Проект AROS совместим с AmigaOS 3.1 на уровне API, предоставляет возможность запуска приложений, созданных для AmigaOS (после перекомпиляции для AROS), предоставляет стек TCP/IP, звуковую подсистему и инструментарий для разработки графических приложений. AROS также предлагает графический интерфейс пользователя в стиле AmigaOS и развивает дополнительную функциональность, расширяющую возможности AmigaOS. AROS One представляет собой готовый для запуска на современном оборудовании дистрибутив, включающий кастомизированную операционную систему AROS и набор различных пользовательских приложений.

Среди изменений в новой версии:

• Предложена новая Си-библиотека, синхронизированная с 64-разрядной ОС AROS.
• При запуске AROS поверх Linux реализована возможность работы с использованием WSL (Windows Subsystem for Linux), прослойки для запуска Linux-приложений в Windows.
• Заменено используемое по умолчанию изображение курсора мыши.
• Расширена функциональность загрузочного меню и сокращено время загрузки.
• В файловом менеджере и рабочем столе Wanderer добавлена поддержка удаления файлов и каталогов нажатием клавиши Del.
• Добавлен скрипт SMB2-Start для организации совместного доступа к файлам по сети.
• Обновлены версии приложений, собранных для AROS, например, эмуляторы классических игр ScummVM 1.9.1 и ResidualVM 0.3.1.1, графическая библиотека GLFW (Graphics Library Framework) 3.4, браузер AmiFox 0.6, конвертер изображений Image2PDF 2.6, интерфейс выбора тем оформления ThemeList 1.0, просмотрщик изображений LoView 2.024, приложение для чистки системы WitchCleaner 3.20, а также различные демонстрации и игры.

1. Главная ссылка к новости
2. OpenNews: Выпуск Icaros Desktop 2.3, дистрибутива операционной системы AROS
3. OpenNews: Выпуск свободного эмулятора классических квестов ScummVM 2.8.0

При этом блокировки дополнений, нарушающих законы отдельных стран, не новы, например, в 2022 году Mozilla заблокировала доступ к дополнениям uBlock Origin, AdGuard, AdNauseam и AdBlock из Китая, что было сделано после возникновения угрозы блокировки всего каталога addons.mozilla.org в Китае. Примечательно, что подобные блокировки явно расходятся с принципами, определёнными в манифесте Mozilla, а также идут в разрез с общей политикой компании, в соответствии с которой два года назад сервисы Yandex и Mail.ru были удалены из списка доступных поисковых систем с указанием в качестве мотива преобладания в поисковой выдаче материалов, отражающих предвзятую точку зрения.

Заблокированные для РФ дополнения не могут быть названы в новости из-за действующего с 1 марта запрета на популяризацию средств обхода блокировок. Первое дополнение нацелено на общий обход ограничений, действующих в России, Украине, Беларуси, Казахстане, Кыргызстане, Узбекистане и других странах. Второе дополнение специально рассчитано на обход блокировок из Единого реестра запрещённых сайтов РФ, при этом не проксируя остальные ресурсы. Третье дополнение обеспечивает работу VPN-сервиса, не осуществляющего блокировку по спискам Роскомнадзора для пользователей из РФ. Четвёртое дополнение выборочно включает использование прокси для сайтов, заблокированных Роскомнадзором.

1. Главная ссылка к новости
2. OpenNews: Обновление Firefox 98.0.1 с удалением поисковых систем Yandex и Mail.ru
3. OpenNews: Mozilla внедрила в Firefox показ навязчивой всплывающей рекламы VPN
4. OpenNews: Mozilla использует Google Analytics в менеджере дополнений Firefox
5. OpenNews: Mozilla развивает механизм передачи телеметрии рекламным сетям
6. OpenNews: Mozilla воспользовалась push-уведомлениями для распространения политической рекламы в Firefox

Ветка 5.40 выпущена в соответствии с утверждённым одиннадцать лет назад фиксированным графиком разработки, подразумевающим выпуск новых стабильных веток раз в год и корректирующих релизов - раз в три месяца. Примерно через месяц планируется выпустить первый корректирующий релиз Perl 5.40.1, в котором будут исправлены наиболее значительные ошибки, выявленные в процессе внедрения Perl 5.40.0. Одновременно с выходом Perl 5.40 прекращена поддержка ветки 5.36, для которой обновления могут быть выпущены в будущем только в случае выявления критических проблем с безопасностью. 20 июня начнётся процесс разработки экспериментальной ветки 5.41, на базе которой в мае или июне 2025 года будет сформирован стабильный релиз Perl 5.42, если не будет принято решение перейти к нумерации 7.x.

Ключевые изменения:

• Расширены возможности, связанные с появившемся в прошлой версии экспериментальным синтаксисом для создания классов. Добавлено новое ключевое слово "__CLASS__", которое при вызове из методов, блоков ADJUST или при инициализации полей возвращает имя текущего класса по аналогии с тем как ключевое слово __PACKAGE__ возвращает имя пакета. В отличие от выражения ref($self) ключевое слово __CLASS__ может применяться при инициализации полей для доступа к методам класса на этапе до завершения создания экземпляра класса. Для базового класса значение __CLASS__ идентично значению __PACKAGE__, но будет отличаться при создании подклассов.

  
     use feature 'class';
     class Example1 {
         field $f = __CLASS__->default_f;
         sub default_f { 10 }
     }
  

• Для определяемых внутри класса полей реализован атрибут ":reader", применяемый для автоматического создания метода, возвращающего значение переменной из поля в текущем экземпляре класса. Например, указание ":reader" после определения поля "field $s;" эквивалентно созданию метода "method s () { return $s; }". При необходимости можно задать не совпадающее имя метода при помощи конструкции вида "field $name :reader(get_name);".
• Объявлен стабильным синтаксис обработки исключений try/catch, который можно использовать вместо неочевидных манипуляций с "eval". Блок "try" включает блок с выполняемым кодом, а блок "catch" с кодом для обработки любого исключения, которое может возникнуть при выполнении первого блока. В "catch" определяется переменная, содержащая данные, переданные при формировании исключения (например, при срабатывании исключения на вызов "die" будет передана указанная в качестве аргумента строка). Внутри блоков "try" и "catch" разрешены операторы переходов, включая return, goto, next, last и redo.

  
     try {
         my $x = call_a_function();
         $x < 100 or die "Too big";
         send_output($x);
     }
     catch ($e) {
         warn "Unable to output a value; $e";
     }
     print "Finished\n";
  

• Стабилизирован синтаксис "for my (VAR, VAR) (LIST)" и "foreach my (VAR, VAR) (LIST)", применяемый для перебора списков с единовременным извлечением сразу нескольких значений в одной итерации цикла. Например, теперь можно указывать:

  
     foreach my ($key, $value) (%hash) { ... }
     for my ($left, $right, $gripping) (@moties) { ... }
  

• Объявлен стабильным модуль builtin, включающий всегда доступные функции, встроенные в интерпретатор. В настоящее время в модуле предложены функции true, false, weaken, unweaken, is_weak, blessed, refaddr, reftype, ceil, floor, is_tainted, trim и indexed.
• Добавлены новые экспериментальные встроенные функции inf и nan, доступные в пространстве имён "builtin::" ("builtin::inf" и "builtin::nan"). Данные функции можно использовать в качестве констант, определяющих бесконечность и нечисловое значение.
• Добавлен новый логический оператор "^^", соответствующий операции XOR и дополняющий битовый оператор "^" (в Perl предоставляет три базовых битовых оператора "&", "|" и "^", соответствующих операциям AND, OR и XOR, но для логических операций до сих пор были доступны только варианты AND ("&&") и OR ("||")). Логическое выражение "$x ^^ $y" вернёт TRUE, когда либо "x", либо "y" имеют значение TRUE, но не одновременно.
• Прекращена поддержка симуляции версий до 5.11. Использование директивы "use номер_версии", отключающей дополнительные возможности, добавленные в интерпретаторе после указанной версии, с номером версии меньше 5.11 (например, "use v5.8") теперь будет приводить к выводу ошибки, а не предупреждения. Аналогично добавлен вывод предупреждения при использовании в "use" версии меньше 5.39 (предупреждения будут заменены на ошибку в выпуске 5.44).
• Разрешено использование пробела между опцией командной строки "-M" и именем модуля, например "perl -M Data::Dumper=Dumper -E 'say Dumper [1,2,3]'" (раньше нужно было писать "perl -MData::Dumper...").
• Объявлено устаревшим использование оператора "goto" для перехода из внешней области видимости во внутреннюю. Поддержка данной возможности будет прекращена в версии Perl 5.42.
• В основной состав включены модули Term::Table и Test2::Suite, предназначенные для создания unit-тестов. Обновлены версии модулей Archive::Tar, Compress::Raw::Bzip2, Compress::Raw::Zlib, Data::Dumper, DB_File, File::Compare, File::Find, Getopt::Long, Hash::Util, HTTP::Tiny, IO, Math::BigInt, PerlIO::encoding, Tie::File, Time::HiRes и т.п.
• Добавлена поддержка операционной системы Serenity OS.
• Устранены две уязвимости:
  • CVE-2023-47038 - запись за границу буфера при обработке некорректных Unicode-свойств, определённых пользователем. Проблема может привести к переполнению буфера на 1 байт при обработке специально оформленных регулярных выражений.
  • CVE-2023-47039 - возможность подмены исполняемого файла на платформе Windows из-за поиска cmd.exe в путях с использованием переменной окружения PATH, в которой текущий рабочий каталог является более приоритетным, чем системный каталог с исполняемым файлом cmd.exe.

1. Главная ссылка к новости
2. OpenNews: Доступен язык программирования Perl 5.38.0 с поддержкой классов
3. OpenNews: Анализ рисков при воплощении в жизнь инициативы Perl 7
4. OpenNews: Perl 7 плавно продолжит развитие Perl 5 без нарушения обратной совместимости
5. OpenNews: Язык Perl 6 переименован в Raku
6. OpenNews: Опубликован разбор инцидента с потерей контроля над доменом perl.com

Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf (Two Cents Cryptography Frontend), zulucrypt, veracrypt, truecrypt и luks.

В новом выпуске:

• До версии 4.2 обновлён развиваемый проектом Parrot пакет Anonsurf, предназначенный для направления трафика через сеть Tor.
• В базовую поставку возвращён пакет parrot-updater, обеспечивающий отслеживание появления обновлений дистрибутива, выводящий соответствующие уведомления и помогающий установить обновления.
• Обновлены версии пакетов bind9, chromium, firefox, webkit, golang 1.21, grub 2.12, glibc, pipewire 1.0.5, libreoffice 24.2, openjdk, php8, ruby 3.1.
• Обновлены специализированные инструменты: инструментарии для тестирования защищённости web-приложений burpsuite 2024.2.1.3 и zaproxy 2.14, система автоматизации атак на СУБД sqlmap 1.8.3, утилита сканирования TLS-сертификатов sslscan 2.1.3, платформа для анализа уязвимостей metasploit 6.4.6, утилита для создания загрузочных USB-накопителей woeusb-ng 0.2.12, анализатор памяти volatility3 1.0.1, инструментарий для обратного инжиниринга rizin 0.7.2, агент для организации доступа после совершения атаки powershell-empire 5.9.5, загрузчик контента из Instagram instaloader 4.11, анализатор исполняемых файлов gdb-gef 2024.1 и система удалённого управления Windows evil-winrm 3.5.
• Вместо утилиты crackmapexec в состав включён пакет NetExec для организации атак на сетевые сервисы и автоматизации аудита уязвимых хостов в крупных сетях. Содержит компоненты для эксплуатации уязвимостей в реализациях протоколов SMB, LDAP, WINRM, MSSQL, SSH, FTP.
• В сборах для Raspberry Pi добавлена поддержка платы Raspberry Pi 5, ядро Linux обновлено до версии 6.6.28, добавлены дополнительные драйверы для подключаемых устройств, улучшена поддержка Wi-Fi.
• Улучшен скрипт для формирования окружения Parrot из уже установленной системы с Debian.

1. Главная ссылка к новости
2. OpenNews: Опубликован дистрибутив для исследования безопасности Kali Linux 2024.2
3. OpenNews: Выпуск дистрибутивов для исследователей безопасности Parrot 6.0 и Gnoppix 24
4. OpenNews: Выпуск BackBox Linux 8.1, дистрибутива для тестирования безопасности
5. OpenNews: Выпуск BlackArch 2020.06.01, дистрибутива для тестирования безопасности
6. OpenNews: Релиз CAINE 11.0, дистрибутива для выявления скрытых данных

В T2 обеспечивается поддержка 25 аппаратных архитектур: Alpha, Arc, ARM(64), Avr32, HPPA(64), IA64, Loongarch64, M68k, Microblaze, MIPS(64), Nios2, OpenRISC, PowerPC(64), RISCV(64), s390x, SPARC(64), SuperH, i486, i686, x86-64 и x32. Платформой поддерживаются как новейшие встраиваемые системы, так и устаревшее оборудование, например, продолжается поддержка приставки Sony PS3 и рабочих станций SGI, Sun и HP. Для некоторых архитектур предоставляется возможность работы в окружениях с 512 МБ ОЗУ. Готовые сборки с графическим окружением на базе GNOME и Wayland сформированы для архитектур x86_64, i686, ARM64, PPC64, IA-64 и RISCV-64.

Среди изменений в новой версии:

• Добавлено 80 пакетов, обновлено 750 пакетов, удалён 21 пакет.
• В базовую поставку включены LibreOffice, Wine и Thunderbird.
• До свежих выпусков обновлены ядро Linux 6.9, LVM/Clang 18.1.6, GCC 13.3.0, Mesa 24.1, Firefox 126, KDE 6 и GNOME 46.
• В состав включены утилиты для манипуляций с промежуточным представлением шейдеров SPIR-V, применяемым в Vulkan.
• Проведена оптимизация производительности OpenSSL, позволившая в два раза ускорить работу многих криптоалгоритмов и SSH на системах с архитектурой IA-64 (Itanium).
• Добавлена поддержка установки в остающееся свободным дисковое пространство на накопителе.
• Налажена установка в минимальном режиме и добавлена опция для минимальной установки без компонентов X.Org.
• Добавлена встроенная сетевая конфигурация для подключения к беспроводным сетям с использованием WPA.
• Расширено число устанавливаемых по умолчанию пиктограмм и обоев рабочего стола. Добавлена поддержка формата SVG.

1. Главная ссылка к новости
2. OpenNews: Релиз мета-дистрибутива T2 SDE 24.5
3. OpenNews: Выпуск Puppy Linux 9.5, дистрибутива для устаревших компьютеров
4. OpenNews: Релиз дистрибутива Slacko Puppy 7.0
5. OpenNews: Выпуск EasyOS 5.7, самобытного дистрибутива от создателя Puppy Linux
6. OpenNews: SmolBSD - инструментарий для создания микро-сборок NetBSD

Сообщество разработчиков на языке Rust оценено в 4 млн разработчиков, при этом данное сообщество признано наиболее быстрорастущим - за последний год число участников в нём выросло на 30%, а за два года удвоилось (в 1 квартале 2022 года размер сообщества для языка Rust был оценён в 2 млн разработчиков). В качестве одной из возможных причин роста упоминается пылкий энтузиазм участников сообщества, которые активно проповедуют сильные стороны Rust, такие как средства для безопасной работы с памятью и возможности по созданию высокопроизводительных приложений.

Заметный рост отмечается и в сообществе JavaScript, размер которого за год увеличился на 17%, что в абсолютных показателях соответствует 4 млн разработчиков. При этом отмеченный темп роста примерно соответствует общему увеличению числа разработчиков в мире.

Интересно также то, что при опросе разработчики с опытом менее трёх лет в меньшем числе случаев отмечали язык JavaScript, чем разработчики с опытом от трёх лет. Подобное объясняется тем, что часто опытные разработчики добавляют JavaScript в список используемых языков так как им время от времени приходится с ним сталкиваться, а не из-за того, что у них он является первичным языком для разработки. Похожее расхождение также наблюдается для языков C# и PHP, но в данном случае оно объясняется потерей спроса среди новых разработчиков (данные языки держатся за счёт старых разработчиков и проектов).

Продолжается рост популярности языка Python, который по сравнению с прошлым годом поднялся на второе место, вытеснив на третье место сообщество разработчиков на языке Java. За год сообщество Python выросло на 2.1 млн разработчиков (рост 13%), в то время как сообщество Java увеличилось на 1.2 млн разработчиков (рост 7%).

Ещё одним растущим сообществом называется сообщество Go, которое с 1 квартала 2022 года увеличилось с 3 до 4.7 млн разработчиков. Рост сообщества Go за два года составил 55%, но за последний год снизился до 10%. При этом роста Go оказалось достаточно для того, чтобы сместить с 10 места в рейтинге язык Swift.

Наиболее заметный спад популярности затрагивает язык Objective-C, число разработчиков на котором за последние два года держится на отметке примерно 2.5 млн. За два года Objective-C опустился в рейтинге с 12 на 14 место, уступив 12 и 13 места языкам Rust и Dart.

Данные о размерах сообществ экстраполированы путём использования данных о языках программирования, полученных в результате опроса более 10 тысяч разработчиков из 135 стран, и расчётов, показывающих что в мире насчитывается около 43 млн активных разработчиков.

1. Главная ссылка к новости
2. OpenNews: Рейтинг популярности СУБД. PostgreSQL назван СУБД 2023 года
3. OpenNews: Оценка популярности открытых лицензий в зависимости от языка программирования
4. OpenNews: Рейтинг языков программирования от издания IEEE Spectrum
5. OpenNews: Рейтинг языков программирования TIOBE за январь 2024 года

Достаточно большой процент присутствия оказался у дистрибутива Raspbian (4.35%), используемого на платах Raspberry Pi. Rocky Linux использовался на 1.34% систем, а Oracle Linux - на 3.87%. Доля SUSE Linux Enterprise составила 1.25%, а openSUSE - 0.07%. Linux Mint оказался установлен на 0.69% систем, а Astra Linux - 0.02%. Несмотря на то, что исследование было ориентировано на Linux в статистике также оказалась ОС FreeBSD (0.46%).

