The vast majority of the time, the GCC community is a very civil, cooperative space. On the rare occasions that it isn’t, it’s helpful to have something to point to to remind people of our expectations. It’s also good for newcomers to have something to refer to, for both how they are expected to conduct themselves and how they can expect to be treated.

More importantly, if there is offensive behavior that isn’t corrected immediately, it’s important for there to be a way to report that to the project leadership so that we can intervene.

At this time the CoC is preliminary: the code itself should be considered active, but the CoC committee (and so the reporting and response procedures) are not yet in place.

https://www.phoronix.com/news/GCC-Code-of-Conduct

https://gcc.gnu.org/conduct.html

https://www.opennet.ru/opennews/art.shtml?num=59303

Фрагмент новости с опеннета:

Проблема присутствует в файле InitExt.c и вызвана отсутствием проверки допустимости значений, передаваемых X-сервером идентификаторов запроса, события и ошибки, перед их использованием в качестве индекса для элемента массива, в который выполняется запись. По предварительной оценке, так как размер поля с идентификатором ограничен одним байтом, уязвимость может использоваться лишь для перезаписи частей структуры Display, не выходя за её границы, т.е. ограничивается аварийным завершением процесса.

Протокол [1] позволяет клиентам запрашивать у композитора набор поддерживаемых курсоров, с тем чтобы по возможности использовать их вместо собственных. Протокол призван исправить достаточно известную проблему использования разными приложениями разных курсоров.

Реализации подготовлены в wlroots, KDE, Qt и smithay.

[1] https://gitlab.freedesktop.org/wayland/wayland-protocols/-/merge_requests/194

И снова UAF. Атланты, написавшие лучший в мире графический сервер не могли допустить таких ошибок. В mailing list прокрались враги. Да и вообще, покажите хоть один использующий эту дыру вирус!

https://www.opennet.ru/opennews/art.shtml?num=58897

https://gitlab.freedesktop.org/xorg/xserver/-/commit/26ef545b3502f61ca722a7a3373507e88ef64110

Устанавливать я его, конечно, не буду.

https://youtu.be/N7SGe1MiqNA

CVE-2023-0494 entails local privilege elevation on systems where the X.Org Server is privileged and remote code execution is supported for SSH X forwarding sessions. Thankfully for many modern X.Org Server environments these days, the X.Org Server is no longer run as root / elevated privileges but for older systems and in other select configurations unfortunately remains running in such a vulnerable configuration.

The CVE-2023-0494 vulnerability involves a use-after-free condition within DeepCopyPointerClasses for allowing reading and writing to freed memory via ProcXkbSetDeviceInfo() and ProcXkbGetDeviceInfo().

https://www.phoronix.com/news/X.Org-Server-CVE-2023-0494

https://www.opennet.ru/opennews/art.shtml?num=58524

Третья уязвимость (CVE-2022-4883) позволяет запустить произвольные команды при выполнении приложений, использующих libXpm. При запуске связанных с libXpm привилегированных процессов, например, программ с флагом suid root, уязвимость даёт возможность поднять свои привилегии.

Уязвимость вызвана особенностью работы libXpm со сжатыми файлами XPM - при обработке файлов XPM.Z или XPM.gz библиотека при помощи вызова execlp() запускает внешние утилиты распаковки (uncompress или gunzip), путь к которым вычисляется на основе переменной окружения PATH. Атака сводится к размещению в доступном пользователю каталоге, присутствующем в списке PATH, собственных исполняемых файлов uncompress или gunzip, которые будут выполнены в случае запуска приложения, использующего libXpm.

Уязвимость устранена заменой вызова execlp на execl с использованием абсолютных путей к утилитам.

Слияние планируется выполнить в ближайшие дни. Коэффициент масштабирования указывается с шагом в 1/120.

Реализации на стороне композитора выполнены, в том числе, для KWin, Mutter и sway, на стороне клиента – в foot, SDL, Qt и winit.

Новость на Phoronix.

Fish (Friendly interactive shell) — оболочка, предоставляющая удобный интерфейс командной строки и предназначенная для интерактивного использования.

( читать дальше... )

>>> Подробности

Fish (Friendly interactive shell) — оболочка, предоставляющая удобный интерфейс командной строки и предназначенная для интерактивного использования.

( читать дальше... )

>>> Подробности

https://www.opennet.ru/opennews/art.shtml?num=56578

Запилите что ли новость, кому не лень.

После трёх лет разработки опубликован выпуск утилиты GNU cflow 1.7, предназначенной для построения наглядного графа вызовов функций в программах на языке Си, который может использоваться для упрощения изучения логики работы приложения. Граф строится только на основе анализа исходных текстов, без необходимости выполнения программы. Поддерживается генерация как прямых, так и обратных графов потоков выполнения, а также генерация списков перекрёстных ссылок для файлов с кодом.

https://www.opennet.ru/opennews/art.shtml?num=56444

https://www.phoronix.com/scan.php?page=news_item&px=Sway-1.7-rc1

Теперь вместо него будет --unsupported-gpu

https://www.phoronix.com/forums/forum/phoronix/latest-phoronix-articles/1289553-xwayland-21-1-3-released-with-support-for-nvidia-s-495-driver-gbm

Для Ъ:

While just a point release, XWayland 21.1.3 that is out this morning is exciting in that it adds support for using NVIDIA’s new proprietary driver that supports the GBM API for enhancing its Wayland support.

XWayland 21.1.3’s main feature is supporting the NVIDIA GBM back-end. The code now supports setting the GLVND library based on the back-end name. There is also a fix from NVIDIA for using EGL_LINUX_DMA_BUF_EXT for creating GBM buffer object EGLImages.

https://www.phoronix.com/scan.php?page=news_item&px=Wakefield-OpenJDK-Java-Wayland

Для Ъ: цель проекта – запилить поддержку Wayland в OpenJDK. Разработчики понимают объем работ, которые могут занять вплоть до нескольких лет, но не унывают.

В перспективе еще одним showstopper’ом Wayland’а меньше.

Вышла новая версия cppcheck — статического анализатора исходного кода для языков C и C++.

В этом выпуске представлены новые проверки:

• пропущенный return в функции;
• запись перекрывающихся (overlapping) данных, обнаружение UB;
• сравнение с значением вне допустимого диапазона типов;
• отключение copy elision из-за использования return std::move(local);
• открытие файла на чтение и запись в разных потоках (streams).

( читать дальше... )

Помимо этого, была завершена проверка соответствия исходного кода стандарту MISRA C 2012: реализованы все правила MISRA C 2012, кроме 1.1, 1.2 (должны обеспечиваться компилятором) и 17.3 (может обеспечиваться компилятором), включая правила в поправках 1 и 2.

Исходный код анализатора распространяется по лицензии GPLv3.

>>> Подробности

По мотивам Как не плодить консоли?

Давно хочу такую штуку: если я запустил эмулятор терминала и оставил его в режиме ожидания ввода команды (т.е. запущен только шелл), то через определенное время он (шелл) автоматически завершается, утягивая за собой эмулятор терминала. Можно, в принципе, завершать эмулятор терминала, а не shell, но это потенциально сломает мультиплексоры наподобие screen.

По идее, можно сделать это через хитро заданный prompt, но… может, есть что-то готовое? Гуглится только использование timeout для дочерних процессов.

https://www.opennet.ru/opennews/art.shtml?num=55632

Кому не лень, запилите новость.

Для Ъ: действия с git, требующие аутентификации, теперь только по ключу или токену, никаких паролей. До этого аутентификация по паролю допускалась, но высылалось предупреждение.

Продолжаю грызть mm-кактус.

class Model: public Gio::ListModel {
    std::vector<Glib::RefPtr<Gtk::Button>> gobjects;

protected:
    Model() = default;
    GType get_item_type_vfunc() override {
        return Gtk::Button::get_type();
    }
    guint get_n_items_vfunc() override {
        return gobjects.size();
    }
    gpointer get_item_vfunc(guint position) override {
        if (position < gobjects.size()) {
            return gobjects[position].get();
        }
        return nullptr;
    }
public:
    static auto create() {
        return Glib::RefPtr<Model>{ new Model{} };
    }
    void add(const Glib::RefPtr<Gtk::Button>& button) {
        gobjects.push_back(button);
        items_changed(gobjects.size(), 0, 1);
    }
};

Реализация сыпет варнингами при вставке

g_list_model_items_changed: assertion 'G_IS_LIST_MODEL (list)' failed

ЧЯДНТ?

Собственно, заголовком все сказано. 20-й стандарт уже почти год как закончен, пора догонять.

Пример нерабочего кода: сообщение.