Новые версии nginx 1.25.5 и форка FreeNginx 1.26.0 Среди изменений:
Дополнительно можно отметить публикацию стабильной версии проекта FreeNginx 1.26.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Выпуск
1.26.0 отмечен как стабильный релиз, вобравший в себя изменения и исправления из выпусков mainline-ветки Nginx 1.25. Среди прочего в состав FreeNginx 1.26.0 вошли экспериментальная поддержка протокола HTTP/3, улучшения для противодействия DoS-атакам и исправления, связанные с асинхронной обработкой ввода/вывода.
Одновременно состоялся выпуск njs 0.8.4, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии: в CLI добавлена поддержка JavaScript-движка QuickJS; добавлена возможность выставления заголовка Server; реализована проверка на дублирование переменных, выставленных через js_set.
server {
server_name ~^(www\.)?(.+)$;
proxy_pass www.$2:12345;
}
stream {
server {
listen 12345 ssl;
ssl_certificate domain.crt;
ssl_certificate_key domain.key;
pass 127.0.0.1:8000;
}
}
Источник: https://www.opennet.ru/opennews/art.shtml?num=61003
Things happen.
Основные новшества в Firefox 125:
Кроме новшеств и исправления ошибок в Firefox 125 устранено 18 уязвимости (12 помечены как опасные). 11 уязвимостей (4 собраны под CVE-2024-3865) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61000
Релиз Firefox 125 отложен на несколько дней Примечательно, что несмотря на просьбы Mozilla не объявлять о новых выпусках до официального анонса, многие сайты, не следующими данным рекомендациям, уже успели объявить о релизе Firefox 125. Напомним, что распространение сборок Firefox по зеркалам начинается за несколько дней до официального объявления релиза. До официального анонса данные сборки позиционируется как тестовые кандидаты в релизы, которые не рекомендованы для установки обычными пользователями.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61001
continue
bonked 16 Apr 2024 12:02 +0200
original: GustavinoBevilacqua@mastodon.cisti.org
contrinitiator
honked 16 Apr 2024 11:57 +0200
Не так уж тепло, но птицы резвятся вовсю: парочка серых ворон топчется по автомобилям, кучка воробьёв настолько задорно купается, что до меня долетают брызги. А в неприметном дворике на газоне странные мужчины раскапывают яму. Вокруг валяются осколки старинных кирпичей, какие-то осколки. Место огорожено "магической" красно-белой лентой, но никакой информации не прилеплено (хотя это не редкость в последнее время). По внешнему виду, аксессуарам и инструментам мужчины больше напоминают искателей хабара, чем рабочих. Видно, что им не нравится моё внимание, хотя я делаю вид, что просто вышел прогуляться и попить кофе. Любопытно, конечно, что можно искать в яме на виду у всех в самом сердце Петроградки!
#ЛенинградНутряной
continue
bonked 16 Apr 2024 11:08 +0200
original: opennet@honk.any-key.press
Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1.
После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Уязвимость вызвана беспечностью разработчиков, которые для генерации 521-битного ключа использовали вектор инициализации (nonce) на основе 512-битной случайной последовательности, вероятно, посчитав что энтропии в 512 бит будет достаточно и оставшиеся 9 бит не имеют принципиального значения. В итоге, во всех закрытых ключах, созданных в PuTTY с использованием алгоритма ecdsa-sha2-nistp521, первые 9 бит вектора инициализации всегда принимали нулевые значения.
Для ECDSA и DSA качество генератора псевдослучайных чисел и полное покрытие случайными данными параметра, используемого при вычислении модуля, имеет принципиальное значение, так как определение даже нескольких битов с информацией о векторе инициализации достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа. Для успешного восстановления ключа достаточно наличия открытого ключа и анализа нескольких десятков цифровых подписей, сгенерированных с использованием проблемного ключа для известных атакующему данных.
Атака сводится к решению задачи HNP (Hidden Number Problem).
Необходимые цифровые подписи можно получить, например, при подключении пользователя к SSH-серверу атакующего или к Git-серверу, использующему SSH в качестве транспорта. Необходимые для атаки подписи также можно узнать, если ключ использовался для заверения произвольных данных, например, git-коммитов при применении SSH-агента Pageant для перенаправления трафика на хост разработчика.
Получение необходимых для восстановления ключа данных в ходе MITM-атаки исключено, так как подписи в SSH не передаются в открытом виде.
Отмечается, что похожее использование неполных векторов инициализации применялось в PuTTY и для других видов эллиптических кривых, но для алгоритмов, отличных от ECDSA P-521, возникших утечек информации недостаточно для реализации работающей атаки по восстановлению ключа. Ключи ECDSA другого размера и ключи Ed25519 атаке не подвержены.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60998
Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1.
После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Уязвимость вызвана беспечностью разработчиков, которые для генерации 521-битного ключа использовали вектор инициализации (nonce) на основе 512-битной случайной последовательности, вероятно, посчитав что энтропии в 512 бит будет достаточно и оставшиеся 9 бит не имеют принципиального значения. В итоге, во всех закрытых ключах, созданных в PuTTY с использованием алгоритма ecdsa-sha2-nistp521, первые 9 бит вектора инициализации всегда принимали нулевые значения.
Для ECDSA и DSA качество генератора псевдослучайных чисел и полное покрытие случайными данными параметра, используемого при вычислении модуля, имеет принципиальное значение, так как определение даже нескольких битов с информацией о векторе инициализации достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа. Для успешного восстановления ключа достаточно наличия открытого ключа и анализа нескольких десятков цифровых подписей, сгенерированных с использованием проблемного ключа для известных атакующему данных.
Атака сводится к решению задачи HNP (Hidden Number Problem).
Необходимые цифровые подписи можно получить, например, при подключении пользователя к SSH-серверу атакующего или к Git-серверу, использующему SSH в качестве транспорта. Необходимые для атаки подписи также можно узнать, если ключ использовался для заверения произвольных данных, например, git-коммитов при применении SSH-агента Pageant для перенаправления трафика на хост разработчика.
Получение необходимых для восстановления ключа данных в ходе MITM-атаки исключено, так как подписи в SSH не передаются в открытом виде.
Отмечается, что похожее использование неполных векторов инициализации применялось в PuTTY и для других видов эллиптических кривых, но для алгоритмов, отличных от ECDSA P-521, возникших утечек информации недостаточно для реализации работающей атаки по восстановлению ключа. Ключи ECDSA другого размера и ключи Ed25519 атаке не подвержены.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60998
Выпуск платёжной системы GNU Taler 0.10, развиваемой проектом GNU GNU Taler не создаёт собственную криптовалюту, а работает с уже существующими валютами, в том числе с долларами, евро и биткоинами. Поддержку новых валют можно обеспечить через создание банка, который выступает финансовым гарантом. Бизнес-модель GNU Taler основана на выполнении операций обмена - деньги из традиционных платёжных систем, таких как BitCoin, Mastercard, SEPA, Visa, ACH и SWIFT, преобразуются в анонимные электронные деньги в той же валюте. Пользователь может передавать электронные деньги продавцам, которые затем могут на точке обмена поменять их обратно в реальные деньги, представленные традиционными системами платежей.
Все транзакции в GNU Taler защищены с использованием современных криптографических алгоритмов, позволяющих сохранить достоверность даже при утечке приватных ключей клиентов, продавцов и точек обмена. Формат БД предоставляет возможность верификации всех совершённых транзакций и подтверждения их непротиворечивости. Подтверждением платежа для продавцов является криптографическое доказательство перевода в рамках заключённого с клиентом контракта и криптографически подписанное подтверждение о наличии средств на точке обмена. В состав GNU Taler входят набор базовых компонентов, предоставляющих логику для работы банка, точки обмена, торговой площадки, кошелька и аудитора.
Финансирование разработки осуществляется на гранты Еврокомиссии, Государственного секретариата Швейцарии по образованию и Государственного секретариата Швейцарии по исследованиям и инновациям (SERI). В рамках проекта
NGI TALER ведётся работа по созданию на базе GNU Taler продукта, готового для применения в Евросоюзе.
Основные изменения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60997
Открыты исходные тексты игры Descent 3 Релиз игры Descent 3 был опубликован в 1999 году. Игра сочетает в себе шутер от первого лица и симулятор полётов в открытом и замкнутом пространстве. Поддерживается однопользовательский режим прохождения миссий и многопользовательские бои. Опубликована самая свежая кодовая база Descent 3 "1.5 Patch", включающая подготовленные несколько лет назад изменения для актуализации кода, написанного в 1990-х годах. Поддерживается сборка для Linux, macOS и Windows.
В поставку не вошла музыка и библиотеки для показа видео в форматах ACM и MVE, права на которые не принадлежат компании Outrage Entertainment. Чтобы обеспечить корректную сборку проекта в ближайшее время отсутствующие библиотеки будут заменены заглушками. В дальнейшем видеоролики, используемые в заставке и в финальных сценах, планируют сконвертировать в формат, для которого имеются открытые библиотеки. Из задач, которые намерены решить в первую очередь, отмечается предоставление возможности сборки для разных платформ, создание инфраструктуры для тестирования в системе непрерывной интеграции, проведение чистки кода и удаление компонентов старой системы управления версиями.
<iframe src="https://www.youtube.com/embed/oasEAoPHk7I?si=tvi1R1a9CLDXm491">
Источник: https://www.opennet.ru/opennews/art.shtml?num=60996
continue
bonked 15 Apr 2024 20:30 +0200
original: pongo@mastodon.ml
Рассказы про необычных художников: «Зимний рынок», Уильям Гибсон — рассказ про нейрохудожников, которые занимаются оцифровкой воспоминаний/снов. «Отражения призраков», Джеффри Томас — здесь художник создает собственных клонов, меняя их облик и разум; это всё отвратительно, но очень оригинально. «Солнцестояние», Джеймс Патрик Келли — а этот художник создает дизайнерские вещества; и, кстати, снова про клонов идет речь.
continue
bonked 15 Apr 2024 15:49 +0200
original: gusev@mastodon.ml
Сходил в поход. Ох, как здорово, как соскучился по закатам и рассветам. Только вот раньше в местах где я обитал раньше не было связи совсем, теперь 4г появился местами. Ну, это ладно. Главное понаблюдал за животными. За бобрами в основном. Были и лоси, и косули, и зайцы. Вечерами в небе токовали вальдшнепы, бекасы — по утрам. Время чудесное, чтобы отдохнуть. Клещей вот много и одного я всё-таки поймал. Сходил на свой скрадок. Посидел в нём часов пять, можно сказать безуспешно. Зато релакс какой. Интересно, что за несколько дней до моего выхода на реки, мне в мессенджер пришло сообщение от охотника, который нашёл мой скрадок (я там свой номер оставил). Хотел чувак убедиться, что я не браконьер) Потестил недавно купленные, относительно недорогие треккинговые ботинки. Свои деньги отрабатывают, в топях не текут, если не через край. Дальше видно будет. Ну и ещё понял, что в коротких выходах на пару-тройку дней щепочница очень неудобна. Много возни.
#поход #бобры #природа
Инициатива по избавлению браузерного движка Servo от привязки к Mozilla SpiderMonkey Проект Servo написан на языке Rust и отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Проект Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60994
GitLab заблокировал BPC, браузерное дополнение для обхода Paywall Метод Paywall применяется многими крупными англоязычными изданиями (forbes.com, independent.co.uk, newsweek.com, newyorker.com, nytimes.com, wsj.com и т.п.) для открытия полного текста свежих статей только платными подписчиками. Ссылки на подобные статьи активно продвигаются в социальных сетях и поисковых системах, но после перехода по публикуемым ссылкам вместо открытия полного текста пользователю предлагается оформить платную подписку, если он хочет увидеть подробности.
Формулировка, на основе которой был заблокирован репозиторий BPC, не сообщается, но, судя по всему, проекту вменяется незаконный обход методов технической защиты доступа к содержимому, являющемуся объектом авторского права. Нарушение защиты в BPC является спорным вопросом, так как сайты с Paywall обычно открывают полный доступ поисковым системам и социальным сетям, из-за того, что издания заинтересованы в индексации текстов и привлечении посетителей, которых интересует данный материал. Поэтому для обхода ограничения доступа, как правило, достаточно просто сменить идентификатор браузера и притвориться поисковым ботом "Googlebot". На некоторых сайтах также может потребоваться очистить сессионную Cookie и заблокировать некоторые скрипты.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60993
Проект Redka развивает реализацию протокола и API Redis поверх SQLite В настоящее время в Redka добавлена поддержка типов для работы со строками и хэшами, а также команд для манипуляции строковыми данными, ключами, транзакциями и хэшами. Например, доступны команды для установки и получения одного или нескольких привязанных к ключу строковых значений, задания времени жизни ключей, инкремента/декремента значений, поиска ключей по шаблону, переименования ключей, выполнения серии команд в рамках транзакции, отмены транзакции, работы с полями в хэшах.
В ближайшее время планируется добавить поддержку списков, коллекций (sets) и отсортированных коллекций. В отдалённой перспективе ожидается реализация алгоритма HyperLogLog, возможности для манипуляции географическими координатами и команд для взаимодействия с использованием модели publish/subscribe. Пока не планируется добавлять поддержку скриптов на языке Lua, аутентификацию, ACL, watch/unwatch и возможность работы в одном сервере с несколькими БД. Точно не будет реализована поддержка кластеров (Redis Cluster) и мониторинга (Redis Sentinel).
Тестирование производительности с использованием
инструментария от проекта Redis, показало, что Redka в 2-6 раз отстаёт от Redis из-за отсутствия специфичных оптимизаций для хранения данных в формате ключ/значение. В частности, в созданном тестовом окружении Redis продемонстрировал производительность в 133 тысяч операций SET в секунду и 139 тысяч операций GET в секунду, в то время как производительность Redka составила 30 тысяч SET в секунду и 63 тысячи GET в секунду в ситуации, когда БД размещалась в оперативной памяти. При хранении БД на диске производительность Redka составила
22 тысячи операций SET в секунду и 56 тысяч GET в секунду.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60992
Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd В кодовой базе Lighttpd данная уязвимость была устранена ещё в 2018 году в версии 1.4.51, но исправление было внесено без присвоения CVE-идентификатора и без публикации отчёта с описанием характера уязвимости. В примечании к выпуску, было упомянуто об устранении проблем с безопасностью, но основное внимание было акцентировано на уязвимости в mod_userdir, связанной с использованием символов ".." и "." в имени пользователя.
В списке изменений также была упомянута проблема с обработкой HTTP-заголовков, но данное исправление было пропущено разработчиками прошивки и не перенесено в состав продукта, так как примечание о потенциальном устранении уязвимости класса use-after-free присутствовало лишь в тексте коммита, а в общем списке изменений не было указано, что ошибка приводит к обращению к памяти после освобождения.
Уязвимость позволяет прочитать содержимое памяти за пределами выделенного буфера. Проблема вызвана ошибкой в коде слияния HTTP-заголовков, применяемом при указании нескольких экземпляров HTTP-заголовка "If-Modified-Since". При обработке второго экземпляра заголовка lighttpd выделял новый буфер, чтобы вместить объединённое значение и освобождал память под буфер, в который было помещено значение из первого заголовка. При этом указатель con-›request.http_if_modified_since не изменялся и продолжал указывать на уже освобождённую область памяти.
Так как данный указатель использовался при операциях сравнения содержимого заголовка If-Modified-Since, результат которых приводил к генерации разных кодов возврата, атакующий мог путём перебора угадать новое содержимое памяти, которую ранее занимал первый буфер. Проблема могла использоваться в сочетании с другими уязвимостями, например, для определения раскладки памяти для обхода механизмов защиты, таких как ASLR (рандомизация адресного пространства).
Наличие уязвимости подтверждено в серверных платформах Lenovo и Intel, но данные компании не планируют выпускать обновления прошивок из-за истечения времени поддержки, использующих данные прошивки продуктов, и низкого уровня опасности уязвимости. Проблема проявляется в прошивках к платформам Intel M70KLP и Lenovo HX3710, HX3710-F и HX2710-E (уязвимость присутствует среди прочего в последних версиях прошивок Lenovo 2.88.58 и Intel 01.04.0030). Дополнительно сообщается, что уязвимость в lighttpd также проявляется в прошивках к оборудованию Supermicro и в серверах, на которых используются BMC-контроллеры компаний Duluth и AETN.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60982
Выпуск симуляторов транспортных компаний OpenTTD 14.0 и OpenLoco 24.04 Изначально OpenTTD развивался как аналог коммерческой игры Transport Tycoon Deluxe, но позднее превратился в самодостаточный проект, значительно обогнавший по возможностям эталонный вариант игры. В частности, в рамках проекта создан альтернативный набор игровых данных, новое звуковое и графическое оформление, существенно расширены возможности игрового движка, увеличены размеры карт, реализован сетевой режим игры, добавлено много новых игровых элементов и моделей.
В новой версии:
Дополнительно можно отметить выпуск OpenLoco 24.04, открытого движка для симулятора транспортной компании Chris Sawyer's Locomotion. В новой версии реализация команд для создания зданий и дорог переписана на языке С++, улучшена работа генераторов карт и ландшафтов, улучшена отрисовка текста.
Также можно упомянуть обновление проекта OpenRCT2 0.4.10, развивающего открытую реализацию стратегической игры RollerCoaster Tycoon 2, симулирующей конструирование парка развлечений и управление им, а также охватывающей также элементы инфраструктуры, такие как магазины и кафе. Для работы OpenLoco и OpenRCT2 требуются файлы с ресурсами от оригинальных игр Chris Sawyer's Locomotion и RollerCoaster Tycoon 2.
Из отличий открытых вариантов движков выделяется поддержка современных платформ, улучшенный интерфейс, повышение качества искусственного интеллекта.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60991
continue
bonked 14 Apr 2024 17:48 +0200
original: redmp@recurse.social
free #forth #osdev book:
```
$ wget --mirror http://tumbleforth.hardcoded.net/
$ cd tumbleforth.hardcoded.net/
$ ebook-convert index.html ../'Tumble Forth.epub' --authors='Virgil Dupras'
```
Релиз http-серверов Lighttpd 1.4.76 и Apache httpd 2.4.59 В новой версии:
Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60990
Выпуск платформы Lutris 0.5.17 для упрощения доступа к играм из Linux Проектом поддерживается каталог для быстрого поиска и установки игровых приложений, позволяющий через единый интерфейс одним щелчком мыши запускать в Linux игры, не заботясь об установке зависимостей и настройках. Runtime-компоненты для запуска игр поставляются проектом и не привязываются к используемому дистрибутиву. Runtime представляет собой независимый от дистрибутива набор библиотек, включающий компоненты из SteamOS и Ubuntu, а также различные дополнительные библиотеки.
Предоставляется возможность установки игр, распространяемых через сервисы GOG, Steam, Epic Games Store, Battle.net, Amazon Games, Origin и Uplay. При этом сам по себе Lutris выступает лишь в роли посредника и не продаёт игры, поэтому для коммерческих игр пользователь должен самостоятельно приобрести игру в соответствующем сервисе (бесплатные игры можно запускать одним кликом из графического интерфейса Lutris).
Каждая игра в Lutris привязывается к сценарию загрузки и обработчику, описывающему окружение для запуска игры. В том числе предоставляются готовые профили с оптимальными настройками для запуска игр под управлением Wine. Кроме Wine игры могут запускаться при помощи эмуляторов игровых консолей, таких как RetroArch, Dosbox, FS-UAE, ScummVM, MESS/MAME и Dolphin.
Среди изменений в новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60989
Библиотека LibGodot для встраивания в приложения сцен, созданных для игрового движка Godot Разработчики библиотеки намерены добиться включения экспериментальной поддержки LibGodot в состав выпуска Godot 4.3, а в версии Godot 4.4 обеспечить поддержку в LibGodot графического API OpenGL и платформ Android, Windows, Linux (X11 и Wayland), помимо изначально поддерживаемых macOS и iOS. Из областей применения LibGodot, кроме интеграции контента Godot в графический интерфейс приложения (показа окон Godot, как части интерфейса), отмечается возможность управления движком Godot из приложения и решение задач, связанных с автоматизацией разработки (например, для задействования при сборке ассетов).
Источник: https://www.opennet.ru/opennews/art.shtml?num=60988
Доступен Lakka 5.0, дистрибутив для создания игровых консолей В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых игр при помощи шейдеров, перемотка игры назад, горячее подключение геймпадов и видео стриминг. Среди эмулируемых консолей: Atari 2600/7800/Jaguar/Lynx, Game Boy, Mega Drive, NES, Nintendo 64/DS, PCEngine, PSP, Sega 32X/CD, SuperNES и т.д. Поддерживаются геймпады от уже имеющихся игровых приставок, включая Playstation 3, Dualshock 3, 8bitdo, Nintendo Switch, XBox 1 и XBox360.
В новом выпуске:
<iframe src="https://www.youtube.com/embed/NzweChy1TXY?si=JWwgkj4Be4nxIoqU">
dirksimple - движок для игры Dragon’s Lairdosbox-core - эмулятор DOSBoxep128emu - эмулятор Enterprise 64/128, Videoton TVC, Amstrad CPC и ZX Spectrumgeolith - эмулятор Neo Geo AES и MVS Cartridge Systemjaxe - эмулятор XO-CHIP, S-CHIP и CHIP-8numero - эмулятор калькулятора TI-83thepowdertoy - движок для игры The Powder Toyvice_xpet - эмулятор Commodore PETvircon32 - виртуальная игровая консоль (Virtual Game Console)vitaquake2 - движок для Quake II
Источник: https://www.opennet.ru/opennews/art.shtml?num=60987
Основные изменения в Chrome OS 123:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60986
Выпуск cформирован в соответствии с инициативой по предсказуемому ежемесячному формированию обновлений KDE Frameworks. Помимо исправления ошибок и недоработок, выявленных после публикации ветки KDE 6.0, в новой версии можно отметить следующие новшества:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60985
Выпуск Cambalache 0.90, инструмента для разработки GTK-интерфейсов Cambalache не зависит от GtkBuilder и GObject, но предоставляет модель данных, соответствующую системе типов GObject. Модель данных может импортировать и экспортировать разом несколько интерфейсов, поддерживает объекты, свойства и сигналы GtkBuilder, предоставляет стек отката операций (Undo / Redo) и возможность сжатия истории команд. Для генерации модели данных из gir-файлов предоставляется утилита cambalache-db, а для генерации классов GObject из таблиц модели данных - утилита db-codegen.
Интерфейс может генерироваться на базе GTK 3 и GTK 4, в зависимости от определённой в проекте версии. Для обеспечения поддержки разных веток GTK формирование рабочей области осуществляется с привлечением бэкенда Broadway, позволяющего отрисовывать вывод библиотеки GTK в окне web-браузера. Основной процесс Cambalache предоставляет обвязку на базе WebKit WebView, в которой при помощи Broadway транслируется вывод из процесса Merengue, который непосредственно занимается отрисовкой интерфейса, создаваемого пользователем.
В новой версии осуществлён перевод интерфейса пользователя Cambalache на библиотеку GTK 4. Каталог виджетов обновлён для GNOME SDK 46. Расширены возможности, связанные с привязкой действий к элементам контекстного меню и переводом всплывающих подсказок к кнопкам. Присвоение номера 0.90 после версий 0.1x объясняется приближением к готовности выпустить релиз Cambalache 1.0.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60981
Началось тестирование переработанного интерфейса пакетного менеджера APT 3.0 Версия APT 2.9 представляет интерес переработанным интерфейсом пользователя, наглядно представляющим список зависимостей, необходимых для загрузки при установке пакета. Если раньше имена пакетов с зависимостями выводились сплошным списком, то теперь они разбиваются на колонки в стиле утилиты "ls" с опцией "-C", а разные блоки вывода подсвечиваются своими цветами (например, удаляемые пакеты выделяются красным, а устанавливаемые - зелёным цветом). При выводе также убраны дублирующиеся упоминания дополнительных и новых пакетов (объединены секции "NEW packages" и "additional packages").
Было:
Стало:
Дополнительно можно отметить утверждение разработчиками дистрибутива Debian обновлённого варианта правил оформления пакетов - Debian Policy 4.7.0.0, в котором отражено создание отдельного репозитория с прошивками non-free-firmware, разрешено использование жёстких ссылок в source-пакетах, регламентировано ограничение доступа к сети для автоматических сборок пакетов в contrib и non-free.
Для пакетов, автоматически запускающих или останавливающих системные сервисы, введено требование, предписывающее обязательное включение в состав unit-файла для systemd (исключение добавлено только для пакетов, специально нацеленных на использование только с альтернативными системами инициализации). Ранее, пакетам было разрешено использование обычных init-скриптов, но теперь поддержка таких скриптов в systemd прекращена.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60984
Обновление X.Org Server 21.1.13 с устранением потенциальной уязвимости в исправлении уязвимости Аналогичная проблема устранена в DDX-компоненте xwayland 23.2.6, обеспечивающем запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60983
continue
honked back 12 Apr 2024 22:00 +0200
in reply to: https://honk.any-key.press/u/continue/h/p44nX6MC99tZf4V4pN
Немного скриншотов из Wonder Boy: Asha in Monster World
continue
bonked 12 Apr 2024 21:47 +0200
original: opennet@honk.any-key.press
0-day уязвимость в драйвере n_gsm, позволяющая выполнить код на уровне ядра Linux Драйвер n_gsm предоставляет реализацию протокола GSM 07.10, используемого в GSM-модемах для мультиплексирования соединений к последовательному порту.
Уязвимость вызвана состоянием гонки в обработчике ioctl GSMIOC_SETCONF_DLCI, используемом для обновления конфигурации DLCI (Data Link Connection Identifier). Через манипуляции с ioctl можно добиться обращения к памяти после её освобождения (use-after-free).
Эксплоит может использоваться на системах с ядрами Linux, начиная с 5.15 и заканчивая 6.5. Например, успешное получение root-доступа продемонстрировано в Fedora, Ubuntu 22.04 с ядром 6.5 и в Debian 12 с ядром 6.1. Начиная с ядра 6.6 для эксплуатации требуются права доступа CAP_NET_ADMIN. В качестве обходного пути блокирования уязвимости можно запретить автоматическую загрузку модуля ядра n_gsm, добавив в файл /etc/modprobe.d/blacklist.conf строку "blacklist n_gsm".
Примечательно, что в январе была раскрыта информация о другой уязвимости (CVE-2023-6546) в драйвере n_gsm, для которой также публично доступен эксплоит. Данная уязвимость не пересекается с первой проблемой, хотя также вызвана обращением к памяти после освобождения при работе со структурой gsm_dlci, но в обработчике ioctl GSMIOC_SETCONF. Проблема исправлена в августе прошлого года (исправление вошло в состав ядра 6.5).
Источник: https://www.opennet.ru/opennews/art.shtml?num=60980
0-day уязвимость в драйвере n_gsm, позволяющая выполнить код на уровне ядра Linux Драйвер n_gsm предоставляет реализацию протокола GSM 07.10, используемого в GSM-модемах для мультиплексирования соединений к последовательному порту.
Уязвимость вызвана состоянием гонки в обработчике ioctl GSMIOC_SETCONF_DLCI, используемом для обновления конфигурации DLCI (Data Link Connection Identifier). Через манипуляции с ioctl можно добиться обращения к памяти после её освобождения (use-after-free).
Эксплоит может использоваться на системах с ядрами Linux, начиная с 5.15 и заканчивая 6.5. Например, успешное получение root-доступа продемонстрировано в Fedora, Ubuntu 22.04 с ядром 6.5 и в Debian 12 с ядром 6.1. Начиная с ядра 6.6 для эксплуатации требуются права доступа CAP_NET_ADMIN. В качестве обходного пути блокирования уязвимости можно запретить автоматическую загрузку модуля ядра n_gsm, добавив в файл /etc/modprobe.d/blacklist.conf строку "blacklist n_gsm".
Примечательно, что в январе была раскрыта информация о другой уязвимости (CVE-2023-6546) в драйвере n_gsm, для которой также публично доступен эксплоит. Данная уязвимость не пересекается с первой проблемой, хотя также вызвана обращением к памяти после освобождения при работе со структурой gsm_dlci, но в обработчике ioctl GSMIOC_SETCONF. Проблема исправлена в августе прошлого года (исправление вошло в состав ядра 6.5).
Источник: https://www.opennet.ru/opennews/art.shtml?num=60980
Это игра 2021 года, которая является ремейком 16-битной игры Monster World IV для #Sega Mega Drive. Сразу оговорюсь, что в оригинал я не играл. Но то, что это не современная игра, чувствуется на протяжении всего прохождения. В хорошем смысле. Это платформер-приключение с горстью несложных головоломок и зачатками RPG. Я бы не сказал, что от её геймплея стоит ждать откровений в 2024 году. Я бы не поставил эту игру выше Wonder Boy III или Shantae: Half-Genie Hero. Но и придраться, собственно, не к чему. Хорошая, отполированная, несложная и недолгая игра. Главное не перебарщивать с сейв-стейтами. У меня никогда не было собственной приставки от компании Сега, поэтому я с удовольствием закрываю собственные пробелы в их игротеке подобными ремейками.
Прошёл Wonder Boy: Asha in Monster World
#ВоЧтоПоиграть
continue
honked back 12 Apr 2024 16:07 +0200
in reply to: https://honk.any-key.press/u/continue/h/MX4XwX13fJhB23Z3VS
Изменения в Android 15 Beta1 по сравнению со второй предварительной версией:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60975
Основные изменения:
В инсталляторе также отмечены возможности, добавленные в прошлом выпуске Ubuntu 23.10, такие как поддержка файловой системы ZFS и возможность шифрования дисков, не требующая ввода пароля разблокировки диска при загрузке, благодаря хранению информации для расшифровки ключей в TPM (Trusted Platform Module).
Ubuntu App Center заменил собой старый интерфейс Snap Store. По сравнению с Ubuntu 23.10 добавлена новая категория приложений - Игры (при этом из поставки удалены игры GNOME). Предложен отдельный интерфейс для обновления прошивок - Firmware Updater, доступный для систем на базе архитектур amd64 и arm64, и позволяющий обновлять прошивки без запуска в фоне полноценного менеджера приложений.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60974
Выпуск свободного звукового редактора Ardour 8.5 Ключевые улучшения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60976
Компания Oracle опубликовала DTrace для Linux 2.0.0-1.14 Инструментарий может использоваться со штатными ядрами Linux, поддерживающими BPF. Для работы требуется библиотека libctf с реализацией поддержки отладочного формата CTF (Compact Type Format), которая входит в состав пакета binutils, начиная с выпуска 2.40, или библиотека libdtrace-ctf, портированная из Solaris. Опционально предлагается два патча к ядру 6.7, позволяющих задействовать расширенные возможности для получения дополнительных данных о модулях и ядре.
Технология DTrace была разработана для решения задач по динамической трассировке ядра и конечных приложений в операционной системе Solaris. DTrace даёт пользователю возможность детально отслеживать поведение системы и в режиме реального времени производить диагностику проблем. В процессе отладки DTrace не влияет на работу исследуемых приложений и никак не отражается на их производительности, что позволяет организовать анализ работающих систем на лету. Из сильных сторон DTrace отмечается высокоуровневый язык D, похожий на AWK, на котором значительно проще создавать сценарии трассировки, чем при применении предлагаемых для eBPF средств написания обработчиков на языках C, Python и Lua с внешними библиотеками.
Основные возможности:
Изменения в новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60973
continue
honked back 11 Apr 2024 16:14 +0200
in reply to: https://honk.vedetta.com/u/horia/h/Q4393P2B1FPMV7Rwb2
continue
bonked 11 Apr 2024 16:08 +0200
original: horia@honk.vedetta.com
theme restaurant in 
continue
honked back 11 Apr 2024 13:02 +0200
in reply to: https://honk.any-key.press/u/continue/h/18SM155435b36ctzJD
continue
honked back 11 Apr 2024 12:10 +0200
in reply to: https://honk.any-key.press/u/continue/h/18SM155435b36ctzJD
Доступен OpenZiti 1.0, инструментарий для встраивания оверлейных сетей в приложения Система OpenZiti изначально рассчитана на построение сетей, гарантирующих защиту и изоляцию трафика в условиях работы в незащищённых окружениях, узлы в которых могут быть скомпрометированы (архитектура с нулевым доверием - Zero Trust). Технология может применяться для организации связи c приложениями вместо VPN. Работа сети обеспечивается через использование процесса-контроллера, управляющего конфигурацией сети, аутентификацией и настройкой сервисов, а также узлов, которым разрешено выступать в роли маршрутизаторов, образующих mash-сеть и выполняющих передачу через себя транзитного трафика. Возможно добавление сервисов для балансировки нагрузки и обеспечения отказоустойчивости.
Доступ к сети реализуется при помощи специальных edge-клиентов, позволяющих обращаться из внешней сети к оверлейной сети, построенной при помощи OpenZiti. Возможно создание
туннелей и прокси, позволяющих пробрасывать трафик из обычной сети в оверлейную и наоборот, чтобы из внешней сети взаимодействовать с работающими в оверлейной сети приложениями и обращаться к существующим приложениям, в которых не встроена поддержка оверлейной сети.
Обращение к сети и получение данных с серверов DNS возможно только после прохождения обязательной аутентификации - без наличия полномочий клиент не сможет определить наличие сервиса и подключиться к нему.
Весь трафик защищается при помощи mTLS (взаимная аутентификация, при которой клиент и сервер аутентифицируют друг друга) и сквозного шифрования (ChaCha20-Poly1305), т.е. компрометация частей сети не позволит просматривать трафик. Для шифрования задействованы функции библиотеки libsodium.
Из популярных приложений, использующих OpenZiti, можно отметить платформу совместного доступа к данным Zrok и экосистему browZer для развёртывания сайтов в оверлейной сети. Кроме создания распределённых сетевых приложений OpenZiti также подходит для построения частных сетей для организации доступа к закрытым API, сайтам или БД, скрытия в оверлейной сети инфраструктур на базе Kubernetes, а также удалённого управления внешними системами и устройствами без настройки межсетевых экранов и задействования VPN.
В выпуске OpenZiti 1.0 обеспечена стабильность API для маршрутизаторов и контроллеров (для клиентов стабильность API гарантировалась и раньше). Начиная с данного выпуска в API и интерфейсе командной строки будет поддерживаться обратная совместимость, а при необходимости удаления возможностей будет применяться процесс предварительного перевода их в разряд устаревших и фактического удаления только при значительном смене номера версии. В новой версии также проведено дополнительное тестирование с симуляцией различных сбоев компонентов сети (chaos testing), позволяющее убедиться в устойчивости сети в случае возникновения нештатных ситуаций и способности возвращения к нормальной работе после возобновления работы сбойных компонентов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60971
TL;DR
=> gemini://geminiprotocol.net/news/2024_03_31.gmi 2024-03-31 - Specification changes, quarterly release numbering, and more plansgemtext). Старая общая спецификация переименована в "technical overview" и помечена, как имеющая меньший приоритет по отношению к новой (разделённой).MIME для ответа 20 всё-таки стало обязательным. Моя война с ветряными мельницами, похоже, закончена.<META> для ответа 44. Теперь, как и в остальных случаях, там должно быть человеко-читаемое сообщение, а не десятичное число секунд. Клиенты-роботы должны использовать экспоненциальное увеличение времени между повторными запросами для ответа 44.1x) теперь официально поддерживаются переводы строк, которые должны быть экранированы подстрокой %0A или %0D%0A.
Проект по реализации zlib на языке Rust В качестве причины создания zlib-rs упоминается намерение предоставить вариант zlib, избавленный от потенциальных проблем, вызванных ошибками при работе с памятью. По данным компаний Microsoft и Google около 70% уязвимостей вызваны небезопасной работой с памятью. Предполагается, что использование языка Rust для разработки zlib-rs позволит снизить риск появления уязвимостей, вызванных небезопасной работой с памятью, и исключить появление таких ошибок, как обращение к области памяти после её освобождения и выход за границы буфера.
Библиотека Zlib широко распространена и используется в качестве зависимости во многих системах, при том, что в коде Zlib периодически всплывают опасные уязвимости. Например, в 2022 году в zlib было выявлено переполнение буфера при попытке сжатия специально подготовленной последовательности символов, которое позволяло эксплуатировать уязвимость через передачу специально оформленных входящих данных.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60970
Инициативой OS Zone аннулировано 54 патента, направленных против открытого ПО Из открытых проектов, интересы которых удалось защитить, добившись признания связанных с ними патентов недействительными, упоминаются Apache Cocoon, Apache mod_evasive, Argo, Bluez, Fail2Ban, FreeMesh, LibreMesh, iFolder, LibVLC, Linkerd, ядро Linux, Automotive Linux, Kubernetes, KVM, Magento, Mastodon, Firefox, Mycroft, OpenACH, OpenSwan, QEMU и WebM.
Сообщается, что помимо основных спонсоров проводимой в OS Zone работы - Linux Foundation и Microsoft, о своей поддержке в этом году заявили компании Amazon, Apple, CableLabs, Mercedes-Benz, Meta, ServiceNow и Twilio, что позволит усилить работу по признанию недействительными сомнительных патентов, используемых патентными троллями для нападок на компании и организации, продвигающие открытое ПО.
Проект OS Zone создан для защиты открытого ПО от нападок патентных троллей, не обладающих активами и живущими только за счёт исков с использованием сомнительных патентов. В рамках проекта сформирована группа, которая занимается поиском фактов более раннего использования технологий, фигурирующих в разбирательствах, затрагивающих Linux и открытое ПО. OS Zone также предусматривает выплату вознаграждений энтузиастам за выявление фактов более раннего использования запатентованных технологий.
Противостояние с патентными троллями усложняет то, что тролль владеет только интеллектуальной собственностью, но не ведёт разработку и производственную деятельность, поэтому против него невозможно предъявить ответный иск, связанный с нарушением условий использования патентов в каких-либо продуктах, и остаётся только пытаться доказать несостоятельность используемого в иске патента.
Организация Unified Patents пытается противостоять патентным троллям и усложняют разбирательства с их участием, делая нападки слишком затратными из-за судебных издержек. Unified Patents не ставит целью выиграть дело, но даёт понять троллям, что будет бороться и отставать интересы своих участников. В итоге разбирательство с участником Unified Patents может оказаться для тролля дороже, чем отчисления, которые тролль намерен получить (например, успешное противостояние может продолжаться до 6 месяцев и грозить судебными издержками до 2 млн долларов).
Организация Open Invention Network (OIN) занимается защитой экосистемы Linux от патентных претензий. Участники OIN обязуются не выдвигать патентные претензии и безвозмездно разрешают использовать запатентованные технологии в проектах, связанных с экосистемой Linux. В число участников OIN входит более 3800 компаний, сообществ и организаций, подписавших лицензионное соглашение о совместном использовании патентов. Подписавшие соглашение компании получают доступ к имеющимся в руках OIN патентам в обмен на обязательство не предъявлять судебных претензий за использование технологий, применяемых в экосистеме Linux.
Соглашение между участниками OIN распространяется только на компоненты дистрибутивов, подпадающих под определение системы Linux ("Linux System"). В настоящее время список включает 3730 пакетов, в том числе ядро Linux, платформу Android, KVM, Git, nginx, Apache Hadoop, CMake, PHP, Python, Ruby, Go, Lua, LLVM, OpenJDK, WebKit, KDE, GNOME, QEMU, Firefox, LibreOffice, Qt, systemd, X.Org, Wayland, PostgreSQL, MySQL и т.д. Кроме обязательств о ненападении для дополнительной защиты в рамках OIN сформирован патентный пул, куда попадают скупаемые или безвозмездно передаваемые участниками патенты, связанные с Linux.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60969
continue
bonked 11 Apr 2024 07:32 +0200
original: Konstantin@pixelfed.de
Ещё несколько фото - уже не с телефона - со слаломного канала. И немного о нём самом.
Слаломный канал - это уникальное по всем меркам сооружение, имитирующее горную реку 3-5 категории сложности в зависимости от уровня воды. Не действует он уже лет двадцать. В какой-то момент, не знаю, по каким уж причинам, для него стало не хватать воды. А до того на нём тренировались спортсмены-сплавщики, коих у нас было несколько очень сильных команд, и туристы-водники - и я в том числе. Спортивный каяк на этом уровне освоить мне так и не удалось, возможности не было. Было несколько случайных попыток по случаю... Но лучшим моим результатом так остался переворот уже за последним, простым с виду, но очень коварным сливом с тридцать-какой-то попытки. Но на катамаране, сдвинув баллоны почти вплотную, мы там вволю полетали...
А летом для любителей адрениалина по большой воде это была ещё и отличная развлекуха - пролететь эти метров семьсот на спасжилете. Опасности в том на самом деле не было никакой, а адреналинчику хапнуть можно было по полной... ☺
A few more photos - not from а phone - from the slalom channel. And a little bit about it.
The slalom channel is a unique by all standards construction, imitating a mountain river of 3-5 categories of complexity depending on the water level. It has not been in operation for about twenty years. At some point, I don't know for what reasons, there wasn't enough water for it. But before that it was practise by kayaking athletes, of which we had several very strong teams, and water tourists, including me. I never managed to master a sport kayak at this level, there was no opportunity. There were a few random attempts on occasion ... But my best result was the overturn after the last, simple looking, but very treacherous drain with thirty-some attempts. But on the catamaran, having shifted the cylinders almost closely, we had a lot of fun there....
And in summer for adrenaline lovers on big water it was also a great fun - to fly these seven hundred meters on a lifejacket. There was really no danger in that, but you could get a full adrenaline rush.... ☺
#photography #river #канал #история
Выпуск реализации анонимной сети I2P 2.5.0 В сети I2P можно анонимно создавать web-сайты и блоги, отправлять мгновенные сообщения и электронную почту, обмениваться файлами и организовывать P2P-сети. Для построения и использования анонимных сетей для клиент-серверных (сайты, чаты) и P2P (обмен файлами, криптовалюты) приложений, применяются I2P-клиенты. Базовый I2P-клиент написан на языке Java и может работать на широком спектре платформ, таких как Windows, Linux, macOS, Solaris и т.п. I2pd представляет собой независимую реализацию клиента I2P на языке C++ и распространяется под модифицированной лицензией BSD.
В новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60968
The announcement reads,
Subject: OpenSMTPD 7.5.0p0 Released
From: Omar Polo <op () openbsd ! org>
Date: 2024-04-10 8:38:12
OpenSMTPD is a FREE implementation of the SMTP protocol with some common
extensions. It allows ordinary machines to exchange e-mails with systems
speaking the SMTP protocol. It implements a fairly large part of RFC5321
and can already cover a large range of use-cases.
It runs on OpenBSD, NetBSD, FreeBSD, DragonFlyBSD, Linux and OSX.
The archives are now available from the main site at www.OpenSMTPD.org
18-19 апреля, в Москве, на конференции "Веторы" (Шанинка) будет представлена секция "Современные либертарные теории и практики". #Анархизм Time: 10:00AM CEST Thu Apr 18
◾️Образование. Открывающая спикерка — Мария Рахманинова. В этом блоке собираются доклады о либертарной педагогике; о вопросах образования с позиций анархизма и критики иерархий; о взаимодействии анархистских инициатив с образовательными заведениями (университетами, школами).
◾️Инфраструктуры. Открывающие спикеры — коллектив кооператива КОМПОСТ. Блок посвящён инфраструктурным, урбанистским, экономическим и технологическим решениям — в либертарном ключе. Здесь можно будет услышать (и рассказать!) про технологии децентрализованного самоуправления (DAO-организации), реальный опыт кооперативов, фрипрайс-магазина, коммун, коливингов — и анархистскую философию техники.
◾️Расширяя анархическую мысль. Открывающий спикер — Пётр Рябов. Блок посвящён обогащению анархической теории путём скрещивания её с различными философскими концепциями и современными культурными направлениями, а также переосмыслению в либертарном ключе устоявшихся понятий и школ мысли: например, политики идентичности, экзистенциализма, (анти)мальтузианства. Здесь же поговорим об анархических эпистемологиях.
◾️Либертарные искусства. Открывающий спикер — А. Мигурский (проект ЭГАЛИТÉ). Научная фантастика, поэзия, кинематограф, видеоигры — и их пересечения с либертарностью — таков фокус этого блока. Будут затронуты вопросы анархистской эстетики, арт-практик и художественной реинтерпретации дискурсов об анархизме в современных медиа.
◾️Антропология и социальность. Здесь мы обсудим межчеловеческие взаимоотношения; формирование, динамику и практики социальных групп. Что приводит к возникновению иерархии на межличностном и общественном уровне — а что помогает удержать более либертарные, свободные, горизонтальные или акратические формы взаимодействия? Один из докладчиков расскажет о том, как активистам в Полинезии удалось выстроить коалицию для коллективного действия с учётом культурных особенностей этнических групп.
◾️Внетематический блок. В этот блок будут помещены доклады, на текущий момент не вписанные в группы по темам — но не менее других заслуживающие внимания. К примеру, доклады о локальном политическом участии или опыте инициативы по медиации конфликтов.
Который день гоняю в голове песню KREATOR - 666 - World Divided.
Надо ознакомиться с парой свежих альбомов Kreator.
continue
honked back 10 Apr 2024 13:00 +0200
in reply to: https://mastodon.ml/users/horhik/statuses/112246492173569175
"Введение в буддологию: курс лекций" Торчинов Евгений Алексеевич
Понятно что трудов всех этих дохера, но дайте мне учебник по буддизму
Сам ещё не читал, но есть в планах.
Проект Gentoo перешёл под крыло организации SPI Среди прочего SPI будет курировать приём пожертвований, решать юридические вопросы, управлять активами и товарными знаками, обеспечивать хранение средств проекта, оплачивать расходы, заключать контракты, проводить аудит и вести бухгалтерский учёт. В настоящее время под покровительством SPI находится 44 открытых проекта, среди которых Debian, Arch Linux, LibreOffice, X.Org, systemd, 0.A.D, PostgreSQL, FFmpeg, freedesktop.org, OpenWrt, OpenZFS, Jenkins и OpenEmbedded.
Ранее существующая организация Gentoo Foundation имела статус некоммерческой организации только в штате Нью-Мексико, но признавалась коммерческой организацией на федеральном уровне США. Преобразование в некоммерческую организацию федерального уровня ("501(c)(3)") требовало значительных усилий и затрат. Решено, что Gentoo будет выгоднее последовать примеру других открытых проектов и передать решение нетехнических вопросов в руки SPI.
Старая организация Gentoo Foundation будет расформирована, а её активы будут переданы SPI.
Организация European Gentoo e.V. продолжит свою работу в качестве независимого юрлица, зарегистрированного в Германии, способного отстаивать интересы проекта в Евросоюзе и позволяющего получить налоговый вычет для жертвователей из Евросоюза.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60967
Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования Проблема отмечена как уязвимость так как затрагивает функции библиотеки, такие как Command::arg и Command::args в Rust, рассчитанные на прямую передачу процессу аргументов, без их обработки командным интерпретатором. Подразумевается, что разработчик приложения может не проверять аргументы, так как они напрямую передаются запускаемому процессу. Если в Unix-системах аргументы передаются процессу по отдельности в массиве, то в Windows при использовании API CreateProcess аргументы оформляются в виде одной строки, разбор которой ложится на плечи запускаемого процесса.
При запуске bat- и cmd-сценариев на платформе Windows функция CreateProcess() неявно привлекает исполняемый файл cmd.exe, даже если приложение не указывает его при вызове. Программа cmd.exe содержит собственную сложную логику разделения аргументов для отделения собственных аргументов, запускаемого сценария и аргументов этого сценария. Для защиты от подстановки аргументов на платформе Windows в стандартных библиотеках применяется отдельные обработчики экранирования, которые оказалось можно обойти через манипуляцию с кавычками.
Например, в программе, вызывающей сценарий './test.bat' с аргументом на основе полученных от пользователя данных, атакующий может передать значение '"&calc.exe', которое при запуске сценария будет развёрнуто в строку 'C:\Windows\System32\cmd.exe /c .\test.bat ""&calc.exe"' и приведёт к запуску процесса calc.exe. Метод действует и при неявном запуске сценариев, когда запускается исполняемый файл с именем "test" без указания расширения, а в одном из каталогов, упомянутых в переменной окружения PATHEXT, присутствует файл "test.bat".
В настоящее время исправление уже выпущено (CVE-2024-24576) для стандартной библиотеки языка Rust и вошло в состав обновления Rust 1.77.2. В процессе подготовки находятся обновления с устранением уязвимости для Node.js и PHP (уже выставлены теги 8.2.18 и 8.3.5, но релизы пока не объявлен). В проектах Python, Ruby, Go, Erlang и Haskell в документацию добавлено предупреждение о проявлении уязвимости при отсутствии должного экранирования спецсимволов.
В Rust 1.77.2 в стандартную библиотеку добавлена дополнительная проверка, возвращающая ошибку при наличии в аргументе запускаемого сценария спецсимволов, которое невозможно гарантированно безопасно экранировать. Для разработчиков, самостоятельно реализующих логику экранирования предоставлен метод CommandExt::raw_arg, полностью отключающий экранирование на стороне библиотечных вызовов.
Добавлению защиты мешает то, что простого экранирования двойных кавычек недостаточно, так как командный интерпретатор обрабатывает и раскрывает переменные, такие как "%PATH%". Например, кавычку можно подставить через манипуляцию с переменной окружения "%CMDCMDLINE%", указав вместо '"&calc.exe' - '%CMDCMDLINE:~-1%&calc.exe'.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60964
В Python встроен JIT-компилятор Процесс трансляции машинного кода в JIT построен c использованием архитектуры "Copy-and-Patch", при которой при помощи LLVM собирается объектный файл в формате ELF, содержащий данные об инструкциях байткода и информацию о необходимой замене данных. JIT заменяет сгенерированные в ходе интерпретации программы инструкции байткода на их представления в машинном коде, попутно подставляя необходимые для вычислений данные (JIT копирует готовые шаблоны уже скомпилированных функций и подставляет в них необходимые значения, такие как аргументы и константы).
Предложенный JIT примечателен очень высокой скоростью генерации кода, простотой сопровождения и полной интеграцией с интерпретатором. По сравнению с компиляцией в WebAssembly (Liftoff) новый JIT генерирует код в 5 раз быстрее, а результирующий код работает на 50% быстрее. При сравнении с традиционным JIT-инструментарием LLVM добавленный в CPython JIT обеспечивает в 100 раз более быструю генерацию кода и на 15% более быстрый результирующий код.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60966
continue
bonked 10 Apr 2024 08:21 +0200
original: tedu@honk.tedunangst.com
Проект Kubuntu представил обновлённый логотип и элементы брендинга На основе полученных в результате конкурса работ выработаны рекомендации по модернизации логотипа проекта, заставки рабочего стола, цветовой палитры и шрифтов. Также опубликованы векторные файлы с новым логотипом, предложенные в различных расцветках. Подготовленное на основе новых рекомендаций оформление будет задействовано в выпуске Kubuntu 24.04.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60965