opennet news. Страница 13

Выпуск Ventoy 1.0.90, инструментария для загрузки произвольных систем с USB-носителей Опубликован выпуск инструментария Ventoy 1.0.90, предназначенного для создания загрузочных USB-носителей, включающих несколько операционных систем. Программа примечательна тем, что обеспечивает возможность загрузки ОС из неизменных ISO, WIM, IMG, VHD и EFI-образов, не требуя распаковки образа или переформатирования носителя. Например, достаточно просто скопировать на USB Flash с загрузчиком Ventoy интересующий набор iso-образов и Ventoy обеспечит возможность загрузки находящихся внутри операционных систем. В любой момент можно заменить или добавить новые iso-образы просто скопировав новые файлы, что удобно для тестирования и предварительного ознакомления с различными дистрибутивами и операционными системами. Код проекта написан на языке Си и распространяется под лицензией GPLv3.

Опубликована прошивка Ubuntu Touch OTA-1 Focal, переведённая на Ubuntu 20.04 Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-1 Focal (over-the-air). Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri. Представленное обновление подвело итог почти трёхлетней работе по портированию Ubuntu Touch на Ubuntu 20.04 (прошлые выпуски базировались на Ubuntu 16.04). Обновление Ubuntu Touch OTA-1 Focal сформировано для смартфонов Fairphone 4, Google Pixel 3a, Vollaphone 22, Vollaphone X и Vollaphone.

Debian 9 Stretch перемещён в архив Репозитории Debian 9 (Stretch) перемещены в archive.debian.org, после чего дистрибутив скоро перестанет быть доступным через основную сеть зеркал. Удаление Debian 9 из основного архива запланировано на 23 апреля.

BlenderGPT - плагин для управления Blender командами на естественном языке Для системы 3D-моделирования подготовлен небольшой плагин BlenderGPT, позволяющий генерировать контент на основе заданий, определяемых на естественном языке. Интерфейс для ввода команд оформлен в виде дополнительной вкладки "GPT-4 Assistant" в боковой панели 3D View, в которой можно вводить произвольные инструкции (например, "создай 100 кубов в случайных местах", "возьми имеющиеся кубы и сделай их разным размером") и сразу получать результат. Код написан на Python, занимает чуть больше 300 строк и распространяется под лицензией MIT.

Релиз свободной системы финансового учета GnuCash 5.0 Состоялся релиз свободной системы индивидуального финансового учета GnuCash 5.0, предоставляющей инструменты для отслеживания доходов и расходов, ведения банковских счетов, управления информацией об акциях, вкладах и инвестициях, планирования кредитов. При помощи GnuCash также возможно ведение бухгалтерского учёта для малых предприятий и сведение баланса (дебет/кредит). Поддерживается импорт данных в форматах QIF/OFX/HBCI и наглядное представление информации на графиках. Код проекта поставляется под лицензией GPLv2+. Имеется вариант GnuCash для Android. Готовые сборки подготовлены для Linux (flatpak), macOS и Windows.

Let's Encrypt внедрил расширение для координации обновления сертификатов Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о реализации в своей инфраструктуре поддержки ARI (ACME Renewal Information), расширения протокола ACME, позволяющего передавать клиенту сведения о необходимости обновления сертификатов и рекомендовать оптимальное время для обновления. Спецификация ARI проходит процесс стандартизации комитетом IETF (Internet Engineering Task Force), занимающимся развитием протоколов и архитектуры интернета, и находится на стадии проверки чернового варианта.

Запуск пакетной инфраструктуры SerpentOS Разработчики SeprentOS сообщили об успешном развёртывании инфраструктуры, к которой открыт публичный доступ. Инфраструктура состоит из трёх основных компонентов.

Выпуск операционной системы MidnightBSD 3.0 Состоялся релиз десктоп-ориентированной операционной системы MidnightBSD 3.0, основанной на FreeBSD с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD. Базовое десктоп-окружение построено на основе GNUstep, но пользователи имеют возможность установить WindowMaker, GNOME, Xfce или Lumina. Для загрузки подготовлен установочный образ размером 1 ГБ (i386, amd64).

На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla. Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3.

Проект Wine опубликовал Vkd3d 1.7 с реализацией Direct3D 12 Проект Wine опубликовал выпуск пакета vkd3d 1.7 с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan. В состав пакета входят библиотеки libvkd3d с реализаций Direct3D 12, libvkd3d-shader c транслятором 4 и 5 модели шейдеров и libvkd3d-utils с функциями для упрощения портирования приложений Direct3D 12, а также набор демонстрационных примеров, включая порт glxgears на Direct3D 12. Код проекта распространяется под лицензией LGPLv2.1.

Уязвимости в Apache OpenOffice Раскрыты сведения о двух уязвимостях в офисном пакете Apache OpenOffice. Проблемы были устранены в выпуске Apache OpenOffice 4.1.14 под видом не связанных с безопасностью ошибок (сведения об уязвимости раскрыты спустя месяц после выпуска OpenOffice 4.1.14).

Docker Hub отменил решение об упразднении бесплатного сервиса Free Team Компания Docker объявила об отмене ранее принятого решения о прекращении действия сервиса по подписке "Docker Free Team", позволяющего организациям, курирующим открытые проекты, бесплатно размещать образы контейнеров в каталоге Docker Hub, организовать работу команд и использовать приватные репозитории. Сообщается, что пользователи "Free Team" могут продолжить работу в прежнем режиме и не опасаться ранее намеченного удаления их учётных записей.

GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий GitHub сообщил об инциденте, в результате которого закрытый RSA-ключ, используемый в качестве хостового ключа при доступе к репозиториям GitHub по SSH, по ошибке оказался опубликован в публично доступном репозитории. Утечка коснулась только ключа RSA, хостовые SSH-ключи ECDSA и Ed25519 продолжают оставаться безопасными. Попавший в открытый доступ хостовый SSH-ключ не позволяет получить доступ к инфраструктуре GitHub или данным пользователей, но может использоваться для перехвата Git-операций, производимых через SSH.

Уязвимость в OverlayFS, позволяющая повысить свои привилегии В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Релиз Proxmox VE 7.4, дистрибутива для организации работы виртуальных серверов Опубликован релиз Proxmox Virtual Environment 7.4, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.1 ГБ.

Уязвимость в мессенджере Dino, позволяющая обойти проверку отправителя Опубликованы корректирующие выпуски коммуникационного клиента Dino 0.4.2, 0.3.2 и 0.2.3, поддерживающего чат, аудиовызовы, видеовызовы, видеоконференции и обмен текстовыми сообщениями с использованием протокола Jabber/XMPP. В обновлениях устранена уязвимость (CVE-2023-28686), позволяющая неавторизированному пользователю через отправку специально оформленного сообщения организовать добавление, изменение или удаление записей в персональных закладках другого пользователя без необходимости совершения жертвой каких-то действий. Кроме того, уязвимость позволяет изменить отображение групповых чатов или принудительно подключить или отключить пользователя от определённого группового чата, а также ввести пользователя в заблуждение для получения доступа к конфиденциальной информации.

Яндекс открыл YTsaurus, платформу для обработки и хранения больших объёмов данных Компания Яндекс объявила об открытии исходных текстов платформы распределённого хранения и обработки больших объёмов данных YTsaurus, поддерживающей манипуляцию данными с использованием парадигмы MapReduce, движка SQL-запросов, распределённой файловой системы и NoSQL хранилища в формате ключ-значение. YTsaurus используется в инфраструктуре Яндекс для эффективного использования вычислительных мощностей суперкомпьютеров компании. Код проекта написан на языках C/C++ и открыт под лицензией Apache 2.0.

Возможность восстановления части скриншотов, кадрированных на смартфонах Pixel В приложении Markup, применяемом в смартфонах Google Pixel для кадрирования и редактирования скриншотов, выявлена уязвимость (CVE-2023-21036), позволяющая частично восстановить обрезанную или отредактированную информацию. Проблема проявляется при редактировании в Markup PNG-изображений и вызвана тем, что при записи нового изменённого изображения данные накладываются на старый файл без его усечения, т.е. полученный после редактирования итоговый файл включает хвост исходного файла, в котором остаются старые сжатые данные.