Компания Google развивает окружение MicroFuchsia, включающее урезанную версию операционной системы Fuchsia, оптимизированную для выполнение в виртуальных машинах в платформе Android. В состав кодовой базы Android уже начался приём изменений для обеспечения работы MicroFuchsia. Для запуска виртуальных машин с MicroFuchsia будет использован добавленный в Android 13 фреймворк AVF (Android Virtualization Framework), реализованный на базе гипервизора KVM и инструментария crosvm. До этого Google использовал AVF для выполнения окружения «Microdroid«, применяемого для изоляции сторонних системных компонентов в Android, а также экспериментировал с запуском гостевых систем с Chromium OS. Причины подготовки MicroFuchsia для Android пока не сообщаются, но предполагается, что компания Google развивает более … Читать далее Google развивает MicroFuchsia, урезанный вариант ОС Fuchsia для виртуальных машин в Android

Представлен первый альфа-выпуск новой ветки языка программирования PHP 8.4. Релиз намечен на 21 ноября. Основные новшества, уже доступные для тестирования или планируемые к реализации в PHP 8.4: Добавлена поддержка прикрепления обработчиков свойств (property hook), позволяющих добавить дополнительную логику, выполняемую при изменении или доступе к свойствам объекта, реализуемую без перехвата операций чтения и записи при помощи общих функций __get и __set, и без создания дополнительных методов-обвязок. Применение обработчиков свойств даёт возможность существенно сократить объём кода и упростить переопределение поведения работы со свойствами, благодаря привязке собственного обработчика к каждому свойству. class User { public string $name { set { if (strlen($value) === … Читать далее Началось альфа-тестирование PHP 8.4

Спустя полтора года с момента формирования прошлой значительной ветки представлен выпуск инструментария GnuPG 2.5.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Код проекта написан на языке Си и распространяется под лицензией GPLv3. GnuPG 2.5.0 позиционируется как первый выпуск новой кодовой базы, включающей самые свежие разработки. В дальнейшем на базе ветки GnuPG 2.5 будет сформирован стабильный релиз 2.6.0. GnuPG 2.4 преподносится как стабильная ветка, оптимальная для повсеместного использования. GnuPG 1.4 продолжает сопровождаться в качестве классической серии, потребляющей минимальные ресурсы, подходящей … Читать далее Выпуск GnuPG 2.5.0 с поддержкой ключей, устойчивых к подбору на квантовых компьютерах

Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой атак MDS, NetSpectre, Throwhammer и ZombieLoad, разработала новый метод атаки по сторонним каналам, получивший кодовое имя SnailLoad и позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube. Код серверной части, используемой для проведения атаки опубликован на GitHub под лицензией MIT. В отличие от ранее известных атак по косвенной идентификации на основе анализа трафика, метод SnailLoad не требует совершения MITM-атаки, т.е. атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку … Читать далее SnailLoad — атака по определению открываемых сайтов через анализ задержек доставки пакетов

Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, представил патчи, значительно ускоряющие получение случайных чисел от системы через функцию getrandom(), реализованную через соответствующий системный вызов Linux. Преимуществом такого решения по сравнению с использованием /dev/random или /dev/urandom является неподверженность атакам на исчерпание файловых дескрипторов, которые могут привести к неинициализированным и неслучайным криптографическим ключам. Предложенная оптимизация основана на использовании механизма vDSO (virtual dynamic shared object), дающего возможность перенести обработчик системного вызова из ядра в пространство пользователя и избежать переключений контекста. В случае с getrandom(), в виде vDSO оформлена реализация связанного с данной функцией системного вызова, код которой заранее загружается в адресное пространство … Читать далее Разработчик Wireguard серьезно ускорил вызов getrandom() в Linux

Опубликован выпуск проекта FreeRDP 3.6, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft. Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0. В новой версии: Значительно повышена скорость декодировщика при использовании различных gfx-кодеков. Добавлена экспериментальная поддержка расширения RDP-протокола «MS-RDPECAM» (Remote Desktop Protocol: Video Capture Virtual Channel Extension), предназначенного для передачи данных видео от клиента RDP на сервер RDP. Предложена экспериментальная реализация клиента, переведённого на библиотеку SDL3. Улучшено копирование изображений. Добавлена … Читать далее Выпуск FreeRDP 3.6, свободной реализации протокола RDP

После более года разработки представлен выпуск Live-дистрибутива Finnix 126. Дистрибутив основан на пакетной базе Debian и поддерживает только работу в консоли, но содержит хорошую подборку утилит для нужд администратора. В состав входит более 600 пакетов со всевозможными утилитами. Размер iso-образа — 498 МБ. В новой версии: Пакетная база синхронизирована с репозиториями Debian. Ядро Linux обновлено до ветки 6.8. В состав включён пакет libc6-i386 для запуска некоторых 32-разрядных исполняемый файлов в 64-разрядном окружении Finnix. Добавлена опция командной строки ядра ‘0’, действие которой аналогично скрипту locale-config, но на начальной стадии загрузки. Для сборки релиза задействована CI-платформа GitHub Actions. Источник: http://www.opennet.ru/opennews/art.shtml?num=61492 Читать далее Выпуск Finnix 126, Live-дистрибутива для системных администраторов

Опубликован выпуск свободной PaaS-платформы Cozystack 0.8.0, построенной на базе Kubernetes. Проект нацелен на предоставление готовой платформы для хостинг-провайдеров и фреймворка для построения частных и публичных облаков. Платформа устанавливается напрямую на серверы и охватывает все аспекты подготовки инфраструктуры для предоставления управляемых сервисов. Cozystack позволяет запускать и предоставлять кластеры Kubernetes, базы данных и виртуальные машины. Код платформы доступен на GitHub и распространяется под лицензией Apache-2.0. В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную … Читать далее Релиз Cozystack 0.8.0, открытой PaaS-платформы на базе Kubernetes

Доступен стабильный релиз SKUF 25 (Suckless Kexec Using Fileshare), инструментария для бездисковой сетевой загрузки Arch Linux с сетевого хранилища SAMBA без использования PXE. Проект построен на базе проекта mkinitcpio и позволяет настроить среду для загрузки дистрибутива Arch Linux, используя в качестве корня sparse-образы с файловой системой (например, ext4), которые располагаются на SAMBA-сервере. Загрузка происходит в два этапа, на первом пользователю даётся возможность поменять параметры монтирования SAMBA/корневой ФС, а на втором происходит загрузка нового ядра с использованием kexec. Для получения IP-адреса в обоих этапах используется dhcpcd. Параллельно, в репозитории проекта развивается скрипт update_remote_systems, позволяющий последовательно обновить несколько систем Arch Linux. Инструментарий … Читать далее Выпуск системы сетевой загрузки SKUF 25.0

Компания Oracle объявила о формировании пакетов с ядром UEK-next (Next Unbreakable Enterprise Kernel), построенных на базе выпуска ядра Linux 6.9. По умолчанию вместо ядра из Red Hat Enterprise Linux в дистрибутиве Oracle Linux продолжает использоваться ядро UEK 7, основанное на ядре Linux 5.15, в то время как ядро UEK-next позиционируется как непрерывно обновляемая опция для разработчиков, позволяющая получить доступ к наиболее свежим улучшениям из основной ветки ядра, сохранив при этом доступ к специфичным для ядра UEK расширенным возможностям, таким как как интеграция DTrace и улучшенная поддержка Btrfs, а также оптимизациям для работы с промышленным программным обеспечением и оборудованием Oracle. Ядро … Читать далее Компания Oracle опубликовала первый выпуск ядра UEK-next, основанный на ядре Linux 6.9

Исследователи из Калифорнийского университета в Сан-Диего представили новый метод атаки на микроархитектурные структуры процессоров Intel, применимый среди прочего к CPU на базе микроархитектур Raptor Lake и Alder Lake. Атака, которая получила кодовое имя Indirector, позволяет добиться изменения хода спекулятивного выполнения инструкций в других процессах и на других уровнях привилегий (например в ядре или другой виртуальной машине), выполняемых в одном потоке CPU с кодом атакующего. В качестве демонстрации работы метода подготовлен прототип эксплоита, позволяющий определить раскладку адресов памяти для обхода механизма защиты ASLR (Address Space Layout Randomization). Кроме того, под лицензией MIT опубликован инструментарий, разработанный для анализа и обратного инжиниринга микроархитектурной … Читать далее Indirector — новая микроархитектурная атака, затрагивающая CPU Intel Raptor Lake и Alder Lake

Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска 2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024-39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения). В версии Apache httpd 2.4.60 устранено 8 уязвимостей, из которых 5 помечены как важные, а также представлено 13 изменений. Выявленные уязвимости: CVE-2024-38473 — проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде. CVE-2024-38476 — при наличии уязвимого приложения, используемого в качестве бэкенда, можно добиться … Читать далее Релиз http-сервера Apache 2.4.61 с устранением уязвимостей

Компания МЦСТ, разрабатывающая процессоры Эльбрус, объявила об открытии компонентов дистрибутива Эльбрус Линукс. В частности, открыт код модификаций ядра Linux и стандартной Си-библиотеки Glibc, обеспечивающих поддержку архитектуры Эльбрус, а также опубликована коллекция патчей для различных прикладных пакетов, используемых в дистрибутиве Эльбрус Линукс, построенном с использованием наработок Debian GNU/Linux и проекта LFS. Код открыт под лицензиями оригинальных проектов (например, GPL) или под лицензией MIT. Помимо открытия кода запущен портал для разработчиков dev.mcst.ru на котором размещена документация и учебный материалы. Среди прочего доступен git-репозиторий с кодом пакетов из Эльбрус Линукс и online-версия книги «Руководство по эффективному программированию на платформе Эльбрус«. Предоставлена возможность отправки … Читать далее Открыт исходный код компонентов для поддержки платформы Эльбрус в Linux

Компания Google представила инициативу kvmCTF, в рамках которой исследователи безопасности могут получить денежное вознаграждение за выявление уязвимостей в гипервизоре KVM (Kernel-based Virtual Machine). Интерес Google к KVM обусловлен использованием данного гипервизора в сервисе Google Cloud, а также в платформах Android и ChromeOS (CrosVM основан на KVM). Для получения вознаграждения должен быть продемонстрирован взлом специально подготовленного окружения CTF (Capture the Flag) на базе свежего ядра Linux, выполняющего виртуальную машину, доступ к которой предоставляется по заявкам. Атакующему предлагается эксплуатировать уязвимость в подсистеме KVM в ядре Linux, обеспечивающем работу хост-системы в данном окружении. За выявление ранее неизвестной уязвимости, дающей возможность выйти из виртуальной … Читать далее Google начнёт выплачивать вознаграждения за выявление уязвимостей в гипервизоре KVM

Мэтью Косарек (Matthew Kosarek) из компании Canonical опубликовал выпуск композитного менеджера miracle-wm 0.3, использующего протокол Wayland и компоненты для построения композитных менеджеров Mir. Miracle-wm поддерживает мозаичную (tiling) компоновку окон в стиле оконного менеджера i3 и Sway. В качестве панели может применяться Waybar. Код проекта написан на языке C++ и распространяется под лицензией GPLv3. Готовые сборки сформированы в формате snap. Целью проекта является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие проекты, как Swayfx. Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают получить визуальные эффекты и более яркое графическое … Читать далее Доступен miracle-wm 0.3, композитный менеджер на базе Wayland и Mir

Проект GNU опубликовал выпуск пакета findutils 4.10.0, включающего реализации утилит для организации поиска файлов в системе, таких как find, updatedb и locate, updatedb. В составе findutils также развивается утилита xargs, предназначенная для построения команд, выполняемых с данными из стандартного ввода, обычно формируемых при помощи утилиты find. В новой версии: Возобновлена поддержка Си-библиотеки Musl, распространяемой под лицензией MIT. Изменение позволяет использовать GNU findutils в дистрибутивах Linux, применяющих Musl вместо Glibc, таких как Void Linux, Alpine Linux, postmarketOS, OpenWrt и Static Linux. Решена «проблема 2038 года», приводившая к сбоям на системах с 32-разрядным типом time_t при обработке в утилитах findutils файлов, датированных … Читать далее Выпуск набора утилит GNU findutils 4.10.0 с возобновлением поддержки Си-библиотеки Musl

В выпуск Fedora Workstation 42, намеченный на весну следующего года, предложено добавить компоненты для сбора и отправки метрик, которые позволят изучить реальные предпочтения пользователей и учесть их при принятии решений, связанных с развитием дистрибутива, определением приоритетов в разработке и повышением удобства работы пользователей. Предложение пока находится на стадии обсуждения и не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. По умолчанию сбор телеметрии будет отключён и сможет быть активирован только при явном действии пользователя, при этом планируется предоставить отдельные опции для включения накопления телеметрии на локальной системе и её отправки на серверы Fedora. Пользователю … Читать далее В Fedora 42 намерены реализовать телеметрию и изменить модель доступа к дискам и flatpak

Компания Oracle сформировала новую ветку СУБД MySQL 9.0.0. Сборки MySQL Community Server 9.0.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. В рамках внедрённой в прошлом году модели формирования релизов, MySQL 9.0 отнесён к веткам «Innovation», к которым также будут отнесены следующие значительные релизы MySQL 9.1 и 9.2. Innovation-ветки рекомендованы для тех, кто хочет раньше получать доступ к новой функциональности, публикуются каждые 3 месяца и поддерживаются только до публикации следующего значительного релиза (например, после появления ветки 9.1 будет прекращена поддержка ветки 9.0). Примерно через год планируют сформировать LTS-релиз, который будет рекомендован для внедрений, которым необходима предсказуемость и длительное … Читать далее Доступна СУБД MySQL 9.0.0

Разработчики развиваемого с нуля свободного web-браузера Ladybird объявили о получении пожертвования, размером в 1 млн. долларов. Пожертвование предоставлено Крисом Ванстратом (Chris Wanstrath), со-основателем GitHub. Ранее браузер Ladybird являлся компонентом SerenityOS, любительского проекта по разработке с нуля Unix-подобной операционной системы, который был основан Андреасом Клингом (Andreas Kling), ранее работавшим в Nokia и занимавшимся разработкой Safari. В июне 2024 года, Клинг решил отделить проект браузера от проекта операционной системы, и полностью посвятить своё время его разработке. Согласно сообщению на сайте проекта, Ванстрат и его семья решили пожертвовать миллион долларов проекту для дальнейшего финансирования разработки, поскольку они верят в необходимость присутствия на рынке … Читать далее Проект свободного браузера Ladybird получил пожертвование в 1 млн. долларов от со-основателя GitHub

Опубликован релиз OpenSSH 9.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Помимо устранения отдельно анонсированной критической уязвимости (CVE-2024-6387), позволяющей добиться удалённого выполнения кода с правами root на стадии до прохождения аутентификации, в новой версии исправлена ещё одна менее опасная уязвимость и предложено несколько существенных изменений, нацеленных на повышение безопасности. Вторая уязвимость позволяет обойти добавленную в версии OpenSSH 9.5 защиту от атак по сторонним каналам, анализирующим задержки между нажатиями клавиш на клавиатуре для воссоздания ввода. Уязвимость позволяет отличить пакеты, создающие фоновую активность через симуляцию фиктивных нажатий клавиш, от пакетов, отправляемых при нажатии реальных клавиш, что … Читать далее Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительными механизмами защиты

Компания Qualys выявила критическую уязвимость (CVE-2024-6387) в OpenSSH, позволяющую добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость, которая получила кодовое имя regreSSHion, проявляется в конфигурации по умолчанию начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc. Возможность совершения атаки продемонстрирована на 32-разрядной системе с Glibc c включённой защитой ASLR (рандомизация адресного пространства). Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью. Совершение атаки упрощается и требует меньше времени на системах без ASLR или в дистрибутивах, использующих модифицированный OpenSSH, в котором … Читать далее Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc