В качестве причины прекращения использования былой символики упоминается недовольство организации Natives in Tech, отстаивающей интересы коренных народов. В частности, организация считает неприемлемым использование индейской символики в логотипе Apache Software Foundation, и расценивает это как манипуляцию культурными ценностями национальных меньшинств, искажающую представление об индейцах и основанную на стереотипах. Кроме смены логотипа борцы за права индейцев также требовали переименовать организацию и прекратить использование слова Apache, но сообщество пока ограничилось переименованием конференции ApacheCon в Community Over Code, но отказалось переименовывать организацию из-за больших затрат и юридических сложностей.

1. Главная ссылка к новости
2. OpenNews: Объединение индейцев добивается переименования проектов Apache
3. OpenNews: Фонду Apache исполнилось 20 лет
4. OpenNews: Mozilla предложила варианты ребрендинга Firefox
5. OpenNews: Сообщество openSUSE обсуждает вопрос изменения бренда для дистанцирования от SUSE
6. OpenNews: Компания SUSE попросила прекратить использование бренда SUSE в проекте openSUSE

До сих пор в состав проприетарных драйверов входили как открытые, так и проприетарные варианты модулей, которые обновлялись синхронно, но по умолчанию использовались проприетарные модули. Отличие доступных вариантов сводится к тому, что открытые модули могут использоваться только с GPU, оснащёнными отдельным микроконтроллером GSP (GPU System Processor), использование которого позволило вынести операции инициализации и управления GPU из драйвера на уровень проприетарной прошивки. GSP поставляется в видеокартах на базе таких микроархитектур, как Turing, Ampere, Ada и Hopper.

В проприетарных модулях, помимо новых GPU, продолжает сохраняться и поддержка старых GPU, не оснащённых GSP, например, GPU на базе микроархитектур Maxwell, Pascal и Volta. Компания NVIDIA намерена прекратить реализацию поддержки новых GPU в проприетарных модулях и сосредоточиться только на развитии открытых. Например, в открытых модулях уже доступна поддержка новых платформ NVIDIA Grace Hopper и NVIDIA Blackwell, которые не поддерживаются в проприетарных модулях.

В выпуске драйверов NVIDIA 560 для обычных GPU начиная с Turing, а при виртуализации GPU, начиная с Ada, по умолчанию начнут устанавливаться открытые варианты модулей ядра nvidia.ko, nvidia-modeset.ko, nvidia-uvm.ko, nvidia-drm.ko и nvidia-peermem.ko, в ситуациях когда их применение возможно. В дистрибутивах Ubuntu, Debian, SUSE и openSUSE для установки варианта драйверов NVIDIA на базе открытых модулей рекомендуется использовать пакет "nvidia-open", а в дистрибутивах на базе RHEL - модуль "nvidia-driver:open-dkms".

При желании установить в систему проприетарные модули ядра потребуется указание опции "--kernel-module-type=proprietary" при запуске run-архива с драйверами NVIDIA, или изменение параметров по умолчанию в интерфейсе, показываемом инсталлятором. Кроме того, отдельно подготовлен пакет nvidia-driver-assistant, упрощающий выбор оптимального варианта модулей ядра.

1. Главная ссылка к новости
2. OpenNews: Компания NVIDIA открыла код видеодрайверов для ядра Linux
3. OpenNews: В NVK, открытом драйвере для видеокарт NVIDIA, обеспечена поддержка Vulkan 1.0
4. OpenNews: NVIDIA препятствует разработке транслирующих прослоек для запуска CUDA на других платформах
5. OpenNews: NVIDIA начнёт использовать открытые модули ядра для GPU, начиная с Turing
6. OpenNews: Представитель NVIDIA ответил на вопросы, связанные с переводом драйверов на открытые модули ядра

1. Главная ссылка к новости
2. OpenNews: Критическая уязвимость в GitLab
3. OpenNews: GitLab заблокировал BPC, браузерное дополнение для обхода Paywall
4. OpenNews: GitLab заблокировал репозиторий эмулятора Suyu
5. OpenNews: Уязвимость в GitLab 16, позволяющая прочитать файлы на сервере (доступен эксплоит)
6. OpenNews: Увольнение части сотрудников GitHub и GitLab

Некоторые проблемы:

• 6 проблем с безопасностью в Java SE и 7 проблем в GraalVM. Все уязвимости в Java SE могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасные проблемы в Java SE и GraalVM имеют уровень опасности 7.4 (уязвимость в Hotspot) и 8.2 (уязвимость в Node.js) из 10. Уязвимости устранены в выпусках Java SE 22.0.2, 21.0.4, 17.0.12, 11.0.24, 8u421.
• 22 уязвимости в сервере MySQL, все из которых могут быть эксплуатированы только локально. Наиболее серьёзные проблемы имеют уровень опасности 6.5 и связаны с уязвимостью в оптимизаторе. Менее опасные уязвимости затрагивают InnoDB, Thread Pooling, DDL, оптимизатор, Pluggable Auth, обработчик соединений и систему аутентификации. Проблемы устранены в выпусках MySQL Community Server 9.0.0, 8.4.1 и 8.0.38.
• 3 уязвимости в VirtualBox, одна из которых помечена как опасная (8.2 из 10). Подробности об уязвимостях не раскрываются, но судя по выставленному уровню опасности, уязвимость позволяет получить доступ к хост-окружению из гостевых систем. Уязвимости устранены в обновлении VirtualBox 7.0.20.
• 1 уязвимость в Solaris, которая затрагивает файловую систему (уровень опасности 3.3 из 10). Уязвимость устранена в обновлении Solaris 11.4 SRU71. Кроме устранения уязвимости в новой версии также обновлены версии пакетов Explorer 24.3, libffi 3.2.1, Unbound 1.20.0, Jinja2 3.1.4, Apache HTTP Server 2.4.59, git 2.39.4, libarchive 3.7.4, PHP 8.3.8, Firefox 115.12.0esr, Thunderbird 115.12.0, python-mod/django, utility/python и utility/gnu-indent.

1. Главная ссылка к новости
2. OpenNews: Доступна СУБД MySQL 8.4.0 LTS
3. OpenNews: Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей
4. OpenNews: Релиз 19.3.0 виртуальной машины GraalVM и реализаций Python, JavaScript, Ruby и R на её основе
5. OpenNews: Выпуск платформы Java SE 22 и открытой эталонной реализации OpenJDK 22
6. OpenNews: Обновление VirtualBox 7.0.20

Резервные копии могут храниться как локально, так и в удалённых хранилищах (S3, FTP, SSH, SMB, NFS, WebDAV), для работы с которыми используются различные библиотеки. Копирование можно осуществлять не только за указанный период времени, но и с учётом поддержания конкретного количества бэкапов.

Благодаря интеграции с мониторингом есть возможность получать такие метрики, как размер файла бэкапа, корректность сбора бэкапа, время сбора бэкапа и т.д., в Prometheus-совместимом формате. Добавлена дополнительная метрика nxs_backup_creation_ts, содержащая временную метку Unix-даты создания резервной копии. Каждый бэкап может быть идентифицирован и настроен с соответствующим алертом, в дополнение (или вместо) имеющихся алертов с помощью хуков, что позволяет более эффективно управлять состоянием резервных копий.

В новой версии:

• Добавлена возможность ограничения потребления различных ресурсов. Например, можно ограничивать скорость доступа к дискам, скорость передачи по сети и ресурсы CPU, используя такие команды, как limits.disk_rate, limits.net_rate, rate_limit и limits.cpu_max_count.
• Появилась возможность отключения ротации резервных копий nxs-backup, при этом отправка бэкапов будет работать в обычном режиме.
• Исправлены различные ошибки, связанные с использованием некорректно настроенных/недоступных хранилищ, SCP/SFTP серверами и выключением метрик.

1. Главная ссылка к новости
2. OpenNews: Доступна система резервного копирования nxs-backup 3.7.0
3. OpenNews: Доступен дистрибутив Proxmox Backup Server 3.1
4. OpenNews: Релиз системы резервного копирования BorgBackup 1.1.0
5. OpenNews: Доступна система резервного копирования Bacula 13.0.0
6. OpenNews: Доступна система резервного копирования restic 0.15

Линус Торвальдс отложил приём данного изменения в ядро 6.11 из-за проблем с оформлением патчей (был выполнен "git rebase" на новую ветку, что не нужно было делать) и наличия оставленных без ответов вопросов об изменениях, вносимых патчами в область за пределами fs/bcachefs.

Дополнение: Кент Оверстрит отправил второй запрос на включение изменений в ветку 6.11, содержащий исправления.

1. Главная ссылка к новости
2. OpenNews: Автор Bcachefs представил патчи для исправления ФС, разрушенных недавней ошибкой
3. OpenNews: Ошибка в Bcachefs, приводящая к разрушению ФС при использовании нескольких устройств
4. OpenNews: В ядре Linux 6.8 исправлены две серьёзные проблемы в bcachefs
5. OpenNews: Код Bcachefs принят в основной состав ядра Linux 6.7
6. OpenNews: Релиз ядра Linux 6.10

Для совершения атаки злоумышленник должен иметь возможность подключения к одному VPN-серверу с жертвой, что возможно, например, при использовании типовых VPN-операторов и публичных VPN-сервисов, предоставляющих доступ всем желающим. Уязвимость затрагивает VPN-серверы, использующие трансляцию адресов (NAT) для организации обращения клиентов к внешним ресурсам, при том, что для приёма трафика от клиентов и отправки запросов к внешним сайтам на сервере должен использоваться один и тот же IP-адрес.

Атака основана на том, что через отправку специально оформленных запросов атакующий, подключённый к тому же VPN-серверу и использующий общий NAT, может добиться искажения содержимого таблиц трансляции адресов, которое приведёт к тому, что пакеты, адресованные одному пользователю, будут направлены другому пользователю. В таблицах трансляции адресов информация о том, с каким внутренним IP-адресом сопоставлен отправленный запрос, определяется на основе номера исходного сетевого порта, использованного при отправке запроса. Атакующий через отправку определённых пакетов и одновременных манипуляций со стороны клиентского соединения к VPN-серверу и со стороны подконтрольного атакующего внешнего сервера может добиться возникновения коллизии в таблице NAT и добавления записи с тем же номером исходного порта, но ассоциированной с его локальным адресом, что приведёт к тому, что ответы на чужой запрос будут возвращены на адрес атакующего.

В ходе исследования были протестированы системы трансляции адресов Linux и FreeBSD в сочетании с VPN OpenVPN, OpenConnect и WireGuard. Платформа FreeBSD оказалась не подвержена методам атаки по перенаправлению запросов, осуществляемым со стороны других пользователей, подключённых к тому же VPN. Подстановку в таблицы NAT удалось совершить только в ходе атаки ATIP (Adjacent-to-In-Path), при которой атакующий может вклиниться в трафик между пользователем и VPN-сервером (например, когда пользователь подключается к подконтрольной атакующему сети Wi-Fi) или между VPN-сервером и целевым сайтом. При этом NAT FreeBSD также затронула атака, позволяющая определить факт подключения пользователя к определённому сайту (Connection Inference).

Что касается Linux, то подсистема Netfilter оказалась подвержена атакам по подстановке записей в таблицу трансляции адресов, позволяющим перенаправить входящие пакеты другому пользователю, добиться отправки пакетов вне шифрованного VPN-канала (Decapsulation) или определить открытые сетевые порты на стороне клиента.

В качестве мер для блокирования атаки VPN-провайдерам рекомендуется использовать адекватные методы рандомизации номеров исходных портов в NAT, ограничить число допустимых одновременных соединений к VPN-серверу от одного пользователя, а также блокировать возможность выбора клиентом сетевого порта, принимающего запросы на стороне VPN-сервера.

По мнению представителя компании Proton AG, атака не затрагивает VPN-сервисы, в которых используются раздельные IP для входящих и исходящих запросов. Кроме того, имеются сомнения в возможности применения атаки к реальным VPN-сервисам, так как успешная атака пока продемонстрирована только в лабораторных тестах и для её проведения требуется выполнение определённых условий на стороне VPN-сервера и атакуемого клиента. Кроме того, атака может быть полезна только для манипуляций с незашифрованными запросами, такими как обращение к DNS, в то время как использование TLS и HTTPS на уровне приложений делает перенаправление трафика бесполезным.

Манипулирующие с таблицами трансляции адресов атаки применимы не только к VPN, но и к беспроводным сетям, в которых для организации подключения пользователей к внешним ресурсам на точке доступа используется NAT. В прошлом месяце опубликованы результаты исследования возможности проведения похожей атаки по перехвату TCP-соединений других пользователей беспроводной сети. Метод атаки оказался применим к 24 из 33 протестированным беспроводным точкам доступа.

Предложенная для Wi-Fi атака оказалась значительно проще, чем вышеотмеченный метод для VPN, так как из-за применения оптимизаций, многие точки доступа не проверяют корректность номеров последовательностей в TCP-пакетах. В итоге, для атаки достаточно было отправить фиктивный RST-пакет для очистки записи в таблице трансляции адресов, а затем добиться направления ответа на хост атакующего для определения номеров последовательности (SEQ) и подтверждения (ACK), необходимых для перехвата TCP-соединения.

1. Главная ссылка к новости
2. OpenNews: Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP
3. OpenNews: Анализ безопасности 100 бесплатных VPN-приложений для платформы Android
4. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi
5. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
6. OpenNews: Серия атак TunnelCrack, направленных на перехват трафика VPN

Целью проекта является предоставление сразу готового к работе пользовательского окружения, не требующего выполнения дополнительных действий после установки и решающего основные проблемы, с которыми сталкиваются пользователи Fedora. Дистрибутив поставляется с проприетарными компонентами, обычно используемыми на рабочих станциях, такими как мультимедийные кодеки и драйверы, а также пакетами, отсутствующими в штатном репозитории Fedora, например, OBS Studio, Steam, Lutris и дополнительными зависимостями к Wine.

Среди предлагаемых дистрибутивом расширенных исправлений отмечается поставка патчей к ядру Linux для снижения задержек в играх (Zenify), решения проблем с OpenRGB, использования драйвера amdgpu для старых GPU, поддержки приставки Steam Deck и устройства Microsoft Surface, улучшения совместимости с ноутбуками ASUS, устранения несовместимости SimpleDRM с драйверами NVIDIA, поддержки ноутбуков Lenovo Legion, включения ashmem и binder для Waydroid, устранения проблем при использовании Wayland с драйвером Nouveau.

В состав включены наиболее свежие выпуски Mesa и Wine, собранные из репозиториев проектов. SELinux заменён на AppArmor. Добавлены патчи к Glibc, Flatpak, SDL2, Mutter и xwayland. В пакет с Blender включена поддержка FFmpeg и библиотеки трассировки лучей HIP. Установлены дополнительные зависимости для Davinci Resolve. Включена большая подборка патчей для OBS Studio, среди которых патчи для решения проблем с захватом экрана игр, использующих OpenGL и Vulkan, а также патчи для аппаратного кодирования H.264 и H.265/HEVC на системах AMD, NVIDIA и Intel. По умолчанию активирован репозиторий RPMFusion.

В новой версии:

• Переход на пакетную базу Fedora 40.
• Добавлено графическое приложение для обновления системы.
• В пакетный менеджер Nobara Package Manager добавлена поддержка поиска, установки и удаления пакетов в формате flatpak, используя графический интерфейс.
• Из официального образа удалено приложение KDE Discover (для работы с пакетами теперь достаточно Nobara Package Manager).
• Улучшена поддержка пакетов в формате Snap.
• Добавлен интерфейс Nobara Driver Manager для установки сторонних драйверов.
• Переработана тема оформления Nobara для KDE.
• Обновлены KDE 6.1.1, GNOME 46, Mesa 24.1.3, проприетарные драйверы NVIDIA 555.58.02, OBS Studio 30.2.0.
• В качестве web-браузера по умолчанию возвращён Firefox, а вместо OnlyOffice задействован LibreOffice.
  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива Fedora Linux 40
  3. OpenNews: В Fedora 42 намерены реализовать телеметрию и изменить модель доступа к дискам и flatpak
  4. OpenNews: Атомарные варианты Fedora Linux намерены перевести на ФС Сomposefs
  5. OpenNews: В Fedora 41 планируют добавить AI-инструменты и расширить поддержку GPU NVIDIA
  6. OpenNews: В Fedora 41 предложено перевести инсталлятор на Wayland и удалить X11-пакеты из сборок с GNOME

Возможности StartWine-Launcher:

• Контейнер на базе runimage: приложения запускаются в контейнере, что исключает необходимость установки зависимостей в систему и изолирует запускаемое приложение от основной системы.
• Графический интерфейс пользователя, избавляющий от необходимости разбираться в сложных настройках.
• Универсальная установка: приложение можно установить в любое место, не затрагивая системные файлы.

Особенности новой версии:

• Добавлена возможность просмотра всех файлов и дисков.
• Реализован поиск обновлений.
• Обеспечено создание ярлыков и их добавление на рабочий стол, в меню Пуск или в приложение Steam, что может быть полезным для пользователей SteamDeck.
• Предоставлена возможность смены иконок и постеров для игр.
• Добавлены гибкие настройки mangohud и vkbazalt для оптимизации и повышения производительности в играх.
• Добавлены различные варианты цвета для анимации OpenGL.
• Добавлена ​​новая анимация "Sin Cos 3d".
• Настройки интерфейса перенесены в меню верхней панели.
• Настройки цвета индикаторов MangoHud перенесены в раздел настроек MangoHud.
• Панель наложения перемещена на нижнюю панель окна.
• В контекстное меню файлового менеджера добавлена ​​сортировка файлов.
• Добавлен режим панорамного просмотра файлов (разделённый вид).
• Добавлен просмотр файлов в виде подробного списка (таблицы).
• Добавлена ​​поддержка просмотра файлов с мобильных устройств.
• Добавлена возможность отдельного изменения размера ярлыков и значков файлов.
• Добавлена поддержка автоматического скрытия верхней и нижней панелей.
• Изменён запуск из системного файлового менеджера.
• В файловый менеджер добавлено сжатие Zstd и zstd ultra.
• Добавлена ​​статистика общего и среднего времени, проведённого в играх.
• Исправлены ошибки и улучшена производительность.
• Сокращено время запуска.
• Исправлена ошибка воспроизведения видео в играх.
• Исправлена ошибка при смене версии Windows.
• Исправлены ошибки, проявляющиеся при поиске файлов.
• Исправлены проблемы при ​​генерации миниатюр изображений и видео.
• Налажен запуск в режиме OpenGL.
• Устранена проблема с отображением файлов при изменении размера иконок.
• Изменён список доступных для загрузки сборок Wine. Добавлена функция обновления списка сборок wine.
• Исправлен разбор командной строки.
• Удалён режим компактного размера меню.
• Обновлены локали.
• Обновлены конфигурации префиксов.
• Обновлён список версий Wine.
• Обновлены библиотеки и драйверы в контейнере.
• Обновлён список горячих клавиш.

1. Главная ссылка к новости
2. OpenNews: Релиз ProteWine 1.0, инструмента для запуска Windows-приложений в Linux
3. OpenNews: Новая версия пакета PlayOnLinux 4.3
4. OpenNews: Выпуск Bottles 2022.1.28, пакета для организации запуска Windows-приложений в Linux
5. OpenNews: Cassowary - обвязка для бесшовной работы с Windows-приложениями в Linux
6. OpenNews: Релиз Wine Launcher 1.5.3, инструмента для запуска Windows-игр

Основные улучшения:

• Добавлена поддержка master-эффектов, позволяющих добавить эффект сразу ко всем трекам в проекте.
• Предложены новые реализации эффектов "компрессор" (compressor) и "ограничитель" (limiter), учитывающие историю изменения громкости и способные работать в режиме реального времени. Компрессор даёт возможность уменьшить разницу между самыми тихими и самыми громкими звуками, а ограничитель не позволяет превысить определённый уровень громкости (уменьшает громкость при превышении определённого порога). Добавлены пресеты для использования данных эффектов в различных типовых ситуациях.
• Предложены новые тёмные и светлые темы оформления, которые можно выбрать в секции "Preferences -> Interface". Доступны средства для разработки собственных тем оформления.
• Проведена работа по повышению производительности при работе с крупными проектами и при отображении интерфейса на больших экранах.
• Добавлена поддержка мультимедийного пакета FFmpeg 7.
• Разрешена вставка звуковых файлов из буфера обмена (Ctrl+V).
• Добавлена возможность определения в темах оформления цвета визуализации звуковых волн.
• При импорте raw-потоков добавлена возможность указания смещений, превышающих 2 ГБ.
• Добавлена возможность загрузки AI-эффектов OpenVINO с сайта audacityteam.org.

1. Главная ссылка к новости
2. OpenNews: Выпуск звукового редактора Audacity 3.5
3. OpenNews: Выпуск свободного звукового редактора Ardour 8.5
4. OpenNews: Созданы форки Audacity, избавленные от телеметрии
5. OpenNews: Компания Muse Group поглотила проект Audacity
6. OpenNews: Выпуск Mixxx 2.4, свободного пакета для создания музыкальных миксов

В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные изменения:

• В map-выражениях добавлена поддержка переменных:

  
     define dst_map = { ::1234 : 5678 }
  
     table ip6 nat {
        map dst_map {
           typeof ip6 daddr : tcp dport;
           elements = $dst_map
        }
        chain prerouting {
           ip6 nexthdr tcp redirect to ip6 daddr map @dst_map
        }
     }
  

• Добавлена поддержка VLAN:

  
     ip saddr 10.1.1.1 icmp type echo-request vlan id set 321
     # payload
     ether type 8021ad vlan id 10 vlan type 8021q vlan id 100 vlan type ip accept
  

• Для выражений "log" задействован новый строковый препроцессор с поддержкой переменных:

  
     define message="test"
     log prefix "my $message"
  

• При вычислении значения выражения "meta hour" реализована обработка отрицательного смещения в часовом поясе, заданном через переменную окружения TZ:

  
     TZ=UTC-4 nft add rule x y meta hour "22:00"
  

• Обеспечено преобразование порядка следования байтов при использовании выражений ct и meta, а также при использовании операций слияния и указания диапазонов в set-наборах.

  
     map mapv6 {
        typeof ip6 dscp : meta mark;
     }
     meta mark set ip6 dscp map @map1
  
     будет получен байткод:
     [ payload load 2b @ network header + 0 => reg 1 ]
     [ bitwise reg 1 = ( reg 1 & 0x0000c00f ) ^ 0x00000000 ]
     [ byteorder reg 1 = ntoh(reg 1, 2, 2) ]
     [ bitwise reg 1 = ( reg 1 > 0x00000006 ) ]
     [ lookup reg 1 set mapv6 dreg 1 ]
     [ meta set mark with reg 1 ]
  

• Возобновлена поддержка команды "replace rule".

  
     replace rule ip t1 c1 handle 3 'jhash ip protocol . ip saddr mod 170 vmap { 
  0-94 : goto wan1, 95-169 : goto wan2, 170-269 }"
  

• Возобновлена возможность добавления сетевых устройств в существующие flowtable:

  
     create flowtable inet filter f1 { hook ingress priority 0; counter }
     add flowtable inet filter f1 { devices = { dummy1 } ; }
  

• Решены проблемы при использовании команды "create set":

  
     define ip-block-4 = { 1.1.1.1 }
     create set netdev filter ip-block-4-test {
        type ipv4_addr
        flags interval
        auto-merge
        elements = $ip-block-4
     }
  

• Решены проблемы при использовании цифрового представления опций tcp:

  
      tcp option 254
  

• Решены проблемы при использовании выражений meta и ct с map-наборами:

  
      meta mark set vlan id map { 1 : 0x00000001, 4095 : 0x00004095 }
  

• В выражениях payload и concat запрещено указание данных размером больше 512 байтов.
• При выполнении команды "nft describe" реализован учёт значений из файлов group, rt_mark и rt_realms, размещённых в каталогах /etc/iproute2/ и /use/share/iproute2/.

  
      # nft describe meta rtclassid
      meta expression, datatype realm (routing realm) (basetype integer), 32 bits
  
      pre-defined symbolic constants from /etc/iproute2/rt_realms (in decimal):
          cosmos                                             0
      Reject statement with range
          meta mark set 0-100
  

• Ускорена операция вывода списка таблиц. Реализована поддержка опции -t/--terse для ускорения команд "list table" и "list set".
• Обеспечено преобразование выражений meter в динамические set-наборы:

  
     add rule t c tcp dport 80 meter m size 128 { ip saddr timeout 2s limit rate 
  10/second }
  
  будет преобразован в 
  
     set m {
        type ipv4_addr
        size 128
        flags dynamic,timeout
     }
     tcp dport 80 update @m { ip saddr timeout 2s limit rate 10/second burst 5 
  packets }
  

• В представлении в формате JSON добавлена поддержка объектов synproxy и map-наборов с объединёнными данными.
• В set-наборах, заданных в формате JSON, реализована поддержка флага auto-merge.
• При использовании представления в формате JSON разрешено указание нескольких устройств в блоке "chain".
• При использовании опций -f/--filename обеспечена обработка путей, относительно каталога текущего файла.
• При использовании опций -I/--include перебор путей по умолчанию теперь осуществляется с конца списка.
• Налажена работа опций -o/--optimize с выражениями, содержащими счётчики значений:

  
     # nft -c -o -f ruleset.nft
     Merging:
     ruleset.nft:5:17-45:                 ct state invalid counter drop
     ruleset.nft :6:17-59:                 ct state established,related counter 
  accept
     into:
          ct state vmap { invalid counter : drop, established counter : accept, 
  related counter : accept }
  
     Merging:
     ruleset.nft:7:17-43:                 tcp dport 80 counter accept
     ruleset.nft:8:17-44:                 tcp dport 123 counter accept
     into:
          tcp dport { 80, 123 } counter accept
  
     Merging:
     ruleset.nft:9:17-64:                 ip saddr 1.1.1.1 ip daddr 2.2.2.2 
  counter accept
     ruleset.nft:10:17-62:                 ip saddr 1.1.1.2 ip daddr 3.3.3.3 
  counter drop
     into:
            ip saddr . ip daddr vmap { 1.1.1.1 . 2.2.2.2 counter : accept, 
  1.1.1.2 . 3.3.3.3 counter : drop }
  

• Восстановлена совместимость с дампами элемента set, созданными в nftables до версии 0.9.8.

1. Главная ссылка к новости
2. OpenNews: Локальная уязвимость в ядре Linux, эксплуатируемая через nftables
3. OpenNews: Уязвимости в ядре Linux, позволяющие поднять свои привилегии через nf_tables и ksmbd
4. OpenNews: Выпуск пакетного фильтра iptables 1.8.10
5. OpenNews: Выпуск пакетного фильтра nftables 1.0.8
6. OpenNews: Уязвимость в nftables, позволяющая повысить свои привилегии

1. Главная ссылка к новости
2. OpenNews: Google открыл наработки, связанные с технологией виртуальной реальности Cardboard
3. OpenNews: Проект xrdesktop для использования GNOME и KDE в шлемах виртуальной реальности
4. OpenNews: Выпуск открытой платформы виртуальной реальности Monado 21.0.0
5. OpenNews: Представлен wxrd, композитный сервер на базе Wayland для систем виртуальной реальности
6. OpenNews: Опубликован Wolvic 1.6, web-браузер для устройств виртуальной реальности

OpenELA занял место репозитория git.centos.org, поддержание которого было прекращено компанией Red Hat. Размещённые в репозитории OpenELA пакеты распространяются бесплатно и без ограничений, и могут использоваться в качестве основы для создания дистрибутивов, бинарно совместимых с Red Hat Enterprise Linux, идентичных по поведению (на уровне ошибок) с RHEL и пригодных для использования в качестве замены RHEL. Репозиторий поддерживается совместными усилиями команд разработчиков RHEL-совместимых дистрибутивов Rocky Linux, Oracle Linux и SUSE Liberty Linux.

После сворачивания git.centos.org в качестве единственного публичного источника кода пакетов RHEL остался только репозиторий CentOS Stream, который полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Обычно разработка CentOS Stream ведётся с небольшим опережением, но возникают и обратные ситуации - обновления некоторых пакетов (например, с ядром) в CentOS Stream могут публиковаться с задержкой. Дополнительно для клиентов Red Hat оставлена возможность загрузки srpm-пакетов через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 9.4
3. OpenNews: Компания SUSE развивает собственную замену CentOS 8, совместимую с RHEL 8.5
4. OpenNews: Rocky Linux, Oracle и SUSE создали совместный репозиторий для RHEL-совместимых дистрибутивов
5. OpenNews: Опубликован репозиторий OpenELA для создания дистрибутивов, совместимых с RHEL
6. OpenNews: Rocky Linux, Oracle и SUSE обеспечат дальнейшее сопровождение ядра Linux 4.14

Переименование openSUSE пока не является жёстким требованием и подано под видом вежливой просьбы рассмотреть такую возможность, тем не менее openSUSE полностью зависит от компании SUSE, которая предоставляет ресурсы проекту и закрывает глаза на работу над openSUSE некоторых своих сотрудников в рабочее время. Ребрендинг находится на начальной стадии обсуждения, на котором пока не выработано предложений по конкретным действиям, срокам и вариантам нового имени.

1. Главная ссылка к новости
2. OpenNews: Проект openSUSE представил инсталлятор Agama 9 с новым web-интерфейсом
3. OpenNews: openSUSE Leap 16 будет построен на платформе ALP, использующей контейнеры
4. OpenNews: Сформирован дистрибутив openSUSE Slowroll, идущий на смену openSUSE Leap
5. OpenNews: SUSE будет преобразована из публичной в частную компанию
6. OpenNews: Компания SUSE объявила о создании собственного форка RHEL

Основные новшества:

• Добавлен режим выборочного премодерирования комментариев к опубликованным видео, содержащих слова из чёрного списка или гиперссылки. Подобные комментарии попадают в список рецензирования и появляются только после проверки владельцем канала. Выборочное премодерирование также может использоваться администратором сервера в контексте публикуемых видео с фильтрацией по ключевым словам.
• Добавлена возможность автоматического назначение тегов к комментариям и видео на основе списка ключевых слов или правил, заданных владельцем канала или администратором сервера. Присвоенные теги могут использоваться для автоматической фильтрации видео или комментариев.
• Предоставлена возможность автоматической генерации субтитров к размещаемым на сервере новым видео. Администратор также может инициировать выборочную генерацию субтитров для старых видео, уже имеющихся на сервере. Для создания субтитров задействован runner-обработчик, который построен на базе системы распознавания речи Whisper и может запускаться на другом сервере, чтобы не нагружать основной сервер с PeerTube.
• Предложен новый способ для создания миниатюры для предпросмотра на основе выбранного кадра из видео (ранее для миниатюры требовалась загрузка внешнего изображения).
• В списках недавно добавленных, отслеживаемых и набирающих популярность видео обеспечено отображение live-вещаний.

Платформа PeerTube изначально была основана на применении BitTorrent-клиента WebTorrent, запускаемого в браузере и использующего технологию WebRTC для организации прямого P2P-канала связи между браузерами. Позднее вместо WebTorrent был задействован протокол HLS (HTTP Live Streaming) в связке с WebRTC, позволяющий адаптивно управлять потоком в зависимости от полосы пропускания. Для объединения разрозненных серверов с видео в общую федеративную сеть, в которой посетители участвуют в доставке контента и имеют возможность подписки на каналы и получения уведомлений о новых видео, задействован протокол ActivityPub. Предоставляемый проектом web-интерфейс построен с использованием фреймворка Angular.

Федеративная сеть PeerTube образуется как содружество связанных между собой небольших серверов хостинга видео, на каждом из которых имеется свой администратор и могут быть приняты свои правила. Каждый сервер с видео выполняет роль BitTorrent-трекера, на котором размещены учётные записи пользователей данного сервера и их видео. Идентификатор пользователя формируются в форме "@имя_пользователя@домен_сервера". Передача данных при просмотре осуществляется непосредственно из браузеров других посетителей, просматривающих контент.

Если видео никто не просматривает, отдача организуется сервером, на который изначально загружено видео (используется протокол WebSeed). Помимо распределения трафика между пользователями, просматривающими видео, PeerTube также позволяет узлам, запущенным авторами для первичного размещения видео, кэшировать видео других авторов, формируя распределённую сеть не только из клиентов, но и из серверов, а также обеспечивая отказоустойчивость. Имеется поддержка потокового вещания (live streaming) с доставкой контента в режиме P2P (для управления стримингом могут использоваться типовые программы, такие как OBS).

Для начала вещания через PeerTube пользователю достаточно загрузить на один из серверов видеоролик, описание и набор тегов. После этого ролик станет доступен во всей федеративной сети, а не только с сервера первичной загрузки. Для работы с PeerTube и участия в распространении контента достаточно обычного браузера и не требуется установка дополнительного ПО. Пользователи могут отслеживать активности в выбранных видеоканалах, подписавшись на интересующие каналы в федеративных социальных сетях (например, в Mastodon и Pleroma) или через RSS. Для распространения видео с использованием P2P-коммуникаций пользователь также может добавить на свой сайт специальный виджет со встроенным web-плеером.

В настоящее время для размещения контента функционирует 1035 серверов, поддерживаемых разными добровольцами и организациями. Если пользователя не устраивают правила размещения видео на определённом сервере PeerTube, он может подключиться к другому серверу или запустить свой собственный сервер. Для быстрого развёртывания сервера предоставляется преднастроенный образ в формате Docker (chocobozzz/peertube).

1. Главная ссылка к новости
2. OpenNews: Выпуск децентрализованной видеовещательной платформы PeerTube 6.1
3. OpenNews: Релиз децентрализованной коммуникационной платформы Hubzilla 7.0
4. OpenNews: Выпуск Mastodon 3.5, платформы для создания децентрализованных социальных сетей
5. OpenNews: Выпуск сервера потокового вещания Owncast 0.1.0
6. OpenNews: WebTorrent, самодостаточный torrent-клиент, работающий внутри браузера