The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·30.06 Выпуск языка программирования Rust 1.62 (18)
  Опубликован релиз языка программирования общего назначения Rust 1.62, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

Обсуждение (18) | Тип: Программы |


·30.06 Packj - инструментарий для выявления вредоносных библиотек на языках Python и JavaScript (25 +3)
  Разработчики платформы Packj, анализирующей безопасность библиотек, опубликовали открытый инструментарий командной строки, позволяющий выявлять рискованные конструкции в пакетах, которые могут быть связаны с реализацией вредоносной активности или наличием уязвимостей, применяемых для совершения атак на проекты, использующие рассматриваемые пакеты ("supply chain"). Поддерживается проверка пакетов на языках Python и JavaScript, размещённых в каталогах PyPi и NPM (в этом месяце также планируют добавить поддержку Ruby и RubyGems). Код инструментария написан на языке Python и распространяется под лицензией AGPLv3.

В ходе анализа 330 тысяч пакетов при помощи предложенного инструментария в репозитории PyPi было выявлено 42 вредоносных пакета c бэкдорами и 2.4 тысячи рискованных пакетов. В процессе обследования выполняется статический анализ кода для выявления особенностей API и оценивается наличие известных уязвимостей, отмеченных в БД OSV. Для анализа API применяется пакет MalOSS. Код пакетов анализируется на предмет наличия типовых шаблонов, обычно применяемых во вредоносном ПО. Шаблоны подготовлены на основе изучения 651 пакетов с подтверждённой вредоносной активностью.

Также выявляются атрибуты и метаданные, приводящие к повышению риска нецелевого использования, такие как выполнение блоков через "eval" или "exec", формирование нового кода во время работы, использование техник запутывания и скрытия кода (obfuscated), манипуляции с переменными окружения, нецелевой доступ к файлам, обращение к сетевым ресурсам в сценариях установки (setup.py), использование тайпсквотинга (назначение имён, похожих на названия популярных библиотек), выявление устаревших и заброшенных проектов, указание несуществующих email и сайтов, отсутствие публичного репозитория с кодом.

Дополнительно можно отметить выявление другими исследователями безопасности пяти вредоносных пакетов в репозитории PyPi, которые отправляли на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции: loglib-modules (преподносилась как модули к легитимной библиотеке loglib), pyg-modules, pygrata и pygrata-utils (преподносились как дополнения к легитимной библиотеке pyg) и hkg-sol-utils.

  1. Главная ссылка к новости
  2. OpenNews: Перехвачен контроль над Python-пакетом ctx и PHP-библиотекой phpass (дополнено)
  3. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  4. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
  5. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
  6. OpenNews: В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
Обсуждение (25 +3) | Тип: Программы |


·30.06 Прогресс в разработке компилятора для языка Rust на базе GCC (164 +1)
  В списке рассылки разработчиков набора компиляторов GCC опубликован отчёт о состоянии проекта Rust-GCC, развивающего GCC-фронтэнд gccrs с реализацией компилятора языка Rust на базе GCC. До ноября этого года планируется довести gccrs до возможности сборки кода, поддерживаемого компилятром Rust 1.40, и добиться успешной компиляции и использования штатных Rust-библиотек libcore, liballoc и libstd. В следующие после этого 6 месяцев планируется реализовать проверку заимствования переменных (borrow checker) и поддержку пакета proc_macro.

Также началась подготовительная работа к включению gccrs в основной состав GCC. В случае принятия gccrs в GCC, инструментарий GCC сможет использоваться для компиляции программ на языке Rust без необходимости установки компилятора rustc. В качестве одного из критериев начала интеграции называется успешная компиляция официального тестового набора и реальных проектов на Rust. Отмечается, что не исключено, что разработчики успеют добиться намеченной цели в рамках цикла подготовки текущей экспериментальной ветки GCC и gccrs будет включён в состав выпуска GCC 13, намеченного на май следующего года.

  1. Главная ссылка к новости
  2. OpenNews: Для GCC подготовлен фронтэнд с поддержкой языка Rust, развиваемого проектом Mozilla
  3. OpenNews: Релиз набора компиляторов GCC 12
  4. OpenNews: Шестая версия патчей для ядра Linux с поддержкой языка Rust
  5. OpenNews: Выпуск языка программирования Rust 1.61
  6. OpenNews: Линус Торвальдс не исключил возможность интеграции поддержки Rust в ядро Linux 5.20
Обсуждение (164 +1) | Тип: Программы |


·29.06 Двадцать третье обновление прошивки Ubuntu Touch (49 +11)
  Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-23 (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri.

Обновление Ubuntu Touch OTA-23 сформировано для смартфонов BQ E4.5/E5/M10/U Plus, Cosmo Communicator, F(x)tec Pro1, Fairphone 2/3, Google Pixel 2XL/3a, Huawei Nexus 6P, LG Nexus 4/5, Meizu MX4/Pro 5, Nexus 7 2013, OnePlus 2/3/5/6/One, Samsung Galaxy Note 4/S3 Neo+, Sony Xperia X/XZ/Z4, Vollaphone, Xiaomi Mi A2/A3, Xiaomi Poco F1, Xiaomi Redmi 3s/3x/3sp/4X/7, Xiaomi Redmi Note 7/7 Pro. Отдельно, без метки "OTA-23", будут подготовлены обновления для устройств Pine64 PinePhone и PineTab. По сравнению с прошлой версией добавлена поддержка смартфонов Asus Zenfone Max Pro M1, Xiaomi Poco M2 Pro, Google Pixel 2 и Google Pixel 3a XL.

Ubuntu Touch OTA-23 по-прежнему основан на Ubuntu 16.04, но в последнее время усилия разработчиков сосредоточены на подготовке к переходу на Ubuntu 20.04. Из изменений в OTA-23 отмечается:

  • Реализована начальная поддержка FM-радио, которую пока можно использовать только на устройствах BQ E4.5, BQ E5 и Xiaomi Note 7 Pro (спектр поддерживаемых устройств будет расширен в следующих выпусках).
  • В приложении для обмена сообщениями улучшена обработка MMS для больших вложений и отключено вырезание спецсимволов "&", "<" и ">" из текстовых сообщений.
  • В медиапроигрывателе появилась поддержка аппаратного ускорения декодирования видео на планшете Jingpad A1.
  • Предоставлена возможность использования протокола Aethercast для подключения к внешним экранам по беспроводному соединению.
  • На всех устройствах обеспечено быстрое гашение и включение экрана, не зависящее от окружающего освещения, что позволяет быстрее получить доступ к устройству и защищает от совершения случайных звонков из-за убирания в карман ещё не отключившегося телефона.

  1. Главная ссылка к новости
  2. OpenNews: Двадцать второе обновление прошивки Ubuntu Touch
  3. OpenNews: Выпуск пользовательской оболочки Unity 7.6.0
  4. OpenNews: Выпуск дисплейного сервера Mir 2.7
  5. OpenNews: Двадцать первое обновление прошивки Ubuntu Touch
  6. OpenNews: Проект Waydroid развивает пакет для запуска Android в дистрибутивах GNU/Linux
Обсуждение (49 +11) | Тип: Программы |


·29.06 Релиз фреймворка для реверс-инжиниринга Rizin 0.4.0 и GUI Cutter 2.1.0 (12 +8)
  Состоялся релиз фреймворка для реверс-инжиниринга Rizin и связанной с ним графической оболочки Cutter. Проект Rizin начался как форк фреймворка Radare2 и продолжил его развитие с уклоном на удобный API и фокусом на анализ кода без форензики. С момента форка проект перешел на принципиально отличный механизм сохранения сессии ("проектов") в виде состояния на базе сериализации. Кроме того, кодовая база значительно переработана в сторону удобства сопровождения. Код проекта написан на языке Си и распространяется под лицензией LGPLv3.

Графическая оболочка Cutter написана C++ с использованием Qt и распространяется под лицензией GPLv3. Cutter, как и сам Rizin, нацелен на процесс обратной разработки программ в машинном коде или байткоде (например JVM или PYC). Для Cutter/Rizin существуют плагины декомпиляции на основе Ghidra, JSdec и RetDec.

В новом выпуске:

  • Добавлена поддержка создания сигнатур FLIRT, которые потом могут быть загружены в IDA Pro;
  • В поставку включена база стандартных сигнатур для популярных библиотек;
  • Улучшено распознавание функций и строк исполняемых файлов на Go для x86/x64/PowerPC/MIPS/ARM/RISC-V;
  • Реализован новый язык промежуточного представления RzIL на базе BAP Core Theory (SMT-подобный язык);
  • Добавлена возможность авто-определения базового адреса для «сырых» файлов;
  • Реализована поддержка загрузки в отладочном режиме «слепков» памяти на базе Windows PageDump/Minidump форматов;
  • Улучшена работа с удаленными отладчиками на базе WinDbg/KD.
  • На данный момент на новый RzIL переведена поддержка архитектур ARMv7/ARMv8, AVR, 6052, brainfuck. К следующему релизу планируется завершить перевод для SuperH, PowerPC и частично x86.

Также дополнительно выпущены:

  • rz-libyara – плагин для Rizin/Cutter для поддержки загрузки и создания сигнатур в формате Yara;
  • rz-libdemangle – библиотека расшифровки имён функций для языков C++/ObjC/Rust/Swift/Java;
  • rz-ghidra – плагин для Rizin/Cutter для декомпиляции (на базе C++ кода Ghidra);
  • jsdec – плагин для Rizin/Cutter для декомпиляции оригинальной разработки;
  • rz-retdec – плагин для Rizin/Cutter для декомпиляции (на базе RetDec);
  • rz-tracetest – утилита перекрёстной проверки корректности трансляции машинного кода в RzIL путём сравнения с трассой эмуляции (на базе QEMU, VICE).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга бинарных файлов
  3. OpenNews: HAL - IDE для реверс-инжиниринга цифровых электронных схем
  4. OpenNews: Инициатива по форсированию разработки фреймворка для обратного инжиниринга radare2
  5. OpenNews: Вышел язык спецификации бинарных форматов Kaitai Struct 0.5
  6. OpenNews: Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP
Обсуждение (12 +8) | Автор: dukebarman | Тип: Программы |


·29.06 Увидел свет CODE 22.05, дистрибутив для развёртывания LibreOffice Online (84 +13)
  Компания Collabora опубликовала выпуск платформы CODE 22.05 (Collabora Online Development Edition), предлагающей специализированный дистрибутив для быстрого развёртывания LibreOffice Online и организации совместной удалённой работы с офисным пакетом через Web для достижения функциональности, похожей на Google Docs и Office 365. Дистрибутив оформлен в виде преднастроенного контейнера для системы Docker и также доступен в виде пакетов для популярных дистрибутивов Linux. Используемые в продукте наработки размещаются в общедоступных репозиториях LibreOffice, LibreOfficeKit, loolwsd (Web Services Daemon) и loleaflet (web-клиент). Наработки, предложенные в версии CODE 22.05, войдут в состав штатного LibreOffice.

CODE включает все компоненты, необходимые для работы сервера LibreOffice Online и предоставляет возможность быстрого запуска и ознакомления с текущим состоянием развития редакции LibreOffice для Web. Через web-браузер поддерживается работа с документами, электронными таблицами и презентациями, в том числе возможность совместной работы нескольких пользователей, которые могут одновременно вносить изменения, оставлять комментарии и отвечать на вопросы. Вклад, текущие правки и позиции курсоров каждого пользователя выделяются разными цветами. Для организации облачного хранения документов могут использоваться системы Nextcloud, ownCloud, Seafile и Pydio.

Отображаемый в браузере интерфейс редактирования формируется с использованием штатного движка LibreOffice и позволяет добиться полностью идентичного отображения структуры документа с версией для настольных систем. Интерфейс выводится при помощи HTML5-бэкенда библиотеки GTK, предназначенного для отрисовки вывода GTK-приложений в окне web-браузера. Для вычислений, мозаичной отрисовки и многослойной компоновки документа применяется штатный LibreOfficeKit. Для организации серверного взаимодействия с браузером, передачи изображений с частями интерфейса, организации кэширования кусочков изображений и работы с хранилищем документов задействован специальный Web Services Daemon.

Основные изменения:

  • Добавлена возможность использования внешних дополнений для проверки грамматики, орфографии, пунктуации и стиля. Добавлена поддержка дополнения LanguageTool.
  • В табличном процессоре Calc реализована возможность работы с электронными таблицами, насчитывающими до 16 тысяч столбцов (ранее документы не могли включать более 1024 столбцов). Число строк в документе может достигать миллиона. Улучшена совместимость с файлами, подготовленными в Excel. Повышена производительность обработки больших электронных таблиц.
  • Добавлена возможность встраивания в электронные таблицы спарклайнов (Sparkline) - мини-диаграмм с отображением динамики изменения серии значений. Отдельная диаграмма может быть связана только с одной ячейкой, но разные диаграммы могут группироваться друг с другом.
  • Добавлена поддержка формата изображений Webp, который может быть использован для вставки картинок в документы, электронные таблицы, презентации и рисунки Draw.
  • Реализован виджет с интерфейсом ввода формул, работающий на стороне клиента и написанный на чистом HTML.
  • В Writer добавлена возможность встраивания в документы элементов заполнения форм, совместимых с форматом DOCX. Поддерживается обработка таких элементов, как выпадающие списки для выбора значений, флажки, блоки выбора даты, кнопки для вставки изображений.
  • Реализована система дельта-обновлений элементов интерфейса, позволившая существенно повысить производительность и снизить трафик (до 75%). Интерфейс в LibreOffice Online формируется на сервере и выводится при помощи HTML5-бэкенда библиотеки GTK, по сути транслирующего готовые изображения в браузер (применяется мозаичная компоновка, при которой документ разбивается на ячейки и при изменении связанной с ячейкой части документа, новое изображение ячейки формируется на сервере и отправляется клиенту). Реализованная оптимизация позволяет передавать только информацию об изменении содержимого ячейки, по сравнению с её прошлым состоянием, что более эффективно для ситуаций, когда меняется лишь небольшая часть связанного с ячейкой содержимого.
  • Улучшены возможности многопользовательского редактирования.
  • Реализована поддержка динамической настройки нескольких хостов, обеспечивающих работу дополнительных компонентов, интегрированных с основным сервером Collabora Online.
  • Ускорено выполнение поворота растровой графики.

  1. Главная ссылка к новости
  2. OpenNews: Доступен CODE 6.4, дистрибутив для развёртывания LibreOffice Online
  3. OpenNews: Представлен серверный вариант LibreOffice, работающий через web-браузер
  4. OpenNews: Kolab и Collabora объединили усилия в создании облачного варианта LibreOffice
  5. OpenNews: Вариант LibreOffice, скомпилированный в WebAssembly и работающий в web-браузере
  6. OpenNews: Collabora и ownCloud представили CODE, дистрибутив для развёртывания LibreOffice Online
Обсуждение (84 +13) | Тип: Программы |


·29.06 Доступна мобильная платформа KDE Plasma Mobile 22.06 (54 +11)
  Опубликован выпуск мобильной платформы KDE Plasma Mobile 22.06, основанной на мобильной редакции рабочего стола Plasma 5, библиотеках KDE Frameworks 5, телефонном стеке ModemManager и коммуникационном фреймворке Telepathy. Для вывода графики в Plasma Mobile используется композитный сервер kwin_wayland, а для обработки звука применяется PulseAudio. Одновременно подготовлен выпуск набора мобильных приложений Plasma Mobile Gear 22.06, формируемого по аналогии с набором KDE Gear. Для создания интерфейса приложений применяется Qt, набор компонентов Mauikit и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК.

В состав входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, просмотрщик документов Okular, музыкальный проигрыватель VVave, просмоторщики изображений Koko и Pix, система ведения заметок buho, календарь-планировщик calindori, файловый менеджер Index, менеджер приложений Discover, программа для отправки SMS Spacebar, адресная книга plasma-phonebook, интерфейс для осуществления телефонных вызовов plasma-dialer, браузер plasma-angelfish и мессенджер Spectral.

В новой версии:

  • В мобильную оболочку перенесены изменения, подготовленные в выпуске KDE Plasma 5.25.
  • В интерфейсе для переключения между запущенными приложениями (Task Switcher) включена по умолчанию сортировка приложений по порядку их открытия, а не в алфавитном порядке. Код для предпросмотра эскизов выполняемых задач переведён на использование компонента KPipewire.
  • Расширены возможности выпадающей панели быстрых настроек (Action Drawer), в которой появилась поддержка разделения настроек на страницы, что позволяет увеличить число доступных опций. Также добавлен компонент для прокрутки текстовых меток, который позволяет прикреплять более длинные текстовые описания настроек, размер которых превышает ширину блока. Добавлена возможность быстрого вызова панели быстрых настроек через скользящий жест из угла экрана. В интегрированный в панель виджет управления воспроизведением добавлена возможность управления несколькими источниками мультимедийного контента. Добавлена кнопка для быстрой настройки захвата экрана.
  • В панели навигации добавлен эффект дрожания при касании к кнопкам для более осязаемой обратной реакции. Предоставлена возможность быстрого переключения между приложениями жестом, сдвигающим содержимое влево или вправо.
  • Хранитель экрана переведён на интерфейс kscreenlocker 3, позволяющий реализовать беспарольный вход.
  • В стилевом оформлении Breeze повышена производительность отрисовки теней у кнопок и различных управляющих элементов, что позволяет использовать тени на маломощных устройствах, на которых они ранее были отключены.
  • Диалог настройки виджета с прогнозом погоды переведён на компоненты Kirigami.
  • В конфигуратор добавлены настройки для сокращения использования анимации и отключения показа эскизов запущенных задач для более комфортной работы на маломощных устройствах.
  • Переделан интерфейс музыкального проигрывателя AudioTube.
  • В программе для прослушивания подкастов Kasts полностью переписан код для обновления подкастов, проведена оптимизация для работы на небольших экранах в портретном и ландшафтном режимах, добавлена возможность извлечения изображений из тегов id3v2tag, обеспечено построение очереди воспроизведения эпизодов в хронологическом порядке, добавлена поддержка синхронизации с собственными серверами GPodder.
  • В Tokodon, клиенте к децентрализованной микроблогинговой платформе Mastodon, добавлена базовая поддержка вывода уведомлений и сервиса Nextcloud Social.

  1. Главная ссылка к новости
  2. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 22.04
  3. OpenNews: Релиз пользовательского окружения KDE Plasma 5.25
  4. OpenNews: Выпуск KDE Gear 22.04, набора приложений от проекта KDE
  5. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 22.02
  6. OpenNews: Доступен для предзаказа смартфон PinePhone Pro, поставляемый с KDE Plasma Mobile
Обсуждение (54 +11) | Тип: Программы |


·29.06 Релиз текстового редактора Vim 9.0 (214 +22)
  После двух с половиной лет разработки состоялся релиз текстового редактора Vim 9.0. Код Vim распространяется под собственной копилефт лицензией, совместимой с GPL и позволяющей без ограничений использовать, распространять и перерабатывать код. Основная особенность лицензии Vim связана с возвратом изменений - реализованные в сторонних продуктах улучшения должны быть переданы в исходный проект, если мэйнтейнер Vim посчитает эти улучшения заслуживающими внимания и отправит соответствующий запрос. По типу распространения Vim относится к Сharityware, т.е. вместо продажи программы или сбора пожертвований на нужды проекта авторы Vim просят перечислить любую сумму на благотворительность, если программа понравится пользователю.

В Vim 9 предложен новый язык разработки скриптов и плагинов - Vim9 Script, предоставляющий синтаксис, близкий к JavaScript, TypeScript и Java. Новый синтаксис проще для освоения новичками, но обратно не совместим со старым языком сценариев. При этом поддержка ранее используемого языка и совместимость с существующими плагинами и скриптами полностью сохранена - старый и новый языки поддерживаются параллельно. Прекращение поддержки старого языка не планируется.

Кроме переработки синтаксиса в Vim9 Script реализована поддержка компилируемых функций, позволяющих существенно увеличить производительность. В проведённых тестах компилируемые в байткод функции позволили увеличить скорость выполнения скриптов в 10-100 раз. Кроме того, в Vim9 Script прекращена обработка аргументов функций в виде ассоциативных массивов, приводившая к большим накладным расходам. Функции теперь определяются при помощи выражения "def" и требуют явного указания перечня аргументов и возвращаемых типов. Переменные определяются при помощи выражения "var" с явным указание типа.

Разделение выражений на несколько строк теперь не требует использования обратного слэша. Полностью переделан механизм обработки ошибок. Для запуска функций не требуется указание ключевого слова "call", а для присвоений значений "let". Упрощено создание модулей - добавлена возможность экспортировать отдельные функции и переменные для использования в других файлах. Комментарии отделяются символом "#" вместо двойных кавычек. В будущих выпусках намечена реализация поддержки классов.

Среди других изменений:

  • В состав включён набор цветовых схем.
  • Улучшена поддержка проверки правописания и автодополнения ввода.
  • Добавлены новые настройки: 'autoshelldir', 'cdhome', 'cinscopedecls', 'guiligatures', 'mousemoveevent', 'quickfixtextfunc', 'spelloptions', 'thesaurusfunc', 'xtermcodes'.
  • Добавлены новые команды: argdedupe, balt, def, defcompile, disassemble, echoconsole, enddef, eval, export, final, import, var и vim9script.
  • Предоставлена возможность открытия терминала во всплывающем окне (popup-terminal) и выбора цветового оформления терминала.
  • Добавлен канальный режим взаимодействия с сервером LSP (Language Server Protocol).
  • Добавлена поддержка операционной системы Haiku.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Neovim 0.7.0, модернизированного варианта редактора Vim
  3. OpenNews: Представлен Vim9, форк Vim для экспериментов с оптимизацией скриптов
  4. OpenNews: Релиз текстового редактора Vim 8.2
  5. OpenNews: Уязвимость в Vim, приводящая к выполнению кода при открытии вредоносного файла
  6. OpenNews: Выпуск SpaceVim 1.1, дистрибутива редактора Vim
Обсуждение (214 +22) | Тип: Программы |


·29.06 Выпуск почтового клиента Thunderbird 102 (141 +12)
  Спустя год после публикации прошлого значительного выпуска опубликован релиз почтового клиента Thunderbird 102, развиваемого силами сообщества и основанного на технологиях Mozilla. Новый выпуск отнесён к категории версий с длительным сроком поддержки, обновления для которых выпускаются в течение года. Thunderbird 102 основан на кодовой базе ESR-выпуска Firefox 102. Выпуск доступен только для прямой загрузки, автоматическое обновление с прошлых выпусков до версии 102.0 не предоставляется и будет сформировано только в версии 102.2.

Основные изменения:

  • Встроен клиент для системы децентрализованных коммуникаций Matrix. Реализация поддерживает такие расширенные возможности, как сквозное шифрование, отправка приглашений, отложенная загрузка участников и редактирование отправленных сообщений.
  • Добавлен новый мастер импорта и экспорта профилей пользователя, поддерживающий перенос сообщений, настроек, фильтров, адресной книги и учётных записей из различных конфигураций, в том числе обеспечивающий миграцию с Outlook и SeaMonkey. Новый мастер реализован в виде отдельной вкладки. Во вкладку импортирования данных добавлена возможность экспорта текущего профиля.
  • Предложена новая реализация адресной книги с поддержкой vCard. Предоставлена возможность импорта адресной книги в формате SQLite, а также импорта в формате CSV с разделителем ";".
  • Добавлена боковая панель Spaces с кнопками для быстрого переключения между режимами работы программы (email, адресная книга, календарь, чат, дополнения).
  • Предоставлена возможность вставки эскизов для предпросмотра содержимого ссылок в письмах. При добавлении ссылки в процессе написания письма теперь вводится предложение добавить для ссылки эскиз связанного с ней содержимого, который увидит получатель.
  • Вместо мастера добавления новой учётной записи при первом запуске обеспечен вывод сводного экрана с перечнем возможных начальных действий, таких как настройка существующей учётной записи, импорт профиля, создание нового email, настройка календаря, чата и ленты новостей.
  • Обновлены пиктограммы и предложены цветные почтовые папки. Проведена общая модернизация интерфейса.
  • Изменено оформление заголовков писем. Выводимое в заголовке содержимое может быть настроено пользователем, например, можно добавить или скрыть показ аватаров и полного email-адреса, увеличить размер поля с темой письма и добавить текстовые метки рядом с кнопками. Также предоставлена возможность пометки звёздочкой важных сообщений непосредственно из области с заголовком письма.
  • В контекстное меню интерфейса для редактирования писем добавлен пункт для выделения сразу всех сообщений.
  • В новых профилях по умолчанию включён древовидный режим просмотра сообщений.
  • Предоставлена возможность подключения к учётной записи чатов Google Talk при помощи протокола OAuth2.
  • Добавлена настройка print.prefer_system_dialog, позволяющая использовать штатный системный диалог вывода на печать, без предпросмотра.
  • Добавлена настройка mail.compose.warn_public_recipients.aggressive для более агрессивного уведомления об указании в письме большого числа получателей.
  • Добавлена поддержка выбора одновременно нескольких языков для проверки правописания.
  • Расширена поддержка OpenPGP. В окне составления сообщения реализован индикатор истечения времени действия OpenPGP-ключей получателя. Обеспечено автосохранение и кэширование открытых ключей OpenPGP из вложений и заголовков. Переработан и включён по умолчанию интерфейс управления ключами. В состав включены утилиты командной строки для отладки работы OpenPGP. В меню добавлен пункт для выполнения расшифровки OpenPGP-сообщений в отдельную папку.

  1. Главная ссылка к новости
  2. OpenNews: Проект K-9 Mail перейдёт под крыло Thunderbird и станет основой Thunderbird для Android
  3. OpenNews: Бета-выпуск почтового клиента Thunderbird 102
  4. OpenNews: Финансовые показатели Thunderbird за 2021 год. Подготовка выпуска Thunderbird 102
  5. OpenNews: Выпуск почтового клиента Thunderbird 91
  6. OpenNews: Релиз Firefox 102
Обсуждение (141 +12) | Тип: Программы |


·29.06 Релиз BitTorrent-клиента Deluge 2.1 (68 +14)
  Спустя три года с момента формирования прошлой значительной ветки опубликован релиз многоплатформенного BitTorrent-клиента Deluge 2.1, написанного на языке Python (используется фреймворк Twisted), базирующегося на libtorrent и поддерживающего несколько видов интерфейса пользователя (GTK, web-интерфейс, консольный вариант). Код проекта распространяется в рамках лицензии GPL.

Deluge работает в клиент-серверном режиме, при котором пользовательская оболочка выполняется в виде отдельного процесса, а всеми BitTorrent-операциями управляет отдельный демон, который может быть запущен на удалённом компьютере. Среди особенностей приложения можно отметить поддержку DHT (распределённая хэш таблица), UPnP, NAT-PMP, PEX (Peer Exchange), LSD (Local Peer Discovery), возможность применения шифрования для протокола и работы через прокси, совместимость с WebTorrent, возможность выборочного ограничения скорости для определённых torrent-ов, режим последовательной загрузки.

Среди изменений в новом выпуске:

  • Прекращена поддержка Python 2. Оставлена возможность работы только при наличии Python 3.
  • Повышены требования к библиотеке libtorrent, для сборки теперь требуется как минимум версия 1.2. Проведена чистка кодовой базы от использования устаревших функций libtorrent.
  • Добавлена поддержка пиктограмм трекеров в формате SVG.
  • Обеспечено скрытие паролей в логах.
  • Реализована опциональная поддержка модуля pygeoip для привязки IP-адреса к местоположению.
  • Добавлена возможность использования IPv6 в списках хостов.
  • Добавлен сервис для systemd.
  • В GTK-интерфейсе в меню реализована опция для копирования magnet-ссылки.
  • На платформе Windows по умолчанию отключено декорирование окон на стороне клиента (CSD).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск qBittorrent 4.4 с поддержкой протокола BitTorrent v2
  3. OpenNews: BitTorrent-клиент Transmission переходит с Си на Си++
  4. OpenNews: Выпуск libtorrent 2.0 с поддержкой протокола BitTorrent 2
  5. OpenNews: Релиз BitTorrent-клиента Deluge 2.0
  6. OpenNews: В libtorrent добавлена поддержка протокола WebTorrent
Обсуждение (68 +14) | Тип: Программы |


·28.06 Релиз Firefox 102 (158 +18)
  Состоялся релиз web-браузера Firefox 102. Выпуск Firefox 102 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Кроме того, сформировано обновление прошлой ветки с длительным сроком поддержки 91.11.0 (в дальнейшем ожидается ещё два обновления 91.12 и 91.13). На стадию бета-тестирования в ближайшие часы будет переведена ветка Firefox 103, релиз которой намечен на 26 июля.

Основные новшества в Firefox 102:

  • Предоставлена возможность отключения автоматического открытия панели с информацией о загружаемых файлах при начале каждой новой загрузки.
  • Добавлена защита от отслеживания перехода на другие страницы через выставление параметров в URL. Защита сводится к удалению из URL параметров, используемых для отслеживания, по отдельно поддерживаемому чёрному списку (например, удаляются параметры mc_eid и fbclid, применяемые при переходе по ссылкам со страниц Facebook). Отслеживающие параметры вырезаются как при переходе по ссылке на странице, так и при открытии ссылки в адресной строке. Чистка URL активируется при включении в настройках строгого режима блокировки нежелательного контента (Enhanced Tracking Protection -> Strict) или при открытии сайта в режиме приватного просмотра. Выборочно чистку также можно включить через параметр privacy.query_stripping.enabled в about:config.
  • Функции декодирования звука вынесены в отдельный процесс с более строгой sandbox-изоляцией.
  • В режиме "картинка в картинке" обеспечен показ субтитров, при просмотре видео с сайтов HBO Max, Funimation, Dailymotion, Tubi, Disney+ Hotstar и SonyLIV. Ранее субтитры показывались только для YouTube, Prime Video, Netflix и сайтов, использующих формат WebVTT (Web Video Text Track).
  • На платформе Linux предоставлена возможность использования DBus-сервиса Geoclue для определения местоположения.
  • Улучшен просмотр PDF-документов в режиме высокого контраста.
  • В интерфейсе для web-разработчиков во вкладке Style Editor появилась поддержка фильтрации таблиц стилей по имени.
  • В API Streams добавлен класс TransformStream и метод ReadableStream.pipeThrough, которые можно использовать для создания и передачи данных в форме потока (pipe) между ReadableStream и WritableStream, с возможностью вызова обработчика для преобразования потока для каждого блока.
  • В API Streams добавлены классы ReadableStreamBYOBReader, ReadableByteStreamController и ReadableStreamBYOBRequest для эффективной прямой передачи бинарных данных в обход внутренних очередей.
  • Намечено для удаления нестандартное свойство Window.sidebar, предоставляемое только в Firefox.
  • Обеспечена интеграция CSP (Content-Security-Policy) c WebAssembly, что позволяет применять ограничения CSP и для WebAssembly. Теперь документ, для которого через CSP запрещается выполнение скриптов, не сможет запустить байткод WebAssembly, если не выставлен параметр 'unsafe-eval' или 'wasm-unsafe-eval'.
  • В CSS в медиа-запросах реализовано свойство update, позволяющее привязаться к частоте обновления информации, поддерживаемой устройством вывода (например, значение "slow" выставляется для экранов электронных книг, "fast" для обычных экранов, а "none" при выводе на печать).
  • Для дополнений, поддерживающих вторую версию манифеста, предоставлен доступ к API Scripting, позволяющем запускать скрипты в контексте сайтов, подставлять и удалять CSS, а также управлять регистрацией скриптов обработки контента.
  • В Firefox для Android при заполнении форм с данными кредитной карты обеспечен вывод отдельного запроса на сохранение введённой информации для системы автозаполнения форм. Устранена проблема, приводившая к аварийному завершению при открытии экранной клавиатуры, если в буфере обмена содержится большая порция данных. Решена проблема с остановкой Firefox при переключении между приложениями.

Кроме новшеств и исправления ошибок в Firefox 102 устранены 22 уязвимости, из которых 5 помечены как опасные. Уязвимость CVE-2022-34479 позволяет на платформе Linux вывести всплывающее окно, перекрывающее адресную строку (может использоваться для симуляции фиктивного интерфейса браузера, вводящего пользователя в заблуждение, например, для фишинга). Уязвимость CVE-2022-34468 позволяет обойти ограничения CSP, запрещающие выполнение JavaScript-кода в iframe, через подстановку ссылок URI "javascript:". 5 уязвимостей (сведены под CVE-2022-34485, CVE-2022-34485 и CVE-2022-34484) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

  1. Главная ссылка к новости
  2. OpenNews: Релиз Firefox 101
  3. OpenNews: Усиление требований Mozilla к удостоверяющим центрам
  4. OpenNews: В Firefox началось тестирование третьей версии манифеста Chrome
  5. OpenNews: В Firefox включена по умолчанию поддержка аппаратного ускорения видео для Linux-систем с Mesa
  6. OpenNews: В Firefox по умолчанию включён режим полной изоляции Cookie
Обсуждение (158 +18) | Тип: Программы |


·28.06 Доступна операционная система Chrome OS 103 (94 –7)
  Доступен релиз операционной системы Chrome OS 103, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 103. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 103 доступна для большинства актуальных моделей Chromebook. Исходные тексты распространяются под свободной лицензией Apache 2.0. Кроме того, продолжается тестирование Chrome OS Flex, редакции для Chrome OS использования на обычных компьютерах. Энтузиастами также формируются неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM.

Основные изменения в Chrome OS 103:

  • В состав включено новое приложение Screencast, позволяющее записывать и просматривать видеоролики, отражающие содержимое экрана. Создаваемые ролики можно использовать для демонстрации проделанной работы, иллюстрации возникших идей или подготовки обучающих материалов. Записываемые действия можно снабжать речевыми пояснениями, которые автоматически преобразуются в текст для упрощения поиска и навигации. Программа также предоставляет инструменты для кадрирования записанных материалов, загрузки на Google Drive и отправки другим пользователям.

