Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлены структуры LazyCell и LazyLock, позволяющие отложить инициализацию данных до первого доступа (вызов функции инициализации осуществляется при попытке доступа к значению). LazyLock отличается от LazyCell поддержкой средств синхронизации для использования в многопоточном коде.

  
     use std::sync::LazyLock;
     use std::time::Instant;
  
     static LAZY_TIME: LazyLock<Instant> = LazyLock::new(Instant::now);
  
     fn main() {
         let start = Instant::now();
         std::thread::scope(|s| {
             s.spawn(|| {
                 println!("Thread lazy time is {:?}", LAZY_TIME.duration_since(start));
             });
             println!("Main lazy time is {:?}", LAZY_TIME.duration_since(start));
         });
     }
  

• В компиляторе rustc стабилизирована опция "--check-cfg", которая задействована в пакетном менеджере для проверки всех имён и значений, задаваемых через cfg, включая имена из Cargo.toml.

  
     fn main() {
         println!("Hello, world!");
  
         #[cfg(feature = "crayon")]
         rayon::join(
             || println!("Hello, Thing One!"),
             || println!("Hello, Thing Two!"),
         );
     }
  
     warning: unexpected `cfg` condition value: `crayon`
      --> src/main.rs:4:11
       |
     4 |     #[cfg(feature = "crayon")]
       |           ^^^^^^^^^^--------
       |                     |
       |                     help: there is a expected value with a similar name: `"rayon"`
  

• В шаблонах разрешено указание диапазонов в форматах "a..b" и "..b", которые аналогичны использованию выражений Range и RangeTo.

  
     pub fn size_prefix(n: u32) -> &'static str {
         const K: u32 = 10u32.pow(3);
         const M: u32 = 10u32.pow(6);
         const G: u32 = 10u32.pow(9);
         match n {
             ..K => "",
             K..M => "k",
             M..G => "M",
             G.. => "G",
         }
  }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • impl Default for Rc<CStr>
  • impl Default for Rc<str>
  • impl Default for Rc<[T]>
  • impl Default for Arc<str>
  • impl Default for Arc<CStr>
  • impl Default for Arc<[T]>
  • impl IntoIterator for Box<[T]>
  • impl FromIterator for Box<str>
  • impl FromIterator<char> for Box<str>
  • LazyCell
  • LazyLock
  • Duration::div_duration_f32
  • Duration::div_duration_f64
  • Option::take_if
  • Seek::seek_relative
  • BinaryHeap::as_slice
  • NonNull::offset
  • NonNull::byte_offset
  • NonNull::add
  • NonNull::byte_add
  • NonNull::sub
  • NonNull::byte_sub
  • NonNull::offset_from
  • NonNull::byte_offset_from
  • NonNull::read
  • NonNull::read_volatile
  • NonNull::read_unaligned
  • NonNull::write
  • NonNull::write_volatile
  • NonNull::write_unaligned
  • NonNull::write_bytes
  • NonNull::copy_to
  • NonNull::copy_to_nonoverlapping
  • NonNull::copy_from
  • NonNull::copy_from_nonoverlapping
  • NonNull::replace
  • NonNull::swap
  • NonNull::drop_in_place
  • NonNull::align_offset
  • <[T]>::split_at_checked
  • <[T]>::split_at_mut_checked
  • str::split_at_checked
  • str::split_at_mut_checked
  • str::trim_ascii
  • str::trim_ascii_start
  • str::trim_ascii_end
  • <[u8]>::trim_ascii
  • <[u8]>::trim_ascii_start
  • <[u8]>::trim_ascii_end
  • Ipv4Addr::BITS
  • Ipv4Addr::to_bits
  • Ipv4Addr::from_bits
  • Ipv6Addr::BITS
  • Ipv6Addr::to_bits
  • Ipv6Addr::from_bits
  • Vec::<[T; N]>::into_flattened
  • <[[ T; N]]>::as_flattened
  • <[[ T; N]]>::as_flattened_mut
• Признак "const", определяющий возможность использования в любом контексте вместо констант, применён в функциях:
  • <[T]>::last_chunk
  • BinaryHeap::new
• Реализован третий уровень поддержки для платформы x86_64-unknown-linux-none. Третий уровень подразумевает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.

1. Главная ссылка к новости
2. OpenNews: Выпуск Rust 1.79. Создан консорциум для разработки высоконадёжных систем на Rust
3. OpenNews: В каждом пятом пакете на языке Rust используется ключевое слово unsafe
4. OpenNews: Выпуск Rust 1.78. Язык Borgo, сочетающий сильные стороны Go и Rust
5. OpenNews: Движок Servo прошёл тесты Acid2. Сrash Reporter в Firefox переписан на Rust

В параметрах ключа указывалось, что он не заслуживает доверия и его не следует поставлять в своих продуктах. Подразумевалось, что данный тестовый ключ следует заменить на собственный, но производители не обратили внимание на предупреждение и использовали в итоговых прошивках типовой общий ключ, отправляемый всем партнёрам и клиентам компании AMI.

