Подробности об уязвимостях не раскрываются, но судя по выставленному уровню опасности, они позволяют получить доступ к хост-окружению из гостевых систем. Две уязвимости проявляются только на хостах с Linux и две - только на хостах с Windows. Одна из уязвимостей допускает удалённое совершение атаки по HTTP без прохождения аутентификации, но уровень опасности для данной проблемы выставлен в 5.9 из 10 из-за сложности эксплуатации.

Основные изменения в VirtualBox 7.0.16:

• В дополнениях для хостов и гостевых систем добавлена начальная поддержка ядра Linux 6.9. В дополнениях для гостевых систем добавлена поддержка ядра 6.8 (для хостов ядро 6.8 поддерживалось ранее).
• В дополнениях для хостов и гостевых систем на базе Linux добавлена возможность запрета автоматической загрузки модуля ядра через выставление параметра mod_name.disabled=1 в командной строке ядра.
• В хост-окружениях на базе Linux решены проблемы со сборкой модулей ядра Linux при использовании компилятора GCC 13.2.
• В хост-окружениях на базе Linux решены проблемы с определением IPC-сокета VBoxSVC в стартовом скрипте VBox.sh, проявляющиеся при запуске виртуальной машины с использованием утилиты sudo.
• В дополнениях для хостов и гостевых систем на базе Linux устранены предупреждения, связанные с поддержкой UBSAN и mk_pte.
• В дополнениях гостевых систем на базе Windows отмечены улучшения, связанные с графикой.
• В хост-окружениях на базе macOS решены проблемы со снижением производительности виртуальных машин при использовании App Nap.
• Упрощён запуск вложенных гостевых систем с использованием гипервизора KVM на хостах с CPU Intel.
• Устранено аварийное завершение виртуальной машины, проявляющиеся на некоторых новых CPU AMD.
• В драйвере USB решены проблемы с контроллерами EHCI.
• Улучшена поддержка звуковых устройств.
• Обновлена документация на утилиты VBoxManage и vboximg-mount.
• В пакете Guest Control налажено задействование правильного сеанса Windows при запуске процессов в гостевых окружениях Windows.

1. Главная ссылка к новости
2. OpenNews: VirtualBox адаптирован для работы поверх гипервизора KVM
3. OpenNews: Выпуск VirtualBox 7.0.14
4. OpenNews: Уязвимость в VirtualBox, эксплуатируемая через протокол RDP
5. OpenNews: Релиз системы виртуализации VirtualBox 7.0

Основные опасения, из-за которых запрещено применение AI-инструментов в Gentoo:

• Неопределённость в области возможного нарушения авторских прав в содержимом, созданном при помощи моделей, обученных на большом массиве информации, охватывающем и произведения, защищённые авторским правом. Так же упоминается невозможность гарантировать соблюдение лицензионных требований в коде, сгенерированном через AI-инструменты. Сгенерированный AI код может рассматриваться как создание производной работы от кода, который использовался при обучении модели и распространяется под определёнными лицензиями.

  Например, при обучении модели на коде с лицензией, требующей извещения об авторстве (атрибуция), в предоставляемом AI-инструментами коде данное требование не выполняется, что может рассматриваться как нарушение большинства открытых лицензий, таких как GPL, MIT и Apache. Также могут возникнуть проблемы с лицензионной совместимостью при вставке в проекты под пермиссивными лицензиями кода, сгенерированного с использованием моделей, обученных на коде с копилефт-лицензиями.

• Возможные проблемы с качеством. Опасения связаны с тем, что сгенерированный AI-инструментами код или текст может выглядеть корректным, но содержать неявные проблемы и расхождения с фактами. Использование такого контента без проверки может привести к снижению качества проектов. Например, синтезированный код может повторять ошибки кода, используемого при обучении модели, что в итоге приведёт к появлению уязвимостей и отсутствию необходимых проверок при обработке внешних данных.

  Проверка же требует больших трудозатрат на фактчекинг и рецензирование кода. Разбирая автоматически сгенерированные отчёты об ошибках, разработчики вынуждены впустую тратить много времени на анализ бесполезных отчётов и перепроверять указанные там сведения по несколько раз, так как внешнее качество оформления вызывает доверие к информации и возникает ощущение, что рецензирующий что-то недопонял.

• Этические вопросы, связанные с нарушением авторских прав при обучении моделей, негативным влиянием на экологию из-за больших энергозатрат при создании моделей, увольнениями в связи с заменой персонала AI-сервисами, снижением качества сервисов после замены служб поддержки на ботов, расширением возможностей для спама и мошенничества.

В анонсе отмечается, что новое требование может быть выборочно отменено для AI-инструментов, для которых будет доказано отсутствие проблем с авторским правом, качеством и этикой.

1. Главная ссылка к новости
2. OpenNews: Исследование влияния AI-ассистентов, подобных GitHub Copilot, на безопасность кода
3. OpenNews: Судебное разбирательство против Microsoft и OpenAI, связанное с генератором кода GitHub Copilot
4. OpenNews: GitHub ввёл в строй систему машинного обучения Copilot, генерирующую код
5. OpenNews: Проект Gentoo перешёл под крыло организации SPI
6. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях

Среди изменений:

• В модуль stream добавлена поддержка виртуальных серверов, конфигурация которых определяется в блоке "server { ... }" при помощи директивы server_name.

  
     server {
         server_name ~^(www\.)?(.+)$;
         proxy_pass www.$2:12345;
     }
  

• Добавлен новый модуль ngx_stream_pass_module, предназначенный для проброса принятых соединений напрямую в любой слушающий сокет, связанный с такими модулями, как http, stream и mail.

  
     stream {
         server {
             listen 12345 ssl;
  
             ssl_certificate     domain.crt;
             ssl_certificate_key domain.key;
  
             pass 127.0.0.1:8000;
         }
     }
  

• В директиве listen модуля stream реализована поддержка параметров "deferred" (включает отложенный accept), "accept_filter" (фильтр входящих соединений, применяемый перед вызовом функции accept) и "setfib" (задание таблицы маршрутизации).
• Для некоторых архитектур реализована поддержка определения размера блока (cache line), используемого для передачи данных между кэшем CPU и памятью.
• На системах Apple Silicon добавлена поддержка пакетного менеджера Homebrew.
• Решены проблемы с кросс-компиляцией для Windows.
• Устранена ошибка, приводившая к закрытию соединений при использовании режима 0-RTT в протоколе QUIC.

Дополнительно можно отметить публикацию стабильной версии проекта FreeNginx 1.26.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Выпуск 1.26.0 отмечен как стабильный релиз, вобравший в себя изменения и исправления из выпусков mainline-ветки Nginx 1.25. Среди прочего в состав FreeNginx 1.26.0 вошли экспериментальная поддержка протокола HTTP/3, улучшения для противодействия DoS-атакам и исправления, связанные с асинхронной обработкой ввода/вывода.

Одновременно состоялся выпуск njs 0.8.4, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях. В новой версии: в CLI добавлена поддержка JavaScript-движка QuickJS; добавлена возможность выставления заголовка Server; реализована проверка на дублирование переменных, выставленных через js_set.

1. Главная ссылка к новости
2. OpenNews: Выпуск Angie 1.5.0, российского форка Nginx
3. OpenNews: Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5
4. OpenNews: В nginx 1.25.4 и Angie 1.4.1 устранены уязвимости, связанные с HTTP/3
5. OpenNews: Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes
6. OpenNews: Выпуск nginx 1.25.3, njs 0.8.2 и NGINX Unit 1.31.1

Основные новшества в Firefox 125:

• Во встроенном PDF-просмотрщике включена по умолчанию функция выделения текста выбранным цветом и рамкой.
• На странице Firefox View, упрощающей доступ к ранее просматриваемому содержимому, в секции с открытыми вкладками обеспечено отображение закреплённых вкладок и добавлена поддержка индикаторов состояния, например, дающих понять, что в определённой вкладке воспроизводится звук или видео, а также позволяющих через нажатие на индикатор отключить или вернуть звук. Аналогичные индикаторы также добавлены для закладок и уведомлений.
• Реализована возможность быстрого перехода по ссылке, сохранённой в буфере обмена. Если во время нажатия на адресную строку в буфере обмена находится URL, автоматически данный URL будет показан в качестве начальной рекомендации для перехода.
• Добавлена поддержка воспроизведения защищённого контента (EME, Encrypted Media Extensions) с использованием кодека AV1, который используется некоторыми провайдерами потокового вещания для распространения контента более высокого качества.
• При заполнении адресов в web-формах обеспечен вывод запроса на сохранение адреса (пока только для пользователей из США и Канады). В дальнейшем планируется использовать сохранённые данные для автозаполнения адресов.
• Включена блокировка загрузки файлов с URL, которые находятся в списках потенциально опасного контента.
• На системах, в которых используются дополнения с реализацией контейнеров вкладок, добавлена поддержка поиска из адресной строки вкладок, размещённых в разных контейнерах.
• В настройки добавлена опция, позволяющая автоматически определять наличие прокси при помощи протокола WPAD (Web Proxy Auto-Discovery ), несмотря на наличие включённых настроек для подключения через системный прокси.
• Изменено поведение обхода кнопок-переключателей (radio buttons) - если ни одна опция в кнопках не выбрана, то нажатие клавиши табуляции теперь активирует фокус только на первой опции, а следующее нажатие переводит фокус ввода на другой элемент, а не циклично перебирает все варианты опций. При этом клавиши со стрелками по-прежнему позволяют перемещаться по опциям одного элемента.
  
  
  
• Добавлена поддержка атрибута popover, позволяющего создавать элементы, показываемые поверх других элементов web-интерфейса. Например, при помощи нового атрибута можно создавать меню действий, выводить подсказки для заполнения форм, создавать обучающие интерфейсы и реализовать захват содержимого. В отличие от элемента "dialog" элементы с атрибутом "popover" не используют модальный режим, поддерживают события и легко отменяются. Местоположение, каскадирование и фокус ввода выбираются и обрабатываются автоматически.
• В WebAssembly по умолчанию включён режим "multi-memory", позволяющий wasm-модулям использовать и импортировать несколько независимых линейных области памяти.
• В JavaScript добавлена поддержка сегментирования Unicode-текста (Unicode Text Segmentation), реализованная при помощи объекта Intl.Segmenter. Объект позволяет точно сегментировать текст в строке с учётом локали, например, для разделения слов в языках не использующих пробел для разделения слов.
• В реализацию интерфейсов HTMLCanvasElement и OffscreenCanvas добавлена поддержка событий ContextLost и ContextRestored, позволяющих обработать в пользовательском коде ситуации потери и восстановления контекста при аппаратном ускорении отрисовки.
• Включена поддержка метода navigator.clipboard.readText() для чтения из буфера обмена c запросом подтверждения операции (после вызова API пользователю показывается контекстное меню вставки для подтверждения действия).
• В CSS-свойство "transform-box" добавлена поддержка значений stroke-box и content-box, позволяющих изменить метод вычисления эталонной области для операций трансформации, например, для реализации расширенных графических эффектов.
• В CSS-свойстве "align-content" реализована возможность работы с блочными контейнерами. Например "display: block" и "display: list-item" теперь могут быть выровнены при помощи "align-content" без использования контейнеров flex и grid.
• Прекращена поддержка метода SVGAElement.text, вместо которого рекомендуется использовать более широко распространённый метод SVGAElement.textContent.
• В инструментах для web-разработчиков в нижней части панели отладчика реализовано новое выпадающее меню с действиями, связанными с Source Map. В about:config возвращена настройка "devtools.debugger.features.overlay" для отключения выводимого поверх контента индикатора приостановки выполнения JavaScript-кода отладчиком (Pause Debugger Overlay).
• В версии для Android вкладки Custom Tabs, открываемые внутри других приложений, теперь учитывают выбор настройки темы оформления (тёмная тема, светлая тема и системный выбор темы). Улучшено меню с настройками логинов и паролей. Скрыта кнопка "Open in App", если Firefox выбран в качестве системного просмотрщика PDF.

Кроме новшеств и исправления ошибок в Firefox 125 устранено 18 уязвимостей (12 помечены как опасные). 11 уязвимостей (4 собраны под CVE-2024-3865) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В бета-версии Firefox 126 предложен новый упрощённый и унифицированный диалог для очистки данных пользователя, в котором улучшено разделение данных на категории и добавлены сведения о размере данных, сохранённых за выбранный промежуток времени.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 124
3. OpenNews: Во вкладках Firefox появится функция предпросмотра эскиза сайта
4. OpenNews: В Firefox появится группировка вкладок
5. OpenNews: Планы в отношении поддержки в Firefox второй и третьей версий манифеста Chrome
6. OpenNews: В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста

Уязвимость проявляется начиная с версии PuTTY 0.68 и также затронула продукты, в состав которых включены уязвимые версии PuTTY, например, FileZilla (3.24.1 - 3.66.5), WinSCP (5.9.5 - 6.3.2), TortoiseGit (2.4.0.2 - 2.15.0) и TortoiseSVN (1.10.0 - 1.14.6). Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1. После установки обновления пользователям рекомендуется сгенерировать новые ключи и удалить старые открытые ключи из файлов authorized_keys.

Уязвимость вызвана беспечностью разработчиков, которые для генерации 521-битного вектора инициализации (nonce) использовали 512-битную случайную последовательность, вероятно, посчитав что энтропии в 512 бит будет достаточно и оставшиеся 9 бит не имеют принципиального значения. В итоге, при генерации всех подписей, созданных в PuTTY с использованием алгоритма ecdsa-sha2-nistp521, первые 9 бит вектора инициализации всегда принимали нулевые значения.

Для ECDSA и DSA качество генератора псевдослучайных чисел и полное покрытие случайными данными параметра, используемого при вычислении модуля, имеет принципиальное значение, так как определение даже нескольких битов с информацией о векторе инициализации достаточно для совершения атаки по последовательному восстановлению всего закрытого ключа. Для успешного восстановления ключа достаточно наличия открытого ключа и анализа нескольких десятков цифровых подписей, сгенерированных с использованием проблемного вектора инициализации для известных атакующему данных. Атака сводится к решению задачи HNP (Hidden Number Problem).

Необходимые цифровые подписи можно получить, например, при подключении пользователя к SSH-серверу атакующего или к Git-серверу, использующему SSH в качестве транспорта. Необходимые для атаки подписи также можно узнать, если ключ использовался для заверения произвольных данных, например, git-коммитов при применении SSH-агента Pageant для перенаправления трафика на хост разработчика. Получение необходимых для восстановления ключа данных в ходе MITM-атаки исключено, так как подписи в SSH не передаются в открытом виде.

Отмечается, что похожее использование неполных векторов инициализации применялось в PuTTY и для других видов эллиптических кривых, но для алгоритмов, отличных от ECDSA P-521, возникших утечек информации недостаточно для реализации работающей атаки по восстановлению ключа. Ключи ECDSA другого размера и ключи Ed25519 атаке не подвержены.

1. Главная ссылка к новости
2. OpenNews: В неофициальных сборках PuTTY выявлен троян
3. OpenNews: Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP
4. OpenNews: Уязвимость TPM-Fail, позволяющая восстановить ключи, хранимые в TPM-модулях
5. OpenNews: Новая техника атаки по сторонним каналам, позволяющая восстановить ключи ECDSA
6. OpenNews: Уязвимость в SSH-клиентах OpenSSH и PuTTY

GNU Taler не создаёт собственную криптовалюту, а работает с уже существующими валютами, в том числе с долларами, евро и биткоинами. Поддержку новых валют можно обеспечить через создание банка, который выступает финансовым гарантом. Бизнес-модель GNU Taler основана на выполнении операций обмена - деньги из традиционных платёжных систем, таких как BitCoin, Mastercard, SEPA, Visa, ACH и SWIFT, преобразуются в анонимные электронные деньги в той же валюте. Пользователь может передавать электронные деньги продавцам, которые затем могут на точке обмена поменять их обратно в реальные деньги, представленные традиционными системами платежей.

Все транзакции в GNU Taler защищены с использованием современных криптографических алгоритмов, позволяющих сохранить достоверность даже при утечке приватных ключей клиентов, продавцов и точек обмена. Формат БД предоставляет возможность верификации всех совершённых транзакций и подтверждения их непротиворечивости. Подтверждением платежа для продавцов является криптографическое доказательство перевода в рамках заключённого с клиентом контракта и криптографически подписанное подтверждение о наличии средств на точке обмена. В состав GNU Taler входят набор базовых компонентов, предоставляющих логику для работы банка, точки обмена, торговой площадки, кошелька и аудитора.

Финансирование разработки осуществляется на гранты Еврокомиссии, Государственного секретариата Швейцарии по образованию и Государственного секретариата Швейцарии по исследованиям и инновациям (SERI). В рамках проекта NGI TALER ведётся работа по созданию на базе GNU Taler продукта, готового для применения в Евросоюзе.

Основные изменения:

• Добавлена поддержка обмена ключами с использованием протокола EBICS 3.0 (Electronic Banking Internet Communication Standard), предназначенного для защищённого обмена информацией о платежах между банками. Для отправки запросов в банки с использованием протокола EBICS предложена утилита libeufin-nexus.
• Для магазинов предложен более удобный интерфейс проведения платежей с использованием QR-кодов, реализованный через публично доступный обработчик GET-запросов, использующий шаблоны.
• В Apple app store размещена реализация кошелька для платформы iOS.
• В кошельках улучшено управление подключением к точкам обмена.
• В Wallet-core добавлена возможность генерации событий мониторинга для упрощения диагностики.
• Для кошельков реализован новый тип транзакций, представляющих средства, потерянные из-за деноминации, отзыва или истечения срока действия монет.
• В Wallet-core обеспечено кэширование запросов и добавлена поддержка верификации ключей в асинхронном режиме.

1. Главная ссылка к новости
2. OpenNews: Опубликована P2P-платформа GNUnet 0.20
3. OpenNews: Выпуск платёжной системы GNU Taler 0.9, развиваемой проектом GNU
4. OpenNews: Доступен GNU Anastasis, инструментарий для резервного копирования ключей шифрования
5. OpenNews: Проект GNU представил собственную платёжную систему GNU Taler

Релиз игры Descent 3 был опубликован в 1999 году. Игра сочетает в себе шутер от первого лица и симулятор полётов в открытом и замкнутом пространстве. Поддерживается однопользовательский режим прохождения миссий и многопользовательские бои. Опубликована самая свежая кодовая база Descent 3 "1.5 Patch", включающая подготовленные несколько лет назад изменения для актуализации кода, написанного в 1990-х годах. Поддерживается сборка для Linux, macOS и Windows.

В поставку не вошла музыка и библиотеки для обработки форматов звука и видео ACM и MVE, права на которые не принадлежат компании Outrage Entertainment. Чтобы обеспечить корректную сборку проекта в ближайшее время отсутствующие библиотеки будут заменены заглушками. В дальнейшем видеоролики, используемые в заставке и в финальных сценах, планируют сконвертировать в формат, для которого имеются открытые библиотеки. Из задач, которые намерены решить в первую очередь, отмечается предоставление возможности сборки для разных платформ, создание инфраструктуры для тестирования в системе непрерывной интеграции, проведение чистки кода и удаление компонентов старой системы управления версиями.

Код первой в второй частей Descent был опубликован 1997 и 1998 годах для стимулирования разработки модов, но распространялся под проприетарной лицензией, запрещающей использование в коммерческих целях.

1. Главная ссылка к новости
2. OpenNews: Ассоциация K-D Lab открыла код игрового движка qdEngine
3. OpenNews: Выпуск открытого игрового движка Godot 4.2
4. OpenNews: Открыт код игрового движка Dagor Engine, который будет использован VK в Nau Engine
5. OpenNews: Выпуск игрового движка Open 3D Engine 23.10, открытого компанией Amazon
6. OpenNews: Первый выпуск открытого многопользовательского игрового движка Ambient

Проект Servo написан на языке Rust и отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Проект Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.

1. Главная ссылка к новости
2. OpenNews: Проект по интеграции с Qt web-движка Servo, развиваемого на языке Rust
3. OpenNews: Релиз браузерного движка WebKitGTK 2.42.0 и обновление проекта Servo
4. OpenNews: Разработка браузерного движка Servo переведена в организацию Linux Foundation Europe
5. OpenNews: Возобновлена активная разработка браузерного движка Servo
6. OpenNews: Представлен браузерный движок Kosmonaut, написанный на языке Rust

Метод Paywall применяется многими крупными англоязычными изданиями (forbes.com, independent.co.uk, newsweek.com, newyorker.com, nytimes.com, wsj.com и т.п.) для открытия полного текста свежих статей только платными подписчиками. Ссылки на подобные статьи активно продвигаются в социальных сетях и поисковых системах, но после перехода по публикуемым ссылкам вместо открытия полного текста пользователю предлагается оформить платную подписку, если он хочет увидеть подробности.

Формулировка, на основе которой был заблокирован репозиторий BPC, не сообщается, но, судя по всему, проекту вменяется незаконный обход методов технической защиты доступа к содержимому, являющемуся объектом авторского права. Нарушение защиты в BPC является спорным вопросом, так как сайты с Paywall обычно открывают полный доступ поисковым системам и социальным сетям, из-за того, что издания заинтересованы в индексации текстов и привлечении посетителей, которых интересует данный материал. Поэтому для обхода ограничения доступа, как правило, достаточно просто сменить идентификатор браузера и притвориться поисковым ботом "Googlebot". На некоторых сайтах также может потребоваться очистить сессионную Cookie и заблокировать некоторые скрипты. Расширение BPC предлагало индивидуальный подход к каждому сайту, удаляло те или иные скрипты и использовало регулярные выражения для блокировки кода.

1. Главная ссылка к новости
2. OpenNews: Из каталога Mozilla удалено дополнение для обхода Paywall
3. OpenNews: Mozilla удалила два популярных дополнения, блокирующих загрузку обновлений к Firefox
4. OpenNews: Дополнения для обхода Paywall удалены из каталогов Chrome и Mozilla
5. OpenNews: GitHub заблокировал репозиторий SymPy после ложной жалобы
6. OpenNews: GitLab заблокировал репозиторий эмулятора Suyu

В настоящее время в Redka добавлена поддержка типов для работы со строками и хэшами, а также команд для манипуляции строковыми данными, ключами, транзакциями и хэшами. Например, доступны команды для установки и получения одного или нескольких привязанных к ключу строковых значений, задания времени жизни ключей, инкремента/декремента значений, поиска ключей по шаблону, переименования ключей, выполнения серии команд в рамках транзакции, отмены транзакции, работы с полями в хэшах.

В ближайшее время планируется добавить поддержку списков, коллекций (sets) и отсортированных коллекций. В отдалённой перспективе ожидается реализация алгоритма HyperLogLog, возможности для манипуляции географическими координатами и команд для взаимодействия с использованием модели publish/subscribe. Пока не планируется добавлять поддержку скриптов на языке Lua, аутентификацию, ACL, watch/unwatch и возможность работы в одном сервере с несколькими БД. Точно не будет реализована поддержка кластеров (Redis Cluster) и мониторинга (Redis Sentinel).

Тестирование производительности с использованием инструментария от проекта Redis, показало, что Redka в 2-6 раз отстаёт от Redis из-за отсутствия специфичных оптимизаций для хранения данных в формате ключ/значение. В частности, в созданном тестовом окружении Redis продемонстрировал производительность в 133 тысяч операций SET в секунду и 139 тысяч операций GET в секунду, в то время как производительность Redka составила 30 тысяч SET в секунду и 63 тысячи GET в секунду в ситуации, когда БД размещалась в оперативной памяти. При хранении БД на диске производительность Redka составила 22 тысячи операций SET в секунду и 56 тысяч GET в секунду.

1. Главная ссылка к новости
2. OpenNews: Выпуск Redict 7.3.0, форка СУБД Redis
3. OpenNews: Amazon, Google, Oracle, Ericsson и Snap основали Valkey, форк СУБД Redis
4. OpenNews: СУБД Redis переходит на проприетарную лицензию. Обсуждение удаления Redis из Fedora
5. OpenNews: Microsoft открыл код хранилища Garnet, совместимого с Redis
6. OpenNews: Первый стабильный выпуск FerretDB, реализации MongoDB на базе СУБД PostgreSQL

В кодовой базе Lighttpd данная уязвимость была устранена ещё в 2018 году в версии 1.4.51, но исправление было внесено без присвоения CVE-идентификатора и без публикации отчёта с описанием характера уязвимости. В примечании к выпуску, было упомянуто об устранении проблем с безопасностью, но основное внимание было акцентировано на уязвимости в mod_userdir, связанной с использованием символов ".." и "." в имени пользователя.

В списке изменений также была упомянута проблема с обработкой HTTP-заголовков, но данное исправление было пропущено разработчиками прошивки и не перенесено в состав продукта, так как примечание о потенциальном устранении уязвимости класса use-after-free присутствовало лишь в тексте коммита, а в общем списке изменений не было указано, что ошибка приводит к обращению к памяти после освобождения.

Уязвимость позволяет прочитать содержимое памяти за пределами выделенного буфера. Проблема вызвана ошибкой в коде слияния HTTP-заголовков, применяемом при указании нескольких экземпляров HTTP-заголовка "If-Modified-Since". При обработке второго экземпляра заголовка lighttpd выделял новый буфер, чтобы вместить объединённое значение и освобождал память под буфер, в который было помещено значение из первого заголовка. При этом указатель con->request.http_if_modified_since не изменялся и продолжал указывать на уже освобождённую область памяти.

Так как данный указатель использовался при операциях сравнения содержимого заголовка If-Modified-Since, результат которых приводил к генерации разных кодов возврата, атакующий мог путём перебора угадать новое содержимое памяти, которую ранее занимал первый буфер. Проблема могла использоваться в сочетании с другими уязвимостями, например, для определения раскладки памяти для обхода механизмов защиты, таких как ASLR (рандомизация адресного пространства).

Наличие уязвимости подтверждено в серверных платформах Lenovo и Intel, но данные компании не планируют выпускать обновления прошивок из-за истечения времени поддержки, использующих данные прошивки продуктов, и низкого уровня опасности уязвимости. Проблема проявляется в прошивках к платформам Intel M70KLP и Lenovo HX3710, HX3710-F и HX2710-E (уязвимость присутствует среди прочего в последних версиях прошивок Lenovo 2.88.58 и Intel 01.04.0030). Дополнительно сообщается, что уязвимость в lighttpd также проявляется в прошивках к оборудованию Supermicro и в серверах, на которых используются BMC-контроллеры компаний Duluth и ATEN.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в прошивках AMI MegaRAC, позволяющие удалённо выполнить код на уровне BMC-чипа
3. OpenNews: Атака PMFault, позволяющая вывести из строя CPU на некоторых серверных системах
4. OpenNews: PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки
5. OpenNews: Уязвимость в прошивках BMC-контроллеров, затрагивающая серверы многих производителей
6. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов

Изначально OpenTTD развивался как аналог коммерческой игры Transport Tycoon Deluxe, но позднее превратился в самодостаточный проект, значительно обогнавший по возможностям эталонный вариант игры. В частности, в рамках проекта создан альтернативный набор игровых данных, новое звуковое и графическое оформление, существенно расширены возможности игрового движка, увеличены размеры карт, реализован сетевой режим игры, добавлено много новых игровых элементов и моделей.

В новой версии:

• Добавлена возможность замедления течения календарного времени, вплоть до его остановки. Изменение не меняет темп движения транспортных средств, динамику перевозок и прогресс развития городов, но влияет на время появления новых транспортных средств, инфляцию и устаревание транспорта.
• В функции поиска пути для судов появилась возможность направлять корабли на большие расстояния без использования буев. Изменение позволит создавать игры, в которых используются только корабли, и исключит потерю кораблями маршрутов до портов.
• Добавлен режим распределения транспортных средств, позволяющий избежать скопления транспорта на маршруте, благодаря автоматическому поддержанию дистанции между транспортом.
• Обеспечена поддержка интеграции с социальными сетями и платформами, такими как Steam, Discord и GOG Galaxy, что позволяет другим отслеживать, когда пользователь играет в OpenTTD.
• Добавлена возможность проведения опросов среди игроков, позволяющих лучше понять как пользователи играют в OpenTTD.
• Предложен встроенный масштабируемый TTF-шрифт, обеспечивающий должный внешний вид при разных уровнях масштабирования. Улучшена отрисовка графического интерфейса и решены проблемы с цветами.
• Добавлена кнопка "Help and Manuals" ("Помощь и руководства") для доступа к основной информации об игре
• Пересмотрены применяемые по умолчанию настройки игрового процесса. Изменения в основном коснулись включения новых возможностей.
• Читы (Cheats) переименованы в песочницу (Sandbox), так как некоторые воспринимали данное название в негативном контексте, в то время, как в OpenTTD подразумевался режим играть так, как нравится.

Дополнительно можно отметить выпуск OpenLoco 24.04, открытого движка для симулятора транспортной компании Chris Sawyer's Locomotion. В новой версии реализация команд для создания зданий и дорог переписана на языке С++, улучшена работа генераторов карт и ландшафтов, улучшена отрисовка текста.

Также можно упомянуть обновление проекта OpenRCT2 0.4.10, развивающего открытую реализацию стратегической игры RollerCoaster Tycoon 2, симулирующей конструирование парка развлечений и управление им, а также охватывающей также элементы инфраструктуры, такие как магазины и кафе. Для работы OpenLoco и OpenRCT2 требуются файлы с ресурсами от оригинальных игр Chris Sawyer's Locomotion и RollerCoaster Tycoon 2. Из отличий открытых вариантов движков выделяется поддержка современных платформ, улучшенный интерфейс, повышение качества искусственного интеллекта.

1. Главная ссылка к новости
2. OpenNews: Выпуск игры OpenRCT2, предлагающей симулятор парка аттракционов
3. OpenNews: Выпуск открытого игрового движка VCMI 1.3.0, совместимого с Heroes of Might and Magic III
4. OpenNews: Выпуск TR1X 3.0, открытого движка для игры Tomb Raider
5. OpenNews: Выпуск свободной стратегической игры Warzone 2100 4.4.2

В новой версии:

• Обеспечено выявление совершения атаки "Continuation flood", осуществляемой через отправку на сервер HTTP/2 непрекращающегося потока кадров CONTINUATION без выставления флага END_HEADERS. Утверждается, что данная атака не приводит к отказу в обслуживании lighttpd, но в качестве дополнительной меры добавлено её выявление и отправка ответа GO_AWAY.
• Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой "git archive" с верификацией по тегам релиза и без загрузки готовых архивов с кодом.
• По умолчанию предоставлен встроенный файл mimetype.assign.
• Добавлена поддержка расширения MPTCP (MultiPath TCP), которая не активирована по умолчанию.
• Улучшена поддержка платформ GNU/Hurd и NetBSD 10.
• Сокращено число системных вызовов, совершаемых при подключениях к бэкенду.
• В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS (сейчас параметр MinProtocol выставлен в значение TLSv1.2). В будущем обработчик server.error-handler-404 будет ограничен только обработкой ошибок 404 (сейчас обрабатывается как 404, так и 403).

Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости:

• CVE-2024-27316 - уязвимость, приводящая к исчерпанию свободной памяти при совершении атаки "Continuation flood".
• CVE-2024-24795, CVE-2023-38709 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
• В модуль mod_cgi добавлен параметр CGIScriptTimeout для выставления таймаута выполнения скрипта.
• В mod_xml2enc обеспечена совместимость с libxml2 2.12.0 и более новыми выпусками.
• В mod_ssl для компоновки списков имён удостоверяющих центров при обработке директив SSLCACertificatePath и SSLCADNRequestPath адействованы штатные функции OpenSSL.
• В mod_xml2enc обеспечена обработка XML для любых MIME-типов text/* и XML для исключения повреждения данных в форматах Microsoft OOXML.
• В утилите htcacheclean при указании опций -a/-A реализован перебор всех файлов для каждого подкаталога.
• В mod_ssl в директивах SSLProxyMachineCertificateFile/Path разрешено ссылаться на файлы, содержащий сертификаты удостоверяющих центров.
• В документации к утилитам htpasswd, htdbm и dbmmanage уточнено, что в них используется хэширование, а не шифрование паролей.
• В htpasswd добавлена поддержка обработки хэшей паролей, используя алгоритм SHA-2.
• В mod_env разрешено переопределение системных переменных окружения.
• В mod_ldap реализовано экранирование HTML-данных в заголовке ldap-status.
• В mod_ssl улучшена совместимость с OpenSSL 3 и обеспечено возвращение системе освобождённой памяти.
• В mod_proxy разрешено выставление TTL для настройки времени жизни записи в кэше DNS-ответов.
• В mod_proxy в параметр ProxyRemote добавлена поддержка третьего аргумента, через который можно настроить передаваемые на внешний прокси учётные данные для Basic-аутентификации.

1. Главная ссылка к новости
2. OpenNews: Релиз http-сервера Lighttpd 1.4.74
3. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
4. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
5. OpenNews: Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2
6. OpenNews: Первый стабильный выпуск библиотеки GNU libmicrohttpd

Проектом поддерживается каталог для быстрого поиска и установки игровых приложений, позволяющий через единый интерфейс одним щелчком мыши запускать в Linux игры, не заботясь об установке зависимостей и настройках. Runtime-компоненты для запуска игр поставляются проектом и не привязываются к используемому дистрибутиву. Runtime представляет собой независимый от дистрибутива набор библиотек, включающий компоненты из SteamOS и Ubuntu, а также различные дополнительные библиотеки.

Предоставляется возможность установки игр, распространяемых через сервисы GOG, Steam, Epic Games Store, Battle.net, Amazon Games, Origin и Uplay. При этом сам по себе Lutris выступает лишь в роли посредника и не продаёт игры, поэтому для коммерческих игр пользователь должен самостоятельно приобрести игру в соответствующем сервисе (бесплатные игры можно запускать одним кликом из графического интерфейса Lutris).

Каждая игра в Lutris привязывается к сценарию загрузки и обработчику, описывающему окружение для запуска игры. В том числе предоставляются готовые профили с оптимальными настройками для запуска игр под управлением Wine. Кроме Wine игры могут запускаться при помощи эмуляторов игровых консолей, таких как RetroArch, Dosbox, FS-UAE, ScummVM, MESS/MAME и Dolphin.

Среди изменений в новой версии:

• Добавлена поддержка запуска игр с использованием Supermodel, эмулятора платформы Sega Model 3, позволяющего выполнять некоторые классические аркадные игры.
• Добавлена поддержка эмулятора Vita3k, для запуска игр, созданных для приставки Sony PlayStation Vita.
• Добавлена поддержка синхронизации игр, игровой статистики и игровых категорий между несколькими устройствами, используя сервис на сайте lutris.net.
• Экран "Lutris" заменён на "Games", в котором используются новые возможности синхронизации библиотеки игр.
• Добавлена экспериментальная поддержка режима Umu, позволяющего использовать Proton и Pressure Vessel (система для запуска игр в отдельных контейнерах) без привязки к сервису Steam.
• Улучшена сортировка игр (инвертирована сортировка по продолжительности игры и времени последней игры).
• При выборе нескольких игр предоставлена возможность использования для них команды "Categories".
• В Cemu, эмуляторе игровой консоли Nintendo Wii U, добавлена поддержка файлов в формате WUA.
• При включении опции "Show Hidden Games" скрытые игры теперь показываются в отдельной секции и опять скрываются после завершения просмотра.
• В баннерах и обложках добавлена поддержка PNG-файлов с прозрачным фоном.
• Объявлена устаревшей поддержка libstrangle и xgamma.

1. Главная ссылка к новости
2. OpenNews: Выпуск платформы Lutris 0.5.15 для упрощения доступа к играм из Linux
3. OpenNews: Выпуск Bazzite 1.0, редакции Fedora Silverblue для любителей компьютерных игр
4. OpenNews: Выпуск Nobara 39, редакции Fedora с патчами для игр и обработки контента
5. OpenNews: Выпуск Bottles 2022.1.28, пакета для организации запуска Windows-приложений в Linux
6. OpenNews: Новая версия пакета PlayOnLinux 4.3

Разработчики библиотеки намерены добиться включения экспериментальной поддержки LibGodot в состав выпуска Godot 4.3, а в версии Godot 4.4 обеспечить поддержку в LibGodot графического API OpenGL и платформ Android, Windows, Linux (X11 и Wayland), помимо изначально поддерживаемых macOS и iOS. Из областей применения LibGodot, кроме интеграции контента Godot в графический интерфейс приложения (показа окон Godot, как части интерфейса), отмечается возможность управления движком Godot из приложения и решение задач, связанных с автоматизацией разработки (например, для задействования при сборке ассетов).

1. Главная ссылка к новости
2. OpenNews: Выпуск открытого игрового движка Godot 4.2
3. OpenNews: Проект GodotOS подготовил оболочку операционной системы на игровом движке Godot
4. OpenNews: Выпуск игрового движка Open 3D Engine 23.10, открытого компанией Amazon
5. OpenNews: Открыт код игрового движка Dagor Engine, который будет использован VK в Nau Engine
6. OpenNews: Раскол в сообществе свободного игрового движка Urho3D привёл к созданию форка