популярных дополнительных программ.
• В пакеты Firefox и Chromium включены изменения, отключающие отправку телеметрии на серверы Mozilla и Google. В Chromium задействованы изменения от проекта ungoogled и патчи для добавления поддержки формата JPEG-XL.
• Для систем с графическими картами AMD добавлена поддержка стека AMD ROCm для выноса вычислений на сторону GPU.
• В графический редактор Krita добавлен плагин для AI-генерации графики.
• Предложена функция декларативной сборки RPM-пакетов, реализованная для типовых сборочных систем, среди которых cmake, meson, autotools и Python setuptools/pip. Новая функция позволяет свести инструкции по сборке и установке многих пакетов к простейшим параметрам, таким как "BuildSystem: cmake".
• Ведётся портирование OpenMandriva для архитектуры RISC-V, сборки для которой планируют начать публиковать в следующем выпуске.