Трою пришло письмо от имени сервиса Mailchimp c предупреждением о приостановке работы его списка рассылки и необходимости выполнения определённых проверок. Трой перешёл по ссылке в письме, ввёл на открывшейся странице параметры учётной записи в Mailchimp, подтвердил запрос двухфакторной аутентификации и страница зависла...., а атакующие получили доступ к пользовательской базе его списка рассылки и выгрузили сведения о email и IP-адресах 16627 подписчиков. Примечательно, что в выгрузку вошли 7535 адресов пользователей, ранее отписавшихся от рассылки, но сервис Mailchimp сохранил их несмотря на отписку и включил в экспортируемые данные.

Трой не стал умалчивать свою оплошность и подробно разобрал инцидент в своём блоге, а также добавил информацию об утечке на свой сервис haveibeenpwned.com. Трой считает, что он не заподозрил подвоха из-за стечения нескольких факторов. Во время получения письма Трой был в поездке, не адаптировался после смены часовых поясов и был сильно уставшим. Письмо было прочитано именно в тот момент, когда бдительность была подавлена.

Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email. Затем, когда письмо было повторно открыто утром на компьютере, Трой не стал перепроверять параметры и не обратил внимание на то, что письмо отправлено с подозрительного адреса "hr@group-f.be".

Текст был стилизован под стандартное сообщение Mailchimp и предупреждал об ограничении отправки рассылки из-за получения жалобы на спам. Информация была подана ровно в той мере, чтобы вызвать беспокойство, но не переусердствовать. В письме предлагалось проверить недавно отправленные рассылки и предпринять действия для разблокировки. По ссылке вместо mailchimp.com открылся сайт mailchimp-sso.com. Менеджер паролей 1Password автоматически не заполнил форму входа, но и это было проигнорировано. После зависания формы аутентификации Трой очнулся и перезашёл на реальный сайт Mailchimp, но было уже поздно - атакующие использовали захваченные учётные данные для получения токена для доступа к API и выполнили экспорт информации.

1. Главная ссылка к новости
2. OpenNews: Взлом Internet Archive привёл к утечке 31 миллиона учётных записей
3. OpenNews: В Chrome добавлен AI-режим для автоматической смены скомпрометированных паролей
4. OpenNews: Mozilla отказывается от сервиса Onerep из-за связи его основателя со сбором информации о людях
5. OpenNews: Открыт код сервиса проверки паролей HaveIBeenPwned
6. OpenNews: Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

Платформа webOS была изначально разработана компанией Palm в 2008 году и использовалась на смартфонах Palm Pre и Pixie. В 2010 году после поглощения компании Palm платформа перешла в руки Hewlett-Packard, после чего HP пыталась использовать данную платформу в своих принтерах, планшетах, ноутбуках и ПК. В 2012 году компания HP анонсировала перевод webOS в независимый открытый проект и в 2013 году начала открытие исходных текстов его компонентов. В 2013 году платформа была выкуплена у Hewlett-Packard компанией LG и теперь применяется на более чем 70 миллионах телевизоров и потребительских устройств LG. В 2018 году был основан проект webOS Open Source Edition, через который компания LG попыталась вернуться к открытой модели разработки, привлечь других участников и расширить спектр поддерживаемых в webOS устройств.

Системное окружение webOS формируется с использованием инструментария и базовых пакетов OpenEmbedded, а также сборочной системы и набора метаданных от проекта Yocto. Ключевыми компонентами webOS являются менеджер системы и приложений (SAM, System and Application Manager), отвечающий за выполнение приложений и сервисов, и Luna Surface Manager (LSM), формирующий интерфейс пользователя. Компоненты написаны с использованием фреймворка Qt и браузерного движка Chromium.

Отрисовка осуществляется через композитный менеджер, применяющий протокол Wayland. Для разработки пользовательских приложений предлагается использовать web-технологии (CSS, HTML5 и JavaScript) и фреймворк Enact, основанный на React, но возможно и создание программ на С и C++ с интерфейсом на базе Qt. Пользовательская оболочка и встроенные графические приложения в основном реализованы как нативные программы, написанные с использованием технологии QML. По умолчанию предлагается оболочка Home Launcher, оптимизированная для управления с сенсорных экранов и предлагающая концепцию сменяющих друг друга карт (вместо окон).

Для хранения данных в структурированном виде с использованием формата JSON применяется хранилище DB8, использующее в качестве бэкенда БД LevelDB. Для инициализации используется bootd на основе systemd. Для обработки мультимедийного контента предлагаются подсистемы uMediaServer и Media Display Controller (MDC), в качестве звукового сервера применяется PulseAudio. Для автоматического обновления прошивки применяется OSTree и атомарная замена разделов (создаются два системных раздела, один из которых является активным, а второй используется для копирования обновления).

1. Главная ссылка к новости
2. OpenNews: Компания LG опубликовала платформу webOS Open Source Edition 2.27
3. OpenNews: Компания LG опубликовала операционную систему webOS Open Source Edition
4. OpenNews: Компания LG представила телевизоры на базе webOS 2.0
5. OpenNews: Первый выпуск мобильной платформы LuneOS, продолжившей развитием webOS
6. OpenNews: Компания Hewlett-Packard выпустила webOS Community Edition

В состав входит несколько приложений собственной разработки, включая 'Desktop Profiler' для быстрой установки тематических наборов ПО, 'Setup utility' для установки сторонних приложений, 'Software center' для установки дополнительных программ, 'Welcome Screen' для упрощения начальной настройки, Lookswitcher для быстрого переключения внешнего вида, скрипты для установки альтернативных окружений LXQt, Xfce и LXDE. Предоставляется приложение для установки дистрибутива в отдельный каталог Windows, что позволяет использовать дистрибутив параллельно с Windows без выделения для него отдельного дискового раздела.

В новом выпуске пакетная база обновлена до Debian 12.10 с ядром Linux 6.1.0-32. Установщик наборов приложений Desktop Profiler переписан для работы в многопоточном режиме и получил поддержку пакетов в формате Flatpak.

Отдельно энтузиастами развиваются сборки Q4OS с интерфейсом в стиле Windows XP и Windows 10.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Q4OS 5.6, поставляемого с пользовательским окружением Trinity
3. OpenNews: Релиз десктоп-окружения Trinity R14.1.3, продолжающего развитие KDE 3.5

Во всём репозитории Debian 12, насчитывающем 33223 исходных пакетов, поддержка повторяемых сборок достигла 96.9% для архитектуры x86_64 и 96.5% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 96.5% для архитектуры ARM64 и 96.3% для x86_64 при пересборке 37322 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 819 пакетов (2.2%), а у 428 пакетов (1.1%) возникли общие проблемы при компиляции из исходного кода. Для сравнения в Arch Linux возможность повторяемой сборки реализована для 86.3% пакетов из репозиторев core и extra, насчитывающих 12800 пакетов. В репозитории openSUSE Factory, насчитывающем 15754 пакета, уровень повторяемых сборок составляет 98.24%.

Повторяемые сборки дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

1. Главная ссылка к новости
2. OpenNews: openSUSE тестирует поддержку повторяемых сборок
3. OpenNews: В NixOS обеспечена поддержка повторяемых сборок для iso-образа
4. OpenNews: Доступен rebuilderd для независимой верификации Arch Linux при помощи повторяемых сборок
5. OpenNews: Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage
6. OpenNews: Для 94% пакетов Debian обеспечена возможность повторяемой сборки

Изначально возможность использования Linux в роли хост-окружения для системы виртуализации Hyper-V была представлена в 2020 году. Linux для управления Hyper-V уже применяется в дистрибутиве Azure Linux и инфраструктуре Microsoft, но для сторонних проектов подобная возможность была доступна только в форме отдельных патчей. Теперь данные патчи включены в основной состав ядра. Драйверы Hyper-V для гостевых систем были добавлены в ядро Linux в 2009 году и поставляются начиная с выпуска 2.6.32.

Необходимость использования Linux для управления гипервизором Hyper-V обусловлена желанием упростить сопровождение и повысить производительность серверов, обслуживающих облачные системы Microsoft, в условиях того, что с 2018 года число гостевых систем с Linux в облачном сервисе Azure превышает число окружений с Windows.

Отдельно компания Microsoft опубликовала обновление открытого проекта Hyperlight, развивающего гипервизор для встраивания в приложения. Гипервизор оформлен в виде разделяемой библиотеки, обеспечивающей выполнение отдельных функций в легковесных виртуальных машинах (micro-VM) и организующей обмен данными с этими функциями. Hyperlight может потребоваться, например, при необходимости изоляции части кода, не заслуживающего доверия или требующего особой защиты.

Из изменений отмечается реализация надстройки hyperlight-wasm, позволяющей запускать в отдельных виртуальных машинах Wasm-модули и компоненты, скомпилированные в промежуточный код WebAssembly. Предполагается, что использование виртуальной машины обеспечит более надёжную изоляцию при необходимости запуска стороннего WebAssembly-кода. Hyperlight-Wasm может использоваться в Windows (WHP - Windows Hypervisor Platform) и в Linux (KVM или Hyper-V через /dev/mshv).

Для выполнения WebAssembly-кода применяется специальный урезанный образ гостевой системы, применяющий runtime Wasmtime для запуска WebAssembly-компонентов, скомпилированных из кода на различных языках программирования. В виртуальной машине используется единый линейный фрагмент памяти. Работа осуществляется без виртуальных устройств, без операционной системы и без разделения на процессы. Запуск виртуальной машины производится с минимальными задержками и накладными расходами - создание легковесной виртуальной машины hyperlight занимает всего 1-2 миллисекунды, что в 100 раз меньше, чем при запуске обычной виртуальной машины.

Дополнительно можно отметить принятие в ветку ядра Linux 6.15 патча с поддержкой блочных устройств, у которых размер блока превышает страницу памяти. Например, Linux теперь сможет работать с устройствами с размером сектора 64Кб на системах со страницами памяти, размером 4Кб.

1. Главная ссылка к новости
2. OpenNews: Первый выпуск платформы виртуализации SEAPATH
3. OpenNews: Microsoft открыл Hyperlight, гипервизор для изоляции отдельных функций в приложениях
4. OpenNews: Microsoft открыл код гипервизора OpenVMM и платформы паравиртуализации OpenHCL
5. OpenNews: Microsoft реализовал поддержку корневого окружения для Hyper-V на базе Linux
6. OpenNews: Microsoft начал продвижение в ядро Linux компонентов хост-окружения Hyper-V

Проблема проявляется начиная с выпуска Exim 4.96. Из крупных дистрибутивов уязвимые версии использовались в Debian 12, Ubuntu 24.04/24.10, openSUSE 15.6, Arch Linux, Fedora и FreeBSD. RHEL и производные дистрибутивы проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (в EPEL обновление к пакету exim пока не опубликовано).

Уязвимость присутствует в коде с отладочными вызовами и вызвана обращением к памяти после её освобождения (use-after-free) в pretrigger-обработчике. Проблема возникала из-за освобождения памяти под буфер вывода отладочной информации (debug_pretrigger_buf) без выставления в указатель значения NULL, которое используется для проверки наличия буфера перед обращениями к нему.

1. Главная ссылка к новости
2. OpenNews: Обновление почтового сервера Exim 4.98.1 с устранением уязвимости
3. OpenNews: Обновление Exim 4.97.1 с добавлением защиты от атаки SMTP Smuggling
4. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере
5. OpenNews: Новая версия почтового сервера Exim 4.98
6. OpenNews: Опубликован почтовый сервер Postfix 3.10.0

В качестве основы рабочего стола в Zorin OS используется GNOME с набором собственных дополнений и панелью на основе Dash to Panel и Dash to Dock. Для интеграции рабочего стола со смартфоном поставляется приложение Zorin Connect (на базе KDE Connect). Кроме пакетов в формате deb и репозиториев Ubuntu по умолчанию включена поддержка форматов Flatpak, AppImage и Snap с возможностью установки программ из каталогов Flathub и Snap Store.

В новой версии:

• Расширена встроенная база данных для определения установщиков популярных Windows-приложений, охватывающая более 150 программ. Улучшен вывод информации о наличии альтернатив. Например, при попытке запуска инсталлятора Windows-версии Obsidian будет показан диалог о наличии в репозитории сборки для Linux, а при попытке установки Adobe Acrobat Reader будет предложено использовать Document Viewer.
• В качестве web-браузера по умолчанию вместо Firefox задействован Brave. В качестве причины замены упоминается недовольство изменением политики Mozilla. Brave выбран из-за наличия встроенной блокировки рекламы и трекеров, защиты от пассивной идентификации, встроенной возможности работы через Tor, автоматической блокировки сторонних Cookie и баннеров с запросами подтверждений, связанных с Cookie.
• Расширены возможности интеграции рабочего стола со смартфоном при помощи приложения Zorin Connect (ответвление от KDE Connect). Изменено оформление интерфейса мобильного приложения, устанавливаемого на смартфон. Добавлена функция "Удалённый ввод" для управления клавиатурой и мышью со смартфона. Добавлены такие возможности, как передача ссылок и обложек музыкальных альбомов, фильтрация уведомлений, размещение отличающихся ярлыков для разных компьютеров.
• Улучшена поддержка устройств с сенсорными экранами. Повышено удобство работы панелью задач с сенсорного экрана. Добавлена поддержка вызова экранной клавиатуры через нажатие кнопки на панели, помимо автоматического показа при переходе в формы ввода текста.
• Обновлены версии предустановленных приложений и пакетов. В состав включена новая ветка драйверов NVIDIA 570.

1. Главная ссылка к новости
2. OpenNews: Выпуск Zorin OS 17.2, дистрибутива для пользователей, привыкших к Windows или macOS
3. OpenNews: Релиз дистрибутива Solus 4.7
4. OpenNews: Релиз дистрибутива Linux Mint 22.1
5. OpenNews: Выпуск дистрибутива elementary OS 8.0.1
6. OpenNews: Проект Windowsfx подготовил сборку Ubuntu с интерфейсом, стилизованным под Windows 11

Среди возможностей: автоматическое перекодирование кодировки текста в тегах, эквалайзер, поддержка cue-файлов, возможность управления через командную строку или из системного лотка, загрузка и отображение обложек, встроенный редактор тегов, гибкие возможности в отображении нужных полей в списках композиций, поддержка потокового интернет-радио, режим воспроизведения без пауз, наличие плагина для перекодирования звуковых файлов.

Основные изменения:

• Возможность отката (undo/redo) операций редактирования списка воспроизведения.
• Команды для перехода к предыдущему, следующему и случайному альбому, работающие с учётом режима перемешивания (shuffle).
• Поддержка кадров TORY в метаданных ID3v2.3.
• Поддержка мультимедийного пакета FFmpeg 7.
• Отдельный файл конфигурации для хранения конфиденциальных данных, таких как пароль к Lastfm.
• Возможность использования относительных файловых путей при загрузке списков воспроизведения DBPL.
• Поддержка формата сжатия звука EAC3 в плагине ffmpeg.
• Опция для отключения автоматического показа окна с логом после ошибок.

1. Главная ссылка к новости
2. OpenNews: Новая версия музыкального проигрывателя DeaDBeeF 1.9.0
3. OpenNews: Выпуски музыкального проигрывателя Qmmp 1.7 и 2.2
4. OpenNews: Выпуск музыкального проигрывателя Fooyin 0.8
5. OpenNews: Выпуск музыкального проигрывателя Amarok 3.2.0 с поддержкой Qt6
6. OpenNews: Опубликован музыкальный проигрыватель Aqualung 2.0, переведённый на GTK3

В настоящее время какие-то части платформы, такие как Bluetooth-стек, развиваются публично, а какие-то вначале создаются во внутреннем репозитории Google и становятся доступны только при публикации кода очередного релиза. Публикация кода с новыми API зависит от их пригодности для тестирования - для некоторых версий Android код реализаций API публиковался до релиза, а для некоторых - после. Кроме Google доступ к внутренней ветке имеют производители устройств, подписавшие лицензионное соглашение GMS (Google Mobile Services).

Компания Google решила отказаться от практикуемой до сих пор смешанной модели и в будущем перенесёт разработку всех компонентов Android в свою внутреннюю ветку. Вместо двух веток - открытой и внутренней, при разработке будет использоваться только внутренняя ветка, код из которой станет открываться в привязке к релизам.

После перехода на модель разработки с одной активной веткой для сторонних участников код платформы по-прежнему останется доступен, но уже не получится непрерывно отслеживать разработку отдельных компонентов Android, код которых будет размещаться не по мере принятия патчей, а только после готовности релиза. Среди компонентов, разработка которых будет переведена с открытой на внутреннюю ветку упоминаются система сборки, движок обновлений, Bluetooth-стек, фреймворк виртуализации и конфигурация SELinux.

Предполагается, что изменение не повлияет на разработчиков производных продуктов и прошивок, основанных на AOSP, так как подобные сборки, как правило, формируются на основе определённых тегов или веток в репозитории, а не используют находящуюся в разработке нестабильную ветку "main". Затруднения могут возникнуть у разработчиков, заинтересованных в отслеживании изменений - вместо анализа непрерывного потока изменений придётся изучать целиком все изменения в релизе. Усложнится и участие сторонних разработчиков, желающих вносить свой вклад в проект, так как состояние кодовой базы в AOSP будет сильно отставать от ветки, находящейся в разработке.

Целью изменения называется желание упростить процесс разработки Android. Наличие двух веток, при том, что часть компонентов развивается в одной ветке, а часть в другой, приводит к тому, что по мере разработки релиза в ветках накапливаются различия и Google приходится тратить ресурсы на синхронизацию изменений и слияние патчей между открытой и внутренней ветками. Основная работа по развитию API ведётся во внутренней ветке, и открытая ветка часто сильно отстаёт от неё, что приводит к возникновению конфликтов при переносе во внутреннюю ветку изменений из компонентов, развиваемых в открытой ветке.

1. Главная ссылка к новости
2. OpenNews: Vulkan стал официальным графическим API платформы Android. Третий бета-выпуск Android 16
3. OpenNews: Google прекратил поддержку приложений Dialer и Messaging в открытой кодовой базе Android
4. OpenNews: Google намерен перевести Chrome OS на платформу Android
5. OpenNews: Методы безопасной работы с памятью позволили существенно снизить число уязвимостей в Android
6. OpenNews: Выпуск мобильной платформы Android 15

В качестве золотого стандарта, на который стоит ориентироваться при создании нового менеджера входа, отмечен GDM (GNOME Display Manager). GDM базируется на технологиях GNOME Shell и Mutter, и сильно завязан на них, что позволило добиться уровня интеграции с GNOME, недостижимого при использовании SDDM. В Plasma Login Manager пытаются воплотить похожую на GDM архитектуру, позволяющую более тесно интегрировать менеджер входа со средой рабочего стола KDE Plasma и композитным сервером Кwin.

Проблемы возникли из-за того, что SDDM развивается как универсальный менеджер входа, написанный на Qt и подходящий для всех графических окружений. SDDM рассчитан на вывод одного окна с экраном входа, но разработчикам KDE требуется более тесная интеграция, чем просто окно, показывающее сеансы и пользователей. В SDDM также применяется собственная реализация функций управления энергопотреблением со своей системой настройки. Без усложнений SDDM не получается интегрировать с имеющимися в KDE Plasma средствами управления громкостью, яркостью, энергопотреблением и сетевыми соединениями. В SDDM также имеется проблема с дублированием функциональности, которая уже имеется в KDE, что значительно усложняет сопровождение.

В итоге был подготовлен прототип нового многопроцессного менеджера входа Plasma Login Manager, использующий бэкенд на основе урезанной версии SDDM и механизм запуска, идентичный тому, что применяется для запуска сеанса рабочего стола KDE Plasma. Оформление экрана входа приближено к существующему блокировщику экрана KDE, а настройки унифицированы с KDE Plasma. Разработчики отказались от использования QML для кастомизации тем оформления в пользу поддержки существующих плагинов обоев рабочего стола, цветовых схем и тем оформления Plasma.

Для тестирования доступен рабочий прототип Plasma Login Manager, который пока не доведён до уровня качества, пригодного для использования в стабильной ветке KDE Plasma. Бэкенд на основе кода SDDM и новый фронтэнд, а также модуль для конфигуратора (KCM) пока развиваются в отдельных репозиториях, которые в будущем планируют объединить. По возможностям Plasma Login Manager почти достиг паритета со старым менеджером входа.

Среди возможностей, которые намерены реализовать в Plasma Login Manager:

• Качественная работа в конфигурациях с несколькими мониторами, экранами с высокой плотностью пикселей и HDR.
• Переключение раскладки клавиатуры.
• Возможность использования виртуальной клавиатуры.
• Поддержка ввода на китайском, японском, корейском и вьетнамском языках.
• Управление подсветкой экрана и клавиатуры.
• Полноценное управление энергопотреблением.
• Поддержка экранных ридеров.
• Возможность сопряжения с Bluetooth-устройствами.
• Возможность подключения к известным точкам доступа Wi-Fi.
• Поддержка удалённой работы через VNC/RDP.

1. Главная ссылка к новости
2. OpenNews: Инцидент с темой оформления KDE, удаляющей пользовательские файлы
3. OpenNews: Для Wayland развивается расширение для перезапуска оконной среды без остановки приложений
4. OpenNews: Представлены сервис идентификации MyKDE и механизм запуска KDE при помощи systemd
5. OpenNews: SDDM рекомендован в качестве дисплейного менеджера для KDE Plasma 5
6. OpenNews: Локальная уязвимость в дисплейном менеджере SDDM

Opkssh совместим с OpenID-провайдерами Google, Microsoft/Azure и Gitlab, что позволяет настроить вход через имеющиеся учётные записи в сервисах gmail.com, microsoft.com и gitlab.com. При использовании opkssh вместо не ограниченных по времени ключей SSH генерируются временные ключи, действующие считанные часы и формируемые на основе подтверждения от провайдера OpenID. Утечка подобных ключей после окончания срока действия не представляет угрозы безопасности. По умолчанию время действия ключа составляет 24 часа, после которых необходимо повторно идентифицировать себя через OpenID Connect.

Интеграция с OpenSSH основана на возможности создания расширений протокола SSH, допускающих прикрепление произвольных данных к сертификатам SSH. После прохождения аутентификации через OpenID Connect клиент формирует открытый ключ, содержащий PK-токен, подтверждающий принадлежность ключа заявленному пользователю. Токен интегрируется в протокол SSH через поле с дополнительными данными SSH-сертификата. Создание PK-токенов и их проверка на стороне сервера осуществляется с использованием криптографического протокола OpenPubKey.

OpenPubKey позволяет сгенерировать открытый ключ и привязать его к токену, выданному OpenID-провайдером. Через цифровую подпись провайдер подтверждает, что этот ключ создан заявленным аутентифицированным пользователем. Например, OpenID-провайдер Google может подтвердить, что пользователь аутентифицирован как test@gmail.com. На стороне севера выполняется проверка подписан ли прикреплённый токен провайдером OpenID и соответствует ли цифровая подпись заявленному открытому ключу, т.е. сервер может удостовериться, что именно пользователь test@gmail.com создал открытый ключ для подключившегося SSH-клиента.

Интеграция с OpenSSH организована через указание программы opkssh в файле конфигурации "sshd_config" через директиву "AuthorizedKeysCommand" (например: "AuthorizedKeysCommand /usr/local/bin/opkssh verify %u %k %t"). Настройка связывания учётных записей с OpenID Connect осуществляется на стороне сервера SSH. На стороне клиента SSH изменения настроек не требуется, но перед входом необходимо запустить команду "opkssh login" и в появившемся окне браузера выбрать провайдера OpenID и выполнить через него аутентификацию.

Утилита opkssh сгенерирует ключи SSH и получит PK-токен, подтверждающий, что пользователь прошёл аутентификацию и позволяющий проверить, что созданные ключи принадлежат заявленному пользователю. Открытый ключ SSH, к которому через поле с дополнительными данными прикреплён PK-токен, будет записан в файл ~/.ssh/id_ecdsas и начнёт передаваться при подключении к серверу утилитой ssh.

Подключение к серверу производится с использованием штатной для SSH схемы "ssh логин@сервер", при этом на сервере логин предварительно должен быть отождествлён с учётной записью в OpenID, которую использует пользователь. Таким образом работа сводится к тому, что ssh-клиент отправляет на ssh-сервер публичный ключ, а сервер запускает команду "opkssh verify" для проверки ключа.

Для привязки учётной записи к OpenID администратор сервера выполняет команду "opkssh add". Например, для того чтобы разрешить вход на сервер под пользователем "root" с OpenID-аутентификацией через учётную запись test@gmail.com в Gmail следует выполнить "sudo opkssh add root test@gmail.com google", после чего клиент сможет подключаться под параметрами данной учётной записи командой "ssh root@хост_сервера".

Привязку учётной записи также можно выполнить вручную через файл конфигурации /etc/opk/auth_id (или ~/.opk/auth_id), в который для вышеприведённого примера будет записана строка "root test@gmail.com https://accounts.google.com". Дополнительно через файл /etc/opk/providers можно определить список допустимых OpenID-провайдеров, их параметры и список разрешённых идентификаторов клиентов.

1. Главная ссылка к новости
2. OpenNews: Представлен OpenPubKey, протокол криптографической верификации объектов
3. OpenNews: Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода
4. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода
5. OpenNews: В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth
6. OpenNews: Обновление OpenSSH 9.9p2 с устранением возможности совершения MITM-атаки

Из особенностей отмечается интеграция в одном пакете редактора схем и средств управления проектом; простой кросс-платформенный графический интерфейс на базе Qt; применение концепции "умной" библиотеки элементов; использование доступных для ручного разбора форматов библиотеки элементов и проектов; режим Multi-PCB для параллельной разработки разных вариантов плат на базе одной схемы; автоматическая синхронизация списка электрических соединений (netlist) между схемой и раскладкой платы. Программа оснащена многоязычным интерфейсом с поддержкой русского (охват перевода 96%) и украинского языков (охват перевода 91%), предоставляющим возможность наименований элементов на разных языках.

LibrePCB включает в себя интерфейс для управления проектом; редактор электронных схем; редактор многослойных печатных плат; сервис для генерации данных для начала производства; утилиту командной строки librepcb-cli для автоматизации типовых работ (например, проверки и экспорта данных); библиотеку электронных компонентов с навигацией по древовидному категоризованному списку. Имеется интерфейс для подключения различных существующих библиотек элементов, которые могут добавляться как в форме архивов, так и через интеграцию с репозиториями. Поддерживается импорт файлов DXF и экспорт в форматах PDF, SVG и CSV BOM, pick&place X3/CSV, Gerber/Excellon и STEP.

Основные новшества:

• Добавлена возможность генерации интерактивного списка компонентов (BOM - Bill of Materials) и сборочного плана, включающего описание, достаточное для пошагового ручного изготовления печатной платы. Список сохраняется в формате HTML и использует обработчики, стили и JavaScript-библиотеки, развиваемые для KiCad-плагина InteractiveHtmlBom. В отличие от статичных PDF-инструкций интерактивный формат позволяет выполнять такие операции, как сортировка, фильтрация и поиск компонентов.
• Обеспечена совместимость с обновлённым форматом библиотек компонентов, предложенным во KiCad 9.
• Добавлена поддержка использования для разработки LibrePCB языка Rust. Упомянутый выше генератор BOM написан на Rust. Предполагается, что поддержка Rust позволит ускорит разработку и положительно повлияет на стабильность продукта. В планах отмечено постепенное смещение от использования языка С++ в пользу Rust и намерение полностью переработать интерфейс пользователя, используя написанный на Rust фреймворк Slint вместо библиотеки Qt.
• Вместо библиотеки QuaZip для чтения и записи ZIP-архивов задействован crate-пакет zip, написанный на Rust.
• Код на C++ переведён на использование стандарта C++20 (tl::optional в коде заменён на std::optional).
• Прекращена поддержка Qt5.

1. Главная ссылка к новости
2. OpenNews: Доступна система проектирования печатных плат LibrePCB 1.0
3. OpenNews: Первый стабильный релиз свободной САПР LibreCAD
4. OpenNews: Выпуск свободной 2D САПР CadZinho 0.6
5. OpenNews: Выпуск свободной САПР FreeCAD 1.0
6. OpenNews: Выпуск САПР KiCad 9.0

Дистрибутив использует пакетный менеджер moss с собственным форматом пакетов Stone и инструментами для управления состоянием системы. Для экономии дискового пространства при хранении нескольких версий пакетов применяется дедупликация на основе жёстких ссылок. Обновление производится в атомарном режиме с заменой содержимого раздела /usr. В случае сбоя во время установки обновления система откатывается на прошлое рабочее состояние.

Большая часть пакетов, включая ядро Linux, собрана при помощи компилятора Clang. За исключением ядра и некоторых системных компонентов изменения применяются на лету, без необходимости перезагрузки. Проектом также развиваются инсталлятор Lichen, система сборки boulder, панель управления summit, менеджер загрузки blsforme и система контейнеров moss-container.

1. Главная ссылка к новости
2. OpenNews: Дистрибутив Serpent OS переименован в AerynOS
3. OpenNews: Релиз дистрибутива Solus 4.7
4. OpenNews: Дистрибутив Serpent OS перешёл на стадию альфа-тестирвания
5. OpenNews: Serpent OS переходит на применение языков Rust, TypeScript и Go в инструментарии и инфраструктуре
6. OpenNews: Дистрибутив Solus 5 будет построен на технологиях SerpentOS

Из областей применения технологии CRIU отмечается обеспечение перезагрузки ОС без нарушения непрерывности выполнения длительно выполняемых процессов, Live-миграция изолированных контейнеров, ускорение запуска медленных процессов (можно начать работу с состояния, сохранённого после инициализации), проведение обновлений ядра без перезапуска сервисов, периодическое сохранение состояния длительно выполняемых вычислительных задач для возобновления работы в случае аварийного завершения, балансировка нагрузки на узлы в кластерах, дублирование процессов на другую машину (fork на удалённую систему), создание снапшотов пользовательских приложений в процессе работы для их анализа на другой системе или на случай если потребуется отменить дальнейшие действия в программе.

В новом выпуске:

• Добавлена поддержка архитектуры RISC-V.
• Добавлена поддержка механизма PIDFD, позволяющего использовать неизменные идентификаторы, привязанные к исходным процессам (обычный PID может быть назначен другому процессу после завершения текущего процесса, ассоциированного с этим PID).
• Для платформы ARM64 реализована поддержка расширений для аутентификации указателей (PAC Pointer Authentication Code), обеспечивающих проверку адресов возврата при помощи цифровых подписей, которые хранятся в неиспользуемых верхних битах самого указателя.
• Расширены возможности по сохранению и восстановлению состояния приложений, использующих технологию NVIDIA CUDA.
• Предоставлена возможность выбора бэкенда блокировки сети на этапе сборки, без необходимости правки кода. Бэкенд может быть изменён через передачу утилите make параметра NETWORK_LOCK_DEFAULT, который допускает значения "NETWORK_LOCK_IPTABLES", "NETWORK_LOCK_NFTABLES" и "NETWORK_LOCK_SKIP".
• Включена поддержка генерации coredump-файлов для архитектур Aarch64 и ARM.

1. Главная ссылка к новости
2. OpenNews: Выпуск CRIU 4.0, системы для сохранения и восстановления состояния процессов в Linux
3. OpenNews: Google развивает систему перезагрузки ядра без остановки работы устройств
4. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
5. OpenNews: Выпуск системы управления контейнерами LXC 1.1, со встроенной поддержкой CRIU
6. OpenNews: CRIU, путь от вызывающей непонимание разработки до интеграции в Red Hat Enterprise Linux

Среди изменений в новой версии:

• На платформе Linux при использовании DRM (Direct Rendering Manager) или dmabuf-wayland реализована поддержка расширенного динамического диапазона (HDR).
• В консоли улучшен визуальный стиль и работа автодополнения ввода.
• Во встроенный графический интерфейс OSC (On Screen Controller) добавлено новое меню выбора элементов, показываемое при клике правой кнопкой мыши.
• Для скриптов добавлено свойство clipboard, позволяющее получить доступ к буферу обмена.
• Добавлено новое меню для быстрого доступа к типовым действиям.
• В скрипт select.lua добавлена поддержка навигации по истории просмотра, редакциям и материалам, записанным на DVD/Blu-Ray.
• Улучшен стриминг Blu-ray, DVD и CDDA.
• Улучшен выбор треков и отображение метаданных.
• Добавлены профили osd-box, sub-box и box для упрощения включения стилизованных вариантов экранного интерфейса (OSD/OSC).
• В скрипт umpv, применяемый для задействования при воспроизведении уже запущенного экземпляра mpv, добавлена поддержка платформы Windows.

1. Главная ссылка к новости
2. OpenNews: Релиз видеоплеера MPV 0.39
3. OpenNews: Выпуск системы потокового видеовещания OBS Studio 31.0
4. OpenNews: Уязвимость в OpenH264, позволяющая выполнить код при декодировании видео
5. OpenNews: Выпуск программы для перекодирования видео HandBrake 1.9.0