Дистрибутивы Linux столкнулись с проблемой с разрастанием зависимостей у проектов. Если для кода на Python, Perl и Ruby число зависимостей держится в разумных пределах, то в проектах на JavaScript практикуется дробление на очень мелкие библиотеки, часто выполняющие одну простую функцию. Репозиторий NPM уже насчитывает более миллиона пакетов, а типовые приложения связываются с сотнями зависимостей, которые, в свою очередь, имеют свои зависимости, что усложняет сопровождение и распространение традиционных пакетов с JavaScript-приложениями в дистрибутивах Linux. Из-за тесного переплетения зависимостей JavaScript-библиотек обновление в дистрибутиве любого пакета с подобными библиотеками может привести к нарушению работы других пакетов. Проблему усугубляют привязки к версиям — одна … Читать далее Debian и Fedora пытаются справиться с проблемой мелких зависимостей

Разработчики Ubuntu приняли решение изменить модель доступа к домашним каталогам пользователей в системе. Начиная с Ubuntu 21.04 домашние каталоги будут создаваться с правами 750 (drwxr-x—), ограничивающими доступ к каталогу только владельцем и членами группы. Необходимые изменения уже добавлены в пакеты adduser и shadow. Урезанные права будут выставляться только для новых домашних каталогов, в ранее установленных системах всё останется без изменений. По историческим причинам домашние каталоги пользователей в Ubuntu создавались с правами доступа 755 (drwxr-xr-x), позволяющими одному пользователю просматривать содержимое каталога другого. Пятнадцать лет назад такой подход оправдывался упрощением совместной работы пользователей (подразумевалось, что Ubuntu используют в основном члены одной семьи … Читать далее В Ubuntu 21.04 будет ограничен доступ посторонних к домашним каталогам

Компания Collabora сообщила о реализации в драйвере Panfrost поддержки OpenGL 3.1 для GPU Midgard (Mali-T6xx, Mali-T7xx, Mali-T8xx) и GPU Bifrost (Mali G3x, G5x, G7x), а также поддержки OpenGL ES 3.0 для GPU Bifrost. Изменения войдут в состав выпуска Mesa 21.0, который сейчас находится на стадии кандидата в релизы. Отмечается, что GPU Midgard и Bifrost используют общие структуры данных для фиксированных функций, но в Bifrost применяется принципиально иной набор команд, что затрудняет синхронную реализацию функциональности для данных GPU. Например, уже реализованные для Midgard фиксированные возможности, такие как «transform feedback», могут быть перенесены для Bifrost без изменений, а такие возможности, как множественные … Читать далее В драйвере Panfrost обеспечена поддержка OpenGL 3.1 для GPU Mali

Доступна библиотека urm.py с реализацией URM (UnRelational Mapper) для языка Python. Проект может оказаться полезным, когда требуется сохранить какие-нибудь данные не в реляционной базе данных, а в нереляционном хранилище, таком как файловая система, архив, облачное хранилище, NoSQL-база. Примеры библиотек, в которых необходимы подобные манипуляции: Библиотека UniGrammarRuntime должна уметь читать с диска несколько вариантов (сгенерированных разными генераторами, поддержка которых реализована в UniGrammar в виде бэкендов) парсера для одной и той же грамматики. Парсер может состоять либо из одного файла (файл грамматики в DSL-виде, для parsimonious и tatsu), либо из нескольких (лексер + парсер в транспилированном виде (ANTLR4, CoCo/Py), или 1 файл … Читать далее Опубликована библиотека urm для Python

Алексей Сопов, исследователь безопасности, специализирующийся на оборудовании Mikrotik, вскрыл огромный пласт проблем с безопасностью во внутренней сети РЖД, случайно обнаружив незапароленный маршрутизатор Mikrotik за открытым прокси. Сканирование сети за одним из VPN-интерфейсов на проблемном маршрутизаторе выявило более 20 тысяч различных устройств, включая другие маршрутизаторы Mikrotik с отсутствующим паролем, IP PBX, IPMI-контроллеры серверов, около 10 тысяч камер наблюдения и различное сетевое оборудование. На многих устройствах пароли либо не были установлены, либо являлись паролями по умолчанию. Изучение ситуации показало, что исследователь натолкнулся на внутреннюю сеть компании РЖД, в которую попал без авторизации через открытый прокси. Исследователь также смог сконфигурировать один из маршрутизаторов … Читать далее Плачевная ситуация с безопасностью во внутренней сети РЖД

Компания CloudLinux сообщила об утверждении имени AlmaLinux для своего дистрибутива, продолжающего развитие ветки CentOS 8. Изначально проект был назван Lenix, но теперь решено, что AlmaLinux будет более адекватным именем для замены CentOS, чем Lenix Linux. Первый выпуск дистрибутива обещают сформировать в течение первого квартала 2021 года. Как и классический CentOS 8 дистрибутив будет базироваться на пакетной базе Red Hat Enterprise Linux 8 и будет полностью бинарно совместим с RHEL. Пользователи смогут использовать AlmaLinux в качестве прозрачной замены CentOS 8, миграция будет предельно упрощена. Обновления для ветки дистрибутива AlmaLinux, основанной на пакетной базе RHEL 8, будут выпускаться до 2029 года. Основным … Читать далее Компания CloudLinux выпустит альтернативу CentOS 8 под именем AlmaLinux

После четырёх лет разработки компания Juicedata, созданная при поддержке двух крупных китайских венчурных фондов, опубликовала первый публичный выпуск POSIX-совместимой распределённой файловой системы JuiceFS, которая может быть развёрнута поверх СУБД Redis или хранилищ объектов, поддерживающих API Amazon S3. JuiceFS развивается как промежуточное решение, позволяющее упростить адаптацию любых приложений для работы в облачной инфраструктуре, благодаря возможности работать с хранилищами объектов как с традиционными ФС. Код проекта написан на языке Go и распространяется под лицензией AGPLv3. Архитектура JuiceFS подразумевает использование СУБД Redis для хранения метаданных, определяющих структуру ФС и параметры отражения блоков данных в облачные хранилища. Файловая система реализована в пространстве пользователя с … Читать далее Первый публичный выпуск распределённой файловой системы JuiceFS

Доступен новый выпуск утилиты sudo 1.9.5, используемой для организации выполнения команд от имени других пользователей. В новой версии устранено шесть проблем с безопасностью, из которых выделяются две уязвимости: CVE-2021-23240 — уязвимость в утилите sudoedit, применяемой для предоставления доступа к редактированию файлов, принадлежащих другим пользователям (в отличие от запуска редактора через sudo, утилита sudoedit запускает редактор без повышения привилегий и позволяет отредактировать копию файла с правами текущего пользователя, а потом заменить целевой файл и вернуть исходные параметры доступа). Уязвимость проявляется на системах с поддержкой SELinux RBAC и позволяет сменить владельца произвольного файла в системе на пользователя, которому принадлежит целевой файл, открытый … Читать далее Обновление sudo 1.9.5 с устранением уязвимостей

Арнд Бергман (Arnd Bergmann), отвечающий за пакеты с ядром в SUSE, предложил провести значительную чистку кода ядра от поддержки устаревших платформ и процессоров. В качестве претендентов на удаление называются платформы для которых с 2015 года не зафиксировано активности сопровождающих и пользователей. В случае удаления, платформы будут исключены из будущих выпусков ядра Linux, но для них можно будет использовать LTS-ядро Linux 5.10, поддержка которого продлится до декабря 2026 года. К удалению намечены следующие ARM-платформы, которые вышли из обихода и не имеют сопровождающих (eсли найдутся пользователи, поддержка будет сохранена): axxia — добавлена 2014 году, нет изменений с 2015 года bcm/kona — добавлена … Читать далее Разработчики ядра Linux обсуждают проведение чистки устаревших платформ

Для реализации в Fedora 34 намечен перевод шрифтового движка FreeType на использование движка отрисовки HarfBuzz. Для тестирования в Fedora Rawhide предложен пакет freetype-harfbuzz. Изменение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Заявлено, что использование HarfBuzz во FreeType позволит улучшить качество хинтинга (сглаживание контура глифа при растеризации для повышения чёткости на экранах с низким разрешением) при отображении текста на языках со сложной компоновкой текста, в которых глифы могут формироваться из нескольких символов. В частности, применение HarfBuzz позволит избавиться от проблемы с игнорированием при хинтинге лигатур, для которых нет отдельных Unicode-символов. Напомним, что … Читать далее В Fedora 34 намечен перевод FreeType на HarfBuzz для улучшения хинтинга

После 10 лет разработки состоялся релиз механизма управления теневыми паролями tcb 1.2, выступающего в роли альтернативы традиционной для Linux схемы /etc/shadow. Из дистрибутивов tcb применяется для хранения базы паролей в Openwall GNU/*/Linux, ALT Linux и Mageia. Код проекта распространяется под лицензией BSD. Ключевым отличием tcb от /etc/shadow является уход от использования общего файла со всеми хэшами паролей в пользу разнесения хэшей паролей по отдельным каталогам и файлам. При подобной организации хранения операции с паролями можно выполнять без повышения прав, а процесс, осуществляющий обработку учётных данных, ограничен учётной записью отдельного пользователя. Обработчик /etc/shadow всегда получает доступ сразу ко всем хэшам паролей, … Читать далее Выпуск механизма управления теневыми паролями tcb 1.2

Компания Ubiquiti, занимающаяся производством беспроводных маршрутизаторов, камер наблюдения и систем контроля доступа, централизованно управляемых через облачный сервис, уведомила клиентов о выявлении неавторизированного доступа к некоторым системам в своей инфраструктуре, развёрнутым в сети стороннего облачного провайдера. Прямых доказательств утечки не выявлено, но имея доступ к скомпрометированным хостам атакующие могли получить доступ и к базе данных, в которой хранились учётные записи к сервису, позволяющему удалённо управлять оборудованием. В БД присутствовали такие сведения как хэши паролей, имена, адреса и телефоны пользователей Ubiquiti. Пользователям рекомендуется срочно изменить пароль доступа к облачному сервису Ubiquiti и включить двухфакторную аутентификацию в настройках, а также изменить пароль на … Читать далее Компрометация инфраструктуры Ubiquiti, не исключающая доступ к устройствам пользователей

Доступен первый промежуточный выпуск тулкита для создания графического интерфейса пользователя — GTK 4.0.1, в котором предложена большая порция мелких исправлений, устраняющих ошибки, выявленные с момента релиза GTK 4.0 в прошлом месяце. В новой версии также доработана документация и внесены улучшения в тему оформления. Налажено тестирование сборок GTK, pango и gdk-pixbuf для macOS в системе непрерывной интеграции. Из значительных изменений отмечается перевод мультимедийного бэкенда gstreamer на использование текстур OpenGL, что позволило избавиться от лишней передачи кадров между GPU и CPU при использовании аппаратного ускорения декодирования видео, например, при помощи VAAPI. При этом отмечается, что виджет GtkVideo ещё имеет статус экспериментального и … Читать далее Опубликован GTK 4.0.1 с улучшением поддержки мультимедиа

Мартин Странский (Martin Stransky), мэйнтейнер пакетов с Firefox в Fedora, рассказал о решении разработчиков Mozilla активировать по умолчанию в Firefox 85 движок композитинга WebRender для сеанса пользовательского окружения GNOME, использующего протокол Wayland В прошлом выпуске Firefox 84.0 поддержка WebRender была активирована для GNOME в окружении X11. В пакете с Firefox для дистрибутива Fedora поддержка WebRender для GNOME/Wayland включена не дожидаясь релиза Firefox 85, намеченного на 26 января. Использование WebRender в Linux пока ограничено видеокартами AMD и Intel, так как при работе в системах с проприетарным драйвером NVIDIA и свободным драйвером Noveau наблюдаются нерешённые проблемы. WebRender написан на языке Rust и … Читать далее В Firefox 85 будет активировано аппаратное ускорение отрисовки для GNOME на базе Wayland

Разработчики специализированного дистрибутива Tails (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть, опубликовали планы по развитию проекта в 2021 году. Наиболее заметным изменением станет перевод пользовательского окружения на использование протокола Wayland, что позволит повысить защищённость всех графических приложений за счёт улучшения контроля за тем, как приложения взаимодействуют с системой. Например, в отличие от X11 в Wayland ввод и вывод изолирован для каждого окна, и клиент лишён возможности доступа к содержимому окон других клиентов, а также не может перехватывать связанные с другими окнами события ввода. Ближе к концу года планируется сформировать … Читать далее Дистрибутив Tails перейдёт использование на Wayland

Исследователи безопасности из компании NinjaLab разработали новый вид атаки по сторонним каналам (CVE-2021-3011), позволяющей клонировать ECDSA-ключи, хранимые в USB-токенах на базе чипов NXP. Атака продемонстрирована для токенов двухфакторной аутентификции Google Titan на базе чипа NXP A700X, но теоретически применима и для криптографических токенов Yubico и Feitian, использующих тот же чип. Предложенный метод позволяет атакующему воссоздать хранимые в токене ключи ECDSA на основе данных, полученных через анализ электромагнитного сигнала, излучаемого токеном во время генерации цифровых подписей. Исследователи показали, что электромагнитный сигнал коррелирует с информацией об эфемерном ключе ECDSA, которой достаточно для восстановления секретного ключа с использованием методов машинного обучения. В частности, … Читать далее Выявлен метод клонирования ключей из криптографических токенов на базе чипов NXP

Компания Mozilla объявила о добавлении в выпуск Firefox 85, намеченный на 26 января, поддержки механизма ECH (Encrypted Client Hello) для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Для включения ECH в about:config следует активировать настройки «network.dns.echconfig.enabled» и «network.dns.use_https_rr_as_altsvc». Поддержка тестируемого на протяжении последних двух лет механизма ESNI (Encrypted Server Name Indication) в Firefox 85 будет прекращена, но какое-то время сохранится в ESR-выпусках Firefox. Спецификация ECH продолжает развитие ESNI и находится на стадии черновика, претендующего на роль стандарта IETF. Для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано TLS-расширение SNI, осуществляющее передачу имени хоста … Читать далее Firefox 85 перейдёт на ECH для скрытия домена в HTTPS-трафике

Разработчики проекта Fedora проанализировали лицензию NPSL, на которую недавно перешёл сканер сетевой безопасности Nmap, и пришли к выводу, что она не соответствует требованиям к лицензиям на код, допустимым для использования в дистрибутиве. Таким образом, новые выпуски Nmap и другие пакеты с компонентами, распространяемыми под лицензией NPSL, не смогут входить в состав официальных репозиториев Fedora, EPEL и COPRs. В качестве причины называется наличие в версии 0.92 лицензии пункта, дискриминирующего отдельные категории пользователей, т.е. данная лицензия не соответствует критериям Open Source, определённым организацией OSI (Open Source Initiative). В частности, в NPSL определены ограничения в отношении использования кода в компаниях, выпускающих проприетарное ПО. … Читать далее Лицензия сканера безопасности NMAP признана несовместимой с Fedora

Представлен релиз дистрибутива Linux Mint 20.1, продолжающий развитие ветки на основе пакетной базы Ubuntu 20.04 LTS. Дистрибутив полностью совместим с Ubuntu, но существенно отличается подходом к организации интерфейса пользователя и подбором используемых по умолчанию приложений. Разработчики Linux Mint предоставляют десктоп-окружение, соответствующее классическим канонам организации рабочего стола, которое является более привычным для пользователей, не принимающих новые методы построения интерфейса GNOME 3. Для загрузки доступны DVD-сборки на базе оболочек MATE 1.24 (1.9 ГБ), Cinnamon 4.8 (1.9 ГБ) и Xfce 4.14 (1.8 Гб). Linux Mint 20 отнесён к выпускам с длительным сроком поддержи (LTS), обновления для которого будут формироваться до 2025 года. Основные … Читать далее Релиз дистрибутива Linux Mint 20.1

Представлено январское сводное обновление приложений (20.12.1), развиваемых проектом KDE. Всего в рамках январского обновления опубликованы выпуски 224 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Также на днях опубликован корректирующий выпуск рабочего стола Plasma 5.20.5, в котором устранены накопившиеся ошибки. Наиболее заметные новшества в KDE Applications 20.12.1: Состоялся первый значительный выпуск программы для обмена сообщениями Neochat 1.0, обзор которой был опубликован в конце декабря. Опубликовано дополнение KIO Fuse 5.0.0, позволяющее из любых приложений обращаться к файлам на внешних хостах. KIO Fuse использует механизм FUSE для отражений внешних файлов в локальной ФС, … Читать далее Релиз KDE Applications 20.12.1

Кит Паккард (Keith Packard), активный разработчик Debian, лидер проекта X.Org и создатель множества X-расширений, включая XRender, XComposite и XRandR, опубликовал выпуск стандартной Си-библиотеки PicoLibc 1.5, развиваемой для применения на встраиваемых устройствах с ограниченным размером постоянного хранилища и оперативной памяти. При разработке часть кода заимствована из библиотеки newlib от проекта Сygwin и AVR Libc, развивавшейся для микроконтроллеров Atmel AVR. Код PicoLibc распространяется под лицензией BSD. Поддерживается сборка библиотеки для архитектур ARM (32-bit), i386, RISC-V, x86_64 и PowerPC. Изначально проект развивался под именем «newlib-nano» и был нацелен на переработку некоторых ресурсоёмких функций Newlib, которые было проблематично использовать на встраиваемых устройствах с небольшим … Читать далее Выпуск стандартной Си-библиотеки PicoLibc 1.5