Закрытая часть тестового ключа AMI, необходимая для создания цифровых подписей, оказалась доступна публично после утечки информации у одного из производителей оборудования, сотрудник которого по ошибке разместил в публичном репозитории на GitHub код, содержащий данный ключ. Закрытый ключ был размещён в зашифрованном файле, при шифровании которого использовался простой 4-символьный пароль, который удалось легко подобрать методом перебора.

Ключ платформы используется в качестве корня доверия для заверения БД с ключами для Secure Boot. Получение закрытой части ключа платформы приводит к компрометации всей цепочки доверия, задействованной при проверке валидности компонентов загружаемой системы - зная ключ платформы можно обойти защиту Secure Boot и организовать подстановку при загрузке собственных компонентов через манипуляцию ключом KEK (Key Exchange Key) и базами данных "db" (Signature Database) и "dbx" (Forbidden Signature Database). KEK отвечает за создание цепочки доверия между прошивкой и операционной системой, "db" содержит сертификаты и подписи для загрузчика и сторонних компонентов UEFI, а "dbx" включает отозванные подписи известных вредоносных компонентов.

Для совершения атаки достаточно сгенерировать новые ключи и сертификаты для KEK и db, после чего использовать попавший в открытый доступ тестовый ключ платформы для загрузки в UEFI-прошивку созданного KEK-сертификата. Загрузив в прошивку KEK-сертификат, можно использовать связанный с ним закрытый ключ для загрузки в БД db нового сертификата. После загрузки сертификата db, связанный с ним закрытый ключ может применяться для заверения загружаемых EFI-компонентов.

   openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY KEK/" -out KEK.crt
   openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY db/" -out db.crt

   efi-updatevar -a -c KEK.crt -k PK.key KEK
   efi-updatevar -a -c db.crt -k KEK.key db
   sbsign --key db.key --cert db.crt --output rogue.efi.signed rogue.efi

Для проверки корректности ключа платформы достаточно запустить утилиту "efi-readvar -v PK" из пакета efitools и убедиться, что ключ платформы не является тестовым:

   efi-readvar -v PK

   Variable PK, length 862
   PK: List 0, type X509
       Signature 0, size 834, owner 26dc4851-195f-4ae1-9a19-fbf883bbb35e
           Subject:
               CN=DO NOT TRUST - AMI Test PK
           Issuer:
               CN=DO NOT TRUST - AMI Test PK

1. Главная ссылка к новости
2. OpenNews: 67% публичных серверов Apache Superset используют ключ доступа из примера настроек
3. OpenNews: PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки
4. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
5. OpenNews: Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel
6. OpenNews: Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL

Основные изменения:

• Модернизирован графический интерфейс. Предоставлена возможность выбора между режимами для обычных и продвинутых пользователей - в режиме для обычных пользователей часть расширенных функций интерфейса скрыта. GUI переведён на новую версию библиотеки Qt.
• Добавлен новый движок для трансляции адресов (NAT), поддерживающий IPv6.
• В дополнениях для гостевых систем и хостов на базе Linux реализована возможность использования совместного буфера обмена в графических окружениях на базе протокола Wayland.
• Повышена производительность создания скринкастов.
• Для EFI добавлены новые сертификаты Microsoft DB/KEX, применяемые в новых виртуальных машинах.
• В компонентах для интеграции с OCI (Oracle Cloud Infrastructure) реализованы функции для клонирования и сброса экземпляров виртуальных машин. В информационную панель добавлены данные о потреблении ресурсов локальными виртуальными машинами.
• В VRDE (Virtual Remote Desktop Extension), расширении для удалённого подключения к виртуальной машине с использованием протокола RDP, реализовано применение и поддержание в актуальном виде самоподписанных сертификатов для TLS, если пользователь явно не добавил собственный сертификат.
• В хост окружениях с macOS, развёрнутых на системах с процессорами на базе архитектуры ARM, обеспечено использование доступных в ARM расширений для виртуализации при запуске виртуальных машин с Linux и BSD-системами.

1. Главная ссылка к новости
2. OpenNews: Обновление VirtualBox 7.0.20
3. OpenNews: Релиз системы виртуализации VirtualBox 7.0
4. OpenNews: Релиз системы виртуализации VirtualBox 6.0
5. OpenNews: Релиз системы виртуализации VirtualBox 6.1

Базовая начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

В дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.

Среди изменений:

• Осуществлён переход на кодовую базу FreeBSD 14.1 (ранее использовался код FreeBSD 13.2).
• Предложена новая реализация информационной страницы (dashboard), примечательная современным оформлением и переходом на новый формат виджетов (поддержка старых виджетов прекращена).
• Значительно ускорена установка соединений в VPN на базе WireGuard. Добавлена поддержка генерации QR-кодов для быстрой настройки мобильных клиентов.
• Для OpenVPN реализована поддержка механизма DCO (Data Channel Offload) для выноса операций шифрования, обработки пакетов и управления каналом связи на сторону модуля, работающего на уровне ядра. DCO избавляет от накладных расходов, связанных с переключением контекста, оптимизирует работу за счёт прямого обращения к внутренним API ядра и исключает медленную передачу данных между ядром и пространством пользователя (шифрование, расшифровка и маршрутизация выполняется модулем без отправки трафика в обработчик в пространстве пользователя).
• Интерфейсы для управления туннелями GIF и GRE, а также настройки цепочки доверия, отказоустойчивости и прямой трансляции адресов (NAT "1-в-1") переведены на использование MVC-фреймворка. Добавлены Web API для автоматизации управления сетевой конфигурацией.
• Расширена поддержка DHCPv6.
• Добавлена поддержка динамического создания туннелей IPsec VTI (Virtual Tunnel Interface).
• Обновлены версии Python 3.11, hostapd 2.11, libpfctl 0.12, phalcon 5.8.0, openvpn 2.6.12, wpa_supplicant 2.11.
• Обновлены плагины: os-acme-client 4.4, os-caddy 1.6.1, os-dec-hw 1.1, os-etpro-telemetry 1.7, os-freeradius 1.29.4, os-nginx 1.34, os-theme-cicada 1.37 и os-theme-vicuna 1.47.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.1
3. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.7.1
4. OpenNews: Релизы дистрибутивов для создания межсетевых экранов IPFire 2.29 Core 186 и NethSecurity 8.0

Multipass самостоятельно извлекает необходимый образ операционной системы и поддерживает его в актуальном состоянии. Для настройки может применяться cloud-init. Предусмотрена возможность как монтирования дисковых разделов в виртуальное окружение (команда "multipass mount"), так и передачи отдельных файлов между хост-системой и виртуальной машиной (команда "multipass transfer"). Поддерживается полная интеграция установленной виртуальной машины с основным рабочим столом (добавляются пиктограммы приложений, системное меню и уведомления).

Основные изменения:

• Добавлен графический интерфейс для взаимодействия с сервисами multipass, упрощающий управление виртуальными машинами.
• Реализована возможность добавления внешнего сетевого моста к существующему экземпляру виртуальной машины.
• Добавлена опция для принудительного завершения экземпляров виртуальной машины: "multipass stop --force <instance-name>".
• Для бэкенда VirtualBox добавлена поддержка снапшотов, которые ранее были доступны только для QEMU и Hyper-V.
• Добавлены дополнительные ограничения при монтировании каталогов из хост-окружения в гостевые системы. Реализована защита от пересечения идентификаторов пользователей при монтировании.
• Размер snap-пакета сокращён на 48% (c 122MB до 64MB).
• При сборке vcpkg вместо gRPC задействована библиотека POCO.

1. Главная ссылка к новости
2. OpenNews: Выпуск Kata Containers 3.4 с изоляцией на основе виртуализации
3. OpenNews: Для Xen развивается механизм паравиртуализации IOMMU
4. OpenNews: Релиз Proxmox VE 8.0, дистрибутива для организации работы виртуальных серверов
5. OpenNews: Опубликован MyBee 13.1.0, дистрибутив FreeBSD для организации работы виртуальных машин

Дистрибутив предназначен для установки как на новое оборудование, так и на уже использующиеся серверы, как внутри, так и вне инфраструктуры Selectel. В настоящее время сборки доступны только для процессоров с архитектурой x86, но в дальнейшем планируется добавить поддержку и других аппаратных архитектур. В ходе тестирования Selectel планирует отработать процесс миграции пользователей на новый дистрибутив, чтобы подготовить продукт к коммерческому запуску, который планируют провести до конца 2024 года.

В ходе бета-тестирования предлагается оценить работу пакетов для систем виртуализации (KVM, QEMU, libvirt), веб-серверов (Apache httpd и nginx), LDAP, мониторинга (Zabbix, Prometheus), СУБД (MariaDB, PostgreSQL, MongoDB), резервного копирования (Bacula) и работы с контейнерами (Kubernetes, Docker). Обеспечена интеграция с облачными сервисами Selectel и объектным хранилищем S3. Из особенностей продукта отмечается гарантируемая Selectel поддержка по SLA.

1. Главная ссылка к новости
2. OpenNews: Опубликована одиннадцатая платформа ALT
3. OpenNews: Вышел дистрибутив Calculate Linux 23
4. OpenNews: Прототип отечественной ОС Phantom на базе Genode будет готов до конца года
5. OpenNews: Доступен защищённый российский дистрибутив Astra Linux Special Edition 1.7
6. OpenNews: Выпуск дистрибутива ROSA Fresh 12.5

Основные изменения в Linux Mint 22:

• Пользовательское окружение Cinnamon обновлено до выпуска 6.2, обзор изменений в котором был предложен в отдельном анонсе.
• Для файлового менеджера Nemo предложен инструмент "Layout Editor", позволяющий на свой вкус настроить размещение действий в меню. Поддерживается создание вложенных подменю, привязка или переопределение пиктограмм, использование разделителей, переименование элементов и компоновка в режиме drag&drop. "Действия" представляют собой дополнения к файловому менеджеру Nemo, позволяющие подключить обработчики, вызываемые через контекстное меню и загружаемые по аналогии с апплетами и темами оформления.
• Оптимизирована установка языковых пакетов. После завершения установки обеспечено удаление лишних языковых пакетов для высвобождения занимаемого не используемыми языковыми пакетами дискового пространства. После завершения установки оставляются только пакеты для английского и дополнительно выбранного языка. В установочном iso-образе поставляются языковые пакеты только для 8 языков, включая английский и русский, а пакеты для остальных языков при необходимости загружаются динамически при наличии сетевого соединения на стадии установки.
• Осуществлён переход на пакетную базу Ubuntu 24.04 и ядро Linux 6.8. Настройки активных репозиториев переведены на использование формата deb822, поддержка которого добавлена в графический интерфейс управления пакетами Software Sources.
• По умолчанию задействован звуковой сервер Pipewire.
• В темах оформления обеспечена поддержка GTK4.
• Из-за перевода некоторых штатных GNOME-приложений на libAdwaita и прекращения поддержки системной темы Mint, приложения Celluloid, GNOME Calculator, Simple Scan, Baobab, System Monitor, GNOME Calendar, File Roller и Zenity заменены в Linux Mint 22 на более ранние версии, использующие GTK3, а приложение GNOME Font Viewer удалено из дистрибутива.
• Добавлено XApp-приложение "GNOME Online Accounts GTK", представляющее интерфейс для управления подключением к облачным сервисам, таким как Google Drive, и получения доступа к сохранённым там данным. В отличие от штатного GNOME Online Account новое приложение доступно в вариантах для GTK4 и GTK3 (используются разные версии библиотеки libgoa), а также адаптировано для работы в различных дистрибутивах и пользовательских окружениях, например, работоспособно не только в GNOME, но и в Cinnamon, Budgie, Unity, MATE и Xfce.
• В интерфейсе установки программ Software Manager по умолчанию скрыты Flatpak-пакеты, не верифицированные в каталоге FlatHub, т.е. формируемые сторонними энтузиастами (например, пакет Chrome во FlatHub формирует неизвестный под ником refi64). В настоящее время во FlatHub примерно 42% пакетов помечены как верифицированные, т.е. публикуемые основными проектами или лицами, связанными с ними. Показ неверифицированных пакетов можно вернуть в настройках, но они будут явно помечены как не заслуживающие доверия и иметь нулевой рейтинг.

  Из изменений в Software Manager также отмечается значительное сокращение времени запуска - основной экран со списком категорий рекомендованных приложений теперь появляется почти мгновенно. Кроме того, в приложении улучшено выполнение в многопоточном режиме, добавлена новая страница с настройками и реализована возможность показа слайдшоу в области баннера.

  
• После сворачивания разработки IRC-клиента Hexchat проект перешёл на использование сети Matrix, для работы с которой в состав добавлен Matrix-клиент Element, реализованный в виде самодостаточного web-приложения.
• Сохранена поставка классического deb-пакета с почтовым клиентом Thunderbird, который в Ubuntu 24.04 был заменён на snap-пакет.
• В менеджер фотографий Pix и инструментарий для генерации миниатюр добавлена поддержка формата JPEG XL.
• В репозиторий добавлен новый генератор миниатюр xapp-thumbnailer-gimp для формата изображений, используемого в GIMP.
• Все приложения, использующие библиотеку libsoup2 для работы с протоколом HTTP, переведены на ветку libsoup3.
• В загрузочной заставке Plymouth и экране входа в систему Slick-Greeter улучшена поддержка экранов с высокой плотностью пикселей (HiDPI).
• В приложении для ведения заметок Stick предоставлена возможность настройки позиции по умолчанию при создании новой заметки. Добавлена возможность создания заметки из командной строки.
• В текстовый редактор Xed в меню Edit добавлена кнопка "Duplicate" и комбинация клавиш Ctrl+Shift+D для дублирования выделенного текста. В настройки добавлена опция, определяющая выходить или нет из программы при закрытии последней вкладки.
• В секции со списком недавно открытых файлов число элементов увеличено с 5 до 10.
• В программе для резервного копирования Timeshift реализован запрос подтверждения операции при попытке удаления снапшота.
• В web-приложениях, создаваемых через WebApp Manager и запускаемых в Firefox, реализовано адаптивное отображение меню и панели инструментов, которые скрыты по умолчанию, но становятся видимыми при открытии вкладки.
• В Xfce предоставлена возможность настройки размера символьных и цветных пиктограмм в системном лотке
• В ISO-образе реализована совместимость с FAT32 в режиме FST (File System Transposition).

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Linux Mint 21.3
3. OpenNews: Linux Mint развивает новое приложение для чата после сворачивания IRC-клиента HexChat
4. OpenNews: Выпуск дистрибутива Linux Mint Debian Edition 6
5. OpenNews: Релиз дистрибутива Linux Mint 21
6. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS

Для трансляции задействован компилятор SWC (Speedy Web Compiler), написанный на языке Rust. Для того, чтобы не добавлять дополнительные зависимости к Node.js, задействовано представление компилятора swc/wasm-typescript, поставляемое в промежуточном коде WebAssembly и уже применяемое для тех же целей в платформе Deno. Изменение добавлено в ответ на многочисленные просьбы пользователей реализовать возможность запуска кода на TypeScript без установки внешних загрузчиков и дополнительных зависимостей. В конкурирующих платформах Deno и Bun поддержка TypeScript была реализована изначально.

Ключевым отличием TypeScript от JavaScript является явное определение типов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации, упрощает отладку и делает код более читаемым и простым для доработки и поддержки сторонними разработчиками. В добавленной в Node.js реализации данные возможности TypeScript теряются, так как в процессе трансляции исходных текстов в JavaScript проверка типов не осуществляется.

1. Главная ссылка к новости
2. OpenNews: Доступна JavaScript-платформа Node.js 22.0.0
3. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
4. OpenNews: Фреймворк Turbo прекращает использование языка TypeScript
5. OpenNews: Доступен язык TypeScript 2.0, продвигаемый Microsoft в качестве дополнения к JavaScript
6. OpenNews: Автор Node.js представил защищённую JavaScript-платформу Deno 1.0

Регистрация и приём работ осуществляется до 15 августа 2024 года. К участию приглашаются педагоги и сотрудники учреждений высшего образования, среднего профессионального образования и дополнительного профессионального образования. Возможно как индивидуальное участие, так и формирование команд единомышленников  для совместной разработки проекта.

Жюри конкурса:

• Владимир Рубанов, член Правления ИТ-ассоциаций АПКИТ и РУССОФТ;
• Егор Бугаенко, директор лаборатории создания инструментов разработки ПО, основатель Zerocracy, автор книги «Элегантные объекты»;
• Сергей Шалашный, учредитель АНО Центр развития инновационных технологий «ИТ-Планета»;
• Александр Белоцерковский, директор по технологическому евангелизму, GitVerse;
• Андрей Баженов, директор по разработке системного ПО, СберТех;
• Дмитрий Варенов, технический лидер сообщества OpenScaler.

1. Главная ссылка к новости
2. OpenNews: СберТех запустил платформу совместной разработки GitVerse и AI-ассистент GigaCode
3. OpenNews: СберТех и ИТ-Планета проводят конкурс программирования для Linux-дистрибутива OpenScaler
4. OpenNews: Huawei опубликовал новый Linux-дистрибутив openEuler
5. OpenNews: Выпуск Linux-дистрибутива openEuler 20.03, развиваемого компанией Huawei
6. OpenNews: Компания Huawei передала дистрибутив openEuler некоммерческой организации Open Atom

Возможность доступа к коммитам по хэшу во всех связанных форками репозиториях вызвано тем, что GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в основном репозитории любой коммит из любого форка, явно указав его хэш в URL. Например, пользователь может создать форк репозитория "/torvalds/linux" и добавить в него любой код, после чего этот код станет доступен по прямой хэш-ссылке в репозитории "/torvalds/linux". В случае удаления репозитория, если имеется хотя бы один публичных форк, данные из удалённого репозитория остаются доступны по хэшу коммита.

Предлагается три сценария, представляющих угрозу безопасности:

• Первый сценарий затрагивает ситуации, когда разработчики создают форки публичных репозиториев, добавляют в них изменения, экспериментируют, а затем удаляют. Помимо утечки кода, который не предназначен для публикации, опасность представляет ситуация, когда в экспериментах в код файлов с примерами добавляются рабочие ключи доступа к API. В этом случае атакующий может получить доступ к изменению по хэшу коммита, адресуемому после удаления форка через основной репозиторий. Например, предложенным способом исследователи смогли определить 30 рабочих ключей доступа к API, изучив три связанных с машинным обучением репозитория с большим числом форков.
• Второй сценарий касается возможности получения доступа к данным после удаления первичного репозитория, если для этого репозитория были созданы форки. В качестве примера приводится случай, когда в публичном репозитории одной компании были случайно опубликованы закрытые ключи одного из сотрудников, позволяющие получить полный доступ ко всем репозиториям данной компании на GitHub. Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.
  
  
• Третий сценарий связан с моделью разработки проектов, которые развивают базовую открытую версию в публичном репозитории и расширенную проприетарную версию в приватном. Если компания изначально развивала проект в приватном репозитории, а затем после открытия кода проекта перевела его в разряд публичных, но продолжила разработку закрытой внутренней или расширенной версии в приватном форке, имеется возможность доступа к добавленным в приватный форк изменениям по хэшам коммитов через публичный репозиторий. При этом доступ возможен только к изменениям, добавленным в приватный форк до перевода основного репозитория в разряд публичных (хранилища приватных и публичных репозиториев разделяются, но, когда два репозитория были приватными, коммиты хранились совместно, поэтому остались в репозитории после его перевода в разряд публичных).

Трюк, позволяющий получить доступ к коммитам в форках репозитория через ссылку на основной репозиторий, известен уже много лет и периодически используется для различных шуток и ввода в заблуждение разработчиков (например, шутники периодически подобным образом создают видимость подстановки бэкдоров в репозиторий с ядром Linux на GitHub). В качестве меры для противодействия подобным шуткам GitHub добавил предупреждение о том, что запрошенный коммит не относится к веткам в текущем репозитории и возможно принадлежит форку. При этом сама возможность доступа к коммитам по хэшу в любых связанных форками репозиториях рассматривалась как безобидная, так как для обращения к данным в удалённых и приватных форках требуется знание хэша коммита.

Подобрать хэш коммита, формируемый на базе алгоритма SHA-1 и включающий 32 символа, не реально, но оказалось, что это и не требуется. GitHub поддерживает сокращённую форму обращения к коммитам, позволяющую адресовать изменения по нескольким первым символам хэша, если отсутствуют пересечения с другими коммитами. Минимальное число символов для сокращённой адресации хэша - 4, что соответствует перебору всего 65 тысяч комбинаций (16^4). При этом перебор может и не потребоваться, так как API GitHub позволяет подключать обработчики для перехвата событий, которые используются сторонними проектами, ведущими архив с полным логом всех операций, в котором информация о хэшах коммитов остаётся и после удаления репозиториев.

1. Главная ссылка к новости
2. OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
3. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
4. OpenNews: Через уязвимость в GitHub от имени Линуса Торвальдса создан фиктивный репозиторий linux-ng
5. OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise
6. OpenNews: Трюк с определением персональных данных через SSH

Миссия проекта охватывает такие ценности, как важность сообщества, приверженность модели разработки на основе открытого кода, соблюдение конфиденциальности, открытые и прозрачные методы управления. Ранее действовавший управляющий комитет OpenSSL Management Committee (OMC) упразднён, а принятие решений возложено на совместную работу советов директоров, избираемых отдельно в OpenSSL Foundation и OpenSSL Corporation. Обе организации имеют по 10 голосующих участников.

Кроме того, в OpenSSL Foundation и OpenSSL Corporation из представителей сообщества и заинтересованных коммерческих компаний избираются надзорные комитеты - Technical Advisory Committee (TAC) и Business Advisory Committee (BAC), которые могут напрямую представлять интересы сообщества в разработке планов. Комитет BAC будет сформирован в конце октября 2024 года, а TAC - в конце апреля 2025 года.

Проект отныне не ограничивается только библиотекой OpenSSL и открыт для других связанных с криптографией разработок. Первыми двумя присоединившимися проектами стали библиотеки Bouncy Castle (крипто-API для API Java и C#) и cryptlib (высокоуровневый API для упрощения добавления шифрования и аутентификации в программы), которые теперь будут развиваться под покровительством OpenSSL Foundation и OpenSSL Corporation.

1. Главная ссылка к новости
2. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.3.0
3. OpenNews: Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL
4. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
5. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
6. OpenNews: Проект OpenSSL переходит на лицензию Apache и меняет схему нумерации выпусков

Основные изменения:

• Ядро приложения, связывающее все компоненты, переведено на использование цикла обработки событий в неблокирующем режиме, реализованного на основе библиотеки libuv, применяемой в таких проектах, как Node.js, Knot DNS, H2O, Luvit и MoarVM. В ветке 9.16 на libuv был переведён менеджер сетевых соединений в BIND, а теперь и части, используемые для взаимодействия внутренних компонентов инфраструктуры, а также длительно выполняемые в отдельных потоках вспомогательные обработчики (threadpool), используемые для верификации DNSSEC, трансфера зон, поддержания каталога зон и обработки RPZ (Response Policy Zone). Для сборки BIND теперь требуется как минимум выпуск libuv 1.34.0.
• Предложен новый бэкенд для работы с БД - "QP trie", который пришёл на смену RBTDB (Red-Black Tree Database) и задействован по умолчанию для хранения кэша и базы DNS-зон. Для многопоточной работы в QP trie задействована библиотека liburcu с реализацией в пространстве пользователя структур, не использующих блокировки, благодаря применению механизма синхронизации RCU (read-copy-update) и метода безопасного освобождения памяти QSBR (Quiescent-State-Based Reclamation).
• Задействован обновлённый механизм сжатия доменных имён, использующий более компактный метод кодирования имён с большим числом меток.
• Расширены возможности DNSSEC: "dnssec-policy" разрешено применять для управления подписанными зонами (опция auto-dnssec удалена); при использовании "inline-signing" добавлена поддержка RFC 8901 (DNSSEC multi-signer model 2); возобновлена поддержка PKCS#11 на базе OpenSSL 3.0.0 Engine API; в "dnssec-policy" добавлена поддержка HSM (Hardware Security Module).
• Добавлена поддержка второй версии каталога зон (Catalog Zone, RFC 9432), упрощающего поддержание вторичных DNS-серверов за счёт того, что вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача каталога вторичных зон. После настройки передачи каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, автоматически создаются на вторичном сервере без необходимости правки файлов конфигурации.
• Добавлена поддержка механизма расширенных ошибок (Extended DNS Errors, RFC 8914), позволяющего возвращать дополнительную информацию о причине ошибки, возникшей при выполнении DNS-запроса.
• Реализация технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), применяемых для шифрования запросов клиентов к резолверу и шифрованного обмена данными между серверами, переведена на использование унифицированного транспорта.
• Добавлена возможность использования протокола PROXYv2 со всеми транспортами, поддерживаемыми в BIND. Протокол PROXY позволяет передавать информацию о соединении для сохранения сведений об исходном IP-адресе и номере порта при пробросе DNS-запросов через другие бэкенды, балансировщики нагрузки и прокси-серверы.
• Добавлена поддержка режима USDT (User Statically Defined Tracing), дающего возможность выполнять трассировку приложения при помощи команды perf, не создавая дополнительные накладные расходы, когда трассировка отключена.
• В собираемой статистике реализовано отражения информации о незавершённых входящих операциях передачи зон.
• Проведена работа по сокращению задержек, уменьшению потребления памяти и снижению нагрузки на CPU при резолвинге, работе DNS-over-TLS и формировании ответов по UDP и TCP.
  
  
  
  
  
  
• Устранены 4 уязвимости, приводящие к аварийному завершению, излишней нагрузке на CPU, замедлению работы или проблемам со стабильностью.

1. Главная ссылка к новости
2. OpenNews: Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC
3. OpenNews: DNS-сервер Trust-DNS переименован в Hickory и будет задействован в инфраструктуре Let's Encrypt
4. OpenNews: Выпуск DNS-сервера KnotDNS 3.3.0 с поддержкой DNS поверх QUIC
5. OpenNews: Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
6. OpenNews: Выпуск PowerDNS Authoritative Server 4.7

Основные новшества:

• Из базовой системы удалён интерпретатор языка программирования Perl (для использования Perl теперь требуется его установка из портов). Аналогично из базовой системы удалены brainfuck и subversion.
• Предоставлена возможность использования системы пакетов Ravenports в окружениях на базе архитектуры amd64 (для окружений i386 доступен только инструментарий mports). Пакеты загружаются при помощи утилиты ravensw и устанавливаются в каталог /raven. В отличие от mports в Ravenports поставляются более свежие версии некоторых приложений, а также имеются пакеты, пока не собранные для mports. Например, в Ravenports доступны свежие версии Firefox. Ravenports и mports можно использовать по отдельности, выбрав желаемую систему во время установки, или применять их вместе бок о бок.
• Пакетный менеджер mport обновлён до версии 2.6.2.
• В библиотеке libarchive включена поддержка алгоритма сжатия zstd.
• Из поставки удалён telnetd.
• Для улучшения совместимости с Linux в состав включён заголовочный файл endian.h.
• Обновлены сторонние компоненты: expat 2.6.2, ldns 1.8.3, sendmail 8.18.1, libarchive 3.7.2, zstd 1.5.2, Unbound 1.19.3, xz / lzma 5.4.5, tzdata 2023d, mandoc 1.14.6, OpenSSH 9.3p2, nvi 2.2.1 и openssl 1.1.1w.
• Обновлён список идентификаторов поддерживаемых PCI-устройств.
• Добавлена поддержка датчиков температуры, используемых в процессорах AMD zen4.
• В драйвер ahci добавлена поддержка использования чипсета AMD KERNCZ в режиме RAID.

1. Главная ссылка к новости
2. OpenNews: Выпуск операционной системы MidnightBSD 3.1
3. OpenNews: Проект NixBSD развивает вариант NixOS с ядром из FreeBSD
4. OpenNews: Выпуск GhostBSD 24.04.1
5. OpenNews: SmolBSD - инструментарий для создания микро-сборок NetBSD
6. OpenNews: Выпуск дистрибутива NomadBSD 141

1. Главная ссылка к новости
2. OpenNews: Выпуск почтового клиента Thunderbird 128
3. OpenNews: В Thunderbird добавят реализацию протокола Microsoft Exchange на языке Rust
4. OpenNews: Реклама программы-вымогателя под видом почтового клиента Thunderbird
5. OpenNews: Проект Thunderbird опубликовал финансовые показатели за 2022 год
6. OpenNews: Выпуск почтового клиента Thunderbird 115 c переработанным интерфейсом пользователя

Основные изменения в новых выпусках hostapd и wpa_supplicant:

• Добавлена начальная поддержка Wi-Fi 7 (EHT/IEEE 802.11be) и улучшена поддержка Wi-Fi 6 (HE/IEEE 802.11ax).
• Добавлена поддержка третьей версии протокола DPP (Device Provisioning Protocol), в обиходе известного как "Wi-Fi Easy Connect", а также предоставлена возможность передачи параметров с настройками Wi-Fi при помощи DPP. Протокол DPP предоставляет возможность упрощённой настройки беспроводных устройств без экранного интерфейса, используя другое более продвинутое устройство, уже подключенное к беспроводной сети. DPP основывается на применении аутентификации по открытым ключам, например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе и кодирующего открытый ключ.
• Добавлена поддержка изменений API, предложенных в ветке криптографической библиотеки OpenSSL 3.0.
• В реализации протоколов аутентификации EAP-SIM (Extensible Authentication Protocol - Subscriber Identity Module) и EAP-AKA (Extensible Authentication Protocol - Authentication and Key Agreement), появилась поддержка механизма обеспечения конфиденциальности идентификатора абонента мобильной сети, исключающего раскрытие IMSI при подключении к точке доступа.
• Добавлена поддержка режимов работы SAE AKM (Simultaneous Authentication of Equals - Authentication and Key Management) с переменным размером ключей.
• Добавлена поддержка варианта AKM (Authentication and Key Management) на базе хэшей SHA384.
• В реализации механизма PASN (Pre Association Security Negotiation), применяемого для установки защищённого соединения и защиты обмена управляющими кадрами на ранней стадии подключения, обеспечена поддержка технологии "secure ranging" для безопасного определения расстояния между двумя Wi-Fi устройствами.
• Добавлена поддержка механизма USD (Unsynchronized Service Discovery), упрощающего обнаружение сервисов беспроводными устройствами.
• Добавлена поддержка явной защиты SSID при четырёхэтапном согласовании подключения. Защита включается при помощи опции "ssid_protection=1" и блокирует уязвимость CVE-2023-52424, позволяющую организовать подключение к менее защищённой беспроводной сети.
• Изменения, специфичные для hostapd:
  • Добавлена поддержка фонового обнаружения помех от радарных систем, работающих в тех же частотных диапазонах (при обнаружении осуществляется переключение на другие частоты). Также добавлена поддержка механизма CAC (Channel Availability Check), предназначенного для прослушивания канала перед использованием с целью проверки его занятости радарной системой.
  • В реализации метода согласования соединений SAE (Simultaneous Authentication of Equals) появилась возможность запроса пароля у RADIUS-сервера.
  • Добавлена поддержка проверок ACL (Access-Control List) и PSK (Pre-Shared Key) с использованием протокола RADIUS во время согласования соединения (wpa_psk_radius=3).
  • В реализации механизма ACS (Automatic Channel Selection) при выборе используемого канала обеспечен учёт пропускной способности и типов каналов.
  • Расширена поддержка использования на одной точке доступа нескольких идентификаторов BSSID (Basic Service Set Identifier) для обеспечения работы виртуальных беспроводных сетей.
  • Добавлена начальная поддержка использования TLS для шифрования обращений по протоколу RADIUS.
• Изменения, специфичные для wpa_supplicant:
  • В реализации стандарта MACsec (IEEE 802.1AE), предоставляющего средства для защиты канала передачи данных, предоставлена возможность использования набора шифров GCM-AES-256 и добавлена поддержка аппаратного ускорения через вынос операций на сторону сетевого адаптера.
  • Для TLSv1.3 улучшена поддержка EAP-TLS.
  • Усилена защита от DoS-атак при использовании PMF (Protected Management Frames).
  • Улучшен роуминг между AKM (Authentication and Key Management) при выборе SME/BSS (Service Management Entity/Basic Service Set) -драйвером.
  • Предоставлена возможность использования механизма PASN (Protected Access Secure Negotiation) с внешними программами.
  • Добавлена поддержка использования заранее сгенерированных MAC-адресов (mac_addr=3) вместо генерации случайного MAC для каждой сети.
  • Включено по умолчанию использовании второй фазы аутентификации (phase2_auth=1) для протокола EAP-PEAP, подразумевающей аутентификацию клиента внутри защищённого туннеля.
  • Расширена поддержка технологии MSCS (Multi-Streaming Channel Switching), позволяющей устройству переключаться между несколькими каналами.
  • Расширена поддержка технологии SCS (Spatial Channel Switching) для приоритетной обработки важного трафика при использовании QoS.

1. Главная ссылка к новости
2. OpenNews: Проблемы, приводящие к обходу аутентификации Wi-Fi в IWD и wpa_supplicant
3. OpenNews: Выпуск Wifibox 0.12, окружения для использования WiFi-драйверов Linux во FreeBSD
4. OpenNews: Выпуск IWD 2.0, пакета для обеспечения подключения к Wi-Fi в Linux
5. OpenNews: Выпуск hostapd и wpa_supplicant 2.10
6. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.48.0