1. Главная ссылка к новости
2. OpenNews: 8.2% наиболее популярных загрузок в NPM приходится на устаревшие пакеты
3. OpenNews: Рейтинг популярности СУБД. PostgreSQL назван СУБД 2023 года
4. OpenNews: Оценка популярности IPv6 в трафике Cloudflare
5. OpenNews: Оценка популярности открытых лицензий в зависимости от языка программирования
6. OpenNews: Доля десктоп-дистрибутивов Linux достигла 4% по данным сервиса StatCounter

Компоненты Mesa используются в Fuchsia в развиваемом в Google форке lavapipe (lvp), программного растеризатора для API Vulkan, а также в генераторе кода gfxstream (Graphics Streaming Kit), применяемом для перенаправления вызовов к графическим API при виртуализации API Vulkan. Компания Google намерена постепенно передать в основной состав Mesa накопившиеся изменения для упрощения сопровождения ответвления, а со временем добиться включения в Mesa исходного кода Vulkan-драйвера gfxstream, который может применяться для доступа к API Vulkan из гостевых систем на базе Linux, Android и Fuchsia.

1. Главная ссылка к новости
2. OpenNews: Отменена программа развития ОС Fuchsia для рабочих станций
3. OpenNews: Google опубликовал обновление операционной системы Fuchsia 14
4. OpenNews: Google уволит 16% разработчиков ОС Fuchsia
5. OpenNews: Google готовится к переводу умных колонок Nest Audio на ОС Fuchsia
6. OpenNews: Доступна операционная система dahliaOS 220222, сочетающая технологии Linux и Fuchsia

• CVE‑2024‑0090 - ошибка, приводящая к записи за пределы выделенного буфера. Потенциально уязвимость может быть эксплуатирована для повышения привилегий или выполнения кода атакующего. Проблема проявляется в драйверах для Linux и Windows. Уровень опасности 7.8 из 10.
• CVE‑2024‑0091 - разыменование указателя при манипуляциях с API драйвера. Успешная эксплуатация уязвимости может привести к отказу в обслуживании, утечке информации или фальсификации данных. Проблема проявляется в драйверах для Linux и Windows. Уровень опасности 7.8 из 10.
• CVE‑2024‑0093 - предоставление доступа к внутренней информации пользователям, не авторизированным на получение подобных данных. Успешная эксплуатация уязвимости может привести к утечке информации. Проблема проявляется в драйверах для Linux и Windows. Уровень опасности 6.5 из 10.
• CVE‑2024‑0092 - некорректная проверка и обработка исключений. Проблема может привести к отказу в обслуживании. Уязвимость проявляется в драйверах для Linux и Windows. Уровень опасности 5.5 из 10.
• CVE‑2024‑0089 - утечка информации, оставшейся после предыдущего клиента или процесса. Проблема проявляется только в драйверах для Windows. Уровень опасности 7.8 из 10.
• Пять уязвимостей в драйверах для виртуального GPU NVIDIA (vGPU), из которых три потенциально позволяют выполнить привилегированные операции на стороне хост-окружения через манипуляции в гостевой системе (CVE‑2024‑0099, CVE‑2024‑0084) или выполнения действий непривилегированным пользователем (CVE‑2024‑0085) .

1. Главная ссылка к новости
2. OpenNews: Представитель NVIDIA ответил на вопросы, связанные с переводом драйверов на открытые модули ядра
3. OpenNews: NVIDIA начнёт использовать открытые модули ядра для GPU, начиная с Turing
4. OpenNews: NVIDIA препятствует разработке транслирующих прослоек для запуска CUDA на других платформах
5. OpenNews: Выпуск проприетарного драйвера NVIDIA 550.54.14
6. OpenNews: NVK и Zink существенно улучшили ситуацию с открытыми драйверами для GPU NVIDIA

Например, потребуется переработать процесс удалённой установки, который сейчас базируется на VNC-клиенте TigerVNC, завязанном на X11. Вместо TigerVNC предлагается использовать приложение grd (Gnome Remote Desktop) на основе протокола RDP. Вторым заметным изменением станет переработка процессов управления клавиатурой и переключения раскладок. В настоящее время в Anaconda для настройки раскладки клавиатуры применяется библиотека libXklavier, поддержка которой будет прекращена в GNOME Shell, а пакет libxklavier намерены удалить из Fedora.

