Например, потребуется переработать процесс удалённой установки, который сейчас базируется на VNC-клиенте TigerVNC, завязанном на X11. Вместо TigerVNC предлагается использовать приложение grd (Gnome Remote Desktop) на основе протокола RDP. Вторым заметным изменением станет переработка процессов управления клавиатурой и переключения раскладок. В настоящее время в Anaconda для настройки раскладки клавиатуры применяется библиотека libXklavier, поддержка которой будет прекращена в GNOME Shell, а пакет libxklavier намерены удалить из Fedora.

Из-за привязки к libXklavier в инсталляторе, используемом в Live-сборах на базе Wayland, отключена возможность переключения раскладок клавиатуры. Так как в Wayland не предоставляется универсальный механизм управления клавиатурой, решено вместо libXklavier для изменения раскладок задействовать сервис systemd-localed, обращаясь к нему через D-Bus.

Помимо миграции инсталлятора на Wayland одновременно предложено полностью прекратить поставку связанных с X11 пакетов GNOME в сборках Fedora Workstation. Подобные пакеты планируют оставить в репозитории, но больше не включать в состав установочных и Live-носителей, построенных на базе GNOME.

Предложения пока не утверждены комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. При этом ранее комитет уже утвердил удаление из базовой поставки Fedora 41 сеанса X11 для GNOME. Основной причиной прекращения поддержки X11 в Fedora является перевод X.Org-сервера в RHEL 9 в категорию устаревших и решение полностью удалить его в будущем значительном выпуске RHEL 10.

Среди факторов, способствующих оставлению только поддержки Wayland, также упоминается появление поддержки Wayland в проприетарных драйверах NVIDIA и выполненная в Fedora 36 замена драйверов fbdev на драйвер simpledrm, корректно работающий с Wayland. Прекращение поддержки сеанса с X11 существенно снизит трудозатраты на сопровождение и высвободит ресурсы, которые можно будет направить на улучшения качества работы современного графического стека.

1. Главная ссылка к новости
2. OpenNews: В Fedora 41 намечено удаление из базовой поставки сеанса X11 для GNOME
3. OpenNews: В Fedora 40 утверждено прекращение поддержки сеанса KDE на базе X11
4. OpenNews: В Fedora 40 планируют прекратить поддержу X11 в окружении KDE
5. OpenNews: В Fedora одобрена поставка в пакете asahi-installer исполняемых файлов для macOS
6. OpenNews: В Fedora 41 намерены удалить network-scripts и разрешить обновление атомарных редакций без пароля

• В ветку KDE Plasma 6.1, релиз которой запланирован на 18 июня, принято изменение значительно ускоряющее работу с содержимым каталога ~/.cache. Добавленная оптимизация решает проблемы с подвисанием некоторых эффектов рабочего стола на системах с медленными дисками.
• В ветке 6.1 также решена проблема с высокой нагрузкой на CPU в композитном сервере KWin, возникающей при включении режимов синхронизации выделенных областей с буфером обмена в виджете для работы с буфером обмена (настройки "Keep the selection and clipboard the same" или "Text selection: Always save in history").
• В кодовой базе, которая войдёт в состав ветки 6.2, включена по умолчанию поддержка аппаратного ускорения отрисовки курсора на системах с GPU Intel.
• В стиле Breeze для Qt Quick Controls 2 реализована поддержка перемещаемых разделителей (SplitView), которые можно использовать в QML-программах для создания боковых панелей с изменяемым размером.
• На системах с GPU NVIDIA при использовании X11 в диалог настройки панели добавлено предупреждения об ошибке в проприетарном драйвере NVIDIA, приводящей к подвисаниям при перемещении или изменении размера окон в случае включении режима плавающей панели или адаптивной прозрачности.
• В виджет управления сетевым соединением добавлена поддержка WebAuth аутентификации на базе SAML (Security Assertion Markup Language). Добавлена возможность перемещения показываемого в виджете QR-кода, что можно использовать для его сохранения как изображения.
• В бэкенд мониторинга за состоянием системы добавлена поддержка получения информации о CPU, памяти и вводе/выводе через /proc/pressure/.
• В файловый менеджер Dolphin добавлен вывод рекомендации по установке приложения Filelight при попытке получения информации о свободном пространстве на накопителе, если Filelight не установлен (в этом случае выпадающее меню с информацией о свободном пространстве остаётся пустым).
• При копировании пароля из KWalletManager он теперь не отображается в виджете для работы с буфером обмена.
• Удалена нерабочая опция для скрытия вспомогательных окон неактивных приложений ("Hide utility windows for inactive applications")
• Во время перемещении окон задействован более подходящий курсор мыши.

