266
Проект OpenNet - все о Unix системах и открытых технологиях для администраторов, программистов и пользователей Feedback: @pinkiepie_bot
В среде рабочего стола Budgie 10.10 будет оставлена только поддержка Wayland
Опубликован годовой отчёт о развитии среды рабочего стола Budgie, в котором кроме достижений за 2024 год упомянуты планы на 2025 год. Основная работа в 2024 году была сосредоточена на развитии сеанса, использующего протокол Wayland, разработке композитного менеджера Magpie, создании управляющего процесса Budgie Daemon v2 и его портировании на Qt6. В следующем выпуске Budgie 10.10, который намерены опубликовать в течение первого квартала 2025 года, решено полностью отказаться от поддержки X11 и оставить только возможность работы в окружениях на базе протокола Wayland. В git-репозитории Budgie полный переход на Wayland был осуществлён в июле 2024 года.
https://www.opennet.ru/opennews/art.shtml?num=62518
Скрытая командная оболочка в синтезаторе Yamaha, позволяющая выполнить код через MIDI
Анна Антоненко, занимающаяся разработкой встраиваемых систем и в свободное время развивающая операционную систему BOSS (BEAM-based Operating System with Security), опубликовала результаты обратного инжиниринга музыкального синтезатора Yamaha PSR-E433. В ходе проведённой работы в синтезаторе был выявлен обфусцированный shell-интерфейс, позволивший организовать выполнение своего кода на уровне прошивки. Доступ к shell-интерфейсу осуществляется посредством отправки MIDI-пакетов с сообщениями SysEx, которые можно передать при подключении синтезатора через порт USB. Полученные в ходе обратного инжиниринга сведения о чипе и прошивках, а также примеры кода и отладочные дампы размещены на GitHub.
https://www.opennet.ru/opennews/art.shtml?num=62516
Выпуск Nobara 41, редакции Fedora с патчами для игр и обработки контента
Опубликован выпуск дистрибутива Nobara 41, основанного на пакетной базе Fedora Linux 41 и включающего дополнительные исправления для решения проблем с запуском компьютерных игр, потоковым вещанием и выполнением задач, связанных с созданием контента. Для загрузки подготовлены девять установочных образов: официальный со стилизованным KDE, дополнительные с чистыми окружениями GNOME и KDE.
https://www.opennet.ru/opennews/art.shtml?num=62514
Наиболее важные события 2024 года, связанные с открытыми проектами
Итоговая подборка наиболее важных и заметных событий 2024 года, связанных с открытыми проектами и информационной безопасностью.
https://www.opennet.ru/opennews/art.shtml?num=62475
В KDE улучшена поддержка графических планшетов и устройств домашней автоматизации
Нейт Грэм (Nate Graham), разработчик, занимающийся контролем качества в проекте KDE, опубликовал очередной отчёт о разработке KDE. За последние несколько недель в KDE расширены функции, связанные с настройкой графических планшетов и средств для людей с ограниченными возможностями. Кроме того, представлен фоновый процесс Kiot ("KDE Internet of Things") для взаимодействия с платформой домашней автоматизации Home Assistant, используя протокол MQTT.
https://www.opennet.ru/opennews/art.shtml?num=62510
Компания Mozilla опубликовала финансовый отчёт за 2023 год
Компания Mozilla опубликовала финансовый отчет за 2023 год. В 2023 году доходы Mozilla увеличились на 60 млн долларов и составили 653 млн долларов. Для сравнения, в 2022 году компания Mozilla заработала 593 млн долларов, в 2021 году - 600 млн, в 2020 году - 496 млн, в 2019 году - 828 млн, в 2018 году - 450 млн, в 2017 - 562 млн , в 2016 году - 520 млн, в 2015 - 421 млн, в 2014 - 329 млн, в 2013 - 314 млн, 2012 - 311 млн.
https://www.opennet.ru/opennews/art.shtml?num=62427
Уязвимость в Apache Struts, позволяющая выполнить код на сервере
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер.
https://www.opennet.ru/opennews/art.shtml?num=62424
Выпуск Hyprland 0.46, композитного сервера на базе Wayland
Представлен композитный сервер Hyprland 0.46, использующий протокол Wayland. Проект ориентирован на мозаичную (tiling) компоновку окон, но поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Предоставляются возможности для создания визуально привлекательных интерфейсов, такие как градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Код написан на языке С++ и распространяется под лицензией BSD.
https://www.opennet.ru/opennews/art.shtml?num=62420
KVM: регрессии производительности и обсуждение поддержки 32-разрядных систем
В состав ядра Linux 6.13-rc3 принято изменение, устраняющее регрессию производительности в гипервизоре KVM, связанную с медленной обработкой вызовов CPUID на новых CPU, например, на CPU Intel Emerald Rapids операции c CPUID выполняются в 3-4 раза медленнее, чем на CPU Intel Skylake. Подобная особенность привела к снижению производительности гипервизора KVM, который использует CPUID в процессе сохранения и восстановления состояния процессора при каждой передаче управления виртуальной машине, в случае использования вложенной виртуализации. Для решения проблемы в ветку ядра 6.13 принят сокращённый патч, позволивший до 40% сократить время операции даже CPU семейства SkyLake, благодаря кэшированию CPUID. В ядре 6.14 будет представлена полная версия патча, дополнительно улучшающая производительность.
https://www.opennet.ru/opennews/art.shtml?num=62415
Web-браузеру Dillo исполнилось 25 лет
Разработчики web-браузера Dillo празднуют 25-летие проекта. Браузер предоставляет графический интерфейс на основе вкладок и поддерживает HTML 4.01, CSS и HTTPS (нет поддержки JavaScript). Функциональность Dillo может расширяться через плагины, например, имеются плагины для протоколов IPFS и Gemini. Изначально графический интерфейс основывался на библиотеке GTK1, но в 2005 году был переведён на FLTK2 из-за желания сохранить минималистичный характер проекта - последняя версия Dillo расходует 12 МБ ОЗУ при открытии стартовой страницы, а установочный deb-пакет занимает 500 КБ.
https://www.opennet.ru/opennews/art.shtml?num=62412
Релиз среды рабочего стола Xfce 4.20 c частичной поддержкой Wayland
После двух лет разработки представлен релиз среды рабочего стола Xfce 4.20, предлагающей классический рабочий стол, потребляющий по возможности минимальные системные ресурсы. Xfce состоит из нескольких взаимосвязанных компонентов, которые при желании можно использовать в других проектах. Среди таких компонентов: оконный менеджер xfwm4, панель для запуска приложений, дисплейный менеджер, менеджер управления пользовательскими сеансами, система управления энергопотреблением, графический конфигуратор, файловый менеджер Thunar, календарь-палнировщик Orage, медиапроигрыватель Parole, текстовый редактор Mousepad, эмулятор терминала xfce4-terminal.
https://www.opennet.ru/opennews/art.shtml?num=62406
Выпуск встраиваемой СУБД libmdbx 0.13.2
Опубликован выпуск библиотеки libmdbx 0.13.2 (MDBX) с реализацией высокопроизводительной компактной встраиваемой базы данных класса ключ-значение. Код libmdbx распространяется под лицензией Apache 2.0. Поддерживаются все актуальные операционные системы и архитектуры, а также российский Эльбрус 2000. Для libmdbx предлагается развитое API для C++, а также поддерживаемые энтузиастами привязки к языкам Rust, Haskell, Python, NodeJS, Ruby, Go, Nim, Deno, Scala.
https://www.opennet.ru/opennews/art.shtml?num=62403
Атака BadRAM, позволяющая обойти механизм аттестации SEV-SNP в CPU AMD
Группа исследователей из Лёвенского, Любекского и Бирмингемского университетов разработала метод атаки BadRAM (CVE-2024-21944), позволяющий обойти механизм подтверждения подлинности и скомпрометировать окружения, защищённые с использованием расширения SEV-SNP в процессорах AMD. Для совершения атаки злоумышленник, за редким исключением, должен получить физический доступ к модулям памяти, а также иметь возможность выполнения кода на уровне нулевого кольца защиты (ring0) на сервере, выполняющем защищённые гостевые окружения.
https://www.opennet.ru/opennews/art.shtml?num=62399
Выпуск отказоустойчивой файловой системы LittleFS 2.10
Опубликован выпуск проекта LittleFS 2.10, развивающего компактную файловую систему для встраиваемых устройств и микроконтроллеров. Изначально файловая система была создана компанией ARM для операционной системы Mbed OS, но затем выделена в отдельный проект. Код ФС написан на языке Си и распространяется под лицензией BSD. Эталонная реализация LittleFS поставляется в виде Си-библиотеки, на базе которой создан FUSE-модуль и обвязки для различных языков программирования.
https://www.opennet.ru/opennews/art.shtml?num=62398
Релиз Cozystack 0.20, открытой PaaS-платформы на базе Kubernetes
Опубликован выпуск свободной PaaS-платформы Cozystack 0.20.0, построенной на базе Kubernetes. Проект нацелен на предоставление готовой платформы для хостинг-провайдеров и фреймворка для построения частных и публичных облаков. Платформа устанавливается напрямую на серверы и охватывает все аспекты подготовки инфраструктуры для предоставления управляемых сервисов. Cozystack позволяет запускать и предоставлять кластеры Kubernetes, базы данных и виртуальные машины. Код платформы доступен на GitHub и распространяется под лицензией Apache-2.0.
https://www.opennet.ru/opennews/art.shtml?num=62392
Инцидент с ошибочной блокировкой видео про биткойн
Автор научно-популярного YouTube-канала 3Blue1Brown, имеющего 6.8 млн подписчиков, сообщил о блокировке видео с рассказом об устройстве криптовалюты биткоин. Видео было снято в 2017 году и набрало 16 млн просмотров. Блокировка выполнена по требованию компании ChainPatrol, отправившей жалобу о нарушении авторских прав. Помимо блокировки YouTube выставил страйк, угрожающий блокировке всего канала (три страйка - блокировка).
https://www.opennet.ru/opennews/art.shtml?num=62517
Накручивание звёзд вредоносным репозиториям на GitHub
Исследователи из Университета Карнеги-Меллона, Университета штата Северная Каролина и компании Socket разработали инструментарий для определения проектов с накрученным рейтингом на GitHub. В результате применения инструмента было выявлено 3.1 млн фиктивно выставленных звёзд, охватывающих 15835 репозиториев. Для накрутки были задействованы 278 тысяч учётных записей.
https://www.opennet.ru/opennews/art.shtml?num=62515
Выпуск репозитория пакетов pkgsrc 2024Q4
Разработчики проекта NetBSD представили релиз репозитория пакетов pkgsrc-2024Q4, который стал 85 по счёту выпуском проекта. Pkgsrc поддерживает 23 платформы, среди которых AIX, FreeBSD, OpenBSD, DragonFlyBSD, HP-UX, Haiku, IRIX, Linux, QNX и UnixWare. Система создана в 1997 году на основе портов FreeBSD и в настоящее время используется по умолчанию для управления коллекцией приложений в NetBSD и Minix. В качестве дополнительного источника пакетов pkgsrc применяется пользователями Solaris/illumos и macOS.
https://www.opennet.ru/opennews/art.shtml?num=62513
Опубликован рейтинг популярности СУБД
Издание DB-Engines обновило рейтинг популярности СУБД, отслеживающий популярность 423 систем. Методика расчёта рейтинга СУБД напоминает рейтинг языков программирования TIOBE и учитывает популярность запросов в поисковых системах, число результатов в поисковой выдаче, объём обсуждений на популярных дискуссионных площадках и социальных сетях, число вакансий в агентствах по найму персонала и упоминаний в профилях пользователей.
https://www.opennet.ru/opennews/art.shtml?num=62511
Доступна децентрализованная видеовещательная платформа PeerTube 7.0
Опубликован выпуск платформы PeerTube 7.0, предназначенной для создания независимых децентрализованных систем видеохостинга и видеовещания, альтернативных таким сервисам, как YouTube, Dailymotion и Vimeo. Создаваемая при помощи PeerTube сеть распространения контента основывается на связывании браузеров посетителей между собой и использовании P2P-коммуникаций. Код проекта распространяется под лицензией AGPLv3.
https://www.opennet.ru/opennews/art.shtml?num=62428
Опубликован Fedora Asahi Remix 41, дистрибутив для ARM-чипов Apple
Представлен дистрибутив Fedora Asahi Remix 41, предназначенный для установки на компьютеры Mac, оснащённые ARM-чипами, разработанными компанией Apple. Fedora Asahi Remix 41 основан на пакетной базе Fedora Linux 41 и оснащён инсталлятором Calamares. Дистрибутив проекта Asahi изначально развивался на основе Arch Linux, но в 2023 году был переведён на пакетную базу Fedora, что позволило сфокусировать усилия на обратном инжиниринге оборудования, а разработку дистрибутива передать рабочей группе Fedora Asahi SIG.
https://www.opennet.ru/opennews/art.shtml?num=62426
Первый стабильный релиз PGP-инструментария sq от проекта Sequoia
После семи лет разработки сформирован релиз инструментарий командной строки sq 1.0, предназначенного для работы с артефактами OpenPGP. Инструментарий подготовлен проектом Sequoia PGP, также развивающим библиотеку функций с реализацией стандарта OpenPGP (RFC-4880). Выпуск 1.0 отмечен как первый стабильный релиз проекта, означающий стабилизацию кодовой базы и прекращение внесение изменений, нарушающих совместимость. Код написан на языке Rust и распространяется под лицензией GPLv2+.
https://www.opennet.ru/opennews/art.shtml?num=62421
В Firefox прекращена поддержка настройки Do Not Track
В ночных сборках Firefox, на базе которых 4 февраля будет сформирован релиз Firefox 135, со страницы с настройками приватности (about:preferences#privacy) убрана опция, позволявшая включить отправку сайтам HTTP-заголовка "Do Not Track" ("DNT"). Заголовок DNT информирует сайты о нежелании пользователя передавать на хранение сведения, которые могут использоваться для отслеживания перемещений и предпочтений.
https://www.opennet.ru/opennews/art.shtml?num=62418
Обновление голосовых данных Mozilla Common Voice 20
Компания Mozilla обновила наборы голосовых данных Common Voice, включающие примеры произношения более 200 тысяч человек. Данные опубликованы как общественное достояние (CC0). Предложенные наборы можно использовать в системах машинного обучения для построения моделей распознавания и синтеза речи. По сравнению с прошлым обновлением объём речевого материала в коллекции увеличился с 32.6 до 33.1 тысячи часов речи, из которых 22.1 тысячи часов прошли процедуру проверки. Число поддерживаемых языков увеличилось со 129 до 133 - добавлены языки арагонский, исиндебеле, южный сото и тупури.
https://www.opennet.ru/opennews/art.shtml?num=62413
Для Btrfs представлены патчи с балансировкой чтения RAID1 по алгоритму Round-robin
В репозиторий, развивающий изменения в Btrfs для будущих веток ядра Linux, принят набор.
https://www.opennet.ru/opennews/art.shtml?num=62407
Выпуск miracle-wm 0.4, композитного менеджера на базе Wayland и Mir
Мэтью Косарек (Matthew Kosarek) из компании Canonical опубликовал выпуск композитного менеджера miracle-wm 0.4, использующего протокол Wayland и компоненты для построения композитных менеджеров Mir. Miracle-wm поддерживает мозаичную (tiling) компоновку окон в стиле проектов i3 и Sway. В качестве панели может применяться Waybar. Код проекта написан на языке C++ и распространяется под лицензией GPLv3. Готовые сборки сформированы в формате snap, а также в пакетах rpm и deb для Fedora и Ubuntu.
https://www.opennet.ru/opennews/art.shtml?num=62405
mergiraf - AST-оринтированный инструмент для трёхстороннего слияния в Git
Опубликован релиз проекта mergiraf 0.4, развивающего драйвер для Git с реализацией возможности трёхстороннего слияния. Mergiraf поддерживает разрешение различных видов конфликтов при слиянии и может использоваться для различных языков программирования и форматов файлов. Возможно как отдельный вызов mergiraf для обработки конфликтов, возникающих при работе со штатным Git, так и замена в Git обработчика слияний для расширения возможностей таких команд, как merge, revert, rebase и cherry-pick. Код распространяется под лицензией GPLv3. В новой версии добавлена поддержка языков Python, TOML, Scala и Typescript, а также проведена оптимизация производительности.
https://www.opennet.ru/opennews/art.shtml?num=62402
Инициативы Fedora по созданию сборки с рабочим столом COSMIC и продвижению Btrfs
Начиная с выпуска Fedora 42, намеченного на весну следующего года, предложено формировать официальные Spin-сборки дистрибутива со средой рабочего стола COSMIC, разрабатываемой на языке Rust. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.
https://www.opennet.ru/opennews/art.shtml?num=62396
Официально представлены дистрибутив CentOS Stream 10 и репозиторий EPEL 10
Проект CentOS официально объявил о доступности дистрибутива CentOS Stream 10, который используется в качестве основы для формирования дистрибутива Red Hat Enterprise Linux 10. CentOS Stream относится к непрерывно обновляемым дистрибутивам и позволяет раньше получить доступ к пакетам, развиваемым для будущих выпусков RHEL. Сборки CentOS Stream 10 формируются для архитектур x86_64_v3, Aarch64, ppc64le (POWER9) и s390x (IBM z14) в форме установочных iso-файлов и образов для изолированных контейнеров. Сопровождение ветки CentOS Stream 10 продлится до 2030 года.
https://www.opennet.ru/opennews/art.shtml?num=62397
Выпуск KDE Gear 24.12, набора приложений от проекта KDE
После четырёх месяцев разработки представлено декабрьское сводное обновление приложений KDE Gear 24.12, развиваемых проектом KDE. В составе набора опубликованы выпуски более 250 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Новые версии отдельных приложений можно загрузить из каталогов Flathub и SnapCraft.
https://www.opennet.ru/opennews/art.shtml?num=62394