Из-за привязки к libXklavier в инсталляторе, используемом в Live-сборах на базе Wayland, отключена возможность переключения раскладок клавиатуры. Так как в Wayland не предоставляется универсальный механизм управления клавиатурой, решено вместо libXklavier для изменения раскладок задействовать сервис systemd-localed, обращаясь к нему через D-Bus.

Помимо миграции инсталлятора на Wayland одновременно предложено полностью прекратить поставку связанных с X11 пакетов GNOME в сборках Fedora Workstation. Подобные пакеты планируют оставить в репозитории, но больше не включать в состав установочных и Live-носителей, построенных на базе GNOME.

Предложения пока не утверждены комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. При этом ранее комитет уже утвердил удаление из базовой поставки Fedora 41 сеанса X11 для GNOME. Основной причиной прекращения поддержки X11 в Fedora является перевод X.Org-сервера в RHEL 9 в категорию устаревших и решение полностью удалить его в будущем значительном выпуске RHEL 10.

Среди факторов, способствующих оставлению только поддержки Wayland, также упоминается появление поддержки Wayland в проприетарных драйверах NVIDIA и выполненная в Fedora 36 замена драйверов fbdev на драйвер simpledrm, корректно работающий с Wayland. Прекращение поддержки сеанса с X11 существенно снизит трудозатраты на сопровождение и высвободит ресурсы, которые можно будет направить на улучшения качества работы современного графического стека.

1. Главная ссылка к новости
2. OpenNews: В Fedora 41 намечено удаление из базовой поставки сеанса X11 для GNOME
3. OpenNews: В Fedora 40 утверждено прекращение поддержки сеанса KDE на базе X11
4. OpenNews: В Fedora 40 планируют прекратить поддержу X11 в окружении KDE
5. OpenNews: В Fedora одобрена поставка в пакете asahi-installer исполняемых файлов для macOS
6. OpenNews: В Fedora 41 намерены удалить network-scripts и разрешить обновление атомарных редакций без пароля

• В ветку KDE Plasma 6.1, релиз которой запланирован на 18 июня, принято изменение значительно ускоряющее работу с содержимым каталога ~/.cache. Добавленная оптимизация решает проблемы с подвисанием некоторых эффектов рабочего стола на системах с медленными дисками.
• В ветке 6.1 также решена проблема с высокой нагрузкой на CPU в композитном сервере KWin, возникающей при включении режимов синхронизации выделенных областей с буфером обмена в виджете для работы с буфером обмена (настройки "Keep the selection and clipboard the same" или "Text selection: Always save in history").
• В кодовой базе, которая войдёт в состав ветки 6.2, включена по умолчанию поддержка аппаратного ускорения отрисовки курсора на системах с GPU Intel.
• В стиле Breeze для Qt Quick Controls 2 реализована поддержка перемещаемых разделителей (SplitView), которые можно использовать в QML-программах для создания боковых панелей с изменяемым размером.
• На системах с GPU NVIDIA при использовании X11 в диалог настройки панели добавлено предупреждения об ошибке в проприетарном драйвере NVIDIA, приводящей к подвисаниям при перемещении или изменении размера окон в случае включении режима плавающей панели или адаптивной прозрачности.
• В виджет управления сетевым соединением добавлена поддержка WebAuth аутентификации на базе SAML (Security Assertion Markup Language). Добавлена возможность перемещения показываемого в виджете QR-кода, что можно использовать для его сохранения как изображения.
• В бэкенд мониторинга за состоянием системы добавлена поддержка получения информации о CPU, памяти и вводе/выводе через /proc/pressure/.
• В файловый менеджер Dolphin добавлен вывод рекомендации по установке приложения Filelight при попытке получения информации о свободном пространстве на накопителе, если Filelight не установлен (в этом случае выпадающее меню с информацией о свободном пространстве остаётся пустым).
• При копировании пароля из KWalletManager он теперь не отображается в виджете для работы с буфером обмена.
• Удалена нерабочая опция для скрытия вспомогательных окон неактивных приложений ("Hide utility windows for inactive applications")
• Во время перемещении окон задействован более подходящий курсор мыши.

Дополнительно можно отметить выпуск платформы KDE Frameworks 6.3.0, предоставляющей реструктуризованный и портированный на Qt 6 базовый набор библиотек и runtime-компонентов, лежащих в основе KDE. Фреймворк включает в себя 72 библиотеки, часть которых может работать в качестве самодостаточных надстроек над Qt, а часть формируют программный стек KDE. Выпуск cформирован в соответствии с инициативой по предсказуемому ежемесячному формированию обновлений KDE Frameworks. В новой версии в основном устранены ошибки и недоработки.

1. Главная ссылка к новости
2. OpenNews: Тестирование среды рабочего стола KDE Plasma 6.1
3. OpenNews: Выпуск KDE Gear 24.05, набора приложений от проекта KDE
4. OpenNews: Изменения для улучшения отображения KDE-приложений в GNOME и Xfce
5. OpenNews: В KDE убрана возможность установки тем пиктограмм GNOME. Недавние изменения в KDE 6.1
6. OpenNews: Выпуск KDE Frameworks 6.1.0. Реализация Explicit Sync для KDE

GNU Taler не создаёт собственную криптовалюту, а работает с уже существующими валютами, в том числе с долларами, евро и биткоинами. Поддержку новых валют можно обеспечить через создание банка, который выступает финансовым гарантом. Бизнес-модель GNU Taler основана на выполнении операций обмена - деньги из традиционных систем совершения платежей, таких как BitCoin, Mastercard, SEPA, Visa, ACH и SWIFT, преобразуются в анонимные электронные деньги в той же валюте. Пользователь может передавать электронные деньги продавцам, которые затем могут на точке обмена поменять их обратно в реальные деньги, представленные традиционными системами платежей.

Все транзакции в GNU Taler защищены с использованием современных криптографических алгоритмов, позволяющих сохранить достоверность даже при утечке приватных ключей клиентов, продавцов и точек обмена. Формат БД предоставляет возможность верификации всех совершённых транзакций и подтверждения их непротиворечивости. Подтверждением платежа для продавцов является криптографическое доказательство перевода в рамках заключённого с клиентом контракта и криптографически подписанное подтверждение о наличии средств на точке обмена. В состав GNU Taler входят набор базовых компонентов, предоставляющих логику для работы банка, точки обмена, торговой площадки, кошелька и аудитора.

Финансирование разработки осуществляется на гранты Еврокомиссии, Государственного секретариата Швейцарии по образованию и Государственного секретариата Швейцарии по исследованиям и инновациям (SERI). В рамках проекта NGI TALER ведётся работа по созданию на базе GNU Taler продукта, готового для применения в Евросоюзе.

Основные изменения:

• В утилиту libeufin-nexus, применяемую для отправки запросов в банки, добавлена поддержка диалекта протокола EBICS (Electronic Banking Internet Communication Standard), разработанного Центральным кредитным комитетом Германии (ZKA) для защищённого обмена информацией о платежах в немецких банках.
• В libeufin-nexus добавлена поддержка применяемого в Евросоюзе стандарта мгновенного проведения платежей SEPA Instant (Single Euro Payments Area).
• В API предложена начальная реализация обработчика на базе HTTP-метода GET для точек продаж (POS, point-of-sale).
• В кошельках обеспечен показ дополнительной контекстной информации при использовании платежей по QR-кодам или URI.
1. Главная ссылка к новости
2. OpenNews: Выпуск платёжной системы GNU Taler 0.10, развиваемой проектом GNU
3. OpenNews: Опубликована P2P-платформа GNUnet 0.20
4. OpenNews: Релиз свободной системы финансового учета GnuCash 5.0

Уязвимость является частным случаем исправленной в 2012 году проблемы CVE-2012-1823, добавленной для которой защиты оказалось недостаточно для блокирования атаки на платформе Windows. Метод атаки сводится к возможности подстановки аргумента командной строки при запуске интерпретатора PHP через манипуляцию с параметрами запроса к PHP-скрипту.

В старой уязвимости CVE-2012-1823 для эксплуатации достаточно было указать опции командной строки вместо параметров запроса, например, "http://localhost/index.php?-s" для показа исходного кода скрипта. Новая уязвимость основывается на том, что платформа Windows обеспечивает автоматическое преобразование символов, что позволяет для обхода ранее добавленной защиты указывать символы, присутствующие в некоторых кодировках и заменяемые на символ "-" (например, короткий дефис с шестнадцатеричным кодом "AD" заменяется на обычный дефис с кодом "2D", т.е. для атаки можно использовать запрос вида http://localhost/index.php?%ads).

Уязвимость подтверждена в конфигурациях с локалями для традиционного китайского (cp950), упрощённого китайского (cp936) и японского (cp932) языков, но не исключено её проявление и с другими локалями. Проблема проявляется в конфигурации по умолчанию в наборе XAMPP (Apache + MariaDB + PHP + Perl), а также в любых конфигурациях Apache, в которых php-cgi выставлен в качестве обработчика CGI-скриптов при помощи настройки 'Action cgi-script "/cgi-bin/php-cgi.exe"' или 'Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"', или при непосредственном размещении интерпретатора php в "/cgi-bin" и любых других каталогах, в которых разрешено выполнение CGI-скриптов через директиву ScriptAlias.

Кроме того в обновлениях PHP 8.3.8, 8.2.20 и 8.1.29 устранены ещё три уязвимости:

• CVE-2024-5458 - возможность обхода фильтра FILTER_VALIDATE_URL, используемого при вызове функции filter_var.
• CVE-2024-5585 - альтернативный вектор атаки на уязвимость CVE-2024-1874, позволяющий обойти ранее добавленную защиту и осуществить подстановку команд при вызове bat- и cmd-файлов через функцию proc_open на платформе Windows (уязвимость BatBadBut).
• Подверженность функции openssl_private_decrypt атаке Marvin.

Дополнение: Опубликован пример эксплоита для запуска своего PHP-кода на сервере, для выполнения которого применяется набор параметров "-d allow_url_include=1 -d auto_prepend_file=php://input" и передача кода скрипта в теле POST-запроса:

   POST /test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
   Host: {{host}}
   User-Agent: curl/8.3.0
   Accept: */*
   Content-Length: 23
   Content-Type: application/x-www-form-urlencoded
   Connection: keep-alive

   <?php
   phpinfo();
   ?>

1. Главная ссылка к новости
2. OpenNews: Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования
3. OpenNews: Уязвимость php-fpm, позволяющая удалённо выполнить код на сервере
4. OpenNews: Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini
5. OpenNews: Локальная root-уязвимость в PHP-FPM
6. OpenNews: Уязвимость в Glibc, эксплуатируемая через скрипты на PHP

При включении защиты процесс sshd начинает отслеживать статус завершения дочерних процессов, определяя ситуации когда не прошла аутентификация или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение может указывать на попытки эксплуатации уязвимостей в sshd.

Через параметр PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize дополнительно можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP.

Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети, запросы разных пользователей из которой приходят с одинаковых IP из-за использования транслятора адресов или прокси.

1. Главная ссылка к новости
2. OpenNews: Проект OpenSSH разделяет sshd на несколько исполняемых файлов
3. OpenNews: Релиз OpenSSH 9.7
4. OpenNews: Terrapin - уязвимость в протоколе SSH, позволяющая снизить защиту соединения
5. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
6. OpenNews: Представлен SSH3, вариант протокола SSH, использующий HTTP/3

Утилита поддерживает анонимизацию данных на основе шаблонов и функций библиотеки Sprig. Nxs-data-anonymizer можно использовать через неименованные каналы (pipe) в командной строке для перенаправления дампа из исходной БД непосредственно в целевую БД с необходимыми преобразованиями. Есть возможность работать со значениями "null" через функцию в фильтрах. Реализована команда -l/--log-format, позволяющая выбрать формат логирования (json или plain). Процесс анонимизации может быть индексирован - через указанные промежутки выводятся данные о прогрессе выполнения операции. Благодаря внешним командам через добавление в значение столбца "type: command" можно задавать значение полей.

В новой версии добавлена функция, позволяющая активировать режим безопасной работы nxs-data-anonymizer, при котором все явно не описанные данные будут исключены из результирующего дампа. В зависимости от типа сущностей в настройках безопасности инструмент анонимизирует столбцы для таблиц с правилами, описанными в разделе filters. Если таблица не содержит никаких правил, данные все равно будут в безопасности, так как анонимайзер не включит их в результирующий дамп.

Оригинальная информация в колонках появится в выводе только в том случае, если в security.exceptions.tables будет указано имя таблицы. Таким образом, динамично развивающиеся проекты с часто изменяемой структурой БД будут защищены даже в случае, если разработчик забудет скорректировать файл конфигурации анонимайзера.

1. Главная ссылка к новости
2. OpenNews: Релиз инструмента для анонимизации баз данных nxs-data-anonymizer 1.4.0
3. OpenNews: Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций
4. OpenNews: PostgreSQL Anonymizer 0.6, расширение для анонимизации данных в СУБД
5. OpenNews: Вышел Datanymizer, анонимайзер чувствительных данных
6. OpenNews: В Chrome планируют реализовать режим скрытия IP-адреса пользователя