Посмотрел фильм "Ночной поезд до Лиссабона" ("Night Train to Lisbon", 2013) Неожиданно хороший фильм. Местами слишком сентиментальная и лиричная драма, но это довольно грубые придирки с моей стороны. Совсем не хочу спойлерить, поэтому если вдруг не знаете что бы посмотреть, то искренне рекомендую. Как всегда в таких случаях: жалею, что не прочитал книгу до экранизации... эх.
Things happen.
Опубликован miracle-wm 0.2, композитный менеджер на базе Wayland и Mir Целью проекта является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие проекты, как Swayfx. Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают подучить визуальные эффекты и более яркое графическое оформление с плавными переходами и цветами. Для установки miracle-wm можно использовать команду "sudo snap install miracle-wm --classic".
Если первый выпуск рассматривался как начальный прототип, то версия 0.2 сосредоточена на стабилизации и повышения удобства работы. Среди изменений в версии 0.2:
1 июня планируется опубликовать выпуск 0.3, который будет иметь статус пререлиза. В версии 0.3 будет реализована поддержка анимационных эффектов, стековой компоновки окон, многомониторных конфигураций, параметров для настройки экрана и визуального выделения активных окон. На 15 июля намечен первый стабильный релиз проекта - 1.0.
Из идей, которые могут быть включены в версию 1.0 упоминаются обзорный режим для навигации по окнам и рабочим столам в стиле GNOME; графический интерфейс для настройки; контекстные меню с действиями над окнами; режим "картинка в картинке"; возможность вывода окна приложения, на которое установлен фокус, по центру; минимальная оболочка с панелью и интерфейсом запуска программ.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61032
continue
bonked 19 Apr 2024 19:24 +0200
original: tedu@honk.tedunangst.com
I added some basic #activitypub support to humungus based on the #forgefed vocabulary. Repository, Commit, etc. And of course updated #honk as well. So now you can follow the honk repo from within honk itself and see all the commits fly by. Still a work in progress, but it’s live now. Probably do a longer write up next week.
Для Xen развивается механизм паравиртуализации IOMMU IOMMU представляет собой специализированный блок управления памятью, выполняющий трансляцию виртуальных адресов, видимых аппаратным устройством, в физические адреса, позволяющий выполнять и фильтровать операции DMA по виртуальным адресам, а также ограничивать и изолировать операции ввода-вывода. В контексте виртуализации IOMMU позволяет гостевым системам напрямую обращаться к периферийным устройствам, таким как Ethernet-адаптеры, графические карты и контроллеры устройств хранения. Реализация IOMMU от компании Intel предоставляется под именем VT-d ("Virtualization Technology for Directed I/O), AMD - AMD-Vi (I/O Virtualization), а ARM - SMMU (System Memory Management Unit).
Предложенная паравиртуализированная реализация (PV-IOMMU) позволяет гостевым системам использовать базовые возможности IOMMU, но при этом абстрагирует все низкоуровневые аппаратные детали. Для включения в состав Xen предложен новый гипервызов (аналог системного вызова для гипервизоров) HYPERVISOR_iommu_op, который могут использовать гостевые системы для выполнения операций IOMMU. Среди прочего, гостевые системы теперь могут создавать и изменять домены IOMMU (IOMMU domain), именуемые в Xen контекстами IOMMU (IOMMU context) для того чтобы избежать путаницы с термином "домен" в Xen. Контексты IOMMU позволяют организовать доступ гостевой системы к памяти устройств и задавать операции трансляции памяти, применяемые к одному или нескольким устройствам.
На текущей стадии развития в PV-IOMMU поддерживается только технология Intel VT-d, но в скором времени планируется добавить поддержку AMD-Vi и SMMUv3
Источник: https://www.opennet.ru/opennews/art.shtml?num=61029
continue
bonked 19 Apr 2024 11:43 +0200
original: stsp@bsd.network
The #p2k24 #OpenBSD ports #hackathon in Devon is wrapping up. A lovely location and a great week overall! Thanks to @sthen for organizing
continue
bonked 19 Apr 2024 11:42 +0200
original: stanislavv@juick.com
Знакомый безопасник:
"""
Итак, вопрос с лучшим анекдотом первого полугодия 2024 закрыт!
----
«Авито», «Билайн», «Тинькофф» и «Яндекс» подписали отраслевой стандарт защиты данных
""" #цитата
Проект Dnsmasq стал обладателем первой премии BlueHats Проект Dnsmasq объединяет в одном пакете кэширующий DNS-резолвер, сервер DHCP, сервис для анонсов маршрутов IPv6 и систему загрузки по сети. Проект задействован в платформе Android и специализированных дистрибутивах, таких как OpenWrt и DD-WRT, а также в прошивках беспроводных маршрутизаторов многих производителей. В обычных дистрибутивах Dnsmasq может устанавливаться при использовании libvirt для обеспечения работы DNS-сервиса в виртуальных машинах или активироваться в конфигураторе NetworkManager.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61027
GitHub намерен запретить размещение проектов для создания дипфейков В условия использования сервиса GitHub добавлен абзац, запрещающий размещение проектов, позволяющих синтезировать и манипулировать мультимедийным контентом для создания интимных образов без согласия (NCII) и контента, нацеленного на введение в заблуждение или дезинформацию. Запрет также распространяется на проекты, которые поощряют, продвигают и поддерживают подобные системы.
В качестве причины введения запрета упоминается использование систем искусственного интеллекта, способных генерировать реалистичные изображения, звук и видео, не только для творчества, но и для злоупотреблений, таких как создание дипфейков и организация спамерских обзвонов. При этом представители GitHub намерены лояльно относится к проектам двойного назначения, напрямую не предназначенным для злоупотреблений и не одобряющим вредоносное применение, но которые потенциально могут применяться злоумышленниками в своей деятельности.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61026
Опубликован Autodafe, инструментарий для замены Autotools на обычный Makefile В состав входит программа makemake, которая преобразует сгенерированный утилитой automake сборочный файл Makefile в эквивалентный читаемый Makefile, пригодный для редактирования людьми и избавленный от внутренних конструкций automake. Дополнительное задействование утилиты ifdex позволяет полностью избавить проект от Autotools, заменив его на работу с обычным Makefile.
Мотивом для создания проекта Autodafe послужило желание вернуться к использованию обычных Makefile вместо переусложнённых сценариев Autotools, возникшее после инцидента с внедрением бэкдора в пакет xz.
Из плюсов предлагаемого подхода называется упрощение сборочных правил, которые станет проще проверять и сложнее внедрить скрытую функциональность. Из недостатков отмечается потеря поддержки старых Unix-систем, усиление зависимости от libtool и снижение гибкости в настройке.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61025
Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию Благодаря уязвимости, находящееся в изолированном окружении приложение может использовать интерфейс xdg-desktop-portal для создания файла ".desktop" с командой запуска приложения из flatpak, позволяющей получить доступ к файлам основной системы. Для выхода из изолированного окружения используются манипуляции с параметром "--command", применяемым для передачи имени программы, нахоядщейся внутри flatpak-пакета, которую нужно запустить в изолированном окружении. Для настройки изолированного окружения flatpak вызывает утилиту bwrap, передавая ей указанное имя программы. Например, для запуска утилиты ls в изолированном окружении пакета можно использовать конструкцию "flatpak run --command=ls org.gnome.gedit" которая приведёт к запуску "bwrap ‹параметры_изоляции› ls".
Суть уязвимости в том, что если имя программы начинается на символы "--", то оно будет воспринято утилитой bwrap как собственная опция. Например, запуск "flatpak run --command=--bind org.gnome.gedit / /host ls -l /host" приведёт к выполнению "bwrap ‹параметры_изоляции› --bind / /host ls -l /host", т.е. имя "--bind" будет обработано не как имя запускаемого приложения, а как опция bwrap.
Уязвимость усугубляется тем, что D-Bus интерфейс "org.freedesktop.portal.Background.RequestBackground" позволяет приложению из пакета Flatpak указать любую команду для выполнения при помощи "flatpak run --command", в том числе начинающуюся с символа "--". Подразумевалось, что передача любых команд не опасна, так как они будут выполнены в изолированном окружении пакета. Но не было учтено, что команды, начинающиеся на "--" будут обработаны как опции утилиты bwrap. В итоге, интерфейс xdg-desktop-portal может использоваться для создания файла ".desktop" с командой, эксплуатирующей уязвимость.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61024
В openSUSE Factory реализована поддержка повторяемых сборок При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей, использование неизменного состава и версий сборочного инструментария, идентичный набор опций и настроек по умолчанию, сохранение порядка сборки файлов (применение тех же методов сортировки), отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки.
Возможность проверить тождественность бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок. Например, повторяемые сборки использовались разработчикам openSUSE для исключения вредоносных модификаций, которые могли появиться в репозитории в результате инцидента с добавлением бэкдора в пакет xz (скомпрометированная библиотека liblzma, задействованная для распаковки архива с кодом GCC, потенциально могла внести в код GCC изменения, которые могли применяться для подстановки вредоносных элементов в собираемые приложения).
Репозиторий Factory не предназначен для конечных пользователей и в основном используется разработчикам дистрибутива, так как в нём не гарантируется стабильность в любой момент времени. Добавляемые в Factory системные пакеты проходят автоматизированное тестирования при помощи инструментария openQA. После завершения тестирования и проверки непротиворечивого состояния зависимостей несколько раз в неделю содержимое репозитория сбрасывается на зеркала и сформированный срез состояния публикуется как openSUSE Tumbleweed.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61023
continue
bonked 18 Apr 2024 16:53 +0200
original: FediVideo@social.growyourown.services
Ctrl Alt Rees is a video channel about retro computing and retro gaming, especially old PCs and Atari consoles & computers. You can follow at: ➡️ @rees Following the account means all future videos will federate to your server. If previous videos haven't federated to your server yet, you can browse them all at https://makertube.net/a/rees/videos #FeaturedPeerTube #RetroComputing #RetroGaming #ComputingHistory #Atari #PeerTube #PeerTubers
continue
bonked 18 Apr 2024 16:51 +0200
original: cybertailor@craba.cab
Составила обновляемый перечень серверов #Fediverse, которые блокируются на территории России по самым разным причинам. Читать в #Gemini: Читать в вебе:
=> gemini://sysrq.in/ru/article/rkn-in-fediverse.gmi
=> https://sysrq.in/ru/article/rkn-in-fediverse.md
contrinitiator
honked 18 Apr 2024 15:44 +0200
Кажется, самое время заказать что-нибудь у издательства «Напильник».
Выпуск web-браузера Chrome 124 Основные изменения в Chrome 124:
В панели инспектирования CSS-стилей улучшена поддержка вложенных стилей. В панели измерения производительности предоставлена возможность скрытия лишних функций и связанных с ними дочерних вызовов для снижения уровня шума на графике. В панель отладки анимации добавлена поддержка анимации, привязанной к прокрутке контента (Scroll-driven Animation). В панели инспектирования сети реализована возможность задания параметров потери пакетов и размера сетевой очереди для проверки работы WebRTC-приложений в условиях возникновения сетевых проблем.
Кроме нововведений и исправления ошибок в новой версии устранено 22 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 13 премий на сумму 65 тысяч долларов США (по одной премии в $20000, $10000, $7000 и $2000, по три премии в $5000 и $3000, две премии $1000). Размер одного вознаграждения пока не определён.
<iframe src="https://www.youtube.com/embed/Io5d28IETrg?si=sJZlgpmdVUVIoU_x">
const wss = new WebSocketStream(WSS_URL);
const {readable, writable} = await wss.opened;
const reader = readable.getReader();
const writer = writable.getWriter();
while (true) {
const {value, done} = await reader.read();
if (done) {
break;
}
const result = await process(value);
await writer.write(result);
}
Источник: https://www.opennet.ru/opennews/art.shtml?num=61019
continue
honked back 18 Apr 2024 11:12 +0200
in reply to: https://honk.any-key.press/u/opennet/h/892w61jfz23732KbKz
continue
bonked 18 Apr 2024 11:05 +0200
original: kurator88@soc.kurator.tech
Линус Торвальдс выступил против парсеров Kconfig, не поддерживающих табуляцию Добавление табуляций в настройки, более значительные, чем FTRACE_RECORD_RECURSION_SIZE, объясняется тем, что в файле с настройками ядра допускается использование как пробелов, так и табуляций, поэтому если парсер не может нормально разобрать строку с табуляцией - это проблема парсера, которая должна быть устранена в нём. Команда "make defconfig" корректно принимает табуляции, поэтому и внешние парсеры тоже должны их обрабатывать.
Присутствие в поставляемом в ядре Kconfig не только пробелов, но и табуляций, позволит выявлять проблемные парсеры и стимулировать их исправление. Идея подгонять ядро под сбойные парсеры воспринимается как ущербная, так как даже если в эталонном Kconfig всегда будут только пробелы, обычный пользователь волен использовать табуляции в настройках на своих системах и подобное использование может привести к сбоям в неисправленных сторонних парсерах.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61021
continue
honked back 18 Apr 2024 10:59 +0200
in reply to: https://friendica.ironbug.org/objects/3217dd65-3766-1aac-1ea2-86a983446747
Послушал два последних альбома Kreator: Самый свежий что-то как-то совсем меня не вдохновил. Придраться к чему-то конкретно, вроде бы, нельзя, но слушать лично мне было скучновато. Возможно просто сейчас мне нужно что-то другое. А вот "Gods of Violence" - очень даже. Бодрый, понятный. Отличное музыкальное сопровождение, что бы проталкиваться сквозь толпу в метро :)
continue
honked back 18 Apr 2024 09:36 +0200
in reply to: https://lamp.leemoon.network/notes/9s8frh6yyncdjcvq
"Опочтарение" я читал в переводе "Держи марку!". И смотрел экранизацию: сильно на любителя, но досмотреть удалось)) Кстати, под-цикл Moist von Lipwig небольшой, достаточно автономный и очень интересный. Я, собтвенно, с него и вкатился в "Плоский мир".
continue
bonked 18 Apr 2024 09:29 +0200
original: wonderfox@lamp.leemoon.network
СЯУ, что по нескольким книгам Плоского мира сняли фильмы
К 2010 году было снято три фильма о Плоском мире. Во всех них Пратчетт играл эпизодические роли, появляясь в самом конце (фактически, фильм заканчивался Пратчеттом и его словами).
Двухсерийный телефильм «Санта-Хрякус» (англ. Hogfather) вышел на экран в 2006 году в Великобритании. Пратчетт в роли игрушечных дел мастера.
3 марта 2008 года состоялась премьера телефильма «Цвет волшебства» (англ. The Colour of Magic). Пратчетт в роли астрозоолога.
«Опочтарение» (англ. Going postal) — Великобритания, 2010. Пратчетт в роли почтальона.
В 2021 году BBC выпустила 8-серийный телесериал «Стража» (англ. The Watch) по мотивам романа «Стража! Стража!» (англ. Guards! Guards!).
По «Вещим сестричкам» (англ. Wyrd Sisters) и «Роковой музыке» (англ. Soul Music) студией Cosgrove Hall были созданы мультфильмы для Channel 4.
#СЯУ #ТерриПратчетт #ПлоскийМир
Среди изменений в новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=61020
Coming soon to a -current system near you: parallel raw IP input The work to improve the capabilities of the network stack is about to take a noticeable step forward. In a message to
tech@
titled parallel raw IP input, Alexander Bluhm (bluhm@
) posted a patch that he describes asList: openbsd-tech
Subject: parallel raw IP input
From: Alexander Bluhm <bluhm () openbsd ! org>
Date: 2024-04-11 20:24:39
Hi,
As mvs@ mentioned, running raw IP in parallel is easier as it is
less complex than UDP. Especially there is no socket splicing.
So I fixed one race in rip_input() and reused my shared net lock
ip_deliver() loop.
continue
bonked 18 Apr 2024 07:48 +0200
original: elsif@mastodon.gamedev.place
Все протоколы последовательно проходят три фазы - разработка, тестирование и стабилизация. После завершения стадии разработки (категория "unstable") протокол помещается в ветку "staging" и официально включается в состав набора wayland-protocols, а после завершения тестирования перемещается в категорию стабильных. Протоколы из категории "staging" уже можно применять в композитных серверах и клиентах, где требуется связанная с ними функциональность. В отличие от категории "unstable" в "staging" запрещено внесение изменений, нарушающих совместимость, но в случае выявление проблем и недоработок в ходе тестирования, не исключается замена новой значительной версией протокола или другим Wayland-расширением.
В новой версии:
В настоящее время в состав wayland-protocols входят следующие стабильные протоколы, в которых обеспечивается обратная совместимость:
Протоколы, тестируемые в ветке "staging":
Протоколы, разрабатываемые в ветке "unstable":
Источник: https://www.opennet.ru/opennews/art.shtml?num=61018
Доступна среда рабочего стола LXQt 2.0.0 В процессе разработки ветки LXQt 2.0 основное внимание уделено переводу компонентов проекта и приложений с Qt 5 на использование библиотеки Qt 6.6. Для обеспечения корректного стиля оформления приложений, использующих Qt5, и работы в них предлагаемой в LXQt реализации диалога открытия файлов, предоставлена возможность установки старых библиотек libqtxdg-3.12.0, lxqt-qtplugin-1.4.1 и libfm-qt-1.4.0, параллельно с их новыми версиями из LXQt 2.0.0, использующими Qt 6. Релиз эмулятора терминала QTerminal 2.0, переведённый на Qt6, будет опубликован позднее. До этого предлагается использовать версию QTerminal 1.4 на базе Qt5.
В новой версии также проведена адаптация окружения для использования протокола Wayland. В текущем виде не все компоненты LXQt переведены на Wayland и полная поддержка данного протокола ожидается в версии LXQt 2.1, запланированной на осень этого кода. В версии LXQt 2.0.0 полноценная поддержка Wayland обеспечена в файловом менеджере PCManFM-Qt, системе уведомлений, рабочем столе, утилите для запуска программ (Runner), панели, интерфейсе выхода из системы, интерфейсе настройки LXQt и большинстве приложений.
Пока не завершён перевод на Wayland панельных плагинов с реализацией панели задач, переключателя виртуальных рабочих столов и индикатора раскладки клавиатуры, а также утилиты для создания скриншотов, системы клавиатурных комбинаций и конфигураторов устройств ввода, монитора и блокировки экрана.
При этом отмечено, что вместо пока не портированных на Wayland компонентов можно использовать возможности, предоставляемые композитными серверами на базе Wayland, т.е. при должном навыке можно настроить полностью работающее окружение LXQt поверх Wayland. LXQt не привязан к отдельным композитным менеджерам и может использоваться с LabWC, WayFire, kwin_wayland, Sway, Hyprland и другими композитными менеджерами на базе Wayland, основанными на библиотеке wlroots и поддерживающими протокол "layer-shell".
Среди других изменений в LXQt 2.0.0:
Источник: https://www.opennet.ru/opennews/art.shtml?num=61017
continue
bonked 17 Apr 2024 15:45 +0200
original: jaypatelani@lemmy.ml
continue
bonked 17 Apr 2024 13:52 +0200
original: sitnik_ru@mastodon.social
Узнал, что для доставки новостей кроме RSS и Atom есть ещё JSON Feed. Андрей Терешкин добавил поддержку этого формата в прототип моей читалки.
Пару дней назад в ленте промелькнул альбом "Mossweaver" от проекта Old Growth. Что-то меня зацепило и я послушал. И переслушал. Скачал и ещё несколько раз переслушал. Надо сказать, что я себя никогда не относил к ярым любителям back metal, но именно этот альбом мне очень понравился: в меру тягучий и мелодичный, органично срывающийся на скрим. Немного порывшись в интернете я узнал, что это проект одного исполнителя из Германии. Человек уже не первый год занимается музыкой да и это не первый его релиз. Но, судя по всему, он пришёл именно к этому звучанию и этой форме подачи, выкристаллизовав это в проекте Old Growth. Рекомендую 👍 Для затравки можно ознакомиться с видео на трек Red Clouds.
(За что, кстати, стоит сказать отдельное спасибо @contrinitiator, потому как он привносит разнообразие в мою ленту довольно неожиданными музыкальными находками).Dedicated to Mother Nature
Проект OpenBSD перешёл на использование формата PAX для tar-архивов Из минусов перехода на PAX упоминается увеличение размера несжатых архивов и ограниченная поддержка формата в экосистеме. Для возвращения старого поведения и сохранения архивов в формате TAR предлагается при вызове утилиты tar указывать опцию "-F ustar".
Источник: https://www.opennet.ru/opennews/art.shtml?num=61011
Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz Атакующие вступили в переписку с членами управляющего совета организации OpenJS Foundation, которая выступает нейтральной площадкой для совместной разработки открытых JavaScript-проектов, таких как Node.js, jQuery, Appium, Dojo, PEP, Mocha и webpack. В переписке, в которой принимало участие несколько сторонних разработчиков с сомнительной историей разработки открытого ПО, предпринимались попытки убедить руководство в необходимости обновить один из популярных JavaScript-проектов, курируемых организацией OpenJS.
В качестве причины обновления указывалось на необходимость добавления "защиты от любых критических уязвимостей". При этом никаких подробностей о сути уязвимостей не приводилось. Для реализации изменений подозрительный разработчик предложил включить его в число сопровождающих проект, в разработке которого он ранее принимал лишь небольшое участие. Кроме того, похожие подозрительные сценарии навязывания своего кода выявлены ещё в двух популярных JavaScript-проектах, не связанных с организацией OpenJS. Предполагается, что случае не единичны и сопровождающим открытые проекты следует не терять бдительность при приёме кода и утверждении новых разработчиков.
Среди признаков, которые могут свидетельствовать о злонамеренной активности, упоминается доброжелательное, но в то же время агрессивное и настойчивое, приставание малоизвестных участников сообщества к сопровождающим или руководителям проектов с идеей продвижения своего кода или предоставления статуса сопровождающего. Внимание также следует обращать на появление группы поддержки вокруг продвигаемых идей, сформированной из вымышленных личностей, ранее не участвовавших в разработке или недавно присоединившихся в к сообществу.
При приёме изменений следует воспринимать как признаки потенциально вредоносных действий попытки включения в запросы на слияние бинарных данных (например, в xz бэкдор был передан в архивах для тестирования распаковщика) или запутанного или трудного для понимания кода. Следует обращать внимание на пробные попытки внесения изменений, незначительно снижающих безопасность, отправляемые для оценки реакции сообщества и проверки наличия лиц, отслеживающих изменения (например, в xz функция Safe_fprintf была замена на fprintf). Подозрение также должны вызывать нетипичные изменения методов компиляции, сборки и развёртывания проекта, задействование сторонних артефактов и нагнетание ощущения необходимости срочного принятия изменений.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61010
Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей Некоторые проблемы:
Источник: https://www.opennet.ru/opennews/art.shtml?num=61008
Подробности об уязвимостях не раскрываются, но судя по выставленному уровню опасности, они позволяют получить доступ к хост-окружению из гостевых систем. Две уязвимости проявляются только на хостах с Linux и две - только на хостах с Windows. Одна из уязвимостей допускает удалённое совершение атаки по HTTP без прохождения аутентификации, но уровень опасности для данной проблемы выставлен в 5.9 из 10 из-за сложности эксплуатации.
Основные изменения в VirtualBox 7.0.16:
Источник: https://www.opennet.ru/opennews/art.shtml?num=61007
Проект Gentoo запретил принятие изменений, подготовленных при помощи AI-инструментов Основные опасения, из-за которых запрещено применение AI-инструментов в Gentoo:
Например, при обучении модели на коде с лицензией, требующей извещения об авторстве (атрибуция), в предоставляемом AI-инструментами коде данное требование не выполняется, что может рассматриваться как нарушение большинства открытых лицензий, таких как GPL, MIT и Apache. Также могут возникнуть проблемы с лицензионной совместимостью при вставке в проекты под пермиссивными лицензиями кода, сгенерированного с использованием моделей, обученных на коде с копилефт-лицензиями.
Проверка же требует больших трудозатрат на фактчекинг и рецензирование кода. Разбирая автоматически сгенерированные отчёты об ошибках разработчики вынуждены впустую тратить много времени на анализ бесполезных отчётов и перепроверять указанные там сведения по несколько раз, так как внешнее качество оформления вызывает доверие к информации и возникает ощущение, что рецензирующий что-то недопонял.
В анонсе отмечается, что новое требование может быть выборочно отменено для AI-инструментов, для которых будет доказано отсутствие проблем с авторским правом, качеством и этикой.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61006
In -current, default write format for tar(1) changed to "pax" A series of commits by Jeremie Courreges-Anglas (
jca@
)
has modified
tar(1)
such that its default write format (for archives) is that of
pax(1)
.
The message with the final
commit
captures the gist of the change:
`
CVSROOT: /cvs
Module name: src
Changes by: jca@cvs.openbsd.org 2024/04/16 17:09:35
Modified files:
bin/pax : options.c tar.1
Log message:
Switch tar(1) write default format to 'pax'
Lets us store longer file names, link names, finer grained timestamps,
larger archive member files, etc; at the expense of larger uncompressed
archives and less widespread support across the ecosystem. If you're
unhappy with the new defaults, you can use -F ustar. Or you can help
fix bugs / find a better middle ground.
Prodding from various including job@ and deraadt@
ok sthen@ caspar@ millert@
Новые версии nginx 1.25.5 и форка FreeNginx 1.26.0 Среди изменений:
Дополнительно можно отметить публикацию стабильной версии проекта FreeNginx 1.26.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Выпуск
1.26.0 отмечен как стабильный релиз, вобравший в себя изменения и исправления из выпусков mainline-ветки Nginx 1.25. Среди прочего в состав FreeNginx 1.26.0 вошли экспериментальная поддержка протокола HTTP/3, улучшения для противодействия DoS-атакам и исправления, связанные с асинхронной обработкой ввода/вывода.
Одновременно состоялся выпуск njs 0.8.4, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии: в CLI добавлена поддержка JavaScript-движка QuickJS; добавлена возможность выставления заголовка Server; реализована проверка на дублирование переменных, выставленных через js_set.
server {
server_name ~^(www\.)?(.+)$;
proxy_pass www.$2:12345;
}
stream {
server {
listen 12345 ssl;
ssl_certificate domain.crt;
ssl_certificate_key domain.key;
pass 127.0.0.1:8000;
}
}
Источник: https://www.opennet.ru/opennews/art.shtml?num=61003
Основные новшества в Firefox 125:
Кроме новшеств и исправления ошибок в Firefox 125 устранено 18 уязвимости (12 помечены как опасные). 11 уязвимостей (4 собраны под CVE-2024-3865) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61000
Релиз Firefox 125 отложен на несколько дней Примечательно, что несмотря на просьбы Mozilla не объявлять о новых выпусках до официального анонса, многие сайты, не следующими данным рекомендациям, уже успели объявить о релизе Firefox 125. Напомним, что распространение сборок Firefox по зеркалам начинается за несколько дней до официального объявления релиза. До официального анонса данные сборки позиционируется как тестовые кандидаты в релизы, которые не рекомендованы для установки обычными пользователями.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61001
continue
bonked 16 Apr 2024 12:02 +0200
original: GustavinoBevilacqua@mastodon.cisti.org
contrinitiator
honked 16 Apr 2024 11:57 +0200
Не так уж тепло, но птицы резвятся вовсю: парочка серых ворон топчется по автомобилям, кучка воробьёв настолько задорно купается, что до меня долетают брызги. А в неприметном дворике на газоне странные мужчины раскапывают яму. Вокруг валяются осколки старинных кирпичей, какие-то осколки. Место огорожено "магической" красно-белой лентой, но никакой информации не прилеплено (хотя это не редкость в последнее время). По внешнему виду, аксессуарам и инструментам мужчины больше напоминают искателей хабара, чем рабочих. Видно, что им не нравится моё внимание, хотя я делаю вид, что просто вышел прогуляться и попить кофе. Любопытно, конечно, что можно искать в яме на виду у всех в самом сердце Петроградки!
#ЛенинградНутряной
continue
bonked 16 Apr 2024 11:08 +0200
original: opennet@honk.any-key.press
Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1.
После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Уязвимость вызвана беспечностью разработчиков, которые для генерации 521-битного ключа использовали вектор инициализации (nonce) на основе 512-битной случайной последовательности, вероятно, посчитав что энтропии в 512 бит будет достаточно и оставшиеся 9 бит не имеют принципиального значения. В итоге, во всех закрытых ключах, созданных в PuTTY с использованием алгоритма ecdsa-sha2-nistp521, первые 9 бит вектора инициализации всегда принимали нулевые значения.
Для ECDSA и DSA качество генератора псевдослучайных чисел и полное покрытие случайными данными параметра, используемого при вычислении модуля, имеет принципиальное значение, так как определение даже нескольких битов с информацией о векторе инициализации достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа. Для успешного восстановления ключа достаточно наличия открытого ключа и анализа нескольких десятков цифровых подписей, сгенерированных с использованием проблемного ключа для известных атакующему данных.
Атака сводится к решению задачи HNP (Hidden Number Problem).
Необходимые цифровые подписи можно получить, например, при подключении пользователя к SSH-серверу атакующего или к Git-серверу, использующему SSH в качестве транспорта. Необходимые для атаки подписи также можно узнать, если ключ использовался для заверения произвольных данных, например, git-коммитов при применении SSH-агента Pageant для перенаправления трафика на хост разработчика.
Получение необходимых для восстановления ключа данных в ходе MITM-атаки исключено, так как подписи в SSH не передаются в открытом виде.
Отмечается, что похожее использование неполных векторов инициализации применялось в PuTTY и для других видов эллиптических кривых, но для алгоритмов, отличных от ECDSA P-521, возникших утечек информации недостаточно для реализации работающей атаки по восстановлению ключа. Ключи ECDSA другого размера и ключи Ed25519 атаке не подвержены.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60998
Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1.
После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.
Уязвимость вызвана беспечностью разработчиков, которые для генерации 521-битного ключа использовали вектор инициализации (nonce) на основе 512-битной случайной последовательности, вероятно, посчитав что энтропии в 512 бит будет достаточно и оставшиеся 9 бит не имеют принципиального значения. В итоге, во всех закрытых ключах, созданных в PuTTY с использованием алгоритма ecdsa-sha2-nistp521, первые 9 бит вектора инициализации всегда принимали нулевые значения.
Для ECDSA и DSA качество генератора псевдослучайных чисел и полное покрытие случайными данными параметра, используемого при вычислении модуля, имеет принципиальное значение, так как определение даже нескольких битов с информацией о векторе инициализации достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа. Для успешного восстановления ключа достаточно наличия открытого ключа и анализа нескольких десятков цифровых подписей, сгенерированных с использованием проблемного ключа для известных атакующему данных.
Атака сводится к решению задачи HNP (Hidden Number Problem).
Необходимые цифровые подписи можно получить, например, при подключении пользователя к SSH-серверу атакующего или к Git-серверу, использующему SSH в качестве транспорта. Необходимые для атаки подписи также можно узнать, если ключ использовался для заверения произвольных данных, например, git-коммитов при применении SSH-агента Pageant для перенаправления трафика на хост разработчика.
Получение необходимых для восстановления ключа данных в ходе MITM-атаки исключено, так как подписи в SSH не передаются в открытом виде.
Отмечается, что похожее использование неполных векторов инициализации применялось в PuTTY и для других видов эллиптических кривых, но для алгоритмов, отличных от ECDSA P-521, возникших утечек информации недостаточно для реализации работающей атаки по восстановлению ключа. Ключи ECDSA другого размера и ключи Ed25519 атаке не подвержены.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60998
Выпуск платёжной системы GNU Taler 0.10, развиваемой проектом GNU GNU Taler не создаёт собственную криптовалюту, а работает с уже существующими валютами, в том числе с долларами, евро и биткоинами. Поддержку новых валют можно обеспечить через создание банка, который выступает финансовым гарантом. Бизнес-модель GNU Taler основана на выполнении операций обмена - деньги из традиционных платёжных систем, таких как BitCoin, Mastercard, SEPA, Visa, ACH и SWIFT, преобразуются в анонимные электронные деньги в той же валюте. Пользователь может передавать электронные деньги продавцам, которые затем могут на точке обмена поменять их обратно в реальные деньги, представленные традиционными системами платежей.
Все транзакции в GNU Taler защищены с использованием современных криптографических алгоритмов, позволяющих сохранить достоверность даже при утечке приватных ключей клиентов, продавцов и точек обмена. Формат БД предоставляет возможность верификации всех совершённых транзакций и подтверждения их непротиворечивости. Подтверждением платежа для продавцов является криптографическое доказательство перевода в рамках заключённого с клиентом контракта и криптографически подписанное подтверждение о наличии средств на точке обмена. В состав GNU Taler входят набор базовых компонентов, предоставляющих логику для работы банка, точки обмена, торговой площадки, кошелька и аудитора.
Финансирование разработки осуществляется на гранты Еврокомиссии, Государственного секретариата Швейцарии по образованию и Государственного секретариата Швейцарии по исследованиям и инновациям (SERI). В рамках проекта
NGI TALER ведётся работа по созданию на базе GNU Taler продукта, готового для применения в Евросоюзе.
Основные изменения:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60997
Открыты исходные тексты игры Descent 3 Релиз игры Descent 3 был опубликован в 1999 году. Игра сочетает в себе шутер от первого лица и симулятор полётов в открытом и замкнутом пространстве. Поддерживается однопользовательский режим прохождения миссий и многопользовательские бои. Опубликована самая свежая кодовая база Descent 3 "1.5 Patch", включающая подготовленные несколько лет назад изменения для актуализации кода, написанного в 1990-х годах. Поддерживается сборка для Linux, macOS и Windows.
В поставку не вошла музыка и библиотеки для показа видео в форматах ACM и MVE, права на которые не принадлежат компании Outrage Entertainment. Чтобы обеспечить корректную сборку проекта в ближайшее время отсутствующие библиотеки будут заменены заглушками. В дальнейшем видеоролики, используемые в заставке и в финальных сценах, планируют сконвертировать в формат, для которого имеются открытые библиотеки. Из задач, которые намерены решить в первую очередь, отмечается предоставление возможности сборки для разных платформ, создание инфраструктуры для тестирования в системе непрерывной интеграции, проведение чистки кода и удаление компонентов старой системы управления версиями.
<iframe src="https://www.youtube.com/embed/oasEAoPHk7I?si=tvi1R1a9CLDXm491">
Источник: https://www.opennet.ru/opennews/art.shtml?num=60996
continue
bonked 15 Apr 2024 20:30 +0200
original: pongo@mastodon.ml
Рассказы про необычных художников: «Зимний рынок», Уильям Гибсон — рассказ про нейрохудожников, которые занимаются оцифровкой воспоминаний/снов. «Отражения призраков», Джеффри Томас — здесь художник создает собственных клонов, меняя их облик и разум; это всё отвратительно, но очень оригинально. «Солнцестояние», Джеймс Патрик Келли — а этот художник создает дизайнерские вещества; и, кстати, снова про клонов идет речь.
continue
bonked 15 Apr 2024 15:49 +0200
original: gusev@mastodon.ml
Сходил в поход. Ох, как здорово, как соскучился по закатам и рассветам. Только вот раньше в местах где я обитал раньше не было связи совсем, теперь 4г появился местами. Ну, это ладно. Главное понаблюдал за животными. За бобрами в основном. Были и лоси, и косули, и зайцы. Вечерами в небе токовали вальдшнепы, бекасы — по утрам. Время чудесное, чтобы отдохнуть. Клещей вот много и одного я всё-таки поймал. Сходил на свой скрадок. Посидел в нём часов пять, можно сказать безуспешно. Зато релакс какой. Интересно, что за несколько дней до моего выхода на реки, мне в мессенджер пришло сообщение от охотника, который нашёл мой скрадок (я там свой номер оставил). Хотел чувак убедиться, что я не браконьер) Потестил недавно купленные, относительно недорогие треккинговые ботинки. Свои деньги отрабатывают, в топях не текут, если не через край. Дальше видно будет. Ну и ещё понял, что в коротких выходах на пару-тройку дней щепочница очень неудобна. Много возни.
#поход #бобры #природа
Инициатива по избавлению браузерного движка Servo от привязки к Mozilla SpiderMonkey Проект Servo написан на языке Rust и отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Проект Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60994
GitLab заблокировал BPC, браузерное дополнение для обхода Paywall Метод Paywall применяется многими крупными англоязычными изданиями (forbes.com, independent.co.uk, newsweek.com, newyorker.com, nytimes.com, wsj.com и т.п.) для открытия полного текста свежих статей только платными подписчиками. Ссылки на подобные статьи активно продвигаются в социальных сетях и поисковых системах, но после перехода по публикуемым ссылкам вместо открытия полного текста пользователю предлагается оформить платную подписку, если он хочет увидеть подробности.
Формулировка, на основе которой был заблокирован репозиторий BPC, не сообщается, но, судя по всему, проекту вменяется незаконный обход методов технической защиты доступа к содержимому, являющемуся объектом авторского права. Нарушение защиты в BPC является спорным вопросом, так как сайты с Paywall обычно открывают полный доступ поисковым системам и социальным сетям, из-за того, что издания заинтересованы в индексации текстов и привлечении посетителей, которых интересует данный материал. Поэтому для обхода ограничения доступа, как правило, достаточно просто сменить идентификатор браузера и притвориться поисковым ботом "Googlebot". На некоторых сайтах также может потребоваться очистить сессионную Cookie и заблокировать некоторые скрипты.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60993
Проект Redka развивает реализацию протокола и API Redis поверх SQLite В настоящее время в Redka добавлена поддержка типов для работы со строками и хэшами, а также команд для манипуляции строковыми данными, ключами, транзакциями и хэшами. Например, доступны команды для установки и получения одного или нескольких привязанных к ключу строковых значений, задания времени жизни ключей, инкремента/декремента значений, поиска ключей по шаблону, переименования ключей, выполнения серии команд в рамках транзакции, отмены транзакции, работы с полями в хэшах.
В ближайшее время планируется добавить поддержку списков, коллекций (sets) и отсортированных коллекций. В отдалённой перспективе ожидается реализация алгоритма HyperLogLog, возможности для манипуляции географическими координатами и команд для взаимодействия с использованием модели publish/subscribe. Пока не планируется добавлять поддержку скриптов на языке Lua, аутентификацию, ACL, watch/unwatch и возможность работы в одном сервере с несколькими БД. Точно не будет реализована поддержка кластеров (Redis Cluster) и мониторинга (Redis Sentinel).
Тестирование производительности с использованием
инструментария от проекта Redis, показало, что Redka в 2-6 раз отстаёт от Redis из-за отсутствия специфичных оптимизаций для хранения данных в формате ключ/значение. В частности, в созданном тестовом окружении Redis продемонстрировал производительность в 133 тысяч операций SET в секунду и 139 тысяч операций GET в секунду, в то время как производительность Redka составила 30 тысяч SET в секунду и 63 тысячи GET в секунду в ситуации, когда БД размещалась в оперативной памяти. При хранении БД на диске производительность Redka составила
22 тысячи операций SET в секунду и 56 тысяч GET в секунду.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60992
Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd В кодовой базе Lighttpd данная уязвимость была устранена ещё в 2018 году в версии 1.4.51, но исправление было внесено без присвоения CVE-идентификатора и без публикации отчёта с описанием характера уязвимости. В примечании к выпуску, было упомянуто об устранении проблем с безопасностью, но основное внимание было акцентировано на уязвимости в mod_userdir, связанной с использованием символов ".." и "." в имени пользователя.
В списке изменений также была упомянута проблема с обработкой HTTP-заголовков, но данное исправление было пропущено разработчиками прошивки и не перенесено в состав продукта, так как примечание о потенциальном устранении уязвимости класса use-after-free присутствовало лишь в тексте коммита, а в общем списке изменений не было указано, что ошибка приводит к обращению к памяти после освобождения.
Уязвимость позволяет прочитать содержимое памяти за пределами выделенного буфера. Проблема вызвана ошибкой в коде слияния HTTP-заголовков, применяемом при указании нескольких экземпляров HTTP-заголовка "If-Modified-Since". При обработке второго экземпляра заголовка lighttpd выделял новый буфер, чтобы вместить объединённое значение и освобождал память под буфер, в который было помещено значение из первого заголовка. При этом указатель con-›request.http_if_modified_since не изменялся и продолжал указывать на уже освобождённую область памяти.
Так как данный указатель использовался при операциях сравнения содержимого заголовка If-Modified-Since, результат которых приводил к генерации разных кодов возврата, атакующий мог путём перебора угадать новое содержимое памяти, которую ранее занимал первый буфер. Проблема могла использоваться в сочетании с другими уязвимостями, например, для определения раскладки памяти для обхода механизмов защиты, таких как ASLR (рандомизация адресного пространства).
Наличие уязвимости подтверждено в серверных платформах Lenovo и Intel, но данные компании не планируют выпускать обновления прошивок из-за истечения времени поддержки, использующих данные прошивки продуктов, и низкого уровня опасности уязвимости. Проблема проявляется в прошивках к платформам Intel M70KLP и Lenovo HX3710, HX3710-F и HX2710-E (уязвимость присутствует среди прочего в последних версиях прошивок Lenovo 2.88.58 и Intel 01.04.0030). Дополнительно сообщается, что уязвимость в lighttpd также проявляется в прошивках к оборудованию Supermicro и в серверах, на которых используются BMC-контроллеры компаний Duluth и AETN.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60982
Выпуск симуляторов транспортных компаний OpenTTD 14.0 и OpenLoco 24.04 Изначально OpenTTD развивался как аналог коммерческой игры Transport Tycoon Deluxe, но позднее превратился в самодостаточный проект, значительно обогнавший по возможностям эталонный вариант игры. В частности, в рамках проекта создан альтернативный набор игровых данных, новое звуковое и графическое оформление, существенно расширены возможности игрового движка, увеличены размеры карт, реализован сетевой режим игры, добавлено много новых игровых элементов и моделей.
В новой версии:
Дополнительно можно отметить выпуск OpenLoco 24.04, открытого движка для симулятора транспортной компании Chris Sawyer's Locomotion. В новой версии реализация команд для создания зданий и дорог переписана на языке С++, улучшена работа генераторов карт и ландшафтов, улучшена отрисовка текста.
Также можно упомянуть обновление проекта OpenRCT2 0.4.10, развивающего открытую реализацию стратегической игры RollerCoaster Tycoon 2, симулирующей конструирование парка развлечений и управление им, а также охватывающей также элементы инфраструктуры, такие как магазины и кафе. Для работы OpenLoco и OpenRCT2 требуются файлы с ресурсами от оригинальных игр Chris Sawyer's Locomotion и RollerCoaster Tycoon 2.
Из отличий открытых вариантов движков выделяется поддержка современных платформ, улучшенный интерфейс, повышение качества искусственного интеллекта.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60991
continue
bonked 14 Apr 2024 17:48 +0200
original: redmp@recurse.social
free #forth #osdev book:
```
$ wget --mirror http://tumbleforth.hardcoded.net/
$ cd tumbleforth.hardcoded.net/
$ ebook-convert index.html ../'Tumble Forth.epub' --authors='Virgil Dupras'
```
Релиз http-серверов Lighttpd 1.4.76 и Apache httpd 2.4.59 В новой версии:
Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60990
Выпуск платформы Lutris 0.5.17 для упрощения доступа к играм из Linux Проектом поддерживается каталог для быстрого поиска и установки игровых приложений, позволяющий через единый интерфейс одним щелчком мыши запускать в Linux игры, не заботясь об установке зависимостей и настройках. Runtime-компоненты для запуска игр поставляются проектом и не привязываются к используемому дистрибутиву. Runtime представляет собой независимый от дистрибутива набор библиотек, включающий компоненты из SteamOS и Ubuntu, а также различные дополнительные библиотеки.
Предоставляется возможность установки игр, распространяемых через сервисы GOG, Steam, Epic Games Store, Battle.net, Amazon Games, Origin и Uplay. При этом сам по себе Lutris выступает лишь в роли посредника и не продаёт игры, поэтому для коммерческих игр пользователь должен самостоятельно приобрести игру в соответствующем сервисе (бесплатные игры можно запускать одним кликом из графического интерфейса Lutris).
Каждая игра в Lutris привязывается к сценарию загрузки и обработчику, описывающему окружение для запуска игры. В том числе предоставляются готовые профили с оптимальными настройками для запуска игр под управлением Wine. Кроме Wine игры могут запускаться при помощи эмуляторов игровых консолей, таких как RetroArch, Dosbox, FS-UAE, ScummVM, MESS/MAME и Dolphin.
Среди изменений в новой версии:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60989
Библиотека LibGodot для встраивания в приложения сцен, созданных для игрового движка Godot Разработчики библиотеки намерены добиться включения экспериментальной поддержки LibGodot в состав выпуска Godot 4.3, а в версии Godot 4.4 обеспечить поддержку в LibGodot графического API OpenGL и платформ Android, Windows, Linux (X11 и Wayland), помимо изначально поддерживаемых macOS и iOS. Из областей применения LibGodot, кроме интеграции контента Godot в графический интерфейс приложения (показа окон Godot, как части интерфейса), отмечается возможность управления движком Godot из приложения и решение задач, связанных с автоматизацией разработки (например, для задействования при сборке ассетов).
Источник: https://www.opennet.ru/opennews/art.shtml?num=60988
Доступен Lakka 5.0, дистрибутив для создания игровых консолей В основе Lakka лежит эмулятор игровых консолей RetroArch, обеспечивающий эмуляцию широкого спектра устройств и поддерживающий такие расширенные возможности, как многопользовательские игры, сохранение состояния, улучшение качества изображения старых игр при помощи шейдеров, перемотка игры назад, горячее подключение геймпадов и видео стриминг. Среди эмулируемых консолей: Atari 2600/7800/Jaguar/Lynx, Game Boy, Mega Drive, NES, Nintendo 64/DS, PCEngine, PSP, Sega 32X/CD, SuperNES и т.д. Поддерживаются геймпады от уже имеющихся игровых приставок, включая Playstation 3, Dualshock 3, 8bitdo, Nintendo Switch, XBox 1 и XBox360.
В новом выпуске:
<iframe src="https://www.youtube.com/embed/NzweChy1TXY?si=JWwgkj4Be4nxIoqU">
dirksimple
- движок для игры Dragon’s Lairdosbox-core
- эмулятор DOSBoxep128emu
- эмулятор Enterprise 64/128, Videoton TVC, Amstrad CPC и ZX Spectrumgeolith
- эмулятор Neo Geo AES и MVS Cartridge Systemjaxe
- эмулятор XO-CHIP, S-CHIP и CHIP-8numero
- эмулятор калькулятора TI-83thepowdertoy
- движок для игры The Powder Toyvice_xpet
- эмулятор Commodore PETvircon32
- виртуальная игровая консоль (Virtual Game Console)vitaquake2
- движок для Quake II
Источник: https://www.opennet.ru/opennews/art.shtml?num=60987
Основные изменения в Chrome OS 123:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60986
Выпуск cформирован в соответствии с инициативой по предсказуемому ежемесячному формированию обновлений KDE Frameworks. Помимо исправления ошибок и недоработок, выявленных после публикации ветки KDE 6.0, в новой версии можно отметить следующие новшества:
Источник: https://www.opennet.ru/opennews/art.shtml?num=60985
Выпуск Cambalache 0.90, инструмента для разработки GTK-интерфейсов Cambalache не зависит от GtkBuilder и GObject, но предоставляет модель данных, соответствующую системе типов GObject. Модель данных может импортировать и экспортировать разом несколько интерфейсов, поддерживает объекты, свойства и сигналы GtkBuilder, предоставляет стек отката операций (Undo / Redo) и возможность сжатия истории команд. Для генерации модели данных из gir-файлов предоставляется утилита cambalache-db, а для генерации классов GObject из таблиц модели данных - утилита db-codegen.
Интерфейс может генерироваться на базе GTK 3 и GTK 4, в зависимости от определённой в проекте версии. Для обеспечения поддержки разных веток GTK формирование рабочей области осуществляется с привлечением бэкенда Broadway, позволяющего отрисовывать вывод библиотеки GTK в окне web-браузера. Основной процесс Cambalache предоставляет обвязку на базе WebKit WebView, в которой при помощи Broadway транслируется вывод из процесса Merengue, который непосредственно занимается отрисовкой интерфейса, создаваемого пользователем.
В новой версии осуществлён перевод интерфейса пользователя Cambalache на библиотеку GTK 4. Каталог виджетов обновлён для GNOME SDK 46. Расширены возможности, связанные с привязкой действий к элементам контекстного меню и переводом всплывающих подсказок к кнопкам. Присвоение номера 0.90 после версий 0.1x объясняется приближением к готовности выпустить релиз Cambalache 1.0.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60981
Началось тестирование переработанного интерфейса пакетного менеджера APT 3.0 Версия APT 2.9 представляет интерес переработанным интерфейсом пользователя, наглядно представляющим список зависимостей, необходимых для загрузки при установке пакета. Если раньше имена пакетов с зависимостями выводились сплошным списком, то теперь они разбиваются на колонки в стиле утилиты "ls" с опцией "-C", а разные блоки вывода подсвечиваются своими цветами (например, удаляемые пакеты выделяются красным, а устанавливаемые - зелёным цветом). При выводе также убраны дублирующиеся упоминания дополнительных и новых пакетов (объединены секции "NEW packages" и "additional packages").
Было:
Стало:
Дополнительно можно отметить утверждение разработчиками дистрибутива Debian обновлённого варианта правил оформления пакетов - Debian Policy 4.7.0.0, в котором отражено создание отдельного репозитория с прошивками non-free-firmware, разрешено использование жёстких ссылок в source-пакетах, регламентировано ограничение доступа к сети для автоматических сборок пакетов в contrib и non-free.
Для пакетов, автоматически запускающих или останавливающих системные сервисы, введено требование, предписывающее обязательное включение в состав unit-файла для systemd (исключение добавлено только для пакетов, специально нацеленных на использование только с альтернативными системами инициализации). Ранее, пакетам было разрешено использование обычных init-скриптов, но теперь поддержка таких скриптов в systemd прекращена.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60984
Обновление X.Org Server 21.1.13 с устранением потенциальной уязвимости в исправлении уязвимости Аналогичная проблема устранена в DDX-компоненте xwayland 23.2.6, обеспечивающем запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland.
Источник: https://www.opennet.ru/opennews/art.shtml?num=60983
continue
honked back 12 Apr 2024 22:00 +0200
in reply to: https://honk.any-key.press/u/continue/h/p44nX6MC99tZf4V4pN
Немного скриншотов из Wonder Boy: Asha in Monster World
continue
bonked 12 Apr 2024 21:47 +0200
original: opennet@honk.any-key.press
0-day уязвимость в драйвере n_gsm, позволяющая выполнить код на уровне ядра Linux Драйвер n_gsm предоставляет реализацию протокола GSM 07.10, используемого в GSM-модемах для мультиплексирования соединений к последовательному порту.
Уязвимость вызвана состоянием гонки в обработчике ioctl GSMIOC_SETCONF_DLCI, используемом для обновления конфигурации DLCI (Data Link Connection Identifier). Через манипуляции с ioctl можно добиться обращения к памяти после её освобождения (use-after-free).
Эксплоит может использоваться на системах с ядрами Linux, начиная с 5.15 и заканчивая 6.5. Например, успешное получение root-доступа продемонстрировано в Fedora, Ubuntu 22.04 с ядром 6.5 и в Debian 12 с ядром 6.1. Начиная с ядра 6.6 для эксплуатации требуются права доступа CAP_NET_ADMIN. В качестве обходного пути блокирования уязвимости можно запретить автоматическую загрузку модуля ядра n_gsm, добавив в файл /etc/modprobe.d/blacklist.conf строку "blacklist n_gsm".
Примечательно, что в январе была раскрыта информация о другой уязвимости (CVE-2023-6546) в драйвере n_gsm, для которой также публично доступен эксплоит. Данная уязвимость не пересекается с первой проблемой, хотя также вызвана обращением к памяти после освобождения при работе со структурой gsm_dlci, но в обработчике ioctl GSMIOC_SETCONF. Проблема исправлена в августе прошлого года (исправление вошло в состав ядра 6.5).
Источник: https://www.opennet.ru/opennews/art.shtml?num=60980