Атака нацелена на то, что пользователь не станет отслеживать оригинал и воспользуется вместо репозитория основного проекта кодом из форка или клона с немного отличающимся именем. В настоящее время GitHub уже удалил большую часть форков с вредоносной вставкой. Пользователям, приходящим на GitHub из поисковых систем, рекомендуется внимательно проверять связь репозитория с основным проектом перед использованием кода из него.

Добавляемый вредоносный код отправлял содержимое переменных окружения на внешний сервер с расчётом на кражу токенов к AWS и системам непрерывной интеграции. Кроме того, в код интегрировался бэкдор, запускающий shell-команды, возвращённые после отправки запроса к серверу злоумышленников. Большинство вредоносных изменений было добавлено от 6 до 20 дней назад, но присутствуют отдельные репозитории, в которых вредоносный код прослеживается с 2015 года.

1. Главная ссылка к новости
2. OpenNews: В Git-репозитории проекта PHP выявлены вредоносные изменения
3. OpenNews: Зафиксирована атака вредоносных шифровальщиков на Git-репозитории (дополнено)
4. OpenNews: Захват контроля над уязвимыми серверами GitLab для вовлечения в проведение DDoS-атак
5. OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM

Изменение нацелено на снижение издержек на поддержание хостинга за счёт высвобождения ресурсов на хранение и обработку заброшенных проектов и неразвивающихся форков. Предполагается, что на поддержание инфраструктуры для заброшенных проектов приходится до четверти всех затрат на работу хостинга GitLab.com и автоматическая чистка подобных проектов позволит сэкономить до миллиона долларов в год.

До фактического удаления в течение нескольких недель или месяцев владельцам претендующих на удаление репозиториев будут направляться уведомления с предупреждением о необходимости подтвердить актуальность проекта. Удалять планируют только заброшенные проекты, авторы которых не реагируют на предупреждения, в репозитории в течение года не отмечалось изменений, не публиковались новые issue и не отправлялись комментарии.

Тем не менее, некоторые участники сообщества считают предлагаемое удаление порочной практикой, так как код из неактивных репозиториев может использоваться в качестве зависимости в других проектах, остающихся активными. Также отмечается, что постоянные изменения не являются целью некоторых авторов, которые вполне могут считать, что текущее состояние их проекта достигло оптимального уровня, и код достаточно хорош и не требует улучшения, или изначально открывать готовые наработки, которые не планируется развивать, но которые могут оказаться полезными окружающим.

Кроме того, на код неактивных проектов могут ссылаться внешние ресурсы, и его удаление приведёт к потере подтверждённой эталонной копии, на которую можно ссылаться (в неофициальных копиях не гарантируется отсутствие вредоносной активности), поэтому вместо удаления, вероятно, более оптимальным был бы перевод в архивное состояние с сохранением возможности доступа к коду в режиме только для чтения. Для экономии дискового пространства при хранении мусорных форков можно использовать более эффективные методы обработки дубликатов, например, GitHub для исключения дублирования данных хранит вместе все объекты из основного репозитория и связанных с ним форков, логически разделяя принадлежность коммитов.

Дополнение 1: Компания GitLab пересмотрела свои планы и решила не удалять неиспользуемые репозитории, а перемещать их в отдельное объектное хранилище. Отмечается, что хранилище с устаревшими проектами будет более медленным, чем основное хранилище для активных репозиториев, но оно позволит не потерять безвозвратно код. Пока не уточняется смогут ли обращаться к архиву все желающие или он останется доступен только для владельцев удалённых проектов.

Дополнение 2: Руководитель GitLab уточнил, что подлежащие чистке неактивные репозитории останутся доступны для чтения всем желающим и, скорее всего, доступ к ним будет напоминать возможность работы с проектами, переведёнными разработчиками в разряд архивных.

1. Главная ссылка к новости
2. OpenNews: Разработчики Wine приняли решение о переводе разработки на GitLab
3. OpenNews: Fedora и CentOS запускают Git Forge. GitLab открывает 18 проприетарных возможностей
4. OpenNews: GitLab отложил включение телеметрии
5. OpenNews: Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
6. OpenNews: GitLab вводит проверку по номеру кредитной карты для запуска обработчиков в CI

Основные изменения в Chrome 104:

• Введено предельное время существование Cookie - все новые или обновлённые Cookie будут автоматически удаляться после 400 дней существования, даже если выставленное через атрибуты Expires и Max-Age время устаревания превышает 400 дней (для таких Cookie время жизни будет урезано до 400 дней). Созданные до введения ограничения Cookie сохранят своё время жизни, даже если оно превышает 400 дней, но будут ограничены в случае обновления. Изменение отражает новые требования, отмеченные в черновике новой спецификации.
• Включена блокировка обращений из iframe к URL, ссылающихся на локальную файловую систему ("filesystem://").
• Для ускорения загрузки страницы добавлена новая оптимизация, обеспечивающая установку соединения к целевому хосту в момент нажатия на ссылку, не дожидаясь отпускания кнопки или убирания пальца с сенсорного экрана.
• Добавлены настройки для управления API "Topics & Interest Group", продвигаемого в рамках инициативы Privacy Sandbox и позволяющего определять категории интересов пользователя и использовать их вместо отслеживающих Cookie для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей. Кроме того, добавлены показываемые один раз информационные диалоги, поясняющие пользователю суть технологии и предлагающие активировать её поддержку в настройках.
• Увеличены пороговые значения для ограничения вложенных вызовов таймеров setTimeout и setInterval, запущенных с указанием интервала менее 4 мс ("setTimeout(..., <4ms)"). Суммарный лимит на подобные вызовы увеличен с 5 до 100, что позволяет агрессивно не урезать единичные вызовы, но при этом не допускать злоупотреблений, способных повлиять на производительность браузера.
• Включена отправка на сервер основного сайта запроса подтверждения полномочий CORS (Cross-Origin Resource Sharing) с заголовком "Access-Control-Request-Private-Network: true", в случае обращения со страницы к субресурсу во внутренней сети (192.168.x.x, 10.x.x.x, 172.16-31.x.x) или к localhost (127.x.x.x). При подтверждении операции в ответ на данный запрос сервер должен вернуть заголовок "Access-Control-Allow-Private-Network: true". В версии Chrome 104 результат подтверждения пока не влияет на обработку запроса - в случае отсутствия подтверждения в web-консоли отображается предупреждение, но сам запрос субресурса не блокируется. Включение блокировки при отсутствии подтверждения от сервера ожидается не раньше, чем в выпуске Chrome 107. Для включения блокировки в более ранних выпусках можно активировать настройку "chrome://flags/#private-network-access-respect-preflight-results".

  Подтверждение полномочий сервером введено для усиления защиты от атак, связанных с обращением к ресурсам в локальной сети или на компьютере пользователя (localhost) из скриптов, загружаемых при открытии сайта. Подобные запросы используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Для защиты от подобных атак в случае обращения к любым субресурсам во внутренней сети, браузер будет отправлять явный запрос полномочия загрузки этих субресурсов.

• Добавлен механизм Region Capture, позволяющий обрезать лишние содержимое из видео, формируемого на основе захвата экрана. Например, при помощи API getDisplayMedia web-приложение может организовать передачу видео с содержимым вкладки, а Region Capture позволяет вырезать часть содержимого, включающего элементы управления видеоконференцией.
• Добавлена поддержка определённого в спецификации Media Queries Level 4 нового синтаксиса медиазапросов, определяющих минимальный и максимальный размер видимой области (viewport). Новый синтаксис позволяет использовать обычные математические операторы сравнения и логические операторы, такие как "not", "or" и "and". Например, вместо "@media (min-width: 400px) { … }" теперь можно указывать "@media (width >= 400px) { … }".
• В режиме Origin Trials (экспериментальные возможности, требующие отдельной активации) добавлено несколько новых API. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
  • Добавлено CSS-свойство "focusgroup" для улучшение навигации по элементам при помощи стрелок управления курсором на клавиатуре.
  • В API Secure Payment Confirmation предоставлена возможность отключения пользователем хранилища параметров кредитных карт. Для вывода диалога, позволяющего отказаться от сохранения параметров кредитных карт, в конструкторе PaymentRequest() предусмотрен флаг "showOptOut: true".
  • Добавлен API Shared Element Transitions, позволяющий организовать плавный переход между разными представлениями содержимого в одностраничных web-приложениях.
• Стабилизирована поддержка спекулятивных правил (Speculation rules), позволяющих авторам сайтов передать браузеру сведения о наиболее вероятных страницах, на которые пользователь может перейти. Браузер использует эту информацию для упреждающей загрузки и отрисовки содержимого страниц.
• Стабилизирован механизм упаковки субресурсов в пакеты в формате Web Bundle, позволяющий увеличить эффективность загрузки большого числа сопутствующих файлов (CSS-стили, JavaScript, изображения, iframe). В отличие от пакетов в формате Webpack, формат Web Bundle обладает следующими достоинствами: в HTTP-кэше оседает не сам пакет, а его составные части; компиляция и выполнение JavaScript начинается не дожидаясь полной загрузки пакета; допускается включение дополнительных ресурсов, таких как CSS и изображения, которые в webpack должны были кодироваться в форме JavaScript-строк.
• Добавлено CSS-свойство object-view-box, позволяющее определить часть изображения, которая будет выведена в области вместо заданного элемента, что можно использовать, например, для добавления обрамления или тени.
• Добавлен API Fullscreen Capability Delegation, позволяющий одному объекту Window передать другому объекту Window право вызова requestFullscreen().
• Добавлен API Fullscreen Companion Window, позволяющий разместить полноэкранное содержимое и всплывающие окна на другом экране после получения подтверждения от пользователя.
• В CSS-свойство overflow-clip-margin добавлен атрибут visual-box, определяющий с какого места следует начинать обрезку контента, вышедшего за границу области (может принимать значения content-box, padding-box и border-box).
• В API Async Clipboard добавлена возможность определения специализированных форматов для передаваемых через буфер обмена данных, отличных от текста, изображений и текста с разметкой.
• В WebGL предоставлена поддержка указания цветового пространства для буфера отрисовки и преобразования при импорте из текстуры.
• Прекращена поддержка платформ OS X 10.11 и macOS 10.12.
• Прекращена поддержка API U2F (Cryptotoken), который ранее объявлен устаревшим и и отключён по умолчанию. На смену API U2F пришёл API Web Authentication.
• Внесены улучшения в инструменты для web-разработчиков. В отладчике добавлена возможность перезапуска кода с начала функции, после срабатывания точки останова где-то в теле функции. Добавлена поддержка разработки дополнений для панели Recorder. В панель для анализа производительности добавлена поддержка визуализации меток, выставленных в web-приложении через вызов метода performance.measure(). Улучшены рекомендации при автодополнении свойств объектов JavaScript. При автодополнении CSS-переменных обеспечен предпросмотр значений, не связанных с цветами.

Кроме нововведений и исправления ошибок в новой версии устранено 27 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 22 премии на сумму 84 тысячи долларов США (одна премия $15000, одна премия $10000, одна премия $8000, одна премия $7000, четыре премии $5000, одна премия $4000, три премии $3000, четыре премии $2000 и три премии $1000). Размер одного вознаграждения пока не определён.

1. Главная ссылка к новости
2. OpenNews: Операционная система Chrome OS Flex готова для установки на любое оборудование
3. OpenNews: Релиз Chrome 103
4. OpenNews: Доступна операционная система Chrome OS 103
5. OpenNews: Для Chrome развивают режим автоматического блокирования спама в уведомлениях
6. OpenNews: В Chrome тестируют встроенный редактор скриншотов

Одновременно сформирован корректирующий выпуск ветки на базе Debian - Slax 11.4, в который включены обновления пакетов, предложенные в Debian 11.4. Сборки ветки Slax 11.x подготовлены для архитектур x86_64 и i386.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Slax 11.2 на базе Debian 11
3. OpenNews: Выпуск дистрибутива Slax 9.7
4. OpenNews: Возрождение дистрибутива Slax
5. OpenNews: Выпуск дистрибутива Slackel 7.5
6. OpenNews: Релиз дистрибутива Slackware 15.0

Готовая реализация метода взлома SIKE опубликована в виде сценария для алгебраической системы Magma. Для восстановления закрытого ключа, применяемого для шифрования защищённых сетевых сеансов, при использовании набора параметров SIKEp434 (level 1) на одноядерной системе потребовались 62 минуты, SIKEp503 (level 2) - 2 часа 19 минут, SIKEp610 (level 3) - 8 часов 15 минут, SIKEp751 (level 5) - 20 часов 37 минут. На решение разработанных компанией Microsoft конкурсных заданий $IKEp182 и $IKEp217 было потрачено 4 и 6 минут соответственно.

Алгоритм SIKE базируется на использовании суперсингулярной изогении (кружение в суперсингулярном изогенном графе) и рассматривался NIST в качестве кандидата на стандартизацию, так как отличался от других претендентов наименьшим размером ключа и поддержкой совершенной прямой секретности (компрометация одного из долговременных ключей не позволяет расшифровать ранее перехваченный сеанс). SIDH представляет собой аналог протокола Диффи-Хеллмана, основанный на кружении в суперсингулярном изогенном графе.

Опубликованный метод взлома SIKE основан на предложенной в 2016 году адаптивной атаке GPST (Galbraith-Petit-Shani-Ti) на суперсингулярные изогенные механизмы инкапсуляции ключей и использует существование небольшого нескалярного эндоморфизма в начале кривой, подкрепляемого дополнительными сведениями о точке кручения, передаваемыми агентами, взаимодействующими в процессе работы протокола.

1. Главная ссылка к новости
2. OpenNews: NIST утвердил алгоритмы шифрования, устойчивые к квантовым вычислениям
3. OpenNews: Рассчитаны параметры квантового компьютера для взлома ключей, используемых в Bitcoin
4. OpenNews: Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP
5. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
6. OpenNews: Hertzbleed - новое семейство атак по сторонним каналам, затрагивающее современные CPU

Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет добиться производительности, сопоставимой с программами на языке Си.

Проект изначально разрабатывается с оглядкой на многопоточное программирование и эффективную работу на многоядерных системах, в том числе предоставляя реализованные на уровне операторов средства для организации параллельных вычислений и взаимодействия между параллельно выполняемыми методами. Язык также предоставляет встроенные средства защиты от выхода за допустимые области выделенных блоков памяти и обеспечивает возможность использования сборщика мусора.

Среди изменений в новом выпуске:

• Проведена работа по оттачиванию добавленной в прошлом выпуске поддержки обобщённых функций и типов (дженериков), при помощи которых разработчик может определить и использовать функции, предназначенные для работы сразу с несколькими типами. Проведена оптимизация - производительность некоторых программ, использующих дженерики, выросла на 20%.
• В документирующих комментариях добавлена поддержка ссылок, списков и более простого синтаксиса определения заголовков. В утилите gofmt обеспечено форматирование с учётом расширенных возможностей комментариев с документацией на API.
• Пересмотрена модель памяти для языка Go, которая приведена в соответствие с моделями языков C, C++, Java, JavaScript, Rust и Swift, не поддерживающих последовательные согласованные атомарные значения. Для упрощения использования атомарных значений в пакете sync/atomic предложены новые типы, такие как atomic.Int64 и atomic.Pointer[T]. Изменение модели памяти не повлияло на совместимость с ранее написанным кодом.
• С целью усиления защиты модуль os/exec теперь не учитывает относительные пути при раскрытии переменной окружения PATH (например, при определении пути для исполняемого файла теперь не проверяется текущий каталог).
• В сборщике мусора появилась возможность определения мягких ограничений памяти (soft limit), которые применяются путём ограничения размера кучи и более агрессивного возвращения памяти системе, т.е. не гарантируется, что потребление будет находится в заданных рамках в любых условиях. Мягкие ограничения могут быть полезны для оптимизации программ, запускаемых в контейнерах с фиксированным размером памяти.
• Добавлено новое сборочное ограничение "unix", которое может применяться в строках "go:build" для отсеивания Unix-подобных систем (aix, android, darwin, dragonfly, freebsd, hurd, illumos, ios, linux, netbsd, openbsd, solaris).
• Реализованы многочисленные оптимизации производительности. Добавлена поддержка динамической установки размера стека сопрограмм для сокращения размера копируемых данных. На Unix-системах реализовано автоматическое задействование дополнительных файловых дескрипторов (увеличение лимита RLIMIT_NOFILE). Для ускорения больших switch-выражений на системах x86-64 и ARM64 задействованы таблицы переходов (jump table), позволяющие обрабатывать большие switch-выражений до 20% быстрее. На системах riscv64 реализована передача аргументов функций через регистры CPU, что позволило добиться прироста производительности примерно на 10%.
• Добавлена экспериментальная поддержка Linux-окружений на системах с процессорами Loongson на базе 64-разрядной архитектуры LoongArch (GOARCH=loong64).

1. Главная ссылка к новости
2. OpenNews: Выпуск языка программирования Go 1.18
3. OpenNews: Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов
4. OpenNews: Уязвимости в системе загрузки модулей для языка Go
5. OpenNews: Атака Trojan Source для внедрения изменений в код, незаметных для разработчика
6. OpenNews: Обновление рейтинга библиотек, требующих особой проверки безопасности

Среди изменений:

• Во всплывающий экран, выводимый при нажатии кнопки Steam во время игры, добавлены новые страницы с достижениями (Achievements) и руководствами (Guides).
• Реализован вывод предупреждения, если температура консоли вышла за пределы допустимых значений.
• Добавлена настройка для автоматического перехода в ночной режим в заданное время.
• Добавлена кнопка для очистки содержимого строки поиска.
• Возвращён переключатель для активации режима адаптивной настройки яркости.
• Проведена оптимизация экранной клавиатуры для упрощения ввода с использованием трекпадов и сенсорных экранов.
• Добавлен новый интерфейс выбора канала доставки обновлений. Предложены каналы Stable (установка последних стабильных версий Steam Client и SteamOS), Beta (установка свежей бета-версии Steam Client и стабильного выпуска SteamOS) и Preview (установка свежей бета-версии Steam Client и бета-выпуска SteamOS).
• Внесены исправления, нацеленные на повышение производительности.
• В режиме рабочего стола осуществлён переход на поставку Firefox в форме пакета в формате Flatpak. При попытке первого запуска Firefox осуществляется вывод диалога для его установки через Discover Software Center.
• Настройки сетевого соединения, изменённые в режиме рабочего стола, теперь синхронизируются с общесистемными параметрами для их доступности в режиме игры.
• Добавлена тема оформления VGUI2 Classic.
• Добавлена поддержка джойстиков Qanba Obsidian и Qanba Dragon в режиме рабочего стола.
• Добавлена настройка для масштабирования интерфейса пользователя Steam Deck для внешних экранов.
• Обновлены версии графических и беспроводных драйверов, а также утилит для работы с прошивками игрового контроллера.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Steam OS 3.2, используемого на игровой консоли Steam Deck
3. OpenNews: Энтузиасты подготовили сборку Steam OS 3, пригодную для установки на обычные ПК
4. OpenNews: Компания Canonical представила Steam Snap для упрощения доступа к играм в Ubuntu
5. OpenNews: Обновление дистрибутива Steam OS, используемого на игровой консоли Steam Deck
6. OpenNews: В Chrome OS появилась возможность запуска игр, распространяемых через Steam

Всего обеспечена возможность запуска более 260 квестов и более 1600 интерактивных текстовых игр, включая игры компаний LucasArts, Humongous Entertainment, Revolution Software, Cyan и Sierra, такие как Maniac Mansion, Monkey Island, Broken Sword, Myst, Blade Runner, King's Quest 1-7, Space Quest 1-6, Discworld, Simon the Sorcerer, Beneath A Steel Sky, Lure of the Temptress и The Legend of Kyrandia. Поддерживается запуск игр на платформах Linux, Windows, macOS, iOS, Android, PS Vita, Switch, Dreamcast, AmigaOS, Atari/FreeMiNT, RISC OS, Haiku, PSP, PS3, Maemo, GCW Zero и др.

В новой версии:

• Исходные тексты проекта переведены с лицензии GPLv2 на лицензию GPLv3+.
• Добавлена поддержка игр:
  • Sanitarium.
  • Hades Challenge.
  • Marvel Comics Spider-Man: The Sinister Six.
  • The 11th Hour.
  • Clandestiny.
  • Tender Loving Care.
  • Uncle Henry's Playhouse.
  • Wetlands.
  • Chewy: Esc from F5.
• Для сборки теперь требуется компилятор с поддержкой стандарта C++11. Прекращена поддержка сборки в VS2008.
• Добавлены расширенные возможности фильтрации результатов поиска.
• В графическом интерфейсе реализован режим просмотра на основе пиктограмм.
• Добавлена поддержка звуковой карты RetroWave OPL3.
• Добавлен экспериментальный порт OpenDingux.
• Удалён порт Symbian.
• Предоставлена утилита create_engine для упрощения создания новых движков.
• В Launcher предоставлена возможность группировки игр по категориям, а также предложен новый интерфейс навигации по новым играм, оформленный в виде сетки пиктограмм.
• Добавлен новый движок Digital iMUSE.
• В движке SCI обеспечена поддержка записи в играх BRAIN1, BRAIN2, ECOQUEST1, ECOQUEST2, FAIRYTALES, PHARKAS, GK1, GK2, ICEMAN, KQ1, KQ4, KQ5, KQ6, KQ7, LB1, LB2, LIGHTHOUSE, LONGBOW, LSL1, LSL2, LSL3, LSL5, LSL6, LSL6HIRES, LSL7, PEPPER, PHANT2, PQ1, PQ2, PQ3, PQ4, PQSWAT, QFG1, QFG1VGA, QFG2, QFG3, QFG4, SHIVERS, SQ1, SQ3, SQ4, SQ5, SQ6, TORIN.
• В порте для платформы Android добавлена поддержка аппаратного ускорения 3D-графики.

1. Главная ссылка к новости
2. OpenNews: Выпуск Lakka 4.1, дистрибутива для создания игровых консолей
3. OpenNews: Выпуск платформы Lutris 0.5.10 для упрощения доступа к играм из Linux
4. OpenNews: Выпуск свободного эмулятора классических квестов ScummVM 2.5.0
5. OpenNews: Выпуск эмулятора игровых консолей RetroArch 1.10.0
6. OpenNews: Выпуск Dolphin 5.0, эмулятора игровых консолей GameCube и Wii

Основные изменения:

• Добавлена поддержка совместно используемых объектов ID3D11Fence, реализованная поверх разделяемых хронологических семафоров Vulkan (Timeline semaphore), предоставляющих единый примитив для синхронизации между устройством и хостом, вместо раздельных примитивов VkFence и VkSemaphore. Поддержка ID3D11Fence позволила добиться работы видео в игре Halo Infinite при применении соответствующих патчей для wine и vkd3d-proton.
• Устранено регрессивное изменение в DXVK 1.10.2, приводившее к сбоям при отрисовке в различных играх D3D11, включая игры Prey и Bioshock Infinite.
• Устранены проблемы, проявляющиеся в играх Need For Speed 3, Ninja Blade и Ys Origin.
• Для игры Stray включена опция d3d11.ignoreGraphicsBarriers, решившая проблемы с падением производительности на некоторых GPU.

1. Главная ссылка к новости
2. OpenNews: Выпуск DXVK 1.10.2, реализации Direct3D 9/10/11 поверх API Vulkan
3. OpenNews: Выпуск DXVK 1.10.1, реализации Direct3D 9/10/11 поверх API Vulkan
4. OpenNews: Выпуск DXVK 1.10 и VKD3D-Proton 2.6, реализаций Direct3D для Linux
5. OpenNews: Компания Valve выпустила Proton 7.0-3, пакет для запуска Windows-игр в Linux

Уязвимость напоминает прошлые проблемы в SCP и также вызвана тем, что сервер принимает решение о местоположении записываемого файла, а клиент должным образом не сверяет то, что отдаётся сервером, с тем, что было запрошено, что позволяет серверу записать файлы, изначально не запрошенные клиентом. Например, в случае копирования пользователем файлов в домашний каталог сервер может выдать вместо запрошенных файлов файлы с именами .bash_aliases или .ssh/authorized_keys, и они будут сохранены в домашнем каталоге пользователя.

1. Главная ссылка к новости
2. OpenNews: Выпуск утилиты для синхронизации файлов Rsync 3.2.4
3. OpenNews: Выпуск Rsync 3.1.2 c устранением уязвимости
4. OpenNews: Вышел Rsync 3.0.2 с исправлением критической уязвимости
5. OpenNews: Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP
6. OpenNews: Выпуск утилиты для резервного копирования rclone 1.59

В новой версии:

• Инструментарий и вариант библиотеки alloc, избавленный от возможных генераций состояния "panic" при возникновении ошибок, обновлены до выпуска Rust 1.62. По сравнению с ранее используемой версией в инструментарии Rust стабилизирована поддержка функциональности const_fn_trait_bound, используемой в патчах к ядру.
• Код привязок выделен в отдельный crate-пакет "bindings", что упрощает пересборку в случае внесения изменений только в основной пакет "kernel".
• Реализация макроса "concat_idents!" переписана в форме процедурного макроса, не привязанного к функциональности concat_idents и допускающего применение ссылок на локальные переменные.
• Переписан макрос "static_assert!", что позволило использовать "core::assert!()" в любом контексте вместо констант.
• Макрос "build_error!" адаптирован для работы при выставлении для модулей режима "RUST_BUILD_ASSERT_{WARN,ALLOW}".
• Добавлен отдельный файл с настройками "kernel/configs/rust.config".
• Обрабатываемые в макроподстановках файлы "*.i" переименованы в "*.rsi".
• Прекращена поддержка сборки Rust-компонентов с уровнями оптимизации, отличными от применяемых для кода на языке Си.
• Добавлен модуль fs, предоставляющий обвязки для работы с файловыми системами. Предложен пример простой файловой системы, написанной на языке Rust.
• Добавлен модуль workqueue для работы с системными очередями (предоставляет обвязки над структурами ядра work_struct и workqueue_struct).
• Продолжено развитие модуля kasync с реализацией методов асинхронного программирования (async). Добавлен пример работающего на уровне ядра TCP-сервера, написанного на Rust.
• Добавлена возможность обработки прерываний на языке Rust при помощи типажей [Threaded]Handler и типов [Threaded]Registration`.
• Добавлен процедурный макрос "#[vtable]", упрощающий работу с таблицами указателей на функции, такими как структура file_operations.
• Добавлена реализация двунаправленных связных списков "unsafe_list::List".
• Добавлена начальная поддержка RCU (Read-copy-update) и тип Guard для проверки привязки блокировки на чтение к текущему потоку.
• Добавлена функция Task::spawn() для создания и автоматического запуска потоков ядра. Также добавлен метод Task::wake_up().
• Добавлен модуль delay, позволяющий использовать задержки (обёртка над msleep()).

Предложенные изменения дают возможность использовать Rust в качестве второго языка для разработки драйверов и модулей ядра. Поддержка Rust преподносится как опция, не активная по умолчанию и не приводящая к включению Rust в число обязательных сборочных зависимостей к ядру. Использование Rust для разработки драйверов позволит с минимальными усилиями создавать безопасные и более качественные драйверы, избавленные от таких проблем как обращение к области памяти после её освобождения, разыменование нулевых указателей и выход за границы буфера.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами и учёт времени жизни объектов (области видимости), а также через оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

1. Главная ссылка к новости
2. OpenNews: Линус Торвальдс не исключил возможность интеграции поддержки Rust в ядро Linux 5.20
3. OpenNews: Шестая версия патчей для ядра Linux с поддержкой языка Rust
4. OpenNews: Проект Kerla развивает Linux-совместимое ядро на языке Rust
5. OpenNews: Поддержка Rust для ядра Linux столкнулась с критикой Торвальдса
6. OpenNews: В ветку ядра Linux-next добавлен код для разработки драйверов на языке Rust

Из реализованных в Glibc 2.36 улучшений можно отметить:

• Добавлена поддержка нового формата относительных перемещений адресов DT_RELR (relative relocation), позволяющего сократить размер относительных перемещений в разделяемых объектах и исполняемых файлах, скомпонованных в режиме с PIE (Position-independent executables). Для использования поля DT_RELR в ELF-файлах необходима поддержка опции "-z pack-relative-relocs" в компоновщике, появившаяся в выпуске набора binutils 2.38.
• Для платформы Linux реализованы функции pidfd_open, pidfd_getfd и pidfd_send_signal, предоставляющие доступ к функциональности pidfd, помогающей обрабатывать ситуации с повторным использованием PID для более точной идентификации процессов, обращающихся к отслеживаемым файлам (pidfd связывается с конкретным процессом и не меняется, в то время как PID может быть привязан к другому процессу после завершения текущего процесса, ассоциированного с этим PID).
• Для платформы Linux добавлена функция process_madvise(), позволяющая одному процессу выполнить системный вызов madvise() от имени другого процесса, идентифицируя целевой процесс при помощи pidfd. Через madvise() можно информировать ядро об особенностях работы с памятью для оптимизации управления памятью процесса, например, на основе переданной информации ядро может инициировать высвобождение дополнительной свободной памяти. Вызов madvise() другим процессом может потребоваться в ситуации, когда информация, необходимая для оптимизации, неизвестна текущему процессу, а координируется отдельным фоновым управляющим процессом, который самостоятельно может инициировать изъятие у процессов неиспользуемой памяти.
• Для платформы Linux добавлена функция process_mrelease(), позволяющая ускорить освобождение памяти процесса, завершающего своё выполнение. В обычных условиях освобождение ресурсов и завершение процесса выполняется не мгновенно и по разным причинам может задерживаться, что мешает работе функционирующих в пространстве пользователя систем раннего реагирования на нехватку памяти, таких как oomd (предоставляется в systemd). При помощи вызова process_mrelease подобные системы могут более предсказуемо инициировать возвращение памяти от принудительно завершаемых процессов.
• Во встроенную реализацию DNS-резолвера добавлена поддержка опции "no-aaaa", позволяющей для упрощения диагностики проблем отключить отправку DNS-запросов записей AAAA (определение адреса IPv6 по имени хоста), в том числе при выполнении NSS-функций, подобных getaddrinfo(). Опция не влияет на обработку привязок IPv6-адресов, определённых в /etc/hosts и вызовы getaddrinfo() с флагом AI_PASSIVE.
• Для платформы Linux добавлены функции fsopen, fsmount, move_mount, fsconfig, fspick, open_tree и mount_setattr, предоставляющие доступ к новому API ядра для управления монтированием файловых систем с учётом пространств имён точек монтирования (mount namespaces). Предложенные функции позволяют раздельно обработать разные стадии монтирования (обработать суперблок, получить информацию об ФС, примонтировать, прикрепить к точке монтирования), которые ранее выполнялись при помощи общей функции mount(). Раздельные функции дают возможность выполнять более сложные сценарии монтирования и отдельно выполнять такие операции, как перенастройка суперблока, включение опций, изменение точки монтирования и перенос в другое пространство имён. Кроме того, раздельная обработка позволяет точно определять причины вывода кодов ошибок и задавать несколько источников для многослойных ФС, таких как overlayfs.
• В localedef реализована поддержка обработки файлов с определениями локалей, поставляемых в кодировке UTF-8 вместо ASCII.
• Добавлены функции для преобразования многобайтовых кодировок mbrtoc8 и c8rtomb, соответствующие спецификациям ISO C2X N2653 и C++20 P0482R6.
• Добавлена поддержка типа char8_t, определённого в черновике стандарта ISO C2X N2653.
• Добавлены функции arc4random, arc4random_buf и arc4random_uniform, предоставляющие обвязки над системным вызовом getrandom и интерфейсом /dev/urandom, возвращающие псевдослучайные числа высокого качества.
• При работе на платформе Linux реализована поддержка архитектуры набора команд LoongArch, применяемой в процессорах Loongson 3 5000 и реализующей новый RISC ISA, похожий на MIPS и RISC-V. В текущем виде доступна только поддержка 64-разрядного варианта LoongArch (LA64). Для работы требуется наличие как минимум версий binutils 2.38, GCC 12 и ядра Linux 5.19.
• Объявлен устаревшим и будет удалён в следующем выпуске механизм prelink, а также связанные с ним переменные окружения LD_TRACE_PRELINKING и LD_USE_LOAD_BIAS и возможности компоновщика.
• Удалён код для проверки версии ядра Linux и обработки переменной окружения LD_ASSUME_KERNEL. Минимально поддерживаемая при сборке Glibc версия ядра определяется через ELF-поле NT_GNU_ABI_TAG.
• На платформе Linux прекращена поддержка переменной окружения LD_LIBRARY_VERSION.

1. Главная ссылка к новости
2. OpenNews: Выпуск системной библиотеки Glibc 2.35
3. OpenNews: Уязвимость в Glibc, позволяющая вызвать крах чужого процесса
4. OpenNews: Проект Glibc отменил обязательную передачу прав на код Фонду СПО
5. OpenNews: Выпуск стандартной Си-библиотеки PicoLibc 1.5
6. OpenNews: Выпуск стандартных Си-библиотек Musl 1.2.3 и PicoLibc 1.7.6

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Q4OS 4.7
3. OpenNews: Выпуск Linux-дистрибутива PCLinuxOS 2021.02
4. OpenNews: Релиз десктоп-окружения Trinity R14.0.12, продолжающего развитие KDE 3.5

Новым требованиям соответствуют дистрибутивы RHEL 7, SLES 12-SP5, Debian 8 и Ubuntu 14.04. Будет прекращена поддержка RHEL 6, SLES 11-SP4, Debian 7 и Ubuntu 12.04. Среди причин прекращения поддержки старых Linux-систем упоминаются ограниченные ресурсы по продолжению сопровождения совместимости со старыми окружениями. В частности, поддержка старых Glibc требует использования старого инструментария при проверке в системе непрерывной интеграции, в условиях повышения требований к версиям в LLVM и утилитах кросс-компиляции. Повышение требований к версии ядра связано с возможностью использования в libstd новых системных вызовов без необходимости поддержания прослоек для обеспечения совместимости со старыми ядрами.

Пользователям, которые используют собранные инструментарием Rust исполняемые файлы в окружениях со старым ядром Linux, предложено обновить свои системы, оставаться на старых выпусках компилятора или самостоятельно поддерживать своё ответвление libstd с прослойками для сохранения совместимости.

1. Главная ссылка к новости
2. OpenNews: Facebook выделил C++, Rust, Python и Hack в качестве предпочтительных языков программирования
3. OpenNews: В GCC утверждено включение поддержки языка Rust
4. OpenNews: Выпуск языка программирования Rust 1.62
5. OpenNews: Линус Торвальдс не исключил возможность интеграции поддержки Rust в ядро Linux 5.20

Дополнительно можно отметить начало тестирования в ночных сборках Firefox, на базе которых будет сформирован выпуск Firefox 104, системы QuickActions, позволяющей выполнять различные типовые действия с браузером из адресной строки. Включение обработчиков QuickActions осуществляется через параметры browser.urlbar.quickactions.enabled и browser.urlbar.shortcuts.quickactions в about:config.

Например, для быстрого перехода к просмотру дополнений, закладок, сохранённых учётных записей (менеджер паролей) и открытия режима приватного просмотра можно ввести в адресной строке команды addons, bookmarks, logins, passwords и private, при распознании которых в выпадающем списке будет показана кнопка для перехода к соответствующему интерфейсу. В дальнейшем планируют реализовать быстрые действия для перехода к загруженным файлам, очистки Cookie, инспектирования страницы, сброса настроек, перезапуска браузера, создания скриншота, перехода к настройкам, просмотра кода страницы и проверки наличия обновлений.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 103
3. OpenNews: В Firefox добавлены простейшие возможности редактирования PDF
4. OpenNews: Обновление Firefox 102.0.1
5. OpenNews: В Firefox включена по умолчанию поддержка аппаратного ускорения видео для Linux-систем с Mesa
6. OpenNews: Разработчики Ubuntu приступили к решению проблем с медленным запуском snap-пакета Firefox