  • Реализован режим быстрого сопряжения по Bluetooth, который доступен для устройств, поддерживающих механизм Fast Pair, таких как наушники Pixel Buds. Устройства с поддержкой Fast Pair автоматически определяются и могут быть подключены нажатием одной кнопки во всплывающем уведомлении без необходимости перехода в раздел настроек. Устройства также могут быть привязаны к учётной записи Google для упрощения использования с разными устройствами пользователя на базе Chrome OS и Android.
  • В функции Nearby Share, позволяющей быстро и безопасно обмениваться файлами между находящимися поблизости устройствами, появилась возможность отправки из Android-устройств учётных данных для подключения к беспроводной сети устройства на базе Chrome OS. После принятия пользователем отправленных данных устройство автоматически использует полученные учётные данные для подключения к Wi-Fi.
  • Расширены возможности Phone Hub, центра управления смартфоном, позволяющего с устройства Chromebook выполнять типовые действия со смартфоном на базе платформы Android, такие как просмотр поступающих сообщений и уведомлений, контроль за уровнем заряда аккумулятора, доступ к настройкам точки доступа (hotspot), определение местоположения смартфона. В новой версии предоставлен доступ к списку недавно снятых на смартфон фотографий, которые можно использовать в различных приложениях Chrome OS без предварительной ручной загрузки.
  • В панели приложений (Launcher) добавлена поддержка поиска ярлыков устройств и открытых в браузере вкладок.
  • Разделены настройки, связанные с синхронизацией данных браузера и системы. Таким образом, в системных настройках теперь не показываются такие параметры, как синхронизация закладок и вкладок, а в настройках браузера не упоминается синхронизация приложений и обоев рабочего стола.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Chrome OS 102, который отнесён к категории LTS
  3. OpenNews: В Chrome OS появилась возможность запуска игр, распространяемых через Steam
  4. OpenNews: Google представил Chrome OS Flex, пригодный для установки на любое оборудование
  5. OpenNews: Google продлил до 8 лет время поддержи устройств на базе ChromeOS
  6. OpenNews: Релиз Chrome 103
Обсуждение (94 –7) | Тип: Программы |


·28.06 Выпуск системы управления исходными текстами Git 2.37 (67 +4)
  Представлен выпуск распределенной системы управления исходными текстами Git 2.37. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям "задним числом" используются неявное хеширование всей предыдущей истории в каждом коммите, также возможно удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов.

По сравнению с прошлым выпуском в новую версию принято 395 изменений, подготовленные при участии 75 разработчиками, из которых 20 впервые приняли участие в разработке. Основные новшества:

  • Доведён до готовности к повсеместному использованию механизм частичных индексов (sparse index), охватывающих лишь часть репозитория. Частичные индексы позволяют повысить производительность и сэкономить место в репозиториях, в которых выполняются операции частичного клонирования (sparse-checkout) или осуществляется работа с неполной копией репозитория. В новом выпуске завершена работа по интеграции частичных индексов в команды "git show", "git sparse-checkout" и "git stash". Наиболее заметный выигрыш в производительности от использования частичных индексов наблюдается в команде "git stash", скорость выполнения которой в некоторых ситуациях возросла на 80%.
  • Реализован новый механизм "cruft packs" для упаковки недостижимых объектов (unreachable), на которые в репозитории отсутствуют ссылки (не ссылаются ветки или теги). Недостижимые объекты удаляются сборщиком мусора, но до удаления определённое время остаются в репозитории для исключения состояний гонки. Для отслеживания периода нахождения недостижимых объектов необходима привязка к ним меток с временем изменения подобных объектов, что не позволяет хранить их в одном pack-файле, в котором все объекты имеют общее время изменения. Ранее применяемое сохранение каждого объекта в отдельном файле приводило к проблемам при наличии большого числа свежих недостижимых объектов, ещё не подпадающих под удаление. Предложенный механизм "cruft packs" позволяет хранить все недостижимые объекты в одном pack-файле, а данные о времени модификации каждого объекта отражать в отдельной таблице, хранимой в файле с расширением ".mtimes".
  • Для Windows и macOS реализован встроенный механизм отслеживания изменений в файловой системе, позволяющий обойтись без перебора всего рабочего каталога при выполнении таких операций, как "git status". Ранее для отслеживания изменений через hook-и могли подключаться внешние утилиты отслеживания изменений в ФС, такие как Watchman, но это требовало установки дополнительных программ и настройки. Теперь указанная функциональность встроена и может быть включена командой "git config core.fsmonitor true".
  • В команде "git sparse-checkout" объявлена устаревшей поддержка альтернативного режиму "--cone" метода определения шаблонов для частичного клонирования, позволяющего при определении подпадающей под операцию клонирования части репозитория перечислять отдельные файлы с использованием синтаксиса ".gitignore", что не позволяет использовать для оптимизации частичные индексы.
  • Повышена гибкость настройки вызова fsync() для сброса изменений на диск. В параметр "core.fsyncMethod" добавлена поддержка стратегии синхронизации "batch", позволяющей ускорить работу при записи большого числа отдельных файлов за счёт накопления изменений в кэше обратной записи, сбрасываемом одним вызовом fsync(). Проведённый тест, в результате которого в командой "git add" было добавлено 500 файлов, при включении нового режима был выполнен за 0.15 секунд, в то время как при вызове fsync() для каждого файла потребовалось 1.88 секунд, а без использования fsync - 0.06 секунд.
  • В команды обхода веток, подобные "git log" и "git rev-list", добавлена опция " --since-as-filter=X", позволяющая отсеять информацию о коммитах, время создания которых старше "X". В отличие от опции "--since" новая команда реализована в виде фильтра, не останавливающего перебор после первого коммита, старше заданного времени.
  • В команде "git remote" при указании флага "-v" обеспечен вывод информации о частичных клонах репозитория.
  • Добавлена настройка "transfer.credentialsInUrl", которая может принимать значения "warn", "die" и "allow". В случает указания в параметре "remote.<name>.url" учётных данных открытым текстом попытка выполнения операций "fetch" или "push" будет завершена ошибкой, если настройка "transfer.credentialsInUrl" принимает значение "die", или предупреждением, если установлено значение "warn".
  • По умолчанию задействована новая реализация интерактивного режима команды "git add -i", переписанная с Perl на Си.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системы управления исходными текстами Git 2.36
  3. OpenNews: Две уязвимости в Git
  4. OpenNews: Выпуск системы управления исходными текстами Git 2.35
  5. OpenNews: Критическая уязвимость в Git LFS, проявляющаяся на платформе Windows
  6. OpenNews: Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода
Обсуждение (67 +4) | Тип: Программы |


·27.06 Уязвимость в OpenSSL 3.0.4, приводящая к удалённому повреждению памяти процесса (47 +11)
  В криптографической библиотеке OpenSSL выявлена уязвимость (CVE пока не назначен), при помощи которой удалённый атакующий может повредить содержимое памяти процесса через отправку специальной оформленных данных в момент установки TLS-соединения. Пока не ясно, может ли проблема привести к выполнению кода атакующего и утечке данных из памяти процесса, или она ограничивается только аварийным завершением работы.

