The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.09.2018 Проект Genode опубликовал третий тестовый выпуск ОС общего назначения Sculpt (11 +12)
  Разработчики открытой микроядерной операционной системы Genode OS Framework сформировали третий тестовый выпуск операционной системы Sculpt. В рамках проекта Sculpt на базе технологий Genode развивается операционная система общего назначения, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Для загрузки предлагается LiveUSB-образ, размером 23 Мб. Поддерживается работа на системах с процессорами и графической подсистемой Intel.

Третий выпуск получил название "Visual Composition", которое отражает поставку доработанного графического интерфейса Leitzentrale, позволяющего выполнять типовые задачи по администрированию системы. В любой момент пользователь может переключиться в консольный режим управления, который пока предоставляет большую гибкость в управлении. В ноябре ожидается выпуск "Community Experience" с доведёнными до готовности средствами для формирования начинки из отдельных компонентов.

В левом верхнем углу графического интерфейса отображается меню с инструментами для управления пользователями, подключения накопителей и настройки сетевого соединения. В центре присутствует конфигуратор для компоновки начинки системы, который предоставляет интерфейс в виде графа, определяющего взаимосвязь между системными компонентами. Пользователь может в интерактивном режиме произвольно удалять или добавлять компоненты, определяя состав системного окружения или виртуальных машин.

Традиционный рабочий стол может быть организован в виде запуска дистрибутива TinyCore Linux в виртуальной машине с Linux. В данном окружении доступны браузеры Firefox и Aurora, текстовый редактор на базе Qt и различные приложения. Для запуска утилит командной строки предлагается окружение noux.

Напомним, что Genode предоставляет унифицированную инфраструктуру для создания пользовательских приложений, работающих поверх ядра Linux (32 и 64 бит) или микроядер NOVA (x86 с виртуализацией), Fiasco.OC (x86_32, x86_64, ARM), L4ka::Pistachio (IA32, PowerPC), OKL4, Codezero (ARM), L4/Fiasco (IA32, AMD64, ARM) и выполняющегося напрямую ядра для платформ ARM и RISC-V. Входящее в состав паравиртуализированное Linux-ядро L4Linux, работающее поверх микроядра Fiasco.OC, позволяет выполнять в Genode обычные Linux программы. Ядро L4Linux не работает с оборудованием напрямую, а использует сервисы Genode через набор виртуальных драйверов.

Для Genode осуществлено портирование различных Linux и BSD компонентов, обеспечена поддержка Gallium3D, осуществлена интеграция Qt, GCC и WebKit, реализована возможность организации гибридных Linux/Genode программных окружений. Подготовлен порт VirtualBox, работающий поверх микроядра NOVA. Большое число приложений адаптировано для запуска напрямую поверх микроядра и окружения Noux, обеспечивающего виртуализацию на уровне ОС. Для запуска не портированных программ предусмотрена возможность задействования механизма создания виртуальных окружений уровня отдельных приложений, позволяющих запускать программы в виртуальном Linux-окружении с использованием паравиртуализации.

  1. Главная ссылка к новости
  2. OpenNews: Проект Genode опубликовал второй тестовый выпуск ОС общего назначения Sculpt
  3. OpenNews: Проект Genode опубликовал начальный выпуск ОС общего назначения Sculpt
  4. OpenNews: Микроядерная ОС Genode переходит на лицензию AGPL
  5. OpenNews: Релиз открытой микроядерной ОС Genode 15.02
  6. OpenNews: Опубликован план превращения Genode в операционную систему общего назначения
Обсуждение (11 +12) | Тип: Программы |
24.09.2018 Дистрибутиву Fedora Linux исполнилось 15 лет (35 +6)
  Пятнадцать лет назад компания Red Hat объявила о разделении дистрибутива Red Hat Linux на два проекта - развиваемый при участии сообщества Fedora Linux и коммерческий Red Hat Enterprise Linux. Проект Fedora был ориентирован на интенсивную разработку новых Linux-технологий и раннее продвижение новшеств, с оперативным доведением их до пользователей благодаря более интенсивному циклу разработки. Первый релиз Fedora Core 1 был выпущен спустя чуть более месяца с момента объявления о разделении.

  1. Главная ссылка к новости
  2. OpenNews: Из Fedora будут исключать пакеты с неисправленными уязвимостями
  3. OpenNews: Представлен проект Fedora CoreOS
  4. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
  5. OpenNews: Релиз Linux-дистрибутива Fedora 28
  6. OpenNews: Объявлено о создании редакции Fedora для интернета вещей
Обсуждение (35 +6) | Тип: К сведению |
24.09.2018 В Chrome появилось автоподключение к учётной записи. Чистка Chromium от привязок к Google (111 +24)
  Мэттью Грин (Matthew Green), инициатор аудита OpenVPN и TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass, попытался привлечь внимание общественности к возможным проблемам с приватностью после внедрения в Chrome нового алгоритма подключения к учётной записи. Начиная с Chrome 69 компания Google унифицировала использование учётной записи в системе синхронизации браузера и на сайтах Google. Например, если пользователь подключился к Gmail или YouTube, то Chrome автоматически привяжется к этой учётной записи, хочет того пользователь или нет.

Проблема состоит в том, что подключение браузера к учётной записи используется для организации синхронизации между разными экземплярами браузера одного пользователя. При входе на сайты Google учётная запись помимо специфичных для сервисов Google данных теперь охватывает и все информационные базы браузера, включая настройки, список установленных дополнений, содержимое закладок, сайты в открытых вкладках, историю посещений, базу автодополнения ввода и сохранённые пароли.

В настоящее время автоматический вход по умолчанию не активирует синхронизацию, но никто не может гарантировать, что в будущих версиях настройки не изменятся и информационные базы браузера не начнут зеркалироваться на серверах Google. Более того, в числе изменений интерфейса Chrome 69 предложен новый интерфейс настройки синхронизации, который ничего не поясняет, создаёт впечатление что данные уже синхронизированы и при клике на кнопке в надежде узнать детали инициирует отправку браузерных БД на серверы Google. По мнению Мэттью Грина подобные изменения интерфейса можно отнести к категории умышленных уловок (dark pattern) для введения пользователя в заблуждение и побуждения к выполнению ошибочных действий.

Представители Google объясняют появление функции автоподключения к учётной записи заботой о приватности пользователей в условиях работы с одним браузером разных людей. По мнению Google привязка учётной записи браузера ко входу на сайты Google позволит избежать случайных утечек данных по недосмотру, когда пользователь переподключился к сайту и запустил синхронизацию, не переподключив браузер к другой учётной записи, или когда он завершил сеанс на сайте, но забыл отвязать браузер от учётной записи. Привязка работает не только при входе, но и при выходе - завершив сеанс на сайте, автоматически будет завершён сеанс и в браузере. К тому же аналогичная привязка изначально применяется на платформе Android. При этом данное объяснение не показывает зачем автоматически подключать браузер к учётной записи, если пользователь до этого не пользовался данной возможностью.

Код привязки учётных записей также добавлен в Chromium, но в его кодовой базе данная возможность отключена по умолчанию (в настройках не активна опция "chrome://flags#account-consistency", которую также можно использовать для отключения привязки учётных записей в Chrome).

Для избавления кодовой базы Chromium от кода для интеграции с сервисами Google сообществом развивается проект Ungoogled Chromium, в котором также реализованы некоторые изменения, направленные на усиление приватности, прозрачности обработки информации и контроля за своими данными. Готовые сборки Ungoogled Chromium формируются для Linux (Debian, Ubuntu), macOS и Windows.

Основные изменения в Ungoogled Chromium:

  • Упоминание всех доменов в исходных текстах заменено на несуществующий домен (добавлено окончание qjz9zk);
  • Из исходных текстов удалены все бинарные файлы;
  • Отключены все функции, привязанные к сервисам Google, такие как Google Host Detector, Google URL Tracker, Google Cloud Messaging и Google Hotwording;
  • В качестве поискового движка по умолчанию выбрана заглушка "No Search" (поиск из адресной строки отключен);
  • Отключено автоматическое форматирование URL в адресной строке (не скрывается "http://", не убирается "www.", отображаются все параметры запроса);
  • В меню "More tools" добавлена кнопка для чистки кэша параметров аутентификации по запросу пользователя;
  • Все всплывающие окна принудительно открываются только как новые вкладки;
  • Отключен режим "Safe Browsing" так как загружает чёрные списки с серверов Google);
  • Отключен детектор проброса на внутренние адреса, используемый для определения web-интерфейсов для подключения к беспроводной сети (отключен так как генерирует внешние DNS-запросы);
  • Прекращена поддержка URL-схемы "trk:" (применяется для формирования запросов к сервисам Google);
  • Запрещено использование пинга IPv6-адресов для определения доступности IPv6;
  • Добавлены новые опции командной строки и настройки chrome://flags:
    • "--disable-beforeunload" - отключение JavaScript-диалогов, выводимых при вызове обработчика закрытия страницы (beforeunload);
    • "--extension-mime-request-handling" - изменение метода обработки MIME-типов: download-as-regular-file - всегда сохранять в файл; install-always - запрашивать обработчик из дополнений;
    • "--fingerprinting-canvas-measuretext-noise", "--fingerprinting-client-rects-noise" - добавляют в Canvas::measureText(), getClientRects() и getBoundingClientRect() случайную погрешность в интервале от -0.0003% до 0.0003%;
    • "--fingerprinting-canvas-image-data-noise" - вносит незначительные случайные изменения во все Canvas-изображения, размером больше 10 пикселей, для противостояния скрытой идентификации по особенностям отрисовки;
    • "--max-connections-per-host" - задаёт лимит на число одновременных соединений с хостом;
    • "--set-ipv6-probe-false" - отключает проверку IPv6.

  1. Главная ссылка к новости
  2. OpenNews: В Chrome 70 планируют прекратить отображение "file://" в адресной строке
  3. OpenNews: Релиз Chrome OS 69 с обновлённым интерфейсом и поддержкой Linux
  4. OpenNews: Google намерен уйти от показа традиционного URL в адресной строке Chrome
  5. OpenNews: Релиз web-браузера Chrome 69 с переработанным интерфейсом пользователя
  6. OpenNews: Браузеру Chrome исполнилось 10 лет
Обсуждение (111 +24) | Тип: Тема для размышления |
23.09.2018 Выпуск свободных видеоредакторов OpenShot 2.4.3 и Shotcut 18.09 (42 +11)
  Подготовлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.3. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS.

Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, дает возможность работы с многотрековыми монтажными шкалами с возможностью перемещения мышью элементов между ними, позволяет масштабировать, кадрировать, осуществлять слияние блоков видео, обеспечивать плавное перетекание из одного ролика в другой, производить наложение полупрозрачных областей и т.п. Имеется возможность перекодирования видео с предварительным просмотром изменений на лету. Благодаря задействованию библиотек проекта FFmpeg OpenShot поддерживает огромное количество форматов видео, звука и изображений (включая полную поддержку SVG).

В новой версии:

  • Инструменты наложения маски и переходные эффекты теперь могут изменяться в любой момент времени и использовать изображения и видео. В качестве основы для маски к эффектам может быть использовано представление каждого кадра в оттенках серого. Для анимированных масок реализовано новое свойство "reader", применяемое в эффектах для изменения изображения и видео;
  • Улучшено разделение операций по разным потокам, что позволяет увеличить производительность на многоядерных системах и защититься от крахов при сбое наложения эффектов, включая применение масок и переходных эффектов. Для увеличения надёжности обеспечено отключение распараллеливания операций во время выполнения экспорта;
  • Добавлена кнопка сохранения кадра для быстрого сохранения результата предпросмотра текущего кадра;
  • Представлена новая инфраструктура для поддержания перевода интерфейса на разные языки;
  • Добавлены преднастройки для Instagram и Twitter;
  • Добавлены метаданные в формате AppStream;
  • Добавлена поддержка FFmpeg 3 и 4.

Кроме того, доступен релиз видеоредактора Shotcut 18.09, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3.

В новом выпуске:

Обсуждение (42 +11) | Тип: Программы |
23.09.2018 Проект WLinux развивает Linux-дистрибутив, нацеленный на использование в Windows (186 –30)
  Стартап Whitewater Foundry подготовил дистрибутив WLinux, оптимизированный специально для подсистемы WSL (Windows Subsystem for Linux) и рассчитанный на использование только в окружении Windows. В дистрибутиве используется пакетная база Debian и установщик WSL-DistroLauncher, подготовленный Microsoft для запуска в WSL произвольных дистрибутивов Linux. Наработки проекта свободно распространяются под лицензией MIT, но готовые сборки доступны только через магазин Microsoft Store на платной основе. Авторы проекта обещают оперативно исправлять специфичные для Windows проблемы, связанные с работой в WSL.

В отличие от уже существующих сборок Debian для WSL, в WLinux не используется системный менеджер systemd и включены некоторые дополнительные изменения и оптимизации для улучшения работы в окружении Windows. Пакеты устанавливаются из штатных репозиториев Debian. В базовую поставку входит типичный набор консольных приложений и инструментов для разработки, включая zsh, git, neovim и python 3.7. Для интеграции с Windows 10 в поставку включён набор утилит wslu. Работа производится в режиме терминала. Поддерживается запуск и графических Linux-приложений, но для их работы требуется установка платного X-сервера X410.

Напомним, что запуск родных исполняемых файлов Linux реализован через специальную прослойку, на лету транслирующей системные вызовы Linux в системные вызовы Windows, т.е. представляет собой обратный аналог системы Wine. Изначально предлагаемое пользователю окружение основано на пакетной базе Ubuntu и включает только консольные приложения. Помимо Ubuntu для установки из Microsoft Store также доступны готовые сборки Debian GNU/Linux, Kali Linux, SUSE и openSUSE.

Дополнительно можно отметить формирование компанией Canonical совместно с Microsoft отдельных сборок дистрибутива Ubuntu Desktop для виртуальных окружений на базе гипервизора Microsoft Hyper-V. Сборки включают специальные оптимизации для Hyper-V и позволяют получить полноценный рабочий стол Ubuntu 18.04 при работе в качестве гостевой системы в хост-окружениях Windows 10 Pro.

В состав включена улучшенная версия XRDP с поддержкой расширенной версии протокола RDP с режимом Enhanced Session Mode (ESM) для взаимодействия с виртуальной машиной. Благодаря ESM удалось реализовать такие улучшения, как использование общего буфера обмена, динамическое изменение размера рабочего стола, бесшовный переход мыши между рабочим столом гостевой и хост-системы, поддержка совместных каталогов для обмена файлами между Windows и Ubuntu. Microsoft также включил в состав выпуска Windows 10 Fall Creators Update утилиту Hyper-V Quick Create, позволяющую быстро сформировать рабочее окружение на базе Ubuntu.

Кроме того, поддержкой Windows заинтересовались и разработчики самодостаточных пакетов Flatpak, которые намерены обеспечить возможность установки собранных для Linux Flatpak-пакетов в Windows через поставку runtime-наборов Flatpak для WSL (Windows Subsystem for Linux). Для развития проекта в репозитории Flatpak создана отдельная WSL-ветка. Из пока нерешённых проблем упоминается отсутствие должного уровня изоляции приложений, так как в WSL не поддерживаются seccomp и пространства имён для сетевой подсистемы.

  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива Devuan 2.0, форка Debian 9 без systemd
  3. OpenNews: Завершено бета-тестирование подсистемы для запуска исполняемых файлов Linux в Windows
  4. OpenNews: В Windows 10 продемонстрирован запуск рабочих столов Linux при помощи штатного WSL
  5. OpenNews: Debian и Kali Linux размещены в Windows Store и доступны для установки в WSL
  6. OpenNews: Microsoft открыл код для адаптации Linux-дистрибутивов для запуска в WSL
Обсуждение (186 –30) | Тип: К сведению |
22.09.2018 Зафиксирована массовая атака на сайты с необновлённым движком WordPress (55 +4)
  В сети выявлена автоматизированная массовая атака, поражающая сайты на базе системы управления контентом WordPress, которая используется примерно на 30% из десяти миллионов крупнейших сайтов. В ходе атаки поражаются сайты с необновлённым движком, при этом в ходе вредоносной активности эксплуатируются различные ранее исправленные уязвимости, как в самом движке WordPress, так и в плагинах к нему.

В ходе атаки в JavaScript-файлы c расширением .js, в php-файлы с темами и плагинами WordPress, а также в записи из таблицы wp_posts в БД WordPress осуществляется подстановка вредоносной вставки. Код подставляется как в открытом виде, так и форме вызова "eval(String.fromCharCode(....))" с хаотичным набором цифр. При выполнении данного блока на выходе выдаётся код загрузки скрипта (ad.js, main.js, stat.js или mp3.js) с сайтов ads.voipnewswire.net, examhome.net, cdn.allyouwant.online, uustoughtonma.org, ejyoklygase.tk или mp3menu.org. Всем пользователям WordPress рекомендуется убедиться, что движок сайта и установленные плагины обновлены до самой свежей версии.

Зафиксировано несколько проявлений вредоносной активности, наиболее заметными из которых является перенаправление пришедшего на сайт пользователя на сторонние мошеннические ресурсы, например, на страницы фиктивных сообщений о выявлении вируса от технической поддержки, пытающиеся вынудить пользователя установить троянскую программу, позвонить по телефону или указать параметры своей учётной записи.

В том числе на мошеннических страницах используются манипуляции с курсором, мешающие закрыть вкладку. Подобная техника применяется для симуляции блокировки.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость, позволяющая получить контроль над WordPress через форму сброса пароля
  3. OpenNews: В WordPress 4.9.7 устранены уязвимости, позволяющие удалять файлы в системе
  4. OpenNews: В WordPress молча устранена уязвимость, позволяющая изменить любую страницу
  5. OpenNews: Более 2000 сайтов под управлением WordPress оказались поражены кейлоггером
  6. OpenNews: Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE
Обсуждение (55 +4) | Тип: Проблемы безопасности |
22.09.2018 Обновление дистрибутива Solus, развивающего рабочий стол Budgie (40 +7)
  Сформировано обновление сборок дистрибутива Solus 3, не основанного на пакетах других дистрибутивов и развивающего собственный рабочий стол Budgie, установщик, пакетный менеджер и конфигуратор. Код наработок проекта распространяется под лицензией GPLv2, для разработки используются языки Си и Vala. Дополнительно предоставляются сборки с рабочими столами GNOME и MATE. Размер iso-образов 1.5 Гб (x86_64).

В новом выпуске:

  • Добавлена поддержка нового оборудования и обновлены версии пакетов, в том числе ядро Linux 4.18.5, Firefox 62, LibreOffice 6.1.0.3, Rhythmbox 3.4.2 и Thunderbird 60.
  • В сборках с рабочими столами Budgie и GNOME по умолчанию задействован мультимедийный проигрыватель GNOME MPV 0.14, в сборке с рабочим столом MATE предложен VLC 3.0.3.
  • В состав сборки с рабочим столом GNOME включены приложение GNOME Photos и апплет для отмонтирования внешних накопителей. В файловом менеджере Nautilus добавлена поддержка открытия файлов и каталогов одним кликом. Рекурсивный поиск ограничен только локальными накопителями. Включено дополнение show-image-thumbnails для отображения миниатюр изображений в том числе на внешних разделах Samba.
  • Добавлена поддержка технологии Intel GVT-g для доступа к GPU из виртуальных окружений;
  • Обновлено оформление, по умолчанию задействована GTK-тема Adapta и набор пиктограмм Papirus.

  1. Главная ссылка к новости
  2. OpenNews: Budgie Desktop возвращается в Solus и пересматривает планы миграции c GTK на Qt
  3. OpenNews: Проект Solus представил библиотеку Linux Driver Management 1.0
  4. OpenNews: Выпуск дистрибутива Solus 3 и рабочего стола Budgie 10.4
  5. OpenNews: Проект Solus представил Brisk Menu для рабочего стола MATE
  6. OpenNews: Проект SolusOS, развивающий рабочий стол Consort, объявил о своём закрытии
Обсуждение (40 +7) | Тип: Программы |
22.09.2018 Обновление Firefox 62.0.2 (36 +5)
  Подготовлен корректирующий выпуск Firefox 62.0.2, в котором исправлено несколько ошибок и устранена уязвимость (CVE-2018-12385), способная привести к краху при обработке определённым образом оформленных данных в локальном кэше.

Среди исправленных ошибок:

Обсуждение (36 +5) | Тип: Программы |
21.09.2018 В Firefox добавлено системное дополнение, передающее данные о выключении телеметрии (162 –46)
  Mozilla начала распространение системного дополнения "Telemetry coverage", которое обеспечивает сбор данных о числе пользователей, отключивших в настройках отправку телеметрии. Дополнение активировано примерно у 1% пользователей Firefox и отправляет сведения даже при отключении в настройках отправки статистики и отказе от участия в исследованиях Mozilla. Дополнение активируется без спроса пользователя и без предварительного публичного информирования сообщества о проведении эксперимента (месяц назад упоминалась лишь необходимость провести подобное измерение).

Сведения отправляются на хост https://telemetry-coverage.mozilla.org и включают информацию о версии браузера, операционной системе и состоянии настроек отправки телеметрии. В составе блока данных не передаётся UUID-идентификатор системы пользователя, но в качестве идентификатора может использоваться IP-адрес с которого отправляются данные.

Для отключения дополнения в about:config предусмотрена настройка "toolkit.telemetry.coverage.opt-out", которую следует создать вручную (при поиске не показывается) и установить значение "true". Тем не менее, настройка имеет смысл только как превентивная мера отключения, так как данные передаются сразу после автоматической установки дополнения, а предотвратить такую установку проблематично. Узнать о появлении нового системного дополнения можно на странице "about:support" в разделе "Firefox Features". Посмотреть состояние отправки телеметрии можно на странице "about:telemetry".

  1. Главная ссылка к новости
  2. OpenNews: Эксперимент Mozilla приведёт к утечке данных, вводимых в адресной строке Firefox
  3. OpenNews: Компания Mozilla опубликовала статистику по использованию Firefox
  4. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  5. OpenNews: В Firefox планируют реализовать анонимный сбор статистики о посещаемых сайтах
  6. OpenNews: Выпуск Firefox 57.0.3 с устранением отправки отчётов о крахе без согласия пользователя
Обсуждение (162 –46) | Тип: Тема для размышления |
21.09.2018 Доступен дисплейный сервер Mir 1.0 (59 +18)
  Представлен релиз дисплейного сервера Mir 1.0, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10 (PPA) и Fedora 27/28/29.

В новой версии основное внимание уделено стабилизации средств для запуска Wayland-приложений в окружении Mir, используя Mir в качестве композитного сервера для Wayland. Любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2), будут работать и в Mir. Стабилизирована поддержка Wayland-расширения xdg-shell с реализацией протокола, определяющего общие для всех окружений рабочих столов операции с окнами, пиктограммами, меню и указателями. Добавлена директива для настройки подключения дополнительных расширений Wayland (например, "wayland_extensions=wl_shell:xdg_wm_base:xdg_shell_v6"). Реализована экспериментальная поддержка запуска X11-приложений при помощи компонента XWayland (включается через настройку "x11-display-experimental=1").

Из не связанных с Wayland улучшений выделяется новый файл конфигурации ".display" для настройки раскладки экранов при подключении нескольких мониторов. Например, указанная возможность может оказаться полезной для разбивки виртуального экрана на части при создании "видеостен", в которых изображение большого размера формируется из большого числа отдельных мониторов. Настройка раскладки экранов реализована через прослойку MirAL (Mir Abstraction Layer), абстрагирующую доступ к ABI Mir через библиотеку libmiral.

В текущем виде Mir представляет собой набор библиотек с реализацией графического стека, на основе которого подготовлена минималистичная оболочка mir-kiosk. Оболочка нацелена на обособленный запуск отдельных приложений в режиме интернет-киоска (интерфейс ограничен одним приложением), что может оказаться полезным для создания демонстрационных стендов, электронных вывесок, терминалов самообслуживания, автомобильных информационно-развлекальных приложений, умных счётчиков и экранов-индикаторов для бытовой техники. Mir-kiosk поставляется в виде snap-пакета и уже адаптирован для использования Mir 1.0. Разработчиками Mir подготовлена инструкция по созданию загружаемого образа для запуска произвольного Qt-приложения с использованием Mir-kiosk и системного окружения Ubuntu Core.

Из более функциональных пользовательских оболочек на базе Mir отмечаются окружения Unity8 и Egmde. Для создания собственных специализированных оболочек в Mir предоставляется API, позволяющий гибко настраивать поведение системы управления окнами (например, предлагаются режимы полноэкранного вывода, мозаичной компоновки и плавающих окон).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дисплейного сервера Mir 0.32
  3. OpenNews: Выпуск дисплейного сервера Mir 0.31
  4. OpenNews: XWayland интегрирован в основную кодовую базу X.Org
  5. OpenNews: Выпуск дисплейного сервера Mir 0.28 c начальной поддержкой Wayland
  6. OpenNews: Выпуск Wayland 1.16 и композитного сервера Weston 5.0
Обсуждение (59 +18) | Тип: Программы |
21.09.2018 Выпуск браузера Pale Moon 28.1 (58 +45)
  Доступен релиз web-браузера Pale Moon 28.1, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64).

Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как полноценных, так и легковесных тем оформления. Pale Moon построен на платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust и не включающих наработки проекта Quantum.

В новой версии:

  • Библиотека NSS обновлена до версии 3.38 с полноценной поддержкой TLS 1.3;
  • Восстановлена опциональная поддержка шифра RC4 (по умолчанию RC4 и 3DES отключены, но оставлена возможность включения для совместимости со старыми сетевыми устройствами);
  • Проведена чистка вызовов, связанных с накоплением данных телеметрии и автоматическими таймерами, что положительно отразилось на производительности всех операций на всех платформах;
  • Для обеспечения совместимости с GCC 8 и повышения безопасности проведена работа по избавлению кода от опасных приёмов обращения к памяти;
  • Переработан механизм установки фонового цвета для режима просмотра отдельных изображений;
  • Обновлена обработка истории сеанса, прекращено сохранение в истории обращения к about:logopage и добавлена настройка browser.newtabpage.add_to_session_history для отключения отображения в истории обращений к стартовой странице;
  • Добавлена настройка ui.menu.allow_content_scroll для включения/выключения возможности прокрутки содержимого при открытом контекстном меню;
  • В TLSServerSocket прекращена поддержка кэширования TLS-сеансов;
  • Возвращено старое поведение для панели поиска. Состояние строки поиска теперь обрабатывается в глобальном контексте, а не в привязке к вкладкам. Для сохранения значений поиска для каждой вкладки предусмотрена настройка findbar.termPerTab;
  • Возобновлена поддержка части API для поисковых плагинов, удалённая в коде Mozilla (например, возможность сохранять и редактировать параметры поисковых движков из дополнений);
  • Ускорен процесс восстановления сеансов при запуске;
  • Возобновлена возможность просмотра кода выделенного фрагмента страницы.

  1. Главная ссылка к новости
  2. OpenNews: Создатели Pale Moon ввели в строй портал проектов на базе XUL
  3. OpenNews: Выпуск браузера Pale Moon 28.0
  4. OpenNews: Позиция проекта Pale Moon в отношении XUL-дополнений
  5. OpenNews: Проект Pale Moon представил новый браузер Basilisk и платформу UXP
  6. OpenNews: Pale Moon на пути создания нового браузерного продукта
Обсуждение (58 +45) | Тип: Программы |
21.09.2018 Выпуск сервера приложений NGINX Unit 1.4 (24 +6)
  Опубликован выпуск сервера приложений NGINX Unit 1.4, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска.

Основные изменения:

  • Добавлена поддержка TLS для шифрования клиентских соединений;
  • Добавлен API для управления хранением TLS-сертификатов;
  • Реализована библиотека libunit для интеграции в приложения модулей поддержки языков программирования;
  • Управляющий API ограничен отражением только объектов конфигурации из раздела "/config/";
  • Добавлена поддержка HTTP-ответа "408 Request Timeout" при обращении по закрываемому keep-alive соединению;
  • Улучшена поддержка платформы OpenBSD.
  • Исправлены ошибки, в том числе крах при переконфигурации, проблемы сборки на системах с локалью не по умолчанию, некорректная работа директивы "header_read_timeout" и проблемы с обработкой в модуля для Python 3 значений с не-ASCII символами в заголовках.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск сервера приложений NGINX Unit 1.3
  3. OpenNews: Выпуск сервера приложений NGINX Unit 1.2
  4. OpenNews: Первый стабильный релиз сервера приложений NGINX Unit
  5. OpenNews: Релиз nginx 1.14.0
  6. OpenNews: Выпуск nginx 1.15.3
Обсуждение (24 +6) | Тип: Программы |
20.09.2018 Критическая уязвимость в Bitcoin Core (70 +9)
  Опубликованы корректирующие выпуски пакета Bitcoin Core 0.14.3, 0.15.2 и 0.16.3, а также ответвления Bitcoin Knots 0.16.3, в которых устранена удалённая DoS-уязвимость (CVE-2018-17144), способная вызвать крах Bitcoin-клиентов bitcoind и Bitcoin-Qt (дополнение: при подготовке исправления в ветках 0.15 и 0.16 всплыла критическая инфляционная уязвимость, которая может привести к двойной трате средств). Проблема возникает при обработке полученного от майнера блока, включающего транзакцию, которая пытается дважды провести одни и те же входные данные.

Эксплуатация уязвимости достаточно затратна, так как приводящие к краху блоки являются некорректными и могут быть созданы только майнером, готовым пожертвовать доходом от создания блока как минимум на сумму 12.5 BTC (около 80 тысяч долларов). Кроме Bitcoin Core, проблема также проявляется в Litecoin и других ответвившихся от Bitcoin проектах. Потенциально уязвимость может быть использована для организации масштабной атаки на криптовалюты для массового вывода из строя узлов сети с целью достижения контроля за 51% мощности расчёта хэшей, необходимого для проведения атаки по двойной трате средств.

Дополнение:

Опубликованы новые подробности об уязвимости. В процессе создания исправления разработчики определили, что кроме отказа в обслуживании в ветках 0.15 и 0.16 проблема также имеет характер критической инфляционной уязвимости, которая может привести к двойной трате средств. После того как обладатели половины всех мощностей сети обновили версию Bitcoin Core и один из сторонних разработчиков независимо выявил новый вектор атаки, принято решение о раскрытии сведений о наличии и критической проблемы, информация о которой в примечании к новым выпускам Bitcoin Core была пропущена. Всем пользователям Bitcoin рекомендуется срочно установить обновление, чтобы блокировать попытки майнинга некорректных блоков и не допустить принятие недействительных транзакций.

Проблема изначально появилась в ветке Bitcoin Core 0.14 и была вызвана ошибкой в реализации оптимизации, позволяющей на этапе начальной обработки блока избавиться от ресурсоёмкой проверки на предмет вхождения в блок транзакций с повторяющимися операциями, тратящими одни средства дважды. Подобная проверка проводится при последующей обработке блока, но в случае выявления операций двойной траты, проводимых внутри блока в одной транзакции, генерируется исключение (assert), а не вызывается полноценный обработчик ошибок. В итоге в Bitcoin Core 0.14 при возникновении в блоке упомянутых транзакций происходит крах процесса.

В ветке Bitcoin Core 0.15 в процессе переработки логики отслеживания необработанных транзакций и устранении проблемы с безопасностью, которая приводила к чрезмерному расходованию ресурсов, код генерации исключения был немного изменён и вместо учёта ситуации, когда ранее неизрасходованные средства могут быть помечены потраченными, проверка ограничивалась определением самого факта существования транзакций с двойной тратой.

Таким образом, в Bitcoin Core 0.15 и 0.16 попытки проведения транзакций с двойной тратой средств в текущем блоке по-прежнему приводят к генерации исключения. Но если операция двойной траты включена в предыдущий блок исключение не генерируется, так как запись остаётся в структуре CCoin с флагом DIRTY и меткой о состоявшейся трате средств. Подобная особенность позволяет недобросовестному майнеру сформировать блок со средствами, потраченными дважды.

  1. Главная ссылка к новости
  2. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
  3. OpenNews: JavaScript-приложения криптовалют, использующие SecureRandom(), могли генерировать уязвимые ключи
  4. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
  5. OpenNews: Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage
  6. OpenNews: Ошибка в реализации криптовалюты Zcoin позволяла повторно тратить средства
Обсуждение (70 +9) | Тип: Проблемы безопасности |
20.09.2018 Для ядра Linux предложен механизм раздельного учёта времени в контейнерах (39 +21)
  Для обсуждения в списке рассылки разработчиков ядра Linux предложен набор патчей с реализацией пространства имён для времени. После завершения разработки обсуждаемый механизм позволит раздельно управлять временем в каждом контейнере, давая возможность выставлять своё дату/время, синхронизировать время независимо от базового окружения и корректно возобновлять показания таймеров при восстановления контейнера после заморозки.

В текущем виде ядро Linux предоставляет общие счётчики всех видов времени для контейнеров, что создаёт трудности при миграции контейнеров между узлами и восстановлении после заморозки их состояния. При восстановлении остановленного на какое-то время контейнера важно не столько изменение показания календарного времени (CLOCK_REALTIME), сколько правильность восстановления значений монотонных часов (CLOCK_MONOTONIC) и часов времени после загрузки (CLOCK_BOOTTIME).

Монотонные часы отражают неразрывно увеличивающееся время, прошедшее с момента определённого события в прошлом, т.е. если контейнер был заморожен, то показания монотонных часов должны восстановить значение на момент заморозки, пропустив интервал времени, в котором контейнер находился в состоянии заморозки или сна. Аналогичная ситуация возникает при восстановлении времени с момента загрузки (в современных ядрах Linux значения CLOCK_MONOTONIC и CLOCK_BOOTTIME совпадают).

Суть предложенных изменений в добавлении для каждого пространства имён дополнительных смещений к базовым значениям системных часов. При обращении процесса, находящегося в некорневом пространстве имён, к системным вызовам, связанным с манипуляцией временем, указанные смещения будут суммироваться c базовыми показаниями времени. В представленном на рассмотрение наборе изменений смещение пока реализованы только для таймеров CLOCK_MONOTONIC и CLOCK_BOOTTIME. Для CLOCK_REALTIME детали реализации пока находятся на стадии обсуждения и непонятно, достаточно ли будет смещения, как поступать при смене времени в хост-окружении и есть ли необходимость в корректировке времени, используемом для отражения момента создания или изменения файлов в VFS.

  1. Главная ссылка к новости
  2. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
  3. OpenNews: Facebook открыл код для обработки ситуации нехватки памяти в системе
  4. OpenNews: Компания Huawei предложила новую ФС EROFS для ядра Linux
  5. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
  6. OpenNews: Для Linux предложена новая ФС NOVA, спроектированная для NVM-памяти
Обсуждение (39 +21) | Тип: К сведению |
20.09.2018 Уязвимость в сетевых хранилищах WD MyCloud, позволяющая получить доступ без аутентификации (61 +18)
  В выпускаемых компанией Western Digital сетевых хранилищах My Cloud выявлена уязвимость (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации.

Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, установив Cookie "username=admin", и система предоставляла доступ с правами администратора не запрашивая пароль входа. Для генерации сессионного ключа для продолжения сеанса и обращения к другим скриптам с правами администратора можно отправить POST-запрос "cmd=cgi_get_ipv6&flag=1". Успешная атака позволяет полностью контролировать настройки устройства, а также читать, модифицировать и удалять любые данные в хранилище.

Компания Western Digital была информирована о проблеме ещё в апреле, но до сих пор не выпустила обновления. После пяти месяцев ожидания исследователь счёл возможным раскрыть сведения о выявленной уязвимости. Оказалось, что ещё в начале 2017 года другой исследователь безопасности уже сообщал в Western Digital о данной проблеме, но она так и не была рассмотрена. После публикации метода эксплуатации представители Western Digital сообщили, что обновление прошивки с устранением проблемы находится на финальной стадии тестирования.

Пользователям рекомендуется ограничить доступ к web-интерфейсу MyCloud только для заслуживающих доверие адресов, а также отключить функцию доступа из внешних сетей (Settings->General->Cloud Access). По умолчанию режим Dashboard Cloud Access отключен, но атака возможна и из локальной сети, например в результате компрометации других устройств.

  1. Главная ссылка к новости
  2. OpenNews: В сетевых хранилищах WDMyCloud выявлен бэкдор
  3. OpenNews: Центр защиты свободного ПО подал иск на 14 компаний за нарушение GPL
  4. OpenNews: Статистика надёжности жестких дисков Seagate, Western Digital и Hitachi
  5. OpenNews: Выявлено шпионское ПО, скрывающееся в прошивках жестких дисков
  6. OpenNews: Western Digital делает ставку на открытую архитектуру RISC-V
Обсуждение (61 +18) | Тип: Проблемы безопасности |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor