Overboard Catalog

Recently bumped threads from multiple boards (Index View)

Customise
Include Default Boards
Add Boards
Remove Boards

Компания Mozilla ведёт работу по расширению сервиса Firefox Relay, позволяющего генерировать временные почтовые адреса для прохождения регистрации на сайтах или оформления подписок, чтобы не афишировать свой реальный адрес. В настоящее время проходит рецензирование изменение, реализующее похожую функциональность для номеров телефонов. Firefox Relay позволит генерировать временные телефонные номера для скрытия реального номера пользователя при прохождении регистрации или получения SMS-оповещений.

Звонки и SMS, поступающие на созданный виртуальный номер, автоматически будут перенаправляться на реальный номер пользователя, скрывая его от посторонних. При необходимости пользователь может деактивировать виртуальный номер и не получать больше вызовы и SMS через него. Как и в случае с почтовыми адресами, сервис также можно использовать для выявления источника утечки информации. Например, для разных регистраций можно привязать отдельные виртуальные номера, что в случае поступления SMS-рассылок или рекламных звонков позволит понять, кто именно является источником утечки.

Кроме того, можно отметить намерение интегрировать поддержку Firefox Relay в основной состав Firefox. Если ранее для генерации и подстановки адресов требовалась установка специального дополнения, то теперь браузер при подключении пользователя к учётной записи в Firefox Account будет автоматически предлагать замены в полях ввода с email. Включение Firefox Relay в состав Firefox запланировано на 27 сентября.

Добавление в Firefox Relay возможности подмены номеров телефона ожидается 11 октября, пока только для пользователей из США и Канады. Услуга будет платная, но стоимость её пока не определена. Базовый сервис для перенаправления 5 почтовых адресов бесплатный, а стоимость расширенной платной версии Firefox Relay Premium для перенаправления почты (неограниченное число адресов, вырезание трекеров, возможность использования своего домена) после 27 сентября составит $1.99 в месяц или $12 в год (до 27 сентября действовал промо-период с ценой $0.99 в месяц). Код Firefox Relay открыт под лицензией MPL-2.0 и может быть использован для создания аналогичного сервиса на своём оборудовании. 

https://www.opennet.ru/opennews/art.shtml?num=57788
We are pleased to announce the GNU Shepherd version 0.9.2.  This is a
bug-fix release, representing 27 commits by 2 people over 4 months.



• About

  The GNU Daemon Shepherd or GNU Shepherd is a service manager written
  in Guile that looks after the herd of system services.  It provides
  dependency-based management for system services: daemons such as
  ‘sshd’, programs such as Xorg, as well as user-provided actions.  The
  GNU Shepherd may also be used by unprivileged users to manage per-user
  daemons—e.g., tor, privoxy, mcron, etc.  It is written in Guile
  Scheme, and is configured and extended using Guile.

  The GNU Shepherd is developed jointly with the GNU Guix project; it is
  used as the init system of Guix, GNU’s advanced GNU/Linux distribution.

  https://www.gnu.org/software/shepherd/


• Download

  Here are the compressed sources and a GPG detached signature[*]:
    https://ftp.gnu.org/gnu/shepherd/shepherd-0.9.2.tar.gz
    https://ftp.gnu.org/gnu/shepherd/shepherd-0.9.2.tar.gz.sig

  Use a mirror for higher download bandwidth:
    https://ftpmirror.gnu.org/shepherd/shepherd-0.9.2.tar.gz
    https://ftpmirror.gnu.org/shepherd/shepherd-0.9.2.tar.gz.sig

  Here are the SHA1 and SHA256 checksums:

  b8861f58596f0938375d1a13ab4142f6dca50340  shepherd-0.9.2.tar.gz
  e192bbaac3d38e3a1fcb5624c0a925758abfd0b43bac4c88b6770df8fcf08b55  
shepherd-0.9.2.tar.gz

  [*] Use a .sig file to verify that the corresponding file (without the
  .sig suffix) is intact.  First, be sure to download both the .sig file
  and the corresponding tarball.  Then, run a command like this:

    gpg --verify shepherd-0.9.2.tar.gz.sig

  If that command fails because you don't have the required public key,
  then run this command to import it:

    gpg --keyserver keys.openpgp.org \
        --recv-keys 3CE464558A84FDC69DB40CFB090B11993D9AEBB5

  and rerun the 'gpg --verify' command.

  This release was bootstrapped with the following tools:
    Autoconf 2.71
    Automake 1.16.5
    Makeinfo 6.7
    Help2man 1.48.5


• Changes since version 0.9.1 (excerpt from the NEWS file)

  ** File descriptors used internally are now all marked as close-on-exec

  Previously, services started indirectly with ‘exec-command’ (which is usually
  the case) would not inherit any file descriptor from shepherd because
  ‘exec-command’ would explicitly close all of them.  However, services started
  with ‘make-system-constructor’ and processes created by some other means, such
  as calling ‘system*’, would inherit some of those descriptors, giving them
  more authority than intended.

  The change here consists in marking all internally-used file descriptors as
  “close-on-exec” (O_CLOEXEC), a feature that’s been available on GNU/Linux and
  GNU/Hurd for years but that so far wasn’t used consistently in shepherd.  This
  is now fixed.  As a side-effect, the file-descriptor-closing loop in
  ‘exec-command’ is now gone.

  ** Client connections with ‘herd’ are non-blocking

  Previously, a misbehaving client could send an incomplete command
  (s-expression), causing shepherd to hang while waiting for completion.  (Note
  that said client is required to run with the same UID as shepherd, so this was
  not a security issue.)

  ** Directory of log file is created if it doesn’t exist

  When a service constructor is passed ‘#:log-file "/var/log/foo/bar.log"’,
  shepherd now created /var/log/foo if it doesn’t exist; previously it would
  fail gracelessly.


Please report bugs to [email protected]
Join [email protected] for discussions.

Ludovic, on behalf of the Shepherd herd.

https://www.mail-archive.com/[email protected]/msg03091.html
Компания Microsoft объявила о начале тестирования кандидата в релизы Linux-версии СУБД SQL Server 2022 (RC 0). Установочные пакеты подготовлены для RHEL и Ubuntu. Для загрузки также доступны готовые образы контейнеров с SQL Server 2022, основанные на дистрибутивах RHEL и Ubuntu. Для Windows тестовый выпуск SQL Server 2022 был сформирован 23 августа.

Отмечается, что помимо общих новых возможностей, в SQL Server 2022 RC 0 также предложено несколько специфичных для Linux улучшений. В частности, добавлена поддержка аутентификации с использованием Azure Active Directory (AAD), обеспечена возможность изменения параметра REQUIRED_SYNCHRONIZED_SECONDARIES_TO_COMMIT для распределённых групп доступности, предоставлена поддержка средств аналитики Azure Synapse Link (для интеграции используется runtime, установленный на Windows-системе в той же сети). 

https://www.opennet.ru/opennews/art.shtml?num=57755
Бен Коттон (Ben Cotton), занимающий в компании Red Hat должность Fedora Program Manager, объявил о намерении перевести Fedora Linux по умолчанию на пакетный менеджер DNF5. В Fedora Linux 39 планируется заменить пакеты dnf, libdnf и dnf-cutomatic на инструментарий DNF5 и новую библиотеку libdnf5. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

В своё время DNF пришёл на смену Yum, который был написан целиком на языке Python. В DNF требовательные к производительности низкоуровневые функции были переписаны и вынесены в отдельные Си-библиотеки hawkey, librepo, libsolv и libcomps, но каркас и высокоуровневые компонеты остались на языке Python. Проект DNF5 нацелен на унификацию имеющихся низкоуровневых библиотек, переписывание на языке С++ остающихся на Python компонентов управления пакетами и вынос базовой функциональности в отдельную библиотеку libdnf5 с созданием вокруг этой библиотеки обвязки для сохранения Python API.

Использование языка С++ вместо Python позволит избавиться от большого числа зависимостей, сократить размер инструментария и повысить производительность. Более высокая производительность достигается не только благодаря применению компиляции в машинный код, но и за счёт улучшенной реализации таблицы транзакций, оптимизации загрузки из репозиториев и реструктуризации БД (разделены базы с состоянием системы и историей операций). Инструментарий DNF5 избавлен от привязки к PackageKit, вместо которого задействован новый фоновый процесс DNF Daemon, заменяющий функциональность PackageKit и предоставляющий интерфейс для управления пакетами и обновлениями в графических окружениях.

Переработка также даст возможность реализовать некоторые улучшения, повышающие удобство работы с пакетным менеджером. Например, в новом DNF реализована более наглядная индикация прогресса выполнения операций; добавлена поддержка использования локальных RPM-пакетов для транзакций; добавлена возможность показа в отчётах о выполненных транзакциях информации, выдаваемой встроенными в пакеты скриптами (scriplets); предложена более продвинутая система автодополнения ввода для bash.

https://www.opennet.ru/opennews/art.shtml?num=57757
Ричард Столлман представил свою новую книгу "GNU C Language Intro and Reference Manual" (PDF, 260 страниц), написанную в соавторстве с Тревисом Ротуэллом (Trevis Rothwell, автор руководства "The GNU C Reference Manual", отрывки из которой использованы в книге Столлмана) и Нельсоном Биби (Nelson Beebe, написал главу о вычислениях с плавающей запятой). Книга нацелена на разработчиков, знакомых с принципами программирования на каком-то другом языке и желающих изучить язык Си. В руководстве также рассказывается об языковых расширениях, разработанных проектом GNU. Книга предложена для начальной вычитки и Столлман просит сообщать о всех выявленных неточностях или трудных для восприятия формулировках. 

https://www.opennet.ru/opennews/art.shtml?num=57742
После года разработки опубликован новый значительный выпуск дистрибутива OpenWrt 22.03.0, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 35 целевых платформ.

Из изменений в OpenWrt 22.03.0 отмечается:

    По умолчанию задействовано новое приложение для управления межсетевым экраном - fw4 (Firewall4), основанное на пакетном фильтре nftables. Синтаксис файлов конфигурации для межсетевого экрана (/etc/config/firewall) и интерфейс uci не изменились - fw4 может выступать прозрачной заменой ранее применявшегося инструментария fw3, основанного на iptables. Исключение составляют правила добавленные вручную (/etc/firewall.user), которые потребуется переделать для nftables (fw4 позволяет добавлять собственные блоки правил, но в формате nftables).

    Старый инструментарий на базе iptables исключён из предлагаемых по умолчанию образов, но может быть возвращён при помощи пакетного менеджера opkg или инструментария Image Builder. Также предоставлены обвязки iptables-nft, arptables-nft, ebtables-nft и xtables-nft, позволяющие создавать для nftables правила с использованием старого синтаксиса iptables.
    Добавлена поддержка более 180 новых устройств, в том числе 15 устройств на базе чипа MediaTek MT7915 с поддержкой Wi-Fi 6 (IEEE 802.11ax). Общее число поддерживаемых устройств достигло 1580.
    Продолжен перевод целевых платформ на использование подсистемы ядра DSA (Distributed Switch Architecture), предоставляющей средства для настройки и управления каскадами соединённых между собой Ethernet-коммутаторов, применяя механизмы для настройки обычных сетевых интерфейсов (iproute2, ifconfig). DSA может применяться для настройки портов и VLAN вместо ранее предлагаемого инструмента swconfig, но не все драйверы коммутаторов пока поддерживают DSA. В предложенном выпуске DSA задействован для платформ bcm53xx (переведены драйверы для всех плат), lantiq (SoC на базе xrx200 и vr9) и sunxi (платы Bananapi Lamobo R1). Ранее на DSA были переведены платформы ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) и realtek.
    В Web-интерфейсе LuCI реализован тёмный режим оформления. По умолчанию режим автоматически включается в зависимости от настроек браузера, но его также можно принудительно включить через меню "System" -> "System" -> "Language and Style".
    Решена проблема 2038 года, вызванная переполнением 32-разрядного типа time_t (32-разрядный эпохальный счётчик времени переполнится 19 января 2038 года). В новом выпуске в качестве стандартной библиотеки задействована ветка musl 1.2.x, в которой на 32-разрядных архитектурах старые 32-разрядные счётчики времени заменены на 64-разрядные (тип time_t заменён на time64_t). На 64-разрядных системах тип time64_t используется изначально (счётчик переполнится через 292 миллиарда лет). Переход на новый тип привёл к изменению ABI, что потребует пересборки всех 32-разрядных программ, связанных с musl libc (для 64-разрядных программ пересборка не требуется).
    Обновлены версии пакетов, включая ядро Linux 5.10.138 с портированием беспроводного стека cfg80211/mac80211 из ядра 5.15.58 (ранее предлагалось ядро 5.4 с беспроводным стеком из ветки 5.10), musl libc 1.2.3, glibc 2.34, gcc 11.2.0, binutils 2.37, hostapd 2.10, dnsmasq 2.86, dropbear 2022.82, busybox 1.35.0.
    Прекращено формирование сборок для платформы arc770 (Synopsys DesignWare ARC 770D). 

https://www.opennet.ru/opennews/art.shtml?num=57736
Разработчики анонимной сети Tor сформировали первый стабильный выпуск (1.0.0) проекта Arti, развивающего Tor-клиент, написанный на языке Rust. Выпуск 1.0 отмечен как пригодный для использования обычными пользователями и обеспечивающий тот же уровень конфиденциальности, юзабилити и стабильности, что и основная реализация на языке Си. Стабилизирован также API, предлагаемый для использования функциональности Arti в других приложениях. Код распространяется под лицензиями Apache 2.0 и MIT.

В отличие от реализации на Си, которая вначале была спроектирована как SOCKS-прокси, а уже потом подогнана под другие потребности, Arti изначально развивается в форме модульной встраиваемой библиотеки, которую смогут использовать различные приложения. Кроме того, при разработке нового проекта учитывается весь прошлый опыт разработки Tor, что позволяет избежать известных архитектурных проблем, сделать проект более модульным и эффективным.

В качестве причины переписывания Tor на Rust было желание добиться более высокого уровня защищённости кода за счёт использования языка, обеспечивающего безопасную работу с памятью. По оценке разработчиков Tor, как минимум половина всех отслеживаемых проектом уязвимостей будет исключена в реализации на Rust, если в коде не используются блоки "unsafe". Rust также даст возможность добиться более высокой скорости разработки, чем при использовании Си, за счёт выразительности языка и строгих гарантий, позволяющих не тратить время на двойные проверки и написание лишнего кода.

По итогам разработки первой версии использование языка Rust оправдало себя. Например, замечено, что на каждом этапе в коде на Rust совершалось меньше ошибок, чем при сопоставимой разработке на Си - всплывшие в процессе разработки ошибки в основном были связаны с логикой и семантикой. Излишняя требовательность компилятора rustc, отмечаемая некоторыми как недостаток, на деле оказалась благом, так как если код компилируется и проходит тесты, значительно повышается вероятность его корректности.

При работе над новым вариантом также подтвердилось увеличение скорости разработки, что связано не только с тем, что функциональность воссоздавалась на основе имеющегося шаблона, но и с более выразительной семантикой Rust, удобными библиотеками функций и применением возможностей Rust по обеспечению безопасности кода. Из недостатков выделяется большой размер результирующих сборок - так как стандартная библиотека Rust не поставляется в системах по умолчанию, её приходится включать в предлагаемые для загрузки пакеты.

Выпуск 1.0 в основном сосредоточен на базовой работе в роли клиента. В версии 1.1 планируется реализовать поддержку подключаемого транспорта и бриджей для обхода блокировок. В версии 1.2 ожидается поддержка onion-сервисов и сопутствующих возможностей, таких как протокол управления перегрузкой (RTT Congestion Control) и средства защиты от DDoS-атак. Достижение паритета с клиентом на языке Си намечено в ветке 2.0, в которой также будут предложены привязки для использования Arti в коде на различных языках программирования.

В течение следующих нескольких лет работа будет направлена на реализацию функциональности, необходимой для работы релеев и серверов директорий. Когда код на Rust достигнет уровня, способного полностью заменить вариант на Си, разработчики намерены придать Arti статус основной реализации Tor и прекратить сопровождение реализации на Си. Поддержка версии на языке Си будет прекращена постепенно с предоставлением возможности плавной миграции.


https://www.opennet.ru/opennews/art.shtml?num=57723
В день десятилетия проекта сформирован выпуск OBS Studio 28.0, пакета для потокового вещания, композитинга и записи видео. Код написан на языках C/C++ и распространяется под лицензией GPLv2. Сборки сформированы для Linux, Windows и macOS.

Целью разработки OBS Studio было создание переносимого варианта приложения Open Broadcaster Software (OBS Classic), не привязанного к платформе Windows, поддерживающего OpenGL и расширяемого через плагины. Отличием также является использование модульной архитектуры, подразумевающей разделение интерфейса и ядра программы. Поддерживается перекодирование исходных потоков, захват видео во время игр и стриминг в Twitch, Facebook Gaming, YouTube, DailyMotion, Hitbox и другие сервисы. Для обеспечения высокой производительности возможно использование механизмов аппаратного ускорения (например, NVENC и VAAPI).

Предоставляется поддержка композитинга с построением сцены на основе произвольных видеопотоков, данных с web-камер, карт захвата видео, изображений, текста, содержимого окон приложений или всего экрана. В процессе вещания допускается переключение между несколькими предопределёнными вариантами сцен (например, для переключения представлений с акцентом на содержимое экрана и изображение с web-камеры). Программа также предоставляет инструменты для микширования звука, фильтрации при помощи VST-плагинов, выравнивая громкости и подавления шумов.

Ключевые изменения:

    Значительно улучшено управление цветом. Добавлена поддержка расширенного динамического диапазона (HDR, High Dynamic Range) и глубины цвета 10 бит на канал. Добавлены новые настройки цветовых пространств и форматов. Кодирование с использованием HDR и 10-битной цветностью доступно для форматов AV1 и HEVC и требует для HEVC GPU уровня NVIDIA 10 и AMD 5000 (Intel QuickSync и Apple VT пока не поддерживаются). Потоковое вещание в HDR пока достуано только через HLS-сервис YouTube. На платформах Linux и macOS поддержка HDR ещё требует доработки, например, не работает предпросмотр HDR и требуется обновление некоторых кодировщиков.
    Графический интерфейс переведён на использование Qt 6. С одной стороны, обновление Qt позволило получить актуальные исправления ошибок и улучить поддержку Windows 11 и Apple Silicon, но с другой стороны, привело к прекращению поддержки Windows 7 & 8, macOS 10.13 & 10.14, Ubuntu 18.04 и всех 32-разрядных операционных систем, а также к потере совместимости с некоторыми плагинами, продолжающими использовать Qt 5 (большинство плагинов уже переведено на Qt 6).
    Добавлена поддержка компьютеров Mac, оснащённых ARM-чипом Apple M1 (Apple Silicon), в том числе предоставлены родные сборки, работающие без эмуляции. Так как родные сборки несовместимы со многими плагинами, оставлена и возможность использования на устройствах Apple Silicon сборок на базе архитектуры x86. В кодировщике Apple VT на системах Apple Silicon реализована поддержка CBR, CRF и Simple Mode.
    Для Windows добавлена новая, более оптимизированная, реализация кодировщика для чипов AMD, добавлена поддержка компонента удаления фона NVIDIA Background Removal (требует NVIDIA Video Effects SDK), предоставлено приложение для захвата звука, в фильтр подавления шумов NVIDIA Noise Suppression добавлен режим удаления эха.
    Для macOS 12.5+ реализована поддержка фреймворка ScreenCaptureKit, в том числе позволяющего захватывать видео со звуком.
    Предоставлена возможность выборочного смешивания видео для виртуальной камеры.
    В число официальных плагинов включён obs-websocket 5.0 для удалённого управления OBS с передачей данных поверх WebSocket.
    По умолчанию предложена новая тема оформления "Yami".
    Добавлена возможность автоматической разбивки записи на части в зависимости о размера файла или продолжительности, а также в ручном режиме.
    Добавлена встроенная поддержка вывода с использованием протоколов SRT (Secure Reliable Transport) и RIST (Reliable Internet Stream Transport).
    Добавлена поддержка отправки из интерфейса OBS сообщений в чат YouTube. 

https://www.opennet.ru/opennews/art.shtml?num=57712
Started around the year 2000 Holon has been delivering a steady dose of atmospheric cyberpunk electronica.

https://soundcloud.com/mark-r-3
A leading Chinese Linux vendor is polishing what may be its last Debian-based release, and preparing for the move to becoming a fully independent distro with its own new package format, Linglong.

Deepin, the most internationally visible Chinese Linux distribution, has put out two new versions: the latest release of its existing stable version, Deepin 20.6, and a preview of the forthcoming new major release, Deepin 23.

Back in April, we looked at Deepin 20.5, the previous release. This version is a relatively minor update with some components refreshed: kernel 5.15, including native NTFS support, and the option of kernel 5.17; version 510 of the Nvidia binary graphics driver; and Qt version 5.15. Issues in the Deepin Desktop Environment (DDE) and various accessory programs have been fixed, and the system-wide search tool has been improved.
Deepin 20.06 retains its bright, colourful desktop, combining elements of Windows 7, 10 and now 11 too.

Deepin 20.06 retains its bright, colorful desktop, combining elements of Windows 7, 10 and now 11 too

All these things are relatively routine stuff for a minor version of any Linux distribution, and there's nothing wrong with that. The relevance is that although Deepin doesn't get a lot of coverage in the West, it certainly shows that Deepin has noteworthy traction, and that the company is listening to its users and actively maintaining the software.

We tried it in a VM and while it displays a message that advises against that, with some coaxing, it does work, and it's as pretty as ever.

The forthcoming major release version is rather more significant, with a new packaging format and a planned move to become a fully independent distro.

Deepin has been based on Debian stable for some years after switching from Ubuntu in 2015. In our opinion, that's a significant advantage: it makes it easy to add additional software, including drivers, and the Deepin Software Store is – understandably – skewed towards Chinese apps, sites and services, some of which are of little relevance to users in other countries.

Deepin is the free international version of UOS, a Chinese-language family of distros from Chinese vendor Tongxin UnionTech. There isn't much info on UOS in English, as its Wikipedia page shows.

Now the company has announced that this will change:

It is expected to be built from the Linux kernel and other open-source components without relying on the communities of upstream distributions, and to provide basic services and the foundation for the establishment of an independent upstream.

Alongside the move to becoming a self-contained distro, Deepin has also announced its own packaging format, Linglong. UOS has started to publish some information about the format, along with an app store.

    PanWriter: Cross-platform writing tool runs on anything and outputs to anything
    Universal Unix tool AWK gets Unicode support
    Weighing the less mainstream Ubuntu remixes: Including China's Kylin
    We tested all the Ubuntu remixes for resource usage so you don't have to

There isn't a lot of detail so far, but the promised benefits put us in mind of both Snap and Flatpak, such as app sandboxing and cross-distro compatibility. However, the announcement also talks about improved ease of packaging, incremental updates, and package layering to reduce the size of app bundles.
So far, Deepin 23 doesn't look very different, but this version lets you enable effects in a VM – for example, the transparent floating panel.

So far, Deepin 23 doesn't look very different, but this version lets you enable effects in a VM – for example, the transparent floating panel

We installed the preview version of Deepin 23 in a VM, and so far this test release is still based on Debian. For instance, we were able to install DKMS, which allowed us to install VirtualBox's guest additions.

It's not inconceivable that a new format could surpass and supersede all the existing cross-distro formats as they all have well-documented drawbacks: Snap works on both desktops and servers, but there's only one official Snap store, and the multiple loop-mounts slow down system startup. If the underlying file system supports it, Flatpak has deduplication and so uses less disk space, but it's desktop-only. AppImage is the easiest, but it's up to apps to manage their own updates.

It wouldn't be trivial to overcome all of these in one tool, but it's not impossible and it would certainly be welcome. This leaves the issue of whether Western vendors would trust such a fundamental tool if it were to originate in the People's Republic. In the past, some commentators in the West have raised privacy concerns, which the company denied. ®

https://www.theregister.com/2022/08/25/deepin_206_23/
На предысторию редко обращают пристальное внимание,  но факт в том, что перед хорошей историей всегда что-то происходит. Предыстория может объяснить поведение персонажа, пролить свет на тайны или вовсе перевернуть все с ног на голову. 
Когда сюжет и персонажи захватывают, тебе хочется узнать еще больше и ты начинаешь копаться в лоре, чтобы узнать историю персонажей в Brawl Stars, или Стива из Minecraft, или  почему начался конфликт Красных и Синих в Team Fortress 2. Но иногда, как бы тебе не нравилось произведение, у тебя не появляется даже мысли проверить ориджин, а может его даже невозможно найти, потому что его прячут или стесняются. Потому что если начать копаться, то быстро выяснится, что предыстории игр - это жесть. 
Заваривайте чай, подписывайтесь на канал и готовьтесь наслаждаться, ведь с вами Булджать и мы начинаем.

https://www.youtube.com/watch?v=jE6McJ0VYLk
Исследователей из Северо-западного Университета в Иллинойсе, Zhenpeng Lin, Yuhang Wu и Xinyu Xing опубликовали данные об уязвимости DirtyCred (идентификатор — CVE-2022-2588). Уязвимыми авторы называют все версии ядра, вышедшие за последние 8 лет.

Уязвимость использует технику use-after-free. Из-за ошибки в файле net/sched/cls_route.c ядро может сначала освободить память, а затем повторно использовать её. В данном случае в памяти размещаются реквизиты доступа, что позволяет злоумышленнику выполнить свою программу с повышенными привилегиями. Для эксплуатации уязвимости необходима программа с SUID битом, доступная злоумышленнику, например, su или sudo.

DirtyCred похожа на мартовскую DirtyPipe, но позволяет больше, например, выход из контейнера.

Прототип эксплоита пока не представлен. Атаки типа use-after-free достаточно сложны в исполнении и не гарантируют стабильный результат, однако обновиться всё-таки стоит.

https://access.redhat.com/security/cve/cve-2022-2588
https://www.youtube.com/watch?v=Fpu5a0Bl8eY
Представлен релиз растрового графического редактора Krita 5.1.0, предназначенного для художников и иллюстраторов. Редактор поддерживает многослойную обработку изображений, предоставляет средства для работы с различными цветовыми моделями и обладает большим набором средств для цифровой живописи, создания скетчей и формирования текстур. Для установки подготовлены самодостаточные образы в формате AppImage для Linux, экспериментальные APK-пакеты для ChromeOS и Android, а также бинарные сборки для macOS и Windows. Проект написан на языке С++ с использованием библиотеки Qt и распространяется под лицензией GPLv3.

Основные новшества:

    Улучшена работа со слоями. Добавлена возможность выполнения операций копирования, вырезания, вставки и очистки сразу для нескольких выделенных слоёв. В панель управления слоями добавлена кнопка для вызова контекстного меню для пользователей без мыши. Предоставлены средства для выравнивания слоёв в группе. Добавлена поддержка рисования в выделенных областях с использованием режимов смешивания.

    Добавлена поддержка форматов WebP, JPEG-XL, OpenExr 2.3/3+, а также многослойных файлов TIFF со специфичной для Photoshop структурой слоёв. Добавлена поддержка палитр ASE и ACB, применяемых в Photoshop и других программах Adobe. При чтении и сохранении изображений в формате PSD реализована поддержка слоёв заливки и цветных меток.
    Улучшено извлечение изображений из буфера обмена. При вставке предоставлена возможность выбора опций, позволяющих использовать особенности помещения изображений в буфер обмена разными приложениями.
    Задействован новый бэкенд для ускорения операций с использованием векторных инструкций CPU, основанный на библиотеке XSIMD, который по сравнению с ранее применявшимся бэкендом на базе библиотеки VC позволил повысить производительность кистей, в которых применяется смешивание цветов, а также обеспечил возможность использования векторизации на платформе Android.
    Добавлены профили для цветовых пространств YCbCr.
    В диалог компоновки цвета (Specific Color Selector) добавлена область для предпросмотра полученного цвета и реализована возможность переключения между режимами HSV и RGB.

    Добавлена опция для масштабирования содержимого к размеру окна.
    Расширены возможности инструментов заливки. Добавлены два новых режима: непрерывная заливка, при котором подлежащие заливке области определяются перемещением курсора, и инструмент "Enclose and fill", в котором заливка осуществляется в области, попадающие в перемещаемый прямоугольник или другую фигуру. Для улучшения сглаживания границ при заливке задействован алгоритм FXAA.

    В инструменты для работы с кистями добавлена настройка для определения максимальной скорости движения кисти. В кисть-распылитель добавлены дополнительные режимы распределения частиц. В движок с кистями для создания скетчей (Sketch Brush Engine) добавлена поддержка сглаживания. Разрешено определять отдельные настройки для ластика.

    Предоставлена возможность настройки управляющих жестов, таких как масштабирвоание щипком, отмена касанием и вращение поворотом пальцев.
    Во всплывающем диалоге с палитрой предложены дополнительные настройки.
    Переделано меню для доступа к недавно открытым файлам.
    В интерфейс смешивания цветов (Digital Color Mixer) добавлены кнопки для сброса и сохранения изменений.
    Добавлен инструмент для упрощения рисования кругов в перспективе.
    Фильтр Levels разрешено применять к отдельным каналам.
    Для сокращения времени сборки на системах разработчиков добавлена поддержка сборки с предварительно скомпилированными заголовочными файлами.
    В сборках для платформы Android решены проблемы с использованием системы управления цветами OCIO.
    На платформе Windows осуществлён переход на свежую кодовую базу прослойки ANGLE, отвечающей за трансляцию вызовов OpenGL ES в Direct3D. В Windows также предоставлена возможность использования инструментария llvm-mingw, поддерживающего сборку для архитектуры RISC-V. 

https://www.opennet.ru/opennews/art.shtml?num=57657
Организация MITRE присвоила видеоклипу с песней Джанет Джексон "Rhythm Nation" идентификатор уязвимости CVE-2022-38392 из-за нарушения нормальной работы некоторых старых ноутбуков во время её воспроизведения. Проводимая с использованием указанной композиции атака может привести к аварийному завершению работы системы из-за сбоев в работе жёсткого диска, связанных с возникающим при воспроизведении определённых частот резонансом.

Отмечается, что частота некоторых инструментов в клипе совпадает с колебаниями, возникающими в дисках, вращающихся с частотой 5400 оборотов в минуту, что приводит к резкому увеличению амплитуды их колебаний. Информацией о проблеме поделился сотрудник Microsoft, рассказавший историю из будней службы поддержки продукта Windows XP о том как разбирая жалобы пользователей один из крупных производителей оборудования выявил, что композиция "Rhythm Nation" приводит к нарушениям в работе отдельных моделей накопителей на основе жёстких магнитных дисков, используемых в выпускаемых данным производителем ноутбуках.

Проблема была решена производителем через добавление в звуковую систему специального фильтра, не пропускающего нежелательные частоты во время воспроизведения звука. Но такой обходной путь не обеспечивал полной защиты, например, упоминается случай при котором сбой удалось повторить не на устройстве, на котором воспроизводился клип, а на рядом стоящем ноутбуке. Проблема также фиксировалась на ноутбуках других производителей, продававшихся примерно в 2005 году. Информация об эффекте раскрыта так как в настоящее время уже потеряла актуальность и в современных жёстких дисках проблема не проявляется. 

https://www.opennet.ru/opennews/art.shtml?num=57651
Владелец автомобиля Hyundai Ioniq SEL опубликовал серию статей с рассказом, как ему удалось внести изменения в прошивку, используемую в информационно-развлекательной системе (IVI) на базе операционной системы D-Audio2V, применяемой в автомобилях Hyundai и Kia. Оказалось, что все необходимые для расшифровки и верификации данные публично доступны в сети и для их определения потребовалось лишь несколько запросов в Google.

Предлагаемое производителем обновление прошивки к IVI-системе поставлялось в zip-файле, зашифрованном паролем, а содержимое самой прошивки было зашифровано при помощи алгоритма AES-CBC и заверено цифровой подписью на основе ключей RSA. Пароль от zip-архива и AES-ключ для расшифровки образа updateboot.img удалось найти в скрипте linux_envsetup.sh, который в открытом виде присутствовал в пакете system_package с открытыми компонентами ОС D-Audio2V, распространяемом на сайте производителя IVI-системы.

Тем не менее для модификации прошивки не хватало закрытого ключа, применяемого для заверения по цифровой подписи. Примечательно, что RSA-ключ помогла найти поисковая система Google. Исследователь отправил поисковый запрос, указав ранее найденный AES-ключ и натолкнулся на то, что ключ не является уникальным и упоминается в документе NIST SP800-38A. Рассудив, что похожим образом заимствован и RSA-ключ исследователь нашёл в сопровождающем прошивку коде открытый ключ и попытался найти по нему информацию в Google. Запрос показал, что указанный открытый ключ упоминается в примере из руководства по использованию OpenSSL, в котором также указан и закрытый ключ.

Получив необходимые ключи исследователь смог внести изменения в прошивку и добавить бэкдор, дающий возможность удалённо подключиться к программной оболочке системного окружения IVI-устройства, а также интегрирвать дополнительные приложения в прошивку. 

https://www.opennet.ru/opennews/art.shtml?num=57648
GitHub опубликовал отчёт, в котором отражены уведомления о нарушении интеллектуальной собственности и публикации незаконного содержимого, поступившие за первую половину 2022 года. Ранее подобные отчёты публиковались ежегодно, но теперь GitHub перешёл на раскрытие информации раз в полугодие. В соответствии с действующим в США Законом об авторском праве в цифровую эпоху (DMCA, Digital Millennium Copyright Act), в первой половине 2022 года GitHub получил 1200 требований о блокировке. От владельцев репозиториев поступило 20 опровержений на неправомерную блокировку.

Из-за получения жалоб на нарушения условий использования сервиса, не связанных с DMCA, GitHub скрыл 44913 учётных записей, из которых 356 впоследствии были восстановлены. Блокировка доступа владельца учётной записи были предпринята в 268 случаях (16 учётных записей затем были разблокированы). Для 2617 учётных записей одновременно были применены и блокировка и скрытие (восстановлены затем были 54 учётных записей). В разрезе проектов было отключено 1766 проектов и возвращено только 4.

GitHub также получил 212 запросов о раскрытии данных пользователей (для сравнения за первое полугодие 2021 года было получено 172 запросов). 122 подобных запроса было отправлено в форме судебных повесток (118 криминальных дел и 4 гражданских), 56 - судебных постановлений и 10 ордера на обыск. 98.1% запросов были отправлены правоохранительными органами, а 1.9% по гражданским искам. Удовлетворено 169 запросов из 212, в результате чего раскрыты сведения о 1361 учётной записи. Пользователи были уведомлены о раскрытии их данных только 3 раза, так как оставшиеся 166 запросов были снабжены предписанием о неразглашении информации (gag order).

От государственных служб поступило три требования удаления контента из-за нарушений локальных законодательств, два из которых были получены из России и одно из Австралии. Запросы из России были отправлены Роскомнадзором и связаны с блокировкой деятельности online-казино.
Определённое число запросов также поступило от спецслужб США в рамках закона о негласном наблюдении в целях внешней разведки, но точное число запросов данной категории не подлежит разглашению, сообщается только, что подобных запросов меньше 250 и они затрагиванию менее 250 учётных записей. 22 запроса на раскрытие данных поступило от иностранных правоохранительных органов (по одному из Аргентины, Эстонии, Франции, Сан Марино, Испании и Швейцарии 2 из Бразилии и 15 из Индии).

За отчётный период в GitHub поступило 464 апелляции (для сравнения за первое полугодие 2021 года - 591) о необоснованных блокировках при выполнении требований по ограничению экспорта в отношении территорий (Крым, ДНР, ЛНР Иран, Куба, Сирия и Северная Корея), подпадающих под санкции США. 355 апелляции были приняты, 103 отклонены и 6 возвращены с запросом дополнительных сведений.

https://www.opennet.ru/opennews/art.shtml?num=57646
Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета

Исследователи из компании Faraday Security представили на конференции DEFCON детали эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x, позволяющей выполнить свой код на устройстве через отправку специально оформленного UDP-пакета. Уязвимость примечательна тем, что позволяет атаковать устройства, в которых отключён доступ в web-интерфейс для внешних сетей - для атаки достаточно просто отправить один UDP-пакет.

Уязвимость затрагивает устройства, в которых используются уязвимые версии SDK Realtek, включая eCos RSDK 1.5.7p1 и MSDK 4.9.4p1. Обновления eCos SDK с устранением уязвимости были опубликованы Realtek 25 марта. Пока не ясно какие именно устройства подвержены проблеме - SoC Realtek RTL819x используется в сетевых маршрутизаторах, точках доступа, усилителях Wi-Fi, IP-камерах, устройствах интернета вещей и прочих сетевых устройствах более 60 производителей, включая Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE и Zyxel.

В открытом доступе уже опубликованы примеры эксплоитов для получения удалённого доступа к устройству и выполнения своих команд на примере атаки на маршрутизатор Nexxt Nebula 300 Plus. Дополнительно опубликованы утилиты для анализа прошивок на наличие уязвимости.

С учётом проблем с подготовкой и доставкой и обновлений прошивок на уже выпущенные устройства предполагается появление в скором времени автоматизированных атак и червей, поражающих уязвимые сетевые устройства. После успешной атаки поражённые устройства могут использоваться злоумышленниками, например, для формирования ботнетов, внедрения бэкдоров для оставления лазейки во внутреннюю сеть предприятия, перехвата транзитного трафика или его перенаправления на внешний хост.

Уязвимость вызвана переполнением буфера в модуле "SIP ALG" (SIP Application Layer Gateway), применяемом для организации проброса SIP-пакетов за транслятор адресов. Проблема возникла из-за отсутствия проверки фактического размера полученных данных, что приводит к перезаписи области памяти за пределами фиксированного буфера при вызове функции strcpy во время обработки пакетов SIP. Атака может быть совершена через отправку UDP-пакета с некорректными значениями полей в блоке данных SDP или заголовке протокола SIP. Для эксплуатации достаточно отправить один пакет на произвольный UDP-порт WAN-интерфейса. 

https://www.opennet.ru/opennews/art.shtml?num=57645
Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета

Исследователи из компании Faraday Security представили на конференции DEFCON детали эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x, позволяющей выполнить свой код на устройстве через отправку специально оформленного UDP-пакета. Уязвимость примечательна тем, что позволяет атаковать устройства, в которых отключён доступ в web-интерфейс для внешних сетей - для атаки достаточно просто отправить один UDP-пакет.

Уязвимость затрагивает устройства, в которых используются уязвимые версии SDK Realtek, включая eCos RSDK 1.5.7p1 и MSDK 4.9.4p1. Обновления eCos SDK с устранением уязвимости были опубликованы Realtek 25 марта. Пока не ясно какие именно устройства подвержены проблеме - SoC Realtek RTL819x используется в сетевых маршрутизаторах, точках доступа, усилителях Wi-Fi, IP-камерах, устройствах интернета вещей и прочих сетевых устройствах более 60 производителей, включая Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE и Zyxel.

В открытом доступе уже опубликованы примеры эксплоитов для получения удалённого доступа к устройству и выполнения своих команд на примере атаки на маршрутизатор Nexxt Nebula 300 Plus. Дополнительно опубликованы утилиты для анализа прошивок на наличие уязвимости.

С учётом проблем с подготовкой и доставкой и обновлений прошивок на уже выпущенные устройства предполагается появление в скором времени автоматизированных атак и червей, поражающих уязвимые сетевые устройства. После успешной атаки поражённые устройства могут использоваться злоумышленниками, например, для формирования ботнетов, внедрения бэкдоров для оставления лазейки во внутреннюю сеть предприятия, перехвата транзитного трафика или его перенаправления на внешний хост.

Уязвимость вызвана переполнением буфера в модуле "SIP ALG" (SIP Application Layer Gateway), применяемом для организации проброса SIP-пакетов за транслятор адресов. Проблема возникла из-за отсутствия проверки фактического размера полученных данных, что приводит к перезаписи области памяти за пределами фиксированного буфера при вызове функции strcpy во время обработки пакетов SIP. Атака может быть совершена через отправку UDP-пакета с некорректными значениями полей в блоке данных SDP или заголовке протокола SIP. Для эксплуатации достаточно отправить один пакет на произвольный UDP-порт WAN-интерфейса. 

https://www.opennet.ru/opennews/art.shtml?num=57645

- news - rules - faq -
jschan 0.9.2