Разработчики подсистемы фильтрации и модификации сетевых пакетов Netfilter опубликовали набор патчей, значительно ускоряющих обработку больших списков сопоставления (ipset), в которых требуется проверка сочетания подсетей, сетевых портов, протокола и MAC-адресов. Патчи уже приняты в ветку nf-next, которая будет предложена для включения в состав ядра Linux 5.7. Наиболее заметного ускорения удалось добиться благодаря задействованию инструкций AVX2 (в дальнейшем планируется опубликовать подобные оптимизации на базе инструкций NEON для ARM). Оптимизации внесены в модуль nft_set_pipapo (PIle PAcket POlicies), решающий задачу сопоставления содержимого пакета с применяемыми в правилах фильтрации произвольными диапазонами состояния полей, такими как диапазоны IP и сетевых портов (nft_set_rbtree и nft_set_hash манипулируют сопоставлением … Читать далее В ядре Linux 5.7 будут ускорены сложные ipset-сопоставления в NetFilter

Представлен выпуск почтового клиента Geary 3.36, ориентированный на использование в окружении GNOME. Изначально проект был основан организацией Yorba Foundation, создавшей популярный менеджер фотографий Shotwell, но позднее разработка перешла в руки сообщества GNOME. Код написан на языке Vala и распространяется в рамках лицензии LGPL. Готовые сборки в ближайшее время будут подготовлены для Ubuntu (PPA) и в форме самодостаточного пакета flatpak. Целью развития проекта является создание богатого по возможностям продукта, но при этом предельно простого в использовании и потребляющего минимум ресурсов. Почтовый клиент рассчитан как на обособленное использование, так и на работу совместно с web-ориентированными почтовыми сервисами, такими как Gmail и Yahoo! … Читать далее Выпуск почтового клиента Geary 3.36

Группа исследователей из Амстердамского свободного университета, Швейцарской высшей технической школы Цюриха и компании Qualcomm, провели исследование эффективности применяемой в современных чипах памяти DDR4 защиты от атак класса RowHammer, позволяющих изменить содержимое отдельных битов динамической оперативной памяти (DRAM). Результаты оказались неутешительными и чипы DDR4 основных производителей по-прежнему остаются уязвимы (CVE-2020-10255). Уязвимость RowHammer позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю … Читать далее Чипы памяти DDR4 остаются уязвимы для атак RowHammer, несмотря на добавленную защиту

В свободном Bluetooth-стеке BlueZ, который используется в дистрибутивах Linux и Chrome OS, выявлена уязвимость (CVE-2020-0556), потенциально позволяющая злоумышленнику получить доступ к системе. Из-за некорректной проверки доступа в реализации Bluetooth-профилей HID и HOGP уязвимость позволяет без прохождения процедуры привязки устройства к хосту добиться отказа в обслуживании или повышения своих привилегий при подсоединении вредоносного Bluetooth-устройства. Вредоносное Bluetooth-устройство, без прохождения процедуры сопряжения, может выдать себя за другое HID-устройство (клавиатура, мышь, игровые контроллеры и т.п.) или организовать скрытую подстановку данных в подсистему ввода. По данным компании Intel проблема проявляется в выпусках Bluez до 5.52 включительно. Непонятно, затрагивает ли проблема выпуск 5.53, который не анонсирован … Читать далее Уязвимость в Bluetooth-стеке Bluez

Опубликован выпуск проекта LibreELEC 9.2.1, развивающего форк дистрибутива для создания домашних кинотеатров OpenELEC. Интерфейс пользователя построен на основе медиацентра Kodi. Для загрузки подготовлены образы для работы с USB-накопителя или SD-карты (32- и 64-разрядные x86, Raspberry Pi 1/2/3/4, различные устройства на чипах Rockchip и Amlogic). В новой версии в конфигуратор добавлена секция для настройки использования VPN WireGuard и улучшена поддержка работы на платах Raspberry Pi 4 (повышены производительность и качество вывода в режимах 1080p и 4K). При помощи LibreELEC можно превратить любой компьютер в медиацентр, работать с которым не сложнее, чем с DVD-проигрывателем или телеприставкой. Основной принцип дистрибутива «всё просто работает», … Читать далее Обновление дистрибутива для создания домашних кинотеатров LibreELEC 9.2.1

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 5.4. С момента выпуска версии 5.3 было закрыто 34 отчёта об ошибках и внесено 373 изменения. Наиболее важные изменения: Встроенные программы переведены на использование нового C runtime UCRTBase; Улучшена поддержка доменных имён, содержащих символы национальных алфавитов (IDN, Internationalized Domain Names); В Direct2D добавлена поддержка рисования прямоугольников со скруглёнными углами; В D3DX9 реализован метод для отрисовки текста (ID3DXFont::DrawText), из-за отсутствия которого не выводился текст в некоторых играх; Данные Unicode приведены к соответствию спецификации Unicode 13. Закрыты отчёты об ошибках, связанные с работой игр и приложений ABBYY FineReader Pro 7.0, Far Manager v3.0, The … Читать далее Выпуск Wine 5.4 и Wine Staging 5.4

Тэвис Орманди (Tavis Ormandy), исследователь безопасности из Google, развивает проект LoadLibrary, нацеленный на портирование собранных для Windows DLL-библиотек для их использования в приложениях для Linux. Проектом предоставляется библиотека-прослойка, при помощи которой можно загрузить DLL-файл в формате PE/COFF и вызвать определённые в нём функции. Загрузчик PE/COFF основан на коде ndiswrapper. Код проекта распространяется под лицензией GPLv2. LoadLibrary берёт на себя функции загрузки библиотеки в память и импорта имеющихся символов, предоставляя Linux-приложению API в стиле dlopen. Подключаемый код может отлаживаться при помощи gdb, ASAN и Valgrind. Предусмотрена возможность корректировки исполняемого кода во время выполнения через подключение хуков и наложение патчей (runtime patching). … Читать далее LoadLibrary, прослойка для загрузки Windows DLL в Linux-приложения

Компания Red Hat опубликовала отчёт с анализом рисков, связанных оперативностью устранения уязвимостей, выявленных в продуктах Red Hat в течение 2019 года. За год в продуктах и сервисах Red Hat было исправлено 1313 уязвимостей (на 3.2% больше, чем за 2018 год), из которых 27 был присвоен статус критических проблем. Всего службой безопасности Red Hat в 2019 году было изучено 2714 уязвимостей, охватывающих все возможные проблемы, в том числе в открытых программах, не входящих в состав RHEL или не проявляющиеся в RHEL. Обновления с устранением 98% критических проблем были выпущены в течение недели, после появления публичной информации об уязвимости. 41% критических проблем … Читать далее Отчёт об уязвимостях, устранённых в Red Hat Enterprise Linux в 2019 году

Опубликован релиз языка системного программирования Rust 1.42, основанного проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Выпуск языка программирования Rust 1.42

Состоялся выпуск сервера приложений NGINX Unit 1.16, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии: Добавлена поддержка балансировки нагрузки в режиме round-robin. Например, для распределения нагрузки на два сервера 192.168.0.100 и 192.168.0.101 с направлением на второй в … Читать далее Выпуск сервера приложений NGINX Unit 1.16.0

Доступен четвёртый выпуск стартовых наборов на Девятой платформе Альт, подготовленных для архитектур i586, x86_64, aarch64 и armh (торренты для i586, x86_64 и aarch64). Дополнительно предложены сборки для архитектуры mipsel, в вариантах для систем Таволга и BFK3 на ЦП «Байкал-Т1» (20190703). Владельцам ВК «Эльбрус» на базе процессоров 4С и 8С/1С+ также доступен ряд стартовых наборов (20190903). Стартовые наборы подходят для начала работы со стабильным репозиторием для пользователей, которые предпочитают самостоятельно определять список пакетов приложений и настраивать систему. Образы включают в себя базовую систему, одно из окружений рабочего стола или набор специализированных приложений. Изменения относительно декабрьского выпуска: Ядро Linux 4.19.102 и 5.4.23; … Читать далее Ежеквартальное обновление ALT p9 starterkits

Доступен корректирующий релиз набора компиляторов GCC 9.3, в котором проведена работа по исправлению ошибок, регрессивных изменений и проблем с совместимостью. По сравнению с версией GCC 9.2 в GCC 9.3 отмечено 157 исправлений, в основном связанных с устранением регрессивных изменений. Источник: http://www.opennet.ru/opennews/art.shtml?num=52533 Читать далее Обновление набора компиляторов GCC 9.3

Разработчики Debian опубликовали план заморозки пакетной базы выпуска Debian 11 «Bullseye». Релиз Debian 11 «Buster» ожидается в середине 2021 года. 12 января 2021 года начнётся первая стадия заморозки пакетной базы, в рамках которой будет прекращено выполнение «transitions» (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing), а также прекращено обновление пакетов, необходимых для сборки (build-essential). 12 февраля 2021 года состоится мягкая заморозка пакетной базы, при которой будет прекращён приём новых исходных пакетов и закрыта возможность повторного включения ранее удалённых пакетов. 12 марта 2019 года будет применена жёсткая заморозка перед релизом, при которой процесс … Читать далее Заморозка пакетной базы Debian 11 намечена весну следующего года

Представлен релиз специализированного дистрибутива Tails 4.4 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ (1 ГБ), способный работать в Live-режиме. В новой версии Tor Browser обновлён до выпуска 9.0.6 (официально пока не анонсирован), синхронизированного с кодовой базой Firefox 68.6.0 ESR. Также обновлены ядро Linux 5.4.19, Thunderbird 68.5.0, cURL 7.64.0, evince 3.30.2, Pillow 5.4.1, WebKitGTK … Читать далее Релиз дистрибутива Tails 4.4

Компания Google опубликовала утилиту ukip, позволяющую отслеживать и блокировать атаки, осуществляемые с использованием вредоносных USB-устройств, симулирующих USB-клавиатуру для скрытой подстановки фиктивных нажатий клавиш (например, в ходе атаки может быть симулирована последовательность нажатий, приводящих к открытию терминала и выполнению в нём произвольных команд). Код написан на языке Python и распространяется под лицензией Apache 2.0. Утилита запускается в форме сервиса systemd и может работать в режимах мониторинга и предотвращения атак. В режиме мониторинга осуществляется определение возможных атак и занесение в лог активности, связанной с попытками использования USB-устройств не по назначению для подстановки ввода. В режиме защиты при выявлении потенциально вредоносного устройства осуществляется … Читать далее Google представил блокировщик подстановки ввода через вредоносные USB-устройства

Mozilla и KaiOS Technologies объявили о сотрудничестве, нацеленном на обновление применяемого в мобильной платформе KaiOS браузерного движка. KaiOS продолжает разработку мобильной платформы Firefox OS и в настоящее время используется примерно на 120 млн устройствах, продаваемых более чем в 100 странах. Проблема в том, что в KaiOS продолжает применяться устаревший браузерный движок, соответствующий Firefox 48, на котором остановилось развитие B2G/Firefox OS в 2016 году. Данный движок устарел, не поддерживает многие актуальные web-технологии и не обеспечивает должной безопасности. Целью сотрудничества с Mozilla является перевод KaiOS на новый движок Gecko и поддержание его в актуальном виде, в том числе обеспечив регулярную публикацию исправлений … Читать далее Mozilla поможет в актуализации платформы KaiOS (форк Firefox OS)

Команда LTS Team, отвечающая за формирование обновлений для LTS-веток Debian, сообщила о возможности получать обновления для Debian 8 после завершения штатного пятилетнего цикла сопровождения. Изначально планировалось прекратить поддержку LTS-ветки Debian 8 в июле 2020 года, но компания Freexian выразила готовность выпускать своими силами обновления с устранением уязвимостей в пакетах в рамках расширенной программы «Extended LTS». Дополнительная поддержка будет охватывать ограниченный набор пакетов и распространяться только на архитектуры amd64 и i386 (возможно и armel). Поддержка не будет охватывать такие пакеты как ядро Linux 3.16 (будет предложено ядро 4.9, бэкпортированное из Debian 9), openjdk-7 (будет предложен openjdk-8) и tomcat7 (сопровождение продлится до … Читать далее Debian 8 будет поддерживаться больше 5 лет

Компания Valve опубликовала первый выпуск новой ветки проекта Proton 5.0, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются … Читать далее Компания Valve выпустила Proton 5.0-4, пакет для запуска Windows-игр в Linux

Состоялся релиз библиотеки SDL 2.0.12 (Simple Direct Layer), нацеленной на упрощение написания игр и мультимедийных приложений. Библиотека SDL предоставляет такие средства как аппаратно ускоренный вывод 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES и множество иных сопутствующих операций. Библиотека написана на языке Си и распространяется под лицензией zlib. Для использования возможностей SDL в проектах на различных языках программирования предоставляются биндинги. В новом выпуске: Добавлены функции SDL_GetTextureScaleMode() и SDL_SetTextureScaleMode() для получения и установки режима масштабирования, применяемого для текстур; Добавлена функция SDL_LockTextureToSurface(), похожая на SDL_LockTexture(), но рассматривающая заблокированную область как SDL Surface; Добавлен новый режим смешивания SDL_BLENDMODE_MUL; В … Читать далее Выпуск мультимедийной библиотеки SDL 2.0.12

Сообщества VideoLAN и FFmpeg опубликовали выпуск библиотеки dav1d 0.6.0 с реализацией альтернативного свободного декодировщика формата кодирования видео AV1. Код проекта написан на языке Си (C99) с ассемблерными вставками (NASM/GAS) и распространяется под лицензией BSD. Реализована поддержка архитектур x86, x86_64, ARMv7 и ARMv8, и операционных систем Linux, Windows, macOS, Android и iOS. Библиотека dav1d поддерживает все возможности AV1, включая расширенные виды субдискретизации и все заявленные в спецификации параметры управления глубиной цвета (8, 10 и 12 бит). Работа библиотеки протестирована на большой коллекции файлов в формате AV1. Ключевой особенностью dav1d является ориентация на достижение максимально возможной производительности декодирования и обеспечение качественной работы … Читать далее Выпуск dav1d 0.6, декодировщика AV1 от проектов VideoLAN и FFmpeg

Представлен выпуск новой стабильной ветки WebKitGTK 2.28.0, порта браузерного движка WebKit для платформы GTK. WebKitGTK позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: Добавлен API ProcessSwapOnNavigation для управления запуском новых процессов-обработчиков при навигации между разными сайтами; Добавлен API User Messages для организации взаимодействия с дополнениями; Добавлена атрибута Set-Cookie SameSite, который можно использовать для ограничения отправки Cookie для межсайтовых субзапросов, таких как … Читать далее Релиз браузерного движка WebKitGTK 2.28.0 и web-браузера Epiphany 3.36