The vast majority of the time, the GCC community is a very civil, cooperative space. On the rare occasions that it isn’t, it’s helpful to have something to point to to remind people of our expectations. It’s also good for newcomers to have something to refer to, for both how they are expected to conduct themselves and how they can expect to be treated.

More importantly, if there is offensive behavior that isn’t corrected immediately, it’s important for there to be a way to report that to the project leadership so that we can intervene.

At this time the CoC is preliminary: the code itself should be considered active, but the CoC committee (and so the reporting and response procedures) are not yet in place.

https://www.phoronix.com/news/GCC-Code-of-Conduct

https://gcc.gnu.org/conduct.html

https://www.opennet.ru/opennews/art.shtml?num=59303

Фрагмент новости с опеннета:

Проблема присутствует в файле InitExt.c и вызвана отсутствием проверки допустимости значений, передаваемых X-сервером идентификаторов запроса, события и ошибки, перед их использованием в качестве индекса для элемента массива, в который выполняется запись. По предварительной оценке, так как размер поля с идентификатором ограничен одним байтом, уязвимость может использоваться лишь для перезаписи частей структуры Display, не выходя за её границы, т.е. ограничивается аварийным завершением процесса.

Протокол [1] позволяет клиентам запрашивать у композитора набор поддерживаемых курсоров, с тем чтобы по возможности использовать их вместо собственных. Протокол призван исправить достаточно известную проблему использования разными приложениями разных курсоров.

Реализации подготовлены в wlroots, KDE, Qt и smithay.

[1] https://gitlab.freedesktop.org/wayland/wayland-protocols/-/merge_requests/194

И снова UAF. Атланты, написавшие лучший в мире графический сервер не могли допустить таких ошибок. В mailing list прокрались враги. Да и вообще, покажите хоть один использующий эту дыру вирус!

https://www.opennet.ru/opennews/art.shtml?num=58897

https://gitlab.freedesktop.org/xorg/xserver/-/commit/26ef545b3502f61ca722a7a3373507e88ef64110

Устанавливать я его, конечно, не буду.

https://youtu.be/N7SGe1MiqNA

CVE-2023-0494 entails local privilege elevation on systems where the X.Org Server is privileged and remote code execution is supported for SSH X forwarding sessions. Thankfully for many modern X.Org Server environments these days, the X.Org Server is no longer run as root / elevated privileges but for older systems and in other select configurations unfortunately remains running in such a vulnerable configuration.

The CVE-2023-0494 vulnerability involves a use-after-free condition within DeepCopyPointerClasses for allowing reading and writing to freed memory via ProcXkbSetDeviceInfo() and ProcXkbGetDeviceInfo().

https://www.phoronix.com/news/X.Org-Server-CVE-2023-0494

https://www.opennet.ru/opennews/art.shtml?num=58524

Третья уязвимость (CVE-2022-4883) позволяет запустить произвольные команды при выполнении приложений, использующих libXpm. При запуске связанных с libXpm привилегированных процессов, например, программ с флагом suid root, уязвимость даёт возможность поднять свои привилегии.

Уязвимость вызвана особенностью работы libXpm со сжатыми файлами XPM - при обработке файлов XPM.Z или XPM.gz библиотека при помощи вызова execlp() запускает внешние утилиты распаковки (uncompress или gunzip), путь к которым вычисляется на основе переменной окружения PATH. Атака сводится к размещению в доступном пользователю каталоге, присутствующем в списке PATH, собственных исполняемых файлов uncompress или gunzip, которые будут выполнены в случае запуска приложения, использующего libXpm.

Уязвимость устранена заменой вызова execlp на execl с использованием абсолютных путей к утилитам.

Слияние планируется выполнить в ближайшие дни. Коэффициент масштабирования указывается с шагом в 1/120.

Реализации на стороне композитора выполнены, в том числе, для KWin, Mutter и sway, на стороне клиента – в foot, SDL, Qt и winit.

Новость на Phoronix.

https://www.opennet.ru/opennews/art.shtml?num=56578

Запилите что ли новость, кому не лень.

После трёх лет разработки опубликован выпуск утилиты GNU cflow 1.7, предназначенной для построения наглядного графа вызовов функций в программах на языке Си, который может использоваться для упрощения изучения логики работы приложения. Граф строится только на основе анализа исходных текстов, без необходимости выполнения программы. Поддерживается генерация как прямых, так и обратных графов потоков выполнения, а также генерация списков перекрёстных ссылок для файлов с кодом.

https://www.opennet.ru/opennews/art.shtml?num=56444

https://www.phoronix.com/scan.php?page=news_item&px=Sway-1.7-rc1

Теперь вместо него будет --unsupported-gpu

https://www.phoronix.com/forums/forum/phoronix/latest-phoronix-articles/1289553-xwayland-21-1-3-released-with-support-for-nvidia-s-495-driver-gbm

Для Ъ:

While just a point release, XWayland 21.1.3 that is out this morning is exciting in that it adds support for using NVIDIA’s new proprietary driver that supports the GBM API for enhancing its Wayland support.

XWayland 21.1.3’s main feature is supporting the NVIDIA GBM back-end. The code now supports setting the GLVND library based on the back-end name. There is also a fix from NVIDIA for using EGL_LINUX_DMA_BUF_EXT for creating GBM buffer object EGLImages.

https://www.phoronix.com/scan.php?page=news_item&px=Wakefield-OpenJDK-Java-Wayland

Для Ъ: цель проекта – запилить поддержку Wayland в OpenJDK. Разработчики понимают объем работ, которые могут занять вплоть до нескольких лет, но не унывают.

В перспективе еще одним showstopper’ом Wayland’а меньше.

По мотивам Как не плодить консоли?

Давно хочу такую штуку: если я запустил эмулятор терминала и оставил его в режиме ожидания ввода команды (т.е. запущен только шелл), то через определенное время он (шелл) автоматически завершается, утягивая за собой эмулятор терминала. Можно, в принципе, завершать эмулятор терминала, а не shell, но это потенциально сломает мультиплексоры наподобие screen.

По идее, можно сделать это через хитро заданный prompt, но… может, есть что-то готовое? Гуглится только использование timeout для дочерних процессов.

https://www.opennet.ru/opennews/art.shtml?num=55632

Кому не лень, запилите новость.

Для Ъ: действия с git, требующие аутентификации, теперь только по ключу или токену, никаких паролей. До этого аутентификация по паролю допускалась, но высылалось предупреждение.

Продолжаю грызть mm-кактус.

class Model: public Gio::ListModel {
    std::vector<Glib::RefPtr<Gtk::Button>> gobjects;

protected:
    Model() = default;
    GType get_item_type_vfunc() override {
        return Gtk::Button::get_type();
    }
    guint get_n_items_vfunc() override {
        return gobjects.size();
    }
    gpointer get_item_vfunc(guint position) override {
        if (position < gobjects.size()) {
            return gobjects[position].get();
        }
        return nullptr;
    }
public:
    static auto create() {
        return Glib::RefPtr<Model>{ new Model{} };
    }
    void add(const Glib::RefPtr<Gtk::Button>& button) {
        gobjects.push_back(button);
        items_changed(gobjects.size(), 0, 1);
    }
};

Реализация сыпет варнингами при вставке

g_list_model_items_changed: assertion 'G_IS_LIST_MODEL (list)' failed

ЧЯДНТ?

Собственно, заголовком все сказано. 20-й стандарт уже почти год как закончен, пора догонять.

Пример нерабочего кода: сообщение.

Проблема: Evolution спрашивает пароли от аккаунтов по несколько раз, чекбокс «Сохранить пароль в кейринг» не работает – в кейринге ничего не появляется.

Кейринг работает корректно, тот же Geary успешно пишет пароли в него.

Журнал при вводе паролей во время работы Evolution:

Gcr: received PerformPrompt call from callback /org/gnome/keyring/Prompt/p3@:1.12
Gcr: stopping prompting for operation /org/gnome/keyring/Prompt/p3@:1.12
Gcr: closing the prompt
Gcr: stopping prompting for operation /org/gnome/keyring/Prompt/p3@:1.12
Gcr: couldn't find the callback for prompting operation /org/gnome/keyring/Prompt/p3@:1.12
Gcr: stopping prompting for operation /org/gnome/keyring/Prompt/p3@:1.12

В stderr пишется вот это:

(evolution.bin:26): e-data-server-ui-WARNING **: 22:25:36.181: credentials_prompter_store_credentials_cb: Failed to store source credentials: user interaction failed

(evolution.bin:26): e-data-server-ui-WARNING **: 22:25:42.027: credentials_prompter_store_credentials_cb: Failed to store source credentials: user interaction failed

(evolution.bin:26): e-data-server-ui-WARNING **: 22:25:49.127: credentials_prompter_store_credentials_cb: Failed to store source credentials: user interaction failed

Журнал при вводе паролей при запуске Evolution, таких записей по одной на каждый ввод:

xdg-desktop-por[531]: Backend call failed: GDBus.Error:org.freedesktop.DBus.Error.Failed: Collection login doesn't exist

Пытался создавать keyring «login» и делать дефолтным, не помогает.

Evolution запускаю из флатпака, но у нативной те же проблемы. В гугле всякая чушь про необходимость установить gnome-keyring и все такое, ничего релевантного мне отыскать не удалось.

Перешел на systemd-boot с grub, озадачился решением проблемы

WARNING

The root device is not configured to be mounted
read-write! It may be fsck'd again later.

Узнал про возможность сделать fsck из systemd. Чем это лучше/хуже?