The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

18.07.2018 Выпуск интегрированной среды разработки Qt Creator 4.7.0
  Представлен выпуск интегрированной среды разработки Qt Creator 4.7.0, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается как разработка классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется JavaScript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками.

В новой версии умолчанию задействован построитель модели кода для языка С++, основанный на Clang. По сравнению со старым встроенным построителем в Clang более оперативно отражаются все изменения в спецификациях C++, предоставляется более полная информация о возможных проблемах в коде и доступна возможность выявления проблем на основе статического анализа, без необходимости компиляции кода. Отмечаются отдельные ситуации в которых встроенный построитель модели C++ по-прежнему лучше построителя на базе Clang, поэтому предусмотрена возможность возврата к старому построителю при отключении в настойках плагина ClangCodeModel.

Код построителя обновлён до версии Clang 6.0 и теперь поддерживает некоторые новые возможности будущего стандарта C++20. В интерфейс добавлены опции для выбора применения Clang-Tidy или Clazy для проверки кода в процессе редактирования. В режиме отладки добавлена возможность проверки всего кода проекта (Analyze > Clang-Tidy или Clazy). Выявленные анализатором модели кода ошибки и предупреждения теперь дополнительно могут отображаться в панели Issues.

В редакторе кода при нахождении текстового курсора на коде внутри тестовых функций при помощи новой опции "Run Test Under Cursor" теперь можно сразу запустить отдельный тест. В случае выявления проблем при выполнении теста, их местоположение сразу подсвечивается в редакторе. Добавлена поддержка фильтров для Google Test.

Опции механизма комплектов (Kit), позволяющих задействовать собственные инструментарии без необходимости создания для них специальных плагинов, теперь вынесены в отдельную первичную секцию настроек. В настройки (Environment > Interface) также добавлена возможность управления применением автоматического масштабирования на экранах с высокой плотностью пикселей (HiDPI).

В интерфейс навигации по файловой системе добавлена возможность создания каталогов, предложена опция для отображения каталогов в верхней части списка (отдельно от файлов), а также реализована настройка для включения/отключения синхронизации базового каталога с текущим проектом.

  1. Главная ссылка к новости
  2. OpenNews: Начальный план разработки Qt 6
  3. OpenNews: Выпуск Qt for Python 5.11
  4. OpenNews: Релиз фреймворка Qt 5.11
  5. OpenNews: Выпуск десктоп-окружения LXQt 0.13
  6. OpenNews: Выпуск интегрированной среды разработки Qt Creator 4.6.0
Обсуждение | Тип: Программы |
18.07.2018 Евросоюз оштрафовал Google на 4.3 млрд евро за навязывание своих сервисов в Android (59 +17)
  Европейская комиссия признала применяемые компанией Google методы продвижения своих сервисов в платформе Android нарушающими антимонопольное законодательство Евросоюза и наложила штраф в размере 4.3 миллиарда евро (5 миллиардов долларов). Это крупнейший штраф, выписанный IT-компании, в истории антимонопольных разбирательств. Помимо штрафа компании Google предписано устранить выявленные нарушения в течении 90 дней, в противном случае будет начислен дополнительный штраф в размере до 5% от ежедневного совокупного оборота компании. Компания Google не согласилась с решением Еврокомиссии и заявила о намерении подать апелляцию.

Google вменяется злоупотребление доминирующим положением платформы Android для навязывания своих поисковых сервисов и браузера Chrome в форме, ущемляющей конкурирующие продукты, а также создание препятствий для поставки сторонних ответвлений Android на производимых устройствах. Нарушением антимонопольного законодательства признаны следующие действия Google:

  • Для предоставления производителю оборудования лицензии на доступ к каталогу-магазину приложений Play Store компания Google требовала предустановки приложения Google Search и браузера Chrome;
  • Google платил некоторым крупным производителям смартфонов и операторам мобильных сетей за эксклюзивную поставку в прошивках только поискового сервиса Google;
  • Google запрещал производителям предустанавливать набор приложений для доступа к сервисам Google в случае установки на устройствах прошивок на базе альтернативных сборок платформы Android (форков Android), официально не одобренных Google.

По мнению антимонопольного комитета указанные действия позволили поисковому сервису Google занять доминирующее положение на рынке поиска на мобильных устройствах и блокировать продвижение конкурирующих поисковых систем. Аналогично, в заведомо невыгодное положение были поставке web-бразуеры для мобильных систем, что дало возможность мобильному варианту браузера Chrome занять лидирующее положение на рынке.

Антимонопольное разбирательство было инициировано в ответ на поданную в 2013 году жалобу от коалиции FairSearch, основанной Microsoft, Nokia и Oracle. Интересно, что изначально FairSearch пыталась преподнести в качестве основного аргумента о нечестной конкуренции бесплатное распространение Android в виде свободного ПО. Указывалось, что имеет место поставка продукта по цене ниже себестоимости, что не позволяет компаниям, поставляющим проприетарные системы, развивать конкурирующие решения. Антимонопольных комитет не согласился с данными доводами, но признал претензии относительно навязывания сервисов и браузера.

  1. Главная ссылка к новости
  2. OpenNews: Cуд оштрафовал разработчика открытого проекта за использование стороннего кода для обхода DRM
  3. OpenNews: Microsoft оштрафован на 732 млн долларов за нарушение соглашения о выборе web-браузеров в Windows
  4. OpenNews: Евросоюз наложил на Microsoft штраф в 860 млн евро за создание препятствий в обеспечении совместимости
  5. OpenNews: Компания Oracle оштрафована за нарушение условий публикации результатов TPC-тестов
  6. OpenNews: SCO оштрафован за клевету в адрес Linux
Обсуждение (59 +17) | Тип: Тема для размышления |
18.07.2018 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (11 +8)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 334 уязвимости, в том числе в некоторые продукты внесены исправления для блокирования новых вариантов атак Spectre.

В выпусках Java SE 10.0.2 и 8u181 устранено 8 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен уровень опасности 8.3. Одна из проблем (в Java DB из ветки Java 8) имеет CVSS Score 9, что соответствует критическому уровню опасности. 5 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 3 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 25 уязвимостей в MySQL (максимальный уровень опасности 7.1, уязвимость в InnoDB), из которых одна из проблем позволяет выполнить атаку удалённо без прохождения аутентификации. Дополнительно можно отметить критическую уязвимость (CVSS Score 9.8) в компоненте MySQL Enterprise Monitor, вызванную уязвимостью в Apache Log4j. Проблемы устранены в выпусках MySQL Community Server 8.0.11, 5.7.22, 5.6.40 и 5.5.60.
  • 9 уязвимостей в VirtualBox, из которых 5 имеют критическую степень опасности (CVSS Score 8.6). Уязвимости устранены во вчерашнем обновлении VirtualBox 5.2.16примечании к релизу факт устранения проблем с безопасностью не был афиширован).
  • 7 проблем в Solaris (максимальная степень опасности 8.1) - проблемы в RAD, ядре, Availability Suite Service и драйвере NVIDIA-GFX.

  1. Главная ссылка к новости
  2. OpenNews: Первый стабильный выпуск Oracle Linux 7 для ARM
  3. OpenNews: Компания Oracle передала сообществу Apache 1.5 млн строк кода NetBeans
  4. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 5
  5. OpenNews: Компания Oracle представила универсальную виртуальную машину GraalVM
  6. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Обсуждение (11 +8) | Тип: Проблемы безопасности |
18.07.2018 В компилятор LDC языка D добавлена поддержка WebAssembly (56 +11)
  В свободный компилятор LDC, развиваемый на базе наработок проекта LLVM, добавлена поддержка компиляции кода на языке D в промежуточный код WebAssembly для выполнения в web-браузерах. Представленная возможность позволяет создавать обработчики на языке D, которые можно использовать в web-приложениях. Поддержка кросс-компиляции в WebAssembly интегрирована в тестовую версию LDC 1.11.0-beta2, опубликованную несколько дней назад.

Кроме того, выпущено обновление основного эталонного компилятора DMD 2.081.1. В новом выпуске проведена работа по улучшению переносимости с проектами C++ и представлена поддержка нового синтаксиса для контрактного программирования, предложенного в рамках спецификации DIP 1009 (D Improvement Proposal). Компилятор DMD поддерживает системы GNU/Linux, Windows, macOS, FreeBSD, и архитектуры x86, x86_64, x64.

Напомним, что язык D использует статическую типизацию, обладает синтаксисом, схожим с C/C++, и обеспечивает производительность компилируемых языков, при этом заимствуя некоторые полезные возможности динамических языков в области эффективности разработки и обеспечения безопасности. Например, предоставляется поддержка ассоциативных массивов, косвенное определение типов, автоматическое управление памятью, средства параллельного программирования, опциональный сборщик мусора, система шаблонов, компоненты для метапрограммирования, возможность использовать библиотеки на языке C, а также некоторые библиотеки на C++ и Objective-C.

  1. Главная ссылка к новости
  2. OpenNews: Вышел компилятор языка D 2.076
  3. OpenNews: Официальный компилятор языка D переведён в разряд свободного ПО
  4. OpenNews: В GDC, компилятор для языка D, добавлена поддержка архитектуры ARM
  5. OpenNews: В рамках проекта PowerNex развивается ядро, написанное на языке D
  6. OpenNews: В состав GCC одобрено включение языка программирования D
Обсуждение (56 +11) | Тип: К сведению |
17.07.2018 Для Linux представлена файловая система TxFS с поддержкой ACID-транзакций (92 +35)
  Группа исследователей из Техасского университета в Остине разработала новую файловую систему TxFS, предоставляющую встроенную поддержку транзакций, удовлетворяющих требованиям ACID (атомарность, согласованность, изолированность, надежность). Код ФС доступен только в виде модифицированных исходных текстов ядра Linux 3.18, патчей для других версий пока нет.

TxFS даёт возможность выполнить атомарное применение сразу группы операций над файлами. Например, в рамках изолированной транзакции можно выполнить несколько операций записи в разные файлы, а затем атомарно применить все накопленные изменения, используя синтаксис begin/commit, похожий на транзакции в СУБД. Или можно откатить все внесённые в разные файлы изменения в случае, если в процессе обработки данных были выявлены какие-то проблемы.


   ret = fs_tx_begin();
   fd1 = open("file1.txt", O_RDWR | O_APPEND, 0644);
   fd2 = open("file2.txt", O_RDWR | O_APPEND, 0644);
   write(fd1, "foo\n", 4);
   write(fd2, "bar\n", 4);
   ret = fs_tx_commit(); // или fs_tx_abort() для отмены транзакции

ФС TxFS построена поверх штатной инфраструктуры журналирования jbd2 (Journaling block device) и файловой системы Ext4. Производительность системы сопоставима с производительностью обычной файловой системы Ext4. Реализация достаточно компактная и включает в себя всего 5200 строк кода, из которых 1300 составляет внутренний код (разрешение конфликтов, реализация системных вызовов), 1600 - изменения в VFS, 900 - изменения кода журналирования JBD2, 1200 - изменения в ext4 и 200 - изменения кода управления памятью. Помимо кода для расширения ext4 и jbd2 все остальные компоненты универсальны и в будущем могут быть использованы для адаптации TxFS для других ФС, таких как ZFS.

API для управления транзакциями реализован через надстройку над тремя новыми системными вызовами, обеспечивающими открытие, фиксацию и отмену транзакций. В настоящее время подготовлены порты SQLite и Git, использующие TxFS для обеспечения гарантированной устойчивости к сбоям. Благодаря упрощению логики обеспечения атомарности в приложениях и сокращению числа сбросов буферов через fsync(), порт SQLite на базе TxFS показал в тесте TPC-C увеличение производительности в 1.6 раза. Пропускная способность приложения Android Mail при использовании порта SQLite возросла в 2.3 раза. Порт Git продемонстрировал существенное увеличение надёжности и способность предотвращать повреждения данных и нарушения целостности при сбоях во время выполнения операций с репозиторием.

  1. Главная ссылка к новости
  2. OpenNews: Компания Alibaba открыла код P2P-системы доставки файлов Dragonfly
  3. OpenNews: Инженеры из Google представили глобальную файловую систему Upspin
  4. OpenNews: Представлена LittleFS, компактная файловая система для встраиваемых устройств
  5. OpenNews: Первый выпуск файловой системы Zbox
  6. OpenNews: Значительное обновление файловой системы Bcachefs
Обсуждение (92 +35) | Тип: Программы |
17.07.2018 Релиз системы виртуализации VirtualBox 5.2.16 (37 +7)
  Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.16, в котором отмечено 3 исправления. В новой версии решены проблемы с установкой в окружении openSUSE 15.0, а также внесены различные исправления в сборки для дистрибутивов. В коде поддержки формата OVF для улучшения совместимости с другими системами обеспечен разбор значений атрибутов из манифеста без учёта регистра символов.

  1. Главная ссылка к новости
  2. OpenNews: Релиз системы виртуализации VirtualBox 5.2.14
  3. OpenNews: Релиз системы виртуализации VirtualBox 5.2.10
  4. OpenNews: Релиз системы виртуализации VirtualBox 5.2
  5. OpenNews: Разработчики openSUSE представили Uyuni, форк платформы Spacewalk
  6. OpenNews: Релиз дистрибутива openSUSE Leap 15
Обсуждение (37 +7) | Тип: Программы |
17.07.2018 Релиз системы сборки CMake 3.12 (21 +7)
  Доступен релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.12, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD.

CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки.

Основные улучшения:

  • Команда target_link_libraries() теперь может использоваться для библиотек объектных файлов (Object Libraries);
  • В команды file(GLOB) и file(GLOB_RECURSE) добавлен флаг CONFIGURE_DEPENDS, которые позволяет обрабатывать зависимости системы сборки в процессе перебора содержимого каталогов;
  • Средства для настройки параметров компилятора (Compile Features) теперь учитывают особенности стандарта C++ 20, но набор мета-флагов "cxx_std_20" пока остаётся пустым;
  • В генераторы для Visual Studio 2017 в CMAKE_GENERATOR_TOOLSET добавлена поддержка опции "version=14.##" для явного выбора версии инструментария;
  • В режим сборки (cmake --build) добавлена опция "--parallel [jobs]" ("-j [jobs]") для определения числа параллельно запускаемых сборочных процессов;
  • Добавлена команда add_compile_definitions() для указания конструкций препроцессора, применяемых для текущего уровня иерархии каталогов;
  • В команды cmake_minimum_required() и cmake_policy(VERSION) добавлена возможность указания диапазонов версий в форме "min...max";
  • В команде find_package() обеспечена поддержка поиска префикса, указанного в параметре или переменной окружения PackageName_ROOT;
  • Добавлены новые выражения генератора "$‹GENEX_EVAL:…›", "$‹TARGET_GENEX_EVAL:target,…›", "$‹TARGET_EXISTS:…›" и "$‹TARGET_NAME_IF_EXISTS:…›";
  • В модулях FindCURL, FindALSA, FindLibXml2 и FindJPEG обеспечена установка флагов импортирования;
  • Добавлен модуль FindODBC для поиска библиотеки ODBC (Open Database Connectivity);
  • Добавлены модули FindPython, FindPython3 и FindPython2 для определения наличия окружений для выполнения скриптов на языке Python.

  1. Главная ссылка к новости
  2. OpenNews: Релиз системы сборки CMake 3.11
  3. OpenNews: Выпуск системы сборки GNU Make 4.2
  4. OpenNews: Выпуск системы сборки пакетов Open Build Service 2.8 с поддержкой технологии Snap
  5. OpenNews: Доступна система сборки Meson 0.42, на которую переходят systemd, GTK+ и GNOME
  6. OpenNews: Разработчик языка XL опубликовал новую сборочную систему build
Обсуждение (21 +7) | Тип: Программы |
17.07.2018 Компания Oracle выпустила обновление Solaris 11.3 SRU 34 (51 +3)
  Сформировано обновление операционной системы Solaris 11.3 SRU 34, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования.

Основные изменения в Solaris 11.3 SRU 34:

  • Добавлены новые версии с устранением уязвимостей: ProFTPD 1.3.6, git 2.15.2, Firefox 52.9.0esr, p7zip, gnupg, dtrace, COMSTAR sbd module, Apache APR 1.5;
  • Обновлены версии программ: GCC 7.3, OpenLDAP 2.4.45, dejagnu 1.6;
  • Улучшена пропускная способность при использовании сетевых адаптеров Fortville;
  • Решены проблемы с загрузкой на системах x86 при использовании загрузчика GRUB.

Одновременно с Solaris 11.3 SRU 34 сформирован новый бета выпуск Solaris 11.4 Open Beta Refresh 2, в котором обновлены версии 56 библиотек и утилит, а также добавлена техника KPTI (Kernel Page Table Isolation) для защиты от уязвимости Meltdown.

  1. Главная ссылка к новости
  2. OpenNews: Компания Oracle выпустила обновление Solaris 11.3 SRU 33
  3. OpenNews: Выпуск дистрибутива OpenIndiana 2018.04, продолжающего развитие OpenSolaris
  4. OpenNews: Второй бета-выпуск Oracle Solaris 11.4
  5. OpenNews: Выпуск дистрибутива OpenIndiana 2017.10, продолжающего развитие OpenSolaris
Обсуждение (51 +3) | Тип: Программы |
17.07.2018 Mozilla и Xiph развивают реализацию видеокодека AV1 на языке Rust (94 +13)
  В рамках проекта rav1e разработчики из сообществ Xiph и Mozilla развивают экспериментальный кодировщик для формата кодирования видео AV1, написанный на языке Rust и отличающийся от эталонного кодировщика libaom более высокой скоростью кодирования и повышенным вниманием к обеспечению безопасности. AV1 заметно опережает x264 и libvpx-vp9 по уровню сжатия, но из-за усложнения алгоритмов предложенная реализация кодировщика требует существенно больше времени для кодирования (по скорости кодирования libaom отстаёт от libvpx-vp9 в сотни раз, а от x264 в тысячи раз). Новый вариант кодировщика на языке Rust в настоящее время обеспечивает производительность кодирования на уровне 5 кадров в секунду для видео с качеством 480p.

  1. Главная ссылка к новости
  2. OpenNews: Результаты тестирования AV1 в Facebook. Новый формат JPEG XS
  3. OpenNews: Увидел свет первый выпуск открытого видеокодека нового поколения AV1
  4. OpenNews: Компания Cisco представила свободный видеокодек Thor, конкурирующий с VP9 и H.265
  5. OpenNews: GoPro перевёл видеокодек CineForm в разряд открытых проектов
  6. OpenNews: Компания Apple присоединилась к альянсу, развивающему свободный видеокодек
Обсуждение (94 +13) | Тип: Программы |
17.07.2018 Релиз http-сервера Apache 2.4.34 (28 +7)
  Опубликован релиз HTTP-сервера Apache 2.4.34, в котором представлено 38 изменений, не связанных с безопасностью.

Основные улучшения:

  • Разрешено использовать символ подчёркивания ("_") в именах хостов;
  • Расширены возможности модуля mod_md, разработанного проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Реализована возможность указания дополнительных параметров в директиве MDNotifyCmd, проверки ACME ограничены только доменами для которых явно активирован модуль, улучшена интеграция с libressl;
  • В mod_proxy_http для worker-процессов добавлен новый параметр 'responsefieldsize', позволяющий увеличить максимальный размер заголовка в HTTP-ответе (по умолчанию 8192);
  • В mod_ssl в директиве SSLOCSPEnable обеспечена поддержка режима 'leaf' для проверки только финальных элементов в цепочке сертификатов;
  • В mod_proxy_balancer добавлен новый тип для узлов горячей замены (Hot spare) и связанный с ними флаг "R". Узлы горячей замены позволяет на лету подхватить обработку запросов от вышедших из строя обработчиков без изменения набора балансировщиков. Ранее доступные резервные обработчики (hot standby) отличаются тем, что берут на себя обработку запросов только после выхода из строя всех штатных обработчиков.
  • В suexec добавлена опция "--enable-suexec-capabilites" для установки отдельных capability (setuid/setgid) вместо запуска в виде setuid root;
  • В suexec добавлена возможность сохранения лога в отдельном файле (вместо syslog). Для настройки связанного с логами поведения добавлены опции "--without-suexec-logfile" и "--with-suexec-syslog";
  • Добавлены новые условные секции IfFile, IfDirective и IfSection для применения настроек в случае существования файла, директивы или секции.

Дополнение: раскрыты сведения об устранению в Apache httpd 2.4.34 двух уязвимостей в модулях mod_md и mod_http2, которые могут привести к отказу в обслуживании после отправки определённым образом оформленных запросов.

  1. Главная ссылка к новости
  2. OpenNews: Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости
  3. OpenNews: Релиз http-сервера Apache 2.4.33. Фонду Apache исполнилось 19 лет
  4. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
  5. OpenNews: Выпуск http-сервера lighttpd 1.4.49
  6. OpenNews: Проблемы в systemd и Apache httpd при обработке DNS-имён с символом подчёркивания
Обсуждение (28 +7) | Тип: Программы |
17.07.2018 Уязвимости в системе печати CUPS (12 +7)
  В системе печати CUPS выявлено несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian и Ubuntu, но проблема не затрагивает дистрибутивы на базе RHEL). Исправления пока доступны в виде патчей.
  • CVE-2018-4180 - ошибка в обработчике переменных окружения в dnssd позволяет поднять свои привилегии в системе через установку специально оформленного значения в переменной окружения CUPS_SERVERBIN;
  • CVE-2018-4181 - некорректная обработка директивы включения других файлов в конфигурацию (include) позволяет непривилегированному пользователю прочитать содержимое любых файлов в системе;
  • CVE-2018-6553 - некорректная настройка профиля AppArmor для защиты бэкенда dnssd позволяет обойти ограничения доступа cupsd к основной системе через создание обработчика dnssd с другим именем, созданного при помощи жесткой ссылки на dnssd;
  • CVE-2017-18248 - отсутствие проверки использования недопустимых символов в имени пользователя в заданиях вывода на печать может применяться для удалённого инициирования краха CUPS;
  • CVE-2017-15400 - возможность запуска произвольных команд с правами демона CUPS через настройку подставного сервера IPP и передачу специально оформленного файла PPD;

  1. Главная ссылка к новости
  2. OpenNews: Компания Apple объявила о смене лицензии на систему печати CUPS
  3. OpenNews: Релиз системы печати CUPS 2.2
  4. OpenNews: Релиз системы печати CUPS 2.1 с начальной поддержкой 3D-принтеров
  5. OpenNews: Уязвимости в X.Org Server и CUPS
  6. OpenNews: Релиз системы печати CUPS 2.0 с поддержкой systemd
Обсуждение (12 +7) | Тип: Проблемы безопасности |
17.07.2018 Slackware Linux исполнилось 25 лет (70 +46)
  25 лет назад, 17 июля 1993 года, Патрик Фолькердинг (Patrick Volkerding) представил первый релиз дистрибутива Slackware Linux. Slackware Linux является старейшим из ныне существующих дистрибутивов, оказавшим влияние на многие проекты. Наиболее известным ответвлением от Slackware являются SUSE Linux. Из продолжающих развитие модификаций Slackware можно отметить Slackware Live Edition, Salix (позиционируется как MiniSlack), Zenwalk и Absolute Linux.

Первый выпуск Slackware был основан на ядре Linux 0.99pl10 и собран с использованием gcc 2.4.5. Графическое окружение было построено с использованием XFree-86 1.3 и оконного менеджера Open Look. Расцвет Slackware пришёлся на 1994-96 годы, в которые дистрибутив занимал лидирующие позиции среди других систем. Например, Slackware стал первым дистрибутивом, выпустившим релизы на основе ядра Linux 1.0 и 2.0 (Debian Buzz с ядром 2.0 вышел на несколько недель позже, а Red Hat 4.0 отстал на несколько месяцев). В последующем такие проекты, как Debian, Red Hat и SUSE, вытеснили Slackware, но вопреки многочисленным прогнозам о скором забвении проекта, дистрибутив по-прежнему жив и обновляется.

Основной причиной долгой жизни дистрибутива является неиссякаемый энтузиазм Патрика Фолькердинга, который спустя 25 лет по-прежнему остаётся лидером и основным разработчиком проекта. Кроме того, несмотря на солидный возраст, дистрибутив смог сохранить самобытность и простоту в организации работы. Отсутствие усложнений и простая система инициализации в стиле классических систем BSD делают дистрибутив интересным решением для изучения работы Unix-подобных систем, проведения экспериментов и знакомства с Linux.

  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива Slackware 14.2
  3. OpenNews: Проекту Mozilla исполняется 20 лет
  4. OpenNews: Проекту FreeBSD исполнилось 25 лет
  5. OpenNews: Slackware Linux - 10 лет.
Обсуждение (70 +46) | Тип: К сведению |
16.07.2018 Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI (145 +24)
  Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В настоящее время расширение SNI, необходимое для организации работы на одном IP-адресе наскольких HTTPS-сайтов со своими сертификатами, подразумевает передачу имени хоста на стадии согласования соединения в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи.

С одной стороны подобная особенность упрощает организацию обработки запросов на http-серверах и позволяет использовать прокси и CDN-сети для проброса шифрованного трафика, но с другой стороны раскрывает информацию о запрошенных ресурсах для транзитных наблюдателей, например, позволяет провайдеру судить о запрашиваемых пользователем сайтах и выборочно фильтровать трафик. До недавнего времени CDN-сети Amazon и Google предоставляли возможность скрытия имени хоста при помощи техники "domain fronting", позволявшей обращаться по HTTPS с указанием в SNI фиктивного хоста и фактической передачей имени запрашиваемого хоста в HTTP-заголовке Host внутри TLS-сеанса (данная возможность позволяла использовать CDN для обхода блокировок и весной была отключена).

Поддержка начальной черновой спецификации ESNI уже реализована в библиотеках BoringSSL (используется в Chromium), NSS (используется в Firefox) и picotls (используется в http-сервере h2o). При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

  1. Главная ссылка к новости
  2. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  3. OpenNews: TLS 1.3 получил статус предложенного стандарта
  4. OpenNews: Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
Обсуждение (145 +24) | Тип: К сведению |
16.07.2018 Выпуск GNU Binutils 2.31 (16 +11)
  Представлен релиз набора системных утилит GNU Binutils 2.31, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, strings, strip.

В новой версии:

  • Ускорено выполнение операций прямого связывания DLL для Cygwin и Mingw;
  • В компоновщике в Linux по умолчанию включён режим "-z separate-code", повышающий защищённость исполняемых файлов ценой небольшого увеличения размера и потребления памяти;
  • В дизассемблер добавлена поддержка файлов с прошивками в формате Netronome Flow Processor (NFP);
  • В дизассемблере для архитектуры AArch64 обеспечен вывод предупреждений о некорректном применении процессорных инструкций;
  • В менеджер архивов AR добавлена поддержка модификатора "O" для отображения смещений файлов-составных частей в архиве;
  • В ассемблере для MIPS добавлена поддержка расширений Global INValidate (GINV) и Cyclic Redudancy Check (CRC);
  • Добавлена поддержка архитектуры Freescale S12Z;
  • В ассемблер добавлена опция "--generate-missing-build-notes=[yes|no]" для создания примечаний GNU Build Attribute;
  • Для систем x86 удалена опция "-mold-gcc";
  • В ассемблере для x86 добавлена поддержка опций "-O[2|s]" для включения альтернативных схем укороченного кодирования инструкций;
  • В компоновщик gold добавлена поддержка инструкций Intel's Indirect Branch Tracking (IBT) и Shadow Stack. Добавлена опция "--debug=plugin" для упрощения отладки плагинов. Обеспечена поддержка опции "-z keep_text_section_prefix" и секции ".note.gnu.property".

  1. Главная ссылка к новости
  2. OpenNews: Выпуск набора базовых системных утилит GNU Coreutils 8.30
  3. OpenNews: Релиз util-linux 2.30
  4. OpenNews: Релиз netutils-linux 2.5, утилит для мониторинга и тюнинга сетевого стека Linux
  5. OpenNews: Выпуск GNU Binutils 2.28
  6. OpenNews: Выпуск GNU Diffutils 3.4 с поддержкой цветного вывода
Обсуждение (16 +11) | Тип: Программы |
16.07.2018 Оценка безопасности новой системы контейнерной изоляции Nabla (10 +9)
  Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, входивший в координационный технический комитет Linux Foundation, опубликовал результаты анализа безопасности различных систем контейнерной изоляции, включая традиционные контейнеры Docker, недавно представленную систему Nabla, нацеленную на минимизацию выполняемых в основном ядре системных вызовов, и гибридные системы gVisor и Kata Containers с изоляцией на базе гипервизоров.

Для каждого типа систем оценивался уровень защищённости от совершения горизонтальных атак (HAP, Horizontal Attack Profile), при которых брешь в одном из базовых слоёв (например, в ядре Linux или гипервизоре) может привести к полной компрометации всей инфраструктуры и получению контроля за корневым окружением и всеми запущенными контейнерами. Уровень безопасности HAP зависит от объёма привилегированного кода, который вызывается в процессе работы той или оной системы контейнерной изоляции или виртуализации. Чем меньше привилегированного кода вовлечено в выполнение контейнера тем выше безопасность всей системы, так как сокращается число потенциальных векторов для атак и уменьшается вероятность присутствия уязвимостей.

Основным путём совершения горизонтальных атак для контейнеров являются системные вызовы, обработка которых выполняется на стороне общего ядра и, в случае наличия уязвимости в одном из обработчиков системного вызова, злоумышленник, имеющий доступ к одному из контейнеров, может получить контроль над всей инфраструктурой. В случае применения виртуализации на базе гипервизоров главными объектами для атак становятся гипервизор и прослойки для обеспечения доступа к оборудованию или эмуляции оборудования. В системах контейнерной изоляции предоставляется доступ к около 300 системным вызовам, что примерно в 10 раз превышает число гипервызовов (hypercall).

Из-за использования общего ядра Linux обычные контейнеры предоставляют больше векторов для совершения горизонтальных атак. Выходом могли бы стать комбинированные решения на базе виртуализации, использующие легковесное системное окружение, но из-за больших накладных расходов они проигрывают по производительности (наблюдается снижение производительности на 10-30%) и требуют для своей работы больше памяти. В качестве варианта, который обеспечивал бы должную производительность и защищённость, недавно была представлена система контейнерной изоляции Nabla.

В Nabla используется только 9 системных вызовов, а вся основная функциональность, включая TCP/IP стек и код файловых систем, реализована в виде работающего в пространстве пользователя unikernel, не привязанного к ядру ОС и системным библиотекам. Данную систему можно рассматривать как аналог проектов для запуска приложений поверх гипервизора, но вместо гипервизора Nabla использует обычные механизмы контейнерной изоляции с жесткой блокировкой доступа к системным вызовам при помощи фильтров seccomp.

В качестве основы в окружениях Nabla задействованы наработки открытого компанией IBM проекта Solo5, предоставляющего изолированное окружение для запуска произвольных unikernel, в том числе развиваемых проектами Rump, MirageOS и IncludeOS. Вся необходимая системная функциональность прикрепляется к приложению во время сборки. Среди протестированных приложений Nginx, Python, Redis и Node.js, для которых подготовлены типовые образы контейнеров. Для запуска контейнеров применяется runtime runnc (переработанный runc), интегрируемый с инструментарием Docker и совместимый со спецификацией OCI (Open Container Initiative).

Для анализа безопасности была проведена оценка охвата привилегированного кода, который вовлекается при выполнении изолированных окружений. В частности, было посчитано число уникальных функций ядра, которые были вызваны в процессе работы окружений с Redis, Python и Node.js. Для контейнеров при помощи ftrace учитывалось число выполненных системных вызовов, а для систем виртуализации число гипервызовов и обращений к бэкендам, выполняемым на стороне kvm vhost или Xen dom0.

В результате в Nabla было зафиксировано в 2-3 раза меньше вызовов по сравнению с другими механизмами изоляции, в том числе по сравнению с gVisor (используется собственное мини-ядро на языке Go, предоставляющее необходимые системные вызовы) и Kata Containers (применяется урезанный вариант обычного ядра Linux).

Измерение производительности тестовых заданий на базе Redis, Python и Node.js показало, что показатели конетейнеров Nabla сравнимы с Kata Containers и отстают от Docker на 10-30%. Узким местом Nabla стала реализация сетевого стека в пространстве пользователя. При использовании конфигурации с оркестровкой контейнера напрямую (nabla-raw) без сетевого взаимодействия, производительность Nabla достигла уровня Docker. Низкая производительность gVisor объясняется большими накладными расходами при использовании ptrace и гипервызовов (gVisor-kvm) для привязки системных вызовов к изолированному окружению.

  1. Главная ссылка к новости
  2. OpenNews: Google открыл gVisor, гибрид системы виртуализации и контейнеров
  3. OpenNews: Выпуск MirageOS 2.5, платформы для запуска приложений поверх гипервизора
  4. OpenNews: В рамках проекта IncludeOS развивается ядро для обособленного запуска C++-приложений
  5. OpenNews: Компании Intel и Hyper представили проект Kata Containers
  6. OpenNews: Выпуск Kata Containers 1.0 с изоляцией на основе виртуализации
Обсуждение (10 +9) | Тип: К сведению |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor