1. Главная ссылка к новости
2. OpenNews: Вторая редакция патчей для ядра Linux с поддержкой языка Rust
3. OpenNews: Выпуск Rust 1.53. Google профинансирует добавление поддержки Rust в ядро Linux
4. OpenNews: Поддержка Rust для ядра Linux столкнулась с критикой Торвальдса
5. OpenNews: В ветку ядра Linux-next добавлен код для разработки драйверов на языке Rust
6. OpenNews: Линус Торвальдс подключился к обсуждению начальной реализации поддержки Rust в ядре Linux

Представители Muse Group попросили автора добровольно удалить репозитории musescore-downloader и musescore-dataset. Первый репозиторий содержит приложение, позволяющее через обращение к внутреннему API загружать бесплатно любой контент с сервиса musescore.com. Репозиторий подлежит закрытию так как в musescore-downloader осуществляется неправомерный обход систем защиты авторских прав (против доступа к общедоступному содержимому musescore.com претензий нет). Через второй репозиторий, musescore-dataset, незаконно распространяются копии работ, лицензированных у музыкальных издателей. В случае musescore-dataset проблемы более серьёзные и могут рассматриваться как уголовное преступление (умышленное нарушение авторских прав с преступным умыслом).

Автор проблемных репозиториев отказался удалять репозитории и компания Muse Group столкнулась с непростой дилеммой. С одной стороны имеется угроза прекращения существование сервиса musescore.com, а с другой возможность искалечить жизнь человека. Простейшим выходом было бы привлечение юристов и отправка официального DMCA-требования в GitHub на блокировку репозиториев, но Muse Group решили не прибегать к таким действиям, а договориться неофициальным путём, после того как выяснили, что Wenzheng Tang, разработчик проблемных репозиториев, уехал из Китая по политическим причинам и в случае проблем с законом его ждёт аннулирование вида на жительство и депортация с последующим преследованием на родине за оскорбление китайского правительства.

На другой чаше весов находится вероятность нарушения статуса кво, которого удалось достигнуть с музыкальными издателями. Изначально весь контент размещался в MuseScore добровольцами бесплатно и без ограничения доступа, но потом началось преследование сообщества правообладателями и создатели MuseScore потратили много сил чтобы удержаться на плаву и сохранить сайт. Проблема в том, что права на транскрипцию музыкального произведения в ноты и аранжировку принадлежит правообладателю, независимо от того, кто выполнил транскрипцию или аранжировку.

Ценой продолжения работы MuseScore.com стало лицензирование музыкальных нот популярных произведений, права на которые принадлежат таким компаниям, как Alfred, EMI и Sony, и ограничение доступа с введением системы платной подписки. Компания Muse Group по закону обязана обеспечить соблюдение авторских прав на лицензированные музыкальные произведения, а наличие лазейки для неограниченной загрузки лицензированного содержимого создаёт угрозу существованию сервиса.

Противостояние с автором musescore-downloader продолжается с февраля 2020 года. Отмечается, что время на раздумья уже почти исчерпано и скоро предстоит принять решение. Действия против нарушителя также в любой момент могут быть предприняты напрямую со стороны правообладателей.

Позиция автора musescore-downloader сводится к тому, что он использовал в своей программе штатный публично документированный API, информация о котором была удалена с сайта musescore.com уже после создания приложения. Кроме того, автор musescore-downloader считает неправильным, что доступ к публикациям, подготовленным энтузиастами и изначально размещённым в открытом доступе безвозмездно, был ограничен только для платных подписчиков, в то время как Muse Group не является владельцем прав на контент, подготовленный пользователями (пользователи не владеют правами на ноты чужих произведений, так как правообладателем являются музыканты и музыкальные издатели).

1. Главная ссылка к новости
2. OpenNews: Компания Muse Group поглотила проект Audacity
3. OpenNews: Выпущен свободный нотный редактор MuseScore 1.1
4. OpenNews: Новые правила конфиденциальности Audacity допускают сбор данных в интересах органов власти
5. OpenNews: Выпущен свободный нотный редактор MuseScore 1.1
6. OpenNews: Созданы форки Audacity, избавленные от телеметрии

Прошивка сформирована на основе виртуальной машины JuiceVm и порта ядра Linux 5.0. JuiceVm предоставляет минимально возможную обвязку для систем RISC-V, способную загружаться на чипах с несколькими сотнями килобайт оперативной памяти. JuiceVm обеспечивает запуск OpenSBI (RISC-V Supervisor Binary Interface), связующего интерфейса для загрузки ядра Linux и минимального системного окружения из прошивки, специфичной для платформы ESP32. Помимо Linux, JuiceVm также поддерживает загрузку FreeRTOS и RT-Thread.

1. Главная ссылка к новости
2. OpenNews: Проект Pine64 выпустил водонепроницаемые умные часы PineTime
3. OpenNews: Проект Raspberry Pi выпустил микроконтроллер RP2040 стоимостью 1 доллар
4. OpenNews: FreeRTOS перешёл под крыло Amazon и выпущен под лицензией MIT
5. OpenNews: Выпуск Mongoose OS 2.13, платформы для IoT-устройств

В новом выпуске устранена общая с uBlock Origin уязвимость, позволяющая добиться краха или исчерпания памяти при навигации по специально оформленному URL. Кроме того, из списка ресурсов удалён уже несуществующий сервис hpHosts и изменена ссылка на загрузку списка хостов MVPS (http заменён на https).

1. Главная ссылка к новости
2. OpenNews: Прекращена разработка проекта uMatrix
3. OpenNews: Уязвимость в uBlock Origin, приводящая к краху или исчерпанию ресурсов
4. OpenNews: Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie
5. OpenNews: Выпуск uBlock Origin 1.25 с защитой от обхода блокировки через манипуляции с DNS
6. OpenNews: Для Firefox портирована система блокирования нежелательного контента uMatrix

Среди изменений:

• Разработка перенесена на GitLab-сервер проекта Freedesktop. Старые репозитории на Savannah переведены в режим зеркала.
• В состав включён дополнительный модуль рендеринга с реализацией режима FT_RENDER_MODE_SDF для создания 8-битных битмапов SDF (Signed Distance Fields, поля расстояний со знаком) для глифов.
• Предложен экспериментальный API для доступа к цветным шрифтам COLR v1, реализованным с использованием в OpenType расширенных таблиц с информацией о цвете.
• Обеспечена корректная обработка растровых шрифтов PCF, сжатых с использованием алгоритма LZW.
• Добавлен макрос FT_DEBUG_LOGGING для ведения отладочного лога.
• Улучшена поддержка сборки с использованием инструментария Meson.
• Производительность растеризатора "smooth" повышена приблизительно на 10%.
• Удалена поддержка экспериментального режима "warp" (AF_CONFIG_OPTION_USE_WARPER) в auto-hinter.

1. Главная ссылка к новости
2. OpenNews: В Fedora 34 намечен перевод FreeType на HarfBuzz для улучшения хинтинга
3. OpenNews: Уязвимость во FreeType, эксплуатируемая через TTF-шрифт и затрагивающая браузеры
4. OpenNews: Релиз шрифтового движка FreeType 2.10.3
5. OpenNews: Выпуск шрифтового движка FreeType 2.10

Основные новшества:

• Добавлена поддержка новых GPU: GeForce RTX 3070 Ti, GeForce RTX 3080 Ti, T4G, A100 80GB PCIe, A16, PG506-243, PG506-242, CMP 90HX, CMP 70HX, A100-PG506-207, A100-PG506-217, CMP 50HX.
• Добавлена начальная поддержка аппаратного ускорения OpenGL и Vulkan для приложений X11, выполняемых в Wayland-окружениях при помощи DDX-компонента Xwayland. Судя про проведённым тестам, при использовании ветки драйвера NVIDIA 470 производительность OpenGL и Vulkan в X-приложениях, запущенных при помощи XWayland, почти не отличается от запуска под управлением обычного X-сервера.
• Реализована возможность использования технологии NVIDIA NGX в Wine и пакете Proton, развиваемом компанией Valve для запуска Windows-игр в Linux. В том числе в Wine и Proton теперь можно запускать игры, поддерживающие технологию DLSS, позволяющую использовать Tensor-ядра видеокарт NVIDIA для реалистичного масштабирования изображений с использованием методов машинного обучения для увеличения разрешения без потери качества.

  Для использования функциональности NGX в Windows-приложениях, запускаемых при помощи Wine, в состав включена библиотека nvngx.dll. На стороне Wine и стабильных выпусков Proton поддержка NGX пока не реализована, но в ветку Proton Experimental уже начато включение изменений для поддержки данной функциональности.

• Сняты ограничения на число одновременно работающих контекстов OpenGL, которые теперь ограничены только размером имеющейся памяти.
• Добавлена поддержка технологии PRIME для выноса операций отрисовки на другие GPU (PRIME Display Offload) в конфигурациях, в которых исходный и целевой GPU обрабатываются драйвером NVIDIA, а также когда исходный GPU обрабатывается драйвером AMDGPU.
• Добавлена поддержка новых Vulkan-расширений: VK_EXT_global_priority (VK_QUEUE_GLOBAL_PRIORITY_REALTIME_EXT, позволяет использовать асинхронное перепроецирование в SteamVR), VK_EXT_global_priority_query, VK_EXT_provoking_vertex, VK_EXT_extended_dynamic_state2, VK_EXT_color_write_enable, VK_EXT_vertex_input_dynamic_state, VK_EXT_ycbcr_2plane_444_formats, VK_NV_inherited_viewport_scissor.
• Для использования глобальных свойств Vulkan, отличных от VK_QUEUE_GLOBAL_PRIORITY_MEDIUM_EXT, теперь требуется наличие root-доступа или привилегий CAP_SYS_NICE.
• Добавлен новый модуль ядра nvidia-peermem.ko, позволяющий использовать RDMA для прямого доступа сторонних устройств, таких как Mellanox InfiniBand HCA (Host Channel Adapters), к памяти GPU NVIDIA без копирования данных в системную память.
• По умолчанию включена инициализация SLI при использовании GPU с разным объёмом видеопамяти.
• В nvidia-settings и NV-CONTROL по умолчанию предоставлены инструменты для управления кулером для плат, поддерживающих программное управление кулером.
• В состав включена прошивка gsp.bin, которая используется для выноса инициализации и управления GPU на сторону чипа GPU System Processor (GSP).

Одновременно на конференции Game Developers Conference компания NVIDIA объявила об открытии под лицензией MIT исходных текстов SDK-инструментария RTXMU (RTX Memory Utility), позволяющего использовать уплотнение и субраспределение буферов BLAS (bottom level acceleration structures) для значительного сокращения потребления видеопамяти. Уплотнения даёт возможность снизить общее потребление памяти BLAS на 50%, а субраспределение повышает эффективность хранения буферов, за счёт объединения нескольких мелких буферов в страницы, размером 64 KB или 4 MB.

NVIDIA также открыла под лицензией MIT код библиотеки NVRHI (NVIDIA Rendering Hardware Interface) и фреймворка Donut. NVRHI представляет собой абстрактную прослойку, функционирующую поверх разных графических API (Direct3D 11, Direct3D 12, Vulkan 1.2) в Windows и Linux. Donut предоставляет набор готовых компонентов и стадий отрисовки для создания прототипов систем рендеринга, работающих в режиме реального времени.

Кроме того, компания NVIDIA обеспечила поддержку Linux и архитектуры ARM в SDK: DLSS (Deep Learning Super Sampling, реалистичное масштабирование изображений с использованием методов машинного обучения), RTXDI (RTX Direct Illumination, динамическое освещение), RTXGI (RTX Global Illumination, воссоздание отражения света), NRD (NVIDIA Optix AI-Acceleration Denoiser, использование машинного обучения для ускорения реалистичного рендеринга изображений).

1. Главная ссылка к новости
2. OpenNews: Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 4.0
3. OpenNews: Выпуск XWayland 21.1.1.901 с поддержкой аппаратного ускорения на системах с GPU NVIDIA
4. OpenNews: Выпуск проприетарного драйвера NVIDIA 465.24.02
5. OpenNews: В Xwayland добавлена поддержка аппаратного ускорения на системах с GPU NVIDIA
6. OpenNews: NVIDIA опубликовала документацию по интерфейсам GPU для упрощения разработки открытых драйверов

Линус отметил, что среди разработчиков VFS ядра нет людей, отвечающих за приём pull-запросов с новыми ФС, поэтому подобные запросы можно отправлять лично ему. В целом Линус намекнул, что он не видит особых проблем с принятием в основной состав ядра нового кода NTFS, так как плачевное состояние старого драйвера NTFS не выдерживает критики, а к новому драйверу Paragon за год не было предъявлено существенных претензий.

За год в списке рассылки linux-fsdevel для рецензирования было предложено 26 версий патчей ntfs3, в которых были устранены высказанные замечания, но вопрос включения в состав ядра застопорился в невозможности найти мэйнтейнера VFS, который мог бы принять решение по концептуальным вопросам - что делать со старым драйвером ntfs и реализовывать ли в новом драйвере устаревшие вызовы FAT ioctl.

В текущем виде для принятия патчей необходимо обеспечить в ntfs3 совместимость с недавно внесёнными изменениями в API iov, из-за которых патч перестал собираться, и по возможности перевести код на использование fs/iomap (предполагается, что это не критично и адаптация может быть выполнена уже при нахождении ntfs3 в ядре).

Код нового драйвера NTFS был открыт компанией Paragon Software в августе прошлого года и отличается от уже имеющегося в ядре драйвера возможностью работы в режиме записи. Драйвер поддерживает все возможности актуальной версии NTFS 3.1, включая расширенные атрибуты файлов, режим сжатия данных, эффективную работу с пустотами в файлах и воспроизведение изменений из журнала для восстановления целостности после сбоев.

1. Главная ссылка к новости
2. OpenNews: Компания Paragon Software опубликовала GPL-реализацию NTFS для ядра Linux
3. OpenNews: Стабильный релиз NTFS-3G и ntfsprogs 2017.3.23
4. OpenNews: Первый стабильный релиз открытой реализации файловой системы exFAT
5. OpenNews: Samsung предложил новый вариант драйвера exFAT для ядра Linux
6. OpenNews: Компания Paragon Software открыла код драйвера с реализацией ФС exFAT

• Устранено зацикливание, приводящее к паразитной нагрузке на CPU при обработке ответов по протоколу HTTP/3.
• Устранён крах, возникающий во время завершения работы при редком стечении обстоятельств.
• Исправлены ошибки аутентификации, возникающие при использовании некоторых смарт-карт.
• Устранён крах, проявляющийся в Windows при использовании инструментов для людей с ограниченными возможностями.
• Устранено состояние гонки при запуске после обновления браузера, приводящее к выводу пустого содержимого в отдельных таблицах на странице about:support.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 90
3. OpenNews: DNS-over-HTTPS будет включён по умолчанию в Firefox для пользователей из Канады
4. OpenNews: Mozilla прекращает разработку браузера Firefox Lite
5. OpenNews: Mozilla обобщила планы по поддержке в Firefox третьей версии манифеста Chrome

Программа может перекодировать видео с BluRay/DVD-дисков, копий директорий VIDEO_TS и любых файлов, формат которых поддерживается библиотеками libavformat и libavcodec из состава FFmpeg. На выходе могут быть сформированы файлы в таких контейнерах, как WebM, MP4 и MKV, для кодирования видео могут быть применены кодеки AV1, H.265, H.264, MPEG-2, VP8, VP9 и Theora, для звука - AAC, MP3, AC-3, Flac, Vorbis и Opus. Из дополнительных функций присутствуют: калькулятор битрейта, предпросмотр в процессе кодирования, изменение размера и масштабирование картинки, интегратор субтитров, широкий набор профилей конвертации для заданных типов мобильных устройств.

В новом выпуске:

• В движок HandBrake внесены усовершенствования для поддержки кодирования с 10 и 12 битами на цветовой канал, включая проброс метаданных HDR10.
• Расширена функциональность, связанная с привлечением при кодировании механизмов аппаратного ускорения для Intel QuickSync, AMD VCN и ARM чипов Qualcomm.
• Добавлена поддержка устройств Apple на базе чипа M1.
• Обеспечена возможность использования HandBrakeCLI на устройствах с ARM64-чипами Qualcomm, поставляемыми с Windows.
• Улучшена обработка субтитров.
• Улучшен графический интерфейс для Linux, macOS и Windows.

1. Главная ссылка к новости
2. OpenNews: Релиз программы для перекодирования видео HandBrake 1.3.0
3. OpenNews: Опубликован AV Linux 2021.05.22, дистрибутив для создания аудио- и видеоконтента
4. OpenNews: Выпуск децентрализованной видеовещательной платформы PeerTube 3.2
5. OpenNews: Релиз видеоконвертера Cine Encoder 3.3
6. OpenNews: Выпуск системы потокового видеовещания OBS Studio 27.0

1. Главная ссылка к новости
2. OpenNews: Конференция PyCon Russia пройдёт 16-17 июля недалеко от Москвы
3. OpenNews: В июле состоится конференция PyCon Russia

В настоящее время насчитывается 133 критические ошибки, блокирующие релиз (месяц назад было 155, два месяца назад - 185, три месяца назад - 240, пять месяцев назад - 472, в момент заморозки в Debian 10 - 316, Debian 9 - 275, Debian 8 - 350, Debian 7 - 650).

Дополнение: Релиз запланирован на 14 августа.

1. Главная ссылка к новости
2. OpenNews: Представлен DUR, аналог пользовательского репозитория AUR для Debian
3. OpenNews: Обновление Debian 10.10
4. OpenNews: Мэйнтейнер Cinnamon в Debian перешёл на использование KDE
5. OpenNews: Второй кандидат в релизы инсталлятора Debian 11 "Bullseye"
6. OpenNews: Проект Debian выбрал нейтральную позицию относительно петиции против Столлмана

В новой версии:

• Повышены требования к сборочному окружению, для сборки Binutils теперь требуются библиотеки и компилятор, поддерживающие стандарт C99.
• Прекращена поддержка формата arm-symbianelf.
• Добавлена поддержка RME (Realm Management Extension), расширения для архитектуры ARMv9-A, позволяющего организовать динамическую передачу ресурсов и памяти в отдельное защищённое адресное пространство, к которому не имеют доступ привилегированные приложения и прошивки TrustZone. Предложенная возможность является частью инфраструктуры для создания изолированных окружений Arm CCA (Confidential Compute Architecture). RME даёт возможность обычным программам сохранять свои конфиденциальные данные в подобных окружениях для их защиты от несанкционированного доступа в случае компрометации операционной системы и гипервизоров.
• В компоновщике реализованы новые опции:
  • '-Bno-symbolic' - отменяет режимы '-Bsymbolic' и '-Bsymbolic-functions';
  • '-z report-relative-reloc' - выводит информацию о динамическом связывании адресов (relocation);
  • '-z start-stop-gc' - отключает обработку ссылок __start_*/__stop_* в процессе чистки неиспользуемых секций сборщиком мусора.
• В утилиту readelf добавлена опция "--sym-base=0|8|10|16" для выбора формы отображения числовых символов.
• В утилиту nm добавлены опции: '--format=just-symbols' ('-j') для вывода только имён символов и '--quiet' для отключения диагностических сообщений "no symbols".
• В утилиты objcopy и strip добавлена опция '--keep-section-symbols' для отключения удаления неиспользуемых секций при обработке файлов.
• В objcopy добавлены опции '--weaken', '--weaken-symbol' и '--weaken-symbols' для отнесения неопределённых символов к категории weak-символов.
• В readelf и objdump реализована возможность отображения содержимого секций ".debug_sup" и по умолчанию разрешены ссылки на отдельные файлы с отладочной информацией (debug info).

1. Главная ссылка к новости
2. OpenNews: Выпуск GNU Binutils 2.36
3. OpenNews: Выпуск GNU Autoconf 2.71
4. OpenNews: Выпуск GNU inetutils 2.0
5. OpenNews: Выпуск GNU Mes 0.23, инструментария для самодостаточной сборки дистрибутивов
6. OpenNews: Релиз загрузочного менеджера GNU GRUB 2.06

CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки.

Основные улучшения:

• Добавлена полноценная поддержка языка программирования HIP (Heterogeneous-Computing Interface for Portability), диалекта языка C++, нацеленного на упрощение преобразования приложений CUDA в переносимый код C++.
• Добавлен генератор сборочных сценариев для Visual Studio 17 2022, базирующийся на предварительном выпуске Visual Studio 2022 Preview 1.1.
• В генераторах сборочных сценариев Makefile и Ninja добавлены свойства C_LINKER_LAUNCHER и CXX_LINKER_LAUNCHER, при помощи которых можно организовать запуск вспомогательных утилит, осуществляющих запуск компоновщика, таких как статические анализаторы. Генератор запустит указанные утилиты, передав им название компоновщика и его аргументы.
• В свойствах "C_STANDARD" и "OBJC_STANDARD", а также в средствах для настройки параметров компилятора (Compile Features), добавлена поддержка спецификаций C17 и C23.
• В утилиту cmake добавлена опция "--toolchain <path/to/file>" для определения пути к инструментарию.
• Обеспечена подсветка типов сообщений, выводимых на терминал.
• Добавлена поддержка компилятора Fujitsu.
• В команде "foreach()" обеспечена изоляция переменных цикла внутри цикла.

Дополнительно можно отметить выпуск сборочной системы Meson 0.59, которая используется для сборки таких проектов, как X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME и GTK. Код Meson написан на языке Python и поставляется под лицензией Apache 2.0. Поддерживается кросс-компиляция и сборка в Linux, Illumos/Solaris, FreeBSD, NetBSD, DragonFly BSD, Haiku, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов. Возможна сборка проектов на различных языках программирования, включая C, C++, Fortran, Java и Rust. Вместо утилиты make при сборке по умолчанию применяется инструментарий Ninja, но возможно применение и других бэкендов, таких как xcode и VisualStudio.

В систему встроен многоплатформенный обработчик зависимостей, позволяющий использовать Meson для сборки пакетов для дистрибутивов. Правила сборки задаются на упрощённом предметно-ориентированном языке, отличаются хорошей читаемостью и понятны пользователю (по задумке авторов разработчик должен тратить минимум времени на написание правил). Поддерживается инкрементальный режим сборки, при котором пересобираются только компоненты, напрямую связанные с изменениями, внесёнными с момента прошлой сборки. Meson можно использовать для формирования повторяемых сборок, при которых запуск сборки в разных окружениях приводит к генерации полностью идентичных исполняемых файлов.

Основные новшества Meson 0.59:

• Добавлена поддержка языка Cython (расширенный вариант Python, нацеленный на упрощение интеграции с кодом на языке Си).
• Добавлены ключевые слова "unescaped_variables" и "unescaped_uninstalled_variables" для определения переменных в pkgconfig без экранирования пробелов символом "\".
• Добавлена поддержка wrc (Wine Resource Compiler).
• Реализована возможность генерации проектов для Visual Studio 2012 и Visual Studio 2013.
• Все команды, связанные с обработкой субпроектов, теперь по умолчанию запускают каждый субпроект параллельно. Число параллельно работающих процессов определяется параметром "--num-processes".

1. Главная ссылка к новости
2. OpenNews: Релиз системы сборки CMake 3.18
3. OpenNews: Выпуск сборочной системы Bazel 2.0
4. OpenNews: Сотрудник Red Hat представил сборочную систему Goals. Выпуск GNU Make 4.3
5. OpenNews: Релиз goredo 1.0.0, реализации системы сборки redo, предложенной DJB
6. OpenNews: Выпуск сборочной системы Meson 0.58. Проект по созданию реализации Meson на языке Си

Сервис cdnjs осуществляет загрузку пакетов из Git или репозитория NPM, после чего даёт возможность любому сайту бесплатно воспользоваться сетью доставки контента Cloudflare для ускорения загрузки JavaScript-библиотек. При изучении кода компонентов cdnjs, опубликованных на GitHub, было выявлено, что для распаковки NPM-пакетов в архивах tgz используется штатный модуль archive/tar на языке Go, которые выдаёт список файлов как есть, без нормализации путей. В случае, когда скрипт распаковывает содержимое на основании выданного списка, наличие в архиве файлов вида "../../../../../../../tmp/test" может привести к перезаписи произвольных файлов в системе, насколько это позволяют права доступа.

Было предположено, что атакующий может подать заявку на добавление своей библиотеки в cdnjs и загрузить в репозиторий NPM специально оформленный архив, содержащий файлы с символами "../" в пути. На серверах cdnjs периодически выполняется операция "autoupdate", в ходе которой обработчик загружает новые версии предложенной библиотеки и распаковывает содержимое. При помощи файлов c путями "../" атакующий может добиться перезаписи файлов со скриптами сервиса и выполнения своего кода на сервере на котором производилась распаковка.

В случае загрузки обновлений из Git было выяснено, что загружающий обновления обработчик не учитывал символические ссылки при копировании файлов из Git. Данная особенность позволяла организовать чтение любых файлов с сервера через добавление в Git символических ссылок.

Эксперименты с демонстрацией взлома cdnjs для получения премии на HackerOne было решено начать с проверки гипотезы относительно чтения файлов. В Git-репозиторий отдаваемой через CDN JavaScript-библитеки была добавлена символическая ссылка test.js, указывающая на файл /proc/self/maps. После публикации новой версии библиотеки обработчик обновлений обработал данный репозиторий и опубликовал указанный файл в cdnjs (test.js был создан как символическая ссылка и при запросе данного файла выдавалось содержимое /proc/self/maps).

Подставив символическую ссылку на файл /proc/self/environ автор исследования заметил, что внутри отданных данных присутствуют значения переменных окружения GITHUB_REPO_API_KEY и WORKERS_KV_API_TOKEN. В первой переменной хранился ключ к API для доступа с правом записи в репозиторий robocdnjs на GitHub. Во второй переменной хранился токен к хранилищу KV в cdnjs. Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.

1. Главная ссылка к новости
2. OpenNews: Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada
3. OpenNews: Mozilla, Cloudflare и Facebook представили TLS-расширение для делегирования короткоживущих сертификатов
4. OpenNews: Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare
5. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
6. OpenNews: Капча CloudFlare может применяться для деанонимизации пользователей Tor

Уязвимость устранена в обновлении uBlock Origin 1.36.2. Аналогичной проблеме также подвержено дополнение uMatrix, но его сопровождение прекращено и обновления больше не выпускаются. Обходные пути защиты в uMatrix отсутствуют (изначально предлагалось отключить все фильтры строгой блокировки через вкладку "Assets", но эта рекомендация была признана недостаточной и создающей проблемы для пользователей с собственными правилами блокировки). В ηMatrix, форке uMatrix от проекта Pale Moon, уязвимость устранена в выпуске 4.4.9.

Фильтр строгой блокировки обычно определяется на уровне доменов и подразумевает запрет любых соединений, даже при прямом переходе по ссылке. Уязвимость вызвана тем, что во время перехода на страницу, подпадающую под фильтр строгой блокировки, пользователю отображается предупреждение, в котором приводятся сведения о заблокированном ресурсе, в том числе показывается URL и параметры запроса. Проблема в том, что uBlock Origin разбирает параметры запроса рекурсивно и добавляет в дерево DOM без учёта уровня вложенности.

При обработке специально оформленного URL в uBlock Origin для Chrome можно вызвать крах процесса, в котором выполняется браузерное дополнение. После краха, до тех пор пока процесс с дополнением не перезапустится, пользователь остаётся без блокировки нежелательного содержимого. В Firefox наблюдается исчерпание памяти.

Дополнение: В NoScript некоторые пользователи отмечают наличие ошибки, приводящей при открытии некоторых сайтов к 100% загрузке CPU в Firefox.

1. Главная ссылка к новости
2. OpenNews: Прекращена разработка проекта uMatrix
3. OpenNews: В uBlock Origin добавлена защита от нового метода отслеживания, манипулирующего именами в DNS
4. OpenNews: Выпуск uBlock Origin 1.25 с защитой от обхода блокировки через манипуляции с DNS
5. OpenNews: В uBlock Origin добавлена блокировка скриптов для сканирования сетевых портов
6. OpenNews: Chrome 88 переведён на новый манифест, несовместимый с uBlock Origin