Уязвимость проявляется в выпуске OpenSSL 3.0.4, опубликованном 21 июня, и вызвана некорректным исправлением ошибки в коде, в результате которого может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера. Эксплуатация уязвимости возможна только на системах x86_64 с поддержкой инструкций AVX512.

Такие ответвления от OpenSSL, как BoringSSL и LibreSSL, а также ветка OpenSSL 1.1.1, проблеме не подвержены. Исправление пока доступно только в виде патча. При наихудшем сценарии, проблема может оказаться более опасной, чем уязвимость Heartbleed, но уровень угрозы снижает то, что уязвимость проявляется только в выпуске OpenSSL 3.0.4, в то время как многие дистрибутивы по умолчанию продолжают поставлять ветку 1.1.1 или ещё не успели сформировать обновления пакетов с версией 3.0.4.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  3. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
  4. OpenNews: Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL
  5. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
  6. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
Обсуждение (47 +11) | Тип: Проблемы безопасности |


·27.06 Wifibox 0.10 - окружение для использования WiFi-драйверов Linux во FreeBSD (179 +9)
  Доступен выпуск проекта Wifibox 0.10, нацеленного на решение проблемы с использованием во FreeBSD беспроводных адаптеров, для которых отсутствуют необходимые драйверы. Работа проблемных для FreeBSD адаптеров обеспечивается через запуск гостевой системы с Linux, в которой загружаются родные для Linux драйверы беспроводных устройств.

Установка гостевой системы с драйверами автоматизирована, а все необходимые компоненты оформлены в виде готового пакета wifibox, который запускается при загрузке при помощи поставляемого в комплекте rc-сервиса. В том числе корректно обрабатывается переход в спящий режим. Окружение потенциально может применяться для любых WiFi-карт, поддерживаемых в Linux, но протестировано в основном на чипах Intel. Также проверена корректная работа на системах с беспроводными чипами Qualcomm Atheros и AMD RZ608 (MediaTek MT7921K).

Гостевая система запускается при помощи гипервизора Bhyve, в котором организуется проброс доступа к беспроводной карте. Для работы требуется система с поддержкой аппаратной виртуализации (AMD-Vi или Intel VT-d). Начинка гостевой системы основана на дистрибутиве Alpine Linux, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Размер образа занимает на диске примерно 30МБ и потребляет около 90 МБ оперативной памяти.

Для подключения к беспроводной сети используется пакет wpa_supplicant, файлы конфигурации для которого синхронизируются с настройками из основного окружения FreeBSD. Создаваемый wpa_supplicant управляющий Unix-сокет пробрасывается в хост-окружение, что позволяет использовать штатные утилиты FreeBSD для подключения и работы с беспроводной сетью, в том числе можно использовать утилиты wpa_cli и wpa_gui (net/wpa_supplicant_gui).

В новом выпуске переработан механизм проброса WPA в основное окружение, что позволило обеспечить работу как с wpa_supplicant, таки и с hostapd. Снижен необходимый для гостевой системы объём памяти. Прекращена поддержка FreeBSD 13.0-RELEASE.


Дополнительно можно отметить работу по улучшению предлагаемых во FreeBSD драйверов для беспроводных карт на чипах Intel и Realtek. При поддержке организации FreeBSD Foundation продолжается развитие нового драйвера iwlwifi, включённого в состав FreeBSD 13.1. Драйвер основан на Linux-драйвере и коде из Linux-подсистемы net80211, поддерживает стандарт 802.11ac и может использоваться с новыми беспроводными чипами Intel. Драйвер загружается автоматически во время загрузки при обнаружении необходимой беспроводной карты. Работа компонентов беспроводного стека Linux обеспечивается при помощи прослойки LinuxKPI. Ранее похожим образом для FreeBSD был портирован драйвер iwm.

Параллельно началась разработка драйверов rtw88 и rtw89 для беспроводных чипов Realtek RTW88 и RTW89, которые также развиваются путём переноса соответствующих драйверов из Linux и работают при помощи прослойки LinuxKPI. Драйвер rtw88 уже готов для начального тестирования, а драйвер rtw89 пока находится на стадии разработки.

Кроме того, можно упомянуть публикацию деталей и готового эксплоита, связанных с уязвимостью (CVE-2022-23088) в беспроводном стеке FreeBSD, устранённой в апрельском обновлении. Уязвимость позволяет выполнить свой код на уровне ядра через отправку специально оформленного кадра в момент нахождения клиента в режиме сканирования сети (на стадии до привязки SSID). Проблема вызвана переполнением буфера в функции ieee80211_parse_beacon() при разборе beacon-кадров, передаваемых точкой доступа. Переполнение стало возможным из-за отсутствия проверки соответствия фактического размера данных и размера, указанного в поле заголовка. Проблема проявляется в версиях FreeBSD, сформированных с 2009 года.

Среди не связанных с беспроводным стеком недавних изменений во FreeBSD: проведена оптимизация времени загрузки, которая на тестовой системе была сокращена с 10 до 8 секунд; реализован GEOM-модуль gunion для выноса на другой диск изменений, производимых поверх диска, доступного в режиме только для чтения; для crypto API ядра подготовлены криптографические примитивы XChaCha20-Poly1305 AEAD и curve25519, необходимые для драйвера VPN WireGuard.

  1. Главная ссылка к новости
  2. OpenNews: Опубликован MyBee 13.1.0, дистрибутив FreeBSD для организации работы виртуальных машин
  3. OpenNews: Релиз FreeBSD 13.1
  4. OpenNews: Для FreeBSD развивается механизм изоляции, похожий на pledge и unveil
  5. OpenNews: Выпуск дистрибутива helloSystem 0.7, использующего FreeBSD и напоминающего macOS
  6. OpenNews: Выпуск hostapd и wpa_supplicant 2.10
Обсуждение (179 +9) | Тип: Программы |


Следующая страница (раньше) >>



Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру