Open News

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8.

Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset.

Представлен выпуск сборочного инструментария Qbs 2.0. Для сборки Qbs в числе зависимостей требуется Qt, хотя сам Qbs рассчитан на организацию сборки любых проектов. Qbs использует упрощённый вариант языка QML для определения сценариев сборки проекта, что позволяет определять достаточно гибкие правила сборки, в которых могут подключаться внешние модули, использоваться функции на JavaScript и создаваться произвольные правила сборки.

Опубликован релиз свободного редактора звука Audacity 3.3, предоставляющего средства для редактирования звуковых файлов (Ogg Vorbis, FLAC, MP3 и WAV), записи и оцифровки звука, изменения параметров звукового файла, наложения треков и применения эффектов (например, подавление шума, изменение темпа и тона). Audacity 3.3 стал третьим значительный выпуском, сформированным после перехода проекта в руки компании Muse Group. Код Audacity распространяется под лицензией GPLv3, бинарные сборки доступны для Linux, Windows и macOS.

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.3. Среди наиболее заметных изменений: чистка устаревших ARM-платформ и графических драйверов, продолжение интеграции поддержки языка Rust, утилита hwnoise, поддержка древовидных структур red-black в BPF, режим BIG TCP для IPv4, встроенный тест производительности Dhrystone, возможность запрета исполнения в memfd, поддержка создания HID-драйверов, используя BPF, в Btrfs приняты изменения для уменьшения фрагментации групп блоков.

В репозитории Python-пакетов PyPI (Python Package Index) предоставлена возможность использования нового защищённого метода публикации пакетов, позволяющего обойтись без сохранения на внешних системах (например, в GitHub Actions) фиксированных паролей и токенов доступа к API. Новый метод аутентификации получил название 'Trusted Publishers' и призван решить проблему с публикацией вредоносных обновлений, осуществляемых в результате компрометации внешних систем и попадания в руки злоумышленников предопределённых паролей или токенов.

После четырёх с половиной лет разработки опубликован первый выпуск новой стабильной ветки программы для управления коллекцией фотографий Shotwell 0.32.0, которая предоставляет удобные возможности каталогизации и навигации по коллекции, поддерживает группировку по времени и тегам, предоставляет инструменты для импорта и конвертации новых фотографий, поддерживает выполнение типовых операций по обработке изображений (вращение, устранение эффекта красных глаз, корректировка экспозиции, оптимизация цветности и т.п.), содержит средства для публикации в социальных сетях, таких как Google Photos, Flickr и MediaGoblin. Программа написана на языке Vala, использует библиотеки GNOME и распространяется под лицензией LGPLv2.1.

Представлено апрельское сводное обновление приложений (23.04), развиваемых проектом KDE. Напомним, что сводный набор приложений KDE c апреля 2021 года публикуется под именем KDE Gear, вместо KDE Apps и KDE Applications. Всего в рамках обновления опубликованы выпуски 546 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице.

Организация Xiph.Org, занимающаяся разработкой свободных видео- и аудиокодеков, представила релиз аудиокодека Opus 1.4.0, обеспечивающего высокое качество кодирования и минимальную задержку как при сжатии потокового звука с высоким битрейтом, так и при сжатии голоса в ограниченных по пропускной способности приложениях VoIP-телефонии. Эталонные реализации кодировщика и декодировщика распространяются под лицензией BSD. Полные спецификации формата Opus общедоступны, бесплатны и утверждены в качестве интернет-стандарта (RFC 6716).

Опубликован релиз дистрибутива Ubuntu 23.04 "Lunar Lobster", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев (поддержка будет осуществляться до января 2024 года). Установочные образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu, UbuntuKylin (редакция для Китая), Ubuntu Unity, Edubuntu и Ubuntu Cinnamon.

Представлен выпуск мобильной платформы /e/OS 1.10, нацеленной на сохранение конфиденциальности пользовательских данных. Платформа основана Гаэлем Дювалем (Gaël Duval), создателем дистрибутива Mandrake Linux. Проект предоставляет прошивки для многих популярных моделей смартфонов, а также под брендами Murena One, Murena Fairphone 3+/4 и Murena Galaxy S9 предлагает редакции смартфонов OnePlus One, Fairphone 3+/4 и Samsung Galaxy S9 с предустановленной прошивкой /e/OS. Всего официально поддерживается 227 смартфонов.

Компания Amazon представила криптографическую библиотеку aws-lc-rs, предназначенную для использования в приложениях на языке Rust и совместимую на уровне API с Rust-библиотекой ring. Код проекта распространяется под лицензиями Apache 2.0 и ISC. Библиотека поддерживает работу на платформах Linux (x86, x86-64, aarch64) и macOS (x86-64).

Представлен релиз проекта QEMU 8.0. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к аппаратной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM.

Состоялся релиз Node.js 20.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 20.0 отнесён к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Поддержка Node.js 20.x будет осуществляться до 30 апреля 2026 года. Сопровождение прошлой LTS-ветки Node.js 18.x продлится до апреля 2025 года, а позапрошлой LTS-ветки 16.x до сентября 2023 года. Сопровождение LTS-ветки 14.x будет прекращено 30 апреля, а промежуточной ветки Node.js 19.x - 1 июня.

Представлен релиз дистрибутива Fedora Linux 38. Для загрузки подготовлены продукты Fedora Workstation, Fedora Server, Fedora CoreOS, Fedora Cloud Base, Fedora IoT Edition и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE, Phosh, LXQt, Budgie и Sway. Сборки сформированы для архитектур x86_64, Power64 и ARM64 (AArch64). Публикация сборок Fedora Silverblue задерживается.

Представлен совместный проект RedPajama, нацеленный на создание открытых моделей машинного обучения и сопутствующих исходных данных для тренировки, которые могут использоваться для создания интеллектуальных помощников, конкурирующих c коммерческими продуктами, такими как ChatGPT. Предполагается, что наличие открытых исходных данных и крупных языковых моделей избавит от ограничений независимые команды, занимающихся исследованиями в области машинного обучения, и упростит создание специализированных диалоговых систем. К работе над проектом присоединились таки организации и сообщества, как Together, Ontocord.ai, ETH DS3Lab, Stanford CRFM, Hazy Research и MILA Québec AI Institute.

После почти трёх лет с момента формирования прошлой ветки состоялся релиз программы для управления коллекцией фотографий digiKam 8.0.0, развиваемой в рамках проекта KDE. Программа предоставляет исчерпывающий набор инструментов для импорта, управления, редактирования и публикации фотографий, а также изображений с цифровых камер в формате raw. Код написан на языке C++ с использованием Qt и библиотек KDE, и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для Linux (AppImage, FlatPak), Windows и macOS.

Компания Valve опубликовала выпуск проекта Proton 8.0, который основан на кодовой базе проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD.

После 14 месяцев разработки состоялся релиз новой стабильной ветки почтового сервера Postfix - 3.8.0. В то же время объявлено о прекращении поддержки ветки Postfix 3.4, выпущенной в начале 2019 года. Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря продуманной архитектуре и достаточно жёсткой политике оформления кода и аудита патчей. Код проекта распространяется под лицензиями EPL 2.0 (Eclipse Public license) и IPL 1.0 (IBM Public License).

В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.