Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, представил патчи, значительно ускоряющие получение случайных чисел от системы через функцию getrandom(), реализованную через соответствующий системный вызов Linux. Преимуществом такого решения по сравнению с использованием /dev/random или /dev/urandom является неподверженность атакам на исчерпание файловых дескрипторов, которые могут привести к неинициализированным и неслучайным криптографическим ключам. Предложенная оптимизация основана на использовании механизма vDSO (virtual dynamic shared object), дающего возможность перенести обработчик системного вызова из ядра в пространство пользователя и избежать переключений контекста. В случае с getrandom(), в виде vDSO оформлена реализация связанного с данной функцией системного вызова, код которой заранее загружается в адресное пространство … Читать далее Разработчик Wireguard серьезно ускорил вызов getrandom() в Linux

Опубликован выпуск проекта FreeRDP 3.6, предлагающего свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft. Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Код проекта распространяется под лицензией Apache 2.0. В новой версии: Значительно повышена скорость декодировщика при использовании различных gfx-кодеков. Добавлена экспериментальная поддержка расширения RDP-протокола «MS-RDPECAM» (Remote Desktop Protocol: Video Capture Virtual Channel Extension), предназначенного для передачи данных видео от клиента RDP на сервер RDP. Предложена экспериментальная реализация клиента, переведённого на библиотеку SDL3. Улучшено копирование изображений. Добавлена … Читать далее Выпуск FreeRDP 3.6, свободной реализации протокола RDP

После более года разработки представлен выпуск Live-дистрибутива Finnix 126. Дистрибутив основан на пакетной базе Debian и поддерживает только работу в консоли, но содержит хорошую подборку утилит для нужд администратора. В состав входит более 600 пакетов со всевозможными утилитами. Размер iso-образа — 498 МБ. В новой версии: Пакетная база синхронизирована с репозиториями Debian. Ядро Linux обновлено до ветки 6.8. В состав включён пакет libc6-i386 для запуска некоторых 32-разрядных исполняемый файлов в 64-разрядном окружении Finnix. Добавлена опция командной строки ядра ‘0’, действие которой аналогично скрипту locale-config, но на начальной стадии загрузки. Для сборки релиза задействована CI-платформа GitHub Actions. Источник: http://www.opennet.ru/opennews/art.shtml?num=61492 Читать далее Выпуск Finnix 126, Live-дистрибутива для системных администраторов

Опубликован выпуск свободной PaaS-платформы Cozystack 0.8.0, построенной на базе Kubernetes. Проект нацелен на предоставление готовой платформы для хостинг-провайдеров и фреймворка для построения частных и публичных облаков. Платформа устанавливается напрямую на серверы и охватывает все аспекты подготовки инфраструктуры для предоставления управляемых сервисов. Cozystack позволяет запускать и предоставлять кластеры Kubernetes, базы данных и виртуальные машины. Код платформы доступен на GitHub и распространяется под лицензией Apache-2.0. В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную … Читать далее Релиз Cozystack 0.8.0, открытой PaaS-платформы на базе Kubernetes

Доступен стабильный релиз SKUF 25 (Suckless Kexec Using Fileshare), инструментария для бездисковой сетевой загрузки Arch Linux с сетевого хранилища SAMBA без использования PXE. Проект построен на базе проекта mkinitcpio и позволяет настроить среду для загрузки дистрибутива Arch Linux, используя в качестве корня sparse-образы с файловой системой (например, ext4), которые располагаются на SAMBA-сервере. Загрузка происходит в два этапа, на первом пользователю даётся возможность поменять параметры монтирования SAMBA/корневой ФС, а на втором происходит загрузка нового ядра с использованием kexec. Для получения IP-адреса в обоих этапах используется dhcpcd. Параллельно, в репозитории проекта развивается скрипт update_remote_systems, позволяющий последовательно обновить несколько систем Arch Linux. Инструментарий … Читать далее Выпуск системы сетевой загрузки SKUF 25.0

Компания Oracle объявила о формировании пакетов с ядром UEK-next (Next Unbreakable Enterprise Kernel), построенных на базе выпуска ядра Linux 6.9. По умолчанию вместо ядра из Red Hat Enterprise Linux в дистрибутиве Oracle Linux продолжает использоваться ядро UEK 7, основанное на ядре Linux 5.15, в то время как ядро UEK-next позиционируется как непрерывно обновляемая опция для разработчиков, позволяющая получить доступ к наиболее свежим улучшениям из основной ветки ядра, сохранив при этом доступ к специфичным для ядра UEK расширенным возможностям, таким как как интеграция DTrace и улучшенная поддержка Btrfs, а также оптимизациям для работы с промышленным программным обеспечением и оборудованием Oracle. Ядро … Читать далее Компания Oracle опубликовала первый выпуск ядра UEK-next, основанный на ядре Linux 6.9

Исследователи из Калифорнийского университета в Сан-Диего представили новый метод атаки на микроархитектурные структуры процессоров Intel, применимый среди прочего к CPU на базе микроархитектур Raptor Lake и Alder Lake. Атака, которая получила кодовое имя Indirector, позволяет добиться изменения хода спекулятивного выполнения инструкций в других процессах и на других уровнях привилегий (например в ядре или другой виртуальной машине), выполняемых в одном потоке CPU с кодом атакующего. В качестве демонстрации работы метода подготовлен прототип эксплоита, позволяющий определить раскладку адресов памяти для обхода механизма защиты ASLR (Address Space Layout Randomization). Кроме того, под лицензией MIT опубликован инструментарий, разработанный для анализа и обратного инжиниринга микроархитектурной … Читать далее Indirector — новая микроархитектурная атака, затрагивающая CPU Intel Raptor Lake и Alder Lake

Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска 2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024-39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения). В версии Apache httpd 2.4.60 устранено 8 уязвимостей, из которых 5 помечены как важные, а также представлено 13 изменений. Выявленные уязвимости: CVE-2024-38473 — проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде. CVE-2024-38476 — при наличии уязвимого приложения, используемого в качестве бэкенда, можно добиться … Читать далее Релиз http-сервера Apache 2.4.61 с устранением уязвимостей

Компания МЦСТ, разрабатывающая процессоры Эльбрус, объявила об открытии компонентов дистрибутива Эльбрус Линукс. В частности, открыт код модификаций ядра Linux и стандартной Си-библиотеки Glibc, обеспечивающих поддержку архитектуры Эльбрус, а также опубликована коллекция патчей для различных прикладных пакетов, используемых в дистрибутиве Эльбрус Линукс, построенном с использованием наработок Debian GNU/Linux и проекта LFS. Код открыт под лицензиями оригинальных проектов (например, GPL) или под лицензией MIT. Помимо открытия кода запущен портал для разработчиков dev.mcst.ru на котором размещена документация и учебный материалы. Среди прочего доступен git-репозиторий с кодом пакетов из Эльбрус Линукс и online-версия книги «Руководство по эффективному программированию на платформе Эльбрус«. Предоставлена возможность отправки … Читать далее Открыт исходный код компонентов для поддержки платформы Эльбрус в Linux

Компания Google представила инициативу kvmCTF, в рамках которой исследователи безопасности могут получить денежное вознаграждение за выявление уязвимостей в гипервизоре KVM (Kernel-based Virtual Machine). Интерес Google к KVM обусловлен использованием данного гипервизора в сервисе Google Cloud, а также в платформах Android и ChromeOS (CrosVM основан на KVM). Для получения вознаграждения должен быть продемонстрирован взлом специально подготовленного окружения CTF (Capture the Flag) на базе свежего ядра Linux, выполняющего виртуальную машину, доступ к которой предоставляется по заявкам. Атакующему предлагается эксплуатировать уязвимость в подсистеме KVM в ядре Linux, обеспечивающем работу хост-системы в данном окружении. За выявление ранее неизвестной уязвимости, дающей возможность выйти из виртуальной … Читать далее Google начнёт выплачивать вознаграждения за выявление уязвимостей в гипервизоре KVM

Мэтью Косарек (Matthew Kosarek) из компании Canonical опубликовал выпуск композитного менеджера miracle-wm 0.3, использующего протокол Wayland и компоненты для построения композитных менеджеров Mir. Miracle-wm поддерживает мозаичную (tiling) компоновку окон в стиле оконного менеджера i3 и Sway. В качестве панели может применяться Waybar. Код проекта написан на языке C++ и распространяется под лицензией GPLv3. Готовые сборки сформированы в формате snap. Целью проекта является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие проекты, как Swayfx. Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают получить визуальные эффекты и более яркое графическое … Читать далее Доступен miracle-wm 0.3, композитный менеджер на базе Wayland и Mir

Проект GNU опубликовал выпуск пакета findutils 4.10.0, включающего реализации утилит для организации поиска файлов в системе, таких как find, updatedb и locate, updatedb. В составе findutils также развивается утилита xargs, предназначенная для построения команд, выполняемых с данными из стандартного ввода, обычно формируемых при помощи утилиты find. В новой версии: Возобновлена поддержка Си-библиотеки Musl, распространяемой под лицензией MIT. Изменение позволяет использовать GNU findutils в дистрибутивах Linux, применяющих Musl вместо Glibc, таких как Void Linux, Alpine Linux, postmarketOS, OpenWrt и Static Linux. Решена «проблема 2038 года», приводившая к сбоям на системах с 32-разрядным типом time_t при обработке в утилитах findutils файлов, датированных … Читать далее Выпуск набора утилит GNU findutils 4.10.0 с возобновлением поддержки Си-библиотеки Musl

В выпуск Fedora Workstation 42, намеченный на весну следующего года, предложено добавить компоненты для сбора и отправки метрик, которые позволят изучить реальные предпочтения пользователей и учесть их при принятии решений, связанных с развитием дистрибутива, определением приоритетов в разработке и повышением удобства работы пользователей. Предложение пока находится на стадии обсуждения и не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. По умолчанию сбор телеметрии будет отключён и сможет быть активирован только при явном действии пользователя, при этом планируется предоставить отдельные опции для включения накопления телеметрии на локальной системе и её отправки на серверы Fedora. Пользователю … Читать далее В Fedora 42 намерены реализовать телеметрию и изменить модель доступа к дискам и flatpak

Компания Oracle сформировала новую ветку СУБД MySQL 9.0.0. Сборки MySQL Community Server 9.0.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. В рамках внедрённой в прошлом году модели формирования релизов, MySQL 9.0 отнесён к веткам «Innovation», к которым также будут отнесены следующие значительные релизы MySQL 9.1 и 9.2. Innovation-ветки рекомендованы для тех, кто хочет раньше получать доступ к новой функциональности, публикуются каждые 3 месяца и поддерживаются только до публикации следующего значительного релиза (например, после появления ветки 9.1 будет прекращена поддержка ветки 9.0). Примерно через год планируют сформировать LTS-релиз, который будет рекомендован для внедрений, которым необходима предсказуемость и длительное … Читать далее Доступна СУБД MySQL 9.0.0

Разработчики развиваемого с нуля свободного web-браузера Ladybird объявили о получении пожертвования, размером в 1 млн. долларов. Пожертвование предоставлено Крисом Ванстратом (Chris Wanstrath), со-основателем GitHub. Ранее браузер Ladybird являлся компонентом SerenityOS, любительского проекта по разработке с нуля Unix-подобной операционной системы, который был основан Андреасом Клингом (Andreas Kling), ранее работавшим в Nokia и занимавшимся разработкой Safari. В июне 2024 года, Клинг решил отделить проект браузера от проекта операционной системы, и полностью посвятить своё время его разработке. Согласно сообщению на сайте проекта, Ванстрат и его семья решили пожертвовать миллион долларов проекту для дальнейшего финансирования разработки, поскольку они верят в необходимость присутствия на рынке … Читать далее Проект свободного браузера Ladybird получил пожертвование в 1 млн. долларов от со-основателя GitHub

Опубликован релиз OpenSSH 9.8, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Помимо устранения отдельно анонсированной критической уязвимости (CVE-2024-6387), позволяющей добиться удалённого выполнения кода с правами root на стадии до прохождения аутентификации, в новой версии исправлена ещё одна менее опасная уязвимость и предложено несколько существенных изменений, нацеленных на повышение безопасности. Вторая уязвимость позволяет обойти добавленную в версии OpenSSH 9.5 защиту от атак по сторонним каналам, анализирующим задержки между нажатиями клавиш на клавиатуре для воссоздания ввода. Уязвимость позволяет отличить пакеты, создающие фоновую активность через симуляцию фиктивных нажатий клавиш, от пакетов, отправляемых при нажатии реальных клавиш, что … Читать далее Релиз OpenSSH 9.8 с отключением алгоритма DSA и дополнительными механизмами защиты

Компания Qualys выявила критическую уязвимость (CVE-2024-6387) в OpenSSH, позволяющую добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость, которая получила кодовое имя regreSSHion, проявляется в конфигурации по умолчанию начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc. Возможность совершения атаки продемонстрирована на 32-разрядной системе с Glibc c включённой защитой ASLR (рандомизация адресного пространства). Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью. Совершение атаки упрощается и требует меньше времени на системах без ASLR или в дистрибутивах, использующих модифицированный OpenSSH, в котором … Читать далее Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc

Тэо де Раадт (Theo de Raadt) внёс в кодовую базу OpenBSD-current, на основе которой формируется следующий значительный релиз, изменение, удаляющее DHCP-клиент dhclient. Вместо dhclient предлагается использовать постоянно запущенный фоновый процесс dhcpleased, поставляющийся начиная с OpenBSD 6.9 и использующий утилиту ifconfig для включения автоконфигурации сетевых интерфейсов через DHCP (включается через запуск «ifconfig $if autoconf» или добавление «inet autoconf» в /etc/hostname.$if). Начиная с OpenBSD 7.0 фоновый процесс dhcpleased был включён по умолчанию, а утилита dhclient переведена в разряд опций. Код dhcpleased, наряду с resolvd, slaacd и unwind, написан Флорианом Обзером (Florian Obser) для упрощения и унификации автоконфигурации сетевых интерфейсов. Источник: http://www.opennet.ru/opennews/art.shtml?num=61468 Читать далее Из OpenBSD удалена утилита dhclient в пользу фонового процесса dhcpleased

Пользователи некоммерческого удостоверяющего центра Let’s Encrypt, контролируемого сообществом и предоставляющего сертификаты безвозмездно всем желающим, при получении сертификатов столкнулись с невозможностью подтверждения прав на домены в зоне «.top» через DNS. С 25 июня DNS-серверы, отвечающие за домен первого уровня «.top», перестали принимать запросы от резолверов проекта Lets Encrypt, используемых в процессе проверки методом DNS-01, которая, например, требуется для получения сертификатов с масками, позволяющими охватить в одном сертификате группу поддоменов (например, *.example.com). Изначально предполагалось, что проблема связана с DNSSEC, но затем выяснилось, что сбой при проверке через DNSSEC не причина, а следствие и DNS-серверы домена «.top» возвращают ошибку для всех запросов Lets … Читать далее NS-сервера домена .top прекратили обслуживание запросов валидации Let’s Encrypt

Фёдор Индутный (Fedor Indutny), автор платформы Io.js (форк Node.js), входящий в технический комитет, управляющий разработкой Node.js, попытался привлечь внимание к проблеме с назначением CVE-идентификаторов некорректным отчётам об уязвимостям, не соответствующим действительности или неадекватно представляющим уровень опасности. Номер CVE, применяемый для идентификации уязвимости, присваивается без должной проверки и без консультации с разработчиками уязвимых программ, что приводит к появлению злоупотреблений, в которых под видом опасных уязвимостей преподносятся несущественные ошибки, на деле не представляющие угрозу безопасности. Ложные CVE не только подрывают репутацию проектов, но и создают значительную дополнительную нагрузку на сопровождающих, которым приходится разбирать потоки писем и сообщений, ссылающихся на подобные CVE. Самое … Читать далее Раздутый отчёт об уязвимости вынудил разработчика node-ip перевести репозиторий в архивный режим

Опубликован релиз Phosh 0.40, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру squeekboard. Наработки проекта распространяются под лицензией GPLv3+. В новом выпуске: Добавлены быстрые настройки для активации тёмного режима оформления и включения/выключения передачи данных через сеть мобильного оператора связи. Реализована возможность перевода устройства в спящий режим … Читать далее Выпуск Phosh 0.40, GNOME-окружения для смартфонов