Целью проекта является создание решения "всё в одном", позволяющего легко запустить рабочий почтовый сервер без трудоёмкой настройки и без необходимости сопряжения между собой различных обособленных сервисов и приложений. Предполагается, что из-за усложнений при развёртывании и сопровождении почтовых серверов потребители отдают предпочтение централизованным email-провайдерам, чем разрушают саму идею электронной почты как децентрализованной службы, образуемой из множества собственных почтовых серверов.

Mox даёт возможность за 10 минут настроить защищённый почтовый сервер для своих доменов, поддерживающий современный стек протоколов и не требующий установки дополнительных зависимостей. Обновление ПО на почтовом сервере сводится к загрузке новой версии mox и перезапуску. Получение и обновление TLS-сертификатов производится автоматически. Для настройки и выполнения задач, связанных с сопровождением, может использоваться web-интерфейс, а для расширенной настройки предоставляется файл конфигурации.

Для исключения проблем безопасности, возникающих при низкоуровневой работе с памятью, при разработке используется язык Go. Для поддержания высокого качества кодовой базы применяется ручное и автоматизированное тестирование совместимости с популярными почтовыми серверами и клиентами, unit- и fuzzing-тестирование, а также исчерпывающее документирование кода.

Основные возможности Mox:

• Поддержка протоколов SMTP и IMAP4.
• Использование расширений SPF, DKIM и DMARC для идентификации почтовых доменов, подтверждения полномочий отправки и проверки подлинности сообщений.
• Отслеживание репутации хостов, доменов и отправителей. Использование баесовского классификатора, DNSBL и серых списков для фильтрации нежелательных сообщений.
• Поддержка расширений для использования Unicode и национальных алфавитов в именах и доменах.
• Автоматическое получение TLS-сертификатов в удостоверяющих центрах, поддерживающих протокол ACME, например, в Let's Encrypt.
• Поддержка механизмов DANE и MTA-STS для шифрования входящих и исходящих отправлений поверх SMTP с расширением STARTTLS.
• Встроенный Webmail для чтения и отправки email через браузер.
• Встроенный web-интерфейс администратора для управления доменами и учётными записями, настройки SPF/DKIM/DMARC/TLSRPT/MTA-STS, просмотра статистики и изменения параметров файла конфигурации.
• Наличие http-сервера для отдачи статических файлов и перенаправления запросов (обратный прокси).
• Предоставление HTTP/JSON API для отправки/загрузки писем и получения связанных с доставкой событий.
• Экспорт метрик для системы мониторинга Prometheus.
• Поддержка расширений для автонастройки почтовых клиентов (DNS SRV, https://autoconfig.домен, QR-код).

Среди изменений в новой версии:

• Добавлена поддержка IMAP-расширений:
  • NOTIFY (RFC 5465) для отслеживания появления сообщений,
  • UIDONLY (RFC 9586) для запроса сообщений по UID для снижения нагрузки на сервер.
  • MULTISEARCH (RFC 7203) для поиска в почтовых ящиках,
  • PREVIEW (RFC 8970) для быстрого предпросмотра сообщений,
  • REPLACE (RFC 8508) для замены содержимого в черновиках сообщений,
  • MULTIAPPEND (RFC 3502) для добавления нескольких сообщений за один раз,
  • METADATA (RFC 5464) для хранения метаданных,
  • INPROGRESS (RFC 9585) для передачи сведений о статусе выполнения длительных операций,
  • NAMESPACE (RFC 2342) для определения пространств имён почтовых ящиков,
  • WITHIN (RFC 5032) для поиска по временным интервалам,
  • CREATE-SPECIAL-USE (RFC 6154) для создания специализированных почтовых ящиков, таких как "Входящие" и "Отправленные",
  • SAVEDATE (RFC 8514) для отслеживания времени сохранения сообщения в почтовом ящике.
• Добавлена настройка для обработки разделителей "+" и "-" в email-адресах ([email protected] и [email protected]).
• Добавлена настройка для запрета изменения пароля (только автогенерация надёжного пароля).
• Добавлена настройка для отклонения входящих доставок при возникновении ошибок в SMTP-транзакции.
• В Webmail добавлена кнопка для загрузки сообщения в формате eml или mbox/maildir в архивах zip/tgz/tar, а также кнопки для пометки почтового ящика прочитанным и создания дополнительных почтовых ящиков.

1. OpenNews: Обновление почтового сервера Exim 4.98.2 с устранением уязвимости
2. OpenNews: Представлен новый почтовый сервер Tegu
3. OpenNews: Опубликован почтовый сервер Postfix 3.10.0
4. OpenNews: SMTP Smuggling - новая техника спуфинга почтовых сообщений
5. OpenNews: vSMTP - почтовый сервер со встроенным языком для фильтрации трафика

Для управления контейнерами предоставляется утилита командной строки bastille, позволяющая создавать и обновлять Jail-окружения на базе выбранной версии FreeBSD, а также выполнять типовые операции с контейнерами, такие как запуск/остановка, сборка, клонирование, импорт/экспорт, преобразование, изменение настроек, управление сетевым доступом и задание ограничений потребления ресурсов.

Допускается развёртывание в контейнере окружений c Linux (Ubuntu и Debian), выполняемых с использованием Linuxulator. Из расширенных возможностей поддерживается запуск типовых команд разом в нескольких контейнерах, вложенные шаблоны, снапшоты и резервное копирование. Корневой раздел в контейнере монтируется в режиме только для чтения. Окружение для запуска контейнеров может быть создано как на физических серверах или платах Raspberry Pi, так и в облачных сервисах AWS EC2, Vultr и DigitalOcean.

В репозитории предлагается около 80 шаблонов для быстрого запуска контейнеров типовых приложений, в которых представлены программы для серверов (nginx, mysql, wordpress, asterisk, redis, postfix, elasticsearch, salt и т.п.), разработчиков (gitea, gitlab, jenkins jenkins, python, php, perl, ruby, rust, go, node.js, openjdk) и пользователей (firefox, сhromium). Поддерживается создание стеков контейнеров, позволяющих использовать один шаблон в другом.

В новом выпуске:

• Добавлена опция "-c" ("--config") и переменная окружения BASTILLE_CONFIG для задания пользовательского файла конфигурации. При использовании опции данные будут храниться отдельно, в привязке к указанному файлу конфигурации.
• Добавлен режим auto-mode ("-a", "--auto") для запуска и остановки jail-окружений при необходимости.
• Добавлен режим debug-mode ("-x", "--debug") для отладки инфраструктуры.
• Реализована возможность добавления задержки перед запуском другого Jail-окружения (например, когда в одном jail запускается СУБД, используемая в остальных jail).
• Добавлена возможность указания нескольких целевых окружений в команде "console".
• В команду "create" добавлена поддержка указания параметров ZFS и настройки VLAN (для Jail с виртуальным сетевым стеком VNET).
• В команду "destroy" добавлена возможность удаления кэша и указания списка jail для выполнения операции одновременно для нескольких jail.
• В команду "limits" добавлены операции "clear", "reset", "stats", "show", "add" и "remove".
• В команду "list" добавлена возможность вывода в формате JSON.
• В команду "network" добавлена поддержка добавления и удаления разом нескольких сетевых интерфейсов в jail.
• Объявлена устаревшей опция "rcorder", для управления запуском реализованы новые опции "boot=on/off" и "priority=N".

1. OpenNews: Первый выпуск ClonOS, платформы для управления виртуальными окружениями
2. OpenNews: Проект по запуску программ FreeBSD в Linux
3. OpenNews: Выпуск дистрибутива Chimera 20250214, сочетающего ядро Linux с окружением FreeBSD
4. OpenNews: Опубликован MyBee 13.1.0, дистрибутив FreeBSD для организации работы виртуальных машин
5. OpenNews: Runj - OCI-совместимый инструментарий для управления контейнерами на базе FreeBSD jail

При тестировании учитывались только запросы, отправленные свежеустановленными экземплярами браузеров, до какой-либо активности пользователя. Проверялись самые свежие версии браузеров, доступные на момент тестирования. Отсутствие служебной сетевой активности сразу после запуска зафиксировано только у браузеров Kagi Orion, Tor Browser, Pale Moon и Ungoogled Chromium (см. дополнение). Остальные браузеры так или иначе устанавливали сетевые соединения с внешними серверами, которые как минимум получали сведения об IP-адресе пользователя.

Отмечается, что ни один из отправляющих запросы браузеров не предоставил пользователю возможность отказаться от начальной отправки данных - многие браузеры позволяют в настройках отключить передачу телеметрии, но изменить эти настройки можно лишь после того, как данные переданы во время первого запуска.

Распределение браузеров по числу хостов, к которым отправлялись служебные запросы (в скобках показатель за 2021 год):

• 82 Zen
• 48 (21) Edge
• 42 Floorp
• 31 (21) Opera
• 29 (15) Firefox
• 25 (9) Chrome
• 24 (3) Librewolf
• 24 (15) Yandex Browser
• 21 Waterfox
• 17 (7) Brave
• 16 (44) Arc
• 15 (0) Mullvad Browser
• 11 (13) Vivaldi
• 10 Thorium
• 6 (6) Safari
• 3 0 (0) Ungoogled Chromium
• 0 (0) Kagi Orion
• 0 (0) Tor Browser
• 0 Pale Moon

Хосты, с которыми устанавливал соединение Firefox:

• prod.classify-client.prod.webservices.mozgcp.net TCP port 443
• prod.remote-settings.prod.webservices.mozgcp.net TCP port 443
• mc.prod.ads.prod.webservices.mozgcp.net TCP port 443
• prod.detectportal.prod.cloudops.mozgcp.net TCP port 80
• push.services.mozilla.com TCP port 443
• prod.balrog.prod.cloudops.mozgcp.net TCP port 443
• telemetry-incoming.r53-2.services.mozilla.com TCP port 443
• safebrowsing.googleapis.com TCP port 443
• firefox.settings.services.mozilla.com TCP port 443
• ads.mozilla.org TCP port 443
• aus5.mozilla.org TCP port 443
• services.addons.mozilla.org TCP port 443
• location.services.mozilla.com TCP port 443
• a1887.dscq.akamai.net TCP port 80
• detectportal.firefox.com TCP port 80
• incoming.telemetry.mozilla.org TCP port 443
• r10.o.lencr.org on TCP port 80
• prod.content-signature-chains.prod.webservices.mozgcp.net TCP port 443
• e3913.cd.akamaiedge.net TCP port 80
• content-signature-2.cdn.mozilla.net TCP port 443
• a19.dscg10.akamai.net TCP port 80
• edgedl.me.gvt1.com TCP port 443
• attachments.prod.remote-settings.prod.webservices.mozgcp.net TCP port 443
• addons.mozilla.org TCP port 443
• pki-goog.l.google.com TCP port 80
• ocsp.digicert.com TCP port 80

Chrome:

• clients.l.google.com TCP port 443
• safebrowsingohttpgateway.googleapis.com on TCP port 443
• accounts.google.com on TCP port 443
• googlehosted.l.googleusercontent.com TCP port 443
• optimizationguide-pa.googleapis.com TCP port 443
• clients2.googleusercontent.com TCP port 443
• redirector.gvt1.com TCP port 80
• r3.sn-3pm7dned.gvt1.com on TCP port 80
• update.googleapis.com TCP port 443
• r1.sn-3pm7dne6.gvt1.com TCP port 80
• edgedl.me.gvt1.com TCP port 80
• clientservices.googleapis.com TCP port 443
• update.googleapis.com UDP port 443
• www.googleapis.com TCP port 443
• optimizationguide-pa.googleapis.com UDP port 443
• chromewebstore.googleapis.com TCP port 443
• www.google.com TCP port 443
• www.gstatic.com TCP port 443
• ogads-pa.clients6.google.com TCP port 443
• plus.l.google.com TCP port 443
• play.google.com TCP port 443
• chromewebstore.googleapis.com UDP port 443
• clientservices.googleapis.com UDP port 443

Safari:

• token.safebrowsing.apple TCP port 443
• www.apple.com TCP port 443
• securemetrics.apple.com TCP port 443
• securemvt.apple.com TCP port 443
• gateway.icloud.com TCP port 443
• api-glb-euc1b.smoot.apple.com TCP port 443

Ungoogled Chromium:

• clients.l.google.com TCP port 443
• raw.githubusercontent.com TCP port 443
• clients2.google.com TCP port 443

Vivaldi:

• clients.l.google.com TCP port 80
• vivaldi.map.fastly.net TCP port 443
• mimir2.vivaldi.com TCP port 443
• update.vivaldi.com TCP port 443
• weather.vivaldi.com TCP port 443
• downloads.vivaldi.com TCP port 443
• vivaldi.com TCP port 443
• update.googleapis.com TCP port 443
• player.vimeo.com.cdn.cloudflare.net TCP port 443

Yandex Browser:

• api.browser.yandex.com TCP port 443
• update.googleapis.com TCP port 443
• browser.yandex.com TCP port 443
• sba.yandex.net TCP port 443
• 300.ya.ru TCP port 443
• neuro.translate.yandex.ru TCP port 443
• s3.yandex.net TCP port 443
• edgedl.me.gvt1.com TCP port 80
• ya.ru TCP port 443
• yandex.ru TCP port 443
• browser.yandex.ru TCP port 443
• yastatic.net TCP port 443
• api.browser.yandex.ru TCP port 80
• edgedl.me.gvt1.com TCP port 443
• mail.yandex.ru TCP port 443
• dr.yandex.net TCP port 443
• brontp-pre.yandex.ru TCP port 443
• dr2.yandex.net TCP port 443
• cloud.cdn.yandex.net TCP port 443
• dzen.ru TCP port 443
• suggest.dzen.ru TCP port 443
• mc.yandex.ru TCP port 443
• suggest.sso.dzen.ru TCP port 443
• cloudcdn-ams19.cdn.yandex.net TCP port 443

Librewolf

• addons.mozilla.org TCP port 443
• push.services.mozilla.com TCP port 443
• services.addons.mozilla.org TCP port 443
• gitlab.com TCP port 443
• a1887.dscq.akamai.net TCP port 80
• firefox.settings.services.mozilla.com TCP port 443
• versioncheck-bg.addons.mozilla.org TCP port 443
• publicsuffix.org TCP port 443
• prod.remote-settings.prod.webservices.mozgcp.net TCP port 443
• ublockorigin.pages.dev TCP port 443
• prod.content-signature-chains.prod.webservices.mozgcp.net TCP port 443
• ublockorigin.pages.dev UDP port 443
• raw.githubusercontent.com TCP port 443
• malware-filter.gitlab.io TCP port 443
• 1278313086.rsc.cdn77.org TCP port 443
• prod.globalsign.map.fastly.net TCP port 80
• curbengh.github.io TCP port 443
• pgl.yoyo.org TCP port 443
• cdn.jsdelivr.net.cdn.cloudflare.net TCP port 443
• cdn.jsdelivr.net UDP port 443
• filters.adtidy.org TCP port 443
• dualstack.n.sni.global.fastly.net oTCP port 443
• cdn.statically.io UDP port 443
• ublockorigin.github.io TCP port 443

Thorium:

• accounts.google.com TCP port 443
• www.google.com TCP port 443
• www.gstatic.com TCP port 443
• ogads-pa.clients6.google.com TCP port 443
• plus.l.google.com TCP port 443
• play.google.com TCP port 443
• ogads-pa.clients6.google.com UDP port 443
• apis.google.com TCP port 443
• update.googleapis.com TCP port 443

Дополнение: Для Ungoogled Chromium результаты тестирования пересмотрены. Данные об установке трёх соединений были ошибочными, так как автор исследования по недосмотру протестировал не чистый экземпляр, а вариант с отдельно установленными дополнениями uBlock Origin Lite и Chromium Web Store. Упомянутые в отчёте соединения к google.com и raw.githubusercontent.com были осуществлены указанными дополнениями, по умолчанию не используемыми в Ungoogled Chromium. После данной ошибки автор заново повторил тесты всех браузеров, но больше различий не выявлено.

1. OpenNews: Оценка производительности браузерных дополнений для блокировки рекламы
2. OpenNews: Анализ влияния на производительность дополнений к Chrome
3. OpenNews: В Chrome внесено изменение, допускающее запись в буфер обмена без действий пользователя
4. OpenNews: Изучение влияния на производительность 5000 дополнений к Chrome
5. OpenNews: Встроенное в Chromium дополнение предоставляет расширенный API сервисам Google

Авторы письма считают неприемлемой возможность продажи проекта в ущерб сообществу, внёсшему значительный вклад в разработку проекта и финансировавшего его денежными пожертвованиями. Представители сообщества призывают к переходу к некоммерческой организационной структуре, исключающей продажу проекта, созданию избираемого совета для принятия ключевых решений, открытости и прозрачности в управлении, включая распределение получаемых пожертвований.

В случае, если акционеры не пойдут сообществу навстречу, авторы письма собираются запустить независимый коммьюнити-форк проекта. Письмо подписало более 130 человек, среди которых разработчики, переводчики и другие контрибьюторы проекта, люди, жертвовавшие проекту деньги, и просто неравнодушные пользователи приложений Organic Maps.

Проект Organic Maps развивает бесплатные мобильные приложения (Android, iOS, альфа поддержка Linux) для оффлайн навигации, использующие картографические данные из OpenStreetMap. Код проекта распространяется под лицензией Apache 2.0. Organic Maps делает упор на простоту использования и конфиденциальность (поскольку не отслеживает местоположение пользователя и не собирает личные данные). Проект основан как форк приложения MAPS.ME, созданный в том числе его изначальными авторами после продажи MAPS.ME компанией Mail.ru компании Daegu Limited, которая перевела проект на проприетарную модель разработки.

1. OpenNews: Проект Organic Maps перенёс разработку с GitHub на Forgejo
2. OpenNews: GitHub принудительно перевёл репозитории проекта Organic Maps в архивный режим
3. OpenNews: Компания Mail.ru открыла исходные тексты картографических приложений MAPS.ME

Основные изменения в MySQL 9.3:

• В утилиту mysqldump добавлена опция "--users" для создания логических дампов с информацией о всех учётных записях, выводимой через SQL-выражения "CREATE USER" и "GRANT". Для вставки выражения "DROP USER" перед "CREATE USER" предусмотрена опция "--add-drop-user", а для выборочного отражения в дампе отдельных пользователей - опции "--include-user=user@host" и "--exclude-user=user@host", который можно указывать несколько раз.
• В движке MLE (Multilingual Engine Component), позволяющем использовать в хранимых процедурах и функциях код на языках, отличных от SQL, улучшена поддержка JavaScript. Для хранимых процедур на языке JavaScript реализован тип "DECIMAL", который можно использовать для входящих и возвращаемых аргументов. По умолчанию для безопасности MySQL-тип DECIMAL преобразуется в JavaScript-тип "String", но данное поведение можно переопределить командой 'SELECT mle_set_session_state('{"decimal_type":"Number"}')', после которой будет использован JavaScript-тип "Number". Поддерживается приведение к типу DECIMAL значений с JavaScript-типами Boolean, Number, String и BigInt.
• В хранимые процедуры на JavaScript добавлена поддержка выставления параметров локализации, используя JavaScript API Intl. Например для определения текущей локали можно использовать свойства "Intl.DateTimeFormat().resolvedOptions().locale", а для переопределения локали - метод "toLocaleString()".
• Расширены возможности для управления библиотеками JavaScript: для изменения списка импортируемых библиотек теперь можно использовать выражения "ALTER PROCEDURE" и "ALTER FUNCTION". Добавлена возможность использования выражения "ALTER LIBRARY" для добавления, удаления или изменения SQL-комментария к библиотеке. Для получения сведений о библиотеке реализовано выражение "SHOW LIBRARY STATUS".
• Добавлена поддержка динамической загрузки JavaScript-библиотек. Для динамического импорта библиотеки следует использовать ключевое слово "await", например "let module = await import('/db1/lib_${object_type}')".
• Расширены оптимизации запросов, использующих квантифицированные операторы сравнения. Помимо поддержки операторов "=ANY" и "<>ALL" при оптимизации подзапросов в новой версии добавлена поддержка операторов ">ANY", ">=ANY", "<ANY", "<=ANY", ">ALL", ">=ALL", "<ALL" и "<=ALL".
• Удалён плагин "version_tokens", ранее объявленный устаревшим.
• Запрещено выставление значения 0 в системную переменную replica_parallel_workers.
• Устранено 28 уязвимостей, из которых 26 могут быть эксплуатированы удалённо при наличии доступа для отправки запросов к СУБД. Шесть наиболее серьёзных проблем имеют уровень опасности 6.5 и связаны с уязвимостями в движке InnoDB, парсере и оптимизаторе. Менее опасные уязвимости затрагивают mysqldump, InnoDB, оптимизатор, DDL, UDF, парсер и систему репликации.

1. OpenNews: Выпуск СУБД MySQL 9.2.0
2. OpenNews: Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей
3. OpenNews: Microsoft открыл код СУБД DocumentDB, основанной на PostgreSQL
4. OpenNews: Релиз FerretDB 2.0, реализации MongoDB на базе СУБД PostgreSQL
5. OpenNews: Представлен openHalo, инструментарий для миграции с MySQL на PostgreSQL

В основной репозиторий проекта СPython принят код с новыми реализациями криптографических хэш-функций и алгоритмов HMAC (механизм проверки подлинности сообщений). Все предоставляемые по умолчанию в Python хэш-функции и HMAC заменены на варианты, для которых предоставлено формальное доказательство соответствия (формальная верификация). Среди прочего, добавлена реализация HMAC-BLAKE2, использующая SIMD-инструкции AVX2 для ускорения вычислений. Предполагается, что верифицированный код войдёт в состав осеннего релиза Python 3.14.

Новые реализации криптографических функций перенесены из библиотеки HACL*, развиваемой исследователями из французского государственного института исследований в информатике и автоматике (INRIA), подразделения Microsoft Research и университета Карнеги — Меллона. Библиотека HACL* поддерживает типовые криптографические функции, которых достаточно для работы TLS 1.3 и полной поддержки API NaCl (Networking and Cryptography library), такие как Curve25519, Ed25519, AES-GCM, Chacha20, Poly1305, SHA-2, SHA-3, HMAC и HKDF. По производительности библиотека HACL* близка к OpenSSL, но в отличие от последней предоставляет дополнительные гарантии надёжности и безопасности.

Код HACL* написан на подмножестве функционального языка F*, предлагающем систему зависимых типов и уточнений, позволяющих задавать точные спецификации (математическую модель) и гарантировать отсутствие ошибок в реализации при помощи SMT-формул и вспомогательных инструментов доказательства. Эталонный код на F* транслируется в код на языке Си при помощи компилятора KaRaMeL и доступен для интеграции с другими проектами.

Проведение формальной верификации подразумевает определение подробных спецификаций, описывающих все варианты поведения программы, и формирование доказательства, что написанный код полностью соответствует подготовленным спецификациям. Верификация даёт гарантию, что программа будет выполняться только как задумали разработчики и в ней отсутствуют определённые классы ошибок, такие как переполнение буфера, разыменование указателей, обращение к уже освобождённым областям памяти или двойное освобождение блоков памяти. В процессе компиляции обеспечивается жёсткая проверка типов и значений - один компонент никогда не передаст другому компоненту параметры, не соответствующие спецификации, и не получит доступ ко внутренним состояниям других компонентов.

Процесс перехода на верифицированный код занял два с половиной года и потребовал доработки библиотеки HACL*, функциональность которой была расширена возможностями, необходимыми для прозрачной замены имеющейся функциональности hashlib. Например, в HACL* была добавлена поддержка потокового режима работы HMAC, предоставлены дополнительные режимы работы алгоритмов Blake2, реализован новый API для SHA3, охватывающий все варианты алгоритмов семейства Keccak, обеспечены необходимые средства уведомления об ошибках (например, при проблемах с выделением памяти), разработаны скрипты для автоматизации переноса в репозиторий Python новых версий HACL*.

1. OpenNews: Уязвимость в библиотеке с основной реализацией алгоритма SHA-3
2. OpenNews: Mini-C для трансляции программ на языке Си в представление на языке Rust
3. OpenNews: Утечка токена для полного доступа к GitHub-репозиториям проекта Python
4. OpenNews: Один из ключевых разработчиков Python отстранён на три месяца из-за нарушения кодекса поведения
5. OpenNews: Выпуск языка программирования Python 3.13

Код DCCP в ядре остаётся без сопровождения уже пять лет, а изменения в последние годы ограничивались исправлениями из-за рефакторинга API ядра. Несколько лет назад в рамках проекта Multipath DCCP была предпринята попытка развития протокола DCCP в ядре, но часть кода этого проекта остаётся проприетарной. Разработчик Multipath DCCP планировал открыть код проприетарных частей, передать накопившиеся изменения в основной состав ядра и взять на себя обязанности мэйнтейнера DCCP в ядре Linux, но он уже несколько лет не выходит на связь.

Удаление DCCP из ядра Linux устранит преграды, мешающие переработать структуру данных inet_connection_sock для повышения эффективности работы стека TCP. В настоящее время структура inet_connection_sock совместно используется в TCP и DCCP, что не позволяет реализовать для TCP некоторые оптимизации без переделки кода DCCP. В частности, переделка структуры inet_connection_sock даст возможность более эффективно использовать процессорный кэш при ускоренной обработке пакетов для уже установленного TCP соединения (TCP fastpath).

1. OpenNews: Уязвимость в реализации протокола DCCP в ядре Linux
2. OpenNews: Уязвимость в ядре Linux, позволяющая получить права root
3. OpenNews: Опасная удалённая уязвимость в ядре Linux
4. OpenNews: Критическая уязвимость в Linux ядре.
5. OpenNews: Linux ядро 2.6.17 с добавлением поддержки DCCP

Один из исследователей безопасности уже подготовил рабочий эксплоит для выполнения кода на уязвимых SSH-серверах. Примечательно, что по словам исследователя код был создан с использованием AI-ассистентов GPT-4, Cursor и Sonnet на основе анализа изменения с исправлением уязвимости, включающего тест для проверки устранения проблемы.

Библиотека от проекта Erlang/OTP предоставляет готовые реализации клиента и сервера SSH и SFTP, поддерживающих протокол SSH 2.0. Отличить проблемные SSH-серверы можно по выводу заголовка "SSH-2.0-Erlang/версия". SSH-серверы на базе Erlang/OTP используются в специализированных системах, например, на IoT- и устройствах для edge-вычислений, а также в качестве отладочного инструмента - Erlang позволяет легко включить SSH-сервер для удалённой отладки своих приложений (предполагается, что подобная отладочная возможность могла быть оставлена включённой во многих проектах, написанных на Erlang). Проблема также проявляется в инструментарии Elixir (реализован поверх Erlang) и во фреймворке Phoenix на его основе, но SSH-сервер в Phoenix по умолчанию не принимает запросы из внешних сетей.

Уязвимость вызвана ошибкой в коде разбора сообщений, из-за которой сообщения SSH_MSG_CHANNEL_REQUEST, допускающие выполнение команды "exec", обрабатывались на стадии до прохождения аутентификации. Пример кода из эксплоита:

    command = 'file:write_file("/lab.txt", <<"pwned">>).'
    return (
        b"\x62"  # SSH_MSG_CHANNEL_REQUEST
        + struct.pack(">I", channel_id)
        + string_payload("exec")
        + b"\x01"  # want_reply = true
        + string_payload(command)
    )

Уязвимость устранена в выпусках Erlang/OTP-27.3.3, 26.2.5.11 и 25.3.2.20. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD.

1. OpenNews: Уязвимость в libssh, приводящая к переполнению буфера
2. OpenNews: Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc
3. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода
4. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
5. OpenNews: Удалённо эксплуатируемая уязвимость в OpenSSH ssh-agent

В новой версии:

• Улучшена поддержка протокола Wayland. В конфигурациях с несколькими экранами обеспечено назначение экранам имён вместо порядковых номеров.
• Обновлён компонент lxqt-wayland-session, позволяющий запускать LXQt в сочетании с различными композитными менеджерами Wayland. Добавлена поддержка актуальных версий композитных серверов LabWC, WayFire, kwin_wayland, Sway, Hyprland, River и Niri.
• В файловом менеджере PCManFM-Qt предоставлена возможность указания собственных опций для запуска эмулятора терминала. В функцию массового переименования файлов добавлена поддержка операций замены строк. В контекстном меню "Open With", открытом при выборе нескольких файлов с разными MIME-типами, теперь предлагаются приложения, способные обрабатывать каждые из этих MIME-типов. Добавлена комбинация клавиш "Ctrl+Shift+NUMBER" для изменения режима просмотра списка файлов. Улучшена поддержка режима Drag-and-drop.
• В эмулятор терминала QTerminal и виджет QTermWidget добавлена поддержка мигающего текстового курсора и автоскрытия курсора мыши. Улучшена отрисовка текста, включающего спецсимволы. Добавлена поддержка комбинаций символов. При выходе из QTerminal обеспечен запрос подтверждения при наличии запущенных из QTerminal процессов. Добавлена настройка для перевода фокуса на другой терминал при наведении на него курсора мыши. Проведена чистка диалога с настройками.
• Добавлена поддержка профилей энергопотребления, для обработки которых задействован фоновый процесс power-profiles-daemon. Доступные профили отображаются в контекстном меню индикатора заряда аккумулятора, размещённого на панели задач. По умолчанию при закрытии крышки ноутбука активирован переход в спящий режим.
• В LXQt Session добавлена защита от запуска второго экземпляра процесса lxqt-session для того же пользователя. Добавлен метод D-Bus для запуска приложений в сеансе LXQt.
• В LXQt Panel добавлена настройка для изменения цвета текста в области плагина "Custom Command", позволяющего запускать произвольные команды и показывать результат их работы в панели. В меню приложений "Fancy Menu" добавлена поддержка навигации при помощи клавиш PageDown и PageUp.
• В LXQt Archiver по умолчанию включена сборка с поддержкой 7zip. Для работы с RAR-архивами задействована утилита 7z.

1. OpenNews: Опубликована среда рабочего стола LXQt 2.1.0
2. OpenNews: Доступна среда рабочего стола LXQt 2.0.0
3. OpenNews: Рабочий стол LXQt признан полностью готовым для использования Wayland
4. OpenNews: Опубликован план перевода LXQt на Qt6 и Wayland
5. OpenNews: Релиз фреймворка Qt 6.9

Основные изменения:

• Рабочий стол обновлён до выпуска GNOME 48, в котором реализована поддержка HDR, тройной буферизации, стековой компоновки уведомлений, глобальных сочетаний клавиш. Расширен конфигуратор. Добавлены оптимизации потребления памяти и производительности.
• В Ubuntu Desktop вместо Evince для просмотра PDF предложена программа Papers (форк Evince, переведённый на GTK4 и частично переписанный на языке Rust).
• По умолчанию задействована обвязка xdg-terminal-exec, упрощающая замену эмулятора терминала, вызываемого комбинацией клавиш Ctrl+Alt+T.
• После сворачивания проекта Mozilla Location Service, сервисы определения местоположения переведены на использование БД BeaconDB с информацией о размещении известных точек беспроводного доступа.
• Отключено по умолчанию звуковое сопровождение запуска системы.
• В инсталлятор в Ubuntu Desktop добавлен режим для замены существующих установок Ubuntu. При установке в режиме двойной загрузки, если в системе уже используются другие операционные системы, разрешена установка на шифрованные разделы и предоставлены расширенные настройки для дисковых разделов. Добавлена возможность установки Ubuntu на одном накопителе с Windows-системами, использующими шифрованные разделы на базе BitLocker.
• Задействован пакетный менеджер APT 3.0, в котором предложен новый движок разрешения зависимостей Solver3, реализовано более наглядное отображение списка зависимостей, добавлен крипто-бэкенд для библиотеки OpenSSL, удалена команда apt-key, добавлена поддержка снапшотов, переработана работа с ключами и цифровыми подписями.
• Вместо публикации отдельных сборок, специфичных для каждого ARM64-устройства, дистрибутив перешёл к предоставлению одного общего ISO-образа Ubuntu Desktop для устройств на базе архитектуры ARM64. Образ можно использовать для установки на рабочих станциях с процессорами Ampere, ноутбуках с чипами Snapdragon и в виртуальных машинах на Mac-системах Apple Silicon.
• Улучшены возможности для использования устройств на базе архитектуры ARM64 в качестве рабочих станций с графическим окружением. Добавлена поддержка новых устройств, например, на базе Qualcomm Snapdragon X Elite 13. Добавлены пакеты ubuntu-x1e-settings и qcom-firmware-extract.
• В дополнение к initramfs-tools добавлена опциональная поддержка инструментария Dracut для формирования образов начального RAM-диска (initrd). В Ubuntu осеннем выпуске 25.10 инструментарий Dracut намерены задействовать по умолчанию. Из проблем с initramfs-tools, которые будут решены после перехода на Dracut, упомянуты: невозможность использования systemd в initrd, отсутствие поддержки NVMe over Fabric (NVM-oF), сложность сопровождения из-за раздельной работы с initrd и корневой ФС, стагнация разработки initramfs-tools и обилие кода на shell в initrd.
• В репозиторий добавлен инструментарий crypto-config, предназначенный для работы с общим для всей системы профилем настроек, связанных с криптографией. В настоящее время доступны профили default, legacy и future.
• Ядро Linux обновлено до выпуска 6.14. Из связанных с ядром новшеств отмечена поддержка механизма "sched_ext" (SCX), позволяющего использовать eBPF для создания планировщиков CPU, а также реализация драйвера NTSYNC, предоставляющего набор примитивов синхронизации Windows NT, позволяющих существенно поднять производительность Windows-игр, запускаемых при помощи Wine. В отдельные пакеты выделены инструментарии bpftools и linux-perf. Вместо отдельного пакета c ядром linux-lowlatency задействованы штатные возможности базового ядра и набор утилит lowlatency-kernel.
• Обновлены системные пакеты: glibc 2.41, systemd 257, binutils 2.44, OpenSSL 3.4.1, GnuTLS 3.8.9, BlueZ 5.79, NetworkManager 1.52, Pipewire 1.2.7, Poppler 25.03, xdg-desktop-portal 1.20.
• Обновлены средства для разработчиков: GCC 15 (снапшот будущего релиза), LLVM 20, Python 3.13.3, Go 1.24, Rust 1.84, .NET 9.0, PHP 8.4, Ruby 3.3, OpenJDK 24, PostgreSQL 17, Valkey (форк Redis) 8.0.2, MySQL 8.4.4, Qt 6.8.3.
• Обновлены пользовательские приложения: GIMP 3.0, LibreOffice 25.2, Firefox 137, Thunderbird 128.
• Обновлены серверные пакеты: Nginx 1.26.3, Apache httpd 2.4.63, OpenSSH 9.9, cloud-init 25.1.1, runc 1.2.5, Docker 27.5.1, Containerd 2.0.2, HAProxy 3.0.7, libvirt 10.10.0, ClamAV 1.4.2, OpenLDAP 2.6, QEMU 9.2.0, Squid 6.13, SSSD 2.10.1, Samba 4.21.
• В Chrony для синхронизации времени по умолчанию задействованы серверы точного времени от проекта Ubuntu, использующие протокол NTS.
• Командная оболочка Fish обновлена до ветки 4.0, переписанной на Rust.
• На ноутбуках с GPU NVIDIA по умолчанию включён сервис nvidia-powerd, обеспечивающий поддержку механизма Dynamic Boost, позволяющего балансировать энергопотребление между CPU и GPU для повышения производительности. Проприетарные драйверы NVIDIA обновлены до ветки 570.x.
• Обеспечена полная поддержка GPU Intel на базе архитектуры Xe2, таких как Intel Core Ultra Xe2 с интегрированной графикой Intel Arc и дискретные GPU Intel Arc B580/B570 "Battlemage". В приложениях с поддержкой библиотеки Intel Embree, таких как Blender, производительность рендеринга возросла на 20-30% из-за ускорения трассировки лучей в 2-4 раза. На дискретных GPU "Battlemage" обеспечено аппаратное ускорение кодирования видео в форматах AVC, JPEG, HEVC и AV1.
• Прекращено создание файла /run/utmp с данными о пользователях, в данный момент работающих в системе. Формат utmp, в котором задействовано 32-разрядное значение time_t, признан устаревшим из-за подверженности проблеме 2038 года. В следующем выпуске будет прекращена поддержка cgroup v1 и сервисов, запускаемых через скрипты в стиле System V init.
• Инструментарий для настройки параметров сети обновлён до выпуска Netplan 1.1.2, в котором появилась возможность использования метода аутентификации "wpa-psk-sha256" в беспроводных сетях и добавлена поддержка параметра "routing-policy" в NetworkManager.
• В сборки для плат Raspberry Pi добавлен стек для работы с камерами, основанный на libcamera 0.4 и libpisp. Для начальной настройки системы задействован пакет gnome-initial-setup, выполняемый при первом запуске. Утилиты libraspberry-bin заменены на raspi-utils. Обеспечена возможность загрузки по сети при помощи nbd-client.
• В конфигурацию AppArmor внесены изменения, нацеленные на блокирование обхода ограничений доступа к "user namespace". Добавлен специальный профиль "bwrap-userns-restrict", позволяющий создавать "user namespace" и настраивать изолированные окружения на стадии до перехода к более строгому урезанию возможностей процессов. Удалены профили к busybox и nautilus, допускавшие создание "user namespace". Расширено число приложений, защищённых профилями AppArmor.
• Обновлён пакет ADSys (Active Directory Certificate Auto Enrollment), позволяющий автоматически получать сертификаты из сервисов Active Directory при включении групповых политик. Автоматическое получение сертификатов через Active Directory также применяется при подключении к корпоративным беспроводным сетям и VPN.
• В основной состав включены библиотеки для поддержки формата изображений JPEG XL, не требующие установки дополнительных пакетов.
• В репозиторий "main" добавлен пакет va-driver-all, включающий библиотеку libva и необходимые для её работы компоненты, позволяющие использовать VA-API (Video Acceleration API) для аппаратного ускорения кодирования и декодирования видео.
• Продолжена работа над атомарно обновляемым вариантом Ubuntu Core Desktop, использующим технологии Ubuntu Core и включающим только приложения, оформленные с использованием пакетов в формате Snap.
• В Xubuntu задействован выпуск среды рабочего стола Xfce 4.20.
• В Ubuntu Cinnamon предложена версия рабочего стола Cinnamon 6.4.8. Проведена чистка пакетов, в которых нет необходимости, позволившая немного сократить размер сборки. Улучшена тема оформления Yaru-Cinnamon. Добавлены тёмный и светлый варианты применяемых по умолчанию обоев рабочего стола.
• В Ubuntu Mate продолжает поставляться рабочий стол MATE 1.26.
• В Lubuntu включён выпуск среды рабочего стола LXQt 2.1.0. Осуществлён переход с ветки Qt 6.6 на Qt 6.8. Значительно ускорена работа инсталлятора, основанного на фреймворке Calamares.
• В Ubuntu Studio по умолчанию использован рабочий стол KDE Plasma 6.3 и тёмный набор пиктограмм на панели. Обновлены версии программ, например, доступны Darktable 5.0.0, Ardour 8.12.0, Qtractor 1.5.3, Audacity 3.7.3, digiKam 8.5.0, Kdenlive 24.12.3, Krita 5.2.9 и GIMP 3.0.
• В Kubuntu задействованы выпуски KDE Plasma 6.3, Qt 6.8, KDE Frameworks 6.12.0 и KDE Gear 24.12.3. По умолчанию предложен сеанс на базе Wayland, а поддержка X11 реализована в форме опции.

1. OpenNews: Выявлена возможность обхода ограничений доступа к "user namespace" в Ubuntu
2. OpenNews: В Ubuntu 25.10 решено заменить GNU Coreutils на uutils, написанные на Rust
3. OpenNews: Выпуск Ubuntu 24.04.2 LTS c обновлением графического стека и ядра Linux
4. OpenNews: Ubuntu переходит на использование Matrix для общения разработчиков
5. OpenNews: Выпуск дистрибутива Ubuntu 24.10

Наиболее заметные изменения:

• Проведена работа по повышению удобства работы в файловом менеджере Dolphin. Для людей с ограниченными возможностями улучшена интеграция Dolphin с экранным ридером Orca. Оптимизирован выбор фокуса ввода и упрощена навигация при помощи клавиатуры, например, в режиме выделения (активируется нажатием пробела) перемещаться между файлами теперь можно клавишами управления курсором, а для выделения файла достаточно нажать клавишу Enter, без необходимости удерживать клавишу Ctrl. Добавлена защита от случайной очистки корзины - пиктограмма очистки теперь выделена красным цветом, а кнопка восстановления отдалена от кнопки удаления в контекстном меню.

  В боковой панели Places (Точки входа) при добавлении элементов теперь показываются пиктограммы каталогов, в которых размещены эти элементы, а сам элемент будет виден не только в файловом менеджере, но и в соответствующей области диалогов открытия файлов. Для экономии экранного пространства три отдельные кнопки переключения между режимами просмотра объединены в одну кнопку, а строка состояния оформлена более компактно. Добавлена поддержка переименования вкладок (в контекстное меню добавлена кнопка "Переименовать").

  
• В браузере Konqueror в диалоге "Save As" обеспечено запоминание местоположения последнего загруженного файла для упрощения последующего сохранения файлов в том же каталоге.
• В браузер Falkon добавлена поддержка блокировки API WebSocket.
• В KRDC, клиенте для подключения к удалённому рабочему столу по протоколам RDP и VNC, добавлена поддержка масштабирования размера рабочего стола для того, чтобы уместить его содержимое в границах текущего окна. Реализована поддержка новой версии протокола FreeRDP. Добавлена возможность указания домена при аутентификации.
• В KDE Connect, приложении для интеграции рабочего стола со смартфоном, повышена скорость передачи данных через Bluetooth.
• В ассистенте в путешествиях Itinerary расширен спектр поддерживаемых методов оплаты транспорта и различных видов сервисов. Добавлена отдельная страница My Data, на которой собраны сопутствующие путешествию данные, такие как медицинские страховки, списки достопримечательностей и статистика о ходе поездки. Возможен импорт и экспорт своих данных. Изменено оформление страниц с расписанием и результатами поиска транспорта, которые теперь корректно адаптируются для экранов небольшого размера.
• В приложении Kongress, предназначенном для сопровождения посетителей конференций, в календаре мероприятий реализована возможность указания имён докладчиков для каждого выступления.
• В приложении Merkuro (бывший Kalendar), сочетающем возможности адресной книги, менеджера задач и календаря-планировщика, добавлена возможность отдельной настройки выходных дней для каждого региона, а также пометки выходных при показе информации с разбивкой по неделям и месяцам. Добавлена возможность показывать только задачи, которые необходимо выполнить сегодня. Реализована поддержка выделения нескольких элементов в адресной книге для одновременного совершения действий над ними.
• В почтовом клиенте KMail упрощена проверка неизвестных сертификатов OpenPGP (при клике на сертификат автоматически запускается его проверка на серверах ключей).
• В календарь-планировщик KOrganizer добавлен новый интерфейс выбора даты, ускоряющий переход на нужную дату.
• В просмотрщик документов Okular добавлена настройка для изменения уровня масштабирования по умолчанию. Реализована поддержка цифровых подписей на базе PGP/GPG (ранее поддерживался только S/MIME) и предоставлена возможность показа в списке только сертификатов для квалифицированных электронных подписей. При создании подписей обеспечено автоматическое масштабирование текста для его отображения в имеющейся области окна.
• В Keysmith, генератор OTP-токенов для двухфакторной аутентификации, добавлена поддержка загрузки токенов из QR-кодов и импорта токенов из программы andOTP.
• В редакторе видео Kdenlive появилась возможность импорта и экспорта проектов в формате OpenTimelineIO. Полностью переделана визуализация звуковой волны и значительно ускорена её генерация. Добавлена возможность использования "шахматного" фона в интерфейсе редактирования клипов.
• В звуковом редакторе Kwave значительно увеличена производительность при воспроизведении.
• В программе для обмена сообщениями Neochat, использующей протокол Matrix, добавлена возможность сортировки чатов в боковой панели на основе последней активности. В контекстное меню добавлен пункт "Copy Link Address" для создания web-ссылки на выбранное сообщение.
• В Tokodon, реализации клиента к децентрализованной платформе микроблогинга Mastodon, добавлена поддержка сохранения черновиков и отправки сообщений с задержкой. Добавлено меню для фильтрации содержимого, показываемого в ленте, а также кнопка для отключения уведомлений о поступлении новых сообщений в выбранных обсуждениях. Добавлен диалог для подтверждения отправки сообщений.
• В Kate, текстовом редакторе для разработчиков, добавлена поддержка LSP-сервера для сценариев debputy, используемых при создании пакетов для Debian. В настройках появилась возможность добавления своих путей в переменную окружения PATH для организации запуска LSP-серверов, утилит для форматирования кода и linter-ов, установленных в отдельные каталоги. В плагин "build", позволяющий запускать пересборку кода не выходя из Kate, добавлена возможность одновременной работы с несколькими проектами.
• В интегрированную среду разработки KDevelop помимо встроенной поддержки C++, PHP и Python добавлена возможность подключения обработчиков языков программирования, реализованных в виде LSP-серверов.
• В программе для чтения электронных книг Arianna реализован новый движок отрисовки, основанный на библиотеке foliate.js.
• В менеджере подкастов Kasts добавлен переключатель между мобильным и стационарным вариантами интерфейса.
• В музыкальном проигрывателе Elisa появилась возможность автоматического воспроизведения файлов при попытке их открытия в других приложениях (например, для запуска воспроизведения из Dolphin).
• В Audiotube, приложение для прослушивания музыки с Youtube Music, добавлена функция для загрузки лирики с сайта LRCLIB.

1. OpenNews: Для KDE разрабатывают новый менеджер входа для замены SDDM
2. OpenNews: Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов
3. OpenNews: Релиз среды рабочего стола KDE Plasma 6.3
4. OpenNews: Выпуск KDE Gear 24.12, набора приложений от проекта KDE
5. OpenNews: Проект KDE развивает собственный дистрибутив KDE Linux

Для дополнительной защиты в Tor Browser включена настройка «HTTPS Only», позволяющая использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты.

Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.

В новой версии:

• В версию для платформы Android добавлен интерфейс Connection Assist, который ранее был доступен только в сборках для Linux, Windows и macOS. Интерфейс позволяет автоматизировать настройку доступа к сети Tor с учётом специфики конкретного пользователя, без необходимости вручную активировать мостовые узлы и выбирать альтернативный транспорт в случае проблем с подключением. Технически новая возможность реализована благодаря задействованию общего бэкенда для десктоп-редакций и Android.
• В версиях для десктоп-систем расширены средства для просмотра лога операций, отражающего активность при подключении к Tor, а также ошибки или предупреждения, возникающие в процессе взаимодействия с сетью. Добавляемая в лог информация не содержит конфиденциальных данных, таких как открываемые сайты, но может быть полезной для диагностики проблем. Информация в окне с логом теперь более наглядная и обновляется по мере поступления новых записей (больше не требуется переоткрывать окно с логом для обновления информации).
• Модернизирована логика работы интерфейса Connection Assist, который теперь совершает меньше вызовов инструментария moat, использующего технику "domain fronting", при диагностике проблем с соединением. Добавлен вывод предупреждений о сбоях при применении изменённых настроек, например, при смене мостовых узлов (ранее факт сбоя никак не показывался пользователю).
• В версии для Android завершение работы через меню "Quit" теперь приводит к выполнению дополнительных действий по завершению фоновых процессов и очистке недавно запущенных задач.
• В версиях для десктоп-систем и Android добавлена локализация для белорусского, болгарского и португальского языков. Выбрать язык можно в настройках "Settings > General > Language and Appearance > Language".

1. OpenNews: Релиз Tor Browser 14.0
2. OpenNews: Выпуск новой стабильной ветки Tor 0.4.8
3. OpenNews: Релиз Firefox 128
4. OpenNews: Проект Tor и дистрибутив Tails объявили об объединении
5. OpenNews: Выпуск Whonix 17.2, дистрибутива для обеспечения анонимных коммуникаций

О связанном с безопасностью инциденте также сообщили разработчики репозитория crates.io, через который распространяются пакеты на языке Rust. В инфраструктуре crates.io при возникновении ошибок на стороне бэкенда информация о обрабатываемых в момент возникновения проблемы запросах отправляется в сервис мониторинга Sentry. Проблема связана с тем, что среди отправляемых данных присутствовало поле с содержимым Cookie "cargo_session", в котором находился сессионный ключ, идентифицирующий пользователя. Посторонний, получивший данный ключ, мог осуществлять любые действия в незавершённом сеансе пользователя.

Отмечается, что доступ к серверу мониторинга Sentry имели только отдельные участники команд, обслуживающих инфраструктуру проекта и репозиторий crates.io, которые и без того имеют привилегированный доступ к рабочим серверам crates.io. Свидетельств о том, что осевшие в логах сессионные ключи использовались кем-то, не выявлено. После устранения проблемы подобные Cookie были удалены из всех записей о событиях в Sentry, а связанные с ними активные сеансы пользователей завершены.

1. OpenNews: Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц
2. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
3. OpenNews: Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics
4. OpenNews: Утечка токена для полного доступа к GitHub-репозиториям проекта Python
5. OpenNews: GitHub и Twitter по ошибке сохраняли открытые пароли в логе

На момент написания новости содержимое БД CVE обновляется, а сайт cve.mitre.org продолжает работать (в США пока ночь, отключение может быть произведено после начала рабочего дня). В случае прекращение работы сервисов MITRE исторические данные об уже выданных CVE-идентификаторах сохранятся в зеркале на GitHub.

CVE-идентификаторы имеют критическое значение для инфраструктуры обеспечения безопасности так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Все системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно, корпорации найдут способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.

Назначение CVE уже частично децентрализовано - многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE-идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE-номеров. При этом основная работа по выдаче отдельных CVE-номеров по запросу до сих пор проводилась силами MITRE.

Статус CNA имеют 453 проекта и компании, среди которых разработчики ядра Linux, Apache, Curl, Debian, Eclipse, Fedora, FreeBSD, Glibc, Gitea, Go, Kubernetes, Node.js, LibreOffice, Mozilla, OpenSSL, PHP, Perl, PostgreSQL, Python, Xen, ISC, Red Hat, Canonical, SUSE, GitHub и Google. Роль MITRE при взаимодействии с CNA сводится к координации выделения CVE-диапазонов и отслеживанию возможных пересечений CVE-идентификаторов (с одной уязвимостью должен быть связан только один идентификатор CVE).

Дополнение 1: Правительство США возобновило финансирование деятельности MITRE, связанной с поддержанием базы CVE. Контракт продлён.

Дополнение 2: Анонсировано создание некоммерческой организации CVE Foundation, нацеленной на поддержание стабильной деятельности и независимости проекта CVE. В управляющем совете CVE (CVE Board) уже давно обсуждались опасения об устойчивости и нейтральности сервиса, используемого по всему миру, но целиком зависящего от государственного финансирования. Последний год коалиция из активных членов совета CVE вела разработку стратегии перевода CVE в независимый некоммерческий фонд, который сосредоточится исключительно на продолжении миссии по идентификации уязвимостей и сохранению доступности данных CVE.

1. OpenNews: В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах
2. OpenNews: Cloudflare представил открытый сканер сетевой безопасности Flan Scan
3. OpenNews: Google опубликовал OSV-Scanner, сканер уязвимостей, учитывающий зависимости
4. OpenNews: Google использовал большую языковую модель для выявления уязвимости в SQLite
5. OpenNews: Раздутый отчёт об уязвимости вынудил разработчика node-ip перевести репозиторий в архивный режим

Пакет Unbreakable Enterprise Kernel 8 основан на ядре Linux 6.12 (выпуск UEK R7 базировался на ядре 5.4, а в бета-версии RHEL 10 предлагалось ядро 6.11), которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и src-пакеты с ядром UEK R8 подготовлены для Oracle Linux 9.5 (нет никаких препятствий по использованию данного ядра в аналогичных версиях RHEL, CentOS, Alma Linux и Rocky Linux).

Ключевые новшества Unbreakable Enterprise Kernel 8 (большинство изменений не специфичны для ядра UEK и присутствуют в выпущенных последнее время ванильных ядрах Linux, но отражены Oracle в списке изменений наряду с действительно свойственными только для UEK особенностями, такими как DTrace, ASMLib, отдельные оптимизации управления памятью и некоторые улучшения в Btrfs):

• Изменено разделение компонентов ядра UEK на отдельные пакеты. Модули ядра отделены от базового образа ядра и вынесены в коллекции, поставляемые в отдельных пакетах: kernel-uek-modules-core (базовый минимум), kernel-uek-modules (для серверов), kernel-uek-modules-desktop, kernel-uek-modules-extra-netfilter, kernel-uek-modules-usb и kernel-uek-modules-wireless. Сопутствующие утилиты вынесены из базового пакета kernel-uek-core в отдельный пакет kernel-uek-tools. Файлы конфигурации со списком запрещённых для загрузки модулей переименованы из 'blacklist' в 'denylist' в рамках инициативы по использованию инклюзивной терминологии.
• Для систем ARM Ampere, применяемых в Oracle Cloud, сформирована отдельная сборка ядра kernel-uek64k, базовый размер страниц памяти в которой увеличен с 4 до 64 КБ.
• На системах x86 обеспечена одновременная активация вторичных ядер CPU, что позволило сократить время загрузки ядра на системах с большим количеством ядер.
• Добавлена поддержка библиотеки ASMLib 3 для автоматического управления хранилищем в СУБД Oracle.
• Проведена работа по оптимизации производительности и повышению безопасности механизма асинхронного ввода/вывода io_uring. Добавлены основанные на io_uring оптимизации для ФС XFS и Ext4, обеспечивающие возможность параллельной прямой записи в файл в несколько потоков.
• Улучшена поддержка файловой системы Btrfs. Для устройств с поддержкой trim/discard включена по умолчанию опция монтирования "discard=async", позволяющая выполнять данные операции сразу для всех ФС в асинхронном режиме. Добавлена поддержка отправки и получения сжатых данных без преобразований. Добавлена поддержка записи блоками больше 64 КБ. Упрощён учёт квот. Реализована поддержка монтирования клонированных устройств. Улучшены проверки записи в режиме NOCOW (пропускная способность возросла на 9%). Добавлены опции монтирования "ignoremetacsums" и "ignoresuperflags" для игнорирования неверных контрольных сумм метаданных и флагов суперблока. Обеспечено выполнение задач по удалению устройств, балансировке и перераспределению блоков в параллельном режиме.
• В ФС XFS разрешено использование размера блока, превышающего размер страницы памяти. Добавлены большие счётчики экстентов для очень больших виртуальных дисков. Добавлен режим атомарной фиксации (commit) содержимого файлов. Предложена экспериментальная реализация проверки (fsck) и восстановления ФС в online-режиме.
• В mmap реализованы блокировки на уровне отдельных VMA (Virtual Memory Area), позволяющие поднять производительность многопоточных приложений.
• Добавлена структура данных ptdesc, оптимизирующая работу с таблицами страниц памяти за счёт разделения структур с метаданными и данными для страниц памяти.
  
  
  
• Добавлена поддержка предоставляемой в Intel SGX2 (Software Guard Extensions) аппаратной реализации механизма EDMM (Enclave Dynamic Memory Management), позволяющего управлять доступом к отдельным страницам памяти анклава и динамически добавлять/удалять страницы памяти для анклава.
• В драйвер Intel QAT с поддержкой устройств Intel Quick Assist Technology (QAT) добавлена поддержка 4 поколения процессоров Intel Xeon.
• Добавлена система выявления расщеплённых блокировок ("split-lock"), возникающих при доступе к невыровненным данным в памяти из-за того, что при выполнении атомарной инструкции данные пересекают две линии кеша CPU. Подобные блокировки приводят к значительному падению производительности (на 1000 циклов медленнее, чем атомарная операция с данными, попадающими в одну линию кеша).
• Реализован новый метод защиты от уязвимости Retbleed в CPU Intel и AMD, использующий отслеживание глубины вызовов, что не настолько замедляет работу, как ранее присутствующая защита от Retbleed.
• Добавлен параметр командой строки ядра "ia32_emulation", позволяющий на стадии загрузки включать и отключать поддержку эмуляции 32-разрядного режима в ядрах, собранных для архитектуры x86-64.
• По умолчанию вместо CFS (Completely Fair Scheduler) задействован планировщик задач EEVDF (Earliest Eligible Virtual Deadline First). При выборе следующего процесса для передачи выполнения новый планировщик учитывает процессы, которые недополучили процессорных ресурсов или получили незаслуженно много процессорного времени. В первом случае форсируется передача управления процессу, а во втором, наоборот, откладывается. Старый планировщик CFS использовал для определения процессов, требующих отдельного внимания, эвристику и тонкие настройки, в то время как новый планировщик отслеживает их более явно и не требует тонкой настройки. EEVDF позволит снизить задержки при выполнении задач, с которыми у CFS возникали проблемы с планированием.
• Продолжена поставка системы динамической отладки DTrace 2.0, которая переведена на использование подсистемы ядра eBPF. DTrace 2.0 работает поверх eBPF, по аналогии с тем, как поверх eBPF работают существующие в Linux инструменты трассировки.
• В гипервизоре KVM разрешено использовать до 4096 виртуальных CPU (VCPU).
• Продолжено использование KTLS, реализации протокола TLS на уровне ядра.
• Обновлена реализация генератора псевдослучайных чисел RDRAND, отвечающего за работу устройства /dev/random, которая переведена на использование хеш-функции BLAKE2s вместо SHA1 для операций смешивания энтропии. Изменение позволило повысить безопасность генератора псевдослучайных чисел. Для ускорения получения случайных чисел через системный вызов getrandom() задействован механизм vDSO (virtual dynamic shared object), переносящий обработчик системного вызова из ядра в пространство пользователя для того, чтобы избежать переключений контекста.
• Добавлена поддержка расширения BIG TCP, позволяющего увеличить максимальный размер TCP-пакета до 4ГБ для оптимизации работы высокоскоростных внутренних сетей дата-центров. Подобное увеличение размера пакета при 16-битном размере поля в заголовке достигается через реализацию "jumbo"-пакетов, размер в IP-заголовке которых выставляется в 0, а фактический размер передаётся в отдельном 32-разрядном поле в отдельном прикреплённом заголовке.
• Для сетевых сокетов реализована опция SO_RESERVE_MEM, при помощи которой можно зарезервировать для сокета определённый объём памяти, который всегда останется доступным для сокета и не будет изъят. Использование данной опции позволяет добиться увеличения производительности за счёт сокращения в сетевом стеке операций выделения и возвращения памяти, особенно при возникновении условий нехватки памяти в системе.
• Проведена оптимизация производительности планировщика пакетов fq (Fair Queuing), позволившая поднять пропускную способность на 5% при больших нагрузках в тесте tcp_rr (TCP Request/Response) и на 13% при неограниченном потоке UDP-пакетов.
• Проведена реорганизация сетевых структур ядра для повышения эффективности кэширования данных процессором, позволившая поднять производительность TCP-стека на системах, обслуживающих большое число параллельных запросов.
• В NFS включено по умолчанию использование операции READ_PLUS, определённой в спецификации NFS 4.2 и применяемой для более эффективного чтения данных из файлов, содержащих пустоты.
• Система управления памятью переведена на использование структуры данных folios (фолианты страниц памяти). Фолианты напоминают объединённые страницы памяти (compound pages), но отличаются улучшенной семантикой и более понятной организацией работы.
• Для операций маппинга памяти задействована структура данных "maple tree", которая позиционируется как более эффективная замена структуре "red-black tree". Maple tree представляет собой вариант B-tree, поддерживающий индексацию по диапазонам значений и спроектированный для эффективного использования кэша современных процессоров.

1. OpenNews: Началось тестирование Oracle Linux 10
2. OpenNews: Опубликованы дистрибутивы Rocky Linux 9.5 и Oracle Linux 9.5
3. OpenNews: Компания Oracle перевела Linux-ядро UEK-next на ветку 6.10
4. OpenNews: Доступны Oracle Linux 9 и ядро Unbreakable Enterprise Kernel 7
5. OpenNews: Компания Oracle опубликовала DTrace 2.0.0-1.14 для Linux