The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·22.05 Тестирование рабочего стола KDE Plasma 5.25 (105 +17)
  Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.25. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 14 июня.

Ключевые улучшения:

  • В конфигураторе переработана страница для настройки общей темы оформления. Предоставлена возможность выборочного применения элементов темы, таких как стиль приложений и рабочего стола, шрифты, цвета, тип обрамления окон, пиктограммы и курсоры, а также отдельного применения темы к заставке и интерфейсу блокировки экрана.
  • Добавлен отдельный анимационный эффект, применяемый при вводе неверного пароля.
  • Добавлен диалог для управления группами виджетов (Containment) на экране в режиме редактирования, позволяющий наглядно управлять расположением панелей и апплетов в привязке к разным мониторам.
  • Добавлена возможность применения цвета выделения активных элементов (accent) в привязке к обоям рабочего стола, а также использования акцентного цвета для заголовков и изменения тона всей цветовой схемы. В тему Breeze Classic интегрирована поддержка раскраски заголовков акцентным цветом.
  • Добавлен затухающий эффект для плавной смены между старой и новой цветовыми схемами.
  • В панелях и в системном лотке включена навигация при помощи клавиатуры.
  • Добавлена настройка для управления включением режима управления с сенсорного экрана (на системах с x11 можно только включить или выключить по умолчанию режим сенсорного экрана, а при использовании wayland дополнительно можно автоматически переводить рабочий стол в режим сенсорного экрана при поступлении от устройства специального события). При включении режима сенсорного экрана обеспечено автоматичкеское увеличение отступов между пиктограммами в панели задач.
  • Для тем оформления предоставлена поддержка плавающих панелей.
  • Обеспечено сохранение позиции пиктограмм в режиме Folder View с привязкой к экранному разрешению.
  • В списке недавно открытых документов в контекстном меню менеджера задач разрешено отображение элементов не связанных с файлами, например, могут показываться недавние подключения к удалённым рабочим столам.
  • В оконном менеджере KWin реализована поддержка применения шейдеров в скриптах с реализацией эффектов. KWin-скрипты KCM переведены на QML. Добавлен новый эффект смешивания и улучшены эффекты сдвига.
  • Улучшена поддержка управления через экранные жесты. Добавлена возможность активации обзорного режима жестами на сенсорном экране или тачпаде. Добавлены возможность использования привязанных к краям экрана жестов в скриптовых эффектах.
  • В Центре управления программами (Discover) обеспечено отображение полномочий для приложений в формате Flatpak. В боковой панели реализован показ всех подкатегорий из выбранной категории приложений.

    Полностью переделана страница с информацией о приложении.

  • В настройках добавлен показ информации о выбранных обоях рабочего стола (название, автор).
  • На странице с информацией о системе (Info Center) расширена общая информация в блоке "About This System" и добавлена новая страница "Firmware Security", на которой, например, показано включён ли режим UEFI Secure Boot.
  • Продолжено улучшение работы сеанса на базе протокола Wayland.

  1. Главная ссылка к новости
  2. OpenNews: Релиз рабочего стола KDE Plasma 5.24
  3. OpenNews: Релиз браузера Falkon 3.2.0, развиваемого проектом KDE
  4. OpenNews: Выпуск KDE Gear 22.04, набора приложений от проекта KDE
  5. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 22.04
  6. OpenNews: Релиз десктоп-окружения Trinity R14.0.12, продолжающего развитие KDE 3.5
Обсуждение (105 +17) | Тип: Проблемы безопасности |


·22.05 Lotus 1-2-3 портирован для Linux (81 +33)
  Тэвис Орманди (Tavis Ormandy), исследователь безопасности из компании Google, ради интереса портировал для работы в Linux табличный процессор Lotus 1-2-3, выпущенный в 1988 году, за три года до появления самого Linux. Порт выполнен на основе переработки исполняемых файлов для UNIX, найденных в архиве с варезом на одной из BBS. Работа интересна тем, что портирование выполнено на уровне машинных кодов и динамического связывания без использования эмуляторов или виртуальных машин. В итоге получен исполняемый файл, способный запускаться в Linux без лишних прослоек. Инструментарий для адаптации имеющихся в открытом доступе исполняемых файлов Lotus 1-2-3 для запуска в Linux опубликован на GitHub.

При портировании выполнена адаптация к интерфейсу системных вызовов Linux, обеспечено перенаправление вызовов в glibc, произведена замена несовместимых функций и интегрирован альтернативный драйвер для вывода в терминал. В собственный экземпляр также добавлен обход проверки лицензии, но Тэвис владеет коробочной копией Lotus 1-2-3 для MS-DOS и имеет законное право на использование продукта. Создание порта не является первым экспериментом Тэвиса по запуску Lotus 1-2-3 в Linux, ранее он сопровождал специальный драйвер для DOSEMU, обеспечивающий работу DOS-версии Lotus 1-2-3 на современных терминалах. Теперь выполнена задача запуска Lotus 1-2-3 в Linux без использования эмулятора.

  1. Главная ссылка к новости
  2. OpenNews: Доступна бета-версия порта файлового менеджера Far для Linux, BSD и macOS
  3. OpenNews: Компания Microsoft портировала Sysmon для Linux и открыла его код
  4. OpenNews: Google портирует Chrome для ОС Fuchsia
  5. OpenNews: Выпущен порт операционной системы OpenVMS для архитектуры x86-64
  6. OpenNews: LoadLibrary, прослойка для загрузки Windows DLL в Linux-приложения
Обсуждение (81 +33) | Тип: К сведению |


·22.05 В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka (29 +2)
  В каталоге PyPI (Python Package Index) выявлена библиотека pymafka, содержащая вредоносный код. Библиотека распространялась с именем, похожим на популярный пакет pykafka с расчётом на то, что невнимательные пользователи перепутают подставной пакет с основным проектом (тайпсквоттинг). Вредоносный пакет был размещён 17 мая и до блокировки был загружен 325 раз.

Внутри пакета содержался скрипт "setup.py", который определял тип платформы и загружал специфичные для Windows, macOS и Linux троянские компоненты. Для Windows и macOS в каталоги "C:\Users\Public\iexplorer.exe" и "/var/tmp/zad" загружался компонент для атаки на систему пользователя, основанный на инструментарии Cobalt Strike, который после запуска периодически отправлял запросы на внешний сервер. В Linux загружался и запускался исполняемый файл "env", содержимое которого не удалось проанализировать так как на момент проведения анализа хост с которого предпринималась попытка загрузки уже был заблокирован.

  1. Главная ссылка к новости
  2. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
  3. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  4. OpenNews: Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений
  5. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
  6. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
Обсуждение (29 +2) | Тип: Проблемы безопасности |


·21.05 Выпуск системного менеджера systemd 251 (105 –3)
  После пяти месяцев разработки представлен релиз системного менеджера systemd 251.

Основные изменения:

  • Повышены системные требования. Минимальная поддерживаемая версия ядра Linux увеличена с 3.13 до 4.15. Для работы требуется наличие таймера CLOCK_BOOTTIME. Для сборки необходим компилятор с поддержкой стандарта C11 и расширений GNU (для заголовочных файлов продолжает использоваться стандарт C89).
  • Добавлена экспериментальная утилита systemd-sysupdate для автоматического определения, загрузки и установки обновлений с использованием атомарного механизма замены разделов, файлов или каталогов (используются два независимых раздела/файла/каталога, на одном из которых находится текущий работающий ресурс, а на другом устанавливается очередное обновление, после чего разделы/файлы/каталоги меняются местами).
  • Представлена новая внутренняя разделяемая библиотека libsystemd-core-<version>.so, которая устанавливается в каталог /usr/lib/systemd/system и соответствует существующей библиотеке libsystemd-shared-<version>.so. Использование разделяемой библиотеки libsystemd-core-<version>.so позволяет сократить общий установочный размер за счёт повторного использования бинарного кода. Номер версии может задаваться через параметр 'shared-lib-tag' в сборочной системе meson и даёт возможность дистрибутивам одновременно поставлять несколько версий данных библиотек.
  • Реализована передача в обработчики OnFailure/OnSuccess переменных окружения $MONITOR_SERVICE_RESULT, $MONITOR_EXIT_CODE, $MONITOR_EXIT_STATUS, $MONITOR_INVOCATION_ID и $MONITOR_UNIT с информации об отслеживаемом юните.
  • Для unit-ов реализована настройка ExtensionDirectories, которую можно использовать для организации загрузки компонентов расширения системы (System Extension) из обычных каталогов, а не дисковых образов. Содержимое каталога расширения системы накладывается при помощи OverlayFS и применяется для расширения иерархии каталогов /usr/ и /opt/, и добавления дополнительных файлов во время работы, даже если указанные каталоги примонтированы в режиме только для чтения. В команду 'portablectl attach --extension=' также добавлена поддержка указания каталога.
  • Для unit-ов, принудительно завершённых обработчиком systemd-oomd из-за нехватки памяти в системе, обеспечена передача признака 'oom-kill' и отражение в атрибуте 'user.oomd_ooms' числа принудительных завершений.
  • Для unit-ов добавлены новые спецификаторы путей %y/%Y, отражающие нормализованный путь к юниту (с раскрытием символических ссылок). Также добавлены спецификаторы %q для подстановки значения PRETTY_HOSTNAME и %d для подстановки CREDENTIALS_DIRECTORY.
  • В непривилегированных сервисах, запускаемых обычным пользователем с использованием флага "--user", разрешено изменение настроек RootDirectory, MountAPIVFS, ExtensionDirectories, *Capabilities*, ProtectHome, *Directory, TemporaryFileSystem, PrivateTmp, PrivateDevices, PrivateNetwork, NetworkNamespacePath, PrivateIPC, IPCNamespacePath, PrivateUsers, ProtectClock, ProtectKernelTunables, ProtectKernelModules, ProtectKernelLogs и MountFlags. Возможность доступна только при включении в системе пространства имён идентификаторов пользователя (user namespaces).
  • В настройке LoadCredential разрешено указание имени каталога в качестве аргумента, в этом случае предпринимается попытка загрузки учётных данных из всех файлов в указанном каталоге.
  • В systemctl в параметре "--timestamp" появилась возможность указания флага "unix" для показа времени в эпохальном формате (число секунд с 1 января 1970 года).
  • В "systemctl status" реализован флаг "old-kernel", показываемый если загруженное в сеансе ядро имеет более старый номер версии, чем доступное в системе базовое ядро. Также добавлен флаг "unmerged-usr" для определения, что содержимое каталогов /bin/ и /sbin/ сформировано не через символические ссылки на /usr.
  • Для запускаемых процессом PID 1 генераторов предоставлены новые переменные окружения $SYSTEMD_SCOPE (запуск из системного или пользовательского сервиса), $SYSTEMD_IN_INITRD (запуск из initrd или хост-окружения), $SYSTEMD_FIRST_BOOT (индикатор первой загрузки), $SYSTEMD_VIRTUALIZATION (наличие виртуализации или запуска в контейнере) и $SYSTEMD_ARCHITECTURE (архитектура, для которой собрано ядро).
  • В обработчике PID 1 реализована возможность загрузки параметров системных учётных данных из QEMU-интерфейса fw_cfg или через указание в командной строке ядра параметра systemd.set_credential. В директиве LoadCredential обеспечен автоматический поиск учётных данных в каталогах /etc/credstore/, /run/credstore/ и /usr/lib/credstore/, если в качестве аргумента указан относительный путь. Аналогичное поведение применено для директивы LoadCredentialEncrypted, в которой дополнительно проверяются каталоги /etc/credstore.encrypted/, /run/credstore.encrypted/ и /usr/lib/credstore.encrypted/.
  • В systemd-journald стабилизирована возможность экспорта в формате JSON. В командах "journalctl --list-boots" и "bootctl list" добавлена поддержка вывода в формате JSON (флаг "--json").
  • В udev добавлены новые файлы с базами данных hwdb, содержащие сведения о портативных устройствах (КПК, калькуляторы и т.п.) и устройствах, применяемых при создании звука и видео (DJ-пульты, кейпады).
  • В udevadm добавлены новые опции "--prioritized-subsystem" для задания приоритета следования систем (используется в systemd-udev-trigger.service для обработки в первую очередь блочных устройств и TPM), "--type=all", "--initialized-match" и "--initialized-nomatch" для выбора инициализированных или неинициализированных устройств, "udevadm info --tree" для показа дерева объектов в иерархии /sys/. В udevadm также добавлены новые команды "wait" и "lock" для ожидания появления в БД записи об устройстве и блокировки блочного устройства во время форматирования или записи таблицы разделов.
  • Добавлен новый набор символических ссылок на устройства /dev/disk/by-diskseq/<nr> для идентификации блочных устройств по порядковому номеру ("diskseq").
  • В файлы .link в секции [Match] добавлена поддержка параметра "Firmware" для сопоставления устройства по строке с описанием прошивки.
  • В systemd-networkd для unicast-маршрутов, настраиваемых через секцию [Route], значение scope изменено по умолчанию на "link" для соответствия поведению команды "ip route". В секцию [Bridge] добавлен параметр Isolated=true|false для настройки одноимённого атрибута сетевых мостов в ядре. В секции [Tunnel] добавлен параметр External для установки туннелю типа external (режим сбора метаданных). В секции [DHCPServer] добавлены параметры BootServerName, BootServerAddress и BootFilename для настройки адреса сервера, имени сервера и имени загрузочного файла, отправляемых сервером DHCP при загрузке в режиме PXE. В секции [Network] удалён параметр L2TP, вместо которого в .netdev файлах можно использовать новую настройку Local в привязке к интерфейсу L2TP.
  • Добавлен новый юнит "systemd-networkd-wait-online@<interface>.service", который можно использовать для ожидания поднятия определённого сетевого интерфейса.
  • Реализована возможность использования файлов .netdev для создания виртуальных устройств WLAN для настройки которых предложена секция [WLAN].
  • В файлах .link/.network в секции [Match] реализован параметр Kind для сопоставления по типу устройства ("bond", "bridge", "gre", "tun", "veth").
  • Обеспечен запуск systemd-resolved на более раннем этапе загрузки, в том числе реализован запуск из initrd при наличии systemd-resolved в образе initrd.
  • В systemd-cryptenroll добавлена опция --fido2-credential-algorithm для выбора алгоритма шифрования учётных данных и опция --tpm2-with-pin для управления вводом PIN-кода при разблокировке раздела с использованием TPM. В /etc/crypttab добавлена аналогичная опция tpm2-pin. При разблокировке устройств через TPM обеспечено шифрование параметров для защиты от перехвата ключей шифрования.
  • В systemd-timesyncd добавлен D-Bus API для динамического получения информации с NTP-сервера через IPC.
  • Для определения необходимости цветного вывода во всех командах реализована проверка переменной окружения COLORTERM в дополнение к ранее проверяемым NO_COLOR, SYSTEMD_COLORS и TERM.
  • В сборочной системе Meson реализована опция install_tag для выборочной сборки и установки необходимых компонентов: pam, nss, devel (pkg-config), systemd-boot, libsystemd, libudev. Добавлена сборочная опция default-compression для выбора алгоритма сжатия для systemd-journald и systemd-coredump.
  • В sd-boot в loader.conf добавлена экспериментальная настройка "reboot-for-bitlocker" для загрузки Microsoft Windows с BitLocker TPM.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системного менеджера systemd 250
  3. OpenNews: Уязвимости в systemd, Flatpak, Samba, FreeRDP, Clamav, Node.js
  4. OpenNews: Выпуск дистрибутива Devuan 4.0, форка Debian без systemd
  5. OpenNews: Системный менеджер InitWare, форк systemd, портирован для OpenBSD
  6. OpenNews: Выпуск системного менеджера systemd 249
Обсуждение (105 –3) | Тип: Программы |


·21.05 Ubuntu 22.10 перейдёт на обработку звука при помощи PipeWire вместо PulseAudio (205 +16)
  В репозитории, в котором ведётся разработка выпуска Ubuntu 22.10, произведён переход на использование по умолчанию мультимедийного сервера PipeWire для обработки звука. Пакеты, связанные с PulseAudio удалены из наборов desktop и desktop-minimal, а для обеспечения совместимости вместо библиотек для взаимодействия с PulseAudio добавлена работающая поверх PipeWire прослойка pipewire-pulse, которая позволяет сохранить работу всех существующих клиентов PulseAudio.

Решение по полному переходу на PipeWire в Ubuntu 22.10 подтвердила Хизер Эллсуорт (Heather Ellsworth) из компании Canonical. Отмечается, что в Ubuntu 22.04 в дистрибутиве использовались оба сервера - PipeWire применялся для обработки видео при записи скринкастов и предоставлении доступа к экрану, но звук продолжал обрабатываться с использованием PulseAudio. В Ubuntu 22.10 будет оставлен только PipeWire. Два года назад подобное изменение уже было внедрено в дистрибутиве Fedora 34, что позволило предоставить возможности профессиональной обработки звука, избавиться от фрагментации и унифицировать звуковую инфраструктуру для разных применений.

PipeWire предлагает расширенную модель безопасности, позволяющую управлять доступом на уровне отдельных устройств и конкретных потоков, и упрощающую организацию проброса звука и видео из изолированных контейнеров и в них. PipeWire может обрабатывать любые мультимедийные потоки и способен смешивать и перенаправлять не только потоки со звуком, но потоки с видео, а также управлять источниками видео (устройства захвата видео, web-камеры или выводимое приложениями содержимое экрана). PipeWire также может выступать в роли звукового сервера, обеспечивающего минимальные задержки и предоставляющего функциональность, комбинирующую возможности PulseAudio и JACK, в том числе учитывающую потребности систем профессиональной обработки звука, на которую не мог претендовать PulseAudio.

Основные возможности:

  • Захват и воспроизведение звука и видео с минимальными задержками;
  • Средства для обработки видео и звука в режиме реального времени;
  • Многопроцессная архитектура, позволяющая организовать совместный доступ к контенту нескольких приложений;
  • Модель обработки на основании графа мультимедийных узлов с поддержкой циклов обратной связи и атомарных обновлений графа. Допускается подключение обработчиков как внутри сервера, так и внешних плагинов;
  • Эффективный интерфейс доступа к видеопотокам через передачу файловых дескрипторов и доступа к звуку через совместно используемые кольцевые буферы (shared ringbuffer);
  • Возможность обработки мультимедийных данных от любых процессов;
  • Наличие плагина к GStreamer для упрощения интеграции с существующими приложениями;
  • Поддержка изолированных окружений и Flatpak;
  • Поддержка плагинов в формате SPA (Simple Plugin API) и возможность создания плагинов, работающих в режиме жесткого реального времени;
  • Гибкая система согласования используемых мультимедийных форматов и выделения буферов;
  • Использование одного фонового процесса для маршрутизации звука и видео. Возможность работы в форме звукового сервера, хаба для предоставления видео приложениям (например, для gnome-shell screencast API) и сервера для управления доступом к аппаратным устройствам захвата видео.
    1. Главная ссылка к новости
    2. OpenNews: Выпуск мультимедийного сервера PipeWire 0.3.35
    3. OpenNews: Представлен мультимедийный сервер PipeWire, идущий на смену PulseAudio
    4. OpenNews: Выпуск звукового сервера PulseAudio 15.0
    5. OpenNews: Релиз Linux-дистрибутива Fedora 34
Обсуждение (205 +16) | Тип: К сведению |


·21.05 На соревновании Pwn2Own 2022 продемонстрировано 5 взломов Ubuntu (66 +21)
  Подведены итоги трёх дней соревнований Pwn2Own 2022, ежегодно проводимых в рамках конференции CanSecWest. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams и Firefox. Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей. При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,155,000 долларов США.

На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Одна премия в 40 тысяч долларов была выплачена за демонстрацию локального повышения привилегий в Ubuntu Desktop через эксплуатацию двух проблем, связанных с переполнением буфера и двойным освобождением памяти. Четыре премии, размером 40 тысяч долларов каждая, были выплачены за демонстрацию повышения привилегий через эксплуатацию уязвимостей, связанных с обращением к памяти после её освобождения (Use-After-Free).

В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Другие успешные атаки:

  • 100 тысяч долларов за разработку эксплоита к Firefox, позволившего при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе.
  • 40 тысяч долларов за демонстрацию эксплоита, использующего переполнение буфера в Oracle Virtualbox для выхода из гостевой системы.
  • 50 тысяч долларов за эксплуатацию Apple Safari (переполнение буфера).
  • 450 тысяч долларов за взломы Microsoft Teams (разные команды продемонстрировали три взлома с наградой по 150 тысяч за каждый).
  • 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию переполнений буфера и повышение своих привилегий в Microsoft Windows 11.
  • 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию ошибки в коде проверки доступа для повышения своих привилегий в Microsoft Windows 11.
  • 40 тысяч долларов за эксплуатацию целочисленного переполнения для повышения своих привилегий в Microsoft Windows 11.
  • 40 тысяч долларов за эксплуатацию уязвимости, связанной с обращением к памяти после её освобождения (Use-After-Free), в Microsoft Windows 11.
  • 75 тысяч долларов за демонстрацию атаки на информационно-развлекательную систему автомобиля Tesla Model 3. В эксплоите использовались ошибки, приводящие к переполнению буфера и двойному освобождению памяти, вместе с ранее известной техникой обхода sandbox-изоляции.

Предприняты, но не увенчались успехом, отдельные попытки взлома Microsoft Windows 11 (6 успешных взломов и 1 неудачный), Tesla (1 успешный взлом и 1 неудачный) и Microsoft Teams (3 успешных взлома и 1 неудачный). Заявок на демонстрацию эксплоитов в Google Chrome в этом году не было.

  1. Главная ссылка к новости
  2. OpenNews: Обновление Firefox 100.0.2 с устранением критических уязвимостей
  3. OpenNews: Уязвимости в подсистеме eBPF, позволяющие выполнить код на уровне ядра Linux
  4. OpenNews: На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft
  5. OpenNews: На соревновании Pwn2Own 2020 продемонстрированы взломы Ubuntu, Windows, macOS и VirtualBox
  6. OpenNews: В Pwn2Own 2020 увеличены выплаты за взлом Tesla и возвращена номинация за взлом Ubuntu
Обсуждение (66 +21) | Тип: Проблемы безопасности |


·21.05 Компания HP анонсировала ноутбук, поставляемый с Linux-дистрибутивом Pop!_OS (162 +11)
  Компания HP анонсировала ноутбук HP Dev One, предназначенный для разработчиков приложений и поставляемый с дистрибутивом Linux Pop!_OS, основанным на пакетной базе Ubuntu 22.04 и оснащённым собственным окружением рабочего стола COSMIC. Ноутбук построен на базе 8-ядерного процессора AMD Ryzen 7 PRO, снабжён 14-дюймовым (FHD) экраном с антибликовым покрытием, 16 ГБ ОЗУ и 1TB NVMe. Заявленная стоимость 1099 долларов.

Поставляемый в дистрибутиве Pop!_OS рабочий стол COSMIC построен на базе модифицированной оболочки GNOME Shell и включает набор оригинальных дополнений к GNOME Shell, собственную тему оформления, свой набор пиктограмм, другие шрифты (Fira и Roboto Slab) и изменённые настройки. В отличие от GNOME, в COSMIC продолжает использоваться раздельное представление для навигации по открытым окнам и установленным приложениям. Для манипуляции окнами предоставлен как привычный для новичков традиционный режим управления при помощи мыши, так и мозаичный режим компоновки окон, позволяющий управлять работой только при помощи клавиатуры.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск дистрибутива Pop!_OS 22.04, развивающего рабочий стол COSMIC
  3. OpenNews: Компания System76 работает над созданием нового пользовательского окружения
  4. OpenNews: В дистрибутиве Pop!_OS 21.04 предложен новый рабочий стол COSMIC
  5. OpenNews: Открытая клавиатура Launch перешла на стадию приёма предзаказов
  6. OpenNews: Компания System76 объявила о разработке пользовательского окружения COSMIC
Обсуждение (162 +11) | Тип: К сведению |


·21.05 Уязвимость в подсистеме ядра Linux perf, позволяющая поднять привилегии (28 +5)
  В ядре Linux выявлена уязвимость (CVE-2022-1729), позволяющая локальному пользователю получить root-доступ к системе. Уязвимость вызвана состоянием гонки в подсистеме perf, которое можно использовать для инициирования обращения к уже освобождённой области памяти ядра (use-after-free). Проблема проявляется начиная с выпуска ядра 4.0-rc1. Возможность эксплуатации подтверждена для выпусков 5.4.193+.

Исправление пока доступно только в форме патча. Опасность уязвимости сглаживает то, что большинство дистрибутивов по умолчанию ограничивают доступ к perf для непривилегированных пользователей. В качестве обходного пути защиты можно выставить sysctl-параметр kernel.perf_event_paranoid в значение 3.

  1. Главная ссылка к новости
  2. OpenNews: В ядре Linux выявлены эксплуатируемые уязвимости в nf_tables, watch_queue и IPsec
  3. OpenNews: Удалённая DoS-уязвимость в ядре Linux, эксплуатируемая через отправку пакетов ICMPv6
  4. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
  5. OpenNews: Уязвимость в VFS ядра Linux, позволяющая повысить свои привилегии
  6. OpenNews: Уязвимость в механизме ucount ядра Linux, позволяющая повысить свои привилегии
Обсуждение (28 +5) | Тип: Проблемы безопасности |


·21.05 Сопровождающий симулятора SIMH изменил лицензию из-за разногласий, касающихся функциональности (48 –7)
  Марк Пиццолато (Mark Pizzolato), основной разработчик симулятора ретрокомпьютеров SIMH, добавил в текст лицензии ограничение, касающиеся возможности использования будущих изменений, вносимых в файлы sim_disk.c и scp.c. Остальные файлы проекта как и раньше распространяются под лицензией MIT.

Изменение лицензии стало реакцией на критику добавленной в прошлом году функции AUTOSIZE, в результате работы которой к образам дисков запускаемых в эмуляторе систем добавлялись метаданные, что на 512 байт увеличивало размер образа. Некоторые пользователи выразили недовольство таким поведением и рекомендовали сохранять метаданные не в самом образе, отражающем содержимое диска, а в отдельном файле. Так как убедить автора поменять поведение по умолчанию не удалось, некоторые производные проекты стали изменять указанную функциональность через применение дополнительных патчей.

Марк Пиццолато решил вопрос радикально, добавив в лицензию на проект пункт, запрещающий использовать весь новый код, который будет добавлен им в файлы sim_disk.c и scp.c после изменения текста лицензии, в случае изменении поведения или значений по умолчанию, связанных с функциональностью AUTOSIZE. Код sim_disk.c и scp.c, добавленный до изменения лицензии, как и раньше остаётся доступен под лицензией MIT.

Данное действие было раскритиковано другими участниками проекта, так как изменение было произведено без учёта мнения других разработчиков и теперь SIMH в целом может восприниматься как несвободный проект, что будет мешать его продвижению и интеграции с другими проектами. Марк Пиццолато указал на то, что изменения в лицензии касаются только файлов sim_disk.c и scp.c, разработанных лично им. Тем кто недоволен добавлением данных к образу при его загрузке, он рекомендовал подключать дисковые образы в режиме только для чтения или отключить функцию AUTOSIZE, добавив в файл конфигурации ~/simh.ini параметр "SET NOAUTOSIZE".

  1. Главная ссылка к новости
  2. OpenNews: Создатель форка Audacity покинул проект после конфликта при выборе нового имени
  3. OpenNews: Microsoft представил фреймворк MAUI, создав конфликт имён с проектами Maui и Maui Linux
  4. OpenNews: Конфликт из-за отображения шапки Санта-Клауса в открытом редакторе кода Visual Studio Code
  5. OpenNews: Автор Libopenaptx сменил лицензию, чтобы блокировать заимствование кода проектами Freedesktop
  6. OpenNews: Феномен копилефтных троллей, зарабатывающих на нарушителях лицензии CC-BY
Обсуждение (48 –7) | Тип: Тема для размышления |


·21.05 Выпуск Wine 7.9 и GE-Proton7-18 (31 +17)
  Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 7.9. С момента выпуска версии 7.8 было закрыто 35 отчётов об ошибках и внесено 323 изменения.

Наиболее важные изменения:

  • Начат перевод драйвера macOS на использование формата исполняемых файлов PE (Portable Executable) вместо ELF.
  • Проведена работа по устранению сбоев при запуске тестов ("make test") на платформе Windows.
  • Закрыты отчёты об ошибках, связанные с работой игр: Lego Rock Raiders, Stellaris.
  • Закрыты отчёты об ошибках, связанные с работой приложений: Editpad Lite 7, Ulead Photo Explorer 8.5, Cxbx Reloaded, Mavis Beacon Teaches Typing 15, VTFEdit.

Дополнительно можно отметить выпуск проекта GE-Proton7-18, в рамках которого энтузиастами формируются независимые от компании Valve расширенные сборки пакета для запуска Windows-приложений Proton, отличающиеся более свежей версией Wine, задействованием FFmpeg в FAudio и включением дополнительных патчей, решающих проблемы в различных игровых приложениях. В новой версии Proton GE осуществлён переход на кодовую базу Wine 7.8, обновлены компоненты dxvk и vkd3d, решены проблемы с запуском FFXIV Launcher.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine Staging 7.8 с улучшенной обработкой Alt+Tab для игр на базе движка Unity
  3. OpenNews: Выпуск Wine 7.8
  4. OpenNews: Выпуск Wine-wayland 7.7
  5. OpenNews: Проект Wine рассматривает возможность перевода разработки на платформу GitLab
  6. OpenNews: Проект Wine выпустил Vkd3d 1.3 с реализацией Direct3D 12
Обсуждение (31 +17) | Тип: Программы |


·20.05 Релиз Erlang/OTP 25 (37 +10)
  После года разработки cостоялся релиз функционального языка программирования Erlang 25, нацеленного на разработку распределённых отказоустойчивых приложений, обеспечивающих параллельную обработку запросов в режиме реального времени. Язык получил распространение в таких областях, как телекоммуникации, банковские системы, электронная коммерция, компьютерная телефония и организация мгновенного обмена сообщениями. Одновременно выпущен релиз OTP 25 (Open Telecom Platform) - сопутствующего набора библиотек и компонентов для разработки распределённых систем на языке Erlang.

Основные новшества:

  • Реализована новая конструкция "maybe ... end" для группировки нескольких выражений в одном блоке, похожая на "begin ... end", но не приводящая к экспорту переменных из блока.
  • Добавлена поддержка выборочной активации возможностей, позволяющая тестировать и постепенно внедрять новые и потенциально нарушающие совместимость возможности языка и runtime без нарушения работы существующего кода. Возможности могут включаться и отключаться как во время компиляции, так и при помощи директивы feature() в файлах с кодом. Например, для включения нового выражения maybe в коде можно указать "feature(maybe_expr,enable)".
  • В JIT-компиляторе реализованы оптимизации на основе информации о типах данных и добавлена поддержка 64-разрядных процессоров ARM (AArch64). Улучшена поддержка утилит perf и gdb, в которые обеспечена передача сведений о номерах строк в коде.
  • Добавлен новый модуль peer с функциями для запуска связанных узлов Erlang. После потери управляющего соединения с узлом работа узла автоматически завершается.
  • Добавлена поддержка OpenSSL 3.0.
  • В модуль maps добавлены функции groups_from_list/2 и groups_from_list/3 для группировки списка элементов.
  • В модуль lists добавлены функции uniq/1, uniq/2, enumerate/1 и enumerate/2 для отсеивания дублирующихся элементов в списке и генерации списка кортежей с номерами элементов.
  • В модуле rand реализован новый очень быстрый генератор псевдослучайных чисел.

  1. Главная ссылка к новости
  2. OpenNews: Релиз Erlang/OTP 24 с реализацией JIT-компилятора
  3. OpenNews: Релиз Erlang/OTP 23
  4. OpenNews: Умер Джо Армстронг, один из авторов языка программирования Erlang
  5. OpenNews: Выпуск документоориентированной СУБД Apache CouchDB 3.0
Обсуждение (37 +10) | Тип: Программы |


·20.05 Доступен Apache OpenMeetings 6.3, сервер для проведения web-конференций (11 +5)
  Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 6.3, позволяющего организовать проведение аудио- и видеоконференций через Web, а также совместную работу и обмен сообщениями между участниками. Поддерживаются как проведение вебинаров с одним выступающим докладчиком, так и конференций с произвольным числом участников, одновременно взаимодействующих между собой. Код проекта написан на Java и распространяется под лицензией Apache 2.0.

Среди дополнительных возможностей: средства для интеграции с календарём-планировщиком, отправки индивидуальных или широковещательных уведомлений и приглашений, совместного доступа к файлам и документам, поддержания адресной книги участников, ведения протокола мероприятия, совместного планирования выполнения задач, трансляции вывода запускаемых приложений (демонстрация скринкастов), проведения голосований и опросов.

Один сервер может обслуживать произвольное число конференций, проводимых в отдельных виртуальных конференц-залах и включающих свой набор участников. Сервер поддерживает гибкие инструменты управления полномочиями и мощную систему модерирования конференций. Управление и взаимодействие участников производится через web-интерфейс. В качестве СУБД могут использоваться MySQL и PostgreSQL.

В новом выпуске основное внимание было уделено исправлению ошибок и подготовке к переходу на использование JDK 17 (в будущем поддержка JRE 11 будет прекращена и JRE 17 станет обязательным). Решены проблемы с работой в новых версиях браузера Safari. Обновлены до актуальных версий поставляемые в комплекте библиотеки. Из видимых изменений проведена унификация диалогов для подтверждения операций.

  1. Главная ссылка к новости
  2. OpenNews: Доступен Apache OpenMeetings 6.2, сервер для проведения web-конференций
  3. OpenNews: Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1
  4. OpenNews: Выпуск децентрализованного коммуникационного клиента Jami
  5. OpenNews: Обновления систем видеоконференций Jitsi Meet Electron, OpenVidu и BigBlueButton
  6. OpenNews: Доступна Calla, платформа для проведения аудио/видеоконференций в форме RPG-игры
Обсуждение (11 +5) | Тип: Программы |


·20.05 Обновление Firefox 100.0.2 с устранением критических уязвимостей (29 +14)
  Опубликованы корректирующие выпуски Firefox 100.0.2, Firefox ESR 91.9.1 и Thunderbird 91.9.1 с исправлением двух уязвимостей, которым присвоен критический уровень опасности. На проходящем в эти дни соревновании Pwn2Own 2022 продемонстрирован рабочий эксплоит, позволивший при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе. Автору эксплоита присуждена премия в 100 тысяч долларов.

Первая уязвимость (CVE-2022-1802) присутствует в реализации оператора await и позволяет добиться повреждения методов в объекте Array через изменение свойства prototype ("prototype pollution"). Вторая уязвимость (CVE-2022-1529) даёт возможность изменить свойство prototype при обработке непроверенных данных во время индексации объектов JavaScript. Уязвимости позволяют выполнить JavaScript-код в привилегированном родительском процессе.

  1. Главная ссылка к новости
  2. OpenNews: В Firefox началось тестирование третьей версии манифеста Chrome
  3. OpenNews: Обновление Firefox 100.0.1. Усиление требований Mozilla к удостоверяющим центрам
  4. OpenNews: Релиз Firefox 100
  5. OpenNews: Доступна операционная система Capyloon, основанная на наработках Firefox OS
  6. OpenNews: На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft
Обсуждение (29 +14) | Тип: Проблемы безопасности |


·20.05 Google открыл наработки, связанные с защищённым сетевым протоколом PSP (105 +10)
  Компания Google объявила об открытии спецификаций и эталонной реализации протокола PSP (PSP Security Protocol), применяемого для шифрования трафика между датацентрами. Протокол использует похожую на IPsec ESP (Encapsulating Security Payloads) архитектуру инкапсуляции трафика поверх IP, обеспечивая шифрование, криптографический контроль целостности и аутентификацию источника. Код реализации PSP написан на языке Си и распространяется под лицензией Apache 2.0.

Особенностью PSP является оптимизация протокола для ускорения вычислений и снижения нагрузки на центральный процессор через вынос операций шифрования и расшифровки на сторону сетевых карт (offload). Для применения аппаратного ускорения требуется наличие специальных сетевых карт, совместимых с PSP. Для систем с сетевыми картами, не поддерживающими PSP, предложена программная реализация SoftPSP.

В качестве транспорта для передачи данных используется протокол UDP. Пакет PSP начинается с заголовка IP, после которого следует заголовок UDP и затем собственный заголовок PSP с информацией о шифровании и аутентификации. Далее прикрепляется содержимое оригинального пакета TCP/UDP, которое завершается финальным блоком PSP с контрольной суммой для подтверждения целостности. Заголовок PSP, а также заголовок и данные инкапсулируемого пакета всегда аутентифицированы для подтверждения подлинности пакета. Данные инкапсулируемого пакета могут могут быть зашифрованы, при этом допускается возможность выборочного применения шифрования с оставлением части TCP-заголовка в открытом виде (при сохранении контроля подлинности), например, для предоставления возможности инспектирования пакетов на транзитном сетевом оборудовании.

PSP не привязывается к какому-то определённому протоколу обмена ключами, предлагает несколько вариантов формата пакетов и поддерживает использование разных криптоалгоритмов. Например, предоставляется поддержка алгоритма AES-GCM для шифрования и проверки подлинности (аутентификации) и AES-GMAC для проверки подлинности без шифрования непосредственных данных, например когда данные не представляют ценности, но нужно гарантировать, что они не были подменены во время передачи и именно те, что были отправлены изначально.

В отличие от типовых VPN-протоколов в PSP применяется шифрование на уровне отдельных сетевых соединений, а не всего канала связи, т.е. PSP использует отдельные ключи шифрования для разных туннелируемых UDP- и TCP-соединений. Подобный подход даёт возможность добиться более строгой изоляции трафика от разных приложений и обработчиков, что актуально при выполнении на одном сервере приложений и сервисов разных пользователей.

В Google протокол PSP применяется как для защиты собственных внутренних коммуникаций, так и для защиты трафика клиентов Google Cloud. Протокол изначально рассчитан на эффективную работу в инфраструктурах уровня Google и должен обеспечивать аппаратное ускорение шифрования в условиях наличия миллионов активных сетевых соединений и установки сотен тысяч новых соединений в секунду.

Поддерживается два режима работы - "stateful" и "stateless". В режиме "stateless" ключи для шифрования передаются сетевой карте в дескрипторе пакета, а для расшифровки извлекаются из присутствующего в пакете поля SPI (Security Parameter Index) при помощи мастер-ключа (256-bit AES, хранится в памяти сетевой карты и заменяется каждые 24 часа), что позволяет экономить память сетевой карты и минимизировать информацию о состоянии шифрованных соединений, хранимую на стороне оборудования. В режиме "stateful" ключи для каждого соединения хранятся на сетевой карте в специальной таблице, по аналогии тем как реализовано аппаратное ускорение в IPsec.

PSP предоставляет своеобразную комбинацию возможностей протоколов TLS и IPsec/VPN. TLS подходил Google с точки зрения защиты на уровне отдельных соединений, но не устраивал из-за недостаточной гибкости для аппаратного ускорения и отсутствия поддержки UDP. IPsec обеспечивал независимость от протоколов и хорошо поддерживал аппаратное ускорение, но не поддерживал привязку ключей к отдельным соединениям, был рассчитан лишь на небольшое число создаваемых туннелей и имел проблемы с масштабированием аппаратного ускорения из-за хранения полного состояния шифрования в таблицах, размещаемых в памяти сетевой карты (например, для обработки 10 млн соединений требуется 5 ГБ памяти).

В случае PSP информация о состоянии шифрования (ключи, векторы инициализации, порядковые номера и т.п.) может передаваться в TX-дескрипторе пакета или в форме указателя на память хост-системы, не занимая память сетевой карты. По данным Google ранее на шифрование RPC-трафика в инфраструктуре компании тратилось примерно 0.7% вычислительной мощности и большой объём памяти. Внедрение PSP за счёт привлечения средств аппаратного ускорения позволило снизить этот показатель до 0.2%.

  1. Главная ссылка к новости
  2. OpenNews: Компания Intel развивает протокол HTTPA, дополняющий HTTPS
  3. OpenNews: Протокол QUIC получил статус предложенного стандарта
  4. OpenNews: Компания ExpressVPN открыла наработки, связанные с VPN-протоколом Lightway
  5. OpenNews: Выпуск qBittorrent 4.4 с поддержкой протокола BitTorrent v2
  6. OpenNews: Huawei развивает протокол NEW IP, нацеленный на использование в сетях будущего
Обсуждение (105 +10) | Тип: К сведению |


·19.05 Выпуск языка программирования Rust 1.61 (265 –8)
  Опубликован релиз языка программирования общего назначения Rust 1.61, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

  • Предоставлена возможность определения собственных кодов возврата из функции main. Изначально функция main в Rust могла возвращать только тип "()" (unit), что всегда указывало на успешный статус завершения, если разработчиком явно не вызвана функция "process::exit(code)". В Rust 1.26 при помощи нестабильного типажа Termination в функции main была предоставлена возможность возвращение значений "Ok" и "Err", соответствующих кодам EXIT_SUCCESS и EXIT_FAILURE в программах на языке Си. В Rust 1.61 типаж Termination переведён в разряд стабильных, а для представления конкретного кода возврата предложен отдельный тип ExitCode, который абстрагирует специфичные для платформы типы возвращаемых значений, предоставляя как предопределённые константы SUCCESS и FAILURE, так и метод From<u8> для возвращения произвольного кода возврата.
    
       use std::process::ExitCode;
    
       fn main() -> ExitCode {
           if !check_foo() {
               return ExitCode::from(42);
           }
           ExitCode::SUCCESS
       }
    
  • Стабилизированы дополнительные возможности функций, определённых с использованием выражения "const fn", которые могут вызываться не только как обычные функции, но и использоваться в любом контексте вместо констант. Данные функции вычисляются на этапе компиляции, а не в ходе выполнения, поэтому на них накладываются определённые ограничения, такие как возможность чтения только из констант. В новой версии внутри const-функций разрешены базовые операции с указателями на функции (разрешено создание, передача и приведение указателей, но не вызов функции по указателю); ограничения типажей (trait bounds) для обобщённых параметров const-функций, таких как T: Copy; динамически диспетчеризируемые типажи (dyn Trait); типы impl Trait для аргументов и возвращаемых значений функции.
  • Дескрипторы потоков Stdin, Stdout и Stderr в std::io теперь имеют cтатическое время жизни ("'static") при блокировке, что позволяет использовать конструкции вида "let out = std::io::stdout().lock();" с получением дескриптора и выставлением блокировки в одном выражении.
  • В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • Признак "const", определяющий возможность использования в любом контексте вместо констант, применён в функциях:

Дополнительно можно отметить статью "Rust: A Critical Retrospective" с обобщением впечатлений о языке Rust после написания на нём 100 тысяч строк кода в процессе разработки микроядерной операционной системы Xous, используемой в прошивках. Из недостатков отмечается трудный для восприятия синтаксис, незавершённость и продолжение развития языка, отсутствие повторяемых сборок, типовые проблемы с доверием к зависимостям в Crates.io, необходимость соблюдения определённой дисциплины для написания безопасного кода. Из возможностей превзошедших ожидания упоминаются средства для рефакторинга кода и переделки "хаков", добавленных при быстром создании прототипов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск языка программирования Rust 1.60
  3. OpenNews: В Rust-репозитории crates.io выявлен вредоносный пакет rustdecimal
  4. OpenNews: Шестая версия патчей для ядра Linux с поддержкой языка Rust
  5. OpenNews: Выпуск операционной системы Redox OS 0.7, написанной на языке Rust
  6. OpenNews: В написанной на Rust реализации OpenCL для Mesa обеспечена поддержка OpenCL 3.0
Обсуждение (265 –8) | Тип: Программы |


Следующая страница (раньше) >>



Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру