The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·27.09 Firefox-дополнение Safepal Wallet осуществляло кражу криптовалют (13 +3)
  В каталоге дополнений к Firefox (AMO) выявлено вредоносное дополнение Safepal Wallet, которое выдавало себя за официальное дополнение для криптокошелька Safepal, но на деле осуществляло кражу имеющихся у пользователя средств после введения данных учётной записи. Оформление и описание были стилизованы под мобильное приложение Safepal.

Дополнение было размещено в каталоге 7 месяцев назад, но насчитывало всего 95 пользователей. Используемые в каталоге AMO проверки не выявили вредоносной активности и администраторы каталога узнали о проблеме только после того, как у один из пользователей дополнения заявил о мошенническом переводе с его счёта 4000 долларов. Примечательно, что в комментариях на странице дополнения три месяца и месяц назад другими жертвами были опубликованы сообщения с предупреждениями, что программа ворует средства.

  1. Главная ссылка к новости
  2. OpenNews: В каталоге дополнений к Firefox обнаружен вредоносный код
  3. OpenNews: Волна вредоносных дополнений в каталоге Firefox, прикрывающихся Adobe Flash
  4. OpenNews: Продукты Avast и AVG удалены из каталога дополнений к Firefox из-за отправки персональных данных
  5. OpenNews: За последние две недели компания Mozilla заблокировала 197 дополнений к Firefox
  6. OpenNews: Mozilla приостановила работу сервиса Firefox Send из-за вредоносной активности
Обсуждение (13 +3) | Тип: Проблемы безопасности |


·27.09 Система распараллеливания shell-скриптов PaSh перешла под крыло Linux Foundation (7 +2)
  Проект PaSh, развивающий инструменты для параллельного выполнения shell-скриптов, объявил о переходе под покровительство организации Linux Foundation, которая предоставит инфраструктуру и сервисы, необходимые для продолжения разработки. Код проекта распространяется под лицензией MIT и включает компоненты на языках Python, Shell, C и OCaml.

PaSh включает JIT-компилятор, runtime и библиотеку аннотаций:

  • Runtime предоставляет набор примитивов для поддержки параллельного выполнения скирптов.
  • Библиотека аннотаций определяет набор свойств, описывающих ситуации в которых допускается распараллеливание отдельных команд POSIX и GNU Coreutils.
  • Компилятор на лету разбирает предложенный Shell-скрипт в абстрактное синтаксическое дерево (AST), разбивает на фрагменты, пригодные для параллельного выполнения, и формирует на их основе новый вариант скрипта, части которого могут выполняться одновременно. Информация о командах, которые допускают распараллеливания, берётся компилятором из библиотеки аннотаций. В процессе генерации параллельно выполняемого варианта скрипта в код подставляются дополнительные конструкции из Runtime.

Например, скрипт, обрабатывающий два файла f1.md и f2.md

        
                        cat f1.md f2.md | 
                          tr A-Z a-z |
                          tr -cs A-Za-z '\n' |
                          sort |
                          uniq | 
                          comm -13 dict.txt - > out
                        cat out | wc -l | sed 's/$/ mispelled words!/'
в обычных условиях обработает два файла последовательно:
а при запуске под управлением PaSh будет разбит на два одновременно выполняемых потока, каждый из которых обрабатывает свой файл:

  1. Главная ссылка к новости
  2. OpenNews: Выпуск командной оболочки fish 3.2
  3. OpenNews: Выпуск командной оболочки GNU Rush 2.0
  4. OpenNews: Релиз командной оболочки zsh 5.1
  5. OpenNews: Релиз командного интерпретатора Bash 5.1
  6. OpenNews: Представлен проект Pash, - открытая многоплатформенная реализация MS PowerShell
Обсуждение (7 +2) | Тип: К сведению |


·27.09 Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let's Encrypt на старых устройствах (134 +10)
  30 сентября в 17:01 по московскому времени истекает время жизни корневого сертификата компании IdenTrust (DST Root CA X3), который использовался для кросс-подписи корневого сертификата удостоверяющего центра Let's Encrypt (ISRG Root X1), контролируемого сообществом и предоставляющий сертификаты безвозмездно всем желающим. Перекрёстная подпись обеспечивала доверие к сертификатам Let's Encrypt на широком спектре устройств, операционных систем и браузеров в период интеграции собственного корневого сертификата Let's Encrypt в хранилища корневых сертификатов.

Изначально планировалось, что после устаревания DST Root CA X3 проект Let's Encrypt перейдёт на формирование подписей с использованием только своего корневого сертификата, но такой шаг привёл бы к потере совместимости с большим числом старых систем, не добавивших в своих хранилища корневой сертификат Let's Encrypt. В частности, примерно 30% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt, поддержка которого появилась только начиная с платформы Android 7.1.1, выпущенной в конце 2016 года.

Let's Encrypt не планировал заключать новое соглашение о кросс-подписи, так как это накладывает дополнительную ответственность на участников соглашения, лишает самостоятельности и связывает руки в плане соблюдения всех процедур и правил другого удостоверяющего центра. Но из-за возникновения потенциальных проблем на большом числе Android-устройств план был пересмотрен. С удостоверяющим центром IdenTrust было заключено новое соглашение, в рамках которого создан альтернативный кросс-подписанный промежуточный сертификат Let's Encrypt. Кросс-подпись будет действовать три года и позволит сохранить поддержку устройств Android, начиная с версии 2.3.6.

Тем не менее, новый промежуточный сертификат не охватывает многие другие устаревшие системы. Например, после устаревания сертификата DST Root CA X3 30 сентября сертификаты Let's Encrypt перестанут восприниматься в уже не поддерживаемых прошивках и операционных системах, в которых для обеспечения доверия к сертификатам Let's Encrypt потребуется ручное добавление сертификата ISRG Root X1 в хранилище корневых сертификатов. Проблемы будут проявляться в:

  • OpenSSL до ветки 1.0.2 включительно (сопровождение ветки 1.0.2 было прекращено в декабре 2019 года);
  • NSS < 3.26;
  • Java 8 < 8u141, Java 7 < 7u151;
  • Windows < XP SP3;
  • macOS < 10.12.1;
  • iOS < 10 (iPhone < 5);
  • Android < 2.3.6;
  • Mozilla Firefox < 50;
  • Ubuntu < 16.04;
  • Debian < 8.

В случае OpenSSL 1.0.2, проблема вызвана ошибкой, которая не позволяет корректно обработать перекрёстно-подписанные сертификаты, в случае устаревания одного из корневых сертификатов, задействованных при подписи, даже если сохраняются другие действующие цепочки доверия. Проблема впервые всплыла в прошлом году после устаревания сертификата AddTrust, применяемого для перекрёстной подписи в сертификатах удостоверяющего центра Sectigo (Comodo). Суть проблемы в том, что OpenSSL разбирал сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать.

Пользователям старых дистрибутивов, завязанных на OpenSSL 1.0.2, предлагается три обходных варианта решения проблемы:

  • Вручную удалить корневой сертификат IdenTrust DST Root CA X3 и установить обособленный (не кросс-подписанный) корневой сертификат ISRG Root X1.
  • При запуске команд openssl verify и s_client можно указать опцию "--trusted_first".
  • Использовать на сервере сертификат, заверенный обособленным корневым сертификатом SRG Root X1, не имеющим кросс-подписи. Указанный способ приведёт к потере совместимости со старыми Android-клиентами.

Дополнительно можно отметить преодоление проектом Let's Encrypt рубежа в два миллиарда сгенерированных сертификатов. Рубеж в один миллиард был достигнут в феврале прошлого года. Ежедневно генерируется 2.2-2.4 миллионов новых сертификатов. Число активных сертификатов составляет 192 млн (сертификат действует три месяца) и охватывает около 260 млн доменов (год назад было охвачено 195 млн доменов, два года назад - 150 млн, три года назад - 60 млн). По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 82% (год назад - 81%, два года назад - 77%, три года назад - 69%, четыре года назад - 58%).

  1. Главная ссылка к новости
  2. OpenNews: Let's Encrypt решил проблему с продолжением работы сертификатов на старых Android-устройствах
  3. OpenNews: Сертификаты Let's Encrypt перестанут восприниматься на 33% Android-устройств
  4. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
  5. OpenNews: Let's Encrypt преодолел рубеж в миллиард сертификатов
  6. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Обсуждение (134 +10) | Тип: Тема для размышления |


·27.09 Первый стабильный релиз утилиты для загрузки web-контента GNU Wget2 (150 +32)
  После трёх с половиной лет разработки представлен первый стабильный релиз проекта GNU Wget2, развивающего полностью переработанный вариант программы для автоматизации рекурсивной загрузки контента GNU Wget. GNU Wget2 спроектирован и переписан с нуля и примечателен выносом базовой функциональности web-клиента в библиотеку libwget, которая может обособленно применяться в приложениях. Утилита поставляется под лицензией GPLv3+, а библиотека под LGPLv3+.

Вместо постепенной переработки существующей кодовой базы было решено переделать всё с нуля и основать отдельную ветку Wget2 для воплощений идей по реструктуризации, наращивания функциональности и внесения изменений, нарушающих совместимость. За исключением прекращения поддержки протокола FTP и формата WARC, wget2 в большинстве ситуаций может выступать в роли прозрачной замены классической утилиты wget.

При этом wget2 имеет некоторые документированные различия в поведении, предоставляет около 30 дополнительных опций и прекращает поддержку нескольких десятков опций. В том числе прекращена обработка таких опций, как "--ask-password", "--header", "--exclude-directories", "--ftp*", "--warc*", "--limit-rate", "--relative" и "--unlink".

Из ключевых новшеств можно отметить:

  • Вынос функциональности в библиотеку libwget.
  • Переход на многопоточную архитектуру.
  • Возможность параллельной установки нескольких соединений и загрузки в несколько потоков. В том числе возможно распараллеливание загрузки одного файла с разбивкой на блоки при помощи опции "--chunk-size".
  • Поддержка протокола HTTP/2.
  • Использование HTTP-заголовка If-Modified-Since для загрузки только изменившихся данных.
  • Переход на применение внешних ограничителей пропускной способности, таких как trickle.
  • Поддержка заголовка Accept-Encoding, передачи данных в сжатом виде и алгоритмов сжатия brotli, zstd, lzip, gzip, deflate, lzma и bzip2.
  • Поддержка TLS 1.3, протокола OCSP (Online Certificate Status Protocol) для проверки отозванных сертификатов, механизма HSTS (HTTP Strict Transport Security) для принудительного перенаправления на HTTPS и HPKP (HTTP Public Key Pinning) для привязки сертификатов.
  • Возможность использования GnuTLS, WolfSSL и OpenSSL в качестве бэкендов для TLS.
  • Поддержка режима быстрого открытия TCP-соединений (TCP FastOpen).
  • Встроенная поддержка формата Metalink.
  • Поддержка интернационализированных доменных имён (IDNA2008).
  • Возможность одновременно работы через несколько прокси-серверов (один поток будет загружаться через один прокси, в второй через другой).
  • Встроенная поддержка новостных лент в форматах Atom и RSS (например, для сканирования и загрузки ссылок). Данные RSS/Atom могут быть загружены из локального файла или по сети.
  • Поддержка извлечения URL из файлов Sitemap. Наличие парсеров для извлечения ссылок из файлов CSS и XML.
  • Поддержка директивы 'include' в файлах конфигурации и распределение настроек по нескольким файлам (/etc/wget/conf.d/*.conf).
  • Встроенный механизм кэширования запросов DNS.
  • Возможность перекодирования содержимого со сменой кодировки документа.
  • Учёт файла "robots.txt" при рекурсивных загрузках.
  • Режим надёжной записи с вызовом fsync() после сохранения данных.
  • Возможность возобновления прерванных TLS-сеансов, а также кэширования и сохранения в файл параметров TLS-сеанса.
  • Режим "--input-file - " для загрузки URL, поступающих через стандартных входной поток.
  • Проверка области действия Cookie по каталогу публичных суффиксов доменов (Public Suffix List) для изоляции друг от друга разных сайтов, размещённых в одном домене второго уровня (например, "a.github.io" и "b.github.io").
  • Поддержка загрузки потокового вещания в формате ICEcast / SHOUTcast.

  1. Главная ссылка к новости
  2. OpenNews: Началось тестирование GNU Wget 2
  3. OpenNews: Выпуск GNU Wget 1.21
  4. OpenNews: Выпуск GNU Wget 1.20.3 с устранением уязвимости
  5. OpenNews: Выпуск GNU Wget 1.20
  6. OpenNews: Выпуск утилиты curl 7.75.0 с экспериментальным HTTP-бэкендом на языке Rust
Обсуждение (150 +32) | Тип: Программы |


·26.09 Релиз OpenSSH 8.8 с отключением поддержки цифровых подписей rsa-sha (22 +16)
  Опубликован релиз OpenSSH 8.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Выпуск примечателен отключением по умолчанию возможности использования цифровых подписей на базе RSA-ключей с хэшем SHA-1 ("ssh-rsa").

Прекращение поддержки подписей "ssh-rsa" обусловлено повышением эффективности коллизионных атак с заданным префиксом (стоимость подбора коллизии оценивается примерно в 50 тысяч долларов). Для проверки применения ssh-rsa в своих системах можно попробовать подключиться по ssh с опцией "-oHostKeyAlgorithms=-ssh-rsa". Поддержка подписей RSA с хэшами SHA-256 и SHA-512 (rsa-sha2-256/512), которые поддерживаются с OpenSSH 7.2, оставлена без изменений.

В большинстве случаев прекращение поддержки "ssh-rsa" не потребует от пользователей каких-то ручных действий, так как в OpenSSH ранее по умолчанию была включена настройка UpdateHostKeys, выполняющая автоматический перевод клиентов на более надёжные алгоритмы. Для миграции применяется расширение протокола "hostkeys@openssh.com", позволяющее серверу после прохождения аутентификации информировать клиента о всех доступных ключах хоста. В случае подключения к хостам с очень старыми версиями OpenSSH на стороне клиента можно выборочно вернуть возможность использования подписей "ssh-rsa", добавив в ~/.ssh/config:


    Host имя_старого_хоста
        HostkeyAlgorithms +ssh-rsa
	PubkeyAcceptedAlgorithms +ssh-rsa

В новой версии также устранена проблема с безопасностью, вызванная тем, что в sshd, начиная с выпуска OpenSSH 6.2, некорректно выполнялась инициализация группы пользователя при выполнении команд, заданных в директивах AuthorizedKeysCommand и AuthorizedPrincipalsCommand. Указанные директивы должны обеспечить запуск команд под другим пользователем, но на деле они наследовали список групп, используемых при запуске sshd. Потенциально такое поведение при наличии определённых системных настроек позволяло запущенному обработчику получить дополнительные привилегии в системе.


В примечании к новому выпуску также опубликовано предупреждение о намерении перевести по умолчанию утилиту scp на использование SFTP вместо устаревшего протокола SCP/RCP. В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста, создающая проблемы с безопасностью. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствие должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных. Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как "~/". Для устранения данного различия в прошлом выпуске OpenSSH в реализации SFTP-сервера было предложено новое расширение протокола SFTP для раскрытия путей ~/ и ~user/.

  1. Главная ссылка к новости
  2. OpenNews: Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов
  3. OpenNews: Уязвимость в libssh, приводящая к переполнению буфера
  4. OpenNews: Релиз OpenSSH 8.7
  5. OpenNews: Релиз OpenSSH 8.6 с устранением уязвимости
  6. OpenNews: Анализ активности атакующих, связанной с подбором паролей по SSH
Обсуждение (22 +16) | Тип: Программы |


·26.09 Google перейдёт к развитию новшеств для Android в основном ядре Linux (128 +38)
  На прошедшей конференции Linux Plumbers 2021 компания Google рассказала об успехах инициативы по переводу платформы Android на использование обычного ядра Linux вместо применения собственного варианта ядра, включающего изменения, специфичные для платформы Android.

Наиболее важным изменением в разработке стало решение по переходу после 2023 года на модель "Upstream First", подразумевающую развитие всех новых возможностей ядра, необходимых в платформе Android, непосредственно в основном ядре Linux, а не в своих отдельных ветках (функциональность вначале будет продвигаться в основное ядро, а потом использоваться в Android, а не наоборот). На 2023 и 2024 годы также намечена передача в основной состав ядра всех дополнительных патчей, остающихся в ветке Android Common Kernel.

Что касается ближайшего будущего, то для ожидаемой в начале октября платформы Android 12 будут предложены сборки ядра "Generic Kernel Image" (GKI), по возможности приближенные к обычному ядру 5.10. Для указанных сборок будет предоставлен регулярный выпуск обновлений, которые будут размещаться в репозитории ci.android.com. В ядре GKI специфичные для платформы Android дополнения, а также связанные с поддержкой оборудования обработчики от OEM-производителей вынесены в отдельные модули ядра. Указанные модули не привязаны к версии основного ядра и могут развиваться отдельно, что значительно упрощает сопровождение и перевод устройств на новые ветки ядра.

Необходимые для производителей устройств интерфейсы реализованы в форме хуков, которые позволяют менять поведение ядра без внесения изменений в код. Всего в ядре android12-5.10 предложено 194 обычных хука, аналогичных точкам трассировки (tracepoint), и 107 специализированных хуков, позволяющих запускать обработчики в неатомарном контексте. В ядре GKI производителям оборудования запрещено наложение специфичных патчей на основное ядро, а компоненты для поддержки аппаратного обеспечения должны поставляться поставщиками только в виде дополнительных модулей ядра, в которых обязательно должна обеспечиваться совместимость с основным ядром.

Напомним, что в платформе Android развивается собственная ветка ядра - Android Common Kernel, на основе которой для каждого устройства формируются отдельные специфичные сборки. В каждой ветке Android производителям предоставляется несколько вариантов компоновки ядер для своих устройств. Например, в Android 11 предлагалось на выбор сразу три базовых ядра - 4.14, 4.19 и 5.4, а для Android 12 будет предложены базовые ядра 4.19, 5.4 и 5.10. Вариант 5.10 оформлен как Generic Kernel Image, в котором необходимые для OEM-производителей возможности переданы в upstream, вынесены в модули или перенесены в состав Android Common Kernel.

До появления GKI ядро для Android проходило несколько стадий подготовки:

  • На базе основных LTS-ядер (3.18, 4.4, 4.9, 4.14, 4.19, 5.4) создавалось ответвление "Android Common Kernel", в которое переносились специфичные для Android патчи (ранее размер изменений достигал нескольких миллионов строк).
  • На основе "Android Common Kernel" производители чипов, такие как Qualcomm, Samsung и MediaTek, формировали "SoC Kernel", включающие дополнения для поддержки оборудования.
  • На основе "SoC Kernel" производители устройств создавали "Device Kernel", включающие изменения, связанные с поддержкой дополнительного оборудования, экранов, камер, звуковых систем и т.п.

Подобный подход существенно усложнял доведение обновлений с устранением уязвимостей и переход на новые ветки ядра. Несмотря на то, что Google регулярно выпускает обновления своих Android-ядер (Android Common Kernel), поставщики часто не спешат поставлять эти обновления или вообще используют одно ядро на протяжении всего жизненного цикла устройства.


  1. Главная ссылка к новости
  2. OpenNews: Google работает над использованием обычного ядра Linux в Android
  3. OpenNews: Google намерен вернуть в Linux-ядро код, разработанный для платформы Android
  4. OpenNews: Кейс Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux
  5. OpenNews: Из Linux ядра удален код, разработанный в рамках проекта Android
  6. OpenNews: Инициатива по передаче в основное ядро Linux специфичных для Android изменений
Обсуждение (128 +38) | Тип: К сведению |


·25.09 Проект elk развивает компактный JavaScript-движок для микроконтроллеров (289 –25)
  Доступен новый выпуск JavaScript-движка elk 2.0.9, нацеленного на использование в системах с ограниченными ресурсами, такими как микроконтроллеры, включая платы ESP32 и Arduino Nano с 2 КБ ОЗУ и 30КБ Flash. Для работы предоставляемой виртуальной машины достаточно 100 байтов памяти и 20 КБ места на накопителе. Код проекта написан на языке Си и распространяется под лицензией GPLv2. Для сборки проекта достаточно Си-компилятора - дополнительные зависимости не используются. Проект развивается разработчиками операционной системы для IoT-устройств Mongoose OS, JavaScript-движка mJS и встраиваемого web-сервера Mongoose (применяется в продуктах таких компаний, как Siemens, Schneider Electric, Broadcom, Bosch, Google, Samsung и Qualcomm).

Основным назначением Elk является создание прошивок для микроконтроллеров на языке JavaScript, выполняющих различные задачи автоматизации. Движок также подходит для встраивания обработчиков на языке JavaScript в приложения на C/C++. Для использования движка в своём коде достаточно поместить в дерево исходных текстов файл elk.c, подключить заголовочный файл elk.h и использовать вызов js_eval. Допускается вызов из JavaScript-сценариев функций, определённых в коде на C/C++, и наоборот. JavaScript-код выполняется в защищённом и изолированном от основного кода окружении с использованием интерпретатора, не генерирующего байткод и не использующего динамическое выделение памяти.

В Elk реализовано небольшое, но достаточное для создания рабочих сценариев, подмножество спецификации Ecmascript 6. В частности, поддерживается базовый набор операторов и типов, но нет поддержки массивов, прототипов, выражений this, new и delete. Вместо var и const предлагается использовать let, а вместо do, switch и for - while. Не предоставляется стандартная библиотека, т.е. нет таких объектов Date, Regexp, Function, String и Number.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск серверной JavaScript-платформы Node.js 16.0
  3. OpenNews: Автор Node.js представил защищённую JavaScript-платформу Deno 1.0
  4. OpenNews: Новая версия встраиваемого JavaScript-движка от основателя QEMU и FFmpeg
  5. OpenNews: Facebook открыл код JavaScript-движка Hermes
  6. OpenNews: Выпуск встраиваемого JavaScript-движка Duktape 2.4.0
Обсуждение (289 –25) | Тип: Программы |


·25.09 Выпуск Wine 6.18 и Wine staging 6.18. Доступен Easy Anti-Cheat для Linux (142 +33)
  Состоялся выпуск экспериментальной ветки открытой реализации WinAPI - Wine 6.18. С момента выпуска версии 6.17 было закрыто 19 отчётов об ошибках и внесено 485 изменений.

Наиболее важные изменения:

  • Библиотеки Shell32 и WineBus преобразованы в формат PE (Portable Executable).
  • Данные Unicode обновлены до версии 14.
  • Движок Mono обновлён до версии 6.4.0.
  • Проведена дополнительная работа по поддержке отладочного формата DWARF 3/4.
  • Включён по умолчанию новый бэкенд для джойстиков, поддерживающих протокол HID (Human Interface Devices).
  • Закрыты отчёты об ошибках, связанные с работой игры Resident Evil 7.
  • Закрыты отчёты об ошибках, связанные с работой приложений: Far Manager 2.0, Melodyne 5, ID Photo Maker 3.2, Thai2English, Windows ISO Downloader 8.45, Click-N-Type 3.03.

Одновременно сформирован выпуск проекта Wine Staging 6.18, в рамках которого формируются расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 616 дополнительных патча.

В новом выпуске осуществлена синхронизация с кодовой базой Wine 6.18. В основной состав Wine переведено 7 патчей, связанных с ntoskrnl.exe, IRP, поддержкой unixfs в shell32 и реализацией функций K32GetModuleBaseNameW, K32GetModuleInformation и K32GetModuleBaseNameA. Добавлено 4 патча с возможностью интеграции объектов Token в sapi и поддержкой функций FltBuildDefaultSecurityDescriptor и ISpObjectToken-CreateInstance. Обновлён патч plat-streaming-support.

Дополнительно можно отметить объявление компанией Epic Games о реализации поддержки платформы Linux в античит-системе Easy Anti-Cheat. Поддержка реализована как для родных Linux-сборок, так и для игр, запускаемых с использованием прослоек Wine и Proton, что позволит решить проблемы с запуском в Wine/Proton Windows-сброк игр с включённым античитом. Easy Anti-Cheat позволяет запустить сетевую игру в специальном режиме изоляции, верифицирующим целостность игрового клиента и выявляющим вклинивание в работу процесса и манипуляции с его памятью.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 6.17 и Wine staging 6.17
  3. OpenNews: В Wayland-драйвере для Wine появилась поддержка Vulkan и многомониторных конфигураций
  4. OpenNews: Компания Valve анонсировала игровую консоль Steam Deck на базе Arch Linux
  5. OpenNews: Выпуск VKD3D-Proton 2.4, форка Vkd3d с реализацией Direct3D 12
  6. OpenNews: Компания Valve выпустила Proton 6.3-6, пакет для запуска Windows-игр в Linux
Обсуждение (142 +33) | Тип: Программы |


·24.09 Выпуск набора базовых системных утилит GNU Coreutils 9.0 (110 +49)
  Доступна стабильная версия набора базовых системных утилит GNU Coreutils 9.0, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln, ls и т.д. Значительная смена номера версии объясняется наличием изменений в поведении некоторых утилит.

Ключевые изменения:

  • В утилитах cp и install по умолчанию при копировании задействован режим copy-on-write (использование ioctl ficlone для совместного использования данных в нескольких файлах вместо создания полного клона).
  • В утилитах cp, install и mv задействованы предоставляемые системой механизмы ускорения операций копирования (использование системного вызова copy_file_range для выполнения копирования только на стороне ядра без передачи данных в память процесса в пространстве пользователя).
  • В утилитах cp, install и mv для определения пустот в файлах задействован более простой и переносимый вызов lseek+SEEK_HOLE вместо ioctl+FS_IOC_FIEMAP.
  • В утилите wc для ускорения подсчёта числа строк задействованы инструкции AVX2. При использовании данной оптимизации скорость wc возросла в 5 раз.
  • В утилиту cksum добавлена опция "-a" (--algorithm) для выбора алгоритма хэширования. Для ускорения вычисления контрольных сумм в утилите cksum задействованы инструкции pclmul при использовании режима "--algorithm=crc", позволившие ускорить вычисления до 8 раз. На системах без поддержки pclmul режим crc ускорен в 4 раза. Остальные алгоритмы хэширования (sum, md5sum, b2sum, sha*sum, sm3 и т.п.) реализованы путём вызова функций libcrypto.
  • В утилитах md5sum, cksum, sha*sum и b2sum при использовании флага "--check" разрешено наличие последовательности CRLF в конце строки с контрольной суммой. В "cksum --check" обеспечено автоматическое определение использованного алгоритма хэширования.
  • В утилите ls добавлена опция "--sort=width" для сортировки по длине имени файла, а также опция "--zero" для завершения каждой строки нулевым символом. Возвращено старое поведение, приводящие к показу пустой директории вместо ошибки в случае обработки удалённого каталога.
  • В утилите df реализовано определение сетевых файловых систем acfs, coda, fhgfs, gpfs, ibrix, ocfs2 и vxfs.
  • В утилиты stat и tail добавлена поддержка типов ФС "devmem", "exfat", "secretmem", "vboxsf" и "zonefs". Для "vboxsf" для слежения за изменениями в "tail -f" задействован полинг, а для остальных - inotify.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск GNU Binutils 2.37
  3. OpenNews: Выпуск Util-linux 2.37
  4. OpenNews: Адаптация Debian для использования реализации coreutils на языке Rust
  5. OpenNews: Выпуск GNU inetutils 2.0
  6. OpenNews: Выпуск набора базовых системных утилит GNU Coreutils 8.32
Обсуждение (110 +49) | Тип: Программы |


·24.09 HackerOne реализовал выплату вознаграждений за выявление уязвимостей в открытом ПО (61 +18)
  Платформа HackerOne, дающая возможность исследователям безопасности информировать компании и разработчиков программных продуктов о выявлении уязвимостей и получать за это вознаграждения, сообщила о включении открытого программного обеспечения в область действия проекта Internet Bug Bounty. Выплаты вознаграждений теперь могут быть совершены не только за выявление уязвимостей в корпоративных системах и сервисах, но за информирование о проблемах в широком спектре открытых проектов, развиваемых как командами, так и отдельными разработчиками.

В число первых открытых проектов, для которых началось предоставление выплат за найденные уязвимости, включены Nginx, Ruby, RubyGems, Electron, OpenSSL, Node.js, Django и Curl. В дальнейшем список будет расширен. За критическую уязвимость предусмотрена выплата $5000, опасную - $2500, среднюю - $1500, неопасную - $300. Премия за найденную уязвимость распределяется в пропорции: 80% - исследователю, сообщившему об уязвимости, 20% - сопровождающему открытый проект, добавившему исправление уязвимости.

Средства для финансирования новой программы аккумулируются в отдельном пуле. Основными спонсорами инициативы выступили компании Facebook, GitHub, Elastic, Figma, TikTok и Shopify, а пользователям HackerOne предоставлена возможность передать в пул от 1% до 10% от выделяемых средств.

  1. Главная ссылка к новости
  2. OpenNews: Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях
  3. OpenNews: Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare
  4. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  5. OpenNews: Учреждён проект OpenSSF, сфокусированный на повышении безопасности открытого ПО
  6. OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft (дополняется)
Обсуждение (61 +18) | Тип: К сведению |


·24.09 GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust (151 +9)
  Компания GitHub объявила о добавлении поддержки языка Rust в каталог GitHub Advisory Database, в котором публикуются сведения об уязвимостях, затрагивающих проекты, размещённые на GitHub, а также выполняется отслеживание проблем в пакетах, связанных зависимостями с уязвимым кодом.

В каталог добавлена новая секция, позволяющая отслеживать появление уязвимостей в пакетах, содержащих код на языке Rust. В настоящее время предоставлены сведения о 318 уязвимостях в проектах на языке Rust. Ранее в каталоге была предоставлена поддержка репозиториев, в которых развиваются пакеты на базе Composer (PHP), Go, Maven (Java), npm (JavaScript), NuGet (С#), pip (Python) и RubyGems (Ruby).

  1. Главная ссылка к новости
  2. OpenNews: GitHub запустил совместный проект для выявления уязвимостей в открытом ПО
  3. OpenNews: GitHub добавил средства информирования об уязвимостях в репозиториях
  4. OpenNews: GitHub ввёл в строй сервис для выявления уязвимостей в коде
  5. OpenNews: Уязвимость в GitHub Actions, допускающая подстановку команд
  6. OpenNews: GitHub устранил уязвимость, приводившую к подмене сеанса пользователя
Обсуждение (151 +9) | Тип: Проблемы безопасности |


·24.09 Google опубликовал план прекращения поддержки второй версии манифеста Chrome (119 –36)
  Компания Google представила график прекращения поддержки второй версии манифеста Chrome в пользу третьей версии, которая является объектом критики из-за нарушения работы многих дополнений для блокирования нежелательного контента и обеспечения безопасности. В том числе ко второй версии манифеста привязан популярный блокировщик рекламы uBlock Origin, который не может быть переведён на третью версию манифеста из-за прекращения поддержки блокирующего режима работы API webRequest.

Начиная с 17 января 2022 года в каталог Chrome Web Store перестанут приниматься дополнения, использующие вторую версию манифеста, но разработчики ранее добавленных дополнений, как и раньше, смогут публиковать обновления. В январе 2023 года в Chrome будет прекращена поддержка второй версии манифеста и все привязанные к нему дополнения перестанут работать. Одновременно будет запрещена публикация обновлений для подобных дополнений в Chrome Web Store.

Напомним, что в третьей версии манифеста, определяющем предоставляемые дополнениям возможности и ресурсы, в рамках инициативы по усилению безопасности и конфиденциальности вместо API webRequest предложен ограниченный по своим возможностям API declarativeNetRequest. В то время как API webRequest позволяет подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик, API declarativeNetRequest лишь предоставляет доступ к встроенному в браузер готовому движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации и не позволяющему задавать сложные правила, перекрывающие друг друга в зависимости от условий.

По заявлению компании Google она продолжает работу над реализацией в declarativeNetRequest возможностей, востребованных в дополнениях, использующих webRequest, и намерена привести новый API к виду, полностью отвечающему потребностям разработчиков существующих дополнений. Например, Google уже учёл пожелания сообщества и добавил в API declarativeNetRequest поддержку использования нескольких статических наборов правил, фильтрации по регулярным выражениям, модификации HTTP-заголовков, динамического изменения и добавления правил, удаления и замены параметров запросов, фильтрации с привязкой ко вкладкам и создания специфичных для определённых сеансов наборов правил. В ближайшие месяцы дополнительно планируется реализовать поддержку динамически настраиваемых скриптов обработки контента и возможность хранения данных в оперативной памяти.

  1. Главная ссылка к новости
  2. OpenNews: Mozilla обобщила планы по поддержке в Firefox третьей версии манифеста Chrome
  3. OpenNews: Chrome 88 переведён на новый манифест, несовместимый с uBlock Origin
  4. OpenNews: В Chrome началось тестирование третьей редакции манифеста, несовместимой с uBlock Origin
  5. OpenNews: Google продолжает настаивать на ограничении API, востребованного в блокировщиках рекламы
  6. OpenNews: Новая редакция манифеста Chrome сделает невозможным использование uBlock Origin
Обсуждение (119 –36) | Тип: К сведению |


·24.09 Бета-выпуск Ubuntu 21.10 (225 +32)
  Представлен бета-выпуск дистрибутива Ubuntu 21.10 "Impish Indri", после формирования которого произведена полная заморозка пакетной базы, и разработчики перешли к итоговому тестированию и исправлению ошибок. Релиз запланирован на 14 октября. Готовые тестовые образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu и UbuntuKylin (редакция для Китая).

Основные изменения:

  • Осуществлён переход на использование GTK4 и рабочего стола GNOME 40, в котором существенно модернизирован интерфейс. Виртуальные рабочие столы в обзорном режиме (Activities Overview) переведены на горизонтальную ориентацию и отображаются в виде непрерывно прокручиваемой слева направо цепочки. На каждом рабочем столе, показываемом в обзорном режиме, наглядно представлены имеющиеся окна, для которых применяется динамическое панорамирование и масштабирование при взаимодействии пользователя. Обеспечен бесшовный переход между списком программ и виртуальными рабочими столами. Улучшена организация работы при наличии нескольких мониторов. В GNOME Shell обеспечено использование GPU для рендеринга шейдеров.
  • По умолчанию предложен полностью светлый вариант темы оформления Yaru, применяемой в Ubuntu. В качестве опции также доступен полностью тёмный вариант (тёмные заголовки, тёмный фон и тёмные элементы управления). Поддержка старого комбинированного варианта темы (тёмные заголовки, светлый фон и светлые элементы управления) прекращена из-за отсутствия в GTK4 возможности определения разных цветов фона и текста для заголовка и основного окна, что не позволяет гарантировать корректную работу всех GTK-приложений при использовании комбинированной темы.
  • Предоставлена возможность использования сеанса рабочего стола на базе протокола Wayland в окружениях с проприетарными драйверами NVIDIA.
  • В PulseAudio существенно расширена поддержка Bluetooth: добавлены A2DP-кодеки LDAC и AptX, встроена поддержка профиля HFP (Hands-Free Profile), позволившего повысить качество звука.
  • Выполнен переход на использование алгоритма zstd для сжатия deb-пакетов, который позволит почти в два раза увеличить скорость установки пакетов, ценой небольшого увеличения их размера (~6%). Поддержка использования zstd присутствует в apt и dpkg начиная с Ubuntu 18.04, но для сжатия пакетов не использовалась.
  • Предложен новый инсталлятор Ubuntu Desktop, реализованный в форме надстройки над низкоуровневым инсталлятором curtin, который уже применяется в инсталляторе Subiquity, используемом по умолчанию в Ubuntu Server. Новый инсталлятор для Ubuntu Desktop написан на языке Dart и использует фреймворк Flutter для построения пользовательского интерфейса. Оформление нового инсталлятора спроектировано с учётом современного стиля рабочего стола Ubuntu и рассчитано на предоставление единого процесса установки для всей линейки продуктов Ubuntu. Предложено три режима: "Repair Installation" для переустановки всех имеющихся в системе пакетов без изменения настроек, "Try Ubuntu" для ознакомления с дистрибутивом в Live-режиме и "Install Ubuntu" для установки дистрибутива на диск.

  • По умолчанию задействован пакетный фильтр nftables. Для сохранения обратной совместимости доступен пакет iptables-nft, предоставляющий утилиты с тем же синтаксисом командной строки, как и в iptables, но транслирующий полученные правила в байткод nf_tables.
  • Задействован выпуск ядра Linux 5.13. Обновлены версии программ, включая PulseAudio 15.0, BlueZ 5.60, NetworkManager 1.32.10, LibreOffice 7.2.1, Firefox 92 и Thunderbird 91.1.1.
  • Браузер Firefox переведен по умолчанию на поставку в виде snap-пакета, в сопровождении которого принимают участие сотрудники Mozilla (возможность установки deb-пакета сохранена, но теперь является опцией).
  • В Xubuntu продолжена поставка рабочего стола Xfce 4.16. Интегрирован мультимедийный сервер Pipewire, который используется в сочетании PulseAudio. В состав включены приложения GNOME Disk Analyzer и Disk Utility для отслеживания состояния диска и упрощения управления дисковыми разделами. Для воспроизведения музыки задействован Rhythmbox с альтернативной панелью инструментов. Из базовой поставки удалено приложение для обмена сообщениями Pidgin.
  • В Ubuntu Budgie задействован новый выпуск рабочего стола Budgie 10.5.3 и переработана тёмная тема оформления. Предложена новая редакция сборки для Raspberry Pi 4. Расширены возможности Shuffler, интерфейса для быстрой навигации по открытым окнам и группировки окон по сетке, в котором появился апплет для автоматического перемещения и перегруппировки окон в соответствии с выбранной раскладкой элементов на экране, реализована возможность привязки запуска приложения к определённому виртуальному рабочему столу или месту на экране. Добавлен новый апплет для показа температуры CPU.
  • В Ubuntu MATE рабочий стол MATE обновлён до версии 1.26.
  • Kubuntu: предложен рабочий стол KDE Plasma 5.22 и набор приложений KDE Gear 21.08. Обновлены версии панели Latte-dock 0.10 и графического редактора Krita 4.4.8. Доступен, но не включён по умолчанию, сеанс на базе Wayland (для активации на экране входа в систему следует выбрать пункт "Plasma (Wayland)").
  • Для тестирования доступны бета-выпуски двух неофициальных редакций Ubuntu 21.10 - Ubuntu Cinnamon Remix 21.10 с рабочим столом Cinnamon и Ubuntu Unity 21.10 с рабочим столом Unity7.

  1. Главная ссылка к новости
  2. OpenNews: Время поддержки Ubuntu 14.04 и 16.04 увеличено до 10 лет
  3. OpenNews: Ubuntu 21.10 переходит на использование алгоритма zstd для сжатия deb-пакетов
  4. OpenNews: Выпуск дистрибутива Ubuntu 21.04
  5. OpenNews: В ночных сборках Ubuntu Desktop появился новый инсталлятор
  6. OpenNews: Ubuntu уходит от оформления с тёмными заголовками и светлым фоном
Обсуждение (225 +32) | Тип: Программы |


·23.09 Выпуск операционной системы MidnightBSD 2.1 (133 +12)
  Состоялся релиз десктоп-ориентированной операционной системы MidnightBSD 2.1, основанной на FreeBSD с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD. Базовое десктоп-окружение построено на основе GNUstep, но пользователи имеют возможность установить WindowMaker, GNOME, Xfce или Lumina. Для загрузки подготовлен установочный образ размером 743 Мб (x86, amd64).

В отличие от других десктоп-сборок FreeBSD, ОС MidnightBSD изначально развивалась как форк FreeBSD 6.1-beta, который в 2011 году был синхронизирован с кодовой базой FreeBSD 7 и впоследствии вобрал в себя многие возможности из веток FreeBSD 9, 10 и 11. Для управления пакетами в MidnightBSD задействована система mport, которая использует БД SQLite для хранения индексов и метаданных. Установка, удаление и поиск пакетов осуществляется при помощи единой команды mport.

Основные изменения:

  • Для сборки задействован LLVM 10.0.1.
  • Обновлены версии: mport 2.1.4, APR-util 1.6.1, APR 1.7.0, Subversion 1.14.0, file 5.39, sendmail 8.16.1, sqlite3 3.35.5, tzdata 2021a, libarchive 3.5.0, unbound 1.13.0, xz 5.2.5, openmp.
  • Добавлены драйверы для NetFPGA SUME 4x10Gb Ethernet, JMicron JMB582/JMB585 AHCI, BCM54618SE PHY и Bitron Video AV2010/10 ZigBee USB Stick.
  • Обновлены драйверы: e1000 (Intel gigabit Ethernet), mlx5, nxge, usb, vxge.
  • Объявлены устаревшими драйверы ctau (Cronyx Tau) и cx (Cronyx Sigma).
  • Внесены улучшения в пакетный менеджер mport. Налажен процесс обновления зависимостей во время установки или обновления пакетов. Обеспечено корректное выставление кодировки при извлечении файлов из архивов, содержащих не-ASCII символы в именах файлов. Для проверки целостности элементов plist задействованы хэши sha256.
  • Обеспечена генерация файла os-release в /var/run.
  • Из поставки удалён пакет burncd.

  1. Главная ссылка к новости
  2. OpenNews: Сервер проекта MidnightBSD подвергся взлому
  3. OpenNews: Выпуск GhostBSD 21.09.06
  4. OpenNews: Системный менеджер InitWare, форк systemd, портирован для OpenBSD
  5. OpenNews: Выпуск дистрибутива helloSystem 0.5, использующего FreeBSD и напоминающего macOS
  6. OpenNews: Выпуск операционной системы MidnightBSD 2.0
Обсуждение (133 +12) | Тип: Программы |


·23.09 Обновление Firefox 92.0.1 с устранением проблемы со звуком (85 +21)
  Доступен корректирующий выпуск Firefox 92.0.1, в котором устранена проблема, приводившая к прекращению воспроизведения звука на платформе Linux. Проблема была вызвана недоработкой в бэкенде для PulseAudio, написанном на языке Rust. Также в новом выпуске исправлена ошибка, из-за которой пропадала кнопка закрытия панели поиска (CTRL+F).

  1. Главная ссылка к новости
  2. OpenNews: В Firefox проводится эксперимент по использованию поисковой системы Bing по умолчанию
  3. OpenNews: Mozilla представила Firefox Suggest и новый интерфейс браузера Firefox Focus
  4. OpenNews: В Firefox 94 вывод для X11 будет переведён на использование EGL по умолчанию
  5. OpenNews: Релиз Firefox 92
  6. OpenNews: DNS-over-HTTPS будет включён по умолчанию в Firefox для пользователей из Канады
Обсуждение (85 +21) | Тип: Программы |


Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру