LINUX.ORG.RU

Сообщения Siborgium

 

В GCC принят CoC

Форум — Talks

The vast majority of the time, the GCC community is a very civil, cooperative space. On the rare occasions that it isn’t, it’s helpful to have something to point to to remind people of our expectations. It’s also good for newcomers to have something to refer to, for both how they are expected to conduct themselves and how they can expect to be treated.

More importantly, if there is offensive behavior that isn’t corrected immediately, it’s important for there to be a way to report that to the project leadership so that we can intervene.

At this time the CoC is preliminary: the code itself should be considered active, but the CoC committee (and so the reporting and response procedures) are not yet in place.

https://www.phoronix.com/news/GCC-Code-of-Conduct

https://gcc.gnu.org/conduct.html

 , ,

Siborgium
()

Очередное технологическое отверстие в libX11

Форум — Talks

https://www.opennet.ru/opennews/art.shtml?num=59303

Фрагмент новости с опеннета:

Проблема присутствует в файле InitExt.c и вызвана отсутствием проверки допустимости значений, передаваемых X-сервером идентификаторов запроса, события и ошибки, перед их использованием в качестве индекса для элемента массива, в который выполняется запись. По предварительной оценке, так как размер поля с идентификатором ограничен одним байтом, уязвимость может использоваться лишь для перезаписи частей структуры Display, не выходя за её границы, т.е. ограничивается аварийным завершением процесса.

 , , , ,

Siborgium
()

Протокол cursor-shape-v1 был смержен в wayland-protocols

Форум — Talks

Протокол [1] позволяет клиентам запрашивать у композитора набор поддерживаемых курсоров, с тем чтобы по возможности использовать их вместо собственных. Протокол призван исправить достаточно известную проблему использования разными приложениями разных курсоров.

Реализации подготовлены в wlroots, KDE, Qt и smithay.

[1] https://gitlab.freedesktop.org/wayland/wayland-protocols/-/merge_requests/194

 , , , ,

Siborgium
()

Технологические отверстия в иксах: на этот раз всего лишь privilege escalation

Форум — Talks

И снова UAF. Атланты, написавшие лучший в мире графический сервер не могли допустить таких ошибок. В mailing list прокрались враги. Да и вообще, покажите хоть один использующий эту дыру вирус!

https://www.opennet.ru/opennews/art.shtml?num=58897

https://gitlab.freedesktop.org/xorg/xserver/-/commit/26ef545b3502f61ca722a7a3373507e88ef64110

 , , дыры, ,

Siborgium
()

GNOME 44

Форум — Talks

Устанавливать я его, конечно, не буду.

https://youtu.be/N7SGe1MiqNA

 , , ,

Siborgium
()

Очередные технологические отверстия в иксах

Форум — Talks

CVE-2023-0494 entails local privilege elevation on systems where the X.Org Server is privileged and remote code execution is supported for SSH X forwarding sessions. Thankfully for many modern X.Org Server environments these days, the X.Org Server is no longer run as root / elevated privileges but for older systems and in other select configurations unfortunately remains running in such a vulnerable configuration.

The CVE-2023-0494 vulnerability involves a use-after-free condition within DeepCopyPointerClasses for allowing reading and writing to freed memory via ProcXkbSetDeviceInfo() and ProcXkbGetDeviceInfo().

https://www.phoronix.com/news/X.Org-Server-CVE-2023-0494

 , , , ,

Siborgium
()

Очередные иксовые технические отверстия

Форум — Talks

https://www.opennet.ru/opennews/art.shtml?num=58524

Третья уязвимость (CVE-2022-4883) позволяет запустить произвольные команды при выполнении приложений, использующих libXpm. При запуске связанных с libXpm привилегированных процессов, например, программ с флагом suid root, уязвимость даёт возможность поднять свои привилегии.

Уязвимость вызвана особенностью работы libXpm со сжатыми файлами XPM - при обработке файлов XPM.Z или XPM.gz библиотека при помощи вызова execlp() запускает внешние утилиты распаковки (uncompress или gunzip), путь к которым вычисляется на основе переменной окружения PATH. Атака сводится к размещению в доступном пользователю каталоге, присутствующем в списке PATH, собственных исполняемых файлов uncompress или gunzip, которые будут выполнены в случае запуска приложения, использующего libXpm.

Уязвимость устранена заменой вызова execlp на execl с использованием абсолютных путей к утилитам.

 , ,

Siborgium
()

Для Wayland подготовлен протокол для дробного масштабирования

Форум — Talks

Слияние планируется выполнить в ближайшие дни. Коэффициент масштабирования указывается с шагом в 1/120.

Реализации на стороне композитора выполнены, в том числе, для KWin, Mutter и sway, на стороне клиента – в foot, SDL, Qt и winit.

Новость на Phoronix.

 , , ,

Siborgium
()

Fish 3.5

Новости — Open Source
Fish 3.5
Группа Open Source

Fish (Friendly interactive shell) — оболочка, предоставляющая удобный интерфейс командной строки и предназначенная для интерактивного использования.

( читать дальше... )

>>> Подробности

 ,

Siborgium
()

Fish 3.4.0

Новости — Open Source
Группа Open Source

Fish (Friendly interactive shell) — оболочка, предоставляющая удобный интерфейс командной строки и предназначенная для интерактивного использования.

( читать дальше... )

>>> Подробности

 ,

Siborgium
()

В Polkit добавили поддержку Duktape

Форум — Talks

https://www.opennet.ru/opennews/art.shtml?num=56578

Запилите что ли новость, кому не лень.

 ,

Siborgium
()

Выпущен конвертер С в схемы метапрог

Форум — Talks

После трёх лет разработки опубликован выпуск утилиты GNU cflow 1.7, предназначенной для построения наглядного графа вызовов функций в программах на языке Си, который может использоваться для упрощения изучения логики работы приложения. Граф строится только на основе анализа исходных текстов, без необходимости выполнения программы. Поддерживается генерация как прямых, так и обратных графов потоков выполнения, а также генерация списков перекрёстных ссылок для файлов с кодом.

https://www.opennet.ru/opennews/art.shtml?num=56444

 , , , ,

Siborgium
()

Из Sway убран параметр командной строки --my-next-gpu-wont-be-nvidia

Форум — Talks

https://www.phoronix.com/scan.php?page=news_item&px=Sway-1.7-rc1

Теперь вместо него будет --unsupported-gpu

 , , , ,

Siborgium
()

В XWayland завезли поддержку gbm от нвидии

Форум — Talks

https://www.phoronix.com/forums/forum/phoronix/latest-phoronix-articles/1289553-xwayland-21-1-3-released-with-support-for-nvidia-s-495-driver-gbm

Для Ъ:

While just a point release, XWayland 21.1.3 that is out this morning is exciting in that it adds support for using NVIDIA’s new proprietary driver that supports the GBM API for enhancing its Wayland support.

XWayland 21.1.3’s main feature is supporting the NVIDIA GBM back-end. The code now supports setting the GLVND library based on the back-end name. There is also a fix from NVIDIA for using EGL_LINUX_DMA_BUF_EXT for creating GBM buffer object EGLImages.

 , ,

Siborgium
()

Проект Wakefield — нативный Wayland в OpenJDK

Форум — Talks

https://www.phoronix.com/scan.php?page=news_item&px=Wakefield-OpenJDK-Java-Wayland

Для Ъ: цель проекта – запилить поддержку Wayland в OpenJDK. Разработчики понимают объем работ, которые могут занять вплоть до нескольких лет, но не унывают.

В перспективе еще одним showstopper’ом Wayland’а меньше.

 , ,

Siborgium
()

cppcheck 2.6

Новости — Разработка
Группа Разработка

Вышла новая версия cppcheck — статического анализатора исходного кода для языков C и C++.

В этом выпуске представлены новые проверки:

  • пропущенный return в функции;
  • запись перекрывающихся (overlapping) данных, обнаружение UB;
  • сравнение с значением вне допустимого диапазона типов;
  • отключение copy elision из-за использования return std::move(local);
  • открытие файла на чтение и запись в разных потоках (streams).

( читать дальше... )

Помимо этого, была завершена проверка соответствия исходного кода стандарту MISRA C 2012: реализованы все правила MISRA C 2012, кроме 1.1, 1.2 (должны обеспечиваться компилятором) и 17.3 (может обеспечиваться компилятором), включая правила в поправках 1 и 2.

Исходный код анализатора распространяется по лицензии GPLv3.

>>> Подробности

 , , ,

Siborgium
()

Убивать эмуляторы терминала при бездействии по таймауту

Форум — General

По мотивам Как не плодить консоли?

Давно хочу такую штуку: если я запустил эмулятор терминала и оставил его в режиме ожидания ввода команды (т.е. запущен только шелл), то через определенное время он (шелл) автоматически завершается, утягивая за собой эмулятор терминала. Можно, в принципе, завершать эмулятор терминала, а не shell, но это потенциально сломает мультиплексоры наподобие screen.

По идее, можно сделать это через хитро заданный prompt, но… может, есть что-то готовое? Гуглится только использование timeout для дочерних процессов.

 , ,

Siborgium
()

GitHub запрещает парольную аутентификацию при доступе к Git

Форум — Talks

https://www.opennet.ru/opennews/art.shtml?num=55632

Кому не лень, запилите новость.

Для Ъ: действия с git, требующие аутентификации, теперь только по ключу или токену, никаких паролей. До этого аутентификация по паролю допускалась, но высылалось предупреждение.

 , , , ,

Siborgium
()

Реализация Gio::ListModel, G_IS_LIST_MODEL assertion failed

Форум — Development

Продолжаю грызть mm-кактус.

class Model: public Gio::ListModel {
    std::vector<Glib::RefPtr<Gtk::Button>> gobjects;

protected:
    Model() = default;
    GType get_item_type_vfunc() override {
        return Gtk::Button::get_type();
    }
    guint get_n_items_vfunc() override {
        return gobjects.size();
    }
    gpointer get_item_vfunc(guint position) override {
        if (position < gobjects.size()) {
            return gobjects[position].get();
        }
        return nullptr;
    }
public:
    static auto create() {
        return Glib::RefPtr<Model>{ new Model{} };
    }
    void add(const Glib::RefPtr<Gtk::Button>& button) {
        gobjects.push_back(button);
        items_changed(gobjects.size(), 0, 1);
    }
};

Реализация сыпет варнингами при вставке

g_list_model_items_changed: assertion 'G_IS_LIST_MODEL (list)' failed

ЧЯДНТ?

 , , , ,

Siborgium
()

Добавить ключевые слова concept и requires в подсветку

Форум — Linux-org-ru

Собственно, заголовком все сказано. 20-й стандарт уже почти год как закончен, пора догонять.

Пример нерабочего кода: сообщение.

 , , ,

Siborgium
()

RSS подписка на новые темы