The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

·07.10 Уязвимость в CUPS оказалась пригодна для усиления трафика при DDoS-атаках (61 +14)
  Группа, отвечающая за безопасность сети доставки контента Akamai, выявила дополнительный вектор атаки на процесс cups-browsed, помимо его использования в качестве одного из звеньев в эксплоите, приводящем к выполнению кода в системе. Через отправку запросов к процессу cups-browsed, без ограничений принимающему соединения на 631 порту, можно добиться отправки данных на другой хост, размер которых будет превышать исходный запрос до 600 раз. Для сравнения коэффициент усиления для memcached может достигать 10-50 тысяч раз, NTP - 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6.

Подобная особенность позволяет использовать системы с cups-browsed в качестве усилителя трафика при осуществлении DDoS-атак. Метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика. В ходе сканирования сети было выявлено более 198 тысяч уязвимых систем с CUPS, из которых 34% (58 тысяч систем) оказались пригодны для усиления трафика в DDoS-атаке.

В отличии от методов усиления трафика, требующих отправки UDP-пакетов с подставным обратным адресом жертвы, использование cups-browsed позволяет обойтись без спуфинга. Cервис cups-browsed имеет штатную возможность загрузки PPD-файла с произвольного сервера в ответ на неавторизированный внешний запрос, в ходе которого клиент передаёт URL, а cups-browsed пытается загрузить PPD-файл с указанного сервера.

При отправке запроса на загрузку PPD-файла в cups-browsed можно добиться прикрепление к значению "IPP URI" добавочного заполнения, которое может достигать 989 байт. При этом в инициируемом cups-browsed обращении значение "IPP URI" дублируется - один раз в HTTP-заголовке, а второй раз внутри тела POST-запроса, а запросы циклично повторяются после неудачных попыток загрузки и возвращения сервером 404 кода ошибки.

На 62% (35900) проверенных системах cups-browsed отправил как минимум 10 TCP/IPP/HTTP-запросов к атакуемой системе в ответ на один исходный UDP-запрос. В среднем для 58000 подверженных проблеме систем число повторных обращений составило 45. При оптимальном сценарии отправка одного 30-байтового исходного запроса при 45 повторных попытках загрузки приведёт к отправке на целевую систему 18000 байт данных, т.е. будет наблюдаться усиление трафика в 600 раз. В наихудшем сценарии усиление составляет 108 раз.

Дополнительно можно отметить об отражении компанией Cloudflare рекордной DDoS-атаки, в результате которой на систему жертвы был направлен поток в 3.8 терабит в секунду (2.14 миллиардов пакетов в секунду). Отмечается, что атака была организована с использованием большого числа скомпрометированных домашних маршрутизаторов Asus и Mikrotik, а также DVR-устройств и web-серверов, взломанных среди прочего с использованием относительно свежих уязвимостей.

  1. Главная ссылка к новости
  2. OpenNews: Удалённо эксплуатируемые уязвимости в сервере печати CUPS
  3. OpenNews: Уязвимость в cups-filters, позволяющая выполнить код на сервере
  4. OpenNews: Атака на некоторые протоколы на основе UDP, приводящая к зацикливанию обмена пакетами
  5. OpenNews: Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети
  6. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
Обсуждение (61 +14) | Тип: Проблемы безопасности |


·07.10 Уязвимость в библиотеке libgsf, затрагивающая GNOME (37 +9)
  В библиотеке libgsf, развиваемой проектом GNOME, выявлена уязвимость (CVE-2024-42415), которая может привести к выполнению кода при обработке специально оформленного файла. Уязвимость вызвана целочисленным переполнением, приводящим к записи данных за пределы выделенного буфера при обработке таблицы распределения секторов в процессе разбора параметров из заголовка файлов в формате CDF (Compound Document Format).

Библиотека libgsf предоставляет функции для разбора различных структурированных форматов файлов, среди которых архивы и форматы документов. Помимо приложений, таких как AbiWord, Gnumeric, GNOME Commander и Nemo, библиотека применяется проектом GNOME в поисковом движке tracker-miners и используется как зависимость в пакете tracker-extract, автоматически собирающем метаданные о новых файлах.

Опасность состоит в том, что использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки необходимо добиться появления в каталоге пользователя специально созданного файла (например, для попадания файла в каталог ~/Downloads в некоторых случаях достаточно нажатия на ссылку в браузере) и уязвимость будет эксплуатирована во время его автоматической индексации.

Уязвимость устранена в обновлении библиотеки libgsf 1.14.53. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. В большинстве дистрибутивов с GNOME компонент tracker-miners активируется по умолчанию и загружается как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). Для отключения tracker-miners для текущего пользователя можно использовать команды:


   systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
   tracker reset --hard

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в libcue, приводящая к выполнению кода при загрузке файлов в GNOME
  3. OpenNews: Уязвимость, позволяющая запустить код при копировании файла на рабочий стол
  4. OpenNews: Угроза безопасности из-за автоматической обработки мультимедийных файлов
  5. OpenNews: Уязвимость в gnome-exe-thumbnailer, позволяющая выполнить код при просмотре каталога с MSI-файлом
  6. OpenNews: Уязвимость в GNOME Evince, позволяющая выполнить код при построении миниатюр
Обсуждение (37 +9) | Тип: Проблемы безопасности |


·07.10 Линус Торвальдс снова недоволен коммитами в Bcachefs (288 +62)
  Линус Торвальдс выступил с новой критикой методов сопровождения Bcachefs в основном ядре Linux. Суть претензий сводится к тому, что Кент Оверстрит (Kent Overstreet), автор Bcachefs, всегда присылает много изменений в последний момент перед выходом очередной предварительной версии ("-RC") и на этот раз его изменения привели к нарушению сборки 6.12-RC1 на системах с порядком байт "big-endian" при включении Bcachefs, так как патчи были протестированы только в локальной ветке Кента и для их рецензирования не были привлечены другие участники.

В итоге pull-запрос все же был принят, однако разгорелась дискуссия насчёт тестирования, систем непрерывной интеграции и взаимодействия с сообществом, в которой несколько людей отметили, что Кент явно испытывает проблемы во взаимодействии с остальными разработчиками и считает себя всегда правым, что создаёт проблемы для проекта в основном составе ядра. Линус предупредил Кента, что он подумывает просто удалить Bcachefs из основного ядра, так как Кент продолжает играть один в своей песочнице, не подключается к совместной работе и не желает принимать правила игры сообщества разработчиков ядра.

  1. Главная ссылка к новости
  2. OpenNews: Линус Торвальдс начал сожалеть, что принял Bcachefs в ядро Linux
  3. OpenNews: В Bcachefs реализована возможность самовосстановления ФС из избыточных кодов
  4. OpenNews: Автор Bcachefs представил патчи для исправления ФС, разрушенных недавней ошибкой
  5. OpenNews: Ошибка в Bcachefs, приводящая к разрушению ФС при использовании нескольких устройств
  6. OpenNews: Код Bcachefs принят в основной состав ядра Linux 6.7
Обсуждение (288 +62) | Автор: Аноним | Тип: Тема для размышления |


·06.10 Выпуск Hyprland 0.44, композитного сервера на базе Wayland (58 +14)
  Опубликован выпуск композитного сервера Hyprland 0.44, использующего протокол Wayland. Композитный сервер ориентирован на мозаичную (tiling) компоновку окон, но также поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Поддерживаются элементы для создания визуально привлекательных интерфейсов, такие как градиенты в обрамлении окон, размытие, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Код написан на языке С++ и распространяется под лицензией BSD.

Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Для повышения производительности игр предоставляется возможность отключения вертикальной синхронизации (VSync) с кадровым гасящим импульсом, применяемую для защиты от появления разрывов при выводе (tearing). Среди возможностей также выделяется поддержка динамически создаваемых виртуальных рабочих столов, два встроенных режима компоновки элементов на экране и система глобальной обработки горячих клавиш.

В новой версии:

  • Добавлена поддержка Wayland-протокола single-pixel-buffer, позволяющего создавать однопиксельные буферы, включающие четыре 32-разрядных значения RGBA.
  • Добавлены опции "--systeminfo" и "--version" для вывода информации о системе (для вставки в отчёты о проблемах) и показа номера версии Hyprland.
  • В параметр конфигурации "layerrule" добавлено свойство "order" для настройки группировки слоёв.
  • Добавлена переменная окружения HYPRLAND_CONFIG для передачи параметров конфигурации без использования опции "--config".
  • В режим компоновки окон Dwindle добавлена команда nmovetoroot и настройка split_bias.
  • Предоставлена возможность настройки режима автоматической группировки.
  • В утилиту hyprctl добавлен новый запрос submap и расширены возможности запросов monitors и workspacerules.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск композитного сервера Weston 14.0
  3. OpenNews: Опубликован композитный сервер Wayfire 0.9, использующий Wayland
  4. OpenNews: Выпуск labwc 0.8.0, композитного сервера для Wayland
  5. OpenNews: Опубликован miracle-wm 0.2, композитный менеджер на базе Wayland и Mir
  6. OpenNews: Выпуск композитного сервера Niri 0.1.5, использующего Wayland
Обсуждение (58 +14) | Тип: Программы |


·06.10 Проект ZLUDA продолжит развитие в форме универсальной реализации CUDA (28 +36)
  Анджей Яник (Andrzej Janik) представил план дальнейшей разработки проекта ZLUDA, развивающего открытую реализацию технологии CUDA. Если первый вариант ZLUDA был нацелен на создание реализации CUDA для GPU Intel, а второй - для GPU AMD, то представленный сейчас третий вариант будет сосредоточен на развитии универсальной реализации CUDA для любых GPU, отличных от GPU NVIDIA. Целью проекта ZLUDA заявлено предоставление на системах с GPU, отличными от NVIDIA, возможности запуска немодифицированных приложений CUDA с производительностью, близкой к производительности приложений, выполняемых без прослоек. Код проекта продолжает распространяться под лицензиями MIT и Apache 2.0.

Изначально проект ZLUDA развивался для GPU Intel, но в 2021 году данная компания посчитала предоставление возможности запуска CUDA-приложений на GPU Intel не представляющей интереса для бизнеса и не стала поддерживать развитие инициативы. В начале 2022 года разработчик уволился из Intel и заключил контракт с AMD на разработку слоя для совместимости с CUDA для GPU данной компании. Спустя два года компания AMD потеряла интерес к возможности запуска CUDA-приложений на GPU AMD.

В соответствии с условиями контракта и после получения разрешения на публикацию от представителя AMD в ходе переписки по электронной почте Анджей открыл код наработок, созданный во время работы на AMD и позволяющих выполнять CUDA-приложения поверх развиваемого компанией AMD стека ROCm и runtime HIP (Heterogeneous-computing Interface for Portability). Спустя 6 месяцев после публикации юристы AMD связались с Анджеем и дали понять, что ранее предоставленное в ходе переписки разрешение не имеет юридической силы. В итоге Анджей был вынужден убрать из открытого доступа код ZLUDA, созданный во время работы в AMD.

Новый вариант ZLUDA будет отталкиваться от кодовой базы, существовавшей до начала работы Анджея на AMD, не будет привязан к каким-то конкретным GPU и будет сосредоточен на выполнении приложений, использующих CUDA для ускорения задач, связанных с машинным обучением и искусственным интеллектом (ранее ZLUDA был ориентирован прежде всего на приложения для создания контента, такие как Arnold Render, Blender и 3DF Zephyr). Среди прочего планируется предоставить возможность работы фреймворков Llama.cpp, PyTorch и TensorFlow поверх ZLUDA с задействованием в них CUDA-оптимизаций, применяемых для GPU NVIDIA.

Первое время проект будет сфокусирован на работе на GPU AMD, но затем будет адаптирован для GPU Intel. Реализация для GPU AMD будет создана с чистого листа, будет поддерживать GPU, как минимум на базе архитектуры набора команд RDNA1, и будет использовать стек ROCm 6.1+ вместо стека ROCm 5, применявшегося в ранее созданной для AMD реализации. Паритета функциональности с прошлой реализацией, которую Анджей вынужден был убрать из открытого доступа, планируется достичь в третьем квартале 2025 года.

  1. Главная ссылка к новости
  2. OpenNews: Требования юристов AMD привели к удалению части кода ZLUDA, открытой реализации CUDA
  3. OpenNews: NVIDIA препятствует разработке транслирующих прослоек для запуска CUDA на других платформах
  4. OpenNews: Опубликован инструментарий ZLUDA, позволяющий запускать CUDA-приложения на GPU AMD
  5. OpenNews: В рамках проекта Gdev подготовлена открытая реализация фреймворка CUDA
  6. OpenNews: NVIDIA передала CUDA Compiler в руки сообщества LLVM
Обсуждение (28 +36) | Тип: К сведению |


·06.10 Выпуск Cage 0.2, композитного сервера на базе Wayland для создания киосков (15 +9)
  Доступен выпуск композитного сервера Cage 0.2, использующего Wayland и ориентированного на обособленный запуск отдельных приложений в режиме киоска. Из областей применения Cage отмечается создание систем домашней автоматизации, демонстрационных стендов, электронных вывесок и терминалов самообслуживания. Код проекта написан на языке Си и поставляется под лицензией MIT.

Интерфейс в Cage ограничен одним приложением, а пользователь не может выйти за пределы данного приложения и получить доступ к операционной системе. Экран привязывается к одному устройству вывода, а все вспомогательные диалоги выводятся по центру экрана без возможности перемещения и изменения размера. Поддерживается помещение и извлечение данных через буфер обмена. Приложения непосредственно связываются с запускаемым графическим окружением, например, для создания киоска с браузером Epiphany достаточно выполнить "cage /usr/bin/epiphany", а после выхода из программы композитный сервер тоже завершает свою работу.

Среди наиболее заметных изменений в новом выпуске:

  • Добавлена опциональная возможность запуска X-приложений через Xwayland.
  • Добавлена поддержка первичного буфера обмена (primary selection), в который текст помещается сразу после выделения и доступен для вставки средней кнопкой мыши.
  • Добавлена поддержка Wayland-протокола relative-pointer-unstable-v1, позволяющего использовать события с информацией об относительном перемещении указателя.
  • Задействованы все улучшения, предложенные в выпусках библиотеки wlroots 0.17 и 0.18.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск композитного сервера Weston 14.0
  3. OpenNews: Опубликован композитный сервер Wayfire 0.9, использующий Wayland
  4. OpenNews: Выпуск labwc 0.8.0, композитного сервера для Wayland
  5. OpenNews: Выпуск Hyprland 0.42, композитного сервера на базе Wayland
  6. OpenNews: Доступен miracle-wm 0.3, композитный менеджер на базе Wayland и Mir
Обсуждение (15 +9) | Тип: Программы |


·06.10 Выпуск HTTPS-анализатора Mitmproxy 11 с поддержкой HTTP/3 (60 +12)
  Представлен релиз проекта Mitmproxy 11, развивающего инструментарий для перехвата трафика внутри соединений, установленных по HTTPS, с возможностями инспектирования, модификации и повторного воспроизведения трафика. Основным назначением Mitmproxy является организация отслеживания трафика в корпоративных системах и диагностика проблем, например, выявление скрытой сетевой активности приложений. Исходные тексты проекта написаны на языке Python и распространяются под лицензией MIT.

Для анализа HTTPS-трафика Mitmproxy размещается на транзитном узле, на котором перехватывает запросы клиента и транслирует их в отправляемые от себя запросы к целевому серверу. С запрошенным в процессе клиентского сеанса сервером Mitmproxy устанавливает обычное HTTPS-соединение, а с клиентом от имени целевого сервера устанавливается фиктивное соединение с подставным SSL-сертификатом, генерируемым для клиента на лету. Принятый от клиента трафик перенаправляется целевому серверу, а получаемые ответы транслируются обратно клиенту.

Для перенаправления трафика через mitmproxy поддерживается несколько методов, таких как указание адреса mitmproxy в качестве HTTP-прокси в настройках браузера, работа в виде SOCKS5-прокси, использование в роли обратного прокси перед HTTP-сервером и организация прозрачного проброса при помощи правил пакетного фильтра или заворачивания маршрутизации. Для того, чтобы используемый при соединении с клиентом подставной сертификат не приводил к выводу браузером предупреждений о проблемах с безопасностью соединения, в систему пользователя предлагается установить корневой сертификат mitmproxy, что можно сделать как вручную, так и открыв в браузере специальный хост mitm.it.

Mitmproxy поддерживает HTTP/2, HTTP/3, Websockets, нормализацию порядка следования пакетов в потоке, подключение скриптов-обработчиков для модификации трафика на лету, сохранение запросов для дальнейшего повторного воспроизведения, генерацию TLS-сертификатов для перехваченных сеансов, чистку заголовков о времени модификации для отключения кэширования на стороне клиента, режим обратного проксирования (Reverse proxy) для перенаправления трафика на сервер, списки блокировки для фильтрации определённых запросов, выборочное перенаправление запросов (в том числе для отдачи в ответ локальных файлов), изменение содержимого и заголовков на основе регулярных выражений. Для анализа трафика предлагается похожая на tcpdump утилита командной строки mitmdump и web-интерфейс mitmweb.

Ключевым улучшением в новой версии является полная поддержка протокола HTTP/3, в котором задействован протокол QUIC (Quick UDP Internet Connections) в качестве транспорта для HTTP/2 (QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL). В Mitmproxy для HTTP/3 можно использовать как прозрачный перехват трафика, так и работу в виде обратного прокси. Работа при перехвате HTTP/3 протестирована в Firefox, Chrome и различных версиях cURL.

Другие заметные изменения в новой ветке связаны с улучшением поддержки DNS в контексте размещения в DNS записей для HTTPS и ECH (Encrypted Client Hello). В новой версии добавлена поддержка запроса DNS-записей, отличных от A/AAAA (например, в ECH информация об открытом ключе шифрования передаётся в DNS-записи HTTPSSVC). Добавлен режим чистки ключей ECH из HTTPS-записей в DNS. Для работы с DNS осуществлён переход на библиотеку Hickory, написанную на языке Rust и развиваемую проектом Let's Encrypt. Добавлена поддержка DNS-over-TCP. Реализована опция для отключения обработки настроек из /etc/hosts.

  1. Главная ссылка к новости
  2. OpenNews: Протокол HTTP/3.0 получил статус предложенного стандарта
  3. OpenNews: В Firefox и Cloudflare включена поддержка ECH для скрытия домена в HTTPS-трафике
  4. OpenNews: Выпуск mitmproxy 1.0, инструмента для анализа трафика HTTP/HTTPS
  5. OpenNews: CERT опубликовал сетевой анализатор Tapioca 2.0
  6. OpenNews: Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe
Обсуждение (60 +12) | Тип: Программы |


·06.10 Опубликован программный KVM-переключатель Input Leap 3.0.0 (56 +14)
  Доступен релиз проекта Input Leap 3.0.0, развивающего программный KVM-переключатель (Keyboard, Video, Mouse), позволяющий использовать одну клавиатуру и мышь для управления несколькими компьютерами по сети, симулируя физическое подключение к системе. Input Leap отделился в 2021 году от проекта Barrier из-за проблем с сопровождением последнего. В свою очередь Barrier, был создан как форк проекта Deskflow, продолжающего активное развитие и являющегося upstream-проектом для Synergy. Код проектов написан на языке C++ и распространяется под лицензией GPLv2.

Для использования Input Leap достаточно установить пакет на системы, которыми необходимо управлять, и на компьютер за котором физически находится пользователь. На всех системах запускается одно и то же приложение, но на системе с клавиатурой и мышью оно переводится в режим сервера. Поддерживается управление системами на базе Linux, Windows, macOS и FreeBSD. Возможно использование совместного буфера обмена.

Input Leap 3.0.0 стал первым значительным выпуском после форка. Ключевым улучшением в новой версии стала реализация возможности работы в окружениях на базе протокола Wayland (возможности трансляции в XWayland пока ограничены). Благодаря развитию поддержки Wayland средства удалённого управления системами на базе Input Leap ранее была встроены в GNOME 45. Из изменений в Input Leap 3.0.0 также можно отметить возможность сборки с использованием Qt 6, поддержку выбора ветки Qt (5.x или 6.x) при сборке и добавление новых конвертеров для X11, позволяющих перемещать через буфер обмена изображения в форматах png, tiff, jpg и webp.

  1. Главная ссылка к новости
  2. OpenNews: Pi-KVM - проект открытого KVM-коммутатора на Raspberry Pi
  3. OpenNews: Выпуск Synergy 1.5, системы для совместного использования клавиатуры и мыши на нескольких ПК
  4. OpenNews: Выпуск Xpra 6.0, аналога утилиты screen для GUI. Развитие Wprs, реализации Xpra для Wayland
  5. OpenNews: Выпуск Scrcpy 2.0, приложения для зеркалирования экрана Android-смартфона
  6. OpenNews: Оценка возможности интеграции кейлоггера в KVM-переключатель Belkin OmniView
Обсуждение (56 +14) | Тип: Программы |


·05.10 Релиз языка программирования V 0.4.8 (177 +21)
  Состоялся релиз статически типизированного языка программирования V (vlang). Основными целями при создании V были простота изучения и использования, высокая читаемость, быстрая компиляция, повышенная безопасность, эффективная разработка, кроссплатформенное использование, улучшенное взаимодействие с языком C, лучшая обработка ошибок, отключаемый сборщик мусора (GC), современные возможности и более удобное сопровождение программ. Проект также развивает свою графическую библиотеку и пакетный менеджер. Код компилятора, библиотек и сопутствующих инструментов открыт под лицензией MIT.

Среди изменений в новой версии:

  • Новое необязательное ключевое слово "implements" для явной реализации интерфейса.
  • Разрешён возврат работы функции в качестве аргумента другой функции.
  • Возможность определения значения sumtype по умолчанию (на основе первого типа варианта).
  • Из IError удалены устаревшие поля ".code" и ".msg" в пользу функций .code() и .msg().
  • Исправлена работа дженериков в лямбда выражениях.
  • В comptime появилась поддержка обхода параметров метода с помощью конструкции "$for param in method.params {".
  • Реализовано более качественное и подробное сообщение об ошибке несоответствия типов функции.
  • Добавлена поддержка @BUILD_DATE, @BUILD_TIME и @BUILD_TIMESTAMP, использующих v.util.get_build_time() и переопределяемых через SOURCE_DATE_EPOCH.
  • Объявлен устаревшим x.vweb и vweb в пользу veb, более быстрого, простого и стабильного серверного веб-фреймворка.

Новости сообщества:

  1. Главная ссылка к новости
  2. OpenNews: Релиз языка программирования V 0.4.4
  3. OpenNews: Релиз языка программирования V 0.4.3
  4. OpenNews: Открыты исходные тексты языка программирования V
Обсуждение (177 +21) | Автор: koplenov | Тип: Программы |


·05.10 Доступен инструментарий для загрузки прошивок fwupd 2.0.0 (34 +12)
  Ричард Хьюз (Richard Hughes), создатель проекта PackageKit, активно участвующий в разработке GNOME, представил выпуск пакета fwupd 2.0.0, предлагающего фоновый процесс для организации обновления прошивок и утилиту fwupdmgr для управления прошивками, проверки появления новых версий и загрузки прошивок. Код проекта написан на языке Си и распространяется под лицензией LGPLv2.1.

Проект предоставляет OEM-производителям и разработчикам прошивок сервис для загрузки прошивок в специальный централизованный каталог LVFS (Linux Vendor Firmware Service), который можно использовать в дистрибутивах Linux при помощи инструментария fwupd. В настоящее время в каталоге предложены прошивки для более 1600 устройств от 160 производителей. Использование централизованного каталога избавляет производителей от необходимости формирования пакетов для дистрибутивов и позволяет передавать прошивки в архиве ".cab" с дополнительными метаданными, которые также применяются при публикации прошивок для Windows.

В fwupd поддерживается как режим автоматического обновления прошивок, без необходимости совершения каких-то действий со стороны пользователя, так и выполнение операции после подтверждения или запроса пользователя. Fwupd и LVFS применяются в RHEL, Fedora, Ubuntu, SUSE, Debian и многих других дистрибутивах для автоматизированного обновления прошивок, а также поддерживаются в менеджерах приложений GNOME Software и KDE Discover. При этом fwupd не ограничен настольными системами и пригоден для обновления прошивок на смартфонах, планшетах, серверах и устройствах интернета-вещей.

В новом выпуске:

  • Фоновый процесс переведён с использования GObject-обвязки GUsb на прямое обращение к libusb и sysfs, что дало возможность вынести эмуляцию устройств в библиотеку libfwupdplugin и реализовать эмуляцию обновления прошивок на фиктивных устройствах hidraw и nvme по аналогии с эмуляцией с использованием фиктивных USB-устройств. Подобная возможность позволила реализовать дополнительные тесты, выявляющие проблемы с обновлением прошивок, возникающие после внесения в fwupd тех или иных изменений.
  • Из зависимостей исключена библиотека GUdev, предоставляющая GObject-обвязки над libudev. Вместо GUdev процессом fwupd теперь создаётся netlink-сокет для разбора событий udev, передаваемых через netlink. Изменение привело к значительному сокращению потребления памяти и снижению нагрузки на CPU при запуске и в процессе работы, а также упростило добавление поддержки ueventd, которая в будущем позволит реализовать в fwupd поддержку платформы Android.
  • Добавлены оптимизации для снижения потребления памяти в процессе потоковой передачи прошивок из архивов в устройства (вместо копирования прошивок в память теперь используется передача через файловый дескриптор).
  • Добавлена поддержка новых устройств:
    • Кардридеры Algoltek с интерфейсом USB
    • AMD Kria SoM
    • Cable Matters USB Hub
    • Устройства на базе Cinterion FDL (Firmware Download Modem)
    • CY6611 EZ-USB HX3PD
    • Dell K2 Dock
    • Биометрические датчики Elan 0C9F
    • Dock-станции HP Fleetwood и Hendrix
    • Huddly L1, S1 и Crew
    • Jabra PanaCast
    • Lenovo Legion HID2
    • Lenovo ThinkSmart Bar
    • Logitech Lemmy
    • Logitech Sight
    • Сенсорные экраны Logitech
    • Конвертеры MediaTek
    • Parade PS185
    • Qualcomm S5gen2 BLE
    • Telink Dual Keyboard
  • Прекращена поддержка устаревших форматов верификации метаданных и прошивок.
  • Удалены утилиты командной строки, ранее объявленные устаревшими.
  • Добавлен API для загрузки отчётов в gnome-firmware.
  • В системе сборки добавлена поддержка платформы Darwin.
  • Добавлена поддержка вывода списка файлов из ESP в формате JSON (fwupdtool esp-list --json).
  • Добавлена возможность указания в настройках эмулируемых устройств.

  1. Главная ссылка к новости
  2. OpenNews: Сервис доставки обновлений прошивок для Linux перешёл под крыло Linux Foundation
  3. OpenNews: Компания Lenovo подключилась к инициативе доставки обновлений прошивок для Linux
  4. OpenNews: Инициатива по созданию единой коллекции обновлений прошивок для Linux
  5. OpenNews: Для Linux представлена новая подсистема печати printerd
  6. OpenNews: Выпуск системы управления цветностью colord 1.0.0
Обсуждение (34 +12) | Тип: Программы |


·05.10 Выпуски музыкального проигрывателя Qmmp 1.7 и 2.2 (100 +14)
  После более двухлетнего перерыва опубликованы выпуски музыкального проигрывателя Qmmp 1.7.0 и Qmmp 2.2 (версия Qmmp 2.2 продолжает развитие ветки, перешедшей на Qt 6, а для версии 1.7 достаточно Qt 5.15). В состав плеера входит два интерфейса: "простой", с использованием стандартных элементов, и "классический", который копирует интерфейс Xmms/Winamp/Audacious. Для вывода звука могут использоваться OSS4 (FreeBSD), ALSA (Linux), Pulse Audio, JACK, QtMultimedia, Icecast, WaveOut (Win32), DirectSound (Win32) и WASAPI (Win32). Код написан на языке C++ и распространяется под лицензией GPLv2. Готовые пакеты сформированы для Ubuntu. Одновременно сформированы коллекции плагинов, не входящих в основной состав - Qmmp Plugin Pack 1.7.0 и 2.2.0.

Среди изменений:

  • Улучшен режим группировки, который позволяет вместе с названием альбома выводить дополнительную информацию и обложку альбома (изменение распространяется на оба интерфейса).
  • Переписан контейнер списка воспроизведения.
  • Дублирующийся код перенесён в библиотеку libqmmpui.
  • Отключены по умолчанию отладочные сообщения (включаются с помощью опции командной строки).
  • Улучшены настройки цветов и шрифтов (в обоих интерфейсах).
  • В простом интерфейсе пользователя реализованы древовидный режим просмотра файлов, копирование треков между плейлистами и регулировка баланса.
  • В модуль xmp добавлены новые настройки: "Эмуляция ошибки зацикливания сэмпла" и "Использовать микшер Paula в модулях Amiga"
  • В модуле http появилась возможность задания размера буфера в микросекундах.
  • В модуль музыкальной библиотеки добавлена возможность замены выбранного плейлиста.
  • Реализована возможность сборки модуля cdaudio без библиотеки libcddb.
  • Проведена оптимизация кодовой базы.
  • Улучшено определение типа файла по содержимому.
  • Исправлена проблема с большими CUE-файлами.
  • Налажена сборка под FreeBSD.
  • Обновлены переводы интерфейса, включая перевод на русский язык.

Дополнительно сообщается, что Qmmp 1.7 - последнее значительное обновление с поддержкой библиотеки Qt5. В дальнейшем новая функциональность будет развиваться только в ветке на основе Qt6, а разработка ветки на основе Qt5 ограничится корректирующими обновлениями.

  1. Главная ссылка к новости
  2. OpenNews: Выпуски музыкального проигрывателя Qmmp 1.6.0 и 2.1.0
  3. OpenNews: Synthstrom Audible откроет код прошивки музыкальных синтезаторов Deluge
  4. OpenNews: Доступен музыкальный проигрыватель Fooyin 0.5
  5. OpenNews: Выпуск музыкального проигрывателя Amarok 3.1.0
  6. OpenNews: Представлен консольный музыкальный проигрыватель Maestro
Обсуждение (100 +14) | Автор: Аноним | Тип: Программы |


·05.10 Выпуск Wine 9.19 (26 +19)
  Опубликован экспериментальный выпуск открытой реализации Win32 API - Wine 9.19. С момента выпуска 9.18 было закрыто 11 отчётов об ошибках и внесено 264 изменения.

Наиболее важные изменения:

  • Таблицы символов Unicode обновлены до версии 16.0.0.
  • В драйвере для Wayland улучшено позиционирование окон.
  • В API DirectPlay продолжена реализация поддержки сетевых сеансов.
  • Добавлена поддержка уведомлений об изменении устройств, использующих технологию Plug&Play.
  • Закрыты отчёты об ошибках, связанные с работой приложений: Songr 1, Malus, WordSmith 9.0, Quicken WillMaker Plus 2007, FL Studio, cnc-ddraw.
  • Закрыты отчёты об ошибках, связанные с работой игр: Death to Spies.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 9.18
  3. OpenNews: Релиз StartWine-Launcher 406, программы для запуска Windows-приложений и игр в Linux
  4. OpenNews: Проект Wine опубликовал Vkd3d 1.13 с реализацией Direct3D 12
  5. OpenNews: Компания Microsoft передала разработку проекта Mono сообществу Wine
  6. OpenNews: Компания Valve выпустила Proton 9.0-3, пакет для запуска Windows-игр в Linux
Обсуждение (26 +19) | Тип: Программы |


·05.10 Обновление сборки DogLinux для проверки оборудования (21 +7 )
  Опубликовано обновление специализированной сборки дистрибутива DogLinux (Debian LiveCD в стиле Puppy Linux), построенной на пакетной базе Debian 12 "Bookworm" и предназначенной для тестирования и обслуживания ПК и ноутбуков. В состав входят такие приложения, как GPUTest, Unigine Heaven, CPU-X, GSmartControl, GParted, Partimage, Partclone, TestDisk, ddrescue, WHDD, DMDE. Дистрибутив позволяет проверить работоспособность оборудования, нагрузить процессор и видеокарту, проверить SMART HDD и NVMe SSD. Размер Live-образа, загружаемого с USB-накопителей, 1.36 ГБ (torrent).

В новой версии:

  • Пакеты базовой системы обновлены до релиза Debian 12.7.
  • Обновлены ядро Linux 6.10.12 и Mesa 24.2.2 для x86-64.
  • Обновлены пакеты прошивок firmware-nonfree 20240709.
  • Проприетарный NVIDIA драйвер обновлен до версии 550.120. Библиотеки для поддержки CUDA/OpenCL/NVDEC/NVENC вынесены в отдельный модуль (в предыдущих версиях сборки не поставлялись), который можно задействовать, указав при загрузке параметр "load=cuda".
  • Добавлен модуль с Linux-версией FurMark 2.3.0.0 (проприетарный GPU стресс-тест с поддержкой OpenGL и Vulkan).
  • Добавлены утилиты nvtop 3.1.0, uhubctl 2.6.0 и ddru_ntfsbitmap.
  • Включён в состав скрипт ddrescue-loop для перезапуска процесса ddrescue (с поддержкой управления питанием устройства посредством USB реле либо uhubctl).
  • Обновлены NetSurf 3.11, Chromium 129, CPU-X 5.0.4, DMDE 4.2.2.816, x0tigervncserver 1.14.0, memtest86+ 7.00, PassMark memtest86 11.0.



Особенности сборки:

  • Поддерживается загрузка в UEFI и режиме Legacy/CSM. В том числе по сети через PXE с NFS. С устройств USB/SATA/NVMe, с файловых систем FAT32/exFAT/Ext2/3/4/NTFS. UEFI Secure Boot не поддерживается, его требуется отключить.
  • Размер дистрибутива оптимизирован для использования в режиме copy2ram (даёт возможность после загрузки извлечь USB-накопитель/сетевой кабель). При этом копируются в оперативную память только те squashfs-модули, которые используются.
  • Содержит три версии проприетарных драйверов NVIDIA - 550.x, 390.x и 340.x. Необходимый для загрузки модуль драйвера определяется автоматически.
  • Вариант запуска по умолчанию x86-64 ядро Linux 6.10. Для него собраны модули драйверов NVIDIA 550.x и 390.x
  • Дополнительно поставляется x86-64 ядро Linux 5.10. Его необходимо выбирать если требуется legacy 340.x NVIDIA драйвер (также собран и 390.x). Для этого ядра задействован WiFi драйвер Broadcom WL для адаптеров 802.11n, которые не работают со свободными драйверами.
  • Для совместимости со старым оборудованием в составе имеется live32 i686 версия с ядром Linux 6.1 без PAE.
  • При запуске FurMark2, GPUTest и Unigine Heaven автоматически определяются конфигурации ноутбуков с гибридными видеоподсистемами Intel+NVIDIA, Intel+AMD и AMD+NVIDIA и выставляются необходимые переменные окружения для запуска на дискретной видеокарте.
  • При загрузке с ядрами Linux 6.1 и 6.10 для монтирования накопителей вместо NTFS-3G используется новый NTFS3-драйвер от компании Paragon.
  • Ядро Linux 5.10 собрано с патчем intel-nvme-remap из EndlessOS для обеспечения доступности NVMe SSD на платформах Intel Core i3/i5/i7 8-10 поколений при включённой в BIOS настройке Intel RST Premium With Optane.
  • Системное окружение основано на Porteus Initrd, OverlayFS, SysVinit и Xfce 4.18. За монтирование накопителей отвечает pup-volume-monitor (без применения gvfs и udisks2). Для вывода звука используется только ALSA. Применён свой скрипт для решения проблемы с приоритетом HDMI звуковых карт.
  • Можно устанавливать любое ПО из репозиториев Debian, а также создавать модули с необходимым дополнительным ПО. Поддерживается активация squashfs-модулей после загрузки системы.
  • Shell-cкрипты и настройки можно копировать в каталог live/rootcopy и они будут применены при загрузке без необходимости пересборки модулей.
  • Работа осуществляется с правами root. Интерфейс английский, файлы с переводами по умолчанию вырезаны для экономии места, но в консоли и X11 настроено отображение кириллицы и переключение раскладки по Ctrl+Shift. Пароль по умолчанию для пользователя root - dog, для пользователя puppy - dog. Доработанные файлы конфигурации и скрипты находятся в 05-customtools.squashfs.
  • Установка с помощью скрипта installdog на раздел FAT32, при этом используются загрузчики syslinux и systemd-boot (gummiboot). В качестве альтернативы предоставляются готовые файлы конфигурации для grub4dos и Ventoy. Возможна установка на жёсткий диск/SSD предпродажного ПК/ноутбука для демонстрации работоспособности. Раздел FAT32 затем легко удалить, скрипт не вносит изменений в UEFI variables (очередь загрузки в прошивке UEFI).

Исправление: В связи с не работоспособностью ядра 6.10 с патчем intel-nvme-remap обновлены ядра, а также зависящие от них модули драйверов NVIDIA. Теперь ядро 5.10 собрано с патчем intel-nvme-remap и его следует использовать на соответствующих конфигурациях ноутбуков. Ядро 6.10 заменено на версию без указанного патча.

  1. Главная ссылка к новости
  2. OpenNews: Новый выпуск сборки DogLinux для проверки оборудования
  3. OpenNews: Релиз Plop Linux 23.1, Live-дистрибутива для нужд системного администратора
  4. OpenNews: Выпуск SysLinuxOS 12.1, дистрибутива для системных администраторов
  5. OpenNews: Выпуск SysLinuxOS 12.4, дистрибутива для системных администраторов
  6. OpenNews: Выпуск Finnix 126, Live-дистрибутива для системных администраторов
Обсуждение (21 +7 ) | Автор: gumanzoy | Тип: Программы |


·04.10 Уязвимость в pam_oath, позволяющая получить права root в системе (42 +17)
  В PAM-модуле pam_oath, входящем в состав пакета oath-toolkit и применяемого при двухфакторной аутентификации с использованием одноразовых паролей (OTP), выявлена уязвимость (CVE-2024-47191), позволяющая непривилегированному пользователю получить root-доступ в системе.

Модуль pam_oath выполняется с правами root и изначально был рассчитан на размещение OATH-ключей в файле /etc/users.oath, доступ к которому имеет только пользователь root. В версии oath-toolkit 2.6.7 была добавлена поддержка размещения файлов с ключами в домашних каталогах пользователей (~/.config/users.oath). Непривилегированные пользователи получили возможность изменения файлов со своими ключами, но pam_oath при обращении к этим файлам не сбрасывал привилегии и продолжил использование небезопасных методов работы с файлами, рассчитанных на то, что файлы размещены в каталоге, недоступном для изменения.

Уязвимость вызвана тем, что после каждой успешной аутентификации по одноразовому паролю, pam_oath выполнял перезапись файла с ключами чтобы не допустить использование одного пароля несколько раз. Операция перезаписи сводилась к созданию в том же каталоге lock-файла, записи нового содержимого в файл с расширением ".new" и замене старого файла на новый вариант. При этом файл с расширением ".new" создавался с теми же правами, что и целевой файл, но запись в него производилась процессом с правами root и без проверки существования файла.

Если файл размещался в системном каталоге проблем не возникало, но после появления поддержки размещения файлов с ключами в домашних каталогах, возникла легко эксплуатируемая уязвимость. Для атаки достаточно создать символическую ссылку "~/.config/oath.secrets.new" и направить её на любой системный файл, который будет перезаписан после успешной аутентификации.

Для получения доступа root можно направить символическую ссылку на файл /etc/shadow. В этом случае pam_oath запишет в /etc/shadow актуальный список ключей и синхронизирует владельца и права доступа с файлом users.oath. Так как файл users.oath принадлежит пользователю, то в качестве владельца /etc/shadow будет выставлен этот пользователь, после чего атакующий сможет отредактировать файл /etc/shadow и записать в него новые параметры входа для учётной записи root.

Уязвимость проявляется начиная с выпуска oath-toolkit 2.6.7 и устранена (1,2,3) в версии 2.6.12. Отследить устранение уязвимости в дистрибутивах можно на данных страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch. Уязвимость затрагивает только конфигурации, в которых разрешено размещение файлов с ключами в домашних каталогах, например, при использовании в настройках PAM строки "auth [user_unknown=ignore success=ok] pam_oath.so usersfile=${HOME}/user.oath".

Дополнительно можно упомянуть выявленную на днях уязвимость (CVE-2024-9313) в PAM-модуле из состава пакета Authd, развиваемого проектом Ubuntu. Уязвимость позволяет пользователю, управляемому через брокер Authd, выдать себя за любого другого пользователя, управляемого этим же брокером, и успешно пройти аутентификацию через su, sudo или ssh под другим пользователем. Проблема устранена в версии Authd 0.3.5.

  1. Главная ссылка к новости
  2. OpenNews: Локальная root-уязвимость в pam-python
  3. OpenNews: Критическая уязвимость в обработчике крахов приложений, применяемом в Ubuntu
  4. OpenNews: Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux
Обсуждение (42 +17) | Тип: Проблемы безопасности |


·04.10 Mozilla объявила о развитии собственной платформы показа рекламы (199 –29)
  Лаура Чемберс (Laura Chambers), в этом году заменившая Митчелл Бейкер (Mitchell Baker) на посту руководителя (CEO) компании Mozilla Corporation, представила инициативу, связанную с выходом Mozilla на рынок платформ для показа рекламы. Аналогичное объявление сделал Марк Сурман (Mark Surman), исполнительный директор и президент организации Mozilla Foundation. При построении своей рекламной сети Mozilla намерена использовать технологии купленного недавно стартапа Anonym, развивавшего альтернативную инфраструктуру для рекламной индустрии. В своей рекламной платформе Mozilla намерена обеспечить конфиденциальность пользователей и достигнуть баланса между получением коммерческой прибыли и соблюдением общественных интересов.

Отмечается, что реклама, по крайней мере в обозримом будущем, продолжит быть ключевым локомотивом интернета, благодаря которому большая часть контента остаётся бесплатно доступной для пользователей. Ценой сложившейся рекламной модели является отсутствие контроля над сбором и передачей данных о пользователях. Mozilla намерена решить данную проблему, предоставив собственный продукт, основанный на принципах конфиденциальности, открытости и права выбора.

Компания также обязалась быть максимально прозрачной и открытой, а также информировать сообщество о своих намерениях и планах до начала тестирования и интеграции, связанной с проектом функциональности в браузер. Лаура и Марк ещё раз извинились за плохое информационное сопровождение включения в Firefox функции "Privacy Preserving Attribution" (PPA), которое привело к путанице, домыслам и беспокойству, несмотря на то что фактически она не была активирована для внешних пользователей.

В планы Mozilla входит создание новой инфраструктуры для индустрии интернет-рекламы, которая благодаря применению криптографии и методов дифференциальной приватности позволит доказать, что реклама может поддерживать бизнес без раскрытия персональных данных. Компания Anonym, технологии которой лягут в основу рекламной платформы Mozilla, основана в 2022 году двумя бывшими вице-президентами Meta, попытавшимися воплотить в жизнь идею хранения данных в защищённом окружении с использованием шифрования, в таком виде, чтобы рекламодатели, владельцы рекламных площадок и сотрудники рекламной сети не имели доступа к информации в разрезе отдельных пользователей. Аналитику эффективности и определение результатов рекламных кампаний предлагается формировать на основе обработки анонимизированных данных.

Для исключения отслеживания отдельных пользователей в платформе Anonym задействованы методы дифференциальной приватности, позволяющие с достаточно высокой точностью выполнять статистические операции над набором зашифрованных данных без расшифровки и без возможности идентификации отдельных записей в нём. Например, на основе зашифрованной статистики рекламной сети о показах рекламы и зашифрованной статистики рекламодателя о покупках, платформа, не имея доступа к значениям конкретных записей, может в обобщённом виде проанализировать пересечения наборов данных для оценки эффективности рекламной кампании. Таким образом, рекламодатель может узнать число посмотревших рекламу пользователей, сделавших покупки в его интернет-магазине, но не сможет определить, какие именно это пользователи из общего набора всех покупателей.

  1. Главная ссылка к новости
  2. OpenNews: Европейскому регулятору подана жалоба о появлении в Firefox функции отслеживания пользователей
  3. OpenNews: Mozilla развивает механизм передачи телеметрии рекламным сетям, обеспечивающий конфиденциальность
  4. OpenNews: Компания Mozilla начала блокировать доступ из РФ к дополнениям для обхода блокировок
  5. OpenNews: Mozilla поглотила компанию Anonym, развивающую платформу показа рекламы
  6. OpenNews: Mozilla тестирует сервис финансирования сайтов, продвигаемый как альтернатива рекламе
Обсуждение (199 –29) | Тип: К сведению | Интересно


<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру