Ключевые улучшения:

• В конфигураторе переработана страница для настройки общей темы оформления. Предоставлена возможность выборочного применения элементов темы, таких как стиль приложений и рабочего стола, шрифты, цвета, тип обрамления окон, пиктограммы и курсоры, а также отдельного применения темы к заставке и интерфейсу блокировки экрана.
• Добавлен отдельный анимационный эффект, применяемый при вводе неверного пароля.
• Добавлен диалог для управления группами виджетов (Containment) на экране в режиме редактирования, позволяющий наглядно управлять расположением панелей и апплетов в привязке к разным мониторам.
• Добавлена возможность применения цвета выделения активных элементов (accent) в привязке к обоям рабочего стола, а также использования акцентного цвета для заголовков и изменения тона всей цветовой схемы. В тему Breeze Classic интегрирована поддержка раскраски заголовков акцентным цветом.
• Добавлен затухающий эффект для плавной смены между старой и новой цветовыми схемами.
• В панелях и в системном лотке включена навигация при помощи клавиатуры.
• Добавлена настройка для управления включением режима управления с сенсорного экрана (на системах с x11 можно только включить или выключить по умолчанию режим сенсорного экрана, а при использовании wayland дополнительно можно автоматически переводить рабочий стол в режим сенсорного экрана при поступлении от устройства специального события). При включении режима сенсорного экрана обеспечено автоматичкеское увеличение отступов между пиктограммами в панели задач.
• Для тем оформления предоставлена поддержка плавающих панелей.
• Обеспечено сохранение позиции пиктограмм в режиме Folder View с привязкой к экранному разрешению.
• В списке недавно открытых документов в контекстном меню менеджера задач разрешено отображение элементов не связанных с файлами, например, могут показываться недавние подключения к удалённым рабочим столам.
• В оконном менеджере KWin реализована поддержка применения шейдеров в скриптах с реализацией эффектов. KWin-скрипты KCM переведены на QML. Добавлен новый эффект смешивания и улучшены эффекты сдвига.
• Улучшена поддержка управления через экранные жесты. Добавлена возможность активации обзорного режима жестами на сенсорном экране или тачпаде. Добавлены возможность использования привязанных к краям экрана жестов в скриптовых эффектах.
• В Центре управления программами (Discover) обеспечено отображение полномочий для приложений в формате Flatpak. В боковой панели реализован показ всех подкатегорий из выбранной категории приложений.

  Полностью переделана страница с информацией о приложении.

  
• В настройках добавлен показ информации о выбранных обоях рабочего стола (название, автор).
• На странице с информацией о системе (Info Center) расширена общая информация в блоке "About This System" и добавлена новая страница "Firmware Security", на которой, например, показано включён ли режим UEFI Secure Boot.
• Продолжено улучшение работы сеанса на базе протокола Wayland.

1. Главная ссылка к новости
2. OpenNews: Релиз рабочего стола KDE Plasma 5.24
3. OpenNews: Релиз браузера Falkon 3.2.0, развиваемого проектом KDE
4. OpenNews: Выпуск KDE Gear 22.04, набора приложений от проекта KDE
5. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 22.04
6. OpenNews: Релиз десктоп-окружения Trinity R14.0.12, продолжающего развитие KDE 3.5

При портировании выполнена адаптация к интерфейсу системных вызовов Linux, обеспечено перенаправление вызовов в glibc, произведена замена несовместимых функций и интегрирован альтернативный драйвер для вывода в терминал. В собственный экземпляр также добавлен обход проверки лицензии, но Тэвис владеет коробочной копией Lotus 1-2-3 для MS-DOS и имеет законное право на использование продукта. Создание порта не является первым экспериментом Тэвиса по запуску Lotus 1-2-3 в Linux, ранее он сопровождал специальный драйвер для DOSEMU, обеспечивающий работу DOS-версии Lotus 1-2-3 на современных терминалах. Теперь выполнена задача запуска Lotus 1-2-3 в Linux без использования эмулятора.

1. Главная ссылка к новости
2. OpenNews: Доступна бета-версия порта файлового менеджера Far для Linux, BSD и macOS
3. OpenNews: Компания Microsoft портировала Sysmon для Linux и открыла его код
4. OpenNews: Google портирует Chrome для ОС Fuchsia
5. OpenNews: Выпущен порт операционной системы OpenVMS для архитектуры x86-64
6. OpenNews: LoadLibrary, прослойка для загрузки Windows DLL в Linux-приложения

Внутри пакета содержался скрипт "setup.py", который определял тип платформы и загружал специфичные для Windows, macOS и Linux троянские компоненты. Для Windows и macOS в каталоги "C:\Users\Public\iexplorer.exe" и "/var/tmp/zad" загружался компонент для атаки на систему пользователя, основанный на инструментарии Cobalt Strike, который после запуска периодически отправлял запросы на внешний сервер. В Linux загружался и запускался исполняемый файл "env", содержимое которого не удалось проанализировать так как на момент проведения анализа хост с которого предпринималась попытка загрузки уже был заблокирован.

1. Главная ссылка к новости
2. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
3. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
4. OpenNews: Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений
5. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
6. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи

Основные изменения:

• Повышены системные требования. Минимальная поддерживаемая версия ядра Linux увеличена с 3.13 до 4.15. Для работы требуется наличие таймера CLOCK_BOOTTIME. Для сборки необходим компилятор с поддержкой стандарта C11 и расширений GNU (для заголовочных файлов продолжает использоваться стандарт C89).
• Добавлена экспериментальная утилита systemd-sysupdate для автоматического определения, загрузки и установки обновлений с использованием атомарного механизма замены разделов, файлов или каталогов (используются два независимых раздела/файла/каталога, на одном из которых находится текущий работающий ресурс, а на другом устанавливается очередное обновление, после чего разделы/файлы/каталоги меняются местами).
• Представлена новая внутренняя разделяемая библиотека libsystemd-core-<version>.so, которая устанавливается в каталог /usr/lib/systemd/system и соответствует существующей библиотеке libsystemd-shared-<version>.so. Использование разделяемой библиотеки libsystemd-core-<version>.so позволяет сократить общий установочный размер за счёт повторного использования бинарного кода. Номер версии может задаваться через параметр 'shared-lib-tag' в сборочной системе meson и даёт возможность дистрибутивам одновременно поставлять несколько версий данных библиотек.
• Реализована передача в обработчики OnFailure/OnSuccess переменных окружения $MONITOR_SERVICE_RESULT, $MONITOR_EXIT_CODE, $MONITOR_EXIT_STATUS, $MONITOR_INVOCATION_ID и $MONITOR_UNIT с информации об отслеживаемом юните.
• Для unit-ов реализована настройка ExtensionDirectories, которую можно использовать для организации загрузки компонентов расширения системы (System Extension) из обычных каталогов, а не дисковых образов. Содержимое каталога расширения системы накладывается при помощи OverlayFS и применяется для расширения иерархии каталогов /usr/ и /opt/, и добавления дополнительных файлов во время работы, даже если указанные каталоги примонтированы в режиме только для чтения. В команду 'portablectl attach --extension=' также добавлена поддержка указания каталога.
• Для unit-ов, принудительно завершённых обработчиком systemd-oomd из-за нехватки памяти в системе, обеспечена передача признака 'oom-kill' и отражение в атрибуте 'user.oomd_ooms' числа принудительных завершений.
• Для unit-ов добавлены новые спецификаторы путей %y/%Y, отражающие нормализованный путь к юниту (с раскрытием символических ссылок). Также добавлены спецификаторы %q для подстановки значения PRETTY_HOSTNAME и %d для подстановки CREDENTIALS_DIRECTORY.
• В непривилегированных сервисах, запускаемых обычным пользователем с использованием флага "--user", разрешено изменение настроек RootDirectory, MountAPIVFS, ExtensionDirectories, *Capabilities*, ProtectHome, *Directory, TemporaryFileSystem, PrivateTmp, PrivateDevices, PrivateNetwork, NetworkNamespacePath, PrivateIPC, IPCNamespacePath, PrivateUsers, ProtectClock, ProtectKernelTunables, ProtectKernelModules, ProtectKernelLogs и MountFlags. Возможность доступна только при включении в системе пространства имён идентификаторов пользователя (user namespaces).
• В настройке LoadCredential разрешено указание имени каталога в качестве аргумента, в этом случае предпринимается попытка загрузки учётных данных из всех файлов в указанном каталоге.
• В systemctl в параметре "--timestamp" появилась возможность указания флага "unix" для показа времени в эпохальном формате (число секунд с 1 января 1970 года).
• В "systemctl status" реализован флаг "old-kernel", показываемый если загруженное в сеансе ядро имеет более старый номер версии, чем доступное в системе базовое ядро. Также добавлен флаг "unmerged-usr" для определения, что содержимое каталогов /bin/ и /sbin/ сформировано не через символические ссылки на /usr.
• Для запускаемых процессом PID 1 генераторов предоставлены новые переменные окружения $SYSTEMD_SCOPE (запуск из системного или пользовательского сервиса), $SYSTEMD_IN_INITRD (запуск из initrd или хост-окружения), $SYSTEMD_FIRST_BOOT (индикатор первой загрузки), $SYSTEMD_VIRTUALIZATION (наличие виртуализации или запуска в контейнере) и $SYSTEMD_ARCHITECTURE (архитектура, для которой собрано ядро).
• В обработчике PID 1 реализована возможность загрузки параметров системных учётных данных из QEMU-интерфейса fw_cfg или через указание в командной строке ядра параметра systemd.set_credential. В директиве LoadCredential обеспечен автоматический поиск учётных данных в каталогах /etc/credstore/, /run/credstore/ и /usr/lib/credstore/, если в качестве аргумента указан относительный путь. Аналогичное поведение применено для директивы LoadCredentialEncrypted, в которой дополнительно проверяются каталоги /etc/credstore.encrypted/, /run/credstore.encrypted/ и /usr/lib/credstore.encrypted/.
• В systemd-journald стабилизирована возможность экспорта в формате JSON. В командах "journalctl --list-boots" и "bootctl list" добавлена поддержка вывода в формате JSON (флаг "--json").
• В udev добавлены новые файлы с базами данных hwdb, содержащие сведения о портативных устройствах (КПК, калькуляторы и т.п.) и устройствах, применяемых при создании звука и видео (DJ-пульты, кейпады).
• В udevadm добавлены новые опции "--prioritized-subsystem" для задания приоритета следования систем (используется в systemd-udev-trigger.service для обработки в первую очередь блочных устройств и TPM), "--type=all", "--initialized-match" и "--initialized-nomatch" для выбора инициализированных или неинициализированных устройств, "udevadm info --tree" для показа дерева объектов в иерархии /sys/. В udevadm также добавлены новые команды "wait" и "lock" для ожидания появления в БД записи об устройстве и блокировки блочного устройства во время форматирования или записи таблицы разделов.
• Добавлен новый набор символических ссылок на устройства /dev/disk/by-diskseq/<nr> для идентификации блочных устройств по порядковому номеру ("diskseq").
• В файлы .link в секции [Match] добавлена поддержка параметра "Firmware" для сопоставления устройства по строке с описанием прошивки.
• В systemd-networkd для unicast-маршрутов, настраиваемых через секцию [Route], значение scope изменено по умолчанию на "link" для соответствия поведению команды "ip route". В секцию [Bridge] добавлен параметр Isolated=true|false для настройки одноимённого атрибута сетевых мостов в ядре. В секции [Tunnel] добавлен параметр External для установки туннелю типа external (режим сбора метаданных). В секции [DHCPServer] добавлены параметры BootServerName, BootServerAddress и BootFilename для настройки адреса сервера, имени сервера и имени загрузочного файла, отправляемых сервером DHCP при загрузке в режиме PXE. В секции [Network] удалён параметр L2TP, вместо которого в .netdev файлах можно использовать новую настройку Local в привязке к интерфейсу L2TP.
• Добавлен новый юнит "systemd-networkd-wait-online@<interface>.service", который можно использовать для ожидания поднятия определённого сетевого интерфейса.
• Реализована возможность использования файлов .netdev для создания виртуальных устройств WLAN для настройки которых предложена секция [WLAN].
• В файлах .link/.network в секции [Match] реализован параметр Kind для сопоставления по типу устройства ("bond", "bridge", "gre", "tun", "veth").
• Обеспечен запуск systemd-resolved на более раннем этапе загрузки, в том числе реализован запуск из initrd при наличии systemd-resolved в образе initrd.
• В systemd-cryptenroll добавлена опция --fido2-credential-algorithm для выбора алгоритма шифрования учётных данных и опция --tpm2-with-pin для управления вводом PIN-кода при разблокировке раздела с использованием TPM. В /etc/crypttab добавлена аналогичная опция tpm2-pin. При разблокировке устройств через TPM обеспечено шифрование параметров для защиты от перехвата ключей шифрования.
• В systemd-timesyncd добавлен D-Bus API для динамического получения информации с NTP-сервера через IPC.
• Для определения необходимости цветного вывода во всех командах реализована проверка переменной окружения COLORTERM в дополнение к ранее проверяемым NO_COLOR, SYSTEMD_COLORS и TERM.
• В сборочной системе Meson реализована опция install_tag для выборочной сборки и установки необходимых компонентов: pam, nss, devel (pkg-config), systemd-boot, libsystemd, libudev. Добавлена сборочная опция default-compression для выбора алгоритма сжатия для systemd-journald и systemd-coredump.
• В sd-boot в loader.conf добавлена экспериментальная настройка "reboot-for-bitlocker" для загрузки Microsoft Windows с BitLocker TPM.

1. Главная ссылка к новости
2. OpenNews: Выпуск системного менеджера systemd 250
3. OpenNews: Уязвимости в systemd, Flatpak, Samba, FreeRDP, Clamav, Node.js
4. OpenNews: Выпуск дистрибутива Devuan 4.0, форка Debian без systemd
5. OpenNews: Системный менеджер InitWare, форк systemd, портирован для OpenBSD
6. OpenNews: Выпуск системного менеджера systemd 249

Решение по полному переходу на PipeWire в Ubuntu 22.10 подтвердила Хизер Эллсуорт (Heather Ellsworth) из компании Canonical. Отмечается, что в Ubuntu 22.04 в дистрибутиве использовались оба сервера - PipeWire применялся для обработки видео при записи скринкастов и предоставлении доступа к экрану, но звук продолжал обрабатываться с использованием PulseAudio. В Ubuntu 22.10 будет оставлен только PipeWire. Два года назад подобное изменение уже было внедрено в дистрибутиве Fedora 34, что позволило предоставить возможности профессиональной обработки звука, избавиться от фрагментации и унифицировать звуковую инфраструктуру для разных применений.

PipeWire предлагает расширенную модель безопасности, позволяющую управлять доступом на уровне отдельных устройств и конкретных потоков, и упрощающую организацию проброса звука и видео из изолированных контейнеров и в них. PipeWire может обрабатывать любые мультимедийные потоки и способен смешивать и перенаправлять не только потоки со звуком, но потоки с видео, а также управлять источниками видео (устройства захвата видео, web-камеры или выводимое приложениями содержимое экрана). PipeWire также может выступать в роли звукового сервера, обеспечивающего минимальные задержки и предоставляющего функциональность, комбинирующую возможности PulseAudio и JACK, в том числе учитывающую потребности систем профессиональной обработки звука, на которую не мог претендовать PulseAudio.

Основные возможности:

• Захват и воспроизведение звука и видео с минимальными задержками;
• Средства для обработки видео и звука в режиме реального времени;
• Многопроцессная архитектура, позволяющая организовать совместный доступ к контенту нескольких приложений;
• Модель обработки на основании графа мультимедийных узлов с поддержкой циклов обратной связи и атомарных обновлений графа. Допускается подключение обработчиков как внутри сервера, так и внешних плагинов;
• Эффективный интерфейс доступа к видеопотокам через передачу файловых дескрипторов и доступа к звуку через совместно используемые кольцевые буферы (shared ringbuffer);
• Возможность обработки мультимедийных данных от любых процессов;
• Наличие плагина к GStreamer для упрощения интеграции с существующими приложениями;
• Поддержка изолированных окружений и Flatpak;
• Поддержка плагинов в формате SPA (Simple Plugin API) и возможность создания плагинов, работающих в режиме жесткого реального времени;
• Гибкая система согласования используемых мультимедийных форматов и выделения буферов;
• Использование одного фонового процесса для маршрутизации звука и видео. Возможность работы в форме звукового сервера, хаба для предоставления видео приложениям (например, для gnome-shell screencast API) и сервера для управления доступом к аппаратным устройствам захвата видео.
1. Главная ссылка к новости
2. OpenNews: Выпуск мультимедийного сервера PipeWire 0.3.35
3. OpenNews: Представлен мультимедийный сервер PipeWire, идущий на смену PulseAudio
4. OpenNews: Выпуск звукового сервера PulseAudio 15.0
5. OpenNews: Релиз Linux-дистрибутива Fedora 34

На соревнованиях продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop, предпринятых разными командами участников. Одна премия в 40 тысяч долларов была выплачена за демонстрацию локального повышения привилегий в Ubuntu Desktop через эксплуатацию двух проблем, связанных с переполнением буфера и двойным освобождением памяти. Четыре премии, размером 40 тысяч долларов каждая, были выплачены за демонстрацию повышения привилегий через эксплуатацию уязвимостей, связанных с обращением к памяти после её освобождения (Use-After-Free).

В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Другие успешные атаки:

• 100 тысяч долларов за разработку эксплоита к Firefox, позволившего при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе.
• 40 тысяч долларов за демонстрацию эксплоита, использующего переполнение буфера в Oracle Virtualbox для выхода из гостевой системы.
• 50 тысяч долларов за эксплуатацию Apple Safari (переполнение буфера).
• 450 тысяч долларов за взломы Microsoft Teams (разные команды продемонстрировали три взлома с наградой по 150 тысяч за каждый).
• 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию переполнений буфера и повышение своих привилегий в Microsoft Windows 11.
• 80 тысяч долларов (две премии по 40 тысяч) за эксплуатацию ошибки в коде проверки доступа для повышения своих привилегий в Microsoft Windows 11.
• 40 тысяч долларов за эксплуатацию целочисленного переполнения для повышения своих привилегий в Microsoft Windows 11.
• 40 тысяч долларов за эксплуатацию уязвимости, связанной с обращением к памяти после её освобождения (Use-After-Free), в Microsoft Windows 11.
• 75 тысяч долларов за демонстрацию атаки на информационно-развлекательную систему автомобиля Tesla Model 3. В эксплоите использовались ошибки, приводящие к переполнению буфера и двойному освобождению памяти, вместе с ранее известной техникой обхода sandbox-изоляции.

Предприняты, но не увенчались успехом, отдельные попытки взлома Microsoft Windows 11 (6 успешных взломов и 1 неудачный), Tesla (1 успешный взлом и 1 неудачный) и Microsoft Teams (3 успешных взлома и 1 неудачный). Заявок на демонстрацию эксплоитов в Google Chrome в этом году не было.

1. Главная ссылка к новости
2. OpenNews: Обновление Firefox 100.0.2 с устранением критических уязвимостей
3. OpenNews: Уязвимости в подсистеме eBPF, позволяющие выполнить код на уровне ядра Linux
4. OpenNews: На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft
5. OpenNews: На соревновании Pwn2Own 2020 продемонстрированы взломы Ubuntu, Windows, macOS и VirtualBox
6. OpenNews: В Pwn2Own 2020 увеличены выплаты за взлом Tesla и возвращена номинация за взлом Ubuntu

Поставляемый в дистрибутиве Pop!_OS рабочий стол COSMIC построен на базе модифицированной оболочки GNOME Shell и включает набор оригинальных дополнений к GNOME Shell, собственную тему оформления, свой набор пиктограмм, другие шрифты (Fira и Roboto Slab) и изменённые настройки. В отличие от GNOME, в COSMIC продолжает использоваться раздельное представление для навигации по открытым окнам и установленным приложениям. Для манипуляции окнами предоставлен как привычный для новичков традиционный режим управления при помощи мыши, так и мозаичный режим компоновки окон, позволяющий управлять работой только при помощи клавиатуры.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Pop!_OS 22.04, развивающего рабочий стол COSMIC
3. OpenNews: Компания System76 работает над созданием нового пользовательского окружения
4. OpenNews: В дистрибутиве Pop!_OS 21.04 предложен новый рабочий стол COSMIC
5. OpenNews: Открытая клавиатура Launch перешла на стадию приёма предзаказов
6. OpenNews: Компания System76 объявила о разработке пользовательского окружения COSMIC

Исправление пока доступно только в форме патча. Опасность уязвимости сглаживает то, что большинство дистрибутивов по умолчанию ограничивают доступ к perf для непривилегированных пользователей. В качестве обходного пути защиты можно выставить sysctl-параметр kernel.perf_event_paranoid в значение 3.

1. Главная ссылка к новости
2. OpenNews: В ядре Linux выявлены эксплуатируемые уязвимости в nf_tables, watch_queue и IPsec
3. OpenNews: Удалённая DoS-уязвимость в ядре Linux, эксплуатируемая через отправку пакетов ICMPv6
4. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
5. OpenNews: Уязвимость в VFS ядра Linux, позволяющая повысить свои привилегии
6. OpenNews: Уязвимость в механизме ucount ядра Linux, позволяющая повысить свои привилегии

Изменение лицензии стало реакцией на критику добавленной в прошлом году функции AUTOSIZE, в результате работы которой к образам дисков запускаемых в эмуляторе систем добавлялись метаданные, что на 512 байт увеличивало размер образа. Некоторые пользователи выразили недовольство таким поведением и рекомендовали сохранять метаданные не в самом образе, отражающем содержимое диска, а в отдельном файле. Так как убедить автора поменять поведение по умолчанию не удалось, некоторые производные проекты стали изменять указанную функциональность через применение дополнительных патчей.

Марк Пиццолато решил вопрос радикально, добавив в лицензию на проект пункт, запрещающий использовать весь новый код, который будет добавлен им в файлы sim_disk.c и scp.c после изменения текста лицензии, в случае изменении поведения или значений по умолчанию, связанных с функциональностью AUTOSIZE. Код sim_disk.c и scp.c, добавленный до изменения лицензии, как и раньше остаётся доступен под лицензией MIT.

Данное действие было раскритиковано другими участниками проекта, так как изменение было произведено без учёта мнения других разработчиков и теперь SIMH в целом может восприниматься как несвободный проект, что будет мешать его продвижению и интеграции с другими проектами. Марк Пиццолато указал на то, что изменения в лицензии касаются только файлов sim_disk.c и scp.c, разработанных лично им. Тем кто недоволен добавлением данных к образу при его загрузке, он рекомендовал подключать дисковые образы в режиме только для чтения или отключить функцию AUTOSIZE, добавив в файл конфигурации ~/simh.ini параметр "SET NOAUTOSIZE".

1. Главная ссылка к новости
2. OpenNews: Создатель форка Audacity покинул проект после конфликта при выборе нового имени
3. OpenNews: Microsoft представил фреймворк MAUI, создав конфликт имён с проектами Maui и Maui Linux
4. OpenNews: Конфликт из-за отображения шапки Санта-Клауса в открытом редакторе кода Visual Studio Code
5. OpenNews: Автор Libopenaptx сменил лицензию, чтобы блокировать заимствование кода проектами Freedesktop
6. OpenNews: Феномен копилефтных троллей, зарабатывающих на нарушителях лицензии CC-BY

Наиболее важные изменения:

• Начат перевод драйвера macOS на использование формата исполняемых файлов PE (Portable Executable) вместо ELF.
• Проведена работа по устранению сбоев при запуске тестов ("make test") на платформе Windows.
• Закрыты отчёты об ошибках, связанные с работой игр: Lego Rock Raiders, Stellaris.
• Закрыты отчёты об ошибках, связанные с работой приложений: Editpad Lite 7, Ulead Photo Explorer 8.5, Cxbx Reloaded, Mavis Beacon Teaches Typing 15, VTFEdit.

Дополнительно можно отметить выпуск проекта GE-Proton7-18, в рамках которого энтузиастами формируются независимые от компании Valve расширенные сборки пакета для запуска Windows-приложений Proton, отличающиеся более свежей версией Wine, задействованием FFmpeg в FAudio и включением дополнительных патчей, решающих проблемы в различных игровых приложениях. В новой версии Proton GE осуществлён переход на кодовую базу Wine 7.8, обновлены компоненты dxvk и vkd3d, решены проблемы с запуском FFXIV Launcher.

1. Главная ссылка к новости
2. OpenNews: Выпуск Wine Staging 7.8 с улучшенной обработкой Alt+Tab для игр на базе движка Unity
3. OpenNews: Выпуск Wine 7.8
4. OpenNews: Выпуск Wine-wayland 7.7
5. OpenNews: Проект Wine рассматривает возможность перевода разработки на платформу GitLab
6. OpenNews: Проект Wine выпустил Vkd3d 1.3 с реализацией Direct3D 12

Основные новшества:

• Реализована новая конструкция "maybe ... end" для группировки нескольких выражений в одном блоке, похожая на "begin ... end", но не приводящая к экспорту переменных из блока.
• Добавлена поддержка выборочной активации возможностей, позволяющая тестировать и постепенно внедрять новые и потенциально нарушающие совместимость возможности языка и runtime без нарушения работы существующего кода. Возможности могут включаться и отключаться как во время компиляции, так и при помощи директивы feature() в файлах с кодом. Например, для включения нового выражения maybe в коде можно указать "feature(maybe_expr,enable)".
• В JIT-компиляторе реализованы оптимизации на основе информации о типах данных и добавлена поддержка 64-разрядных процессоров ARM (AArch64). Улучшена поддержка утилит perf и gdb, в которые обеспечена передача сведений о номерах строк в коде.
• Добавлен новый модуль peer с функциями для запуска связанных узлов Erlang. После потери управляющего соединения с узлом работа узла автоматически завершается.
• Добавлена поддержка OpenSSL 3.0.
• В модуль maps добавлены функции groups_from_list/2 и groups_from_list/3 для группировки списка элементов.
• В модуль lists добавлены функции uniq/1, uniq/2, enumerate/1 и enumerate/2 для отсеивания дублирующихся элементов в списке и генерации списка кортежей с номерами элементов.
• В модуле rand реализован новый очень быстрый генератор псевдослучайных чисел.

1. Главная ссылка к новости
2. OpenNews: Релиз Erlang/OTP 24 с реализацией JIT-компилятора
3. OpenNews: Релиз Erlang/OTP 23
4. OpenNews: Умер Джо Армстронг, один из авторов языка программирования Erlang
5. OpenNews: Выпуск документоориентированной СУБД Apache CouchDB 3.0

Среди дополнительных возможностей: средства для интеграции с календарём-планировщиком, отправки индивидуальных или широковещательных уведомлений и приглашений, совместного доступа к файлам и документам, поддержания адресной книги участников, ведения протокола мероприятия, совместного планирования выполнения задач, трансляции вывода запускаемых приложений (демонстрация скринкастов), проведения голосований и опросов.

Один сервер может обслуживать произвольное число конференций, проводимых в отдельных виртуальных конференц-залах и включающих свой набор участников. Сервер поддерживает гибкие инструменты управления полномочиями и мощную систему модерирования конференций. Управление и взаимодействие участников производится через web-интерфейс. В качестве СУБД могут использоваться MySQL и PostgreSQL.

В новом выпуске основное внимание было уделено исправлению ошибок и подготовке к переходу на использование JDK 17 (в будущем поддержка JRE 11 будет прекращена и JRE 17 станет обязательным). Решены проблемы с работой в новых версиях браузера Safari. Обновлены до актуальных версий поставляемые в комплекте библиотеки. Из видимых изменений проведена унификация диалогов для подтверждения операций.

1. Главная ссылка к новости
2. OpenNews: Доступен Apache OpenMeetings 6.2, сервер для проведения web-конференций
3. OpenNews: Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1
4. OpenNews: Выпуск децентрализованного коммуникационного клиента Jami
5. OpenNews: Обновления систем видеоконференций Jitsi Meet Electron, OpenVidu и BigBlueButton
6. OpenNews: Доступна Calla, платформа для проведения аудио/видеоконференций в форме RPG-игры

Первая уязвимость (CVE-2022-1802) присутствует в реализации оператора await и позволяет добиться повреждения методов в объекте Array через изменение свойства prototype ("prototype pollution"). Вторая уязвимость (CVE-2022-1529) даёт возможность изменить свойство prototype при обработке непроверенных данных во время индексации объектов JavaScript. Уязвимости позволяют выполнить JavaScript-код в привилегированном родительском процессе.

1. Главная ссылка к новости
2. OpenNews: В Firefox началось тестирование третьей версии манифеста Chrome
3. OpenNews: Обновление Firefox 100.0.1. Усиление требований Mozilla к удостоверяющим центрам
4. OpenNews: Релиз Firefox 100
5. OpenNews: Доступна операционная система Capyloon, основанная на наработках Firefox OS
6. OpenNews: На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft

Особенностью PSP является оптимизация протокола для ускорения вычислений и снижения нагрузки на центральный процессор через вынос операций шифрования и расшифровки на сторону сетевых карт (offload). Для применения аппаратного ускорения требуется наличие специальных сетевых карт, совместимых с PSP. Для систем с сетевыми картами, не поддерживающими PSP, предложена программная реализация SoftPSP.

В качестве транспорта для передачи данных используется протокол UDP. Пакет PSP начинается с заголовка IP, после которого следует заголовок UDP и затем собственный заголовок PSP с информацией о шифровании и аутентификации. Далее прикрепляется содержимое оригинального пакета TCP/UDP, которое завершается финальным блоком PSP с контрольной суммой для подтверждения целостности. Заголовок PSP, а также заголовок и данные инкапсулируемого пакета всегда аутентифицированы для подтверждения подлинности пакета. Данные инкапсулируемого пакета могут могут быть зашифрованы, при этом допускается возможность выборочного применения шифрования с оставлением части TCP-заголовка в открытом виде (при сохранении контроля подлинности), например, для предоставления возможности инспектирования пакетов на транзитном сетевом оборудовании.

PSP не привязывается к какому-то определённому протоколу обмена ключами, предлагает несколько вариантов формата пакетов и поддерживает использование разных криптоалгоритмов. Например, предоставляется поддержка алгоритма AES-GCM для шифрования и проверки подлинности (аутентификации) и AES-GMAC для проверки подлинности без шифрования непосредственных данных, например когда данные не представляют ценности, но нужно гарантировать, что они не были подменены во время передачи и именно те, что были отправлены изначально.

В отличие от типовых VPN-протоколов в PSP применяется шифрование на уровне отдельных сетевых соединений, а не всего канала связи, т.е. PSP использует отдельные ключи шифрования для разных туннелируемых UDP- и TCP-соединений. Подобный подход даёт возможность добиться более строгой изоляции трафика от разных приложений и обработчиков, что актуально при выполнении на одном сервере приложений и сервисов разных пользователей.

В Google протокол PSP применяется как для защиты собственных внутренних коммуникаций, так и для защиты трафика клиентов Google Cloud. Протокол изначально рассчитан на эффективную работу в инфраструктурах уровня Google и должен обеспечивать аппаратное ускорение шифрования в условиях наличия миллионов активных сетевых соединений и установки сотен тысяч новых соединений в секунду.

Поддерживается два режима работы - "stateful" и "stateless". В режиме "stateless" ключи для шифрования передаются сетевой карте в дескрипторе пакета, а для расшифровки извлекаются из присутствующего в пакете поля SPI (Security Parameter Index) при помощи мастер-ключа (256-bit AES, хранится в памяти сетевой карты и заменяется каждые 24 часа), что позволяет экономить память сетевой карты и минимизировать информацию о состоянии шифрованных соединений, хранимую на стороне оборудования. В режиме "stateful" ключи для каждого соединения хранятся на сетевой карте в специальной таблице, по аналогии тем как реализовано аппаратное ускорение в IPsec.

PSP предоставляет своеобразную комбинацию возможностей протоколов TLS и IPsec/VPN. TLS подходил Google с точки зрения защиты на уровне отдельных соединений, но не устраивал из-за недостаточной гибкости для аппаратного ускорения и отсутствия поддержки UDP. IPsec обеспечивал независимость от протоколов и хорошо поддерживал аппаратное ускорение, но не поддерживал привязку ключей к отдельным соединениям, был рассчитан лишь на небольшое число создаваемых туннелей и имел проблемы с масштабированием аппаратного ускорения из-за хранения полного состояния шифрования в таблицах, размещаемых в памяти сетевой карты (например, для обработки 10 млн соединений требуется 5 ГБ памяти).

В случае PSP информация о состоянии шифрования (ключи, векторы инициализации, порядковые номера и т.п.) может передаваться в TX-дескрипторе пакета или в форме указателя на память хост-системы, не занимая память сетевой карты. По данным Google ранее на шифрование RPC-трафика в инфраструктуре компании тратилось примерно 0.7% вычислительной мощности и большой объём памяти. Внедрение PSP за счёт привлечения средств аппаратного ускорения позволило снизить этот показатель до 0.2%.

1. Главная ссылка к новости
2. OpenNews: Компания Intel развивает протокол HTTPA, дополняющий HTTPS
3. OpenNews: Протокол QUIC получил статус предложенного стандарта
4. OpenNews: Компания ExpressVPN открыла наработки, связанные с VPN-протоколом Lightway
5. OpenNews: Выпуск qBittorrent 4.4 с поддержкой протокола BitTorrent v2
6. OpenNews: Huawei развивает протокол NEW IP, нацеленный на использование в сетях будущего

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Предоставлена возможность определения собственных кодов возврата из функции main. Изначально функция main в Rust могла возвращать только тип "()" (unit), что всегда указывало на успешный статус завершения, если разработчиком явно не вызвана функция "process::exit(code)". В Rust 1.26 при помощи нестабильного типажа Termination в функции main была предоставлена возможность возвращение значений "Ok" и "Err", соответствующих кодам EXIT_SUCCESS и EXIT_FAILURE в программах на языке Си. В Rust 1.61 типаж Termination переведён в разряд стабильных, а для представления конкретного кода возврата предложен отдельный тип ExitCode, который абстрагирует специфичные для платформы типы возвращаемых значений, предоставляя как предопределённые константы SUCCESS и FAILURE, так и метод From<u8> для возвращения произвольного кода возврата.

  
     use std::process::ExitCode;
  
     fn main() -> ExitCode {
         if !check_foo() {
             return ExitCode::from(42);
         }
         ExitCode::SUCCESS
     }
  

• Стабилизированы дополнительные возможности функций, определённых с использованием выражения "const fn", которые могут вызываться не только как обычные функции, но и использоваться в любом контексте вместо констант. Данные функции вычисляются на этапе компиляции, а не в ходе выполнения, поэтому на них накладываются определённые ограничения, такие как возможность чтения только из констант. В новой версии внутри const-функций разрешены базовые операции с указателями на функции (разрешено создание, передача и приведение указателей, но не вызов функции по указателю); ограничения типажей (trait bounds) для обобщённых параметров const-функций, таких как T: Copy; динамически диспетчеризируемые типажи (dyn Trait); типы impl Trait для аргументов и возвращаемых значений функции.
• Дескрипторы потоков Stdin, Stdout и Stderr в std::io теперь имеют cтатическое время жизни ("'static") при блокировке, что позволяет использовать конструкции вида "let out = std::io::stdout().lock();" с получением дескриптора и выставлением блокировки в одном выражении.
• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • Pin::static_mut
  • Pin::static_ref
  • Vec::retain_mut
  • VecDeque::retain_mut
  • Write для Cursor<[u8; N]>
  • std::os::unix::net::SocketAddr::from_pathname
  • std::process::ExitCode
  • std::process::Termination
  • std::thread::JoinHandle::is_finished
• Признак "const", определяющий возможность использования в любом контексте вместо констант, применён в функциях:
  • <*const T>::offset и <*mut T>::offset
  • <*const T>::wrapping_offset и <*mut T>::wrapping_offset
  • <*const T>::add и <*mut T>::add
  • <*const T>::sub и <*mut T>::sub
  • <*const T>::wrapping_add и <*mut T>::wrapping_add
  • <*const T>::wrapping_sub и <*mut T>::wrapping_sub
  • <[T]>::as_mut_ptr
  • <[T]>::as_ptr_range
  • <[T]>::as_mut_ptr_range

Дополнительно можно отметить статью "Rust: A Critical Retrospective" с обобщением впечатлений о языке Rust после написания на нём 100 тысяч строк кода в процессе разработки микроядерной операционной системы Xous, используемой в прошивках. Из недостатков отмечается трудный для восприятия синтаксис, незавершённость и продолжение развития языка, отсутствие повторяемых сборок, типовые проблемы с доверием к зависимостям в Crates.io, необходимость соблюдения определённой дисциплины для написания безопасного кода. Из возможностей превзошедших ожидания упоминаются средства для рефакторинга кода и переделки "хаков", добавленных при быстром создании прототипов.

1. Главная ссылка к новости
2. OpenNews: Выпуск языка программирования Rust 1.60
3. OpenNews: В Rust-репозитории crates.io выявлен вредоносный пакет rustdecimal
4. OpenNews: Шестая версия патчей для ядра Linux с поддержкой языка Rust
5. OpenNews: Выпуск операционной системы Redox OS 0.7, написанной на языке Rust
6. OpenNews: В написанной на Rust реализации OpenCL для Mesa обеспечена поддержка OpenCL 3.0