На первом этапе предлагается осуществить слияние пересекающихся кодовых баз openSUSE Leap 15.2 и SUSE Linux Enterprise 15 SP2 по возможности без потери функциональности и стабильности обоих дистрибутивов. На втором этапе параллельно с классическим выпуском openSUSE Leap 15.2 предлагается подготовить отдельную редакцию на основе исполняемых файлов из SUSE Linux Enterprise и выпустить промежуточный релиз в октябре 2020 года. На третьем этапе в июле 2021 года планируется сформировать выпуск openSUSE Leap 15.3, по умолчанию использовав в нём исполняемые файлы из SUSE Linux Enterprise.

Использование одних и тех же пакетов упростят миграцию от одного дистрибутива к другому, сэкономят ресурсы на сборку и тестирование, даст возможность избавиться от усложнений в spec-файлах (все различия, определённые на уровне spec-файлов будут унифицированы) и сделает более простой отправку и обработку сообщений об ошибках (позволят отойти от диагностики разных сборок пакетов). openSUSE Leap будет преподноситься компанией SUSE как платформа разработки для сообщества и сторонних партнёров. Для пользователей openSUSE изменение выгодно возможностью использовать стабильный код промышленного дистрибутива и хорошо протестированные пакеты. Обновления, охватывающие пресекающиеся пакеты, также будут общими и хорошо протестированными командой контроля качества SUSE.

Площадкой для разработки новых пакетов, передаваемых в openSUSE Leap и SLE, останется репозиторий openSUSE Tumbleweed. Процесс передачи изменений в базовые пакеты не изменится (по сути вместо сборки из src-пакетов SUSE будут использоваться готовые бинарные пакеты). Все совместно используемые пакеты как и раньше будут доступны в Open Build Service для модификации и создания форков. При необходимости поддержания в openSUSE и SLE разной функциональности общих приложений, дополнительную функциональность можно будет выносить в специфичные для openSUSE пакеты (по аналогии с разделением элементов брендинга) или добиваться включения нужной функциональности в SUSE Linux Enterprise. Пакеты для архитектур RISC-V и ARMv7, не поддерживаемых в SUSE Linux Enterprise, предлагается собирать отдельно.

1. OpenNews: Бета-выпуск openSUSE Leap 15.2
2. OpenNews: Проект openSUSE анонсировал Tumbleweed Snapshots
3. OpenNews: Сообщество openSUSE обсуждает вопрос изменения бренда для дистанцирования от SUSE
4. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
5. OpenNews: openSUSE и SUSE Linux Enterprise синхронизируют номера выпусков

Исследование показало, что применение макетов отпечатков пальцев, копирующих отпечаток жертвы, позволяет добиться разблокировки смартфонов в среднем в 80% попыток. Для создания клона отпечатка можно обойтись без спецсредств, доступных только спецслужбам, используя типовой 3D-принтер. В итоге, аутентификация по отпечаткам пальцев признана достаточной для защиты смартфона в случае потери или кражи устройства, но неэффективной при проведении целевых атак, при которых злоумышленник может определить слепок отпечатка жертвы (например, получив стакан, на котором остались отпечатки).

Протестированы три техники оцифровки отпечатков жертвы:

• Создание пластилинового слепка. Например, когда жертва захвачена, находится без сознания или в состоянии опьянения.
• Анализ отпечатка, оставленного на стеклянном стакане или бутылке. Атакующий может проследить за жертвой и использовать предмет, к которому было касание (в том числе восстановив полный отпечаток по частям).
• Создание макета на основе данных от датчиков отпечатков пальцев. Например, данные могут быть получены при утечке баз охранных предприятий или таможни.

Анализ отпечатка на стекле производился через создание фотографии с высоким разрешением в RAW-формате, к которой применяются фильтры для повышения контраста и разворачивания скруглённых областей в плоскость. Метод на основе данных от датчика отпечатков оказался менее эффективным, так как предоставляемого датчиком разрешения было недостаточно и приходилось восполнять детали по нескольким снимкам. Эффективность метода на основе анализа отпечатка на стекле (синий на графике ниже) оказалась идентична или даже выше, чем при использовании прямого оттиска (оранжевый).

Наиболее стойкими оказались устройства Samsung A70, HP Pavilion x360 и Lenovo Yoga, которые полностью смогли противостоять атаке с использованием поддельного отпечатка. Менее стойкими стали Samsung note 9, Honor 7x, Aicase padlock, iPhone 8 и MacbookPro, которые удалось атаковать в 95% попыток.

Для подготовки объёмной модели для печати на 3D-принтере использовался пакет ZBrush. Изображение отпечатка было использовано как чёрно-белая альфа-кисть, при помощи которой был вытянут объёмный отпечаток. Созданный макет использовался для создания формы, для печати которой достаточно обычного 3D-принтера с разрешением 25 или 50 микрон (0.025 и 0.05 мм). Наибольшие проблемы возникли с вычислением размера формы, которая точно должна совпадать с размером пальца. В ходе экспериментов было забраковано около 50 заготовок, пока не был найден способ вычисления нужного размера.

Далее, при помощи распечатанной формы заливался макет пальца, в котором использовался более пластичный материал, не подходящий для прямой 3D-печати. Исследователи провели эксперименты с большим числом различным материалов, из которых наиболее эффективными оказались силиконовый и текстильный клеи. Для повышения эффективности работы с ёмкостными датчиками в клей добавлялся токопроводящий графитовый или алюминиевый порошок.

1. OpenNews: Метод создания фиктивных отпечатков пальцев для разблокировки смартфонов
2. OpenNews: Представлена техника воссоздания отпечатков пальцев по изображению рук на фотографии
3. OpenNews: Опубликован исходный код системы для формирования слепков отпечатков пальцев FingerJetFX
4. OpenNews: Представлена техника воссоздания речи по вибрации предметов на видеозаписи
5. OpenNews: Атака на микрофоны систем голосового управления при помощи лазера

В случае воплощения в жизнь обсуждаемого плана, сообщество сможет получить доступ к новым версиям Qt только спустя год после их фактического выпуска. На практике подобное решение поставит крест на возможности участия сообщества в разработке Qt и принятия связанных с проектом решений, в своё время предоставленных компанией Nokia в рамках инициативы Open Governance. В качестве мотива возможного усиления коммерциализации проекта упоминается необходимость увеличения краткосрочных доходов для того чтобы удержаться на плаву в результате кризиса, вызванного пандемией коронавируса SARS-CoV-2.

Разработчики KDE надеются, что компания Qt Company передумает, но не сбрасывают со счетов возможную угрозу для сообщества, к которой разработчикам на Qt и KDE необходимо подготовиться. При общении с управляющим советом организации KDE e.V. представители Qt выразили готовность пересмотреть свои намерения, но требуют в ответ определённых уступок в других областях. Тем не менее, похожие переговоры по обновлению контракта велись и полгода назад, но компания Qt Company внезапно прервала их и ограничила LTS-выпуски Qt.

Отмечается, что сотрудничество между сообществом KDE, организацией Qt Project и компанией Qt Company до сих пор было близким и взаимовыгодным. Выгода для Qt Company заключалась в формировании вокруг Qt большого и здорового сообщества, включающего разработчиков приложений, сторонних участников разработки Qt и экспертов. Сообществу KDE сотрудничество было выгодным возможностью использовать готовый продукт Qt и напрямую принимать участие в его разработке. Qt Project получал выгоду из-за наличия компании, вносящей огромный вклад в разработку, и присутствия крупного сообщества, поддерживающего проект. Если решение по ограничению доступа к релизам Qt будет утверждено, то подобное сотрудничество будет разорвано.

Проект KDE подстраховался от возможного превращения Qt в полностью проприетарный продукт через организацию KDE Free Qt Foundation, созданную для защиты сообщества от возможного изменения политики в отношении поставки Qt как свободного продукта. Заключённое в 1998 году соглашение между KDE Free Qt Foundation и Trolltech, распространяющееся на всех будущих владельцев Qt, предоставляет проекту KDE право перелицензировать код Qt под любой открытой лицензией и продолжить разработку своими силами, в случае ужесточения лицензионной политики, банкротства владельца или прекращения развития проекта.

Текущий договор между KDE Free Qt Foundation и Qt Company также обязывает публиковать все изменения в Qt под открытой лицензией, но допускает задержку публикации в 12 месяцев, чем и намерена воспользоваться компания Qt Company для повышения своих доходов. Данный временной лаг намеревались исключить в новой редакции договора, но новый договор так и не удалось согласовать. Со своей стороны KDE был готов предоставить Qt Company дополнительные возможности для увеличения доходов, такие как возможность поставки наборов Qt с дополнительным ПО и допустимость интеграции со сторонними проприетарными приложениями. При этом KDE добивался устранения несовместимости между платной лицензий Qt и соглашением по использованию/разработке Qt как открытого продукта. Также в обновлённом договоре планировалось решить проблему лицензионной совместимости Qt Design Studio и включить в действие соглашения компоненты Qt для Wayland.

Дополнительно можно отметить выпуск корректирующего обновления Qt 5.12.8 и публикацию планов разработки Qt на 2020 год. В мае планируется выпустить релиз Qt 5.15, который будет LTS для коммерческих пользователей, но в открытом виде будут поддерживаться лишь до формирования очередного значительного выпуска, т.е. примерно полгода. В конце года ожидается релиз Qt 6.

Дополнение: Компания Qt Company опубликовала краткий комментарий, в котором сообщила, что обсуждаемые в форумах опасения о будущем открытого кода Qt не отражают планы компании. Также утверждается, что компания Qt Company сохраняет приверженность отрытому коду и текущей модели управления Qt. (Примечание редакции: Qt не уточняет, про какие именно обсуждения идёт речь и что именно не соответствует действительности - в форумах обсуждалось много разных домыслов. В заявлении Qt ничего не сказано конкретно про планы открытия своего кода лишь через 12 месяцев, договор с KDE Free Qt Foundation допускает такой шаг и формально Qt останется открытым).

1. OpenNews: LTS-версии Qt будут доступны только под коммерческой лицензией
2. OpenNews: Проект Qt объявил о смене лицензии и изменении соглашения с KDE
3. OpenNews: Опубликован план развития функциональности Qt 6
4. OpenNews: Nokia отказывается от разработки Qt и продаёт проект компании Digia
5. OpenNews: Nokia перевела Qt на открытую модель разработки и управления проектом

Основные изменения в Chrome 81:

• Продолжена реализация защиты от загрузки смешанного мультимедийного контента (когда на HTTPS-странице загружаются ресурсы по протоколу http://). На страницах, открытых по HTTPS, теперь автоматически будут заменяться ссылки "http://" на "https://" при загрузке изображений, скриптов, iframe, звуковых и видео файлов была реализована в прошлом выпуске. Если изображение недоступно по https, то его загрузка блокируется (вручную можно отметить блокировку через меню, доступное через символ замка в адресной строке).
• Отключена поддержка протокола FTP. В следующем выпуске весь связанный с FTP код будет удалён из кодовой базы. Для обращения по протоколу FTP рекомендовано использовать внешние FTP-клиенты. Временно поддержку FTP можно вернуть при помощи флага "--enable-ftp" или "--enable-features=FtpProtocol".
• Для всех пользователей включена функция группировки вкладок, позволяющая объединять несколько сходных по назначению вкладок в визуально разделённые группы. Каждой группе можно привязать свой цвет и имя. Ранее группировка вкладок была предложена для тестирования только небольшому проценту пользователей.
• В API WebXR Device добавлена поддержка устройств дополненной реальности. API WebXR позволяет унифицировать работу с различными классами устройств, от стационарных шлемов виртуальной реальности до решений на базе мобильных устройств. Для создания приложений дополненной реальности предложен новый API Web XR Hit Test, который позволяет размещать виртуальные объекты в области видимости камеры, отражающей реальную действительность. Например, можно отобразить виртуальный цветок на снимаемом на камеру подоконнике, выводить информационные метки поверх предметов или расставлять виртуальную мебель, снимая пустую комнату.
• При сохранении пароля во встроенном менеджере паролей обеспечен вывод предупреждения, если пароль введён на небезопасном сайте.
• Внесены изменения в условия использования Google (Google Terms of Service), в которых появился отдельный раздел для Google Chrome и Chrome OS.
• В режиме инкогнито и в гостевом сеансе по умолчанию отключена аутентификация с использованием NTLM / Kerberos.
• В реализации TLS 1.3 включены расширенные механизмы для противостояния откату на более ранние версии протокола TLS. Ранее защита от отката версии протокола была включена лишь частично из-за несовместимости с некоторыми некорректно работающими прокси-серверами (Palo Alto Networks PAN-OS, Cisco Firepower Threat Defense, ASA c FirePOWER). Сейчас проблемы с совместимостью остались в прошлом, так как большинство производителей подобных прокси выпустили обновления с приведением реализаций TLS в соответствие с требованиями спецификаций.
• В настройки добавлена опция "chrome://flags/#treat-unsafe-downloads-as-active-content", которая позволяет включить вывод предупреждений при попытке небезопасной загрузки исполняемых файлов по ссылкам со страниц HTTPS (в Chrome 83 подобные предупреждения будут выводиться по умолчанию, а в Chrome 84 загрузки будут блокироваться).
  
  
  
• Для мобильных устройств добавлена поддержка API Web NFC, позволяющего web-приложениям читать и записывать NFC-тэги. Среди примеров применения нового API в web-приложениях отмечается предоставление информации о музейных экспонатах, проведение инвентаризации, получение сведений с бейджей участников конференций и т.п. Отправка и сканирование тегов производится при помощи объектов NDEFWriter и NDEFReader. Новый API пока доступен только в режиме Origin Trials (экспериментальные возможности, требующие отдельной активации). Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
• В режиме Origin Trial в API PointerLock предложен флаг unadjustedMovement, при установке которого данные о событиях о движении мыши передаются в чистом виде, без корректировок и ускорения.
• Стабилизирован и теперь распространяется вне Origin Trials программный интерфейс Badging, позволяющий web-приложениям создавать индикаторы, выводимые на панели или домашнем экране. При закрытии страницы индикатор автоматически убирается. Например, подобным способом можно отображать число непрочитанных сообщений или информацию о каких-то событиях;
• В API Media Session добавлена возможность отслеживания позиции при воспроизведении композиции. Можно получить данные о скорости воспроизведения, продолжительности и текущем времени воспроизведения, что позволяет создавать собственные интерфейсы для оценки позиции и перемещения по треку.
• В API INTL реализован метод DisplayNames, через который можно получить локализированные названия языков, стран, валют, элементов дат и т.п.
• В API PerformanceObserver, предназначенном для сбора данных о состоянии ресурсов во время работы пользователя с web-приложением, реализована возможность использования флага "buffered" с длительно выполняемыми задачами.
• По умолчанию при выводе изображений Chrome будет учитывать информацию об ориентации из метаданных EXIF. Для явного переопределения данного поведения предложено CSS-свойство "image-orientation".
• Добавлены мета-тэг и CSS-свойство "color-scheme", позволяющие выбрать цветовую схему для отрисовки элементов интерфейса, таких как кнопки форм и полосы прокрутки.
• В HTMLAnchorElement добавлен атрибут hrefTranslate, через который можно передать информацию о необходимости перевода страницы на другой язык после перехода по ссылке.
• Добавлен новый тип событий SubmitEvent, который включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Например, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
• Улучшения в инструментах для web-разработчиков:
  • В контекстное меню, показываемое для сетевых запросов, добавлен пункт "Copy > Copy as Node.js fetch" для копирования в форме fetch-выражения, включающего данные о Cookie.
  • Обеспечен вывод подсказки с неэкранированным вариантом данных при наведении мыши на CSS-свойства "content".
  • В web-консоли повышена детализация сообщений об ошибках при разборе полей в source map.
  • Добавлена настройка "Preferences > Sources > Allow scrolling past end of file", позволяющая запретить прокрутку за конец файла при просмотре исходного текста страницы.
  • В панель Device добавлена симуляция экрана смартфона Moto G4.
  • В панели Cookies обеспечена подсветка жёлтым фоном заблокированных Cookie.
  • В таблицы с Cookies, показываемые в панелях Network и Application, добавлен столбец с данными о приоритете выбора Cookie.
  • Все поля (кроме поля с размером) в таблицах с Cookie теперь доступны для редактирования.
• Отключение поддержки протоколов TLS 1.0 и TLS 1.1 отложено до выпуска Chrome 84. До выпуска Chrome 83 также отложено включение нового оформления элементов web-форм, которые были оптимизированы для использования на сенсорных экранах.

Кроме нововведений и исправления ошибок в новой версии устранено 32 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 23 премии на сумму 26 тысяч долларов США (одна премия $7500, одна премия $5000, одна премия 3000, две премии $2000, три премии $1000 и восемь премий $500). Размер 7 вознаграждений пока не определён.

1. OpenNews: Разработчики Chromium предложили унифицировать и объявить устаревшим заголовок User-Agent
2. OpenNews: Chrome начнёт блокировать загрузку файлов по HTTP
3. OpenNews: В Chrome намечено включение блокировки навязчивой видеорекламы
4. OpenNews: Релиз Chrome 80
5. OpenNews: Google намерен до 2022 года прекратить поддержку сторонних Cookie в Chrome

IPE нацелен на создание полностью верифицируемых систем, целостность которых подтверждена от начального загрузчика и ядра до конечных исполняемых файлов, конфигурации и загружаемых файлов. В случае изменения или подмены файла IPE может блокировать операцию или журналировать факт нарушения целостности. Предложенный механизм может применяться в прошивках для встраиваемых устройств, в которых всё программное обеспечение и настройки специально собираются и предоставляются владельцем, например, в датацентрах Microsoft IPE применяется в оборудовании для межсетевых экранов.

От других систем проверки целостности, таких как IMA, IPE отличается независимостью от метаданных в ФС - все свойства, определяющие допустимость операций, хранятся непосредственно в ядре. Для верификации целостности содержимого файлов по криптографическим хэшам применяются уже существующие в ядре механизмы dm-verity или fs-verity. По аналогии с SELinux поддерживается два режима работы "permissive" и "enforce". В первом режиме лишь ведётся лог проблем при выполнении проверок, что, например, может использоваться для предварительного тестирования окружения.

1. OpenNews: В ядро Linux 5.4 приняты патчи для ограничения доступа root к внутренностям ядра
2. OpenNews: Для Linux представлена система верификации исполняемых файлов по цифровым подписям
3. OpenNews: Для ядра Linux предложена реализация белого списка исполняемых приложений
4. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
5. OpenNews: Выпуск модуля LKRG 0.6 для защиты от эксплуатации уязвимостей в ядре Linux

Основные новшества:

• Для Linux началось формирование официальных сборок в формате Flatpak.
• Обновлено оформление адресной строки. При клике на адресной строке теперь без необходимости начала набора сразу отображается выпадающий список наиболее часто используемых ссылок. Подсказка с результатами поиска оптимизирована для более качественной работы на небольших экранах. В области контекстных рекомендаций обеспечен вывод подсказок по решению типовых проблем, возникающих при работе с браузером.

  Прекращено отображение протокола https:// и поддомена "www." в выпадающем блоке ссылок, отображаемом в процессе набора в адресной строке (например, отличающиеся по содержимому https://opennet.ru и https://www.opennet.ru станут неотличимы). Протокол http:// показывается в результатах поиска без изменений.

  
• Для Linux изменено поведение при клике в адресной строке (сделано как в Windows и macOS) - одиночный клик выделяет всё содержимое без помещения в буфер обмена, двойной клик выделяет одно слово, тройной клик выделяет всё содержимое и помещает в буфер обмена.
• Реализована возможность не загружать изображения, находящиеся вне видимой области, до тех пор, пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег "img" добавлен атрибут "loading", который может принимать значение "lazy". Предполагается, что отложенная загрузка позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. Для управления отложенной загрузкой в about:config добавлен параметр "dom.image-lazy-loading.enabled".
• Реализована полноценная поддержка WebGL в окружениях, использующих протокол Wayland. До сих пор уровень производительности WebGL в Linux-сборках Firefox оставлял желать лучшего из-за отсутствия поддержки аппаратного ускорения, вследствие проблем с gfx-драйверами для X11 и применения разных стандартов. При использовании Wayland ситуация изменилась благодаря появлению нового бэкенда, использующего механизм DMABUF. Кроме аппаратного ускорения WebGL бэкенд также позволил реализовать поддержку ускорения декодирования видео H.264 с использованием VA-API (Video Acceleration API) и FFmpegDataDecoder (поддержка VP9 и других форматов кодирования видео ожидается в Firefox 76). Для управления включением ускорения в about:config предложены параметры "widget.wayland-dmabuf-webgl.enabled" и "widget.wayland-dmabuf-vaapi.enabled".
• Для пользователей из Великобритании включено отображение оплаченных спонсорами блоков на стартовой странице в разделе рекомендованного сервисом Pocket контента. Блоки явно помечены как реклама и отключаемы в настройках. Ранее реклама показывалась только пользователям из США.
• Реализован режим очистки старых Cookie и данных сайта при обращении к сайтам с кодом отслеживания перемещений, с которыми пользователь интерактивно не взаимодействовал. Режим нацелен на борьбу с отслеживанием через редиректы.
• Началась реализация модальных диалогов, привязанных к отдельным вкладкам и не блокирующих весь интерфейс.
• Добавлена возможность установки и открытия сайтов в форме приложений (Apps), позволяющих организовать работу с сайтом как с обычной настольной программой. Для включения в about:config необходимо добавить настройку "browser.ssb.enabled=true", после чего в контекстном меню действий со страницей (многоточие в адресной строке) появится пункт "Install Website as App", позволяющий разместить на рабочем столе или в меню приложений ярлык для обособленного открытия текущего сайта. Разработка продолжает развитие концепции "Site Specific Browser" (SSB), подразумевающей открытие сайта в отдельном окне без меню, адресной строки и прочих элементов интерфейса браузера. В текущем окне открываются только ссылки на страницы активного сайта, а переход по внешним ссылкам приводит к созданию отдельного окна с обычным браузером.
• Расширена реализация режима "nosniff", активируемого через HTTP-заголовок "X-Content-Type-Options", который теперь отключает и логику автоматического определения MIME-типов для HTML-документов, а не только для JavaScript и CSS. Режим помогает защититься от атак, связанных с манипуляцией MIME-типами. Браузер по умолчанию анализирует тип обрабатываемого контента и обрабатывает его в зависимости от определённого типа. Например, если в файл ".jpg" сохранить HTML-код, то при открытии данный файл будет обработан как HTML, а не как картинка. Атакующий может использовать форму загрузки изображений для jpg-файла, включающего html с JavaScript-кодом, после чего опубликовать ссылку на этот файл, при прямом открытии которого JavaScript-код будет выполнен в контексте сайта на который произведена загрузка (можно определить cookie и прочие привязанные к сайту данные пользователя, открывшего ссылку).
• Обеспечено локальное кэширование всех заслуживающих доверия PKI-сертификатов удостоверяющих центров, известных Mozilla, что позволило улучшить совместимость с некорректно настроенными web-серверами.
• На страницах открытых по HTTP без шифрования запрещено использование API Web Crypto.
• Для Windows реализован режим прямого композитинга (Direct Composition), позволяющий повысить производительность и приблизить внедрение системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы.
• Для macOS реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload). Начиная с Firefox 72 указанная возможность была доступна только для Windows.
• Следом за Linux в сборках для macOS задействован механизм изоляции RLBox, нацеленный на блокирование эксплуатации уязвимостей в сторонних библиотеках функций. На данном этапе изоляция включена только для библиотеки Graphite, отвечающей за отрисовку шрифтов. RLBox выполняет компиляцию C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю. Собранный модуль работает в отдельной области памяти и не имеет доступа к остальному адресному пространству. В случае эксплуатации уязвимости в библиотеке атакующий будет ограничен и не сможет обратиться к областям памяти основного процесса или передать управление вне изолированного окружения.
  
  
  
• Атрибут "type" в элементе <style> теперь может принимать только значение "text/css".
• В CSS реализованы функции min(), max() и clamp().
• Для CSS-свойства text-decoration-skip-ink реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами (ранее применяемое значение "auto" адаптивно формировало разрывы и не исключало касаний, при значении all касания с глифом полностью запрещены).
• В JavaScript включена поддержка публичных статических полей для экземпляров классов JavaScript, которые позволяют указывать заранее определённые свойства, инициализируемые вне конструктора.

  
      class ClassWithStaticField {
         static staticField = 'static field'
      }
  
  

• Добавлена поддержка класса Intl.Locale, предоставляющего методы для разбора и обработки выставляемых локалью параметров языка, региона и начертания, а также для чтения и записи тегов расширений Unicode и сохранения пользовательских настроек локали в сериализированном формате;
• Реализация свойства Function.caller приведена в соответствие с последним черновым вариантом новой спецификации ECMAScript (вместо TypeError теперь выдаётся null, если вызов осуществлён из функции с атрибутом strict, async или generator).
• В HTMLFormElement добавлен метод requestSubmit(), который инициирует программную отправку данных формы по аналогии с кликом на кнопку отправки данных. Функция может применяться при разработке собственных кнопок отправки формы, для которых вызова form.submit() недостаточно из-за того, что он не приводит к интерактивной проверке параметров, генерации события 'submit' и передаче данных, привязанных к кнопке отправки.
• Событие submit теперь реализуется объектом с типов SubmitEvent, а не Event. SubmitEvent включает новые свойства, позволяющие узнать элемент, вызов которого привёл к отправке формы. Напирмер, SubmitEvent даёт возможность использовать один обработчик, общий для различных кнопок и ссылок, приводящих к отправке формы.
• Реализована корректная передача события о клике при вызове метода click() для отсоединённых элементов (не являющихся частью дерева DOM).
• В API Web Animations добавлена возможность привязки анимации к начальному или завершающему ключевому кадру и браузер сам вычислит финальное или начальное состояние (достаточно указать только первый или последний ключевой кадр). Включены по умолчанию Animation.timeline getter, Document.timeline, DocumentTimeline, AnimationTimeline, Document.getAnimations() и Element.getAnimations().
  
  
  
• Добавлена возможность активации интерфейса профилирования страниц без установки отдельного дополнения, через нажатие кнопки "Enable Profiler Menu Button" на сайте profiler.firefox.com. Добавлен режим анализа производительности только активной вкладки.
• В web-консоли появился режим мгновенного вычисления выражений, позволяющий разработчикам быстрее выявлять и исправлять ошибки при вводе сложных выражений за счёт вывода предварительного результата по мере набора.
• В инструменте для измерения областей страницы (Measuring Tool) добавлена возможность изменения размера прямоугольной рамки (ранее, если отпустить клавишу мыши, рамку невозможно было изменить и в случае неточной наводки приходилось измерять с нуля).
• В интерфейсе инспектирования страниц добавлена поддержка поиска элементов при помощи выражений XPath в дополнение к ранее доступному поиску при помощи селекторов CSS.
• Добавлена возможность фильтрации сообщений WebSocket при помощи регулярных выражений (ранее поддерживались только текстовые маски).
• В JavaScript-отладчике добавлена поддержка привязки точек останова к обработчикам событий WebSocket. Также добавлена поддержка анализа вызовов async/await.
• Проведена чистка интерфейса для анализа сетевой активности. Оптимизирована отрисовка таблиц в условиях одновременной обработки большого числа соединений. Сделаны более контрастными разделители столбцов и кнопки для применения фильтров. В панели блокирования сетевых запросов реализована возможность использования символа "*" в масках URL (позволяет оценить поведение сайта в условиях сбоя загрузки ресурсов).

Кроме новшеств и исправления ошибок в Firefox 75 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

1. OpenNews: В Firefox 76 появится режим работы только по HTTPS
2. OpenNews: В Firefox планируют полностью убрать поддержку FTP
3. OpenNews: Релиз Firefox 74
4. OpenNews: В ночных сборках Firefox появилась возможность установки сайтов как приложений
5. OpenNews: В Firefox для Wayland обеспечено аппаратное ускорение WebGL и видео

Ошибочный анонс был произведён Ростелекомом (AS12389) 1 апреля в 22:28 (MSK), затем был подхвачен провайдером Rascom (AS20764) и далее по цепочке распространился в Cogent (AS174) и Level3 (AS3356), поле чего охватил почти всех интернет-провайдеров первого уровня (Tier-1). Сервисы мониторинга BGP оперативно уведомили Ростелеком о проблеме, поэтому инцидент продолжался около 10 минут (по другим данным последствия наблюдались около часа).

Это не первый инцидент, связанный с ошибкой на стороне Ростелекома. В 2017 году в течение 5-7 минут через Ростелеком были перенаправлены сети крупнейших банков и финансовых сервисов, включая Visa и MasterCard. Судя по всему, в обоих инцидентах источником проблемы послужили работы, связанные с управлением трафиком, например, утечка маршрутов могла возникнуть при организации внутреннего мониторинга, приоритизации или зеркалирования проходящего через Ростелеком трафика определённых сервисов и CDN (в связи с ростом нагрузки на сеть из-за массовой работы на дому в конце марта обсуждался вопрос понижения приоритета для трафика зарубежных сервисов в пользу отечественных ресурсов). Например, несколько лет назад предпринятая в Пакистане попытка заворачивания подсетей YouTube на null-интерфейс привела к появлению этих подсетей в BGP анонсах и стеканию всего трафика YouTube в Пакистан.

Интересно, что за день до инцидента с Ростелекомом мелким провайдером "Новая Реальность" (AS50048) из г. Шумерля через Транстелеком было анонсировано 2658 префиксов, затрагивающих Orange, Akamai, Ростелеком и сети ещё более 300 компаний. Утечка маршрутов привела к возникновению нескольких волн перенаправлений трафика, продолжительностью несколько минут. На пике проблема охватывала до 13.5 млн IP-адресов. Заметного глобального сбоя удалось избежать благодаря применению в Транстелекоме органичений маршрутов для каждого клиента.

Подобные инциденты возникают в глобальной Сети регулярно и будут продолжаться, пока повсеместно не будут внедрены методы авторизации BGP-анонсов на основе RPKI (BGP Origin Validation), разрешающие приём анонсов только от владельцев сети. Без применения авторизации любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от других систем, не применяющих фильтрацию анонсов.

При этом, в рассматриваемом инциденте проверка с использованем RPKI-репозитория RIPE оказалась бесполезной. По стечению обстоятельств за три часа до утечки BGP-маршрута в Ростелекоме в процессе обновления программного обеспечения RIPE было случайно удалено 4100 ROA-записей (RPKI Route Origin Authorisation). База была восстановлена только 2 апреля и всё это время для клиентов RIPE проверка находилась в неработоспособном виде (проблема не затронула RPKI-репозитории других регистраторов). Сегодня у RIPE возникли новые проблемы и репозиторий RPKI в течение 7 часов был недоступен.

В качестве решения для блокирования утечек также можно применять фильтрацию на основе реестра IRR (Internet Routing Registry), который определяет автономные системы через которые допустима маршрутизация заданных префиксов. При взаимодействии с небольшими операторами для снижения последствий ошибок персонала можно ограничить максимально допустимое число принимаемых префиксов для сеансов EBGP (настройка maximum-prefix).

В большинстве случаев инциденты являются следствием случайных ошибок персонала, но в последнее время встречаются и целевые атаки, в ходе которых злоумышленники путём компрометации инфраструктуры провайдеров организуют перенаправление и перехват трафика для подмены конкретных сайтов через организацию MiTM-атаки для замены ответов DNS. Для усложнения получения TLS-сертификатов при проведении подобных атак удостоверяющий центр Let's Encrypt недавно перешёл к многопозиционной проверке доменов с использованием разных подсетей. Для обхода данной проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута.

1. OpenNews: Утечка BGP-маршрутов привела к массовому нарушению связности в интернете
2. OpenNews: Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare
3. OpenNews: Зафиксирована попытка использования BGP для захвата трафика IP 1.1.1.1
4. OpenNews: BGPsec получил статус предложенного стандарта
5. OpenNews: BGP достиг рубежа в 512 тысяч маршрутов, что может привести к проблемам в интернете

LXC представляет собой runtime для запуска как системных контейнеров, так и контейнеров для отдельных приложений (OCI). В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities. Код LXC написан на языке Си и распространяется под лицензией GPLv2.

LXD представляет собой надстройку над LXC, CRIU и QEMU, применяемую для централизованного управления контейнерами и виртуальными машинами на одном или нескольких серверах. Если LXC является низкоуровневым инструментарием для манипуляции на уровне отдельных контейнеров, то LXD реализован в виде фонового процесса, принимающего запросы по сети через REST API и позволяющего создавать масштабируемые конфигурации, развёрнутые на кластере из нескольких серверов. Поддерживаются различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграция работающих контейнеров с одной машины на другую и средства для организации хранилища образов. Код LXD написан на языке Go и распространяется под лицензией Apache 2.0.

Ключевые улучшения в LXC 4.0:

• Полностью переписан драйвер для работы с cgroup. Добавлена поддержка унифицированной иерархии cgroup (cgroup2). Добавлена функциональность контроллера freezer, при помощи которого можно остановить работу в cgroup и временно высвободить некоторые ресурсы (CPU, ввод/вывод и потенциально даже память) для выполнения других задач;
• Реализована инфраструктура для перехвата системных вызовов;
• Добавлена поддержка подсистемы ядра "pidfd", предназначенной для обработки ситуации с повторным использованием PID (pidfd связывается с конкретным процессом и не меняется, в том время как PID может быть привязан к другому процессу после завершения текущего процесса, ассоциированного с этим PID);
• Улучшено создание и удаление сетевых устройств, а также их перемещения между пространствами имён сетевой подсистемы;
• Реализована возможность перемещения беспроводных сетевых устройств (nl80211) в контейнеры.

Ключевые улучшения в LXD 4.0:

• Добавлена поддержка запуска не только контейнеров, но и виртуальных машин;
• Для сегментирования серверов LXD предложена концепция проектов, упрощающих управление группами контейнеров и виртуальных машин. Каждый проект может включать свой набор контейнеров, виртуальных машин, образов, профилей и разделов хранения. В привязке к проектам можно задавать свои ограничения и менять настройки;
• Добавлена поддержка перехвата системных вызовов для контейнеров;
• Реализовано создание резервных копий окружений и восстановление из них;
• Обеспечено автоматизированное создание снапшотов окружений и разделов хранилищ с возможностью задания времени существования снапшота;
• Добавлен API для мониторинга за состоянием сети (lxc network info);
• Добавлена поддержка shiftfs, виртуальной ФС для сопоставления точек монтирования с пространствами имён идентификаторов пользователей (user namespace);
• Предложены новые типы сетевых адаптеров "ipvlan" и "routed";
• Добавлен бэкенд для использования хранилищ на базе CephFS;
• Для кластеров реализована поддержка репликации образов и многоархитектурных конфигураций;
• Добавлена возможность управления доступом на основе ролей (RBAC);
• Добавлена поддержка CGroup2;
• Добавлена возможность настройки MAC-адреса и определения адреса источника для NAT;
• Добавлен API для управления привязками в DHCP (leases);
• Добавлена поддержка Nftables.

1. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
2. OpenNews: Выпуск системы управления контейнерами LXC 2.1
3. OpenNews: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнера
4. OpenNews: Компания Canonical выпустила систему управления контейнерами LXD 2.0
5. OpenNews: Выпуск системы управления контейнерами LXD 2.8

В частности 7584 приложений включали встроенные секретные ключи доступа, 501 - встроенные мастер-пароли и 6013 - скрытые команды. Проблемные приложения встречаются во всех рассмотренных источниках программ - в процентном соотношении бэкдоры были выявлены в 6.86% (6860) изученных программ из Google Play, в 5.32% (1064) из альтернативного каталога и в 15.96% (4788) из списка предустанавливаемых приложений. Выявленные бэкдоры позволяют любому, кто знает ключи, пароли активации и последовательности для вызова команд, получить доступ к приложению и всем связанным с ним данным.

Например, в приложении для потокового вещания спортивных матчей, имеющем 5 млн установок, обнаружен встроенный ключ для входа в интерфейс администратора, дающий изменить настройки приложения и получить доступ к дополнительной функциональности. В приложений для блокировки экрана, насчитывающем 5 млн установок, найден ключ доступа, позволяющий сбросить пароль, выставляемый пользователем для блокировки устройства. В программе-переводчике, насчитывающей 1 млн установок, присутствует ключ, позволяющий совершать внутри приложения покупки и обновить программу до pro-версии без фактической оплаты.

В программе удалённого управления потерянным устройством, насчитывающей 10 млн установок, выявлен мастер-пароль, дающий возможность снять блокировку, установленную пользователем на случай потери аппарата. В программе для ведения записной книжки найден мастер-пароль, позволяющий разблокировать секретные заметки. Во многих приложениях также выявлены отладочные режимы, открывающие доступ к низкоуровневым возможностям, например, в приложении для совершения покупок при вводе определённой комбинации запускался прокси-сервер, а в обучающей программе была возможность обхода прохождения тестов.

Кроме бэкдоров, в 4028 (2.7%) приложениях выявлено наличие чёрных списков, применяемых для цензурирования поступающей от пользователя информации. Применяемые чёрные списки содержат наборы запрещённых для упоминания слов, включая имена политических партий и политиков, типовые фразы, употребляемые для запугивания и дискриминации определённых слоёв населения. Чёрные списки выявлены в 1.98% изученных программ из Google Play, в 4.46% из альтернативного каталога и в 3.87% из списка предустанавливаемых приложений.

Для проведения анализа использован созданный исследователями инструментарий InputScope, код которого в ближайшее время будет опубликован на GitHub (ранее исследователи уже опубликовали статический анализатор LeakScope, который автоматически выявляет утечки информации в приложениях).

1. OpenNews: Оценка злоупотребления запросом полномочий в приложениях-фонариках для Android
2. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
3. OpenNews: Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android
4. OpenNews: В 29 Android-приложениях для работы с камерой и фото выявлен вредоносный код
5. OpenNews: Анализ несанкционированной записи звука и видео в Android-приложениях

Основные изменения:

• Рабочий стол обновлён до выпуска GNOME 3.36. Переработана предлагаемая по умолчанию тема оформления Yaru, в которой помимо ранее доступных тёмного (тёмные заголовки, тёмный фон и тёмные элементы управления) и светлого (тёмные заголовки, светлый фон и светлые элементы управления) режимов, появится третий полностью светлый вариант. Предложено новое оформление системного меню и меню приложений. Добавлены новые пиктограммы каталогов, которые оптимизированы для отображении на светлом и тёмном фоне.
  

  Реализован новый интерфейс для смены вариантов темы оформления.

  
• Проведена оптимизация производительности GNOME Shell и оконного менеджера. Снижена нагрузка на процессор и сокращены задержки во время отрисовки анимации при манипуляции с окнами, при перемещении мыши и при открытии обзорного режима.
• Добавлена поддержка 10-разрядной глубины цвета.
• Для X11 реализована поддержка дробного масштабирования, которая ранее была доступна только при использовании Wayland. Указанная возможность позволяет подобрать оптимальный размер элементов на экранах с высокой плотностью пикселей (HiDPI), например, можно увеличить выводимые элементы интерфейса не в 2 раза, а в 1.5.
• Добавлена новая заставка, показываемая при загрузке.
• Ядро Linux обновлено до выпуска 5.4. Как и в осеннем выпуске для сжатия ядра и начального загрузочного образа initramf применяется алгоритм LZ4, позволивший сократить время загрузки за счёт более быстрой распаковки данных.
• Обновлены системные компоненты и средства для разработки: Glibc 2.31, BlueZ 5.53, OpenJDK 11, rustc 1.41, GCC 9.3, Python 3.8.2, ruby 2.7.0, Ruby on Rails 5.2.3, php 7.4, perl 5.30, go 1.13.
• Обновлены пользовательские и графические приложения: Mesa 20.0, PulseAudio 14.0-pre, Firefox 74.0, Thunderbird 68.6.0, LibreOffice 6.4
• Обновлены приложения для серверов и виртуализации: QEMU 4.2, libvirt 6.0, Bind 9.16, HAProxy 2.0, OpenSSH 8.2 (c поддержкой токенов двухфакторной аутентификации FIDO/U2F). В Apache httpd активирована поддержка TLSv1.3. Добавлена поддержка VPN WireGuard.
• Демон синхронизации точного времени chrony обновлён до версии 3.5 и дополнительно изолирован от системы через подключение фильтра системных вызовов.
• Продолжено развитие экспериментальной возможности установки на корневой раздел с ZFS. Реализация ZFSonLinux обновлена до выпуска 0.8.3 с поддержкой шифрования, горячего извлечения устройств, командой "zpool trim", ускорением работы команд "scrub" и "resilver". Для управления ZFS развивается демон zsys, позволяющий запускать несколько параллельных систем с ZFS на одном компьютере, автоматизирующий создание снапшотов и управляющий разнесением системных и изменяемых в процессе пользовательского сеанса данных. В разных снапшотах можно содержать разные состояния системы и переключаться между ними. Например, в случае проблем после установки обновлений можно будет вернуться к старому стабильному состоянию, выбрав прошлый снапшот. Снапшоты также могут быть использованы для прозрачного автоматического создания резервных копий пользовательских данных.
• По сравнению с прошлым LTS-релизом Snap Store заменил собой Ubuntu-software в качестве инструмента, применяемого по умолчанию для поиска и установки обычных и snap пакетов.
• Прекращена сборка пакетов для архитектуры i386. Для продолжения работы устаревших программ, остающихся только в 32-разрядном виде или требующих 32-разрядных библиотек, предусмотрена сборка и поставка отдельного набора 32-разрядных пакетов с библиотеками.
• В Kubuntu предложен рабочий стол KDE Plasma 5.18, набор приложений KDE Applications 19.12.3 и фреймворк Qt 5.12.5. По умолчанию задействован музыкальный проигрыватель Elisa 19.12.3, который заменил собой Cantata. Обновлены latte-dock 0.9.10, KDEConnect 1.4.0, Krita 4.2.9, Kdevelop 5.5.0. Прекращена поддержка приложений KDE4 и Qt4. Предложен экспериментальный сеанс на базе Wayland (после установки пакета plasma-workspace-wayland появляется опциональный пункт "Plasma (Wayland)" на экране входа).
• Ubuntu MATE 20.04: Рабочий стол MATE обновлён до версии 1.24. Добавлен интерфейс для обновления прошивок, использующий fwupd. Из поставки удалены Compiz и Compton. Обеспечен показ эскизов окон в панели, интерфейсе переключения задач (Alt-Tab) и переключателе рабочих столов. Предложен новый апплет для вывода уведомлений. В качестве почтового клиента вместо Thunderbird задействован Evolution. При установке проприетарных драйверов NVIDIA, которые можно выбрать в инсталляторе, предложен апплет для переключения между разными GPU в системах с гибридной графикой (NVIDIA Optimus).
• Ubuntu Budgie: По умолчанию задействован апплет с меню приложений Stylish и собственный апплет для управления сетевыми настройками. Добавлен интерфейс для быстрого переключения раскладок рабочего стола (Budgie, Classic Ubuntu Budgie, Ubuntu Budgie, Cupertino, The One и Redmond). В основной состав включены приложения GNOME Firmware и GNOME Drawing. Улучшена интеграция с GNOME 3.36. Рабочий стол Budgie обновлён до версии 10.5.1. Добавлены настройки сглаживания и хинтинга шрифтов. По умолчанию отключён апплет с системным лотком (из-за проблем при работе). Апплеты адаптированы для экранов HiDPI.
• Ubuntu Studio: В Ubuntu Studio Controls разделены настройки Jack Master, дополнительных устройств и прослоек к PulseAudio. Обновлены RaySession 0.8.3, Audacity 2.3.3, Hydrogen 1.0.0-beta2, Carla 2.1-RC2, Blender 2.82, KDEnlive 19.12.3, Krita 4.2.9, GIMP 2.10.18, Ardour 5.12.0, Scribus 1.5.5, Darktable 2.6.3, Pitivi 0.999, Inkscape 0.92.4, OBS Studio 25.0.3, MyPaint 2.0.0, Rawtherapee 5.8.
• В Xubuntu отмечено появление тёмной темы оформления. В Lubuntu заметны только незначительные изменения и обновления.

1. OpenNews: Canonical планирует поменять тему оформления в Ubuntu 20.04
2. OpenNews: Обновлены планы по поставке 32-разрядных библиотек в Ubuntu 20.04
3. OpenNews: Выпуск дистрибутива Ubuntu 19.10
4. OpenNews: Методы отключения защиты Lockdown в Ubuntu для удалённого обхода UEFI Secure Boot
5. OpenNews: Выпуск Ubuntu 18.04.4 LTS c обновлением графического стека и ядра Linux

Пакет Unbreakable Enterprise Kernel 6 основан на ядре Linux 5.4 (UEK R5 базировался на ядре 4.14), которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и специально оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и src-пакеты с ядром UEK R6 подготовлены для Oracle Linux 7.x и 8.x. Поддержка ветки 6.x прекращена, для применения UEK R6 следует обновить систему до Oracle Linux 7 (нет никаких препятствий по использованию данного ядра в аналогичных версиях RHEL, CentOS и Scientific Linux).

Ключевые новшества Unbreakable Enterprise Kernel 6:

• Расширенная поддержка систем на базе 64-разрядной архитектуры ARM (aarch64).
• Реализована поддержка всех возможностей Cgroup v2.
• Реализован фреймворк ktask для распараллеливания задач в ядре, потребляющих значительные ресурсы CPU. Например, при помощи ktask может быть организовано распараллеливание операций по очистке диапазонов страниц памяти или обработке списка inode;
• Включена распараллеленная версия kswapd для обработки операций замены страниц памяти в асинхронном режиме, позволяя сократить число прямых (синхронных) операций замены. При уменьшении числа свободных страниц памяти kswapd выполняет сканирование для выявления неиспользуемых страниц, которые могут быть высвобождены.
• Поддержка верификации целостности образа ядра и прошивок по цифровой подписи, при загрузке ядра при помощи механизма Kexec (загрузка ядра из уже загруженной системы).
• Проведена оптимизация производительности системы управления виртуальной памятью, улучшена эффективность очистки станиц памяти и кэша, улучшена обработка обращений к не выделенным страницам памяти (page faults).
• Расширена поддержка NVDIMM, указанная постоянная память теперь может использоваться в качестве традиционного ОЗУ.
• Осуществлён переход на систему динамической отладки DTrace 2.0, которая переведена на использование подсистемы ядра eBPF. DTrace теперь работает поверх eBPF, по аналогии с тем, как поверх eBPF работают существующие в Linux инструменты трассировки.
• Внесены улучшения в файловую систему OCFS2 (Oracle Cluster File System).
• Улучшена поддержка файловой системы Btrfs. Добавлена возможность применения Btrfs на корневых разделах. В инсталлятор добавлена опция для выбора Btrfs при форматировании устройств. Добавлена возможность размещения файлов подкачки на разделах с Btrfs. В Btrfs добавлена поддержка сжатия с использованием алгоритма ZStandard.
• Добавлена поддержка интерфейса для асинхронного ввода/вывода - io_uring, который примечателен поддержкой поллинга ввода/вывода и возможностью работы как с буферизацией, так и без буферизации. По производительности io_uring очень близок к SPDK и существенно опережает libaio при работе с включённым поллингом. Для использования io_uring в конечных приложениях, работающих в пространстве пользователя, подготовлена библиотека liburing, предоставляющая высокоуровневую обвязку над интерфейсом ядра;
• Добавлена поддержка режима Adiantum для быстрого шифрования накопителей.
• Добавлена поддержка сжатия с использованием алгоритма Zstandard (zstd).
• В файловой системе ext4 задействованы 64-разрядные метки времени в полях суперблока.
• В XFS включены средства для информирования о состоянии целостности ФС во время работы и получения статуса о выполнении fsck на лету.
• TCP-стек по умолчанию переведён на модель "Early Departure Time" вместо "As Fast As Possible" при отправке пакетов. Для UDP включена поддержка GRO (Generic Receive Offload). Добавлена поддержка приёма и отправки TCP-пакетов в режиме zero-copy.
• Задействована реализация протокола TLS на уровне ядра (KTLS), которая теперь может применяться не только для отправляемых, но и для принимаемых данных.
• В качестве бэкенда для межсетевого экрана по умолчанию задействован nftables. Опционально добавлена поддержка bpfilter.
• Добавлена поддержка подсистемы XDP (eXpress Data Path), позволяющей в Linux запускать BPF-программы на уровне сетевого драйвера с возможностью прямого доступа к DMA-буферу пакетов и на стадии до выделения буфера skbuff сетевым стеком.
• Улучшен и включён при использовании UEFI Secure Boot режим Lockdown, который ограничивает доступ пользователя root к ядру и блокирует пути обхода UEFI Secure Boot. Например, в режиме lockdown ограничивается доступ к /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, отладочному режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), некоторым интерфейсам ACPI и MSR-регистрам CPU, блокируются вызовы kexec_file и kexec_load, запрещается переход в спящий режим, лимитируется использование DMA для PCI-устройств, запрещается импорт кода ACPI из переменных EFI, не допускаются манипуляции с портами ввода/вывода, в том числе изменение номера прерывания и порта ввода/вывода для последовательного порта.
• Добавлена поддержка расширенных инструкций IBRS (Enhanced Indirect Branch Restricted Speculation), которые позволяют адаптивно разрешать и запрещать спекулятивное выполнение инструкций во время обработки прерываний, системных вызовов и переключений контекста. При наличии поддержки Enhanced IBRS данный метод применяется для защиты от атак класса Spectre V2 вместо Retpoline, так как позволяет добиться более высокой производительности.
• Улучшена защита в каталогах, доступных всем на запись. В подобных каталогах запрещено создания FIFO-файлов и файлов, принадлежащих пользователям, не совпадающим с владельцем каталога с флагом sticky.
• По умолчанию на системах ARM включена рандомизация адресного пространства ядра на системах (KASLR). Для Aarch64 включена аутентификация указателей.
• Добавлена поддержка "NVMe over Fabrics TCP".
• Добавлен драйвер virtio-pmem, представляющий доступ к устройствам хранения, отражённым в физическое адресное пространство, таким как NVDIMM.

1. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 5
2. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 4
3. OpenNews: Компания Oracle представила релиз ядра Unbreakable Enterprise Kernel 3
4. OpenNews: Доступен дистрибутив Oracle Linux 8.1
5. OpenNews: Релиз ядра Linux 5.4

XCP-NG позволяет быстро развернуть систему виртуализации серверов и рабочих станций, предлагая средства для централизованного управления неограниченным числом серверов и виртуальных машин. Среди особенностей системы: возможность объединения нескольких серверов в пул (кластер), средства обеспечения высокой доступности (High Availability), поддержка снапшотов, совместное использование разделяемых ресурсов при помощи технологии XenMotion. Поддерживается живая миграция виртуальных машин между хостами кластера и между разными кластерами/отдельными хостами (не имеющими общего хранилища), а также живая миграция дисков VM между хранилищами. Платформа может работать с большим числом систем хранения данных и отличается наличием простого и понятного интерфейса для установки и администрирования.

Новый выпуск не только воссоздаёт функциональность Citrix Hypervisor 8.1, но и предлагает некоторые улучшения:

• Установочные образы нового выпуска построены на пакетной базе CentOS 7.5 с использованием гипервизора Xen 4.13. Добавлена возможность использования альтернативного ядра Linux, основанного на ветке 4.19;
• Стабилизирована поддержка загрузки гостевых систем в режиме UEFI (поддержка Secure Boot не перенесена из Citrix Hypervisor, а создана с нуля, чтобы избежать пересечений с проприетарным кодом);
• Добавлена поддержка надстроек XAPI (XenServer/XCP-ng API), необходимых для резервного копирования виртуальных машин, захватывая срез содержимого их оперативной памяти. Пользователи получили возможность восстановления VM вместе с контекстом выполнения и состоянием ОЗУ на момент создания резервной копии, по аналогии с восстановлением состояния системы после выхода из спящего режима (перед резервным копированием VM приостанавливается);
• Внесены улучшения в инсталлятор, в котором теперь предложены две опции установки: BIOS и UEFI. Первый может применяться как запасной вариант на системах, в которых наблюдаются проблемы с UEFI (например, на базе CPU AMD Ryzen). Во втором по умолчанию используется альтернативное ядро Linux (4.19);
• Улучшена производительность импорта и экспорта виртуальных машин в формате XVA. Повышена производительность хранилища;
• Добавлены новые драйверы ввода/вывода для Windows;
• Добавлена поддержка чипов AMD EPYC 7xx2(P);
• Вместо ntpd задействован chrony;
• Объявлена устаревшей поддержка гостевых систем в режиме PV;
• В новых локальных хранилищах по умолчанию теперь применяется ФС Ext4;
• Добавлена экспериментальная поддержка построения локальных хранилищ на базе ФС XFS (требуется установка пакета sm-additional-drivers);
• Экспериментальный модуль для ZFS обновлён до версии 0.8.2.

1. OpenNews: XCP-ng, свободный вариант Citrix XenServer, вошёл в состав проекта Xen
2. OpenNews: Выпуск XCP-NG 8.0, свободного варианта Citrix XenServer
3. OpenNews: Выпуск платформы виртуализации XenServer (Citrix Hypervisor) 8.0
4. OpenNews: Релиз Proxmox VE 6.1, дистрибутива для организации работы виртуальных серверов
5. OpenNews: Выпуск гипервизора Xen 4.12

Уже доступные приложения, адаптированные для применения на мобильных устройствах и покрывающие базовые потребности:

• Музыкальный проигрыватель vvave
• Просмотрщики изображений Koko и Pix
• Ведение заметок buho
• Календарь-планировщик calindori
• Файловый менеджер Index
• Просмотрщик документов Okular
• Менеджер приложений Discover
• Программа для отправки SMS Spacebar
• Адресная книга plasma-phonebook
• Интерфейс для осуществления телефонных вызовов plasma-dialer
• Браузер plasma-angelfish
• Из мессенджеров рассматривается предустановка типовых приложений, таких как Telegram и Spectral.

Развиваются отдельными разработчиками, но пока не переведены в репозитории Plasma Mobile:

• Видеопроигрыватель videoplayer
• Часы kirigamiclock
• Калькулятор kalk
• Программа для записи звука voicememo

Большая часть из вышеотмеченных программ содержит недоработки или не доведена до должной функциональности. Например, имеются нерешённые проблемы в программе для отправки SMS, календарь-планировщик требует перевода на интерфейс ядра timer_fd для организации отправки уведомлений во время спящего режима, отсутствует возможность ответа на звонок при отключённом или заблокированном экране.

До первого релиза также требуется решить некоторые проблемы в композитном сервера KWin, использующем Wayland. В частности, необходимо обеспечить поддержку выборочного обновления содержимого поверхностей, пропуская области, в которых не было изменений (позволит повысить производительность и снизить потребление энергии). Пока не реализована поддержка показа эскизов в интерфейсе переключения между задачами. Требуется реализовать поддержку протокола input-method-unstable-v1 для организации ввода с экранной клавиатуры в некоторых сторонних приложениях. Необходимо провести профилирование и оптимизацию производительности KWin.

Из общих задач упоминается поддержка вывода уведомлений в интерфейсе блокировки экрана и создание недостающих модулей для конфигуратора. В текущем виде конфигуратор позволяет настраивать дату и время, параметры языка, поддерживает прикрепление учётных записей Nextcloud и Google, предоставляет простые настройки Wi-Fi и выводит общую информацию о системе.

Среди намеченных к реализации задач отмечается автоматическое получение времени от мобильного оператора, настройка параметров звука и уведомлений, отображение сведений об IMEI, MAC-адресе, мобильной сети и SIM-карте, поддержка режимов защиты Wi-Fi, отличных от WPA2-PSK, возможность подключения к скрытым беспроводным сетям, настройка режимов мобильной передачи данных, расширения настроек языка, настройка Bluetooth, управление раскладками клавиатуры, настройка блокировки экрана и PIN, режимы энергопотребления.

Напомним, что платформа Plasma Mobile основана на мобильной редакции рабочего стола Plasma 5, библиотеках KDE Frameworks 5, телефонном стеке Ofono и коммуникационном фреймворке Telepathy. Для создания интерфейса приложений применяется Qt и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК. Для вывода графики используется композитный сервер kwin_wayland. Для обработки звука применяется PulseAudio.

Plasma Mobile не привязывается к низкоуровневым компонентам операционной системы, что позволяет обеспечить возможность работы платформы под разными базовыми ОС, в том числе, организовать запуск поверх Ubuntu и Mer. Поддерживается выполнение plasma-виджетов и приложений для рабочего стола KDE Plasma, а также предусмотрена возможность использования программ, написанных для платформ UBports/Ubuntu Touch, Sailfish и Nemo.

1. OpenNews: Проект KDE представил окружение Plasma Bigscreen для телевизоров
2. OpenNews: Анонсирован Necuno Mobile, открытый смартфон с окружением Plasma Mobile
3. OpenNews: План разработки мобильной платформы KDE Plasma Mobile
4. OpenNews: Мобильная платформа Plasma Mobile портирована для устройств Nexus 5X
5. OpenNews: KDE Plasma Mobile переходит с Ubuntu Touch на Cyanogenmod

Отмечается, что ветка LineageOS 17 достигла паритета по функциональности и стабильности c веткой 16, и признана готовой для перехода на стадию формирования ночных сборок. Сборки пока подготовлены только для ограниченного числа устройств, список которых постепенно будет расширяться. Ветка 16.0 переведена на еженедельное формирование сборок, вместо ежедневных. При установке для всех поддерживаемых устройств теперь по умолчанию предлагается собственный Lineage Recovery, не требующий выделения отдельного recovery-раздела.

По сравнению с LineageOS 16, кроме изменений, специфичных для Android 10, также предложены некоторые улучшения:

• Новый интерфейс для создания скриншотов, позволяющий выбирать определённые части экрана для снимка и редактировать скриншоты.
• Перенесено предлагаемое в AOSP (Android Open Source Project) приложение для выбора тем оформления ThemePicker. Ранее применявшийся для выбора тем API Styles объявлен устаревшим. ThemePicker не только поддерживает все возможности Styles, но и опережает его по функциональности.
• Реализована возможность изменения шрифтов, формы пиктограмм (QuickSettings и Launcher) и стиля пиктограмм (Wi-Fi/Bluetooth).
• Помимо возможности скрытия приложений и блокирования запуска через назначение пароля в интерфейсе для запуска приложений Trebuchet Launcher появилась возможность ограничения доступа к приложению через биометрическую аутентификацию.
• Перенесены патчи, накопившиеся с октября 2019 года.
• Сборка основана на ветке android-10.0.0_r31 с поддержкой Pixel 4/4 XL.
• Возвращён экран Wi-Fi.
• Добавлена поддержка экранных сенсоров отпечатков пальцев (FOD).
• Добавлена поддержка всплывающего окна камеры и вращения камеры.
• Набор Emoji в экранной клавиатуре AOSP обновлён до версии 12.0.
• Браузерный компонент WebView обновлён до Chromium 80.0.3987.132.
• Вместо PrivacyGuard для гибкого управления полномочиями приложений задействован штатный PermissionHub из AOSP.
• Вместо API Expanded Desktop задействованы штатные для AOSP средства навигации через экранные жесты.

1. OpenNews: Выпуск мобильной платформы Android 10
2. OpenNews: В LineageOS добавлен интерфейс Trust и обеспечена поддержка бесшовных обновлений
3. OpenNews: Началось формирование сборок мобильной платформы LineageOS 16
4. OpenNews: Отчёт о развитии мобильной платформы LineageOS 16
5. OpenNews: Для Nintendo Switch подготовлена неофициальная прошивка с LineageOS

Прошивка с UBports находится на стадии бета-тестирования, но утверждается, что базовая функциональность полностью работоспособна. Поддерживается приём и совершение звонков, работа с SMS-сообщениями, подключение к LTE-сетям, использование GPS, поддержка ускорения GPU. Из компонентов, в которых остаются нерешённые проблемы отмечаются камера и USB Host (например, автоматически не обрабатывается подключение мыши), оставляет желать лучшего время автономной работы от аккумулятора.

Напомним, что аппаратная начинка PinePhone рассчитана на использование заменяемых компонентов - большинство модулей не впаяно, а подключено через отсоединяемые шлейфы, что позволяет, например, при желании заменить предлагаемую по умолчанию посредственную камеру на более качественную. Устройство построено на четырёхъядерном SoC ARM Allwinner A64 c GPU Mali 400 MP2, оснащено 2 Гб ОЗУ, 5.95-дюймовым экраном (1440×720 IPS), Micro SD (с поддержкой загрузки с SD-карты), 16GB eMMC (внутренний), портом USB-C с USB Host и совмещённым видеовыходом для подключения монитора, Wi-Fi 802.11 b/g/n, Bluetooth 4.0 (A2DP), GPS, GPS-A, GLONASS, двумя камерами (2 и 5Mpx), аккумулятором 3000mAh, аппаратно отключаемыми компонентами с LTE/GNSS, WiFi, микрофоном и динамиками.

Кроме UBports, для PinePhone развиваются загрузочные образы на базе Postmarket OS с KDE Plasma Mobile, Maemo Leste, Manjaro, LuneOS, Nemo Mobile и частично открытой платформой Sailfish. Ведётся работа по подготовке сборок с NixOS. Программное окружение может быть загружено прямо с SD-карты без необходимости осуществлять перепрошивку.

1. OpenNews: Развиваемое проектом UBports окружение Unity8 переименовано в Lomiri
2. OpenNews: Linux-смартфон PinePhone доступен для заказа
3. OpenNews: Одиннадцатое обновление прошивки UBports, пришедшей на смену Ubuntu Touch
4. OpenNews: Произведена первая партия смартфона Librem 5. Подготовка PinePhone