opennet news. Страница 3

Уязвимость в VirtualBox, эксплуатируемая через протокол RDP В системе виртуализации VirtualBox выявлена уязвимость (CVE-2023-22018), позволяющая удалённому пользователю, подключающемуся к виртуальной машин через сеанс на базе протокола RDP, выполнить код на уровне хост-системы. Отмечается, что в определённых конфигурациях уязвимость может быть эксплуатирована неаутентифицированным пользователем, имеющим сетевой доступ к сервису RDP.

Для Chrome развивают возможность предпросмотра ссылок во всплывающем окне Разработчики Chrome приняли в кодовую базу движка Blink опцию для включения экспериментальной возможности "Link Preview", позволяющей отображать окно предпросмотра страницы, показываемое при наведении курсора на ссылку или удержания нажатия на ссылке.

Применение в Ubuntu своих патчей к OverlayFS привело к появлению уязвимостей В поставляемых в Ubuntu пакетах с ядром Linux выявлены уязвимости, вызванные внесением специфичных для Ubuntu патчей в реализацию модуля OverlayFS. Уязвимости позволяют повысить свои привилегии в системе и по оценке выявивших проблемы исследователей могут быть эксплуатированы примерно в 40% установок Ubuntu. Уязвимости проявляются только в пакетах с ядром для Ubuntu и устранены в обновлениях, выпущенных 26 июля (Ubuntu 23.04, 22.04, 20.04, 18.04, 16.04, 14.04 и др.).

Доступна Real-time редакция Ubuntu, оптимизированная для процессоров Intel Core Компания Canonical объявила о подготовке новых сборок Ubuntu, оптимизированных для выполнения задач в режиме реального времени на системах с процессорами Intel Core. Для повышения производительности и снижения влияния сторонней нагрузки на работу приложений, чувствительных к задержкам обработки и доставки данных, в сборках задействованы оптимизации, повышающие приоритет доступа к кэшу, памяти и сетевым операциям для приложений, работающих в режиме реального времени.

Опубликован PRQL, компилируемый в SQL язык обработки данных Доступен выпуск языка формирования запросов и преобразования данных PRQL 0.9 (Pipelined Relational Query Language), развиваемого в качестве более простой и функциональной замене SQL. Код на языке PRQL компилируется в SQL, что позволяет использовать его с любыми реляционными СУБД. Компилятор PRQL написан на языке Rust и распространяется под лицензией Apache 2.0.

Выпуск среды разработки PascalABC.NET 3.9.0 Доступен выпуск системы программирования PascalABC.NET 3.9.0, предлагающей редакцию языка программирования Паскаль с поддержкой генерации кода для платформы .NET, возможностью использования библиотек .NET и дополнительными возможностями, такими как обобщённые классы, интерфейсы, перегрузка операций, λ-выражения, исключения, сборка мусора, методы расширения, безымянные классы и автоклассы. Проект главным образом ориентирован на применение в сфере образования и научных исследований. Пакет также включает среду разработки с подсказками по коду, автоформатированием, отладчиком, дизайнером форм и образцами кода для начинающих. Код проекта распространяется под лицензией LGPLv3. Возможна сборка в Linux (на базе Mono) и Windows.

Протокол сквозного шифрования MLS получил статус предложенного стандарта Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола MLS (Messaging Layer Security) и опубликовал связанную с ним спецификацию RFC 9420 Спецификация получила статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Google продвигает API Web Integrity, подрывающий открытый характер Web Компания Google опубликовала черновой вариант спецификации Web Environment Integrity и работает над включением её реализации в кодовую базу Chromium и движка Blink. API Web Environment Integrity позволяет владельцам сайтов удостовериться, что окружение клиента заслуживает доверия, в плане защиты пользовательских данных, соблюдения интеллектуальной собственности и взаимодействия с реальным человеком.

В сентябре в Томске состоится конференция PGConf.Сибирь 9 сентября состоится PGConf.Сибирь 2023 — техническая конференция по открытой СУБД PostgreSQL от компании Postgres Professional для разработчиков, администраторов баз данных и IT-специалистов, интересующихся PostgreSQL. В 2023 году PGConf.Сибирь впервые пройдет в Томске на площадке «Город IT». В развлекательном комплексе «Факел» гостей конференции ждут выступления экспертов международного уровня с актуальными техническими докладами по PostgreSQL и общение с коллегами по отрасли в неформальной обстановке.

Выпуск платформы совместной разработки Forgejo 1.20 Опубликована новая версия платформы совместной разработки Forgejo 1.20, легковесной открытой альтернативы GitHub, устанавливаемой на собственный сервер. Проект Forgejo возник в октябре 22-го года в результате форка Gitea. В Forgejo регулярно переносятся все изменения кода Gitea, а также развиваются собственные новые возможности. В настоящее время под управлением Forgejo работает хостинг Codeberg.org . Код проекта написан на языке Go и поставляется под лицензией MIT.

Уязвимость в процессорах AMD Zen2, позволяющая определить содержимое регистров в других процессах Тэвис Орманди (Tavis Ormandy), исследователь безопасности из компании Google, выявил уязвимость (CVE-2023-20593) в процессорах AMD на базе микроархитектуры Zen2, которая может быть использована для отслеживания содержимого регистров во время выполнения других процессов на том же ядре CPU. Среди прочего атака может быть осуществлена из виртуальных машин и изолированных окружений.

Релиз видеоплеера MPV 0.36 Состоялся выпуск открытого видеоплеера MPV 0.36, в 2013 году ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного переноса новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения остающегося GPL-кода можно использовать опцию "--enable-lgpl".

Выпуск редактора векторной графики Inkscape 1.3 После 14 месяцев разработки опубликован релиз свободного векторного графического редактора Inkscape 1.3. Редактор предоставляет гибкие инструменты для рисования и обеспечивает поддержку чтения и сохранения изображений в форматах SVG, OpenDocument Drawing, DXF, WMF, EMF, sk1, PDF, EPS, PostScript и PNG. Готовые сборки Inkscape подготовлены для Linux (AppImage, ожидается публикация Snap и Flatpak), macOS и Windows.

Релиз свободного игрового движка OpenMW 0.48 После почти двух лет разработки опубликован выпуск проекта OpenMW 0.48, развивающего свободную реализацию движка для ролевой игры в жанре фэнтези The Elder Scrolls 3: Morrowind. По сравнению с оригинальным движком в OpenMW реализован модернизированный интерфейс пользователя, улучшена графика, добавлен собственный редактор OpenMW-CS для создания новых игр и модов, задействован движок симуляции физических процессов Bullet, добавлена поддержка платформ macOS и Linux, улучшено поведение ботов.

Доступны системы сборки CMake 3.27.0 и Meson 1.2 Опубликован релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.27, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Код CMake написан на языке C++ и распространяется под лицензией BSD.

Обновление Debian 12.1 Сформировано первое корректирующее обновление дистрибутива Debian 12, в которое включены обновления пакетов, выпущенные за месяц с момента релиза новой ветки, и устранены недоработки в инсталляторе. Выпуск включает 89 обновлений с устранением проблем со стабильностью и 26 обновлений с устранением уязвимостей. Из изменений в Debian 12.1 можно отметить обновление до свежих стабильных версий пакетов libreoffice, dbus, dpdk, gnome-control-center, gnome-maps, gnome-shell, gnome-software, mutter, nvidia-graphics-drivers, postfix, qemu, systemd.

Уязвимости в прошивках AMI MegaRAC, позволяющие удалённо выполнить код на уровне BMC-чипа Исследователи из компании Eclypsium выявили две узявимости в контроллерах BMC (Baseboard Management Сontroller), оснащённых прошивками MegaRAC от компании American Megatrends (AMI), которые применяются многими производителями серверов для организации автономного управления оборудованием. Уязвимости позволяют неаутентифицированному атакующему получить доступ к управляющему окружению BMC и выполнить свой код на уровне прошивки через отправку специально оформленного запроса на HTTP-порт управляющего интерфейса Redfish (пришёл на смену IPMI). Как правило, доступ к BMC открывается только для локальной сети или сети датацентра, но случается, что его не закрывают и для обращения из глобальной сети. Эксплуатация уязвимостей в BMC также может быть произведена при наличии доступа к локальной операционной системе с целью повреждения оборудования. Проблемы устранены в обновлениях прошивки AMI MegaRAC BMC SPx13.2 и SPx12.4.

Выпуск Wine 8.13 и пакета для запуска Windows-игр Proton 8.0-3 Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 8.13. С момента выпуска версии 8.12 было закрыто 36 отчётов об ошибках и внесено 290 изменений.