Дополнительно можно отметить выпуск платформы KDE Frameworks 6.3.0, предоставляющей реструктуризованный и портированный на Qt 6 базовый набор библиотек и runtime-компонентов, лежащих в основе KDE. Фреймворк включает в себя 72 библиотеки, часть которых может работать в качестве самодостаточных надстроек над Qt, а часть формируют программный стек KDE. Выпуск cформирован в соответствии с инициативой по предсказуемому ежемесячному формированию обновлений KDE Frameworks. В новой версии в основном устранены ошибки и недоработки.

1. Главная ссылка к новости
2. OpenNews: Тестирование среды рабочего стола KDE Plasma 6.1
3. OpenNews: Выпуск KDE Gear 24.05, набора приложений от проекта KDE
4. OpenNews: Изменения для улучшения отображения KDE-приложений в GNOME и Xfce
5. OpenNews: В KDE убрана возможность установки тем пиктограмм GNOME. Недавние изменения в KDE 6.1
6. OpenNews: Выпуск KDE Frameworks 6.1.0. Реализация Explicit Sync для KDE

GNU Taler не создаёт собственную криптовалюту, а работает с уже существующими валютами, в том числе с долларами, евро и биткоинами. Поддержку новых валют можно обеспечить через создание банка, который выступает финансовым гарантом. Бизнес-модель GNU Taler основана на выполнении операций обмена - деньги из традиционных систем совершения платежей, таких как BitCoin, Mastercard, SEPA, Visa, ACH и SWIFT, преобразуются в анонимные электронные деньги в той же валюте. Пользователь может передавать электронные деньги продавцам, которые затем могут на точке обмена поменять их обратно в реальные деньги, представленные традиционными системами платежей.

Все транзакции в GNU Taler защищены с использованием современных криптографических алгоритмов, позволяющих сохранить достоверность даже при утечке приватных ключей клиентов, продавцов и точек обмена. Формат БД предоставляет возможность верификации всех совершённых транзакций и подтверждения их непротиворечивости. Подтверждением платежа для продавцов является криптографическое доказательство перевода в рамках заключённого с клиентом контракта и криптографически подписанное подтверждение о наличии средств на точке обмена. В состав GNU Taler входят набор базовых компонентов, предоставляющих логику для работы банка, точки обмена, торговой площадки, кошелька и аудитора.

Финансирование разработки осуществляется на гранты Еврокомиссии, Государственного секретариата Швейцарии по образованию и Государственного секретариата Швейцарии по исследованиям и инновациям (SERI). В рамках проекта NGI TALER ведётся работа по созданию на базе GNU Taler продукта, готового для применения в Евросоюзе.

Основные изменения:

• В утилиту libeufin-nexus, применяемую для отправки запросов в банки, добавлена поддержка диалекта протокола EBICS (Electronic Banking Internet Communication Standard), разработанного Центральным кредитным комитетом Германии (ZKA) для защищённого обмена информацией о платежах в немецких банках.
• В libeufin-nexus добавлена поддержка применяемого в Евросоюзе стандарта мгновенного проведения платежей SEPA Instant (Single Euro Payments Area).
• В API предложена начальная реализация обработчика на базе HTTP-метода GET для точек продаж (POS, point-of-sale).
• В кошельках обеспечен показ дополнительной контекстной информации при использовании платежей по QR-кодам или URI.
1. Главная ссылка к новости
2. OpenNews: Выпуск платёжной системы GNU Taler 0.10, развиваемой проектом GNU
3. OpenNews: Опубликована P2P-платформа GNUnet 0.20
4. OpenNews: Релиз свободной системы финансового учета GnuCash 5.0

Уязвимость является частным случаем исправленной в 2012 году проблемы CVE-2012-1823, добавленной для которой защиты оказалось недостаточно для блокирования атаки на платформе Windows. Метод атаки сводится к возможности подстановки аргумента командной строки при запуске интерпретатора PHP через манипуляцию с параметрами запроса к PHP-скрипту.

В старой уязвимости CVE-2012-1823 для эксплуатации достаточно было указать опции командной строки вместо параметров запроса, например, "http://localhost/index.php?-s" для показа исходного кода скрипта. Новая уязвимость основывается на том, что платформа Windows обеспечивает автоматическое преобразование символов, что позволяет для обхода ранее добавленной защиты указывать символы, присутствующие в некоторых кодировках и заменяемые на символ "-" (например, короткий дефис с шестнадцатеричным кодом "AD" заменяется на обычный дефис с кодом "2D", т.е. для атаки можно использовать запрос вида http://localhost/index.php?%ads).

Уязвимость подтверждена в конфигурациях с локалями для традиционного китайского (cp950), упрощённого китайского (cp936) и японского (cp932) языков, но не исключено её проявление и с другими локалями. Проблема проявляется в конфигурации по умолчанию в наборе XAMPP (Apache + MariaDB + PHP + Perl), а также в любых конфигурациях Apache, в которых php-cgi выставлен в качестве обработчика CGI-скриптов при помощи настройки 'Action cgi-script "/cgi-bin/php-cgi.exe"' или 'Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"', или при непосредственном размещении интерпретатора php в "/cgi-bin" и любых других каталогах, в которых разрешено выполнение CGI-скриптов через директиву ScriptAlias.

Кроме того в обновлениях PHP 8.3.8, 8.2.20 и 8.1.29 устранены ещё три уязвимости:

• CVE-2024-5458 - возможность обхода фильтра FILTER_VALIDATE_URL, используемого при вызове функции filter_var.
• CVE-2024-5585 - альтернативный вектор атаки на уязвимость CVE-2024-1874, позволяющий обойти ранее добавленную защиту и осуществить подстановку команд при вызове bat- и cmd-файлов через функцию proc_open на платформе Windows (уязвимость BatBadBut).
• Подверженность функции openssl_private_decrypt атаке Marvin.

Дополнение 1: Опубликован пример эксплоита для запуска своего PHP-кода на сервере, для выполнения которого применяется набор параметров "-d allow_url_include=1 -d auto_prepend_file=php://input" и передача кода скрипта в теле POST-запроса:

   POST /test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
   Host: {{host}}
   User-Agent: curl/8.3.0
   Accept: */*
   Content-Length: 23
   Content-Type: application/x-www-form-urlencoded
   Connection: keep-alive

   <?php
   phpinfo();
   ?>

Дополнение 2: Уязвимость CVE-2024-4577 задействована для распространения вредоносного ПО TellYouThePass, шифрующего данные на диске и вымогающего деньги для предоставление ключа для расшифровки. При помощи рассматриваемой уязвимости поражено около 1800 хостов, размещённых преимущественно в Китае и использующих для организации работы web-сервера пакет XAMPP.

1. Главная ссылка к новости
2. OpenNews: Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования
3. OpenNews: Уязвимость php-fpm, позволяющая удалённо выполнить код на сервере
4. OpenNews: Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini
5. OpenNews: Локальная root-уязвимость в PHP-FPM
6. OpenNews: Уязвимость в Glibc, эксплуатируемая через скрипты на PHP

При включении защиты процесс sshd начинает отслеживать статус завершения дочерних процессов, определяя ситуации когда не прошла аутентификация или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение может указывать на попытки эксплуатации уязвимостей в sshd.

Через параметр PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize дополнительно можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP.

Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети, запросы разных пользователей из которой приходят с одинаковых IP из-за использования транслятора адресов или прокси.

1. Главная ссылка к новости
2. OpenNews: Проект OpenSSH разделяет sshd на несколько исполняемых файлов
3. OpenNews: Релиз OpenSSH 9.7
4. OpenNews: Terrapin - уязвимость в протоколе SSH, позволяющая снизить защиту соединения
5. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
6. OpenNews: Представлен SSH3, вариант протокола SSH, использующий HTTP/3

Утилита поддерживает анонимизацию данных на основе шаблонов и функций библиотеки Sprig. Nxs-data-anonymizer можно использовать через неименованные каналы (pipe) в командной строке для перенаправления дампа из исходной БД непосредственно в целевую БД с необходимыми преобразованиями. Есть возможность работать со значениями "null" через функцию в фильтрах. Реализована команда -l/--log-format, позволяющая выбрать формат логирования (json или plain). Процесс анонимизации может быть индексирован - через указанные промежутки выводятся данные о прогрессе выполнения операции. Благодаря внешним командам через добавление в значение столбца "type: command" можно задавать значение полей.

В новой версии добавлена функция, позволяющая активировать режим безопасной работы nxs-data-anonymizer, при котором все явно не описанные данные будут исключены из результирующего дампа. В зависимости от типа сущностей в настройках безопасности инструмент анонимизирует столбцы для таблиц с правилами, описанными в разделе filters. Если таблица не содержит никаких правил, данные все равно будут в безопасности, так как анонимайзер не включит их в результирующий дамп.

Оригинальная информация в колонках появится в выводе только в том случае, если в security.exceptions.tables будет указано имя таблицы. Таким образом, динамично развивающиеся проекты с часто изменяемой структурой БД будут защищены даже в случае, если разработчик забудет скорректировать файл конфигурации анонимайзера.

1. Главная ссылка к новости
2. OpenNews: Релиз инструмента для анонимизации баз данных nxs-data-anonymizer 1.4.0
3. OpenNews: Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций
4. OpenNews: PostgreSQL Anonymizer 0.6, расширение для анонимизации данных в СУБД
5. OpenNews: Вышел Datanymizer, анонимайзер чувствительных данных
6. OpenNews: В Chrome планируют реализовать режим скрытия IP-адреса пользователя

Tesseract включает в себя консольную утилиту и библиотеку libtesseract для встраивания функций распознавания текста в другие приложения. Из поддерживающих Tesseract сторонних GUI-интерфейсов можно отметить gImageReader, VietOCR и YAGF. Предлагается два движка распознавания: классический, распознающий текст на уровне шаблонов отдельных символов, и новый, базирующийся на применении системы машинного обучения на базе рекуррентной нейронной сети LSTM, оптимизированной для распознавания целиком строк и позволяющей добиться существенного увеличения точности. Готовые натренированные модели опубликованы для 123 языков. Для оптимизации производительности предлагаются модули, использующие OpenMP и SIMD-инструкции AVX2, AVX, AVX512F, NEON или SSE4.1.

Основные улучшения:

• Добавлена поддержка отрисовки и экспорта в формате PAGE-XML.
• Реализована возможность тренировки модели, используя файлы в формате PNG вместо файлов LSTMF.
• Улучшена отрисовка в формат PDF.
• Расширен API для определения наклона текста.
• Устранены проблемы с производительностью, выявленные при сканировании в системе Coverity.

1. Главная ссылка к новости
2. OpenNews: Релиз системы распознавания текста Tesseract 5.3.4
3. OpenNews: Новая версия оболочки для распознавания текста YAGF 0.9.4
4. OpenNews: Новая система оптического распознавания текста EasyOCR
5. OpenNews: В Firefox тестируют возможность распознавания текста на изображениях
6. OpenNews: Выпуск системы распознавания текста GNU Ocrad 0.29

В соответствии с новой политикой компании Red Hat репозиторий CentOS Stream является единственным публично доступным источником исходных текстов пакетов к Red Hat Enterprise Linux. CentOS Stream можно рассматривать как upstream-проект для RHEL, выступающий основой для его разработки. При помощи CentOS Stream сторонние участники из сообщества могут принять участие в разработке новой ветки RHEL, контролировать подготовку пакетов для RHEL, предлагать свои изменения и влиять на принимаемые решения.

До создания CentOS Stream в качестве основы для новой ветки RHEL использовался снапшот одного из выпусков Fedora, который дорабатывался и стабилизировался за закрытыми дверями, без возможности контролировать ход разработки и принимаемые решения. Новый процесс разработки подразумевает вынос ранее закрытого этапа подготовки RHEL в CentOS Stream - на основе снапшота Fedora при участии сообщества формируется новая ветка CentOS Stream, после готовности которой RHEL пересобирается на основе CentOS Stream.

1. Главная ссылка к новости
2. OpenNews: Изменения в подготовке промежуточных выпусков Red Hat Enterprise Linux
3. OpenNews: CentOS Stream станет единственным публичным источником кода пакетов RHEL
4. OpenNews: Анализ проблем с GPL у бизнес-модели Red Hat
5. OpenNews: Red Hat ответил на критику изменений в распространении кода пакетов RHEL
6. OpenNews: Red Hat объясняет трансформацию CentOS желанием сделать более открытой разработку RHEL

Базовое системное окружение не меняется в процессе работы (immutable) и обновляется в атомарном режиме с использованием заменяющих друг друга корневых разделов. В качестве источника получения обновлений используются более новые iso-образы, содержимое которых синхронизируется с базовым окружением при помощи zsync (размер загружаемых данных при обновлении составляет в среднем от 10 до 100 МБ). При появлении новой сборки iso-образа, на её основе в системе формируется вторая корневая ФС, которая при следующей перезагрузке становится рабочей корневой ФС, а старая остаётся для установки следующего обновления.

Для установки дистрибутива используется собственный бэкенд инсталлятора с интерфейсом на основе Jade-GUI из Crystal Linux. Поддерживается создание сценариев для тиражирования одинаковых установок на разных компьютерах - настройки рабочего стола, список развёрнутых контейнеров и перечень установленных в них пакетов могут быть сохранены в YAML-файле, который может быть импортирован на другой системе.

Новый выпуск примечателен переходом на декларативное описание начинки, размещаемое в одном файле "/system.yaml". Пользователь может определить в данном файле необходимые для установки поверх базовой системы пакеты, десктоп-окружения, версии ядра Linux и драйверы, доступные в репозитории Arch Linux. При этом атомарный характер базовой системы сохраняется, а все дополнительные пакеты расширяют его.

В отдельных контейнерах, активируемых через системный конфигуратор или инструментарий командной строки, могут быть установлены пакеты из репозиториев Fedora, Debian, CentOS Stream и Ubuntu. Попытка открытия пакетов в форматах DEB, RPM и APK также приводит к автоматическому созданию контейнера с необходимым для данного пакета дистрибутивом. При установке в разных контейнерах одинаковых приложений решение какой именно вариант приложения будет запущен принимается на основании выставленного приоритета.

Приложения из контейнеров интегрируются с основной системой, используя инструментарий, напоминающий Distrobox (первый выпуск blendOS представлял собой обёртку вокруг Distrobox, но затем она была заменена на свою редакцию инструментария, также использующую для управления контейнерами платформу Podman). Инструментарий выполняет монтирование домашнего каталога пользователя в контейнеры, настраивает доступ к серверу X11 и Wayland для выполнения из контейнера графических приложений, организует вывод звука и производит интеграцию на уровне D-Bus и udev.

Поддержка Android реализована при помощи пакета WayDroid, позволяющего в типовом Linux-дистрибутиве сформировать изолированное окружение для загрузки полного системного образа платформы Android. Запуск Android-приложений поддерживается только в графических окружениях на базе Walyand (GNOME и KDE Plasma).

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив blendOS 3, поддерживающий пакеты из других дистрибутивов
3. OpenNews: Выпуск атомарно обновляемого дистрибутива Endless OS 6.0
4. OpenNews: Первый стабильный выпуск дистрибутива Vanilla OS
5. OpenNews: Выпуск атомарно обновляемого дистрибутива carbonOS 2022.3
6. OpenNews: Выпуск Distrobox 1.7, инструментария для вложенного запуска дистрибутивов

Заметки могут размещаться в иерархическом виде с разбивкой на категории и группы. Функциональность приложения расширяется через плагины, например, доступны плагины для связывания разных заметок, подсветки синтаксиса, быстрой вставки emoji и создания диаграмм с использованием разметки PlantUML. Стиль предпросмотра текста в формате Markdown может изменяться пользователем при помощи тем оформления, использующих CSS.

1. Главная ссылка к новости
2. OpenNews: Выпуск новой версии программы для ведения заметок OutWiker 3.2
3. OpenNews: Открыт код платформы для ведения заметок Notesnook, конкурирующей с Evernote
4. OpenNews: GNote - попытка переписать программу для ведения заметок TomBoy на C++

Проектом MariaDB развивается ответвление от MySQL, сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с открытым и прозрачным процессом разработки, не зависящим от отдельных производителей. MariaDB поставляется вместо MySQL во многих дистрибутивах Linux (RHEL, SUSE, Fedora, openSUSE, Slackware, OpenMandriva, ROSA, Arch Linux, Debian) и внедрён в таких крупных проектах, как Wikipedia, Google Cloud SQL и Nimbuzz.

Среди изменений в ветке MariaDB 11.4 по сравнению с прошлым LTS-выпуском 10.11:

• Значительно улучшен оптимизатор запросов, переведённый на новую весовую модель (cost model), обеспечивающую более точное предсказание весов каждого плана выполнения запроса. Ранее используемая модель хорошо подходила для нахождения оптимального индекса, но имела проблемы с применимостью операций сканирования таблицы, сканирования индекса или выборки по диапазонам. В новой модели данный недостаток устранён за счёт изменения базового веса операций, связанных с движком хранения. Например, для операций с хранилищем, таких как последовательное сканирование записей, теперь предполагается, что данные хранятся на быстром SSD-накопителе. Дополнительно проведён тюнинг и других весовых параметров оптимизатора, что, например, позволило реализовать возможность использования индексов для операций "ORDER BY/GROUP BY" в подзапросах и ускорить работу с очень маленькими таблицами.
• Значительно ускорена обработка подзапрсов в выражениях UPDATE и DELETE, ограниченных одной таблицей.
• Обеспечено использование индексов в запросах, в которых функции DATE и YEAR сравниваются с константой, например, "SELECT * FROM t2 WHERE YEAR(a) = 2024" или "SELECT * FROM t2 WHERE DATE(a) <= '2024-06-06'", а также в запросах с функцией UCASE(varchar_col). Для оптимизации функций MIN() и MAX() реализована возможность использования индексов, сгруппированных в режиме "DESC".
• На сервере и клиенте по умолчанию включено обязательное SSL-шифрование обмена данными. Поддержка шифрования не требует настройки, так как задействован самоподписанный сертификат. Клиент может верифицировать самоподписанный серверный сертификат при использовании настройки mysql_native_password или аутентификации на основе ed25519. В клиент также добавлены опции "--tls-fp" и "--tls-fplist" для ручной оценки сертификата по его наглядному слепку. Для отключения шифрования и проверки сертификата предусмотрены опции "--disable-ssl" и "--disable-ssl-verify-server-cert".
• В операции "ALTER TABLE … EXCHANGE PARTITION" и "ALTER TABLE … CONVERT TABLE … TO" добавлена поддержка выражений "WITH VALIDATION" и "WITHOUT VALIDATION".
• Добавлено новое системное представление "sys.privileges_by_table_by_level", показывающее привилегии текущего пользователя в привязке к таблицам.
• Добавлена переменная redirect_url, реализующая возможность перенаправления клиента на другой сервер (например, для балансировки нагрузки или в процессе миграции инфраструктуры).
• Добавлена поддержка приведения типов INET4 к типам INET6, что позволяет, например, сравнивать значения INET4 и INET6, а также сохранять значения INET4 в столбцах с типом INET6.
• Добавлена новая привилегия "SHOW CREATE ROUTINE", позволяющая просматривать определения чужих подпрограмм.
• В движке InnoDB реализована переменная "innodb_truncate_temporary_tablespace_now", включающая возможность усечения файлов (shrink) временных таблиц без перезапуска. При запуске обеспечено возвращение места на диске, которое перестало использоваться в системных таблицах.
• Добавлены новые JSON-функции JSON_OBJECT_FILTER_KEYS, JSON_OBJECT_TO_ARRAY, JSON_SCHEMA_VALID и JSON_ARRAY_INTERSEC.
• В движок хранения Spider, реализующий систему шардинга, позволяющую разносить большие таблицы на несколько серверов, добавлена поддержка определения параметров в специальной таблице "options", вместо их кодирования в строках COMMENT/CONNECTION.
• Добавлена функция KDF для генерации ключей шифрования для AES_ENCRYPT.
• Добавлена функция FORMAT_PICO_TIME для наглядного представления времени, заданного с пикосекундной точностью.
• Повышена скорость записи лога за счёт выноса операции вычисления контрольных сумм за пределы кода, для которого выставляется глобальная блокировка.
• Добавлена системная переменная max_binlog_total_size, определяющая размер, при достижении которого бинарный лог будет очищен. Также добавлена переменная slave_connections_needed_for_purge, приостанавливающая очистку бинарного лога до достижения определённого числа соединений от slave-серверов.
• Добавлен новый режим формирования содержимого бинарного лога, включаемый через переменную binlog_row_image, - FULL_NODUP, который отличается от режима FULL исключением дубликатов данных (включаются только столбцы, изменившиеся при выполнении операции UPDATE). Новый режим также поддерживается в команде "mariadb-binlog --flashback".
• В утилиту mariadb-dump добавлена опция "-j" ("--parallel") для установки числа параллельно выполняемых работ по сбросу дампов таблиц. В утилиту mariadb-import добавлена опций "--use-threads" с аналогичным назначением.
• Добавлена возможность использования пакетов (CREATE PACKAGE) вне режима совместимости с ORACLE.
• В функциях AES_ENCRYPT() и AES_DECRYPT() добавлена поддержка указания вектора инициализации и выбора алгоритма шифрования.
• В утилите mariadb-dump реализовано добавление команды "sandbox" в начало каждого файла с дампом БД. Команда "sandbox" включает режим изоляции, в котором до завершения сеанса с СУБД отключается обработка команд интерактивной оболочки.

1. Главная ссылка к новости
2. OpenNews: Доступна СУБД MySQL 8.4.0 LTS
3. OpenNews: Стабильный релиз СУБД MySQL 8.0
4. OpenNews: MariaDB существенно меняет график выпусков
5. OpenNews: Представлена новая значительная ветка СУБД MariaDB 11
6. OpenNews: Стабильный выпуск СУБД MariaDB 10.11

Уязвимости в libaom присвоен максимальный уровень опасности (10 из 10), подразумевающий возможность эксплуатации при обработке в приложениях, использующих данную библиотеку, специально оформленного контента. В libvpx уровень опасности выставлен в 5.9 из 10, что соответствует ограниченным условиям эксплуатации. Основная опасность уязвимостей в libaom и libvpx вызвана тем, что эти библиотеки используется в web-браузерах, медиапроигрывателях и сервисах, осуществляющих перекодирование видео.

Уязвимость проявляется в libaom при вызове функций aom_img_alloc(), aom_img_wrap() или om_img_alloc_with_border() с большими значениями в параметрах d_w, d_h и align, которые приводят к целочисленному переполнению при расчёте смещений и размеров буферов. Аналогичное переполнение возникает в функциях vpx_img_alloc() и vpx_img_wrap(). Указанные функции используется при кодировании видео.

Наибольшую опасность уязвимость представляет из-за потенциально возможности атаки на браузеры, в которых прошлые похожие уязвимости могли быть эксплуатированы через открытие в браузере специально оформленной страницы, вызывающей JavaScript-функции для кодирования видео, или через манипуляции с WebRTC. По заявлению представителей Google уязвимость не затрагивает движок Chromium, так как в функции aom_img_alloc(), aom_img_wrap(), vpx_img_alloc() и vpx_img_wrap() передавались только проверенные значения аргументов d_w и d_h. В Firefox для декодирования AV1 используется библиотека dav1d, но для кодирования применяется libaom. Подвержен ли Firefox проблеме пока не ясно, так как информация о том, как уязвимость затрагивает конкретные продукты, пока не опубликована.

1. Главная ссылка к новости
2. OpenNews: 0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8
3. OpenNews: Увидел свет первый выпуск открытого видеокодека нового поколения AV1
4. OpenNews: Разработчики кодека AV1 представили формат IAMF для объёмного звука
5. OpenNews: Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP
6. OpenNews: Уязвимость в libcue, приводящая к выполнению кода при загрузке файлов в GNOME

В отличие от использования систем виртуализации, технология VAD не расходует ресурсы локальной системы (при выполнении Windows-приложений не требует запуска полноценного окружения Windows в виртуальной машине) и основывается на трансляции ввода и вывода по сети, обеспечивая при этом бесшовную интеграцию запускаемого в облаке приложения с текущим пользовательским окружением. Например, на пользовательских системах с ChromeOS для облачных приложений реализована интеграция с локальной файловой системой и буфером обмена, ввод и вывод транслируется через браузер, а само виртуальное приложение доставляется как PWA (Progressive Web App).

На стороне облачного сервиса создаётся общее окружение, в котором изолированно могут выполняться отдельные Windows- или Linux-приложения. Подобный подход упрощает администрирование инфраструктуры и позволяет пользователю получить доступ к своим приложениям с любых устройств, используя браузер.

1. Главная ссылка к новости
2. OpenNews: Выпуск Chrome OS 125 с новыми AI-инструментами
3. OpenNews: Релиз LTSP 5.2, пакета для организации работы тонких клиентов
4. OpenNews: Увидел свет Linux-дистрибутив Thinstation 5.0
5. OpenNews: Открыт код BrowserBox Pro, платформы для удалённой изоляции браузера
6. OpenNews: Представлен Raspberry Pi Connect, сервис для подключения к Raspberry Pi OS из браузера

xHE-AAC используется в потоковом вещании Netflix и задействован в технологиях цифрового радиовещания Digital Radio Mondiale. Кодек примечателен поддержкой широкого диапазона битрейта (от 12 до 300 kbit/s), высокой степенью сжатия, средствами воспроизведения с постоянной громкостью, обеспечением высокой чёткости при любых уровнях громкости, дополнительными профилями управления динамическим диапазоном при прослушивании в шумных местах и добавлением метаданных, позволяющих восстанавливать потери на принимающей стороне.

1. Главная ссылка к новости
2. OpenNews: Основатель QEMU и FFmpeg опубликовал звуковой кодек TSAC
3. OpenNews: Выпуск мультимедиа-пакета FFmpeg 7.0
4. OpenNews: Выпуск dav1d 1.0, декодировщика AV1 от проектов VideoLAN и FFmpeg
5. OpenNews: Звуковому кодеку FLAC присвоен статус предложенного стандарта
6. OpenNews: Доступен аудиокодек Opus 1.5

Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов. В комплект входит коллекция эксплоитов и около 400 специализированных утилит для проверки безопасности, таких как Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap, p0f. Помимо этого, в дистрибутив включены средства для ускорения подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit) через задействование технологий CUDA и AMD Stream, позволяющих использовать GPU видеокарт NVIDIA и AMD для выполнения вычислительных операций.

В новом выпуске:

• Для решения проблемы 2038 года пакеты для 32-разрядных архитектур armhf и armel переведены на использование 64-разрядного типа time_t.
• Пользовательское окружение обновлено до GNOME 46.
• Обновлена реализация основанного на Xfce режима "Kali Undercover", симулирующего оформление Windows, чтобы не вызывать подозрений при работе с Kali в публичных местах. Улучшена работа Xfce на экранах с высокой плотностью пикселей.
• В состав включены 18 новых утилит:
  • autorecon - инструмент для определения доступных в сети сервисов в многопоточном режиме.
  • coercer - проверка Windows-сервера, используя 12 методов аутентификации.
  • dploot - аналог SharpDPAPI, написанный на Python.
  • getsploit - утилита для поиска и загрузки эксплоитов.
  • gowitness - создание скриншотов сайтов, используя движок Chrome.
  • horst - анализатор беспроводных сетей.
  • ligolo-ng - утилита для туннелинга трафика.
  • mitm6 - реализация атаки на Windows, используя DHCPv6.
  • netexec - инструментарий для автоматизации атак на крупные сети.
  • pspy - отслеживание активности процессов в Linux без необходимости наличия прав root.
  • pyinstaller - преобразование Python-программ в обособленные исполняемые файлы.
  • pyinstxtractor - PyInstalller Extractor.
  • sharpshooter - Payload Generation Framework.
  • sickle - утилита для разработки Payload.
  • snort - система предотвращения атак.
  • sploitscan - поиск информации по CVE-идентификатору.
  • vopono - запуск приложений в отдельном пространстве имён сетевого стека с направлением трафика через туннель.
  • waybackpy - библиотека и CLI для обращения к API сервисов сохранения страниц SavePageNow и CDX.
• Добавлена возможность запуска утилиты nmap в режиме стелс-сканирования с использованием TCP SYN ("nmap -sS") без прав root.
• Обновлено окружение для мобильных устройств на базе платформы Android - NetHunter, с подборкой инструментов для тестирования систем на наличие уязвимостей. При помощи NetHunter возможна проверка осуществления атак, специфичных для мобильных устройств, например, через эмуляцию работы USB-устройств (BadUSB и HID Keyboard - эмуляция сетевого USB-адаптера, который может использоваться для MITM-атак, или USB-клавиатуры, выполняющей подстановку символов) и создание подставных точек доступа (MANA Evil Access Point). NetHunter устанавливается в штатное окружение платформы Android в форме chroot-образа, в котором выполняется специально адаптированный вариант Kali Linux. В новой версии добавлена поддержка платформы Android 14, реализован загрузчик модулей, улучшено управление правами доступа, реализована поддержка устройств Huawei P9 с LineageOS 16, Nothing Phone 1 c Android 12/13/14 и Poco F3 с Android 14.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива для исследования безопасности Kali Linux 2023.3
3. OpenNews: Выпуск BlackArch 2020.06.01, дистрибутива для тестирования безопасности
4. OpenNews: Выпуск BackBox Linux 8.1, дистрибутива для тестирования безопасности
5. OpenNews: Выпуск дистрибутивов для исследователей безопасности Parrot 6.0 и Gnoppix 24