The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

·29.03 PyPI приостановил регистрацию новых пользователей и проектов из-за всплеска вредоносных публикаций (9 +5)
  Репозиторий Python-пакетов PyPI (Python Package Index) временно запретил регистрацию новых пользователей и создание новых проектов из-за непрекращающейся массовой загрузки вредоносных пакетов в ходе автоматизированной атаки. Блокировка была введена после того, как 26 и 27 марта в репозиторий было загружено 566 пакетов с вредоносным кодом, стилизованных под 16 популярных Python-библиотек.

Имена пакетов сформированы с использованием тайпсквотинга, т.е. назначение похожих имён, отличающихся отдельными символами, например, temsorflow вместо tensorflow, requyests вместо requests, asyincio вместо asyncio и т.п. При проведении подобных атак злоумышленники рассчитывают на невнимательных пользователей, совершивших опечатку или не заметивших отличий в названии при поиске или переходе по ссылке из форумов и чатов, в которых злоумышленники оставляют обманные инструкции.

Вредоносные пакеты основаны на коде легитимных библиотек, в который встроены отдельные изменения, устанавливающие в систему вредоносное ПО, осуществляющее поиск и отправку конфиденциальных данных и файлов, содержащих пароли, ключи доступа, криптокошельки, токены и сессионные Cookie. Вредоносный код встраивается в файл setup.py, запускаемый во время установки пакета. Во время активации внесённое изменение осуществляет загрузку основных вредоносных компонентов с внешнего сервера.

За два дня злоумышленниками было загружено 29 вредоносных варианта пакета tensorflow, 26 - BeautifulSoup, 26 - PyGame, 15 - SimpleJson, 38 - Matplotlib, 26 - PyTorch, 67- CustomTKInter, 28 - selenium, 17 - playwright, 15 - asyncio и 67 - requirements. Дополнительно выявлены отдельные случая подделки библиотек requests, py-cord, colorama, capmonstercloudclient, pillow и bip-utils.

Отдельно отмечается атака на сообщество Top.gg, насчитывающее 170 тысяч пользователей. В ходе атаки злоумышленник сумел скомпрометировать учётную запись в GitHub одного из разработчиков top.gg, путём кражи браузерных Cookie. Атакующий также добавил три пакета в репозиторий PyPI и зарегистрировал домены pypihosted.org и pythanhosted.org, на которых было организовано зеркало для распространения вредоносной зависимости к пакетам.

Через взломанную учётную запись в GitHub-репозиторий проекта top.gg, в котором размещалась Python-обвязка над API Top.gg, было внесено изменение, добавляющее файл requirements.txt. В файле был размещён список загружаемых зависимостей, в котором под видом загрузки зависимости с зеркала была ссылка на вредоносный клон пакета "colorama", размещённый на подставном домене pypihosted.org, с расчётом на то, что разработчики не заметят разницы с легитимным доменом pythonhosted.org, с которого обычно производится загрузка пакетов с PyPI.

  1. Главная ссылка к новости
  2. OpenNews: Каталог PyPI перешёл на обязательную двухфакторную аутентификацию
  3. OpenNews: Злоумышленник захватил управление над 4 проектами в репозитории PyPI
  4. OpenNews: В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов
  5. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
  6. OpenNews: В репозитории PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты
Обсуждение (9 +5) | Тип: Проблемы безопасности |


·29.03 Проект FuryGpu развивает GPU на базе FPGA (72 +23)
  Представлен рабочий прототип проекта FuryGpu, развивающего самодельный GPU на основе FPGA Xilinx Zynq UltraScale+, оформленный в виде отдельной платы, подключаемой к ПК через интерфейс PCIe. Описания аппаратных блоков реализованы на языке SystemVerilog, а проект платы подготовлен в свободной системе автоматизированного проектирования печатных плат KiCAD. В текущем виде GPU FuryGpu уже позволяет запустить игру Quake с производительностью отрисовки 60 FPS при разрешении 1280 x 720.

Проект разрабатывается с 2021 года в качестве хобби программистом, специализирующемся на разработке компьютерных игр и интересующимся аппаратным обеспечением. Схемы платы, Verilog-описания и драйверы пока недоступны публично, но автор проекта заявил о намерении открыть все связанные с FuryGpu наработки после согласования некоторых юридических вопросов со своим работодателем (согласование необходимо, чтобы подстраховать себя от возможных претензий со стороны работодателя).

На текущей стадии развития возможности FuryGpu сравниваются с продвинутой видеокартой середины 1990-годов. Функциональность GPU определена набором фиксированных функций, выполнение программных шейдеров пока не поддерживается, а основное внимание уделяется компонентам для рендеринга, растеризации и обработки текстур. Для выполнения графических операций предоставляется собственный графический API FuryGL, напоминающий API Vulkan, но не совместимый с ним из-за отсутствия поддержки шейдеров.

Среди уже доступных возможностей:

  • Четыре независимых тайловых растеризатора;
  • Работа GPU на частоте 400MHz, работа блока управления текстурами на частоте 480MHz;
  • Фронтэнд для выполнения операций с плавающей запятой (fp32);
  • Блок маппинга и обработки текстур, поддерживающий линейную и билинейную фильтрацию с поддержкой MIP-текстурирования;
  • Интерфейс PCIe Gen 2x4. Наличие портов DisplayPort и HDMI для подключения монитора.

  1. Главная ссылка к новости
  2. OpenNews: Доступен Vortex 2.0, открытый GPGPU на базе архитектуры RISC-V
  3. OpenNews: Инициатива по развитию открытых проектов для FPGA
  4. OpenNews: Проект Libre RISC-V развивает свободный GPU
  5. OpenNews: Представлен RV64X, открытый GPU на базе технологий RISC-V
  6. OpenNews: Проект VeriGPU развивает открытый GPU на языке Verilog
Обсуждение (72 +23) | Тип: К сведению |


·28.03 Выпуск набора утилит GNU Coreutils 9.5 и его варианта на языке Rust (21 +9)
  Опубликована стабильная версия набора базовых системных утилит GNU Coreutils 9.5, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln, ls и т.д.

Ключевые новшества:

  • В утилитах cp, mv, install, cat и split проведена оптимизация операций записи и чтения. Размер минимального читаемого или записываемого блока увеличен с 128KiB до 256KiB, что привело к повышению пропускной способности при чтении прокэшированных файлов на 10-20%.
  • В утилиты env, kill и timeout добавлена поддержка неименованных сигналов.
  • За счёт исключения трансляции ненужных меток MCS/MLS повышена эффективность операций копирования при использовании в системе SELinux.
  • Сокращено время запуска утилиты sort за счёт прекращения динамического связывания с библиотекой libcrypto в ситуациях, когда не указана опция "-R".
  • Значительно ускорена работа утилиты wc в окружениях с однобайтовыми локалями и немного ускорена на системах с многобайтовыми локалями.
  • В утилиту chgrp добавлена поддержка опции "--from=OWNER:GROUP" для применения изменений только к файлам с заданным владельцем и группой.
  • В утилите chmod по аналогии с вариантами утилит chown и chmod для других систем реализованы опции "-h", "-H", "-L", "-P" и "--dereference", предоставляющие дополнительные возможности обработки символических ссылок.
  • В утилиту cp добавлена опция "--keep-directory-symlink" для сохранения и следования существующим символическим ссылкам на каталоги.
  • В утилиты cp и mv добавлена опция "--update=none-fail", которая напоминает опцию "--no-clobber", за исключением того, что выполнение завершается ошибкой если файлы уже существуют.
  • В утилиту env добавлена опция -a (--argv0) для переопределения нулевого параметра командной строки (путь к исполняемому файлу).
  • В утилиту mv добавлена опция "--exchange" для обмена содержимого источника и назначения (например, при выполнении "mv --exchange A B", содержимое А и B поменяется местами, т.е. A переместится в B, а B в A).
  • В утилиту tail добавлена поддержка отслеживания вывода из нескольких процессов через повторное указание нескольких опций "--pid".



Несколько дней назад также был опубликован выпуск проекта uutils coreutils 0.0.25, развивающего аналог пакета GNU Coreutils, переписанный на языке Rust. В состав coreutils входит более ста утилит, включая sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Целью проекта является создание кроссплатформенной альтернативной реализации Coreutils, способной работать в том числе на платформах Windows, Redox и Fuchsia. В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL.

В новой версии uutils в качестве эталонного задействован выпуск GNU Coreutils 9.4. Улучшена совместимость с эталонным тестовым набором GNU Coreutils, при прохождении которого успешно выполнено 437 теста (в прошлой версии 422), 117 (132) тестов завершилось неудачей, а 50 (50) тестов были пропущены. Обеспечена полная совместимость с GNU Coreutils для утилит base64, basename, cat, chgrp, chmod, chown, dirname, expand, fold, groups, join, ln, mktemp, nice, nl, nproc, paste, pathchk, printenv, realpath, shuf, sleep, split, sync, unexpand, uniq, wc и yes.

Расширены возможности, улучшена совместимость и добавлены недостающие опции для утилит base32, base64, basenc, basename, cat, chcon, chmod, cksum, cp, csplit, cut, dd, df, du, echo, env, expand, factor, fmt, hashsum, install, ln, ls, more, numfmt, odd, printf, pr, seq, shuf, sort, split, stat, tsort, tty, truncate, uname и uniq.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск набора утилит GNU Coreutils 9.4 и его варианта на языке Rust
  3. OpenNews: Адаптация Debian для использования реализации coreutils на языке Rust
  4. OpenNews: Подготовлен вариант GNU Coreutils, переписанный на языке Rust
  5. OpenNews: Выпуск GNU inetutils 2.5 с устранением уязвимости в suid-приложениях
  6. OpenNews: Выпуск системной библиотеки Glibc 2.39 и набора утилит GNU Binutils 2.42
Обсуждение (21 +9) | Тип: Программы |


·28.03 Amazon, Google, Oracle, Ericsson и Snap основали Valkey, форк СУБД Redis (84 +16)
  Организация Linux Foundation объявила о создании проекта Valkey, который продолжит развитие открытой кодовой базы СУБД Redis, распространяемой под лицензией BSD. Проект будет развиваться под эгидой организации Linux Foundation на независимой площадке с привлечением сообщества разработчиков и компаний, заинтересованных в продолжении сохранения открытой кодовой базы Redis. К работе над проектом присоединились такие компании, как Amazon Web Services (AWS), Google Cloud, Oracle, Ericsson и Snap Inc.

Среди разработчиков, которые вошли в команду Valkey упоминаются Madelyn Olson, бывший мэйнтейнер Redis, работающий в компании Amazon, Ping Xie, один из разработчиков Redis, работающий в компании Google, Viktor Söderqvist из компании Ericsson, Harkrishn Patro из компании Amazon, Roshan Khatri из компании Amazon. Заявлено о поддержке в Valkey платформ Linux, macOS, OpenBSD, NetBSD и FreeBSD. Из планов по развитию упоминается реализация более надёжного механизма миграции слотов, значительное повышение масштабируемости, повышения стабильности работы кластерных конфигураций, увеличение производительности в многопоточном режиме, поддержка триггеров, добавление новых команд и реализация векторного поиска.

Форк создан в ответ на изменение лицензионной политики компании Redis Ltd, занимающейся разработкой Redis. Начиная с выпуска Redis 7.4 решено прекратить публиковать новые возможности под лицензией BSD и распространять код проекта под двумя проприетарными лицензиями RSALv2 (Redis Source Available License v2) и SSPLv1 (Server Side Public License v1), которые вносят дополнительные ограничения, запрещающие бесплатное использование продукта для обеспечения работы облачных сервисов. Отличия лицензий RSALv2 и SSPLv1 сводится к тому, что лицензия SSPL основана на копилефт лицензии AGPLv3, а лицензия RSAL основана на пермиссивной лицензии BSD.

Лицензия RSAL позволяет использовать, изменять, распространять и интегрировать код в приложения, за исключением случаев, когда эти приложения является коммерческими или используются для предоставления управляемых платных сервисов (для внутренних сервисов допускается бесплатное использование, ограничение касается только платных сервисов, предоставляющих доступ к Redis). Лицензия SSPL содержит требование поставки под той же лицензией не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса.

Это третий открытый форк Redis: Неделю назад автор пользовательского окружения Sway и языка программирования Hare основал под именем Redict форк Redis 7.2.4, новые изменения в котором решено публиковать под лицензией LGPLv3. Кроме того, с 2019 года компания Snapchat развивает проект KeyDB, ответвившийся от Redis 5 и примечательный переходом на многопоточную архитектуру, использующий более эффективные методы работы с памятью и включающий такие дополнительные возможности, как активная репликация, хранилище, оптимизированное для Flash-накопителей, поддержка раздельного задания времени жизни вторичных ключей.

