home tags events about rss login

Things happen.

opennet honked 28 Mar 2024 22:00 +0100

Выпуск набора утилит GNU Coreutils 9.5 и его варианта на языке Rust

Опубликована стабильная версия набора базовых системных утилит GNU Coreutils 9.5, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln, ls и т.д.

Ключевые новшества:

  • В утилитах cp, mv, install, cat и split проведена оптимизация операций записи и чтения. Размер минимального читаемого или записываемого блока увеличен с 128KiB до 256KiB, что привело к повышению пропускной способности при чтении прокэшированных файлов на 10-20%.
  • В утилиты env, kill и timeout добавлена поддержка неименованных сигналов.
  • За счёт исключения трансляции ненужных меток MCS/MLS повышена эффективность операций копирования при использовании в системе SELinux.
  • Сокращено время запуска утилиты sort за счёт прекращения динамического связывания с библиотекой libcrypto в ситуациях, когда не указана опция "-R".
  • Значительно ускорена работа утилиты wc в окружениях с однобайтовыми локалями и немного ускорена на системах с многобайтовыми локалями.
  • В утилиту chgrp добавлена поддержка опции "--from=OWNER:GROUP" для применения изменений только к файлам с заданным владельцем и группой.
  • В утилите chmod по аналогии с утилитами chown и chmod реализованы опции "-h", "-H", "-L", "-P" и "--dereference", предоставляющие дополнительные возможности обработки символических ссылок.
  • В утилиту cp добавлена опция "--keep-directory-symlink" для сохранения и следования существующим символическим ссылкам на каталоги.
  • В утилиты cp и mv добавлена опция "--update=none-fail", которая напоминает опцию "--no-clobber", за исключением того, что выполнение завершается ошибкой если файлы уже существуют.
  • В утилиту env добавлена опция -a (--argv0) для переопределения нулевого параметра командной строки (путь к исполняемому файлу).
  • В утилиту mv добавлена опция "--exchange" для обмена содержимого источника и назначения (например, при выполнении "mv --exchange A B", содержимое А и B поменяется местами, т.е. A переместится в B, а B в A).
  • В утилиту tail добавлена поддержка отслеживания вывода из нескольких процессов через повторное указание нескольких опций "--pid".



Несколько дней назад также был опубликован выпуск проекта uutils coreutils 0.0.25, развивающего аналог пакета GNU Coreutils, переписанный на языке Rust. В состав coreutils входит более ста утилит, включая sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Целью проекта является создание кроссплатформенной альтернативной реализации Coreutils, способной работать в том числе на платформах Windows, Redox и Fuchsia. В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL.

В новой версии uutils в качестве эталонного задействован выпуск GNU Coreutils 9.4. Улучшена совместимость с эталонным тестовым набором GNU Coreutils, при прохождении которого успешно выполнено 437 теста (в прошлой версии 422), 117 (132) тестов завершилось неудачей, а 50 (50) тестов были пропущены. Обеспечена полная совместимость с GNU Coreutils для утилит base64, basename, cat, chgrp, chmod, chown, dirname, expand, fold, groups, join, ln, mktemp, nice, nl, nproc, paste, pathchk, printenv, realpath, shuf, sleep, split, sync, unexpand, uniq, wc и yes.

Расширены возможности, улучшена совместимость и добавлены недостающие опции для утилит base32, base64, basenc, basename, cat, chcon, chmod, cksum, cp, csplit, cut, dd, df, du, echo, env, expand, factor, fmt, hashsum, install, ln, ls, more, numfmt, odd, printf, pr, seq, shuf, sort, split, stat, tsort, tty, truncate, uname и uniq.



Источник: https://www.opennet.ru/opennews/art.shtml?num=60872

undeadly honked 28 Mar 2024 20:03 +0100

LibreSSL 3.8.4 and 3.9.1 released

In a not-quite-unexpected announcement, the LibreSSL development team released the new versions. The announcement reads,

Subject:    LibreSSL 3.8.4 and 3.9.1 released
From:       Brent Cook <busterb () gmail ! com>
Date:       2024-03-28 4:47:28

We have released LibreSSL 3.8.4 and 3.9.1 which will be arriving in the
LibreSSL directory of your local OpenBSD mirror soon. LibreSSL 3.9.1 is
the first stable release for the 3.9.x branch, and will also be
available with OpenBSD 7.5.

Read more…

opennet honked 28 Mar 2024 20:00 +0100

Amazon, Google, Oracle, Ericsson и Snap основали Valkey, форк СУБД Redis

Организация Linux Foundation объявила о создании проекта Valkey, который продолжит развитие открытой кодовой базы СУБД Redis, распространяемой под лицензией BSD. Проект будет развиваться под эгидой организации Linux Foundation на независимой площадке с привлечением сообщества разработчиков и компаний, заинтересованных в продолжении сохранения открытой кодовой базы Redis. К работе над проектом уже присоединились такие компании, как Amazon Web Services (AWS), Google Cloud, Oracle, Ericsson и Snap Inc.

Форк создан в ответ на изменение лицензионной политики компании Redis Ltd, занимающейся разработкой Redis. Начиная с выпуска Redis 7.4 решено прекратить публиковать новые возможности под лицензией BSD и распространять код проекта под двумя проприетарными лицензиями RSALv2 (Redis Source Available License v2) и SSPLv1 (Server Side Public License v1), которые вносят дополнительные ограничения, запрещающие бесплатное использование продукта для обеспечения работы облачных сервисов. Отличия лицензий RSALv2 и SSPLv1 сводится к тому, что лицензия SSPL основана на копилефт лицензии AGPLv3, а лицензия RSAL основана на пермиссивной лицензии BSD.

Лицензия RSAL позволяет использовать, изменять, распространять и интегрировать код в приложения, за исключением случаев, когда эти приложения является коммерческими или используются для предоставления управляемых платных сервисов (для внутренних сервисов допускается бесплатное использование, ограничение касается только платных сервисов, предоставляющих доступ к Redis). Лицензия SSPL содержит требование поставки под той же лицензией не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса.

Это третий открытый форк Redis: Неделю назад автор пользовательского окружения Sway и языка программирования Hare основал под именем Redict форк Redis 7.2.4, новые изменения в котором решено публиковать под лицензией LGPLv3. Кроме того, с 2019 года компания Snapchat развивает проект KeyDB, ответвившийся от Redis 5 и примечательный переходом на многопоточную архитектуру, использующий более эффективные методы работы с памятью и включающий такие дополнительные возможности, как активная репликация, хранилище, оптимизированное для Flash-накопителей, поддержка раздельного задания времени жизни вторичных ключей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60871

opennet honked 28 Mar 2024 16:00 +0100

Выпуск VPN Lanemu 0.11.6

Состоялся выпуск Lanemu P2P VPN 0.11.6 - реализации децентрализованной виртуальной частной сети, работающей по принципу Peer-To-Peer, при котором участники подключены друг к другу, а не через центральный сервер. Участники сети могут находить друг друга через BitTorrent-трекер или BitTorrent DHT, либо через других участников сети (peer exchange). Приложение является бесплатным и открытым аналогом VPN Hamachi, написано на языке Java (c отдельными компонентами на языке Си) и распространяется под лицензией GNU LGPL 3.0.

Изменения в версиях 0.11.5 и 0.11.6:

  • Добавлена начальная поддержка запуска приложения на FreeBSD. Для достижения паритета функционала tap драйвера, может понадобиться собрать ядро с экспериментальными патчами.
  • Добавлена возможность использования более нового tap-драйвера "Windows TAP adapter v9". Для его использования необходимо включить опцию в реестре Windows.
  • Улучшена работа библиотеки нативного трея для Linux/FreeBSD.
  • Размер буфера отправки увеличен по умолчанию с 10 до 100 пакетов.
  • Улучшен код сохранения приглашения в файл.
  • Реализована переменная окружения MAKEROOT_BIN для указания инструмента повышения привилегий (например, sudo или pkexec).
  • Улучшен код handlePeers в DHT и внесены другие улучшения в реализацию DHT.
  • Исправлена ошибка в классе Connector, которая приводила к повторному подключению к уже подключенному пиру каждые 5 минут.
  • Обновлена библиотека WaifUPnP до исправленной версии, которая устанавливает правильное имя приложения и применяет патч.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60870

opennet honked 28 Mar 2024 14:00 +0100

Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы

В утилите wall, поставляемой в пакете util-linux и предназначенной для отправки сообщений в терминалы, выявлена уязвимость (CVE-2024-28085), позволяющая осуществить атаку на терминалы других пользователей через манипуляцию с escape-последовательностями. Проблема вызвана тем, что утилита wall блокирует использование escape-последовательности во входном потоке, но не выполняет эту операцию для аргументов в командной строке, что позволяет атакующему выполнить escape-последовательности в терминале других пользователей.

Например, выполнив 'wall $(printf "\033[33mHI")' можно вывести надпись "HI" жёлтым цветом. При помощи escape-последовательностей, которые позволяют перемещать указатель, очищать и заменять содержимое на экране, можно симулировать показ приглашения о вводе пароля от утилиты sudo в терминале другого пользователя. Если пользователь не заметит подвоха и введёт свой пароль, то пароль засветится в истории ввода как несуществующая команда (по сути пользователь вместо команды введёт свой пароль в командной строке).

            "\033[3A" // перемещаем курсор вверх на 3 строк
            "\033[K"  // удаляем предыдущий вывод
            "[sudo] password for a_user:" // выводим фиктивный запрос sudo
            "\033[?25l" // выставляем фоновый цвет для скрытия ввода
            "\033[38;2;48;10;36m" 

Во время вывода предупреждения о том, что введённая команда не найдена, во многих дистрибутивах запускается обработчик /usr/lib/command-not-found, который пытается определить пакет, в котором присутствует отсутствующая команда, и выдать подсказку о возможности его установки. Проблема в том, что при запуске обработчика command-not-found несуществующая команда передаётся в него в качестве параметра командной строки, который виден при просмотре процессов в системе (например, при попытке запуска неустановленной утилиты "xsnow" в списке процессов будет виден "/usr/lib/command-not-found -- xsnow"). Соответственно, атакующий может организовать мониторинг запускаемых процессов (например, анализируя появление "/proc/$pid/cmdline" для прогнозируемого номера PID) и определить пароль, введённый жертвой в командной строке.

Для того чтобы пользователь ввёл пароль в ответ на фиктивное приглашение sudo предложен трюк, суть которого в отслеживании в списке процессов реального запуска утилиты sudo, ожидания её завершения и осуществления атаки через "wall" сразу после этого. Через манипуляции c escape-последовательностями атакующий может заменить сообщение после реального выполнения sudo на фиктивное приглашение повторного ввода пароля. Жертва может подумать, что ошиблась при вводе и ввести пароль второй раз, засветив пароль в аргументах обработчика "command-not-found".

Для успешной атаки требуется установка режима "mesg" в значение "y", которое по умолчанию выставлено в Ubuntu, Debian и CentOS/RHEL. Возможность проведения атаки продемонстрирована в Ubuntu 22.04 в конфигурации по умолчанию при использовании gnome-terminal. В Debian атака затруднена, так как в дистрибутиве по умолчанию не включён обработчик "command-not-found", а в CentOS/RHEL атака не сработает, так как утилита wall установлена без флага setgid и не имеет доступа к чужим терминалам. При использовании windows-terminal атака может быть модифицирована для изменения содержимого буфера обмена.

Уязвимость проявляется в пакете util-linux с 2013 года, после того как в выпуск 2.24 добавили возможность указания сообщения в командной строке wall, но забыли применить чистку escape-последовательностей. Исправление уязвимости включено во вчерашний выпуск util-linux 2.40. Примечательно, что при попытке исправления уязвимости в выпуске util-linux 2.39 была выявлена ещё одна похожая уязвимость, позволяющая совершить подстановку управляющих символов через манипуляцию с локалями.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60869

opennet honked 28 Mar 2024 10:00 +0100

Выпуск Samba 4.20.0

После 6 месяцев разработки представлен релиз Samba 4.20.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.20:

  • По умолчанию включена сборка новой утилиты "wspsearch" с реализацией экспериментального клиента для протокола WSP (Windows Search Protocol). Утилита позволяет отправлять поисковые запросы на Windows-сервер, на котором запущен сервис WSP.
  • В команде "smbcacls" реализована поддержка записи списков управления доступом DACL в файл и восстановления DACL из файла. Данные сохраняются в формате, поддерживаемом Windows-утилитой 'icacls.exe', что обеспечивает переносимость файлов с сохранёнными DACL (Discretionary Access Control List).
  • В утилиту "samba-tool" добавлены расширения для централизованных политик доступа Active Directory (Claims), политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos). Samba-tool теперь можно использовать для связывания пользователя c утверждениями (claims) для последующего использования в правилах, определяющих возможность доступа к рамках политики аутентификации.

    Кроме того, утилита samba-tool теперь может применяться для создания политик аутентификации и управления ими, а также для создания и управления контейнерами политик. Например, при помощи samba-tool можно определить откуда и куда может подключиться пользователь, если разрешено использование NTLM, и в каких сервисах пользователь может быть аутентифицирован.

  • В реализуемом на базе Samba контроллере домена Active Directory добавлена поддержка политик аутентификации (Authentication Policies) и контейнеров политик (Authentication Silos), созданных через утилиту samba-tool или импортированных из конфигураций Microsoft AD. Возможность доступна только на системах с функциональным уровнем Active Directory как минимум 2012_R2 ("ad dc functional level = 2016" в smb.conf).
  • В утилиту samba-tool добавлена работающая на стороне клиента поддержка управляемых учётных учётных записей gMSA (Group Managed Service Account), в которых используются автоматически обновляемые пароли. Предоставляемые в samba-tool команды управления паролем, которые раньше могли использоваться только с локальной БД sam.ldb, теперь можно применять и к внешнему серверу при аутентифицированном доступе, используя опцию "-H ldap://$DCNAME". Среди поддерживаемых операций: "samba-tool user getpassword" для чтения текущего и прошлого пароля gMSA; "samba-tool user get-kerberos-ticket" для записи Kerberos TGT (Ticket Granting Ticket) в локальный кэш учётных записей.
  • Добавлена поддержка условных записей контроля доступа (Conditional ACE), позволяющих разрешать или блокировать доступ в зависимости от дополнительных условий - если условное выражение не сработало, ACE игнорируется, а иначе применяется как обычный ACE. Условные проверки также могут применяться к атрибутам защищаемого объекта, описываемым атрибутами системных ресурсов (Resource Attribute ACE).
  • В реализацию кластера ctdb добавлена возможность предоставления сервиса MS-SWN (Service Witness Protocol), при помощи которого клиенты могут отслеживать свои SMB-cоединения к узлам кластера. Например, подключённый к узлу "A" клиент может запросить узел "B" отправить уведомление, если узел "A" окажется недоступен. Для управления сервисом предложена серия команд "net witness [list|client-move|share-move|force-unregister|force-response]", позволяющих администратору кластера просматривать зарегистрированных клиентов и запрашивать перенос соединения на другие узлы кластера.
  • Для конфигураций с MIT Kerberos5, работающих в роли контроллера домена Active Directory, теперь требуется как минимум версия MIT Krb5 1.21, в которой появилась дополнительная защита от уязвимости CVE-2022-37967.
  • При сборке с импортированным Heimdal Kerberos больше не требуется установка Perl-модуля JSON, вместо которого используется встроенный в Perl5 модуль JSON::PP.
  • В командах "samba-tool user getpassword" и "samba-tool user syncpasswords", используемых для определения и синхронизации пароля, изменён вывод при использовании параметра ";rounds=" с атрибутами virtualCryptSHA256 и virtualCryptSHA512 (например, '--attributes="virtualCryptSHA256;rounds=50000"').
    Было:
       virtualCryptSHA256: {CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
    
    Стало:
       virtualCryptSHA256;rounds=2561:{CRYPT}$5$rounds=2561$hXem.M9onhM9Vuix$dFdSBwF
    
  • В реализации MS-WKST (Workstation Service Remote Protocol) прекращена поддержка вывода списка подключённых пользователей на основе содержимого файла /var/run/utmp, хранящего данные о пользователях, в данный момент работающих в системе. Поддержка utmp прекращена из-за подверженности данного формата проблеме 2038 года.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60866

continue bonked 28 Mar 2024 09:35 +0100
original: alado@relib.re

#ИщуРаботу

*У меня завершилась тянущаяся уже три года временная работа. А новая, на которую я очень рассчитывал, отвалилась. В связи с этим...*

ИЩУ РАБОТУ
Работа нужна или удаленная или северо-запад СПб и Ленинградской области (Сестрорецк, Зеленогорск, Выборг, Приморск и т.д.). Пойдет как постоянная, так и разовая.
Мои специальности:
- Полиграфист: технический дизайнер, верстальщик, препресс.
Опыта - более 25 лет. Как верстальщик смогу сверстать вообще что угодно, причем, по всем правилам верстки (а не как сейчас верстают). Обладаю богатым опытом в автоматизации процесса верстки (верстка каталогов по имеющимся базам данных).
Как препресс, работал с цифровой и флексопечатью. Особая гордость - подготовка к печати макетов с серийными (переменными) данными.
- Администратор БД. Тут мой опыт ограничен работой с серверами 1С. Умею поднимать сервера (в том числе на Linux) со всеми необходимыми настройками. Умею ставить, настраивать и поддерживать рабочие станции 1С, устанавливать и обновлять конфигурации. Настраиваю права пользователей 1С (через группы и индивидуально).
Также могу работать в техподдержке пользователей 1С.
- Младший системный администратор / эникейщик. Не могу сказать, что я крутой спец, но для небольшой компании моих компетенций вполне хватит. Linux, Windows, установка-удаление-настройка-оптимизация, вот это вот всё.

Буду благодарен за любую помощь.

continue honked 28 Mar 2024 09:33 +0100

Interesting project: Circle

Circle is a C++ bare metal programming environment for the Raspberry Pi. It should be usable on all existing models (tested on model A+, B, B+, on Raspberry Pi 2, 3, 4, 400, 5 and on Raspberry Pi Zero), except on the Raspberry Pi Pico, which is not supported.

Liсence: GPL-3.0 license
Docs: https://circle-rpi.readthedocs.io/

#OsDev #cpp

opennet honked 28 Mar 2024 08:00 +0100

Более половины опрошенных американцев используют блокировщики рекламы

Опрос, проведённый среди 2000 американцев, показал, что 52% пользователей применяют блокировщики рекламы в браузере. Наиболее популярной причиной установки блокировщика рекламы отмечена забота о своей конфиденциальности (20%), а нежелание смотреть рекламу находится на втором месте (18%). 9% в качестве причины упомянули возможность ускорить загрузку страниц. Опрос был проведён среди жителей США компанией Censuswide, специализирующейся на независимых маркетинговых исследованиях, по заказу разработчиков блокировщика Ghostery. В похожем исследовании, проведённом в 2022 году, число пользователей блокировщиков оценивалось в 34%.

Наибольшей популярностью блокировщики рекламы пользуются у людей, профессиональная деятельность которых связана с информационной безопасностью (76%), программированием (72%) и рекламой (66%). Примечательно, что общий процент использующих блокировщик из-за нежелания смотреть рекламу для данных категорий остался примерно на уровне 20%, а число указавших в качестве причины защиту конфиденциальности выросло до примерно 30%. Среди программистов и специалистов по безопасности также заметно больше желающих использовать блокировщик рекламы для ускорения загрузки страниц.

49% опрошенных считают, что крупные компании навязывают рекламу и средства отслеживания пользователей, например, Google делает это через продвижение третьей версии манифеста Chrome и борьбу с блокировщиками рекламы в YouTube. 38% считают, что у них должна быть возможность выбора, когда смотреть рекламу, а когда нет. 33% полагают, что право использовать блокировщики рекламы должно быть защищено на законодательном уровне. 26% занимают позицию, что по умолчанию интернет должен быть без рекламы.

На вопрос о том, утечка каких конфиденциальных данных их беспокоит, 38% отметили данные о навигации в сети и поиске, 37% - сведения о местоположении, 33% данные о покупках, 33% - информацию, связанную со здоровьем, 26% - сведения о политических взглядах и 22% - информацию о просмотре контента для взрослых.

На вопрос, какие компании злоупотребляют сбором персональных данных и отслеживанием посетителей, 59% отметили TikTok, 56% - Meta, 49% - Twitter, 48% - OpenAI, 44% - Google, 41% - Apple, 40% - Amazon и 38% - Microsoft.



Источник: https://www.opennet.ru/opennews/art.shtml?num=60868

opennet honked 27 Mar 2024 20:00 +0100

Выпуск дистрибутива Tails 6.1

Сформирован релиз специализированного дистрибутива Tails 6.1 (The Amnesic Incognito Live System), основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 ГБ.

В новой версии обновлены версии Tor Browser 13.0.13 (на базе Firefox 115.9.1) и Thunderbird 115.9. Добавлена новая версия микрокода для CPU Intel с изменениями, необходимыми для блокирования уязвимости RFDS. В конфигураторе постоянного хранилища обеспечено отображение всех включённых дополнительных возможностей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60864

opennet honked 27 Mar 2024 16:00 +0100

Выпуск Angie 1.5.0, российского форка Nginx

Опубликован выпуск высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера Angie 1.5.0, ответвлённого от Nginx группой бывших разработчиков проекта, уволившихся из компании F5 Network. Исходные тексты Angie доступны под лицензией BSD. Проект получил сертификаты совместимости с российскими операционными системами Ред ОС, Astra Linux Special Edition, Роса Хром Сервер, Альт и ФСТЭК-версии Альт.

Сопровождением разработки занимается компания "Веб-сервер", образованная осенью 2022 года и получившая инвестиции в размере 1 млн долларов. Среди совладельцев компании Веб-сервер: Валентин Бартенев (лидер команды, развивавшей продукт Nginx Unit), Иван Полуянов (бывший руководитель фронтэнд-разработчиков Rambler и Mail.Ru), Олег Мамонтов (руководитель команды техподдержки NGINX Inc) и Руслан Ермилов (ru@FreeBSD.org).

Изменения в выпуске Angie 1.5.0:

  • Добавлен модуль http_acme, предназначенный для автоматизации получения и обновления сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), применяемого удостоверяющим центром Let’s Encrypt. При использовании http_acme администраторам не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в Let’s Encrypt или другом сервисе, поддерживающем протокол ACME.
       http {
           resolver 127.0.0.1:53; # требуется для директивы 'acme_client'
           acme_client example https://acme-staging-v02.api.letsencrypt.org/directory;
    
           server {
            listen               80; 
            listen               443 ssl;
            server_name          example.com www.example.com;
    
            acme                 example;
            ssl_certificate      $acme_cert_example;
            ssl_certificate_key  $acme_cert_key_example;
        }
    }
    
  • Добавлена директива auto_redirect для управления поведением автоматического перенаправления в ситуациях, когда значение в директиве "location" завершается символом "/". Если директива "auto_redirect" выставлена в значение "on", то сервер сервер применит перенаправление для URI запросов, не заканчивающихся на "/" (в примере запрос к "/prefix" будет перенаправлен на "/prefix/").
       location /prefix/ {
           auto_redirect on;
       }
    
  • Предоставлена возможность использования эпохального времени вместо времени в формате ISO 8601 при экспорте метрик для системы мониторинга Prometheus или в JSON API. Для использования эпохального времени следует использовать при запросе параметр "date=epoch".
  • В API выдачи статистики реализовано новое состояние "recovering", показывающее, что в соответствии с настройкой slow_start состояние upstream-хоста постепенно восстанавливается после сбоя.
  • При указании аргумента "-V" в командной строке обеспечен показ версии nginx, соответствующей текущей сборке Angie.
  • Из репозитория проекта nginx перенесены изменения, накопившиеся в nginx 1.25.4.
  • Сформированы пакеты для FreeBSD 13 (arm64) и RED OS 8 (x86-64).
  • Добавлен пакет для модуля angie-module-otel (NGINX Native OpenTelemetry). Пакет angie-module-opentracing обновлён до версии nginx-opentracing 0.34.0.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60863

continue honked 27 Mar 2024 13:18 +0100

Управлять уровнем логирования при запуске pytest можно аргументом командной строки --log-level, например:

pytest --log-level=debug

#Python #WorkLog

continue bonked 27 Mar 2024 10:07 +0100
original: opennet@honk.any-key.press

Уязвимости в ядре Linux, позволяющие поднять свои привилегии через nf_tables и ksmbd

В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2024-1086), позволяющая локальному пользователю выполнить код на уровне ядра и поднять свои привилегии в системе. Проблема вызвана двойным освобождением памяти (double-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables. Выявивший уязвимость исследователь безопасности разработал и опубликовал рабочий прототип эксплоита.

Работа эксплоита продемонстрирована в актуальных выпусках Debian и Ubuntu с ядрами Linux 5.14 - 6.6, а также в окружении с ядром KernelCTF (Capture the Flag), включающем дополнительные патчи для блокирования типовых методов работы эксплоитов и используемом компанией Google в программе выплаты вознаграждений за поиск уязвимостей. Степень успешности работы эксплоита оценивается в 99.4%. В сопроводительной статье детально разобран процесс создания сложного многоуровневого эксплоита и обход присутствующих в ядре механизмов защиты и противодействия работе эксплоитов.

Проблема связана с ошибкой в функции nft_verdict_init(), которая допускает использования положительных значений в качестве кода ошибки отбрасывания пакетов (DROP) в hook-ах, что может быть использовано для вызова в функции nf_hook_slow() повторной операции освобождения памяти для буфера, для которого уже была вызвана функция free(). Проблема возникает, когда операция NF_DROP формируется с ошибкой и ядро вначале интерпретирует NF_DROP, но затем освобождает буфер и возвращает статус NF_ACCEPT. Данная ситуация приводит к тому, что несмотря на освобождение связанного с пакетом буфера, его обработка не прекращается, а передаётся в другой обработчик, который в свою очередь второй раз вызывает функцию освобождения памяти.

Уязвимость проявляется начиная с версии ядра Linux 3.15, но эксплоит работает с ядрами начиная с версии 5.14. Исправление уязвимости предложено в выпуске ядра Linux 6.8-rc1 и в конце февраля перенесено в стабильные ветки 5.15.149, 6.1.76 и 6.6.15. В дистрибутивах проследить за исправлением уязвимости можно на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.


Дополнительно можно отметить серию уязвимостей в модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB: Уязвимость CVE-2024-26592 позволяет удалённо без прохождения аутентификации добиться выполнения своего кода с правами ядра на системах с активированным модулем ksmbd. Проблема вызвана состоянием гонки в коде обработки TCP-соединения, которое возникает из-за отсутствия выставления должных блокировок при работе с объектом.

Уязвимость CVE-2023-52440 также позволяет удалённо добиться выполнения своего кода с правами ядра, но вызвана переполнением буфера при обработке некорректных сессионных ключей из-за отсутствия должной проверки размера данных, полученных от пользователя, перед их копированием в буфер фиксированного размера.

Уязвимости (1, 2, 3) CVE-2024-26594, CVE-2023-52442 и CVE-2023-52441 в ksmbd дают возможность удалённо без прохождения аутентификации определить содержимое памяти ядра. Уязвимость CVE-2024-26594 вызвана некорректной проверкой данных при обработке поступивших токенов SMB2 Mech, что приводит к возвращению данных из области за границей буфера. Уязвимость CVE-2023-52442 вызвана отсутствием должной проверки входных данных при обработке связанных в цепочку (chained) запросов. Уязвимость CVE-2023-52441 вызвана отсутствием необходимой проверки входных данных при обработке запросов согласования соединения SMB2.

Уязвимости CVE-2024-26594 и CVE-2024-26592 устранены в ядре 6.8 и корректирующих обновлениях прошлых стабильных веток 6.1.75, 6.6.14, 6.7.2. Остальные уязвимости устранены в ядре 6.5 и обновлениях 5.15.145, 6.1.53, 6.4.16.


В заключение можно упомянуть активацию работы новой команды разработчиков ядра Linux, созданной для анализа наличия уязвимостей и оценки связи вносимых в ядре исправлений с проблемами безопасности. В феврале разработчиками ядра была создана собственная служба CNA (CVE Numbering Authority), которая получила полномочия самостоятельного присвоения CVE-идентификаторов уязвимостям. До этого присвоение CVE и анализ связи исправлений с возможными уязвимостями ложился на плечи разработчиков дистрибутивов, а в ядре потенциальные уязвимости не оставались выделены и фигурировали наравне с обычными исправлениями. Результаты работы новой службы превзошли все ожидания - ежедневно в ядре помечается до нескольких десятков новых уязвимостей, которые ранее не были помечены как проблемы с безопасностью. Например, 26 марта новые CVE-идентификаторы присвоены 14 уязвимостям, которые ранее не рассматривались как проблемы с безопасностью, а 25 марта - 41 уязвимости.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60860

opennet honked 27 Mar 2024 10:00 +0100

Уязвимости в ядре Linux, позволяющие поднять свои привилегии через nf_tables и ksmbd

В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2024-1086), позволяющая локальному пользователю выполнить код на уровне ядра и поднять свои привилегии в системе. Проблема вызвана двойным освобождением памяти (double-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables. Выявивший уязвимость исследователь безопасности разработал и опубликовал рабочий прототип эксплоита.

Работа эксплоита продемонстрирована в актуальных выпусках Debian и Ubuntu с ядрами Linux 5.14 - 6.6, а также в окружении с ядром KernelCTF (Capture the Flag), включающем дополнительные патчи для блокирования типовых методов работы эксплоитов и используемом компанией Google в программе выплаты вознаграждений за поиск уязвимостей. Степень успешности работы эксплоита оценивается в 99.4%. В сопроводительной статье детально разобран процесс создания сложного многоуровневого эксплоита и обход присутствующих в ядре механизмов защиты и противодействия работе эксплоитов.

Проблема связана с ошибкой в функции nft_verdict_init(), которая допускает использования положительных значений в качестве кода ошибки отбрасывания пакетов (DROP) в hook-ах, что может быть использовано для вызова в функции nf_hook_slow() повторной операции освобождения памяти для буфера, для которого уже была вызвана функция free(). Проблема возникает, когда операция NF_DROP формируется с ошибкой и ядро вначале интерпретирует NF_DROP, но затем освобождает буфер и возвращает статус NF_ACCEPT. Данная ситуация приводит к тому, что несмотря на освобождение связанного с пакетом буфера, его обработка не прекращается, а передаётся в другой обработчик, который в свою очередь второй раз вызывает функцию освобождения памяти.

Уязвимость проявляется начиная с версии ядра Linux 3.15, но эксплоит работает с ядрами начиная с версии 5.14. Исправление уязвимости предложено в выпуске ядра Linux 6.8-rc1 и в конце февраля перенесено в стабильные ветки 5.15.149, 6.1.76 и 6.6.15. В дистрибутивах проследить за исправлением уязвимости можно на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.


Дополнительно можно отметить серию уязвимостей в модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB: Уязвимость CVE-2024-26592 позволяет удалённо без прохождения аутентификации добиться выполнения своего кода с правами ядра на системах с активированным модулем ksmbd. Проблема вызвана состоянием гонки в коде обработки TCP-соединения, которое возникает из-за отсутствия выставления должных блокировок при работе с объектом.

Уязвимость CVE-2023-52440 также позволяет удалённо добиться выполнения своего кода с правами ядра, но вызвана переполнением буфера при обработке некорректных сессионных ключей из-за отсутствия должной проверки размера данных, полученных от пользователя, перед их копированием в буфер фиксированного размера.

Уязвимости (1, 2, 3) CVE-2024-26594, CVE-2023-52442 и CVE-2023-52441 в ksmbd дают возможность удалённо без прохождения аутентификации определить содержимое памяти ядра. Уязвимость CVE-2024-26594 вызвана некорректной проверкой данных при обработке поступивших токенов SMB2 Mech, что приводит к возвращению данных из области за границей буфера. Уязвимость CVE-2023-52442 вызвана отсутствием должной проверки входных данных при обработке связанных в цепочку (chained) запросов. Уязвимость CVE-2023-52441 вызвана отсутствием необходимой проверки входных данных при обработке запросов согласования соединения SMB2.

Уязвимости CVE-2024-26594 и CVE-2024-26592 устранены в ядре 6.8 и корректирующих обновлениях прошлых стабильных веток 6.1.75, 6.6.14, 6.7.2. Остальные уязвимости устранены в ядре 6.5 и обновлениях 5.15.145, 6.1.53, 6.4.16.


В заключение можно упомянуть активацию работы новой команды разработчиков ядра Linux, созданной для анализа наличия уязвимостей и оценки связи вносимых в ядре исправлений с проблемами безопасности. В феврале разработчиками ядра была создана собственная служба CNA (CVE Numbering Authority), которая получила полномочия самостоятельного присвоения CVE-идентификаторов уязвимостям. До этого присвоение CVE и анализ связи исправлений с возможными уязвимостями ложился на плечи разработчиков дистрибутивов, а в ядре потенциальные уязвимости не оставались выделены и фигурировали наравне с обычными исправлениями. Результаты работы новой службы превзошли все ожидания - ежедневно в ядре помечается до нескольких десятков новых уязвимостей, которые ранее не были помечены как проблемы с безопасностью. Например, 26 марта новые CVE-идентификаторы присвоены 14 уязвимостям, которые ранее не рассматривались как проблемы с безопасностью, а 25 марта - 41 уязвимости.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60860

opennet honked 27 Mar 2024 08:00 +0100

Обновление ОС Qubes 4.2.1, использующей виртуализацию для изоляции приложений

Представлен выпуск операционной системы Qubes 4.2.1, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы рекомендуется система с 16 Гб ОЗУ (минимум - 6 Гб) и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа - 6 ГБ (x86_64).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений (например, работа, развлечения, банковские операции), а также системные сервисы (сетевая подсистема, межсетевой экран, работа с хранилищем, USB-стек и т.п.), работают в отдельных виртуальных машинах, запускаемых с использованием гипервизора Xen. При этом указанные приложения доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Ubuntu, Gentoo и Arch Linux. Возможна организация доступа к приложениям в виртуальной машине с Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.

В новом выпуске отмечено обновление версий программ, формирующих базовое системное окружение (dom0). Подготовлен шаблон для формирования виртуальных окружений на базе Fedora 39. По умолчанию задействовано ядро Linux 6.6, что сократило число ситуаций при которых требуется установка пакета с ядром kernel-latest на системах с новым оборудованием.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60858

opennet honked 27 Mar 2024 08:00 +0100

Выпуск Bubblewrap 0.9, прослойки для создания изолированных окружений

После года разработки опубликована новая версия инструментария для организации работы изолированных окружений Bubblewrap 0.9, используемого для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Код проекта написан на языке Си и распространяется под лицензией LGPLv2+.

Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для выполнения привилегированных операций по настройке контейнера Bubblewrap запускается с правами root (исполняемый файл c suid-флагом) с последующим сбросом привилегий после завершения инициализации контейнера.

Активация в системе пространств имён идентификаторов пользователя (user namespaces), позволяющих использовать в контейнерах собственный отдельный набор идентификаторов, для работы не требуется, так как по умолчанию не работает во многих дистрибутивах (Bubblewrap позиционируется как ограниченная suid-реализация подмножества возможностей user namespaces - для исключения всех идентификаторов пользователей и процессов из окружения, кроме текущего, используются режимы CLONE_NEWUSER и CLONE_NEWPID). Для дополнительной защиты исполняемые под управлением Bubblewrap программы запускаются в режиме PR_SET_NO_NEW_PRIVS, запрещающем получение новых привилегий, например, при наличии флага setuid.

Изоляция на уровне файловой системы производится через создание по умолчанию нового пространства имён точек монтирования (mount namespace), в котором при помощи tmpfs создаётся пустой корневой раздел. В данный раздел при необходимости прикрепляются разделы внешней ФС в режиме "mount --bind" (например, при запуске c опцией "bwrap --ro-bind /usr /usr" раздел /usr пробрасывается из основной системы в режиме только для чтения). Сетевые возможности ограничиваются доступом к loopback-интерфейсу с изоляцией сетевого стека через флаги CLONE_NEWNET и CLONE_NEWUTS.

Ключевым отличием от похожего проекта Firejail, который также использует модель запуска с применением setuid, является то, что в Bubblewrap прослойка для создания контейнеров включает только необходимый минимум возможностей, а все расширенные функции, необходимые для запуска графических приложений, взаимодействия с рабочим столом и фильтрации обращений к Pulseaudio, вынесены на сторону Flatpak и выполняются уже после сброса привилегий. Firejail же объединяет в одном исполняемом файле все сопутствующие функции, что усложняет его аудит и поддержание безопасности на должном уровне.

В новом выпуске:

  • Из пакета с исходными текстами удалены файлы, сгенерированные в Autotools. Для сборки теперь рекомендуется использовать сборочную систему Meson. Опциональная поддержка Autotools пока сохранена, но в будущих выпусках её планируется удалить.
  • Добавлена опция "--argv0" для выставления значения нулевого аргумента командной строки (argv[0] - имя исполняемого файла, например "--argv0 /usr/bin/test").
  • Опция "--symlink" теперь срабатывает только когда символическая ссылка уже существует и указывает на нужный целевой файл.
  • Документирована опция "--cap-add", применяемая для выставления capability-флагов, например, "CAP_DAC_READ_SEARCH".
  • Повышена информативность ошибок, выводимых при сбое монтирования.
  • Упрощён процесс создания unit-тестов.
  • В примерах использования прекращена поддержка старых версий Python.
  • Улучшены операции выделения памяти.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60857

opennet honked 26 Mar 2024 23:00 +0100

Дистрибутив Fedora Linux 40 перешёл на стадию бета-тестирования

Началось тестирование бета-версии дистрибутива Fedora Linux 40. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 23 апреля. Выпуск охватывает Fedora Workstation, Fedora Server, Fedora Silverblue, Fedora IoT, Fedora CoreOS, Fedora Cloud Base, Fedora Onyx и Live-сборки, поставляемые в форме спинов c пользовательскими окружениями K предложилиDE Plasma 5, Xfce, MATE, Cinnamon, LXDE, Phosh, LXQt, Budgie и Sway . Сборки сформированы для архитектур x86_64, Power64 и ARM64 (AArch64).

Наиболее значимые изменения в Fedora Linux 40:

  • Рабочий стол в Fedora Workstation обновлён до выпуска GNOME 46.
  • Редакция с рабочим столом KDE обновлена до выпуска KDE 6, использующего протокол Wayland. Поддержка сеанса на основе протокола X11 прекращена, а для запуска X11-приложений в сеансе на основе Wayland задействован DDX-сервер XWayland. В качестве причины прекращения поддержки сеанса с X11 упоминается перевод X.Org-сервера в RHEL 9 в категорию устаревших и решение полностью удалить его в будущем значительном выпуске RHEL 10. Среди факторов, способствовавших оставлению только поддержки Wayland называется выполненная в Fedora 36 замена драйверов fbdev на драйвер simpledrm, корректно работающий с Wayland, а также появление поддержки Wayland в проприетарных драйверах NVIDIA.
  • Атомарно обновляемые пользовательские дистрибутивы, развиваемые проектом Fedora, объединены в единое семейство под брендом Atomic Desktops, но давно существующие атомарные сборки сохранили старое название. В итоге, Fedora Silverblue на базе GNOME и Fedora Kinoite на базе KDE, а также Fedora CoreOS и Fedora IoT, сохранили прежние имена, но новые сборки Fedora Sericea и Fedora Onyx теперь распространяются под именами Fedora Sway Atomic и Fedora Budgie Atomic.
  • Обновлены версии пакетов, среди которых LLVM 18, GCC 14, binutils 2.41, glibc 2.39, gdb 14.1, PHP 8.3, Ruby 3.3, Go 1.22, Java 21, AMD ROCm 6, Boost 1.83, 389 Directory Server 3.0.0, Podman 5, PostgreSQL 16, TBB (Thread Building Blocks) 2021.8, SQLAlchemy 2, Kubernetes 1.29.
  • В конфигураторе NetworkManager по умолчанию включён механизм определения конфликта IPv4-адресов в локальной сети (RFC 5227), суть которого в отправке проверочного ARP-пакета перед прикреплением адреса к сетевому интерфейсу (если получен ответ, значит адрес занят и не будет назначен). Для беспроводных соединений обеспечено назначение отдельного постоянного MAC-адреса (режим stable-ssid в NetworkManager).
  • Сборочные инструментарии Mock (mock-core-configs), Koji и Copr переведены на использование пакетного менеджера DNF 5 для установки сборочных зависимостей в chroot-окружение, используемое при сборке пакетов. Перевод самого дистрибутива на DNF 5 ожидается в следующей выпуске.
  • В пакетном менеджере DNF по умолчанию отключена загрузка метаданных со списками файлов, входящих в пакеты. Подобные данные редко используются, но имеют большой размер и замедляют работу.
  • Удалён пакет с библиотекой OpenSSL 1.1, в связи с прекращением поддержки данной ветки. Привязанные к OpenSSL 1.1 зависимости переключены на OpenSSL 3.0. Удалён пакет python3.7.
  • Библиотека Zlib заменена на форк Zlib-ng, совместимый с zlib на уровне API, но предоставляющий дополнительные оптимизации для повышения производительности.
  • Прекращено формирование delta-обновлений RPM-пакетов, позволяющих загружать при обновлении только изменившиеся данные относительно уже установленной версии пакета. Отключена поддержка deltarpm в DNF и DNF5.
  • Добавлен Passim, кэширующий сервер для распространения часто запрашиваемых файлов в локальной сети без прямого обращения к основным серверам и без привлечения глобальных CDN.
  • Модуль pam_userdb переведён с использования BerkeleyDB на GDBM из-за прекращения сопровождения ветки BerkeleyDB 5.x и перевода ветки BerkeleyDB 6.x на неприемлемую лицензию. Bogofilter переведён на использование SQLite вместо BerkeleyDB (libdb).
  • Для сборки Live-образов Fedora Workstation задействован инструментарий Image Builder, поддерживающий повторяемые сборки и предлагающий пользователям более простой процесс кастомизации образов.
  • Для сборки минимальных образов для архитектуры ARM задействован инструментарий osbuild.
  • Для формирования образов Fedora Cloud Edition вместо ImageFactory задействован инструментарий Kiwi.
  • Проведена реструктуризация пакетов для Kubernetes.
  • Fedora IoT, редакция для устройств интернета вещей, переведена на использование загрузочных контейнеров, сформированных при помощи инструментария OSTree и технологии bootc.
  • Утилита wget заменена на wget2, а утилита iotop на iotop-c.
  • В редакциях Fedora Silverblue и Kinoite включена программ bootupd, выполняющая обновление загрузчика.
  • Объявлена устаревшей библиотека libuser, которая осталась без сопровождения и уже не используется в других пакетах Fedora (для поддержки LDAP в дистрибутиве давно применяется SSSD). Удалён пакет passwd с реализацией утилиты passwd на базе libuser, вместо которой задействована аналогичная утилита из пакета shadow-utils.
  • Проведена работа по подготовке к включению в GCC по умолчанию более новой версии стандарта языка Си, что ознаменует прекращение по умолчанию поддержки некоторых устаревших возможностей языка, таких как неявное определение функций и неявное присвоение типа int.
  • Реализована вторая стадия перехода на модернизированный процесс загрузки, предложенный Леннартом Поттерингом. Отличия от классической загрузки сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструктуре дистрибутива и заверенного цифровой подписью дистрибутива. Образ UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна, так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.

    На второй стадии добавлена возможность прямой загрузки UKI из UEFI-модуля shim.efi без привлечения отдельного загрузчика (grub, sd-boot), реализована поддержка использования UKI на системах с архитектурой Aarch64 и подготовлен вариант UKI-образа для облачных окружений и защищённых виртуальных машин. До этого на первой стадии в Fedora 38 была добавлена поддержка UKI в загрузчик, реализован инструментарий для установки и обновления UKI, а также сформирован экспериментальный образ UKI для загрузки виртуальных машин с ограниченным набором компонентов и драйверов.

  • В репозиторий добавлен готовый пакет с фреймворком машинного обучения PyTorch, доступный для установки командой "dnf install pytorch". В настоящее время в пакете включены только компоненты для вычислений при помощи CPU, но в будущих выпусках планируют добавить поддержку привлечения GPU и специализированных NPU-ускорителей.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60852

continue honked back 26 Mar 2024 19:43 +0100
in reply to: https://mastodon.ml/users/b000ka/statuses/112162855676500743

@b000ka

Классно, что твои посты о заваривании обоюдно радуют и пишущего и читающего))
Вообще приятно видеть все твои посты в ленте (не только про чай-кофе), они приятно разбавляют мою ленту. Пиши ещё))

opennet honked 26 Mar 2024 18:00 +0100

Драйвер для файловой системы Ext2 объявлен устаревшим

В кодовую базу, на основе которой формируется ядро Linux 6.9, принято изменение, переводящее драйвер с реализацией файловой системы Ext2 из категории поддерживаемых в разряд устаревших (deprecated). В качестве причины упоминается поддержка в драйвере только 32-разрядных счётчиков времени в inode, которые переполнятся 19 января 2038 года.

Для работы с существующими разделами вместо драйвера ext2 предлагается использовать драйвер ext4, который поддерживает работу с файловой системой Ext2 и полностью совместим с ней, но при этом может использовать в ext2-разделах временные метки, не подверженные проблеме 2038 года, если ФС создана с inode, размером более 255 байт (в драйвере ext2 32-счётчики времени использовались независимо от размера inode).

Пользователям ext2 рекомендуется проверить используемый размер inode. Утилита mkfs.ext2 по умолчанию была переведена на использование 256-байтовых inode начиная с версии 1.46.5 (поставляется в Ubuntu 22.04), до этого для увеличения размера inode можно было использовать команду "mkfs.ext2 -I 256". В случае использования 128-байтовых inode, их следует сконвертировать в 256-байтовые:

   $ sudo tune2fs -l /dev/sda1 | grep "Inode size"
   Inode size:	          128

   $ sudo e2fsck -f /dev/sda1

   $ sudo tune2fs -I 256 /dev/sda1 

По словам Теодора Цо (Theodore Ts'o), создателя файловых систем Ext2/3/4, если кому-то будет нехватать драйвера ext2 в силу его простоты (например, драйвер может быть востребован для экономии ресурсов на встраиваемых системах), ещё не поздно перенести в него поддержку 64-разряных счётчиков времени, что не представляет большого труда.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60853

continue bonked 26 Mar 2024 12:15 +0100
original: vas3k@mastodon.online

В интернетах всё узнали раньше всех, но теперь официально: нашу команду сокращают и я ищу работу!

Самые классные работы я находил силой нетворкинга, надеюсь и в этот раз поможет! Если вам или знакомым нужен сеньористый или лид разработчик (Python, Go, JS), пишите. Важное ограничение — нужно трудоустройство в Германии.

Мое резюме с контактами: https://raw.githubusercontent.com/vas3k/vas3k/master/cv.pdf

Моё сердечко лежит к продуктовым командам и стартапам, ибо лучше всего я умею именно создавать и запускать продукты

opennet honked 26 Mar 2024 10:00 +0100

В библиотеке SDL3 отложили переход на Wayland по умолчанию

Разработчики библиотеки SDL (Simple DirectMedia Layer), нацеленной на упрощение написания игр и мультимедийных приложений, отменили изменение, переводящее ветку SDL3 на использование по умолчанию протокола Wayland в окружениях, предоставляющих одновременную поддержку Wayland и X11. В качестве причины упоминается наличие проблем, нерешённых в экосистеме Wayland, связанных с блокировкой поверхностей и реализацией FIFO (vsync). Указанные проблемы приводят к снижению производительности и не могут быть полноценно решены без реализации дополнительных протоколов fifo-v1 и commit-timing-v1.

Отмечается, что без решения данных проблем переход с X11 на Wayland не несёт каких-либо преимуществ для обычных приложений и игр, а лишь приводит к серьёзному снижению производительности и регрессиям. К рассмотрению возможности перехода SDL на Wayland по умолчанию планируют вернуться только после утверждения протоколов fifo-v1 и commit-timing-v1 и, их реализации в стабильных версиях основных композитных менеджеров.

Кроме того, можно упомянуть первый тестовый выпуск новой ветки SDL 3, в котором выполнена переработка некоторых подсистем, внесены нарушающие совместимость изменения в API и проведена большая чистка устаревших возможностей, потерявших актуальность в современных реалиях. Например, в SDL 3 полностью переработан код для работы со звуком, прекращена поддержка OpenGL ES 1.0 и DirectFB, удалён код для работы на устаревших платформах, таких как QNX, Pandora, WinRT и OS/2. В API 2D-отрисовки добавлен бэкенд для отрисовки через API Vulkan, расширена поддержка HDR и цветовых пространств. Заменён API для работы с прозрачными окнами. Добавлена поддержка видеозахвата с web-камер и возможность использования планшетов и цифровых ручек. Добавлены новые диалоги для открытия и сохранения файлов. Задействован по умолчанию мультимедийный сервер PipeWire.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60847

continue bonked 26 Mar 2024 09:39 +0100
original: kapunta@merveilles.town

worm game for #uxn. play online: https://rabbits.srht.site/uxn5/#r=GaCwa4AIN6CAbIAKN6BAfIAMN6AAFIAwP4AihAhTJDegATeAgDegAZ6AkDdgBFFgASkAoBuDFgggARuAghYGgAgcIAERoAMPEAkgAARgAQsABoAQHCAAIQaAIBwgACAGgEAcIAAfBoCAHCAAHiAAIaAggDw1ABkAgABgAaYAgAJgAaAAgANgAZoAgAFgAZQAgA-QgAEeBBEAgACgAJYWCQaA9hOgAQEpIABMhWYLAKQAgJI2oAAAOYCUgQYhJ2ADlSdgA5EqwAMgAAMkRl4iJmADg6AAAyogAARCQAARAoGAWQbAAljAA1xPYAEsgJI2gL4zgJQ2gL8zAIAPECAAR4AIEAYgAAcCgAkQYACEgAEZgAgRgA6QgAEZjwQRT4ALMIANEGABj2ABqIAACCAABgKA_2ABSyAADoALsIEaaHQFMWABOmABpwCggA8XAKADAyaAADGAAjGgAQQRoAEFEaAAAYAGMaACChGgAAgRoBAJEaAADxFgABdgAOKgAACAKLcBATegwC4XoAIJgCA3bIAFEIAEEYAAMK-ABBBvYAEqFYAEEGABDIBVEgoQIAAMgAIwYAD4gAIxQAAmgAqAqhkEEYAGsCGPBTHPgB8cIAAPgAmQBoAECCAAA4EcH0KAADCAAjDgAACoIAAHYWAAu0D_9SIibyGABjApIAAmgB4AC4AJPwqACpABAQQRYABIbAaABBAegAIJIAACAmyABRFsoAMPEaADUoAgN6AAACaAgDeAkDegAAMTAKAgAIGA-xMIDACAzhkgN6ABN4CAN6ABnoCQNwBgAiCAFJsaGWACGIEHMyZgAF4gAAaACzFAAAQiQP_fYAH_gAMcgA0RYAH2gH8cgBAYgA4RbIAABKADrzgUbAABAP-BDBu8OBRs_wABACZgABgUBmD_6gUYgBRgAYIPYP_SgQkTeE9soAdFOGyAAjCpIAAFIiKAAWyA2hooIAAGYP_IQP_pIiKAAGxgAAlgABRgAJZAAQKArzsotwEBN6CALhdsoAAmF4AAMIACMCZgARsmYP-wFI-gBkUFYABAqCAALc9g_4gmYAECJmD_lxQGgCAfTx2ApQMFpTgUgQcN5TiALDcPoIEvF0D_z0KAaxcwYADUoAW1gAQQ4IEABiAAA8AgWAaAAgmACQ4QWIADCSAABOAQAH2AAE-AOwJPgC-ChA2gBnWgAg0QCiAABKAAGIBWToALMGAAiIAOEAaADwogAEOAEQcZgAEfD4ANEAZg_tLPYACXYACggCg2OIAoN2D-zk9gAIZgAI-AKjY4gCo3BoAEHIAQH4AABIAsNjigAAiAqQICoAGBbicEgCi3AQE3oBUmF6D_BjCgAAq7rzo5b50g__QigSAAAgJsgEA_oAalgN0BoEGA3AfpoAAFP4AqN4EGRSg3bIogAAiJIAACGWwCbAOAARlsB4CAHAxsoP__PiFsnoCAHA8agH8cTx1sgP8HgAcfGgRsgMYWgMUWgDAfHoACE2yAAIaAnT_GFh4EgAYfHoDvE2wAQABQIBBQAAAwACAwAEAQ_O7v7-_tAvwA_P7-_v78AMO9_____2Y8fn5-ZkJCPAA8fv__gBMAAIARAn5-foAfgCOCDQN-fv_vgAACAP8AgDYO__8AHyd7_f6C_P4AHz9_gAAJ-OTev39BP38A-IFgCP4Dfb_f3doE-IEMCvz4AMC9-_e3VyAfgSwEPx8AP2-AUAJAPwCBPgE_AICAgX-DgICfA-d-PACBjR08AAAAGBgQfBAobAAYGBR4ECxgABgYUDwQaAwAMDCCFwEwMIQPgh8BfMaHAAB8gD8BeBiFAAF-AIAfCgYGBgwYMGDAwMD-gA8EBgYGHAaBAIAvFQwMHBw8LGxMzP4MDAw_AAD-wMDAwPyCHoBPAB6AOAD8hl8A_oBMhWEIAAA8ZmZmbjxmhX-DjwB-gl8 .

https://github.com/origedit/worm

a pixelated worm chases a tiny human.

opennet honked 26 Mar 2024 09:00 +0100

ZenHammer - метод атаки для искажения содержимого памяти на платформах AMD Zen

Исследователи из Швейцарской высшей технической школы Цюриха разработали метод атаки ZenHammer, представляющий собой вариант атак класса RowHammer для изменения содержимого отдельных битов динамической оперативной памяти (DRAM), адаптированный для использования на платформах с процессорами AMD. Прошлые методы атак класса RowHammer ограничивались системами на базе процессоров Intel, но проведённое исследование показало, что искажения ячеек памяти также можно добиться на платформах с контроллерами памяти от компании AMD.

Работа метода продемонстрирована на системах AMD Zen 2 и Zen 3 с памятью DDR4 от трёх ведущих производителей (Samsung, Micron и SK Hynix). Атака успешно позволяет обойти реализуемый в чипах памяти механизм TRR (Target Row Refresh), нацеленный на защиту от искажения ячеек памяти в соседних строках. По оценке исследователей системы на базе CPU AMD Zen 3 более уязвимы, чем системы с процессорами Intel Coffee Lake, и их проще и эффективнее атаковать. На системах AMD Zen 2 искажения ячеек удалось добиться для 7 из 10 протестированных чипов DDR4, а на системах Zen 3 для 6 из 10. Исследователями также проанализирована возможность совершения атаки на системы AMD Zen 4 с памятью DDR5, но разработанный для DDR4 метод атаки удалось успешно воспроизвести лишь на 1 из 10 протестированных чипов памяти DDR5, при этом сама возможность атаки не исключается, но требует разработки более эффективных шаблонов чтения, подходящих для устройств DDR5.

Для работы с чипами AMD удалось адаптировать ранее разработанные эксплоиты, меняющие содержимое записей в таблице страниц памяти (PTE, page table entry) для получения привилегии ядра, обходящие проверку пароля/полномочий через модификацию памяти процесса sudo и повреждающие хранящийся в памяти открытый ключ RSA-2048 в OpenSSH для воссоздания закрытого ключа. Атаку на страницы памяти удалось воспроизвести на 7 из 10 протестированных чипов DDR4, атаку на ключ RSA - на 6 чипах, а атаку на sudo - на 4 чипах, при этом время атаки составило 164, 267 и 209 секунд, соответственно.

Метод также может быть применим для атаки на систему через браузеры, для внесения изменений из виртуальных машин или для организации атаки по сети. На GitHub под лицензией MIT размещён исходных код инструментария DARE для обратного инжиниринга раскладки адресов в памяти DRAM, а также два набора утилит для fuzzing-тестирования искажения битов в памяти - ddr4_zen2_zen3_pub для чипов DDR4 (Zen 2 and Zen 3) и ddr5_zen4_pub для чипов DDR5 (Zen 4), которые могут использоваться для проверки своих систем на подверженность атаке.

Для искажения битов применяется метод RowHammer, который основывается на том, что в памяти DRAM, которая представляет собой двухмерный массив ячеек, состоящих из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. Если интенсивность чтения большая, то соседняя ячейка может потерять достаточно большой объём заряда и очередной цикл регенерации не успеет восстановить её первоначальное состояние, что приведёт к изменению значения сохранённых в ячейке данных. В ходе исследователя выявлены особенности применяемых в процессорах AMD механизмов маппинга физической памяти и синхронизации с обновлением памяти, позволившие воссоздать низкоуровневую адресацию DRAM, определить адреса соседних ячеек, разработать методы обхода кэширования, вычислить шаблоны и частоту операций, приводящих к потере заряда.

Для защиты от RowHammer производители чипов применяют механизм TRR (Target Row Refresh), который блокирует искажение ячеек в частных случаях, но не защищает от всех возможных вариантов атаки. Наиболее эффективным методом защиты остаётся использование памяти с кодами коррекции ошибок (ECC), которые существенно усложняют, но полностью не исключают проведение атак класса RowHammer. Снизить вероятность успешной атаки также позволяет увеличение частоты регенерации памяти.

Компания AMD опубликовала отчёт о проблеме, в котором говорится, что в процессорах AMD используются контроллеры памяти, соответствующие спецификациям DDR, и так как успешность атаки зависит в основном от настроек системы и DRAM-памяти, с вопросами об устранении проблемы следует обращаться к производителям памяти и систем. Из существующих способов усложнения совершения атак класса Rowhammer упоминается использование ECC-памяти, повышение частоты регенерации памяти, отключение режима отложенной регенерации и использование процессоров с контроллерами, поддерживающими режим MAC (Maximum Activate Count) для DDR4 (1, 2 и 3 поколение AMD EPYC "Naple", "Rome" и "Milan") и RFM (Refresh Management) для DDR5 (4 поколение AMD EPYC).

Источник: https://www.opennet.ru/opennews/art.shtml?num=60850

opennet honked 25 Mar 2024 22:00 +0100

В Fedora 41 намечен переход на пакетный менеджер DNF5

В выпуске Fedora 41 предложено перевести дистрибутив по умолчанию на пакетный менеджер DNF5. Изначально, переход на DNF5 планировалось произвести в выпуске Fedora 39, но миграция была отложена из-за неготовности инструментария. Несмотря на то, что полный паритет в функциональности со старым инструментарием всё ещё не достигнут, разработчики считают, что дистрибутив готов к миграции, а недостающие возможности можно реализовать позднее. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. В случае принятия предложения пакеты dnf, libdnf и dnf-cutomatic будут заменены на инструментарий DNF5 и новую библиотеку libdnf5, а символическая ссылка /usr/bin/dnf начнёт указывать на исполняемый файл dnf5.

В своё время DNF пришёл в дистрибутиве на смену пакетному менеджеру Yum, который был написан целиком на языке Python. В DNF требовательные к производительности низкоуровневые функции были переписаны и вынесены в отдельные Си-библиотеки hawkey, librepo, libsolv и libcomps, но каркас и высокоуровневые компонеты остались на языке Python. Проект DNF5 нацелен на унификацию имеющихся низкоуровневых библиотек, переписывание на языке С++ остающихся на Python компонентов управления пакетами и вынос базовой функциональности в отдельную библиотеку libdnf5 с созданием вокруг этой библиотеки обвязки для сохранения Python API.

Использование языка С++ вместо Python позволило избавиться от большого числа зависимостей, сократить размер инструментария и повысить производительность. Более высокая производительность достигается не только благодаря применению компиляции в машинный код, но и за счёт улучшенной реализации таблицы транзакций, оптимизации загрузки из репозиториев и реструктуризации БД (разделены базы с состоянием системы и историей операций). Инструментарий DNF5 избавлен от привязки к PackageKit, вместо которого задействован новый фоновый процесс DNF Daemon, заменяющий функциональность PackageKit и предоставляющий интерфейс для управления пакетами и обновлениями в графических окружениях.

Переработка также дала возможность реализовать некоторые улучшения, повышающие удобство работы с пакетным менеджером. Например, в новом DNF реализована более наглядная индикация прогресса выполнения операций; добавлена поддержка использования локальных RPM-пакетов для транзакций; добавлена возможность показа в отчётах о выполненных транзакциях информации, выдаваемой встроенными в пакеты скриптами (scriplets); предложена более продвинутая система автодополнения ввода для bash.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60849

opennet honked 25 Mar 2024 22:00 +0100

Начиная с Ubuntu 14.04 время поддержки LTS-релизов будет увеличено до 12 лет

Компания Canonical объявила о введении 12 летнего срока формирования обновлений для LTS-выпусков Ubuntu. Продление коснётся всех актуальных LTS-выпусков, начиная с Ubuntu 14.04, поддержка которого должна была истечь в апреле этого года, но теперь продлена до апреля 2026 года. Обновления для Ubuntu 24.04 будут формироваться до 2036 года, Ubuntu 22.04 - 2034, Ubuntu 20.04 - 2032 и т.п. Обновления как и раньше будут общедоступны в течение 5 лет после релиза, а остальные 7 лет будут предоставляться только пользователям сервиса Ubuntu Pro.

Сервис Ubuntu Pro является платным для коммерческих применений. Для персонального использования предусмотрена возможность бесплатного подключения к Ubuntu Pro для получения расширенных обновлений для 5 машин. Официальным членам Ubuntu Community бесплатно можно получать расширенные обновления для 50 машин.

Что касается других дистрибутивов, 14-летний срок сопровождения предоставляется в дистрибутиве Red Hat Enterprise Linux (10 лет + 4 года дополнительного платного сервиса), 13 лет поддерживается SUSE Linux (10 General + 3 LTSS), 7 лет (5 лет LTS + 2 года Extended LTS) поддерживается Debian GNU/Linux, 18 месяцев поддерживается openSUSE и 13 месяцев - Fedora Linux.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60848

continue bonked 25 Mar 2024 17:46 +0100
original: contrinitiator@metalhead.club

The Zone of Interest (2023)
До этого ни один фильм о Холокосте никогда не был настолько привержен иллюстрированию банальности зла. Потому что ни один фильм о Холокосте не был так одержим игнорированием зла вообще. Существует только бетонная стена, которая отделяет персонажей фильма от ужасов по соседству, и камера ни разу не осмеливается заглянуть через нее, чтобы лучше рассмотреть происходящий ужас. #кино

contrinitiator bonked 25 Mar 2024 17:13 +0100
original: continue@honk.any-key.press

#Сегодня серое небо разорвано лоскутами лазури.
И солнце: то прячется за тучу, то ярко выглядывает в голубую проталину.
А в промежутках подсвечивает рваные облака.
Красиво.

continue honked 25 Mar 2024 16:40 +0100

#Сегодня серое небо разорвано лоскутами лазури.
И солнце: то прячется за тучу, то ярко выглядывает в голубую проталину.
А в промежутках подсвечивает рваные облака.
Красиво.

continue bonked 25 Mar 2024 14:06 +0100
original: stephanie@md.ilyamikcoder.com

маленький пост о close-to-mainline(далее: ctm) линукс-смартфонах, которые легко достать в РФ (+ бонус в конце - линукс-планшет)
у меня было несколько линукс-смартфонов, поэтому захотелось немножко написать о них

заранее оговорюсь - ни в одном смартфоне из списка не работает камера. лично мне она очень редко пригождается, поэтому не вижу в этом огромной проблемы.

я напишу только о тех смартфонах, которые у меня были. на https://wiki.postmarketos.org/wiki/Devices список побольше

я буду писать только о опыте с postmarketos. в ctm дистрибутивах для смартфонов, разницы в поддержке функций - особо нету.

есть halium-дистрибутивы для смартфонов, с совершенно другим списком устройств и меньшим количеством проблем, но о них я не буду писать, мне интересны только ctm

если не упомянула что-то, например работу wifi или bluetooth, значит с неупомянутым всё работает нормально, возможно. стоит уточнить на https://wiki.postmarketos.org/

чаще всего, эти смартфоны требуют некоторые проприетарные драйвера для работы wifi/bluetooth/gpu и тд.

начнём с самых дешёвых смартфонов и будем идти к самым дорогим.

Samsung Galaxy S III GT-i9300
цена б/у с avito - начинается от 700р
крутой смартфон из 2012 года с AMOLED дисплеем, 1гб RAM и неплохим процессором.
- не работает модем, т.е. сим-карта совсем.
- самсунговская кнопка "Домой" посередине даёт возможность забиндить на неё любое действие в Phosh(gnome). я биндила на закрытие приложения, довольно удобно.
- установка на sd-карту, что даёт возможность купить большую sd-карту и не париться об остатке памяти.
- работает вывод картинки на монитор через док-станцию самсунговскую.

Lenovo A6000 / Lenovo A6010 / Wileyfox Swift (2015г)
цена б/у с avito - начинается от 1.000р
милые дешёвые смартфончики в 1/8гб и 2/16гб вариантах, в целом одинаковые
- у Lenovo не работает звук, понятия не имею, чем динамики здесь отличаются от динамиков Wileyfox. звук работает нормально через bluetooth
- хороший вариант как карманный ssh-терминял или музыкальный bluetooth-плеер с вполне сносной батарейкой.
- загрузчик не заблокирован, lk2nd прошивается легко

Oneplus 6 / Oneplus 6T
цена б/у с avito - начинается от 7.000р
мощные смартфоны - рабочие лошадки для бюджетного селфхоста или обычного повседневного смартфона. RAM - 6/8гб (и даже 10гб в "McLaren Edition") и 64/128/256гб внутренней памяти, приятный AMOLED экран и мощный Snapdragon 845.
- богатый выбор ОС - хорошие Android-прошивки, close-to-mainline дистрибутивы и halium-дистрибутивы, и даже винда 10.
- если накосячили с разделами - всё легко восстанавливается через msmdownloadtool (нужна винда к нему, к сожалению)
- можно сделать дуалбут Android с ctm или halium-дистрибутивом, благодаря A/B схеме разделов
- загрузчик разблокируется легко, никаких аккаунтов не нужно. не самое частое явление в современных китайских смартфонах

Asus transformer pad tf300t/tf300tg/tf300tl
цена б/у с avito - начинается от 1.000р и от 400р за док-клавиатуру
планшет с док-клавиатуркой, с нормальной батарейкой (+ батарейка в доке), 1/16гб или 1/32гб памяти и средненьким процессором.
- не работает GPU-acceleration, из-за чего не запустится wayland, из-за чего не запустится Phosh. не удивляйтесь, планшет ведь построен на nvidia tegra
- к нему рекомендуют mate/xfce, но я порекомендую к нему i3wm. после правильной настройки, получается вполне приятный планшет
- пусть и не работает GPU-acceleration, но видео в 720р работают вполне хорошо. из этого планшета получается отличная смотрелка видео в связке с yt-dlp
- открытый загрузчик u-boot, позволяет загружаться с sd-карты или с встроенной памяти, а также u-boot ставится без необходимости в разблокировке дефолтного asus загрузчика.

задавайте вопросы, если я забыла упомянуть что-то, что интересно кому-нибудь

continue bonked 25 Mar 2024 14:01 +0100
original: opennet@honk.any-key.press

Уязвимость в NFS-сервере FreeBSD и OpenBSD, приводящая к удалённому выполнению кода

В реализации NFS-сервера, применяемого BSD-системах, выявлена критическая уязвимость (CVE-2024-29937), позволяющая добиться удалённого выполнения своего кода с правами root на сервере. Проблема проявляется во всех выпусках OpenBSD и FreeBSD, вплоть до OpenBSD 7.4 и FreeBSD 14.0-RELEASE. Детальная информация об уязвимости пока не раскрывается, известно только то, что проблема вызвана логической ошибкой, не связанной с повреждением памяти. Отмечается, что уязвимость легко может быть эксплуатирована и использована для атаки на системы, в которых применяется NFS, но судя по видеодемонстрации уязвимость позволяет получить полный доступ к корневой ФС сервера и требует для эксплуатации наличия прав для монтирования разделов по NFS. Доклад о сути уязвимости будет предложен 18 апреля на конференции T2’24.

<iframe src="https://www.youtube.com/embed/i_JOkHaCdzk?si=kAWd7EQ_-1yXdmks">

Источник: https://www.opennet.ru/opennews/art.shtml?num=60845

opennet honked 25 Mar 2024 14:00 +0100

Уязвимость в NFS-сервере FreeBSD и OpenBSD, приводящая к удалённому выполнению кода

В реализации NFS-сервера, применяемого BSD-системах, выявлена критическая уязвимость (CVE-2024-29937), позволяющая добиться удалённого выполнения своего кода с правами root на сервере. Проблема проявляется во всех выпусках OpenBSD и FreeBSD, вплоть до OpenBSD 7.4 и FreeBSD 14.0-RELEASE. Детальная информация об уязвимости пока не раскрывается, известно только то, что проблема вызвана логической ошибкой, не связанной с повреждением памяти. Отмечается, что уязвимость легко может быть эксплуатирована и использована для атаки на системы, в которых применяется NFS, но судя по видеодемонстрации уязвимость позволяет получить полный доступ к корневой ФС сервера и требует для эксплуатации наличия прав для монтирования разделов по NFS. Доклад о сути уязвимости будет предложен 18 апреля на конференции T2’24.

<iframe src="https://www.youtube.com/embed/i_JOkHaCdzk?si=kAWd7EQ_-1yXdmks">

Источник: https://www.opennet.ru/opennews/art.shtml?num=60845

opennet honked 25 Mar 2024 13:00 +0100

После TrueNAS CORE 13.3 ветка на основе FreeBSD будет переведена в режим сопровождения

Компания iXsystems объявила о планах по дальнейшей разработке дистрибутива для быстрого развёртывания сетевого хранилища TrueNAS CORE, продолжающего развитие проекта FreeNAS. В июне планируется сформировать выпуск TrueNAS CORE 13.3 на основе FreeBSD 13.3 (прошлый выпуск был сформирован в 2021 году на основе FreeBSD 13.0), OpenZFS 2.2.3 и Samba 4.19. В дальнейшем разработка будет сосредоточена только на дистрибутиве TrueNAS SCALE, в котором используется ядро Linux и пакетная база Debian.

Проекты TrueNAS CORE и TrueNAS SCALE продолжат сосуществование, но ветка TrueNAS CORE будет переведена в режим сопровождения, в котором планируют ещё много лет устранять ошибки и проблемы с безопасностью. Новые возможности и новые версии компонентов будут развиваться в ветке TrueNAS SCALE. Формирование выпуска TrueNAS CORE на базе FreeBSD 14 не планируется.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60843

opennet honked 25 Mar 2024 11:00 +0100

Эксперимент с использованием SQLite в качестве контейнера для архивирования файлов

Проект Pack предпринял попытку создания формата для архивирования файлов, построенного на базе библиотеки SQLite и алгоритма сжатия ZSTD (Zstandard). Подготовленный прототип, написанный на языке Pascal и распространяемый под лицензией Apache 2.0, обогнал по скорости создания архивов наиболее распространённые архиваторы, при том, что его работа сводилась к чтению данных, сжатию библиотекой libzstd и выполнению SQL-операций по добавлению сжатых данных в файл с БД SQLite.

При сжатии каталога с 81 тысячей файлов, общим размером 1.25 ГБ, pack оказался быстрее утилиты ZIP в 112 раз, выполнив операцию за 1.3 секунды против 146 секунд у ZIP. Размер архива при этом у pack получился на 23% меньше (194 MB у Pack и 253 MB у ZIP). Для сравнения утилита tar выполнила упаковку за 4.7 секунды без сжатия и за 28.5 секунд со сжатием методом gzip, ахиватор RAR справился с тестом за 27.5 секунд, а 7z за 54.2 секунды. Размер архивов составил: tar.gz - 214 MB, RAR - 235 MB, 7z - 135 MB. Отмечается, что по скорости распаковки и случайного доступа к файлам Pack также опережает другие архиваторы, потребляя при этом меньше оперативной памяти.

   ZIP:     253 MB,  146 s      
   7z:      135 MB,  54.2 s     быстрее ZIP в 2.7 раза
   tar.gz:  214 MB,  28.5 s     x 5.1
   RAR:     235 MB,  27.5 s     x 5.3
   tar:    1345 MB,  4.7 s      x 31
   Pack:    194 MB,  1.3 s      x 112

Про влияние файлового кэша на результаты проведения теста не упоминается. Вероятно, низкая скорость ZIP обусловлена порядком запуска тестов без оглядки на кэширование данных в памяти - тест с zip был запущен при холодном кэше, а остальные тесты при прогретом. В обычных условиях Zstandard демонстрирует в 3-5 раз более высокую скорость сжатия по сравнению с zlib и в два раза более быструю распаковку, при уровне сжатия выше на 10-15%.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60842

continue honked 25 Mar 2024 10:06 +0100

Недавно коллега поделился со мной, что у него в профессиональной сфере (программирование) есть проблема начать новый проект "с чистого листа".

Обсуждение велось в рамках полезности GitHub Copilot. То есть для него это инструмент, который в настоящее время делает ту работу, которую, например, в IDE делали шаблоны: набросок проекта с заглушками.

Я, честно говоря, никогда не задумывался над такой проблемой. Я в какой-то момент перестал пользоваться IDE и не чувствую в ней больше потребности. И мне даже нравится начинать всё с нуля. Я наоборот предпочту создать новый проект и перетащить туда кусками нужный код, вместо того, что бы переписывать куски в старом проекте.

Обсуждали не #сегодня, но почему-то в голове мысль "маринуется". #WorkLog

opennet honked 25 Mar 2024 10:00 +0100

Выпуск X.Org-видеодрайверов nv 2.1.23, vboxvideo 1.0.1, savage 2.4.1 и chips 1.5.0

Состоялся релиз развиваемых проектом X.Org DDX-драйверов, работающих в пространстве пользователя и не требующих наличия KMS/DRM-драйверов на стороне ядра. В новых версиях предложены накопившиеся исправления ошибок и обеспечена совместимость с современными компиляторами. Доступны обновления:
  • xf86-video-nv 2.1.23 - драйвер для старых видеокарт NVIDIA, для которых не предоставляется поддержка на уровне ядра.
  • xf86-video-vboxvideo 1.0.1 - драйвер для виртуального графического адаптера VBoxVGA, применяемого в VirtualBox. Драйвер может использоваться для запуска X-сервера в ситуациях, когда в гостевой системе отсутствует KMS-драйвер vboxvideo, работающий на уровне ядра (при наличии модуля ядра следует использовать универсальный драйвер "xf86-video-modesetting).
  • xf86-video-chips 1.5.0 - драйвер для графических устройств от компании Chips & Technologies.
  • xf86-video-savage 2.4.1 - драйвер для видеокарт семейства Savage, выпускаемых компанией S3 в конце 1990-х годов.

Также можно отметить публикацию новой версии библиотеки libX11 1.8.8 с реализацией протокола X11 и обновление развиваемых проектом X.Org утилит и библиотек libXmu 1.2.0, libpciaccess 0.18.1, libXaw 1.0.16, xman 1.2.0, xedit 1.2.4, xload 1.2.0, lndir 1.0.5 и xdm 1.1.15. В новых версиях обеспечена совместимость с будущим выпуском GCC 14 и удалена поддержка устаревших платформ OSF, AIXV3, Ultrix, HP-UX, SGI, VAX, QNX, UXP и Lynx.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60841

opennet honked 25 Mar 2024 08:00 +0100

Выпуск текстового редактора GNU Emacs 29.3 с устранением уязвимостей

Проект GNU опубликовал релиз текстового редактора GNU Emacs 29.3. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта Джону Вигли (John Wiegley) осенью 2015 года. Код проекта написан на языках Си и Lisp и распространяется под лицензией GPLv3.

GNU Emacs 29.3 преподносится как внеплановый экстренный выпуск с устранением уязвимостей. Непосредственно уязвимости в списке изменений пока не детализируются, имеется информация только о добавленных методах защиты:

  • Для блокирования подстановки внешнего вредоносного кода запрещено исполнять произвольный Lisp-код при включении режима Org.
  • Добавлена новая переменная 'untrusted-content', которую можно использовать для пометки помещения в локальный буфер не заслуживающего доверия содержимого, к которому Lisp-программам следует относиться с особой осторожностью.
  • В Gnus содержимое встроенных (inline) MIME-блоков теперь обрабатывается как не заслуживающее доверия.
  • По умолчанию отключён предпросмотр содержимого почтовых вложений в формате LaTeX. Для возвращения старого поведения добавлен параметр 'org--latex-preview-when-risky'.
  • В режиме Org содержимое внешних файлов, вызываемых через 'file-remote-p', обрабатывается как не заслуживающее доверия.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60840

opennet honked 25 Mar 2024 08:00 +0100

Выпуск системы инициализации SysVinit 3.09 с поддержкой Си-библиотеки Musl

Опубликован релиз классической системы инициализации SysVinit 3.09, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart, а теперь продолжает использоваться в таких дистрибутивах, как Devuan, Debian GNU/Hurd и antiX. Версии применяемых в связке с sysvinit утилит insserv и startpar не изменились. Утилита insserv предназначена для организации процесса загрузки с учётом зависимостей между init-скриптами, а startpar применяется для обеспечения параллельного запуска нескольких скриптов в процессе загрузки системы.

В новом выпуске SysVinit:

  • Реализована поддержка сборки в дистрибутивах Linux, использующих стандартную Си-библиотеку Musl вместо Glibc. Среди прочего решены проблемы с использованием обработчика hddown в системах на базе Musl.
  • В команду reboot добавлена возможность передачи сообщений в прошивки во время перезагрузки на системах с ядром Linux. Администратор может использовать данную возможность, например, для запроса загрузки с другого раздела. Сообщение задаётся через указание флага "-m".
  • Улучшена работа директивы clean в Makefile.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60839

opennet honked 25 Mar 2024 07:00 +0100

Обновление OpenWrt 23.05.3 и DietPi 9.2

Опубликовано обновление дистрибутива OpenWrt 23.05.3, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 35 целевых платформ.

Основные изменения в OpenWrt 23.05.3:

  • В mwlwifi, wifi-драйвер для чипов Marvell, добавлена поддержка технологии защиты беспроводных сетей WPA3.
  • Добавлена поддержка новых устройств:
    • ath79:
      • UniFi UK-Ultra
    • mediatek:
      • Acelink EW-7886CAX
      • ASUS RT-AX59U
      • ASUS TUF AX6000
      • Buffalo WSR-3200AX4S
      • Cetron CT3003
      • Confiabits MT7981
      • Cudy RE3000 v1
      • D-Link EAGLE PRO AI M32
      • GL.iNet GL-MT6000
      • JCG Q30 PRO
      • Routerich AX3000
      • TP-Link EAP225v5
      • Ubiquiti UniFi 6 Plus
      • Zbtlink ZBT-Z8102AX
      • ZyXEL EX5700 (Telenor)
    • ramips:
      • Cudy WR1300 v3
      • D-Link COVR-X1860 A1
      • Rostelecom RT-FE-1A
      • Rostelecom RT-FL-1 (Serсomm RT-FL-1)
      • Rostelecom S1010 (Serсomm S1010.RT)
      • TP-Link EX220 v1
      • YunCore G720
      • Z-ROUTER ZR-2660
  • Решены проблемы в устройствах Netgear GS110TPP, IEI-World Puzzle M90x, Sercomm NA502, Unielec u7621-01, Ctera C200 V1, Mercusys MR90X v1, Loco M5 XW, TP-Link TL-WDR3600 и TL-WDR4300.
  • Увеличен размер доступной памяти при работе на устройстве Extreme Networks WS-AP3825i.
  • Повышена стабильность работы Ethernet в Orange Pi R1 Plus и устройствах на базе чипов Mediatek MT7981 и MT7986.
  • Добавлена прошивка для чипов Mediatek MT7922.
  • В SSH-сервере Dropbear повышена скорость передачи данных при использовании утилиты scp.
  • В ядро включены патчи для загрузки прошивок Aquantia PHY.
  • Обновлены версии ядра Linux 5.15.150, dnsmasq 2.90, mbedtls 2.28.7, openssl 3.0.13, mwlwifi 2023-11-20, mt76 2023-09-11, netifd 2024-01-04, jsonfilter 2024-01-23, bcm27xx-gpu-fw 2024-01-11, wireless-regdb 2024.01.23, intel-microcode 20240312.
  • Устранены уязвимости: целочисленное переполнение (CVE-2023-36328) и отсутствие проверки целостности пакетов (CVE-2023-48795 - атака Terrapin) в Dropbear SSH; уязвимость NSEC3 в реализации DNSSEC в dnsmasq (CVE-2023-50868).



Дополнительно можно отметить выпуск специализированного дистрибутива DietPi 9.2, предназначенного для использования на одноплатных ПК на базе архитектур ARM и RISC-V, таких как Raspberry Pi, Orange Pi, NanoPi, BananaPi, BeagleBone Black, Rock64, Rock Pi, Quartz64, Pine64, Asus Tinker, Odroid и VisionFive 2. Дистрибутив построен на пакетной базе Debian и доступен в сборках для более, чем 50 плат. DietPi также может применяться для создания компактных окружений для виртуальных машин и обычных ПК на базе архитектуры x86_64. Сборки для плат отличаются компактностью (в среднем 130 МБ) и занимают меньше места на накопителе, по сравнению с Raspberry Pi OS и Armbian. Инструментарий для сборки и сопровождения дистрибутива распространяется под лицензией GPLv2.

В новой версии расширены возможности сборок для плат NanoPi R4S. В интерфейс для установки приложений DietPi-Software обеспечена возможность запуска команды вывода списка пакетов, независимо от наличия уже запущенного другого экземпляра приложения (например, просмотра списка приложений в DietPi-Dashboard теперь не приводит к зависанию, если DietPi-Software уже запущен в терминале). В DietPi-Software также добавлена возможность обращения к репозиториям через SSH на этапах установки и переустановки. В различные утилиты, поддерживаемые проектом, такие как конфигуратор DietPi-Config, система резервного копирования DietPi-Backup, интерфейс для установки приоритетов выполнения процессов DietPi-Services и система доставки обновлений DietPi-Update, добавлена информация о размере свободой оперативной памяти.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60838

opennet honked 24 Mar 2024 12:00 +0100

Выпуск пошаговой стратегии Battle for Wesnoth 1.18

Спустя два с половиной года с момента прошлого значительного выпуска доступна новая версия Battle for Wesnoth 1.18, кроссплатформенной пошаговой стратегии в жанре фэнтези, поддерживающей как прохождение кампаний одним игроком так и многопользовательскую игру по сети или за одним компьютером. Код игры распространяется под свободной лицензией GPLv2+, а игровые ресурсы, включая графику и звуки, под лицензиями GPLv2+ и Creative Commons BY-SA. Сборки подготовлены для Linux, Windows, macOS и iOS. Игра также доступна через сервис Steam.

В новой версии предложена новая игровая кампания Drake "Winds of Fate", посвящённая мореплавателям и освоению новых континетов. Полностью переработана старейшая кампания Loyalist "Eastern Invasion" Переделана кампания Quenoth "Under the Burning Suns". Обновлена карта "King of the Hill". Значительно повышена производительность графики и модернизирована система рендеринга (отмечается прирост FPS на 60%). Изменён баланс сил и параметры многопользовательской игры. Внесена большая порция улучшений в редакторы карт и сценариев. Реализована поддержка достижений. Добавлен раздел с историей многопользовательских игр. Улучшены многие юниты и модернизированы анимационные эффекты. Расширены возможности для разработки дополнений.



Источник: https://www.opennet.ru/opennews/art.shtml?num=60829

opennet honked 24 Mar 2024 11:00 +0100

В Palemoon планируют повысить требования к CPU в готовых сборках

Разработчики браузера Palemoon планируют повысить требования к CPU в готовых сборках. В качестве причины указывается желание задействовать процессорные инструкции AVX, чтобы значительно ускорить работу браузера. Изменение запланировано на лето 2024 года.

Для использования новых сборок потребуется процессор с поддержкой второй версией микроархитектуры x86-64 (x86_64-v2), которая используется процессорами примерно с 2009 года, начиная с AMD FX и первого поколения Intel Core i7 (Nehalem). Микроархитектура x86_64-v2 отличается наличием таких расширений, как SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B. Для обладателей старых процессоров предлагается использовать 32-битную сборку для Windows, воспользоваться пакетами из дистрибутива Linux, либо осуществить сборку самостоятельно.

Также стоит отметить сведения, что, на протяжении последней недели, пользователи браузера Palemoon сталкиваются со сбоями при прохождении защиты от DDoS-атак Cloudflare. В какой-то момент проблема была решена, однако в конце недели снова возникла.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60837

opennet honked 24 Mar 2024 10:00 +0100

Mozilla отказывается от сервиса Onerep, из-за связи его основателя со сбором информации о людях

Компания Mozilla приняла решение разорвать партнёрские отношения с компанией Onerep, развивающей сервис централизованного удаления персональных данных, на основе которого был построен продукт Mozilla Monitor Plus, расширяющий возможности встроенной в Firefox системы Mozilla Monotor (включается через настройку browser.contentblocking.report.monitor.enabled в about:config). Решение принято после выявления связи основателя Onerep с сетями, занимающимися поиском и продажей персональных данных. Основатель сервиса для защиты персональных данных Onerep в прошлом участвовал в создании сетей для сбора и продажи персональных данных, а также ферм сайтов для SEO-оптимизации. Среди прочего, создатель Onerep является сооснователем действующего проекта Nuwber, агрегирующего доступную персональную информацию и продающего отчёты о людях.

Дмитрий Шелест, создатель и руководитель Onerep, признал, что в прошлом занимался системами сбора и продажи персональных данных, некоторые из которых существуют и поныне, но заявил, что в настоящее время переключился исключительно на решение вопросов, связанных с защитой информации. Более того, он считает, что прошлое участие в проектах по поиску персональных данных является сильной стороной Onerep, так как полученные в процессе работы над подобными сервисами знания и понимание внутренней кухни, позволяют эффективно создавать решения для противодействия утечке информации.

Дмитрий признал, что у него остаётся доля в компании Nuwber, которая осуществляет деятельность брокера данных, но заявил, что деятельность Nuwber не пересекается с Onerep и компании не обмениваются информацией - компания Onerep является независимой частной компанией, которая не занимается продажей данных. В опубликованных изданием Krebsonsecurity сведениях также упоминалась связь Дмитрия со спамерским проектом Spamit, но он утверждает, что ни в прошлом ни в настоящее время никак не аффилирован со Spamit.

В феврале компания Mozilla ввела в строй платный сервис Mozilla Monitor Plus, в котором Onerep использовался для отслеживания попыток продажи персональных данных и автоматической отправки требований по удалению информации о пользователе с сайтов брокеров, пытающихся продавать персональные данные. Сервис отслеживал более 190 сайтов, торгующих персональными данными, включающими такую информацию как ФИО, телефонные номера, адреса проживания, сведения о родственниках и детях и данные о судимостях. В качестве исходных данных для мониторинга предлагалось ввести имя и фамилию, город проживания, дату рождения и email, т.е. передать сервису Onerep свои персональные данные.

О дальнейшей судьбе проекта Mozilla Monitor Plus, представлявшего собой обвязку над Onerep, пока ничего не сообщается. Форма проверки утечек пока остаётся доступна на сайте monitor.firefox.com, помимо классического бесплатного сервиса, обеспечивающего вывод предупреждения в случае компрометации учётной записи (проверка по email) или попытке входа на ранее взломанный сайт. Проверка в классическом Mozilla Monitor осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о 13 миллиардах учётных записей, похищенных в результате взломов 756 сайтов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60836

contrinitiator honked 24 Mar 2024 08:16 +0100

Для того, чтобы система безопасности работала, хорошо бы, для начала, доверять тем, кто безопасность обеспечивает.

Но если взглянуть шире, то и смысл привычной уже системы безопасности совсем в другом. Это чем-то сходно с дедовщиной, когда вышестоящие наделяют частью своих функций нижестоящих - чоповцев с рамками, в данном случае - взамен на выполнение своих обязанностей по надзору и воспитанию.

Проход в места, оборудованные такими чоповцами, функционально сродни приёмке в колонии: посетителя сходу унижают (пока не избивают, хотя были случаи), демонстрируя тех, кому визитёр должен подчиняться и чьи "правила" выполнять, и только потом допускают до услуги.

Цель всего этого - контроль.

#ТеатрБезопасности

opennet honked 23 Mar 2024 23:00 +0100

Второй предварительный выпуск Android 15

Компания Google представила вторую тестовую версию открытой мобильной платформы Android 15. Релиз Android 15 ожидается в третьем квартале 2024 года. Для оценки новых возможностей платформы предложена программа предварительного тестирования. Сборки прошивки подготовлены для устройств Pixel 6/6a/6 Pro, Pixel 7/7a/7 Pro, Pixel 8/8a/8 Pro, Pixel Fold и Pixel Tablet.

Изменения в Android 15 Developer Preview 2 по сравнению с первой предварительной версией:

  • Для приложений предоставлена возможность использована небольших вспомогательных экранов (Cover screen), которыми оснащаются некоторые складные смартфоны, такие как Samsung Galaxy Z Flip. Например, вспомогательный экран позволяет быстро принять звонок, ответить на сообщение, управлять камерой и выполнять другие действия без раскрытия устройства.
  • В виджете TextView по умолчанию включён атрибут elegantTextHeight, при котором вместо компактного шрифта будут использованы шрифты с более крупными вертикальными отступами, улучшающими читаемость текста.
  • Расширены возможности работы через спутниковые каналы связи. Добавлены новые элементы интерфейса для унификации использования спутниковой связи. Приложениям предоставлена возможность определения использования спутникового канала при помощи метода ServiceState.isUsingNonTerrestrialNetwork(). В интерфейсе для работы с SMS/MMS реализована поддержка отправки и приёма сообщений через спутниковые каналы.
  • Проведена работа по упрощению использования телефона с поддержкой NFC для оплаты товаров одним касанием (tap to pay). Приложениям предоставлена возможность перевода NFC-адаптера в режим наблюдения, при котором устройство принимает запросы по NFC и отправляет на обработку заданному процессу, но не отвечает и не предаёт данные NFC-ридерам.
  • Значительно расширены возможности для отрисовки PDF-документов (API PdfRenderer). Например, предоставлены средства для отрисовки защищённых паролем файлов, показа аннотаций, редактирования форм, поиска внутри документа и выделения областей для копирования через буфер обмена. Добавлены оптимизации, снижающие потребление ресурсов и ускоряющие просмотр локальных PDF-файлов. Реализация API PdfRenderer вынесена в отдельный модуль, обновляемый через Google Play и не привязанный к основной платформе.
  • Улучшены возможности для автоматического распознавания языка и переключения языков. Приложениям предоставлены расширенные опции для тонкой настройки переключения языков во время распознавания речи. Например, режим EXTRA_LANGUAGE_SWITCH_INITIAL_ACTIVE_DURATION_TIME_MILLIS допускает переключение только вначале звукового сеанса, а режим EXTRA_LANGUAGE_SWITCH_MATCH_SWITCHES отменяет переключение языка после определённого числа переключений, что может быть востребовано в ситуациях, когда заранее известно, что в одном сеансе будет использован только один язык.
  • Предоставлены средства для гибкого управления разрывом строк. В виджете TextView для улучшения читаемости при помощи тегов ‹nobreak› и ‹nohyphen› можно управлять переносом групп слов или частей слов на другую строку. Например в строке "The power and brains behind ‹nobreak›Pixel 8 Pro.‹/nobreak›" фраза "Pixel 8 Pro" будет всегда отображаться в одной строке.
  • Расширены возможности фильтрации intent-запросов. При помощи класса UriRelativeFilterGroup можно задавать правила для блокирования или пропускания запросов на основе содержимого параметров URL и фрагментов URL. Правила фильтрации также могут задаваться через новый тег ‹uri-relative-filter-group› в манифесте приложения.
  • Расширена поддержка API OpenJDK. Например, добавлена поддержка дополнительных методов классов Math и StrictMath, упорядоченных коллекций и списков, использования ByteBuffer в Deflater и обновления ключей.
  • Добавлен API, позволяющий приложениям определять выполнение записи экрана. Приложение может задать callback-обработчик, который будет вызван, в случае если включена запись экрана и окно приложения попадает в видимую область. Предложенная возможность позволяет показывать пользователю предупреждения о записи в случае отображения конфиденциальных данных.
  • Добавлен API ApplicationStartInfo, через который можно получить информацию о состоянии при запуске программы. Например, можно узнать прокэшированы ли компоненты приложения (состояния cold, warm или hot), как долго выполнялись разные стадии запуска, что послужило причиной запуска, а также определить метрики, полезные для оптимизации скорости запуска.
  • Изменена обработка остановленного состояния, при котором выполнение приложения приостанавливается до связанного с приложением действия пользователя. В новой версии предоставлены возможности для определения приложением прекращения приостановки: обработка сообщения BOOT_COMPLETED или использование метода ApplicationStartInfo.wasForceStopped().
  • Помимо метода StorageStats.getAppBytes(), позволяющего получить общие данные о размере установленного приложения, добавлен метод StorageStats.getAppBytesByDataType(), дающий возможность получить раздельные сведения о размере пакета APK, скопилированном коде, извлечённых и сгенерированных данных.
  • Внесены изменения в API запуска приоритетных сервисов (Foreground Service). Добавлен новый тип приоритетных сервисов - mediaProcessing, который можно использовать для ресурсоёмких операциях с мультимедийным содержимым, например, перекодирования из одного формата в другой.
  • Предложен новый API для работы с движком хранения на базе СУБД SQLite, предоставляющий доступ к расширенным возможностям SQLite.
  • Предоставлена возможность управления запасом яркости для HDR (отношение самого яркого белого цвета на HDR-изображении к яркости белого цвета в изображении в стандартном динамическом диапазоне). Для установки запаса яркости добавлен метод setDesiredHdrHeadroom, при помощи которого можно сбалансировать яркость при отображении содержимого в SDR и HDR.
  • Добавлена поддержка стандарта CTA-2075, определяющего возможности для нормализации громкости, позволяющие избежать изменения уровня громкости для разного контента. Согласование громкости достигается через определение метаданных о характеристиках громкоговорителей и громкости звукового AAC-контента. Для нормализации громкости предложен объект LoudnessCodecController и метод OnLoudnessCodecUpdateListener, корректирующий параметры громкости перед обращением к кодеку.
  • В AndroidX media3 ExoPlayer 1.0 включено по умолчанию использование пространственного звука для многоканального звука, если пространственный звук поддерживается на устройстве. Объявлен устаревшим класс Virtualizer, вместо которого для определения поведения и возможностей пространственного звука следует использовать класс Spatializer.
  • Добавлен класс AutomaticZenRules, позволяющий приложениям настроить правила применения режима "не беспокоить" и определить ситуации, когда эти правила должны применяться.
<iframe src="https://www.youtube.com/embed/RUc1jc5BzWM?si=5B0JuLVY6Yuj5V0x">

Источник: https://www.opennet.ru/opennews/art.shtml?num=60834

opennet honked 23 Mar 2024 22:00 +0100

Опубликован выпуск SDS Vitastor 1.5.0 с поддержкой кластерной ФС

Опубликован выпуск 1.5.0 программной системы хранения данных Vitastor с поддержкой кластерной файловой системы (VitastorFS). Vitastor - распределённая блочная программная система хранения данных, то есть, хранилище образов виртуальных машин или дисков контейнеров, развиваемая автором с 2019 года. Начиная с выпуска 1.5.0, это также и кластерная файловая система. VitastorFS монтируется по протоколу NFS 3.0 с локально или удалённо запускаемого сервера/серверов.

Vitastor нацелен в первую очередь на SSD и SSD+HDD кластеры (но работает и в конфигурациях только с жёсткими дисками) с как минимум сетью 10 Гбит/с, поддерживает TCP и RDMA, и на хорошем аппаратном обеспечении может достигать задержки 4КБ чтения и записи на уровне ~0.1 мс, что примерно в 10 раз быстрее, чем большинство популярных SDS и внутренних SDS крупных облачных провайдеров - и Ceph, и типичные облачные SDS дают задержку записи на уровне 1-2 мс даже на очень быстрых дисках.

Для примера, в недавнем тесте с дисками NVMe Samsung PM9A3 и сетевыми картами Mellanox ConnectX-4 с RDMA идеальная задержка записи составила › 0.1 мс при использовании репликации и 0.1 мс на чтение / 0.2 мс на запись при использовании кодов коррекции ошибок.

Vitastor поддерживает QEMU-драйвер, протоколы NBD и NFS, драйверы Proxmox, Kubernetes CSI, OpenStack. Также для Vitastor доступен экспериментальный Kubernetes оператор и Prometheus экспортер.

Серверные компоненты Vitastor распространяются под собственной "сетевой копилефт" лицензией VNPL (Vitastor Network Public License). Идея VNPL - расширение действия копилефта не только на модули, явным образом связываемые с кодом, а также на взаимодействующие с Vitastor по сети сервисы, специально созданные для него (например, любые обвязки для внутреннего использования в коммерческом облаке). В остальном текст VNPL скопирован с GNU GPL 3.0.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60835

opennet honked 23 Mar 2024 14:00 +0100

Первый альфа-выпуск etcd-оператора для Kubernetes

Опубликована первая альфа-версия проекта etcd-operator, развивающего инструментарий для упрощения развёртывания распределённого хранилища etcd в окружении Kubernetes и управления кластерами etcd. Инструментарий может решать такие задачи, как развёртывание узлов, настройка, управление, масштабирование и восстановление в случае сбоев. Конфигурация задаётся в формате YAML. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0.

Проект создан в рамках эксперимента по организации людей в русскоязычном сообществе Kubernetes и создании инициативной группы для написания полностью свободного и управляемого сообществом etcd-operator'а. Суть эксперимента заключается в том чтобы создать с нуля проект, который будет развиваться сообществом, и проверить применимость международных практик совместной разработки в русскоязычном сообществе.

Выбор etcd обусловлен тем, что он является одновременно простой и, в тоже время, востребованной технологией, используемой во многих проектах. Среди основных пользователей отмечаются проекты Cozystack и Kamaji, ориентированные на запуск Kubernetes кластеров в нативной для Kubernetes экосистеме. На данный момент у проекта есть отдельное сообщество из 100 участников и около 10 постоянных контрибьюторов.

Проект преследует две основные цели:

  • Желание создать стандартное решение которое не будет подконтрольно какой-либо компании.
  • Намерение помочь русскоязычному сообществу научиться работать вместе с западными коллегами над достижением общих целей, а так же перенять их лучшие практики по организации свободной разработки.

Проектом уже отправлен запрос на присоединение к Kubernetes-SIGs. На данный момент также идёт активное обсуждение возможности принятия etcd-оператора под крыло основного проекта etcd.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60833

opennet honked 23 Mar 2024 10:00 +0100

Доступны Wine 9.5, Wine staging 9.5, Proton 9.0beta16 и GE-Proton9-2

Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 9.5. С момента выпуска 9.4 было закрыто 27 отчётов об ошибках и внесено 264 изменения.

Наиболее важные изменения:

  • В компиляторе языка описания интерфейса WIDL (Web Interface Definition Language) добавлена начальная поддержка генерации библиотеки типов (TypeLib) в старом формате (SLTG).

    Для ABI ARM64EC (ARM64 Emulation Compatible) реализована обработка исключений. ARM64EC применяется для упрощения портирования на системы ARM64 приложений, изначально написанных для архитектуры x86_64, через предоставление возможности выполнения в окружении ARM64 отдельных модулей с кодом x86_64 при помощи эмулятора.
  • Улучшена поддержка компактных дампов памяти в формате Minidump.
  • Закрыты отчёты об ошибках, связанные с работой игр: Elder Scrolls Online, RE:D Cherish, Fallout Tactics, Tomb Raider 3, Rocket League, ArmA: Cold War Assault, Final Fantasy XI Online, Far Cry 3.
  • Закрыты отчёты об ошибках, связанные с работой приложений: WhatsApp Desktop, Smartflix, Squirrel Installers, OneDrive, CDBurnerXP, Overwatch, RadiAnt DICOM Viewer, Grand Theft Auto V Rockstar Editor, YI Home, Alune Klient 14.03.2022. WeCom 4.x, Totem Arts, Acrom Controller, QQ 8.9.6.

Одновременно сформирован выпуск проекта Wine Staging 9.5, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 435 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 9.5 и vkd3d, удалены патчи ws2_32-TransmitFile и ntdll-Threading, перенесены в основной состав Wine патчи к shell32 (решены проблемы с SHFileOperation(FO_MOVE) и поиском в реестре), wined3d (задействованы bindless-текстуры для шейдеров GLSL) и user32 (добавлена заглушка LoadKeyboardLayoutEx).

Компания Valve опубликовала 16 бета-выпуск пакета Proton 9.0, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы "esync" (Eventfd Synchronization) и "futex/fsync".

В новой ветке Proton выполнена синхронизация с выпуском Wine 9.0. Из Proton в upstream перенесены накопившиеся специфичные патчи, которые теперь входят в основной состав Wine. До версии 2.3 обновлена прослойка DXVK, транслирующая вызовы в API Vulkan. VKD3D-Proton, ответвление от vkd3d, созданное Valve для улучшения поддержки Direct3D 12 в Proton, обновлено до версии 2.11.1. Пакет Dxvk-nvapi с реализацией библиотеки NVAPI поверх DXVK обновлён до версии 0.6.4. 0.6.2. Решены проблемы во многих играх. По сравнению с прошлой бета-версией добавлена поддержка Steamworks SDK 1.59 и устранены проблемы в играх Command & Conquer Red Alert, Carmageddon: Max Damage, Risk of Rain 2, DayZ, Last Of Us Part I и Trove.

Кроме того, состоялся выпуск проекта GE-Proton 9-2, в рамках которого энтузиастами формируются независимые от компании Valve расширенные сборки пакета для запуска Windows-приложений Proton, отличающиеся более свежей версией Wine, задействованием FFmpeg в FAudio и включением дополнительных патчей, решающих проблемы в различных игровых приложениях. В Proton GE 9-2 перенесены изменения из свежих кодовых баз wine 9, proton 9, steamclient, vkd3d-proton, dxvk-nvapi и dxvk. Решена проблема с воспроизведением файлов в формате wmv.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60832

continue honked 23 Mar 2024 07:59 +0100

На данный момент, запасов крови и плазмы достаточно для оказания медицинской помощи пострадавшим. В связи с этим, просим воздержаться от массовых походов в Центры и отделения переливания крови в субботу и воскресенье.

По просьбе специалистов сообщаем о том, что как раз через 2-3 недели после трагедий появляется необходимость в пополнении запасов крови и плазмы, поэтому предлагаем воздержаться от донации крови и плазмы в ближайшие дни, а для сглаживания ситуации с запасами у вас будет возможность сдать кровь как раз через 2-3 недели - на Большей неделе донора в РНИМУ с 11 по 20 апреля 2024 года.

Источник: Донорское движение РНИМУ им. Н.И. Пирогова

opennet honked 22 Mar 2024 22:00 +0100

На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox

Подведены итоги двух дней соревнований Pwn2Own 2024, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были разработаны для Ubuntu Desktop, Windows 11, Docker, Oracle VirtualBox, VMWare Workstation, Adobe Reader, Firefox, Chrome, Edge и автомобиля Tesla. Всего были продемонстрированы 23 успешные атаки, эксплуатирующие 29 ранее неизвестных уязвимостей.

При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,132,500 долларов США. За взлом Tesla дополнительно вручён автомобиль Tesla Model 3. Размер выплаченных вознаграждений за три последние соревнования Pwn2Own составил 3,494,750 долларов. Команда, набравшая наибольшее число очков, получила 202 тысячи долларов.

Осуществлённые атаки:

  • Четыре успешные атаки на Ubuntu Desktop, позволившие непривилегированному пользователю получить права root (по одной премии в 20 и 10 тысяч долларов, две премии в 5 тысяч долларов). Уязвимости вызваны состоянием гонки и переполнением буфера.
  • Атака на Firefox, позволившая обойти sandbox-изоляцию и выполнить код в системе при открытии специально оформленной страницы (премия 100 тысяч долларов). Уязвимость вызвана ошибкой, позволившей прочитать и записать данные в область за границей буфера, выделенного для объекта JavaScript, а также возможностью подстановки обработчика события в привилегированный JavaScript-объект. По горячим следам разработчики из Mozilla оперативно опубликовали обновление Firefox 124.0.1 с устранением выявленных проблем.
  • Четыре атаки на Chrome, позволившие выполнить код в системе при открытии специально оформленной страницы (по одной премии в 85 и 60 тысяч долларов, две премии 42.5 тысячи). Уязвимости вызваны обращением к памяти после освобождения, чтением из области вне буфера и некорректной проверкой входных данных. Три эксплоита универсальны и работают не только в Chrome, но и в Edge.
  • Атака на Apple Safari, позволившая выполнить код в системе при открытии специально оформленной страницы (премия 60 тысяч долларов). Уязвимость вызвана целочисленным переполнением.
  • Четыре взлома Oracle VirtualBox, позволивших выйти из гостевой системы и выполнить код на стороне хост-окружения (одна премия 90 тысяч долларов и три премии по 20 тысяч долларов). Атаки были совершены с использование уязвимостей, вызванных переполнением буфера, состоянием гонки и обращением к памяти после освобождения.
  • Атака на Docker, позволившая выйти из изолированного контейнера (премия 60 тысяч долларов). Уязвимость вызвана обращением к памяти после освобождения.
  • Две атаки на VMWare Workstation, позволившие выйти из гостевой системы и выполнить код на стороне хост-окружения. В атаках использованы обращение к памяти после освобождения, переполнение буфера и неинициализированная переменная (премии 30 и 130 тысяч долларов).
  • Пять атак на Microsoft Windows 11, позволивших повысить свои привилегии (три премии 15 тысяч долларов, и по одной премии в 30 тысяч и 7500 долларов). Уязвимости были вызваны состоянием гонки, целочисленным переполнением, неверным подсчётом ссылок и некорректной проверкой входных данных.
  • Выполнение кода при обработке контента в Adobe Reader (премия 50 тысяч долларов). Для атаки использовалась уязвимость, позволившая обойти ограничения API, и ошибка, допускавшая подстановку команд.
  • Атака на информационную систему автомобиля Tesla, проведённая через манипуляцию с шиной CAN BUS и позволившая добиться целочисленного переполнения и получить доступ к ECU (electronic control unit). Размер премии составил 200 тысяч долларов и автомобиль Tesla Model 3.
  • Попытки взлома Microsoft SharePoint и VMware ESXi не увенчались успехом.

В каких именно компонентах проблемы пока не сообщается, в соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60830

opennet honked 22 Mar 2024 20:00 +0100

Уязвимости, позволяющие разблокировать электронные замки Saflok

Опубликована информация об уязвимости в электронных замках Saflok, которые разблокируются картой с RFID-меткой. Уязвимые модели замков получили наибольшее распространение в гостиницах и используются примерно в 13 тысячах гостиниц по всему миру, в которых для управления замками применяются платформы System 6000, Ambiance или Community. Общее число дверей в гостиницах, на которые установлены замки Saflok, оценивается в 3 млн. Уязвимость позволяет постояльцу, используя информацию с карты для своего номера или с просроченной карты съехавшего постояльца, сгенерировать две карты, выполняющие роль мастер-ключа, которые можно использовать для открытия всех номеров в гостинице.

Для совершения атаки можно использовать не только типовые карты MIFARE Classic и устройство для записи подобных карт, но и эмуляторы RFID-карт, такие как Proxmark3 и Flipper Zero, а также любой Android-смартфон с поддержкой NFC. Детальная информация о методе эксплуатации пока не сообщается, известно только то, уязвимость затрагивает функцию формирования ключа (KDF, Key Derivation Function), применяемую для генерации ключей на базе карт MIFARE Classic, а также алгоритм шифрования, используемый для защиты данных на карт.

Проблема была выявлена и сообщена производителю замков ещё в сентябре 2022 года. Тем не менее, в настоящее время только 36% уязвимых замков обновлены, а остальные 64% остаются уязвимы. Устранение уязвимости затягивается из-за того, что для её устранения необходимо обновить прошивку каждого замка или заменить замок, а также перевыпустить все карты, обновить управляющее ПО и обновить привязанные к картам сопутствующие компоненты, такие как платёжные системы, лифты, ворота парковок и шлагбаумы. Из моделей замков, в которых проявляется уязвимость, упоминаются модели Saflok MT и Saflok RT, а также серии Saflok Quantum, RT, Saffire и Confidant.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60828

continue bonked 22 Mar 2024 13:35 +0100
original: grunfink@comam.es

I'm glad to announce the release of version 2.50 of #snac, the simple, minimalistic #ActivityPub instance server written in C. It includes the following changes:

Incoming posts can now be filtered out by content using regular expressions on a server level (these regexes are written in the filter_reject.txt file at the server base directory; see snac(5) and snac(8)).

Improved page position after hitting the Hide or MUTE buttons (for most cases).

Use a shorter maximum conversation thread level (also, this maximum value is now configurable at compilation level with the MAX_CONVERSATION_LEVELS define).

Fixed a bug where editing a post made the attached media or video to be lost.

The way of refreshing remote actor data has been improved.

Posting from the command-line now allows attachments.

Added defines for time to enable MacOS builds (contributed by andypiper).

https://comam.es/what-is-snac

If you find #snac useful, please consider buying grunfink a coffee: https://ko-fi.com/grunfink

This release has been inspired by the song The Raven by #CarolineLavelle.

#snacAnnounces

continue honked 22 Mar 2024 12:41 +0100

#сегодня в очередной раз задумался, что мы свернули куда-то не туда, когда люди для репоста содержимого plain text письма в мессенджер стали использовать скриншоты.

continue honked 22 Mar 2024 12:25 +0100

Наглядный пример принципа "Солидарность, а не благотворительность": SOLIDARITY, NOT CHARITY | СОЛИДАРНОСТЬ, А НЕ БЛАГОТВОРИТЕЛЬНОСТЬ (RUS)

Британская газета DOPE Magazine, экземпляры которой распространяют люди, испытывающие трудности с финансами. Деньги от продажи газеты достаются распространителям.

#Анархизм

opennet honked 22 Mar 2024 12:00 +0100

Выпуск языка программирования Rust 1.77

Опубликован релиз языка программирования общего назначения Rust 1.77, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

  • Добавлена поддержка литералов для Си-строк (c"текст"), которые хранятся в памяти с завершающим нулевым символом и ассоциированы с типом "CStr". Предполагается, что поддержка Си-строк упростит написание кода, взаимодействующего с прослойками на языках программирования, в которых применяются завершаемые нулевым байтом строки, и позволит выполнять необходимые проверки на стадии компиляции.
       const HELLO: &core::ffi::CStr = c"Hello, world!";
    
  • В асинхронно выполняемых функциях, объявленных при помощи выражения "async fn", разрешено использование рекурсии, т.е. подобные функции теперь могут вызывать сами себя.
       async fn fib(n: u32) -> u32 {
          match n {
              0 | 1 => 1,
              _ => Box::pin(fib(n-1)).await + Box::pin(fib(n-2)).await
          }   
       }
    
  • Стабилизирован макрос offset_of!, позволяющий определить байтовое смещение полей структур, перечислений, объединений и кортежей, относительно начала типа. На практике макрос может быть полезен в ситуациях, когда требуется работа на уровне смещения полей при отсутствии экземпляра типа. В частности, функциональность offset_of необходима при разработке низкоуровневых компонентов, таких как драйверы.
       use std::mem;
       #[repr(C)]
       struct FieldStruct {
           first: u8,
           second: u16,
           third: u8
       }
       assert_eq!(mem::offset_of!(FieldStruct, first), 0);
       assert_eq!(mem::offset_of!(FieldStruct, second), 2);
       assert_eq!(mem::offset_of!(FieldStruct, third), 4);
    
  • В пакетном менеджере Cargo в профилях релизов по умолчанию включена очистка файлов от отладочных данных (strip = "debuginfo"), если в профиле Cargo явно не включён режим отладки, т.е. если параметр debug = 0).
  • Включена по умолчанию опция "-Zthir-unsafeck=on", обеспечивающая проверку unsafe для промежуточного представления THIR ("Typed High-Level Intermediate Representation").
  • Добавлена lint-проверка static_mut_refs для вывода предупреждения при использовании ссылок на изменяемые статические значения.
  • Реализована возможность применения типажа "From‹&[T; N]›" для типа "Cow‹[T]›".
  • В компиляторе обеспечено выравнивание 16-байтовых типов i128 и u128 для систем x86.
  • В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • Реализован третий уровень поддержки для платформ aarch64-unknown-illumos hexagon-unknown-none-elf riscv32imafc-esp-espidf riscv32im-risc0-zkvm-elf . Третий уровень подразумевает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.


Источник: https://www.opennet.ru/opennews/art.shtml?num=60827

opennet honked 22 Mar 2024 11:00 +0100

Инцидент с темой оформления KDE, удаляющей пользовательские файлы

Проект KDE рекомендовал воздержаться от установки неофициальных глобальных тем оформления и виджетов к KDE после инцидента с удалением всех личных файлов у пользователя, установившего тему оформления Grey Layout из каталога KDE Store, насчитывающую около 4000 загрузок. Предполагается, что инцидент вызван не злым умыслом, а ошибкой, связанной с небезопасным использованием команды "rm -rf".

В глобальных темах оформления KDE предусмотрена возможность использования плазмойдов, запускающих произвольные команды, которые среди прочего могут использоваться для удаления файлов. При использовании в коде конструкций вида "rm -rf $VAR/*", может возникнуть ситуация, когда переменная $VAR оказывается неинициализированной, что приведёт к фактическому выполнению команды "rm -rf /*". Ранее похожие ошибки всплывали в скриптах инициализации Squid, Steam и bumblebee.

Произошедший инцидент связывается с вызовом кода из виджета PlasmaConfSaver, в котором имеется скрипт save.sh, выполняющий удаление старых файлов конфигурации, оставшихся после прошлой установки. Файлы удаляются командой "rm -Rf "$configFolder", при том, что в коде отсутствует проверка установки переменной $configFolder, значение которой передаётся через аргумент командной строки ("configFolder=$2"). Изначально код был рассчитан на использование в KDE 5, но из-за изменений в KDE 6 логика вызова обработчиков могла быть нарушена и в переменной оказалось значение, приводящее к удалению всех данных пользователя (например, вместо запуска "sh save.sh somepath/ ..." мог быть выполнен код "sh save.sh somepath / ...", в результате чего в переменной configFolder оказалось значение "/").

Разработчики KDE намерены провести аудит сторонних тем оформления, размещённых к каталоге KDE Store, для выявления похожих ошибок, а также организовать вывод предупреждений при установке тем, размещённых сторонними пользователями. Дополнительно обсуждается вопрос введения предварительной проверки проектов, размещаемых в KDE Store, с целью противостояния целевому размещению злоумышленниками тем оформления, нацеленных на выполнение вредоносных действий, таких как кража конфиденциальных данных и запуск процессов для подмены номеров криптокошельков в буфере обмена.

Как правило, многие пользователи не предполагают, что при установке темы оформления может выполняться код, поэтому не уделяют должного внимания безопасности при установке тем. Глобальные темы оформления не только влияют на внешний вид, но и изменяют поведение Plasma и могут включать в состав собственные реализации блокировщиков экрана и апплетов, т.е. компоненты, выполняющие код. Из-за отсутствия ресурсов размещаемые в каталоге KDE Store проекты никак не проверяются и размещаются исключительно на основе доверия, при том, что в каталоге может зарегистрироваться любой желающий.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60826

opennet honked 22 Mar 2024 09:00 +0100

GitLab заблокировал репозиторий эмулятора Suyu

Компания Nintendo добилась блокировки основного репозитория проекта Suyu на GitLab, спустя день после публикации первого выпуска. Репозиторий заблокирован после направления в компанию GitLab жалобы о нарушении проектом Suyu действующего в США Закона об авторском праве в цифровую эпоху (DMCA). Альтернативный репозиторий, запущенный на собственном сервере с использованием платформы Forgejo (форк Gitea), а также репозиторий с релизами на площадке GitLab, продолжают работать.

В отправленном в GitLab DMCA-запросе утверждается, что, как и Yuzu, эмулятор Suyu специально создан для обхода методов технической защиты, и использует в процессе работы незаконно полученные копии криптографических ключей для расшифровки игр и прошивок, Несмотря на то, что извлечение ключей для расшифровки игр ложится на пользователей и производится с использованием сторонних инструментов, сам факт расшифровки на стороне эмулятора воспринимается Nintendo как незаконный обход технических мер защиты, даже если пользователь использует ключи, извлечённые из собственной купленной копии (в условиях использования запрещено создание копий для запуска на других платформах).

Проект Suyu создан путём ответвления от кодовой базы Yuzu и продолжил развитие эмулятора игровой приставки Nintendo Switch после сворачивания разработки Yuzu в результате соглашения с Nintendo о прекращении судебного разбирательства. Разработчики Suyu попытались учесть предыдущие претензии Nintendo и изначально указали на своём сайте, что не оправдывают и не способствуют пиратству и нарушению интеллектуальной собственности, а развивают проект исключительно в исследовательских целях и для сохранения представления об оборудовании в будущем.

Suyu преподносится как инструмент для защиты интересов пользователей, который не позволит потерять возможность запуска купленных игр в случае внешнего влияния или потери исходного носителя. Проект позиционируется как полностью бесплатный и принципиально отказывающийся от применения любых форм монетизации и донатов. В форуме и на дискуссионных площадках, связанных с проектом, явно запрещено обсуждение любых вопросов, касающихся пиратства, в документации исключены пошаговые руководства по извлечению ключей и упомянуто, что в эмуляторе следует использовать только ключи со своих собственных устройств и легально купленные игры.

В своё время авторы эмулятора Yuzu имели неосторожность публично упоминать о том, что большинство пользователей эмулятора используют пиратские ключи, на сайте Yuzu имелись инструкции по извлечению ключей и говорилось о необходимости переноса некоторых файлов со взломанной приставки, что использовалось Nintendo как повод для обвинения проекта в потворстве пиратству и несанкционированному копированию игр. Сам эмулятор Yuzu преподносился компанией Nintendo как инструмент для превращения персональных компьютеров в средство для массового нарушения интеллектуальной собственности.

В приставках Nintendo для предотвращения запуска пиратских копий игр и защиты от копирования игр применяется шифрование содержимого прошивки и файлов с играми, используя криптографические ключи. Компания Nintendo владеет или управляет авторским правом на игры для своих приставок и отвечает за предоставление лицензий на распространение игр для своих устройств. Условия использования разрешают запуск игр исключительно только на своей игровой консоли и запрещают использование неавторизированных устройств.

Параллельно продолжается развитие проекта Ryujinx, разрабатывающего не связанный с Yuzu эмулятор Nintendo Switch, созданный с нуля и написанный на языке C#. Ryujinx cущественно отстаёт от Yuzu по своим возможностям, но, тем не менее, из 4200 протестированных в Ryujinx игр примерно 3500 имеют статус пригодных для игрового процесса.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60825