Hunter Wittenborn представил свой проект Debian User Repository. DUR это аналог репозитория AUR (Arch User Repository) для Debian, позволяющий разным людям распространять свои пакеты без включения в основные репозитории Debian. Как и в AUR метаданные и инструкции сборки пакетов в DUR определяются с использованием PKGBUILD. Для того, чтобы собрать такой пакет, нужно воспользоваться утилитой makedeb (аналог утилиты makepkg из Arch Linux). Также, имеется утилита mpm с помощью который можно производить различные манипуляции (загрузка, распаковка) с уже готовыми пакетами из AUR и репозиториев Arch Linux, а утилита makedeb-db поможет с заменой специфических зависимостей. Таким образом, пользователь дистрибутива Debian может легко скачивать и устанавливать пакеты из AUR.

DUR использует систему рейтинга, основанную на голосовании пользователей, специальные метки от проверенных участников, а также цифровые подписи разработчиков, все это в сумме должно уменьшить шанс появления недоброкачественного контента.

Количество пакетов в DUR на момент публикации: 4

DUR является личным проектом и не является официальным подпроектом Debian.

arch linux, aur, debian, dur

http://feedproxy.google.com/~r/org/LOR/~3/sA5e1V_UW4Y/16388776

Представлен релиз Linux4Yourself 1.0.0 или “Linux для себя” – первый выпуск самостоятельного русскоязычного ответвления Linux From Scratch. Linux для себя – книга, в которой рассказывается о сборке дистрибутива Linux с нуля полностью из исходных кодов необходимого ПО.

На выбор пользователя предлагается использование multilib системы (опционально), поддержка EFI и небольшой набор дополнительного программного обеспечения для организации более комфортной работы и настройки минимальной системы до пригодного состояния. Кроме того, готовится к выходу расширенное руководство, в котором содержится информация о настройке окружения рабочего стола и программного обеспечения, охватывающего различные области применения.

В ближайших планах проекта – создание руководства по сборке встраиваемой системы на базе BusyBox и библиотеки musl, а так же использование LiveCD.

Все исходные тексты проекта доступны на GitHub под лицензией MIT.

( читать дальше... )

На данный момент был подготовлен релиз Core-книги, в которой предоставляются сведенья о компиляции базовой системы, релиз Extra-книги будет доступен позже. В Extra представлены инструкции по сборке дополнительного ПО, например, Xorg, DE, браузеров и пр.

>>> Официальный сайт

>>> Почта

documentation, lfs, linux, lx4u

http://feedproxy.google.com/~r/org/LOR/~3/3FiRO3jmP1M/16384915

В каталоге Python Package Index нашли несколько пакетов со скрытыми майнерами. Проблемы были в пакетах maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib и learninglib, имена которых были придуманы в честь самого себя, а также похожими по написанию на популярные библиотеки (matplotlib) с расчётом, что пользователь ошибётся при написании или попросту перепутает название пакета и не заметит отличий. Пакеты были размещены в апреле под учётной записью nedog123 (другие подписи/ники: Marat Nedogimov и maratoff).

Вот небольшая статистика скачиваний за два месяца:

• maratlib: 2,371
• maratlib1: 379
• matplatlib-plus: 913
• mllearnlib: 305
• mplatlib: 318
• learninglib: 626

Суммарно выходит около 5000 раз, но учитывая зависимости речь скорее идёт о 2500 загрузках.

Вредоносный код был размещён в библиотеке maratlib, которая использовалась в остальных пакетах в форме зависимости. Сам код был скрыт с использованием самописной обфускации, не определяемой типовыми утилитами, и запускался при выполнении сборочного скрипта setup.py, который выполняется во время установки пакета. Далее с GitHub скачивался один из скриптов seo.sh, aza.sh, aza2.sh или aza-obf.sh, который уже загружал сам майнер Ubqminer или T-Rex.

pypi, python, vulnerabilities, криптовалюта, майнинг

http://feedproxy.google.com/~r/org/LOR/~3/oujfDxjXuNI/16384879

Бета-версия поисковика доступна по адресу search.brave.com. Поисковик не отслеживает действия пользователей, а также тесно интегрирован с браузером Brave. Поисковик построен на технологиях системы Cliqz, закрытой в прошлом году и впоследствии купленной Brave.

Пользователи могут полностью контролировать передаваемые сведения, которые не привязываются к сеансам с поисковиком. При построении поискового индекса система учитывает обезличенные данные пользователей. Для всех взаимодействий с поисковиком обеспечена конфиденциальность.

Для отсеивания результатов доступны фильтры на языке GOGGLES.

brave, поисковик, поисковый движок

http://feedproxy.google.com/~r/org/LOR/~3/GMqntz_yHLY/16382765

Стоимость сделки могла составлять 3–6 млрд рублей, полагают эксперты.

Покупка была проведена в начале июня через допэмиссию акций, пишет «Коммерсантъ» со ссылкой на представителей «Байкал электроникс» и группы компаний «Вартон», в которой 80% принадлежат Денису Фролову. Стороны не раскрывают деталей сделки и новую структуру собственников.

Источник «Ъ», знакомый с ходом переговоров, сообщил, что «Вартон» получил более 70% акций «Байкал электроникс». Издание приводит данные «СПАРК-Интерфакс» о том, что в ходе допэмиссии уставный капитал компании в апреле вырос в 45 раз, с 7,7 млн до 346 млн рублей.

Гендиректор «Норси-Транс» Сергей Овчинников отмечает, что на цену сделки повлияли и требования Минпромторга об использовании отечественных процессоров в серверах и системах хранения данных для госсектора. На этом фоне из-за потенциального высокого спроса стоимость бизнеса могла составить 3–6 млрд рублей, полагает гендиректор группы Т1 Сергей Соловьев.

«Байкал электроникс» основана в 2012 году и занимается разработкой процессоров на архитектуре ARM и MIPS. По данным «Ъ», в 2020 году выручка «Байкал электроникс» составила 13,8 млн рублей при убытке 498 млн рублей.

astra linux, russia, байкал, россия

http://feedproxy.google.com/~r/org/LOR/~3/KWcT_S0fRdw/16379523

Состоялся релиз дистрибутива Rocky Linux 8.4, который стремится занять место классического CentOS, после того как компания Red Hat прекратила поддержку CentOS 8 в 2021 году, а не в 2029, как изначально планировалось. Это первый стабильный релиз проекта, признанный готовым для рабочих внедрений.

Rocky Linux поставляется для архитектур x86_64 и aarch64, а также является полностью бинарно совместимым с RHEL 8.4. Как и в CentOS внесённые в пакеты изменения сводятся к избавлению от привязки к бренду Red Hat. Проект развивается под руководством основателя CentOS Грегори Курцера.

centos, redhat, rhel

http://feedproxy.google.com/~r/org/LOR/~3/YgbrXSu9PHc/16380792

Недавно выявленная уязвимость в ядре Linux (CVE-2021-3609) позволяет получить root-права рядом махинаций, связанных с сетевым протоколом CAN (controller area network) BCM. Затрагивает версии с 2.6.25 до mainline 5.13-rc6 включительно.

Исследователь, выявивший уязвимость, подготовил эксплоит, действующий на ядра версий >=5.4.

( читать дальше... )

>>> Новость на OpenNet

can, network, root

http://feedproxy.google.com/~r/org/LOR/~3/DGRS2WohNqg/16378825

WARP представляет собой cli-приложение, объединяющее в себе DNS-резолвер (использующий сервер 1.1.1.1), VPN и прокси для перенаправления трафика через инфраструктуру CDN Cloudflare. В качестве протокола VPN используется BoringTun – реализация WireGuard на Rust, целиком работающая в пространстве пользователя.

При использовании WARP, если сайт обслуживается в Cloudflare, то обращение к нему через WARP позволит загружать контент гораздо быстрее, чем через сеть провайдера.

Также можно включить только DNS over HTTPS или прокси.

Готовые пакеты предоставлены для Ubuntu (16.04, 20.04), Debian (9, 10, 11), Red Hat Enterprise Linux (7, 8) и CentOS.

cloudflare, vpn, warp

http://feedproxy.google.com/~r/org/LOR/~3/VYFl2qgltEE/16378589

Вышла новая версия web-браузера Min 1.20, который делает основной упор на минималистичность интерфейса (последний, к слову, написан на JavaScript, CSS и HTML). Браузер построен на платформе Electron и его код распространяется под лицензией Apache 2.0.

( читать дальше... )

browser, chromium, electron, node.js, браузер

http://feedproxy.google.com/~r/org/LOR/~3/ykWCdIshke8/16378463

В проекте glibc предлагается сделать подписание CLA-соглашения с FSF необязательным и предоставить разработчикам возможность подтверждения права на передачу кода проекту с помощью Developer Certificate of Origin (DCO). В соответствии с DCO отслеживание автора осуществляется через добавление к каждому изменению строки "Signed-off-by:" с именем и адресом электронной почты разработчика. Добавляя эту строку к патчу, разработчик подтверждает своё авторство над передаваемым кодом и соглашается с его распространением в составе проекта.

Данное решение выставлено на обсуждение со всеми представителями сообщества.

fsf, glibc, спо

http://feedproxy.google.com/~r/org/LOR/~3/X5EeOX1w8S0/16378239

Компания оплатит год работы Мигеля Охеда (Miguel Ojeda) над его проектом Rust for Linux. Работа будет вестись в рамках проекта Prossimo под эгидой организации ISRG (Internet Security Research Group) — учредителя проекта Let's Encrypt.

По данным Microsoft около 70% всех уязвимостей, описанных в CVE, вызваны небезопасной работой с памятью. Написание на Rust таких компонентов, как драйверы устройств, может снизить риск появления уязвимостей.

google, rust, ядро

http://feedproxy.google.com/~r/org/LOR/~3/hUuvNgYBBQE/16377200

Состоялся выпуск свободной встраиваемой СУБД SQLite версии 3.36.0.

Основные изменения:

• Вывод команды EXPLAIN QUERY PLAN стал более понятным.
• BOM в начале токена теперь трактуется как пробел (пропускается).
• Доступа к rowid (идентификатору строки) в представлении (VIEW) или подзапросе теперь приводит к ошибке. Раньше такой идентификатор строки был неопределённым и часто имел значение NULL. Использование опции компиляции -DSQLITE_ALLOW_ROWID_IN_VIEW возвращает прежнее поведение.
• Интерфейсы sqlite3_deserialize() и sqlite3_serialize() теперь включены по умолчанию. Опция компиляции -DSQLITE_ENABLE_DESERIALIZE утратила свою актуальность и была заменена опцией компиляции -DSQLITE_OMIT_DESERIALIZE, отключающей вышеупомянутые интерфейсы.
• Виртуальная ФС "memdb" теперь поддерживает совместное использование базы данных, хранящейся в памяти, несколькими соединениями в одном процессе, если имя базы данных начинается с "/".
• Прекращено использование оптимизации EXISTS-to-IN в связи с тем, что она чаще замедляла запросы чем делала их быстрее.
• Оптимизация constant-propagation теперь работать с запросами без объединения (non-join queries).
• Расширение REGEXP теперь включено в CLI-сборки.

Код СУБД SQLite распространяется на условиях общественного достояния.

sql, sqlite3

http://feedproxy.google.com/~r/org/LOR/~3/Kw9y_sGN0uI/16376930

В соответствии с регламентом реагирования на угрозы обхода ограничений доступа к детской порнографии, суицидальному, пронаркотическому и иному запрещённому контенту с 17 июня 2021 года вводятся ограничения на использование VPN-сервисов VyprVPN и Opera VPN.

Данные VPN-сервисы отнесены к угрозам в соответствии с Постановлением Правительства РФ от 12 февраля №127.

Ограничения не затронут российские компании, использующие VPN-сервисы в непрерывных технологических процессах.

В "белые списки" включены более 200 технологических процессов 130 российских компаний.

В соответствии с регламентом компании были проинформированы о возможности включения в "белые списки" 14 мая 2021 года.

В случае поступления новых запросов, после проведения проверки, "белые списки" могут быть оперативно дополнены.

russian, vpn, роскомнадзор, россия

http://feedproxy.google.com/~r/org/LOR/~3/mqmaAbbEhxk/16374186

Главный разработчик проекта эмулятора ранних платформ Intel x86 (1980-1990е гг.), Сара Уолкер (Sarah Walker), покинула РСем и удалила всё содержимое форума на сайте проекта.

Желающие продолжить разработку проекта и взять под свою ответственность репозиторий на GitHub могут связаться с автором.

В качестве альтернативы сообщество предлагает использовать форк - 86Boх.

games, pcem, voodoo

http://feedproxy.google.com/~r/org/LOR/~3/SaC4-H4JFG0/16373763

Состоялся релиз Alpine linux 3.14 (магическое Пи), построенного на базе системной библиотеки Musl и набора утилит BusyBox.

Alpine Linux был разработан с учетом требований безопасности. Все двоичные файлы пользовательского уровня компилируются как независимые от позиции исполняемые файлы PIE (Position Independent Executables) и собраны с защитой SSP (Stack Smashing Protection).

В качестве системы инициализации используется OpenRC.

В новом выпуске:

• HAProxy 2.4.0
• KDE 21.04.2
• nginx 1.20.0 and njs 0.5.3
• Node.js 14.17.0
• Plasma 5.22.0
• PostgreSQL 13.3
• Python 3.9.5 (плюс перестроены все модули на Python 3.9)
• R 4.1.0
• QEMU 6.0.0
• XEN 4.15.0
• Zabbix 5.4.1
• NPM переведён в отдельный пакет

Xorg переведёна на xf86-input-evdev или xf86-input-libinput (xf86-input-{mouse,keyboard} удалены), добавлена поддержка PAM в OpenSSH.
Обновлены пакеты Linux-firmware на более свежие версии (05.2021)

3.14, alpine, musl

http://feedproxy.google.com/~r/org/LOR/~3/I6NWyK19Ntw/16372213

ООО «РК Цифра», дочернее предприятие ГК «Роскосмос», презентовало серию продуктов для виртуальной реальности собственной разработки. Продуктовая линейка состоит из шлема виртуальной реальности, этого же шлема с двумя контролёрами и базовыми станциями в комплекте и отдельно датчиков позиционирования.

Заявлена совместимость оборудования с операционными системами Astra Linux (SE) 1.6, Windows 10 и возможность работы в режиме Steam VR. Возможность работы Steam на ОС Astra Linux (SE) 1.6 не уточняется.

Помимо оборудования, представлены SDK для разработки ПО «РОСКОСМОС ХR» и «ЮНИДЖАЙН SIM2 VR» на C++, а так же перечень уже разработанного совместимого ПО:

• КПК ДМК ВР «КОММУНИКАЦИЯ» – кроссплатформенный программный комплекс дистанционной многопользовательской (выставочной, научной, просветительской…) коммуникации в виртуальной реальности.
• ИР ВР «ДЕНЬ Ю.А. ГАГАРИНА ВР» – историческая реконструкция в виртуальной реальности о первом полёте в космос Ю.А. Гагарина.
• НК ПК МП ДР «ОТКРЫТЫЙ КОСМОС» – навигационно-космический программный комплекс для мобильных платформ с использованием дополненной реальности. ПК ПГЕОИ ДЗЗ ВР «АТЛАС ВР» (АО «ТерраТех») – программный комплекс представления гео-пространственной информации на фоне данных дистанционного зондирования планеты «Земля»в виртуальной реальности.
• ПК ДМК ВУККС ВР «ВР КОНЦЕПТ» (АО «ВР Концепт») – программный комплекс дистанционной многопользовательской коммуникации выявления конструктивной конфликтной ситуации в виртуальной реальности.
• КПК РИЭК ВР «Тефлекс ВР» (АО «Топ Систем») – программный комплекс режима изучения эргономики конструкции в виртуальной реальности.

steam, vr, роскосмос

http://feedproxy.google.com/~r/org/LOR/~3/gtX-GwiF6_E/16372689

WriteFreely — свободная, децентрализованная платформа для ведения блогов, поддерживающая протокол ActivityPub для построения федеративной сети.

Классический редактор

Теперь поддерживается создание публикаций, используя Классический редактор, который имеет WYSIWYG-похожий интерфейс. Это поможет тем людям, которые не знают язык разметки Markdown. Тем не менее посты, даже если они были созданы при помощи нового редактора, всё ещё будут сохранены с использованием Markdown-разметки.

( читать дальше... )

activitypub, federated network

http://feedproxy.google.com/~r/org/LOR/~3/o6jYphTIS7E/16371136

Полный список докладов с кратким текстовым описанием можно посмотреть по ссылке.

В списке выступлений есть видео, которые будут полезны программистам на любых языках. Любители скандалов и интриг могут посмотреть видео про перипетии, предварившие выход Perl 5.34. Также в наличии отличные видео, рассказывающие, что за зверь язык «Raku», с чем его едят и какие «киллер фичи» он поддерживает из коробки.

conference, perl, raku, конференция

http://feedproxy.google.com/~r/org/LOR/~3/Jy3IG4HkXwA/16369228

Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

policykit, polkit, root, systemd

http://feedproxy.google.com/~r/org/LOR/~3/eHcdPGktZIQ/16368036