  1. Главная ссылка к новости
  2. OpenNews: Основан проект Redict, который будет развивать форк СУБД Redis
  3. OpenNews: СУБД Redis переходит на проприетарную лицензию. Обсуждение удаления Redis из Fedora
  4. OpenNews: Microsoft открыл код хранилища Garnet, совместимого с Redis
  5. OpenNews: Выпуск СУБД Redis 7.0
  6. OpenNews: Проект Dragonfly развивает более быструю замену Redis и Memcached
Обсуждение (84 +16) | Тип: К сведению | Интересно


·28.03 Выпуск VPN Lanemu 0.11.6 (68 +7)
  Состоялся выпуск Lanemu P2P VPN 0.11.6 - реализации децентрализованной виртуальной частной сети, работающей по принципу Peer-To-Peer, при котором участники подключены друг к другу, а не через центральный сервер. Участники сети могут находить друг друга через BitTorrent-трекер или BitTorrent DHT, либо через других участников сети (peer exchange). Приложение является бесплатным и открытым аналогом VPN Hamachi, написано на языке Java (c отдельными компонентами на языке Си) и распространяется под лицензией GNU LGPL 3.0.

Изменения в версиях 0.11.5 и 0.11.6:

  • Добавлена начальная поддержка запуска приложения на FreeBSD. Для достижения паритета функционала tap драйвера, может понадобиться собрать ядро с экспериментальными патчами.
  • Добавлена возможность использования более нового tap-драйвера "Windows TAP adapter v9". Для его использования необходимо включить опцию в реестре Windows.
  • Улучшена работа библиотеки нативного трея для Linux/FreeBSD.
  • Размер буфера отправки увеличен по умолчанию с 10 до 100 пакетов.
  • Улучшен код сохранения приглашения в файл.
  • Реализована переменная окружения MAKEROOT_BIN для указания инструмента повышения привилегий (например, sudo или pkexec).
  • Улучшен код handlePeers в DHT и внесены другие улучшения в реализацию DHT.
  • Исправлена ошибка в классе Connector, которая приводила к повторному подключению к уже подключенному пиру каждые 5 минут.
  • Обновлена библиотека WaifUPnP до исправленной версии, которая устанавливает правильное имя приложения и применяет патч.

  1. Главная ссылка к новости
  2. OpenNews: Определение сеансов OpenVPN в транзитном трафике
  3. OpenNews: Обновление OpenVPN 2.6.9 с изменением лицензии
  4. OpenNews: Выпуск P2P VPN 0.11.3
  5. OpenNews: Серия атак TunnelCrack, направленных на перехват трафика VPN
  6. OpenNews: Представлен VPN Rosenpass, устойчивый к атакам с использованием квантовых компьютеров
Обсуждение (68 +7) | Автор: Skullnet | Тип: Программы |


·28.03 Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы (33 +21)
  В утилите wall, поставляемой в пакете util-linux и предназначенной для отправки сообщений в терминалы, выявлена уязвимость (CVE-2024-28085), позволяющая осуществить атаку на терминалы других пользователей через манипуляцию с escape-последовательностями. Проблема вызвана тем, что утилита wall блокирует использование escape-последовательности во входном потоке, но не выполняет эту операцию для аргументов в командной строке, что позволяет атакующему выполнить escape-последовательности в терминале других пользователей.

Например, выполнив 'wall $(printf "\033[33mHI")' можно вывести надпись "HI" жёлтым цветом. При помощи escape-последовательностей, которые позволяют перемещать указатель, очищать и заменять содержимое на экране, можно симулировать показ приглашения о вводе пароля от утилиты sudo в терминале другого пользователя. Если пользователь не заметит подвоха и введёт свой пароль, то пароль засветится в истории ввода как несуществующая команда (по сути пользователь вместо команды введёт свой пароль в командной строке).


            "\033[3A" // перемещаем курсор вверх на 3 строк
            "\033[K"  // удаляем предыдущий вывод
            "[sudo] password for a_user:" // выводим фиктивный запрос sudo
            "\033[?25l" // выставляем фоновый цвет для скрытия ввода
            "\033[38;2;48;10;36m" 

Во время вывода предупреждения о том, что введённая команда не найдена, во многих дистрибутивах запускается обработчик /usr/lib/command-not-found, который пытается определить пакет, в котором присутствует отсутствующая команда, и выдать подсказку о возможности его установки. Проблема в том, что при запуске обработчика command-not-found несуществующая команда передаётся в него в качестве параметра командной строки, который виден при просмотре процессов в системе (например, при попытке запуска неустановленной утилиты "xsnow" в списке процессов будет виден "/usr/lib/command-not-found -- xsnow"). Соответственно, атакующий может организовать мониторинг запускаемых процессов (например, анализируя появление "/proc/$pid/cmdline" для прогнозируемого номера PID) и определить пароль, введённый жертвой в командной строке.

Для того чтобы пользователь ввёл пароль в ответ на фиктивное приглашение sudo предложен трюк, суть которого в отслеживании в списке процессов реального запуска утилиты sudo, ожидания её завершения и осуществления атаки через "wall" сразу после этого. Через манипуляции c escape-последовательностями атакующий может заменить сообщение после реального выполнения sudo на фиктивное приглашение повторного ввода пароля. Жертва может подумать, что ошиблась при вводе и ввести пароль второй раз, засветив пароль в аргументах обработчика "command-not-found".

Для успешной атаки требуется установка режима "mesg" в значение "y", которое по умолчанию выставлено в Ubuntu, Debian и CentOS/RHEL. Возможность проведения атаки продемонстрирована в Ubuntu 22.04 в конфигурации по умолчанию при использовании gnome-terminal. В Debian атака затруднена, так как в дистрибутиве по умолчанию не включён обработчик "command-not-found", а в CentOS/RHEL атака не сработает, так как утилита wall установлена без флага setgid и не имеет доступа к чужим терминалам. При использовании windows-terminal атака может быть модифицирована для изменения содержимого буфера обмена.

Уязвимость проявляется в пакете util-linux с 2013 года, после того как в выпуск 2.24 добавили возможность указания сообщения в командной строке wall, но забыли применить чистку escape-последовательностей. Исправление уязвимости включено во вчерашний выпуск util-linux 2.40. Примечательно, что при попытке исправления уязвимости в выпуске util-linux 2.39 была выявлена ещё одна похожая уязвимость, позволяющая совершить подстановку управляющих символов через манипуляцию с локалями.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в xterm, приводящая к выполнению кода при обработке определённых строк
  3. OpenNews: Сценарий атаки на обработчик не установленных приложений в Ubuntu
  4. OpenNews: Уязвимость в tmux, эксплуатируемая через escape-последовательность
  5. OpenNews: Уязвимость в Vim, приводящая к выполнению кода при открытии вредоносного файла
  6. OpenNews: Концепция атаки по подмене копируемого в терминал текста с сайта
Обсуждение (33 +21) | Тип: Проблемы безопасности |


·28.03 Выпуск Samba 4.20.0 (17 +19)
  После 6 месяцев разработки представлен релиз Samba 4.20.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.20:

  • По умолчанию включена сборка новой утилиты "wspsearch" с реализацией экспериментального клиента для протокола WSP (Windows Search Protocol). Утилита позволяет отправлять поисковые запросы на Windows-сервер, на котором запущен сервис WSP.
  • В команде "smbcacls" реализована поддержка записи списков управления доступом DACL в файл и восстановления DACL из файла. Данные сохраняются в формате, поддерживаемом Windows-утилитой 'icacls.exe', что обеспечивает переносимость файлов с сохранёнными DACL (Discretionary Access Control List).
  • В утилиту "samba-tool" добавлены расширения для централизованных политик доступа Active Directory (Claims), политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos). Samba-tool теперь можно использовать для связывания пользователя c утверждениями (claims) для последующего использования в правилах, определяющих возможность доступа к рамках политики аутентификации.

    Кроме того, утилита samba-tool теперь может применяться для создания политик аутентификации и управления ими, а также для создания и управления контейнерами политик. Например, при помощи samba-tool можно определить откуда и куда может подключиться пользователь, если разрешено использование NTLM, и в каких сервисах пользователь может быть аутентифицирован.

  • В реализуемом на базе Samba контроллере домена Active Directory добавлена поддержка политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos), созданных через утилиту samba-tool или импортированных из конфигураций Microsoft AD. Возможность доступна только на системах с функциональным уровнем Active Directory как минимум 2012_R2 ("ad dc functional level = 2016" в smb.conf).
  • В утилиту samba-tool добавлена работающая на стороне клиента поддержка управляемых учётных учётных записей gMSA (Group Managed Service Account), в которых используются автоматически обновляемые пароли. Предоставляемые в samba-tool команды управления паролем, которые раньше могли использоваться только с локальной БД sam.ldb, теперь можно применять и к внешнему серверу при аутентифицированном доступе, используя опцию "-H ldap://$DCNAME". Среди поддерживаемых операций: "samba-tool user getpassword" для чтения текущего и прошлого пароля gMSA; "samba-tool user get-kerberos-ticket" для записи Kerberos TGT (Ticket Granting Ticket) в локальный кэш учётных записей.
  • Добавлена поддержка условных записей контроля доступа (Conditional ACE), позволяющих разрешать или блокировать доступ в зависимости от дополнительных условий - если условное выражение не сработало, ACE игнорируется, а иначе применяется как обычный ACE. Условные проверки также могут применяться к атрибутам защищаемого объекта, описываемым атрибутами системных ресурсов (Resource Attribute ACE).
  • В реализацию кластера ctdb добавлена возможность предоставления сервиса MS-SWN (Service Witness Protocol), при помощи которого клиенты могут отслеживать свои SMB-cоединения к узлам кластера. Например, подключённый к узлу "A" клиент может запросить узел "B" отправить уведомление, если узел "A" окажется недоступен. Для управления сервисом предложена серия команд "net witness [list|client-move|share-move|force-unregister|force-response]", позволяющих администратору кластера просматривать зарегистрированных клиентов и запрашивать перенос соединения на другие узлы кластера.
  • Для конфигураций с MIT Kerberos5, работающих в роли контроллера домена Active Directory, теперь требуется как минимум версия MIT Krb5 1.21, в которой появилась дополнительная защита от уязвимости CVE-2022-37967.
  • При сборке с импортированным Heimdal Kerberos больше не требуется установка Perl-модуля JSON, вместо которого используется встроенный в Perl5 модуль JSON::PP.
  • В командах "samba-tool user getpassword" и "samba-tool user syncpasswords", используемых для определения и синхронизации пароля, изменён вывод при использовании параметра ";rounds=" с атрибутами virtualCryptSHA256 и virtualCryptSHA512 (например, '--attributes="virtualCryptSHA256;rounds=50000"').
    
    Было:
       virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
    
    Стало:
       virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
    
  • В реализации MS-WKST (Workstation Service Remote Protocol) прекращена поддержка вывода списка подключённых пользователей на основе содержимого файла /var/run/utmp, хранящего данные о пользователях, в данный момент работающих в системе. Поддержка utmp прекращена из-за подверженности данного формата проблеме 2038 года.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Samba 4.19.0
  3. OpenNews: Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера
  4. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
  5. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
  6. OpenNews: Удалённая root-уязвимость в Samba
Обсуждение (17 +19) | Тип: Программы |


·28.03 Более половины опрошенных американцев используют блокировщики рекламы (143 +23)
  Опрос, проведённый среди 2000 американцев, показал, что 52% пользователей применяют блокировщики рекламы в браузере. Наиболее популярной причиной установки блокировщика рекламы отмечена забота о своей конфиденциальности (20%), а нежелание смотреть рекламу находится на втором месте (18%). 9% в качестве причины упомянули возможность ускорить загрузку страниц. Опрос был проведён среди жителей США компанией Censuswide, специализирующейся на независимых маркетинговых исследованиях, по заказу разработчиков блокировщика Ghostery. В похожем исследовании, проведённом в 2022 году, число пользователей блокировщиков оценивалось в 34%.

Наибольшей популярностью блокировщики рекламы пользуются у людей, профессиональная деятельность которых связана с информационной безопасностью (76%), программированием (72%) и рекламой (66%). Примечательно, что общий процент использующих блокировщик из-за нежелания смотреть рекламу для данных категорий остался примерно на уровне 20%, а число указавших в качестве причины защиту конфиденциальности выросло до примерно 30%. Среди программистов и специалистов по безопасности также заметно больше желающих использовать блокировщик рекламы для ускорения загрузки страниц.

49% опрошенных считают, что крупные компании навязывают рекламу и средства отслеживания пользователей, например, Google делает это через продвижение третьей версии манифеста Chrome и борьбу с блокировщиками рекламы в YouTube. 38% считают, что у них должна быть возможность выбора, когда смотреть рекламу, а когда нет. 33% полагают, что право использовать блокировщики рекламы должно быть защищено на законодательном уровне. 26% занимают позицию, что по умолчанию интернет должен быть без рекламы.

На вопрос о том, утечка каких конфиденциальных данных их беспокоит, 38% отметили данные о навигации в сети и поиске, 37% - сведения о местоположении, 33% данные о покупках, 33% - информацию, связанную со здоровьем, 26% - сведения о политических взглядах и 22% - информацию о просмотре контента для взрослых.

На вопрос, какие компании злоупотребляют сбором персональных данных и отслеживанием посетителей, 59% отметили TikTok, 56% - Meta*, 49% - Twitter, 48% - OpenAI, 44% - Google, 41% - Apple, 40% - Amazon и 38% - Microsoft.

  1. Главная ссылка к новости
  2. OpenNews: Анализ влияния на производительность дополнений к Chrome
  3. OpenNews: В дополнении для блокирования рекламы в Twitch выявлен вредоносный код
  4. OpenNews: В Chrome началось включение блокировщика ресурсоёмкой рекламы
  5. OpenNews: Злоупотребления в списке блокировки рекламы RU AdList
  6. OpenNews: Оценка производительности браузерных дополнений для блокировки рекламы
Обсуждение (143 +23) | Тип: Тема для размышления |


·27.03 Выпуск дистрибутива Tails 6.1 (13 +2)
  Сформирован релиз специализированного дистрибутива Tails 6.1 (The Amnesic Incognito Live System), основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 ГБ.

В новой версии обновлены версии Tor Browser 13.0.13 (на базе Firefox 115.9.1) и Thunderbird 115.9. Добавлена новая версия микрокода для CPU Intel с изменениями, необходимыми для блокирования уязвимости RFDS. В конфигураторе постоянного хранилища обеспечено отображение всех включённых дополнительных возможностей.

  1. Главная ссылка к новости
  2. OpenNews: Дистрибутив Tails 6.0, перешедший на Debian 12 и GNOME 43
  3. OpenNews: Выпуск дистрибутива Tails 5.22
  4. OpenNews: Выпуск новой стабильной ветки Tor 0.4.8
  5. OpenNews: Релиз Tor Browser 13.0
  6. OpenNews: Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций
Обсуждение (13 +2) | Тип: Программы |


·27.03 Выпуск Angie 1.5.0, российского форка Nginx (76 +22)
  Опубликован выпуск высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера Angie 1.5.0, ответвлённого от Nginx группой бывших разработчиков проекта, уволившихся из компании F5 Network. Исходные тексты Angie доступны под лицензией BSD. Проект получил сертификаты совместимости с российскими операционными системами Ред ОС, Astra Linux Special Edition, Роса Хром Сервер, Альт и ФСТЭК-версии Альт.

Сопровождением разработки занимается компания "Веб-сервер", образованная осенью 2022 года и получившая инвестиции в размере 1 млн долларов. Среди совладельцев компании Веб-сервер: Валентин Бартенев (лидер команды, развивавшей продукт Nginx Unit), Иван Полуянов (бывший руководитель фронтэнд-разработчиков Rambler и Mail.Ru), Олег Мамонтов (руководитель команды техподдержки NGINX Inc) и Руслан Ермилов ([email protected]).

Изменения в выпуске Angie 1.5.0:

  • Добавлен модуль http_acme, предназначенный для автоматизации получения и обновления сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), применяемого удостоверяющим центром Let’s Encrypt. При использовании http_acme администраторам не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в Let’s Encrypt или другом сервисе, поддерживающем протокол ACME.
    
       http {
           resolver 127.0.0.1:53; # требуется для директивы 'acme_client'
           acme_client example https://acme-staging-v02.api.letsencrypt.org/directory;
    
           server {
            listen               80; 
            listen               443 ssl;
            server_name          example.com www.example.com;
    
            acme                 example;
            ssl_certificate      $acme_cert_example;
            ssl_certificate_key  $acme_cert_key_example;
        }
    }
    
  • Добавлена директива auto_redirect для управления поведением автоматического перенаправления в ситуациях, когда значение в директиве "location" завершается символом "/". Если директива "auto_redirect" выставлена в значение "on", то сервер сервер применит перенаправление для URI запросов, не заканчивающихся на "/" (в примере запрос к "/prefix" будет перенаправлен на "/prefix/").
    
       location /prefix/ {
           auto_redirect on;
       }
    
  • Предоставлена возможность использования эпохального времени вместо времени в формате ISO 8601 при экспорте метрик для системы мониторинга Prometheus или в JSON API. Для использования эпохального времени следует использовать при запросе параметр "date=epoch".
  • В API выдачи статистики реализовано новое состояние "recovering", показывающее, что в соответствии с настройкой slow_start состояние upstream-хоста постепенно восстанавливается после сбоя.
  • При указании аргумента "-V" в командной строке обеспечен показ версии nginx, соответствующей текущей сборке Angie.
  • Из репозитория проекта nginx перенесены изменения, накопившиеся в nginx 1.25.4.
  • Сформированы пакеты для FreeBSD 13 (arm64) и RED OS 8 (x86-64).
  • Добавлен пакет для модуля angie-module-otel (NGINX Native OpenTelemetry). Пакет angie-module-opentracing обновлён до версии nginx-opentracing 0.34.0.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Angie 1.4.0, российского форка Nginx
  3. OpenNews: Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5
  4. OpenNews: В nginx 1.25.4 и Angie 1.4.1 устранены уязвимости, связанные с HTTP/3
  5. OpenNews: Уязвимости в ingress-nginx, позволяющие скомпрометировать кластеры Kubernetes
  6. OpenNews: Проект NGINX опубликовал инструментарий для разработки модулей на языке Rust
Обсуждение (76 +22) | Тип: Программы |


·27.03 Уязвимости в ядре Linux, позволяющие поднять свои привилегии через nf_tables и ksmbd (162 +24)
  В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2024-1086), позволяющая локальному пользователю выполнить код на уровне ядра и поднять свои привилегии в системе. Проблема вызвана двойным освобождением памяти (double-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables. Выявивший уязвимость исследователь безопасности разработал и опубликовал рабочий прототип эксплоита.

Работа эксплоита продемонстрирована в актуальных выпусках Debian и Ubuntu с ядрами Linux 5.14 - 6.6, а также в окружении с ядром KernelCTF (Capture the Flag), включающем дополнительные патчи для блокирования типовых методов работы эксплоитов и используемом компанией Google в программе выплаты вознаграждений за поиск уязвимостей. Степень успешности работы эксплоита оценивается в 99.4%. В сопроводительной статье детально разобран процесс создания сложного многоуровневого эксплоита и обход присутствующих в ядре механизмов защиты и противодействия работе эксплоитов.

Проблема связана с ошибкой в функции nft_verdict_init(), которая допускает использования положительных значений в качестве кода ошибки отбрасывания пакетов (DROP) в hook-ах, что может быть использовано для вызова в функции nf_hook_slow() повторной операции освобождения памяти для буфера, для которого уже была вызвана функция free(). Проблема возникает, когда операция NF_DROP формируется с ошибкой и ядро вначале интерпретирует NF_DROP, но затем освобождает буфер и возвращает статус NF_ACCEPT. Данная ситуация приводит к тому, что несмотря на освобождение связанного с пакетом буфера, его обработка не прекращается, а передаётся в другой обработчик, который в свою очередь второй раз вызывает функцию освобождения памяти.

Уязвимость проявляется начиная с версии ядра Linux 3.15, но эксплоит работает с ядрами начиная с версии 5.14. Исправление уязвимости предложено в выпуске ядра Linux 6.8-rc1 и в конце февраля перенесено в стабильные ветки 5.15.149, 6.1.76 и 6.6.15. В дистрибутивах проследить за исправлением уязвимости можно на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.


Дополнительно можно отметить серию уязвимостей в модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB: Уязвимость CVE-2024-26592 позволяет удалённо без прохождения аутентификации добиться выполнения своего кода с правами ядра на системах с активированным модулем ksmbd. Проблема вызвана состоянием гонки в коде обработки TCP-соединения, которое возникает из-за отсутствия выставления должных блокировок при работе с объектом.

Уязвимость CVE-2023-52440 также позволяет удалённо добиться выполнения своего кода с правами ядра, но вызвана переполнением буфера при обработке некорректных сессионных ключей из-за отсутствия должной проверки размера данных, полученных от пользователя, перед их копированием в буфер фиксированного размера.

Уязвимости (1, 2, 3) CVE-2024-26594, CVE-2023-52442 и CVE-2023-52441 в ksmbd дают возможность удалённо без прохождения аутентификации определить содержимое памяти ядра. Уязвимость CVE-2024-26594 вызвана некорректной проверкой данных при обработке поступивших токенов SMB2 Mech, что приводит к возвращению данных из области за границей буфера. Уязвимость CVE-2023-52442 вызвана отсутствием должной проверки входных данных при обработке связанных в цепочку (chained) запросов. Уязвимость CVE-2023-52441 вызвана отсутствием необходимой проверки входных данных при обработке запросов согласования соединения SMB2.

Уязвимости CVE-2024-26594 и CVE-2024-26592 устранены в ядре 6.8 и корректирующих обновлениях прошлых стабильных веток 6.1.75, 6.6.14, 6.7.2. Остальные уязвимости устранены в ядре 6.5 и обновлениях 5.15.145, 6.1.53, 6.4.16.


В заключение можно упомянуть активацию работы новой команды разработчиков ядра Linux, созданной для анализа наличия уязвимостей и оценки связи вносимых в ядре исправлений с проблемами безопасности. В феврале разработчиками ядра была создана собственная служба CNA (CVE Numbering Authority), которая получила полномочия самостоятельного присвоения CVE-идентификаторов уязвимостям. До этого присвоение CVE и анализ связи исправлений с возможными уязвимостями ложился на плечи разработчиков дистрибутивов, а в ядре потенциальные уязвимости не оставались выделены и фигурировали наравне с обычными исправлениями. Результаты работы новой службы превзошли все ожидания - ежедневно в ядре помечается до нескольких десятков новых уязвимостей, которые ранее не были помечены как проблемы с безопасностью. Например, 26 марта новые CVE-идентификаторы присвоены 14 уязвимостям, которые ранее не рассматривались как проблемы с безопасностью, а 25 марта - 41 уязвимости.

  1. Главная ссылка к новости
  2. OpenNews: Локальная уязвимость в ядре Linux, эксплуатируемая через nftables
  3. OpenNews: Уязвимости в ядре Linux, затрагивающие nftables и модуль tcindex
  4. OpenNews: Уязвимости в Netfilter и io_uring, позволяющие повысить свои привилегии в системе
  5. OpenNews: Под видом эксплоита к уязвимости в rkvdec распространялся вредоносный код
  6. OpenNews: Выпуск пакетного фильтра nftables 1.0.8
Обсуждение (162 +24) | Тип: Проблемы безопасности |


·27.03 Обновление ОС Qubes 4.2.1, использующей виртуализацию для изоляции приложений (13 +14)
  Представлен выпуск операционной системы Qubes 4.2.1, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы рекомендуется система с 16 Гб ОЗУ (минимум - 6 Гб) и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа - 6 ГБ (x86_64).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений (например, работа, развлечения, банковские операции), а также системные сервисы (сетевая подсистема, межсетевой экран, работа с хранилищем, USB-стек и т.п.), работают в отдельных виртуальных машинах, запускаемых с использованием гипервизора Xen. При этом указанные приложения доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Ubuntu, Gentoo и Arch Linux. Возможна организация доступа к приложениям в виртуальной машине с Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.

В новом выпуске отмечено обновление версий программ, формирующих базовое системное окружение (dom0). Подготовлен шаблон для формирования виртуальных окружений на базе Fedora 39. По умолчанию задействовано ядро Linux 6.6, что сократило число ситуаций, при которых требуется установка пакета с ядром kernel-latest на системах с новым оборудованием.

  1. Главная ссылка к новости
  2. OpenNews: Релиз ОС Qubes 4.2.0, использующей виртуализацию для изоляции приложений
  3. OpenNews: Йоанна Рутковская покинула проект Qubes и присоединилась к работе над платформой Golem
  4. OpenNews: ОС Qubes переходит на Xfce из-за недовольства развитием KDE
  5. OpenNews: Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций
  6. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
Обсуждение (13 +14) | Тип: Программы |


·27.03 Выпуск Bubblewrap 0.9, прослойки для создания изолированных окружений (6 +7)
  После года разработки опубликована новая версия инструментария для организации работы изолированных окружений Bubblewrap 0.9, используемого для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+.

Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для выполнения привилегированных операций по настройке контейнера Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces - для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Изоляция на уровне файловой системы производится через создание по умолчанию нового пространства имён точек монтирования (mount namespace), в котором при помощи tmpfs создаётся пустой корневой раздел. В данный раздел при необходимости прикрепляются разделы внешней ФС в режиме "mount --bind" (например, при запуске c опцией "bwrap --ro-bind /usr /usr" раздел /usr пробрасывается из основной системы в режиме только для чтения). Сетевые возможности ограничиваются доступом к loopback-интерфейсу с изоляцией сетевого стека через флаги CLONE_NEWNET и CLONE_NEWUTS.

Ключевым отличием от похожего проекта Firejail, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

В новом выпуске:

  • Из пакета с исходными текстами удалены файлы, сгенерированные в Autotools. Для сборки теперь рекомендуется использовать сборочную систему Meson. Опциональная поддержка Autotools пока сохранена, но в будущих выпусках её планируется удалить.
  • Добавлена опция "--argv0" для выставления значения нулевого аргумента командной строки (argv[0] - имя исполняемого файла, например "--argv0 /usr/bin/test").
  • Опция "--symlink" теперь срабатывает только когда символическая ссылка уже существует и указывает на нужный целевой файл.
  • Документирована опция "--cap-add", применяемая для выставления capability-флагов, например, "CAP_DAC_READ_SEARCH".
  • Повышена информативность ошибок, выводимых при сбое монтирования.
  • Упрощён процесс создания unit-тестов.
  • В примерах использования прекращена поддержка старых версий Python.
  • Улучшены операции выделения памяти.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Bubblewrap 0.8, прослойки для создания изолированных окружений
  3. OpenNews: Mozilla начинает внедрение технологии изоляции библиотек RLBox
  4. OpenNews: Проект по портированию механизма изоляции pledge для Linux
  5. OpenNews: Выпуск системы изоляции приложений Firejail 0.9.72
  6. OpenNews: Опубликован secimport 0.8 для sandbox-изоляции отдельных Python-модулей
Обсуждение (6 +7) | Тип: Программы |


·26.03 Дистрибутив Fedora Linux 40 перешёл на стадию бета-тестирования (147 +11)
  Началось тестирование бета-версии дистрибутива Fedora Linux 40. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 23 апреля. Выпуск охватывает Fedora Workstation, Fedora Server, Fedora Silverblue, Fedora IoT, Fedora CoreOS, Fedora Cloud Base, Fedora Onyx и Live-сборки, поставляемые в форме спинов c пользовательскими окружениями K предложилиDE Plasma 5, Xfce, MATE, Cinnamon, LXDE, Phosh, LXQt, Budgie и Sway . Сборки сформированы для архитектур x86_64, Power64 и ARM64 (AArch64).

Наиболее значимые изменения в Fedora Linux 40:

  • Рабочий стол GNOME в Fedora Workstation обновлён до версии 46.
  • Редакция с рабочим столом KDE обновлена до выпуска KDE 6, использующего протокол Wayland. Поддержка сеанса на основе протокола X11 прекращена, а для запуска X11-приложений в сеансе на основе Wayland задействован DDX-сервер XWayland. В качестве причины прекращения поддержки сеанса с X11 упоминается перевод X.Org-сервера в RHEL 9 в категорию устаревших и решение полностью удалить его в будущем значительном выпуске RHEL 10. Среди факторов, способствовавших оставлению только поддержки Wayland называется выполненная в Fedora 36 замена драйверов fbdev на драйвер simpledrm, корректно работающий с Wayland, а также появление поддержки Wayland в проприетарных драйверах NVIDIA.
  • Атомарно обновляемые пользовательские дистрибутивы, развиваемые проектом Fedora, объединены в единое семейство под брендом Atomic Desktops, но давно существующие атомарные сборки сохранили старое название. В итоге, Fedora Silverblue на базе GNOME и Fedora Kinoite на базе KDE, а также Fedora CoreOS и Fedora IoT, сохранили прежние имена, но новые сборки Fedora Sericea и Fedora Onyx теперь распространяются под именами Fedora Sway Atomic и Fedora Budgie Atomic.
  • Обновлены версии пакетов, среди которых LLVM 18, GCC 14, binutils 2.41, glibc 2.39, gdb 14.1, PHP 8.3, Ruby 3.3, Go 1.22, Java 21, AMD ROCm 6, Boost 1.83, 389 Directory Server 3.0.0, Podman 5, PostgreSQL 16, TBB (Thread Building Blocks) 2021.8, SQLAlchemy 2, Kubernetes 1.29.
  • В конфигураторе NetworkManager по умолчанию включён механизм определения конфликта IPv4-адресов в локальной сети (RFC 5227), суть которого в отправке проверочного ARP-пакета перед прикреплением адреса к сетевому интерфейсу (если получен ответ, значит адрес занят и не будет назначен). Для беспроводных соединений обеспечено назначение отдельного постоянного MAC-адреса (режим stable-ssid в NetworkManager).
  • Сборочные инструментарии Mock (mock-core-configs), Koji и Copr переведены на использование пакетного менеджера DNF 5 для установки сборочных зависимостей в chroot-окружение, используемое при сборке пакетов. Перевод самого дистрибутива на DNF 5 ожидается в следующей выпуске.
  • В пакетном менеджере DNF по умолчанию отключена загрузка метаданных со списками файлов, входящих в пакеты. Подобные данные редко используются, но имеют большой размер и замедляют работу.
  • Удалён пакет с библиотекой OpenSSL 1.1, в связи с прекращением поддержки данной ветки. Привязанные к OpenSSL 1.1 зависимости переключены на OpenSSL 3.0. Удалён пакет python3.7.
  • Библиотека Zlib заменена на форк Zlib-ng, совместимый с zlib на уровне API, но предоставляющий дополнительные оптимизации для повышения производительности.
  • Прекращено формирование delta-обновлений RPM-пакетов, позволяющих загружать при обновлении только изменившиеся данные относительно уже установленной версии пакета. Отключена поддержка deltarpm в DNF и DNF5.
  • Добавлен Passim, кэширующий сервер для распространения часто запрашиваемых файлов в локальной сети без прямого обращения к основным серверам и без привлечения глобальных CDN.
  • Модуль pam_userdb переведён с использования BerkeleyDB на GDBM из-за прекращения сопровождения ветки BerkeleyDB 5.x и перевода ветки BerkeleyDB 6.x на неприемлемую лицензию. Bogofilter переведён на использование SQLite вместо BerkeleyDB (libdb).
  • Для сборки Live-образов Fedora Workstation задействован инструментарий Image Builder, поддерживающий повторяемые сборки и предлагающий пользователям более простой процесс кастомизации образов.
  • Для сборки минимальных образов для архитектуры ARM задействован инструментарий osbuild.
  • Для формирования образов Fedora Cloud Edition вместо ImageFactory задействован инструментарий Kiwi.
  • Проведена реструктуризация пакетов для Kubernetes.
  • Fedora IoT, редакция для устройств интернета вещей, переведена на использование загрузочных контейнеров, сформированных при помощи инструментария OSTree и технологии bootc.
  • Утилита wget заменена на wget2, а утилита iotop на iotop-c.
  • В редакциях Fedora Silverblue и Kinoite включена программа bootupd, выполняющая обновление загрузчика.
  • Объявлена устаревшей библиотека libuser, которая осталась без сопровождения и уже не используется в других пакетах Fedora (для поддержки LDAP в дистрибутиве давно применяется SSSD). Удалён пакет passwd с реализацией утилиты passwd на базе libuser, вместо которой задействована аналогичная утилита из пакета shadow-utils.
  • Проведена работа по подготовке к включению в GCC по умолчанию более новой версии стандарта языка Си, что ознаменует прекращение по умолчанию поддержки некоторых устаревших возможностей языка, таких как неявное определение функций и неявное присвоение типа int.
  • Реализована вторая стадия перехода на модернизированный процесс загрузки, предложенный Леннартом Поттерингом. Отличия от классической загрузки сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструктуре дистрибутива и заверенного цифровой подписью дистрибутива. Образ UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна, так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

    На второй стадии добавлена возможность прямой загрузки UKI из UEFI-модуля shim.efi без привлечения отдельного загрузчика (grub, sd-boot), реализована поддержка использования UKI на системах с архитектурой Aarch64 и подготовлен вариант UKI-образа для облачных окружений и защищённых виртуальных машин. До этого на первой стадии в Fedora 38 была добавлена поддержка UKI в загрузчик, реализован инструментарий для установки и обновления UKI, а также сформирован экспериментальный образ UKI для загрузки виртуальных машин с ограниченным набором компонентов и драйверов.

  • В репозиторий добавлен готовый пакет с фреймворком машинного обучения PyTorch, доступный для установки командой "dnf install pytorch". В настоящее время в пакете включены только компоненты для вычислений при помощи CPU, но в будущих выпусках планируют добавить поддержку привлечения GPU и специализированных NPU-ускорителей.

  1. Главная ссылка к новости
  2. OpenNews: Опубликована среда рабочего стола GNOME 46
  3. OpenNews: В Fedora 41 намечено удаление из базовой поставки сеанса X11 для GNOME
  4. OpenNews: Релиз дистрибутива Fedora Linux 39
  5. OpenNews: В Fedora 40 намерены объединить содержимое каталогов /usr/bin и /usr/sbin
  6. OpenNews: В Fedora 40 планируют включить изоляцию системных сервисов
Обсуждение (147 +11) | Тип: Программы |


·26.03 Драйвер для файловой системы Ext2 объявлен устаревшим (188 +24)
  В кодовую базу, на основе которой формируется ядро Linux 6.9, принято изменение, переводящее драйвер с реализацией файловой системы Ext2 из категории поддерживаемых в разряд устаревших (deprecated). В качестве причины упоминается поддержка в драйвере только 32-разрядных счётчиков времени в inode, которые переполнятся 19 января 2038 года.

Для работы с существующими разделами вместо драйвера ext2 предлагается использовать драйвер ext4, который поддерживает работу с файловой системой Ext2 и полностью совместим с ней, но при этом может использовать в ext2-разделах временные метки, не подверженные проблеме 2038 года, если ФС создана с inode, размером более 255 байт (в драйвере ext2 32-разрядные счётчики времени использовались независимо от размера inode).

Пользователям ext2 рекомендуется проверить используемый размер inode. Утилита mkfs.ext2 по умолчанию была переведена на использование 256-байтовых inode начиная с версии 1.46.5 (поставляется в Ubuntu 22.04), до этого для увеличения размера inode можно было использовать команду "mkfs.ext2 -I 256". В случае использования 128-байтовых inode, их следует сконвертировать в 256-байтовые:


   $ sudo tune2fs -l /dev/sda1 | grep "Inode size"
   Inode size:	          128

   $ sudo e2fsck -f /dev/sda1

   $ sudo tune2fs -I 256 /dev/sda1 

По словам Теодора Цо (Theodore Ts'o), создателя файловой системы Ext4, если кому-то будет нехватать драйвера ext2 в силу его простоты (например, драйвер может быть востребован для экономии ресурсов на встраиваемых системах), ещё не поздно перенести в него поддержку 64-разрядных счётчиков времени, что не представляет большого труда.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Debian 12.3 отложен из-за проблемы, приводящей к повреждению ФС Ext4
  3. OpenNews: Ошибка в GPSD в это воскресенье приведёт к сдвигу времени на 19 лет назад
  4. OpenNews: Разработчики ядра Linux обсуждают возможность удаления ReiserFS
  5. OpenNews: Для избавления Glibc от проблемы 2038 года предложено прекратить использование utmp
  6. OpenNews: В Debian 13 будет задействован 64-разрядный тип time_t на 32-разрядных архитектурах
Обсуждение (188 +24) | Тип: К сведению |


Следующая страница (раньше) >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру