The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

·30.10.2024 Доступен Wasmer 5.0, инструментарий для создания приложений на базе WebAssembly (64 +5)
  Представлен выпуск проекта Wasmer 5.0, развивающего runtime для выполнения модулей WebAssembly, который можно использовать для создания универсальных приложений, способных выполняться в разных операционных системах. Wasmer также можно применять для изолированного выполнения не заслуживающих доверия блоков кода в составе обычных приложений. Код проекта написан на языке Rust и распространяется под лицензией MIT.

Возможность запуска одного приложения на разных платформах реализована через компиляцию в низкоуровневый промежуточный код WebAssembly, который может запускаться в любых ОС или встраиваться в программы на других языках программирования. Программы представляют собой легковесные контейнеры, в которых выполняется псевдокод WebAssembly. Данные контейнеры не привязаны к операционной системе и могут включать код, изначально написанный на любом языке программирования.

Для для выполнения промежуточного кода WebAssembly или его трансляции в машинный код целевой платформы предлагаются разные бэкенды:

  • Бэкенд на базе компилятора Singlepass, оптимальный для использования в блокчейнах.
  • Бэкенд на базе генератора кода Cranelift, оптимальный для использования в процессе разработки.
  • Бэкенд на базе компилятора LLVM, оптимальный для использования в рабочих внедрениях.
  • Бэкенд для запуска в web-браузере.
  • Бэкенд на базе JavaScript-движка JavascriptCore, оптимальный для использования на платформе macOS.
  • Бэкенд на базе JavaScript-движка V8, оптимальный для приложений для платформ iOS и Android.
  • Бэкенд на базе интерпретатора Wasmi, оптимальный для блокчейнов и Rust-проектов, не использующих стандартную библиотеку (nostd).
  • Бэкенд на базе runtime WAMR, оптимальный для платфлормы iOS

Приложения изолируются от основной системы в sandbox-окружении и имеют доступ только к заявленной функциональности. Для изоляции применяется механизм на основе управления возможностями - для действий с каждым из ресурсов (файлы, каталоги, сокеты, системные вызовы и т.п.) приложению должны быть даны соответствующие полномочия. Управление доступом и взаимодействие с системой обеспечивается при помощи API WASI (WebAssembly System Interface), предоставляющего программные интерфейсы для работы с файлами, сокетами и другими системными функциями.

Платформа позволяет добиться производительности выполнения приложений, близкой к выполнению родных сборок. При помощи Native Object Engine для WebAssembly-модуля можно сгенерировать машинный код, для запуска которого требуется минимальный runtime, но сохраняются все возможности sandbox-изоляции. Возможна поставка предкомпилированных программ со встроенным Wasmer. Для создания надстроек и дополнений предлагаются Rust API и Wasm-C-API.

Для запуска WebAssembly-контейнера достаточно установить в системе runtime Wasmer, который поставляется без внешних зависимостей ("curl https://get.wasmer.io -sSfL | sh"), и запустить необходимый файл ("wasmer test.wasm"). Программы распространяются в форме обычных WebAssembly-модулей, для управления которыми можно использовать пакетный менеджер WAPM. Wasmer также доступен в форме библиотеки, которую можно использовать для встраивания кода WebAssembly в программы на языках Rust, С/C++, C#, D, Python, JavaScript, Go, PHP, Ruby, Elixir и Java.

Основные новшества Wasmer 5.0:

  • Реализована возможность использования интерпретаторов WebAssembly.
  • Добавлен экспериментальный бэкенд на базе легковесного интерпретатора Wasmi, позволяющего выполнять промежуточный код WebAssembly в окружениях с ограниченными ресурсами.
  • Добавлен экспериментальный бэкенд на базе WebAssembly runtime WAMR (WebAssembly Micro Runtime), оптимизированного для минимального потребления ресурсов и пригодного для применения на устройствах с небольшим объёмом оперативной памяти.
  • Добавлен экспериментальный бэкенд на базе JavaScript-движка v8, используемого в браузерах на кодовой базе Chromium. Основным достоинством применения бэкенда на базе V8 называется возможность использования встроенного в данный движок отладчика и инструментария для web-разработчиков, а также доступность в V8 расширенной функциональности WebAssembly, такой как обработка исключений и сборка мусора.
  • В бэкенд, использующий LLVM, добавлена экспериментальная поддержка архитектуры Loongarch64.
  • Добавлена поддержка платформы iOS, доступная при использовании бэкендов WAMR, Wasmi и V8.
  • Прекращена поддержка компилятора Emscripten.
  • Обновлены зависимости, среди которых LLVM 18, генератор кода Cranelift 27 и фреймворк rkyv 0.8.
  • Проведена оптимизация производительности. Например, при выполнении операций десериализации модулей наблюдается прирост производительности до 50%.













  1. OpenNews: Опубликован Wasmer 4.0, инструментарий для создания приложений на базе WebAssembly
  2. OpenNews: Первый выпуск wasm3, быстрого интерпретатора WebAssembly
  3. OpenNews: Доступен Emscripten 3.0, компилятор из C/C++ в WebAssembly
  4. OpenNews: Доступен предварительный вариант стандарта WebAssembly 2.0
  5. OpenNews: Анонсирован язык программирования Moonbit, оптимизированный для WebAssembly
Обсуждение (64 +5) | Тип: Программы |
·29.10.2024 Релиз дистрибутива Fedora Linux 41 (119 +19)
  Представлен релиз дистрибутива Fedora Linux 41. Для загрузки подготовлены продукты Fedora Workstation, Fedora Server, Fedora CoreOS, Fedora Cloud Base, Fedora IoT Edition, Fedora Silverblue, Fedora Kinoite и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma, Xfce, MATE, Cinnamon, LXDE, Phosh, Miracle, LXQt, Budgie и Sway. Сборки сформированы для архитектур x86_64, Power64 и ARM64 (AArch64).

Наиболее значимые изменения в Fedora Linux 41:

  • По умолчанию задействован пакетный менеджер DNF5, в котором проведена унификация имеющихся низкоуровневых библиотек и переписаны на языке С++ компоненты, для которых ранее использовался язык Python. Базовая функциональность управления пакетами вынесена в отдельную библиотеку libdnf5. Использование языка С++ вместо Python позволило избавиться от большого числа зависимостей, сократить размер инструментария и повысить производительность.

    Инструментарий DNF5 также избавлен от привязки к PackageKit, вместо которого задействован новый фоновый процесс DNF Daemon, заменяющий функциональность PackageKit и предоставляющий интерфейс для управления пакетами и обновлениями в графических окружениях. Из видимых пользователю улучшений можно отметить более наглядную индикацию прогресса выполнения операций; поддержку использования локальных RPM-пакетов для транзакций; возможность показа в отчётах о выполненных транзакциях информации, выдаваемой встроенными в пакеты скриптами (scriplets); более продвинутую систему автодополнения ввода для bash.

  • Сформирована официальная Spin-редакция Fedora с графическим окружением на основе композитного менеджера Miracle, использующим протокол Wayland и компоненты для построения композитных менеджеров Mir. Целью создания новой сборки названо предоставление функционального и элегантного пользовательского окружения с мозаичной (tiling) компоновкой окон в стиле оконного менеджера i3 и более ярким графическим оформлением с визуальными эффектами.
  • Рабочий стол GNOME в Fedora Workstation обновлён до версии 47, в которой предложен новый стиль диалоговых окон, улучшена работа на системах с низким разрешением экрана, задействовано аппаратное ускорение кодирования видео при записи скринкастов, полностью переработаны диалоги открытия и сохранения файлов.
  • В GNOME Software возвращена возможность установки проприетарных драйверов NVIDIA и упрощён процесс добавления цифровой подписи для работы драйверов при загрузке дистрибутива в режиме Secure Boot. Предоставлена возможность создания и сохранения в MOK (Machine Owner Key) цифровой подписи для модуля ядра от компании NVIDIA.
  • Из базовой поставки Fedora Workstation удалены пакеты GNOME, связанные с протоколом X11. Из сеансов, поддерживаемых по умолчанию, оставлен только Wayland, но пакеты для организации работы сеанса X11 можно отдельно установить из репозиториев. Основной причиной прекращения поддержки X11 в Fedora является перевод X.Org-сервера в RHEL 9 в категорию устаревших и решение полностью удалить его в будущем значительном выпуске RHEL 10.
  • В Fedora Workstation вместо GNOME Terminal по умолчанию задействован эмулятор терминала Ptyxis, предоставляющий дополнительные возможности для работы с контейнерами при помощи инструментариев Toolbox, Distrobox, Podman и JHBuild. Ptyxis также отличается очень высокой скоростью отрисовки, более широкими возможностями настойки и наличием обзорного режима для наглядной навигации по открытым сеансам.
  • Редакция с рабочим столом KDE обновлена до выпуска KDE Plasma 6.2. Сборки с KDE для архитектуры AArch64 отнесены к категории блокирующих выпуск релиза в случае выявления серьёзных проблем.
  • Добавлена новая Spin-редакция с окружением KDE Plasma Mobile, которую можно использовать на мобильных устройствах. Кроме классической сборки доступен и атомарно обновляемый вариант с KDE Plasma Mobile.
  • Сборка на базе пользовательского окружения LXQt обновлена до версии LXQt 2.0.
  • Обновлены версии пакетов, среди которых GCC 14, binutils 2.42, glibc 2.40, Python 3.13, Go 1.23, Node.js 22, Perl 5.40, RPM 4.20.
  • Удалён пакет network-scripts, обеспечивающий поддержку классических скриптов для настройки сети, основанных на использовании команд ifup и ifdown. Подобные скрипты объявлены устаревшими с 2018 года. В качестве причины удаления называются планы по удалению ISC dhcp, сопровождение которого было прекращено в конце 2022 года. Содержимое network-scripts сильно завязано на ISC dhcp и его перевод на другой DHCP-клиент не представляется возможным из-за прекращения разработки пакета. Вместо команд ifup и ifdown рекомендовано использовать утилиту nmcli из NetworkManager или команду networkctl.
  • В NetworkManager прекращена поддержка профилей соединений в формате ifcfg.
  • Добавлена поддержка камер Intel IPU6 и задействован новый открытый стек для камер, подключаемых при помощи интерфейса MIPI (Mobile Industry Processor Interface). Интерфейс MIPI применяется во многих новых моделях ноутбуков вместо ранее используемой потоковой передачи видео по шине USB от устройств, поддерживающих стандарт UVC (USB Video Class). Для захвата видео с MIPI-камер может использоваться мультимедийный сервер Pipewire.
  • В пакете с Firefox включена по умолчанию поддержка работы с камерами через мультимедийный сервер Pipewire.
  • В сборках, применяющих атомарную модель обновления (Fedora Atomic Desktops), в правила Polkit внесены изменения, разрешающие обычным непривилегированным пользователям выполнять операцию обновления системы без ввода пароля администратора. При этом расширено число привилегированных операций, требующих ввода пароля, при их выполнении администратором (для дополнительного подтверждения опасных операций, таких как изменение параметров ядра, установка пакетов из локальной ФС и смена системного образа).
  • Атомарно обновляемые редакции дистрибутива Fedora CoreOS и Fedora IoT по умолчанию переведены на файловую систему Composefs, что позволило использовать в данных сборках корневой раздел, работающий в режиме только для чтения, а также в дальнейшем задействовать для системного раздела средства верификации целостности, позволяющие выявлять возникающие проблемы во время работы. Разделы /etc и /var продолжают монтироваться с возможностью записи. Файловая система Composefs реализована в виде надстройки над уже присутствующими в ядре ФС OverlayFS и EROFS, и оптимизирована для эффективного совместного хранения содержимого нескольких примонтированных дисковых образов.
  • В атомарно обновляемых редакциях Fedora, таких как Fedora Atomic, CoreOS и Fedora IoT, предложена новая утилита bootc, идущая на смену rpm-ostree и предназначенная для транзакционного обновления системы, используя образы в формате OCI (Open Container Initative). Для обновления загрузчика в атомарных сборках задействована утилита bootupd.
  • В редакциях с GNOME, KDE Plasma и Budgie для управления профилями энергопотребления вместо power-profiles-daemon задействован фоновый процесс tuned, предоставляющий больше возможностей для настройки режимов энергопотребления.
  • В связи с переводом кодовой базы СУБД Redis на проприетарную лицензию вместо Redis предложен форк Valkey.
  • Для большинства пакетов предоставлена возможность повторяемой сборки, позволяющей убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений.
  • В инсталлятор добавлена поддержка самошифруемых накопителей (SED - Self-Encrypting Drives) с интерфейсом OPAL2 TCG, в которых устройство аппаратного шифрования встроено непосредственно в контроллер.
  • В пакет с библиотекой PyTorch добавлена поддержка стека ROCm для аппаратного ускорения на GPU AMD. Пакет PyTorch обновлён до версии 2.4, а ROCm до версии 6.2.
  • Пакет с растровым графическим редактором GIMP переведён на поставку предварительных выпусков, на базе которых будет сформирован релиз GIMP 3.
  • Добавлена новая утилита fedora-repoquery, позволяющая искать пакеты в репозиториях Fedora, EPEL, eln и Centos Stream.
  • В пакете с OpenSSL по умолчанию прекращено доверие к цифровым подписям, созданным с использованием хэшей SHA-1.
  • Добавлена поддержка использования реализации TLS на уровне ядра (kTLS) для ускорения GnuTLS.
  • Для сборки CPython в GCC включён режим оптимизации "-O3", вместо используемого по умолчанию режима "-O2", что позволило повысить производительность Python примерно на 4%.
  • Прекращена поставка пакетов с Python 2, а также всех пакетов требующих для работы Python 2.7.
  • Прекращено формирование 32-разрядных пакетов с PHP.

Дополнительно можно отметить введение в строй для Fedora 41 "free" и "nonfree" репозиториев проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами и эмуляторами.

  1. OpenNews: В Fedora 42 намерены реализовать телеметрию и изменить модель доступа к дискам и flatpak
  2. OpenNews: В Fedora 42 намерены включить инсталлятор на основе web-интерфейса и добавить эмулятор FEX
  3. OpenNews: Атомарные варианты Fedora Linux намерены перевести на ФС Сomposefs
  4. OpenNews: Проект ALDOS развивает вариант Fedora без systemd
  5. OpenNews: Релиз дистрибутива Fedora Linux 40
Обсуждение (119 +19) | Тип: Программы |
·29.10.2024 Релиз Firefox 132 (143 +38)
  Состоялся релиз web-браузера Firefox 132 и сформированы обновления прошлых веток с длительным сроком поддержки - 115.17.0 и 128.4.0. На стадию бета-тестирования переведена ветка Firefox 133, релиз которой намечен на 26 ноября.

Основные новшества в Firefox 132:

  • В режиме усиленной защиты (strict) от отслеживания перемещений (ETP, Enhanced Tracking Protection) и при открытии страниц в режиме приватного просмотра включено блокирование доступа ко всем сторонним Cookie, выставленным при обращении к доменам, отличающимся от домена текущей страницы. Например, если раньше сторонний код с сайта "C", встроенный через iframe на сайты "A" и "В", мог обрабатывать общие для данных сайтов Cookie, то отныне выставленные сайтом "C" Cookie, при загрузке кода с сайтов "A" и "В", будут недоступны. Сторонние Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики.
  • Опция "Copy Without Site Tracking" теперь затемняется в контекстном меню, если выбранная ссылка не содержит параметров для отслеживания переходов между сайтами. Расширен спектр поддерживаемых параметров для отслеживания переходов в URL, например, обеспечено вырезание параметров, применяемых на сайтах LinkedIn и Shopee.
  • Изменена логика обработки favicon-значков при автоматической замене протокола HTTP на HTTPS. Если значок доступен только по HTTP, отныне его загрузка будет блокироваться.
  • В TLS 1.3 добавлена поддержка гибридного алгоритма обмена ключами "mlkem768x25519", стойкого к подбору на квантовом компьютере и представляющего собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber), недавно стандартизированного Национальным институтом стандартов и технологий США (NIST). ML-KEM использует методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах.
  • Реализована поддержка TLS-расширения для сжатия сертификатов на этапе согласования соединений (RFC 8879), позволяющего ускорить установку соединения так как на передачу данных сертификатов приходится львиная доля трафика на этапе согласования соединения.
  • Для API EME (Encrypted Media Extensions) реализован модуль c поддержкой созданной компанией Microsoft технологии защиты от копирования PlayReady, предоставляющий элементы DRM (Digital Rights Management) для просмотра зашифрованного видеоконтента с качеством 1080p и 4K Ultra HD на поддерживающих PlayReady стриминговых платформах. Возможность использования PlayReady вначале включена для небольшого процента пользователей, но в дальнейшем охват пользователей будет постепенно увеличиваться.
  • В API WebRender для SVG-фильтров eBlend, feColorMatrix, feComponentTransfer, feComposite, feDropShadow, feFlood, feGaussianBlur, feMerge и feOffset включено аппаратное ускорение отрисовки, позволившее повысить производительность при работе с некоторыми видами графического контента.
  • Для платформ Windows и macOS реализована поддержка цветового пространства Wide-gamut, которая пока ограниченна только профилями P3 с 8-разрядным представлением цвета на канал.
  • В сборках для macOS расширены средства для восстановления сеанса (Firefox теперь автоматически запускается, если сеанс прерван из-за перезапуска системы) и добавлена возможность предоставления совместного доступа к экрану.
  • В API HTMLVideoElement добавлен метод requestVideoFrameCallback(), позволяющий организовать покадровую обработку видео.
  • В API MediaStreamTrack добавлен метод getCapabilities() для определения диапазона допустимых значений свойств, связанных с звуковым и видео контентом (частота дискретизации, задержки, число каналов, соотношение сторон, размер, FPS и т.п.);
  • В элементы <link>, <script> и <img> добавлен атрибут "fetchpriority", позволяющий выставить относительный приоритет загрузки того или иного ресурса, который будет учтён при планировании порядка загрузки ресурсов, загружаемых через HTTP/2 и HTTP/3. Для установки приоритетов в API HTMLLinkElement, HTMLScriptElement и HTMLImageElement также реализовано свойство fetchPriority, а в конструктор Request() добавлена поддержка параметра "options.priority". Среди допустимых значений приоритета: auto, low и high.
  • Следом за другими браузерами в Firefox прекращена поддержка технологии Server Push, определённой в стандартах HTTP/2 и HTTP/3, и позволяющей серверу отправить ресурсы клиенту, не дожидаясь их явного запроса.
  • В инструменты для web-разработчиков возвращена возможность отладки внешних устройств, подключённых через USB. В web-консоли возобновлена поддержка журналирования работы Service Worker-ов, используя API console.log.
  • В версии для платформы Android в новых установках адресная строка по умолчанию перемещена в верхнюю часть экрана. Для перемещения адресной строки вниз можно воспользоваться настройкой "Customize > Toolbar". В мета-теге "viewport" в параметре "interactive-widget" по умолчанию отныне выставлено значение "resizes-visual", при котором появление экранной клавиатуры приводит к изменению размера видимой области (visual viewport), но не меняет размер области отрисовки (layout viewport), что позволяет избежать ресурсоёмкой перерисовки содержимого.

Кроме новшеств и исправления ошибок в Firefox 132 устранено 17 уязвимостей. Две уязвимости помечены как опасные, но при этом ещё 7 уязвимостей, собранных под CVE-2024-10467, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В переведённом на стадию бета-тестирования выпуске Firefox 133 появилась возможность просмотра вкладок с других устройств через меню в правом верхнем углу. В сборках для платформы Linux добавлена поддержка дополнительных жестов на тачпаде (например, касание двумя пальцами для приостановки инертной прокрутки). В версии для Android на устройствах с большими экранами по умолчанию активирован десктоп-режим.

  1. OpenNews: Релиз Firefox 131
  2. OpenNews: В Firefox предложен для тестирования встроенный AI-ассистент
  3. OpenNews: Опубликован список идей по развитию Firefox, над которыми ведётся работа
  4. OpenNews: Mozilla продлила поддержку ESR-ветки Firefox 115 до марта 2025 года
  5. OpenNews: Европейскому регулятору подана жалоба о появлении в Firefox функции отслеживания пользователей
Обсуждение (143 +38) | Тип: Программы |
·29.10.2024 Проект Flock основал форк фреймворка Flutter (76 +20)
  Представлен проект Flock, в рамках которого создан форк фреймворка построения пользовательского интерфейса Flutter, развиваемого компанией Google под лицензией BSD. Инициатором создания форка стал Мэтт Кэрролл (Matt Carroll), бывший сотрудник Google, ранее входивший в команду разработчиков Flutter. В качестве причины создания форка называется недостаточный объём ресурсов, которые компания Google вкладывает в проект.

Расширение основной команды разработчиков Flutter было прекращено Google в 2023 году, а в 2024 году компания уволила часть сотрудников. По мнению основателей форка, остающихся в Google разработчиков и участников, привлекаемых через аутсорсинг, недостаточно для полноценного развития проекта. В итоге, нехватка разработчиков Flutter привела к изменению приоритетов и стагнации разработки фреймворка для десктоп-платформ (разработка для 3 из 6 поддерживаемых платформ сейчас ограничена работой, связанной лишь с сопровождением имеющейся кодовой базы). Нехватка разработчиков также негативно влияет на устранение проблем - некоторые сообщения об ошибках могут оставаться в очереди годами.

Проект Flock не намерен раскалывать сложившееся сообщество и рассматривает себя как "Flutter+" - синхронизированный с основным проектом форк, добавляющий поверх основного Flutter востребованные сообществом улучшения и исправления ошибок, которые основная команда разработчиков Flutter из Google не может или не хочет реализовывать. Целью проекта заявлено ускорение развития и расширение вовлечённых в разработку ресурсов за счёт сообщества, не связанного с Google. В настоящий момент содержимое репозитория Flock полностью соответствует репозиторию Flutter.

Из проблем, мешающих прямому взаимодействию с основной командой Flutter, упоминается нехватка у основных разработчиков времени на рецензирование сторонних изменений, огромные затраты времени на различные согласования, затягивание обсуждений спорных решений и отсутствие понимания проблем разработчиков приложений (основная команда занимается разработкой Flutter, а не разработкой приложений на его основе, что мешает пониманию важности быстрого устранения некоторых проблем). Предполагается, что опытные разработчики приложений на Flutter и сопровождающие пакеты смогут использовать форк для оперативного исправления возникающих проблем и добавления желаемых новшеств, не дожидаясь реакции от основной команды Flutter и не согласовывая с ней изменения.

Со своей стороны, основная команда Flutter сможет по мере своих возможностей, в соответствии со своим графиком и учитывая свои критерии переносить изменения из форка в состав Flutter. Учитывая, что в Flock планируется привлечь большое число участников, занимающихся рецензированием изменений, перенос изменений из форка будет способствовать повышению качества кодовой базы Flutter. Сообщество при этом не будет ограничено возможностями основной команды Flutter, и сможет использовать более эффективные и гибкие правила разработки.

  1. OpenNews: Волна увольнений в Google, затронувшая команды Flutter, Dart и Python
  2. OpenNews: Доступны язык программирования Dart 2.15 и фреймворк Flutter 2.8
  3. OpenNews: Google и Canonical реализовали во Flutter возможность создания десктоп-приложений для Linux
  4. OpenNews: Amazon, Google, Oracle, Ericsson и Snap основали Valkey, форк СУБД Redis
  5. OpenNews: Владельцы Wordpress заменили на свой форк плагин ACF, имеющий 2 млн установок
Обсуждение (76 +20) | Тип: К сведению |
·29.10.2024 Новая версия дистрибутива Raspberry Pi OS, перешедшего на Wayland (51 +12)
  Разработчики проекта Raspberry Pi представили новую версию дистрибутива Raspberry Pi OS 2024-10-22 (Raspbian), основанного на пакетной базе Debian 12 и ядре Linux 6.6. В репозитории доступно около 35 тысяч пакетов. Для загрузки подготовлены три сборки - сокращённая (438 МБ) для серверных систем, с базовым рабочим столом (1.1 ГБ) и полная с дополнительным набором приложений (2.9 ГБ), доступные для 32- и 64-разрядных архитектур. Дополнительно сформировано обновление для старой редакции Raspberry Pi OS (Legacy), основанной на ядре Linux 6.1 и пакетной базе Debian 11.

Ключевые изменения:

  • Среда рабочего стола переведена на использование композитного сервера labwc, базирующегося на библиотеке wlroots от проекта Sway и предлагающего функциональность, похожую на оконный менеджер Openbox. Новый композитный сервер, использующий Wayland, задействован как в сборках для старых плат, ранее поставлявшихся с X-сервером и оконным менеджером Openbox, так и в сборках для плат Raspberry Pi 4/5, ранее переведённых на Wayland и композитный сервер Wayfire.

    Отмечается, что вначале разработчики Raspberry Pi OS пытались адаптировать Wayfire для работы со всеми платами, но его так и не удалось совместить с графическими возможностями старых плат. Проект labwc оказался более пригоден для работы со старыми платами Raspberry Pi и совместно с разработчиками labwc и wlroots удалось довести производительность работы графической оболочки Raspberry Pi OS поверх labwc до производительности варианта, использующего X-сервер.

    При установке новых систем labwc задействован по умолчанию, а пользователям ранее установленных систем при первой загрузке после обновления будет предложено переключиться на использование labwc или продолжить работу в окружениях на базе композитного сервера Wayfire или связки из X-сервера и Openbox. С точки зрения работы пользователя среда рабочего стола не изменилась, за исключением прекращения поддержки некоторых анимированных эффектов. Запуск приложений, использующих X11, обеспечен при помощи Xwayland.

  • Значительно улучшена поддержка работы с использованием сенсорных экранов. Реализован автоматический вывод экранной клавиатуры Squeekboard при необходимости ввода и добавлены экранные жесты, эквивалентные двойному щелчку и нажатию правой кнопки мыши.
  • Улучшена интеграция с сервисом Raspberry Pi Connect, предназначенным для удалённого подключения к рабочему столу через web-браузер. В системный лоток добавлен показываемый по умолчанию индикатор Connect, через который можно активировать или отключить сервис.
  • Добавлен новый конфигуратор экрана raindrop, который внешне напоминает старый интерфейс настройки arandr, но при этом полностью переписан с оглядкой на работу с композитным сервером labwc и сенсорными экранами.
  • Переписана верхняя панель приложений. В новом варианте изменена логика загрузки плагинов, которые теперь не остаются в памяти после их удаления из панели (каждый плагин вынесен в отдельную библиотеку).
  • Выполнена синхронизация с актуальной пакетной базой Debian 12.
    1. OpenNews: Представлена плата Raspberry Pi Pico 2
    2. OpenNews: Выпуск OSMC 2024.08-1, дистрибутива для создания медиацентра на основе Raspberry Pi
    3. OpenNews: Представлен Raspberry Pi Connect, сервис для подключения к Raspberry Pi OS из браузера
    4. OpenNews: Проект Raspberry Pi Media Center развивает серию открытых Hi-Fi устройств
    5. OpenNews: Новые сборки дистрибутива Raspberry Pi OS. Разгон плат Raspberry Pi 5 до 3.14 GHz
Обсуждение (51 +12) | Тип: Программы |
·28.10.2024 Организация OSI выработала критерии открытости AI-систем (50 +11)
  Организация Open Source Initiative (OSI), занимающаяся проверкой лицензий на предмет соответствия критериям Open Source, утвердила документ Open Source AI Definition v1.0 (OSAID), в котором сформулировано определение открытого AI. AI-система может считаться открытой, если она соответствует следующим критериям:
  • Возможность использования в любых целях без необходимости получения отдельного разрешения;
  • Возможность изучения работы системы и инспектирования её компонентов;
  • Возможность внесения изменений для любых целей, включая изменение выводимой системой информации;
  • Возможность передачи другим лицам как исходного варианта, так и редакции после внесения изменений, без ограничения целей использования.

Для предоставления возможности внесения изменений открытая AI-система должна включать:

  • Детальную информацию о данных, использованных при обучении, и методологии обучения. Информации должно быть достаточно для того, чтобы профессиональный разработчик смог своими силами воссоздать эквивалентную AI-систему, используя для обучения те же самые или похожие данные.
  • Исходный код, позволяющий как запустить AI-систему, так и выполнить процесс её обучения. Код также должен охватывать такие области, как препроцессинг, проверка данных и токенизация. Кроме того, должно быть предоставлено детальное описание архитектуры модели.
  • Параметры модели (весовые коэффициенты), подразумевающие наличие готового к использованию среза состояния после обучения или наличие финального оптимизированного варианта модели.

Большие языковые модели машинного обучения, признанные соответствующими подготовленным критериям: Pythia (Eleuther AI), OLMo (AI2), Amber (LLM360), CrystalCoder (LLM360) и T5 (Google).

Большие языковые модели машинного обучения претендующие на соответствие, но требующие внесения изменений в лицензии или правила использования: BLOOM (BigScience), Starcoder2 (BigCode) и Falcon (TII).

Большие языковые модели машинного обучения, признанные не соответствующими критериям открытых AI-систем, в силу отсутствия необходимых компонентов или из-за наличия требований, несовместимых с принципами Open Source: Llama2 (Meta), Grok (X/Twitter), Phi-2 (Microsoft) и Mixtral (Mistral).

  1. OpenNews: Рейтинг открытости генеративных AI-моделей
  2. OpenNews: Оценка популярности открытых лицензий в зависимости от языка программирования
  3. OpenNews: Удаление Эрика Рэймонда из списков рассылки OSI и этические вопросы в открытых лицензиях
  4. OpenNews: Брюс Перенс покинул организацию OSI из-за разногласий, касающихся лицензии CAL
  5. OpenNews: Утечка токенов пользователей платформы Hugging Face Spaces
Обсуждение (50 +11) | Тип: К сведению | Интересно
·28.10.2024 Опубликовано пользовательское окружение Sway 1.10, использующее Wayland (103 +15)
  После 8 месяцев разработки опубликован релиз композитного менеджера Sway 1.10, построенного с использованием протокола Wayland и совместимого с мозаичным оконным менеджером i3 и панелью i3bar. Код проекта написан на языке Си и распространяется под лицензией MIT. Проект нацелен на использование в Linux и FreeBSD.

Sway позволяет размещать окна на экране не пространственно, а логически. Окна располагаются, образуя сетку, оптимально использующую экранное пространство и позволяющую быстро манипулировать окнами только при помощи клавиатуры. Совместимость с i3 обеспечена на уровне команд, файлов конфигурации и IPC, что позволяет использовать Sway в качестве прозрачной замены i3, использующей Wayland вместо X11.

Для обустройства полноценного пользовательского окружения предлагаются сопутствующие компоненты: swayidle (фоновый процесс с реализацией ждущего режима), swaylock (хранитель экрана), mako (менеджер уведомлений), grim (создание скриншотов), slurp (выделение области на экране), wf-recorder (захват видео), waybar (панель приложений), virtboard (экранная клавиатура), wl-clipboard (работа с буфером обмена), wallutils (управление обоями рабочего стола).

Sway развивается как модульный проект, построенный поверх библиотеки wlroots, в которую вынесены все базовые примитивы для организации работы композитного менеджера. Wlroots включает бэкенды для абстрагирования доступа к экрану, устройствам ввода, отрисовки без прямого обращения к OpenGL, взаимодействию с KMS/DRM, libinput, Wayland и X11 (предоставляется прослойка для запуска X11-приложений на базе Xwayland). Помимо Sway библиотека wlroots активно используется и в других проектах. Кроме поддержки языков Си/С++, предоставляются обвязки для языков Scheme, Common Lisp, Go, Haskell, OCaml, Zig, Python и Rust.

В новом выпуске:

  • Задействованы новые возможности библиотеки wlroots 0.18, такие как поддержка Wayland-протоколов linux-drm-syncobj-v1, alpha-modifier-v1, ext-foreign-toplevel-list-v1 и ext-transient-seat-v1, возможность использования цветовых профилей ICC для графического API Vulkan, поддержка операции сброса GPU и новый API отрисовки, не сохраняющий промежуточное состояние (stateless) и позволяющий получать информацию о пиксельных буферах из GPU.
  • Код отрисовки переписан с использованием добавленного в wlroots API на базе графа сцены (scene graph). Отмечается, что переработка позволила добиться повышения производительности.
  • Обеспечено восстановление состояния после сброса GPU.
  • Добавлена команда для использования ICC-профилей для устройств вывода.
  • Улучшен алгоритм настройки устройств вывода.
  • Предоставлена возможность использования расширения протокола "tearing-control-v1" для отключения в полноэкранных приложениях вертикальной синхронизации (VSync) с кадровым гасящим импульсом, применяемой для защиты от появления разрывов при выводе (tearing). В мультимедийных приложениях появление артефактов из-за разрывов является нежелательным эффектом, но в игровых программах с артефактами можно смириться, если борьба с ними приводит к дополнительным задержкам.
  • Добавлена поддержка расширения проткола "ext-transient-seat-v1" для создания временных независимых сеансов (seat), рассчитанных на использование вместе с виртуальными устройствами ввода. Например, в приложениях для подключения к удалённому рабочему столу, таких как VNC-клиент wayvn, можно создать для каждого пользователя отдельный сеанс с виртуальными клавиатурой и мышью.
  • Добавлена поддержка расширения проткола "ext-foreign-toplevel-list-v1" для получения информации о поверхностях, размещённых на самом верхнем уровне (toplevel). Протокол позволяет организовать закрепление окон поверх другого содержимого, например, для реализации панелей и переключателей окон.
  • Добавлена поддержка пятой версии протокола "xdg-shell", в которой предоставлены возможности для изменения позиции всплывающих окон и реализации кнопок свёртывания и раскрытия окна при декорировании окон на стороне клиента (CSD).
  • Пакет dmenu_run, позволяющий использовать dmenu в роли интерфейса запуска приложений, убран из числа зависимостей в конфигурации по умолчанию.
  • В файл конфигурации по умолчанию добавлено использование pactl для настройки горячих клавиш для изменения громкости и яркости, а также вызова утилиты grim для создания скриншота.
  • Отключена по умолчанию поддержка устаревшего Wayland-протокола wl_drm, на смену которому пришёл протокол linux-dmabuf-v1.
  • Удалена сборочная опция для включения поддержки Xwayland (включение Xwayland теперь зависит от сборочных настроек wlroots).

  1. OpenNews: Релиз пользовательского окружения Sway 1.9, использующего Wayland
  2. OpenNews: Опубликован композитный сервер Wayfire 0.9, использующий Wayland
  3. OpenNews: На базе Sway развивается порт пользовательского окружения LXQt, поддерживающий Wayland
  4. OpenNews: Автор оболочки Sway и языка Hare развивает новое микроядро Helios и OC Ares
  5. OpenNews: Выпуск дистрибутива Ubuntu Sway Remix 24.10
Обсуждение (103 +15) | Тип: Программы |
·28.10.2024 Релиз десктоп-окружения Trinity R14.1.3, продолжающего развитие KDE 3.5 (102 +31)
  Опубликован релиз десктоп-окружения Trinity R14.1.3, продолжающего развитие кодовой базы KDE 3.5.x и Qt 3. Бинарные пакеты в ближайшее время будут подготовлены для Ubuntu, Debian, RHEL/CentOS, Fedora, openSUSE и других дистрибутивов.

Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в системе KDE-приложений. Также присутствуют средства для корректного отображения интерфейса GTK-программ без нарушения единого стиля оформления.

Среди изменений:

  • Добавлена начальная поддержка порталов Freedesktop (XDG Desktop Portal), применяемых для организации доступа к ресурсам пользовательского окружения из изолированных приложений. Для использования доступны порталы выбора файлов, доступа к учётной записи и Email.
  • Добавлена новая тема оформления twin-style-mallory.
  • В контекстное меню добавлены элементы для организации мозаичной (tiling) компоновки окон.

  • В конфигуратор TDE Control Center добавлен модуль для настройки тачпадов.
  • В конфигураторе по умолчанию скрыты модули для отсутствующего оборудования.
  • В эмулятор терминала Konsole добавлены темный и светлый варианты цветовой темы Solarized.
  • В состав включено приложение для чтение электронных книг tde-ebook-reader, представляющее собой порт FBReader, переведённый на использование библиотеки TQt.
  • Добавлен порт программы форматировния кода UniversalIndentGUI, переведённый на TQt.
  • Добавлена возможность запуска интерфейса управления горячими клавишами (khotkeys) в форме модуля к kded, а не только в виде отдельного приложения.
  • Добавлена поддержка использования расширенных кнопок мыши "вперёд" и "назад" для перехода на следующие и предыдущие элементы в различных приложениях.
  • В файловые менеджеры Dolphin и konqueror в контекстное меню добавлена опция для копирования в буфер обмена полного пути к файлу.
  • В tdebase реализована поддержка интерфейса DCOP и глобальных клавиатурных комбинаций для перевода системы в спящий режим. Добавлена поддержка перемещения сетевых каталогов в корзину и возвращения из неё.
  • В knetattach добавлена возможность подключения внешних каталогов, используя протокол SFTP.
  • Налажена работа IRC-клиента ksirc.
  • При запуске в Solaris и NetBSD реализована возможность использования звуковой системы sunaudio.
  • Добавлена поддержка Python 3.13.
  • Добавлена поддержка изображений в формате webp.
  • Добавлена поддержка библиотеки libpoppler 24.04 и осуществлён переход с libpcre на libpcre2.
  • Добавлена поддержка дистрибутивов OpenMandriva 5, OpenMandriva Cooker, Ubuntu 24.10 и Fedora 41.

  1. OpenNews: Релиз десктоп-окружения Trinity R14.1.2, продолжающего развитие KDE 3.5
  2. OpenNews: Выпуск дистрибутива Q4OS 5.6, поставляемого с пользовательским окружением Trinity
  3. OpenNews: Релиз дистрибутива Porteus 1.1 с десктоп-окружением Trinity (форк KDE 3.5)
Обсуждение (102 +31) | Тип: Программы |
·27.10.2024 Выпуск Tinygo 0.34, компилятора языка Go на базе LLVM (102 +12)
  Опубликован выпуск проекта Tinygo 0.34, развивающего компилятор языка Go для маломощных систем, таких как микроконтроллеры и встраиваемые устройства, которым необходима генерация очень компактных исполняемых файлов и низкое потребление ресурсов. Компиляция для поддерживаемых целевых платформ реализована в tinygo при помощи LLVM, а библиотеки функций заимствованы из основного инструментария проекта Go. Код распространяется под лицензией BSD.

Скомпилированная программа напрямую может запускаться на микроконтроллерах, что позволяет применять подмножество языка Go для написания сценариев автоматизации. В текущем виде поддерживается более ста моделей микроконтроллеров, включая различные платы Adafruit, Arduino, BBC micro, ESP32, M5Stack, ST Micro, Digispark, Raspberry Pi Pico, Nordic Semiconductor, SiFive HiFive1, STM32, Makerdiary и Phytec. Для взаимодействия с датчиками и подключёнными внешними устройствами, а также для поддержки интерфейсов, таких как I2C, GPIO и SPI, предоставляются специальные драйверы.

В отличие от похожего компилятора emgo, не обновлявшегося последние три года, в tinygo сохранена оригинальная модель управления памятью Go с использованием сборщика мусора и вместо компиляции в представление на языке Си, задействован LLVM для генерации эффективного машинного кода. В программах может без изменений использоваться уже существующий типовой код на языке Go, а также большая часть стандартных пакетов. Помимо генерации машинного кода, в tinygo доступна поддержка генерации WebAssembly с возможностью создания обособленных WebAssembly-приложений, используя интерфейс WASI (WebAssembly System Interface).

В новой версии реализована поддержка архитектуры MIPS с порядком следования байтов big-endian, а также добавлена поддержка плат RAKwireless RAK4631 и WaveShare ESP-C3-32S-Kit. Для экспорта WebAssembly-функций добавлена директива "//go:wasmexport". Проведена оптимизация производительности сборщика мусора. Добавлены новые опции командной строки "-C DIR" и "-ldflags='-extldflags=...'".

  1. OpenNews: Выпуск языка программирования Go 1.23 с поддержкой телеметрии
  2. OpenNews: Лидер проекта Go принял решение покинуть пост
  3. OpenNews: В инструментарий для языка Go добавлена возможность отслеживания уязвимостей в модулях
  4. OpenNews: Доступен PikaScript 1.8, вариант языка Python для микроконтроллеров
  5. OpenNews: Опубликован набор компиляторов LLVM 19
Обсуждение (102 +12) | Тип: Программы |
·27.10.2024 Выпуск дистрибутива Ubuntu Sway Remix 24.10 (54 +3)
  Доступен выпуск дистрибутива Ubuntu Sway Remix 24.10, предоставляющего преднастроенный и готовый к использованию рабочий стол на основе мозаичного композитного менеджера Sway. Дистрибутив является неофициальной редакцией Ubuntu 24.10, созданной с оглядкой как на опытных пользователей GNU/Linux, так и на новичков, желающих попробовать окружение с мозаичным оконным менеджером без необходимости его долгой настройки. Для загрузки подготовлены сборки для архитектур amd64 и arm64 (Raspberry Pi).

Окружение дистрибутива построено на основе Sway - композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера PCManFM-GTK3 и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего стола Azote, полноэкранное меню приложений nwg-drawer, программа для вывода содержимого скриптов на экран nwg-wrapper (используется для отображения подсказки по горячим клавишам на рабочем столе), менеджер настройки тем GTK, курсора и шрифтов nwg-look и скрипт Autotiling, автоматически компонующий окна открытых приложений на манер динамических мозаичных оконных менеджеров.

В состав дистрибутива входят программы как с графическим интерфейсом, такие как Firefox, Qutebrowser, Audacious, Transmission, Libreoffice, Pluma и MATE Calc, так и консольные приложения и утилиты, такие как музыкальный проигрыватель Musikcube, видеопроигрыватель MPV, утилита для просмотра изображений Swayimg, утилита для просмотра документов PDF Zathura, текстовый редактор Neovim, файловый менеджер Ranger и другие.

Другой особенностью дистрибутива является полный отказ от использования пакетного менеджера Snap, все программы поставляются в виде обычных deb-пакетов, в том числе веб-браузер Firefox, для установки которого задействован официальный PPA-репозиторий Mozilla Team. Установщик дистрибутива основан на фреймворке Calamares.

Основные изменения:

  • Пакетная база обновлена до выпуска Ubuntu 24.10;
  • Sway отныне запускается в качестве дочернего процесса ssh-agent, что позволило решить ряд проблем в работе ssh-agent (например генерацию новых SSH ключей) при работе в различных командных оболочках (zsh, fish и прочих);
  • Обеспечен автоматический перезапуск панели Waybar при изменении её конфигурационного файла;
  • Графический менеджер буфера обмена, реализованный на базе пакета Rofi, заменён на nwg-clipman - графическую надстройку на базе GTK для менеджера буфера обмена Clipman;
  • Меню приложений Rofi заменено на более легковесный и простой Fuzzel;
  • Добавлена комбинация клавиш Mod+Ctrl_R для включения/отключения перехвата окнами нажатий различных комбинаций клавиш (например запуске виртуальных машин);
  • Исправлены незначительные недоработки в оформлении и скриптах, устранено аварийное завершение апплета показа погоды при отсутствии подключения к интернету, а также улучшены правила для окон приложений.

  1. OpenNews: Выпуск дистрибутива Ubuntu Sway Remix 24.04
  2. OpenNews: Релиз пользовательского окружения Sway 1.9, использующего Wayland
  3. OpenNews: На базе Sway развивается порт пользовательского окружения LXQt, поддерживающий Wayland
  4. OpenNews: Выпуск дистрибутива Ubuntu 24.10
  5. OpenNews: Обновление дистрибутива TileOS 1.1
Обсуждение (54 +3) | Автор: Aleksey Samoilov | Тип: Программы |
·26.10.2024 Харальд Вельте выразил сожаление о том, во что превратилось Linux-сообщество (122 +273)
  Харальд Вельте (Harald Welte), известный разработчик ядра Linux, лауреат премии за значительный вклад в развитие свободного ПО, основатель организации gpl-violations.org, создатель проекта Openmoko и один из разработчиков netfilter/iptables, опубликовал своё мнение относительно удаления участников из списка мэйнтейнеров ядра Linux на основании их предполагаемой работы в подсанкционных компаниях. По словам Харальда, он гордился вовлечённостью в работу сообщества разработчиков ядра, но нынешнее сообщество не похоже на то, которое он помнит, и ему больно видеть, что сейчас там происходит. По его мнению нет ничего хуже дискриминации людей только из-за их паспорта, места жительства или места работы.

Как житель Германии он сравнивает подобную дискриминацию с действовавшим в чёрные времена его страны законом о родственной ответственности, который позволял привлечь человека к ответственности за преступления, совершённые членом его семьи. Конечно, исключение из процесса разработки ядра не сравнится с тюремным заключением, но принцип похожий - наказание следует не за конкретные поступки, а лишь за общение с тем, кто совершил осуждаемые действия.

Помимо дискриминации разработчиков на основе их имени, email или работодателя, удивление вызвало то, что удаление произведено без каких-либо объяснений. Последующие разъяснения дали понять, что дело в санкциях, и удаление выполнено на основе консультации с юристами, но при этом не было предоставлено полного юридического анализа и не были отмечены вовлечённые в необходимость выполнения санкций субъекты (Linux Foundation? разработчики из США? Создатели дистрибутивов?).

Вельте полагал, что при разработке ядра значение имеет совместная работа отдельных разработчиков, независимо от того, кто их работодатели, а вклад в разработку оценивается по заслугам, а не по личности участника и не на основании работы в какой-то компании. Удаление из списка сопровождающих, по мнению Вельте, можно было понять, если бы конкретные разработчики были добавлены в санкционный список, но в рассматриваемом случае удалены люди, которые лишь предположительно могли быть связаны с подсанкционными компаниями.

Но даже в случае предоставления убедительных юридических доводов, перед фактическим исключением мэйнтейнеров было бы правильным провести публичное обсуждение, попытаться найти способ обойти требования юристов и организовать общественное движение против. В крайнем случае, если обходные пути не были бы найдены, по мнению Вельте, можно было ожидать гражданского неповиновения или оставления в файле MAINTAINERS пояснений о том, что удаление стало вынужденной мерой. Вместо этого наиболее значимые разработчики без лишней огласки в составе исправлений символьных драйверов применили патч с размытой формулировкой и тем самым проявили неуважение к работе удалённых участников и показали другим разработчикам как в сообществе люди относятся друг к другу.

  1. OpenNews: Бывший член совета директоров Linux Foundation пояснил причины удаления мэйнтейнеров из РФ
  2. OpenNews: Линус Торвальдс подтвердил решение по удалению мэйнтейнеров из РФ
  3. OpenNews: Из списка мэйнтейнеров ядра Linux удалено 11 участников из РФ
  4. OpenNews: Патчи от Байкал Электроникс отказались принимать в ядро Linux по политическим причинам
Обсуждение (122 +273) | Тип: Тема для размышления |
·25.10.2024 На соревнованиях Pwn2Own продемонстрированы взломы NAS, принтеров, умных колонок и IP-камер (45 +12)
  Подведены итоги четырёх дней соревнований Pwn2Own Ireland 2024, на которых были продемонстрированы 38 успешных атак с использованием ранее неизвестных уязвимостей (0-day) в мобильных устройствах, принтерах, умных колонках, системах хранения и IP-камерах. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 993,625 долларов США.

Осуществлённые атаки:

  • Смартфон Samsung Galaxy S24. Одна премия в $50,000 за эксплоит, охватывающий 5 уязвимостей, среди которых проблема, позволяющая выйти за пределы базового файлового пути (path traversal).
  • Сетевое хранилище QNAP TS-464 NAS. 4 успешных взломов c использованием уязвимостей, связанных с использованием оставленных в прошивке криптографических ключей, некорректной проверкой сертификатов, подстановкой SQL-кода, подстановкой аргументов командной строки и подстановкой символа перевода строки. Участникам выплачено по одной премии в $40,000 и $10,000, и две премии в $20,000
  • Сетевое хранилище QNAP QHora-322. 6 успешных взломов c использованием уязвимостей, связанных с подстановкой SQL-кода, отсутствием должной аутентификации, подстановкой команд и выходом за границ базового файлового пути. Участникам выплачено по одной премии в $100,000, $50,000, $41,750 и $23,000, а также две премии в $25,000.
  • Сетевое хранилище True NAS X. Один взлом с премией в $20,000.
  • Сетевое хранилище Synology BeeStation BST150-4T. 4 успешных взлома c использованием уязвимостей, связанных с подстановкой команд, обходом аутентификации и подстановкой SQL-кода. Участникам выплачено по одной премии в $40,000 и $20,000, а также две премии в $10,000.
  • Сетевое хранилище Synology DiskStation DS1823xs+. 4 успешных взлома c использованием уязвимостей, связанных с некорректной обработкой аргументов, записью за пределы выделенного буфера и неверной проверкой сертификатов. Участникам выплачена одна премия в $40,000 и две премии в $20,000.
  • Принтер Lexmark CX331adwe. Один взлом с премией в $20,000, эксплуатирующий уязвимость, вызванную неправильной обработкой типов (Type Confusion).
  • Принтер HP Color LaserJet Pro MFP 3301fdw. Два успешных взлома c использованием уязвимостей, связанных с переполнением стека и неправильной обработкой типов. Выплачены две премии, размером $20,000 и $10,000.
  • Принтер Canon imageCLASS MF656Cdw. Три успешных взлома c использованием уязвимостей, связанных с переполнением стека. Выплачены премии $20,000, $10,000 и $5,000.
  • Камера видеонаблюдения Lorex 2K WiFi. 5 успешных взломов c использованием уязвимостей, связанных с переполнением буфера и разыменованием указателя. Выплачены премии $30,000, $15,000 и три по $3,750.
  • Камера видеонаблюдения Synology TC500. Один взлом с премией в $30,000, эксплуатирующий уязвимость, вызванную переполнением буфера.
  • Камера видеонаблюдения Ubiquiti AI Bullet. 3 успешных взлома. Выплачены премии $30,000, $15000 и $3,750.
  • Умные колонки Sonos Era 300. 3 успешных взлома c использованием уязвимостей, связанных с переполнением буфера и обращением у уже освобождённой памяти. Выплачена премия в $60,000 и две премии в $30,000.
  • Платформа управления умным домом AeoTec Smart Home Hub. Один взлом с премией в $40,000, эксплуатирующий уязвимость, вызванную некорректной проверкой криптографической подписи.

Кроме вышеотмеченных успешных атак, 16 попыток эксплуатации уязвимостей завершились неудачей, в большинстве случаев из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома камер Ubiquiti AI Bullet, Synology TC500 и Lorex 2K, принтеров Lexmark CX331adwe и Canon imageCLASS MF656Cdw, сетевых хранилищ TrueNAS Mini X, Synology DiskStation DS1823xs+, Synology BeeStation BST150-4T и QNAP TS-464 и умной колонки Sonos Era 300.

В каких именно компонентах проблемы пока не сообщается. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

  1. OpenNews: На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox
  2. OpenNews: Итоги соревнования Pwn2Own Automotive, посвящённого взлому автомобильных систем
  3. OpenNews: На соревновании Pwn2Own в Торонто продемонстрированы эксплоиты для 58 новых уязвимостей
  4. OpenNews: Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности
Обсуждение (45 +12) | Тип: Проблемы безопасности |
·25.10.2024 Уязвимость в NetworkManager-libreswan и guix-daemon, позволяющие повысить привилегии в системе (23 +6)
  В плагине NetworkManager-libreswan, добавляющем в NetworkManager функциональность для подключения к VPN, совместимым с серверами на базе Libreswan и Cisco IPsec, выявлена уязвимость (CVE-2024-9050), которая может использоваться для повышения локальным пользователем своих привилегий. Уязвимость устранена в обновлении NetworkManager-libreswan 1.2.24. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora.

Проблема вызвана некорректной проверкой конфигурации VPN, определяемой локальным непривилегированным пользователем и передаваемой напрямую в Libreswan при попытке активации соединения. В частности, в плагине не выполнялась проверка использования escape-символов, таких как перевод строки "\n", которые могли применяться для разделения отдельных настроек, указанных в одной строке.

Соответственно, атакующий мог указать в составе одного из разрешённых параметров параметр "leftupdown", запрещённый для непривилегированных пользователей и задающий скрипт, выполняемый с правами root в процессе установки соединения. Например, для запуска программы /bin/true к разрешённому параметру "hostaddrfamily" можно прикрепить следующие настойки:


   hostaddrfamily=ipv4\n leftupdown=/bin/true\n ikev2=never\n
leftxauthclient=yes\n leftusername=username\n phase2alg=aes256-sha1\n
authby=secret\n left=%defaultroute\n leftmodecfgclient=yes\n
right=172.31.79.2\nconn ign

Ещё одна уязвимость выявлена в фоновом процессе guix-daemon, применяемом в дистрибутивах на базе пакетного менеджера GNU Guix. Уязвимость представляет опасность для многопользовательских систем и позволяет локальному пользователю получить привилегии любого пользователя, выполняющего сборку пакетов (build user), и внести изменения в результат сборки. Суть уязвимости в том, что атакующий может запустить производную сборку и если сборочный процесс будет прерван, уже созданные suid-файлы останутся доступны остальным пользователям системы. После этого атакующий может воспользоваться созданный suid-файлом для приостановки сборочного процесса, открытия любого файла через /proc/$PID/fd с правами выполняющего сборку пользователя и перезаписать файлы c результатами сборки).

  1. OpenNews: Удалённая root-уязвимость в DHCP-клиенте из состава RHEL и Fedora
  2. OpenNews: Уязвимость в strongSwan IPsec, приводящая к удалённому выполнению кода
  3. OpenNews: Уязвимость в пакетном менеджере GNU Guix
  4. OpenNews: Уязвимость в Polkit, позволяющая повысить свои привилегии в системе
  5. OpenNews: Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux
Обсуждение (23 +6) | Тип: Проблемы безопасности |
·24.10.2024 Бывший член совета директоров Linux Foundation пояснил причины удаления мэйнтейнеров из РФ (129 –14)
  К обсуждению удаления мэйнтейнеров из РФ присоединился Джеймс Боттомли (James Bottomley), мэйнтейнер подсистемы SCSI, ранее занимавший посты члена совета директоров и председателя технического консультативного совета Linux Foundation. Джеймс извинился за то, как было произведено удаление, и пояснил, что удаление связано с санкциями против компаний из РФ, которые попали в список OFAC SDN, опубликованный Министерством финансов США. По словам Джеймса, возможность сотрудничать с компаниями из США для работников компаний, находящихся в санкционном списке, ограничена и подобные работники не могут находиться в числе мэйнтейнеров ядра Linux.

Если удаление произведено по ошибке и текущий работодатель не находится в указанном списке, то разработчику следует предоставить информацию об этом Грегу Кроа-Хартману (это именно та документация, о которой шла речь в первом сообщении об удалении). В любом случае Джеймс пообещал при необходимости добавить в файл CREDITS упоминание о вкладе удалённых участников в разработку ядра. Причиной следования санкциям названо нахождение в США всей инфраструктуры для разработки ядра Linux и большого числа сопровождающих. Из-за этого при разработке ядра невозможно игнорировать требования законодательства США.

Джеймс также выразил надежду, что удаления из списка мэйнтейнеров будет достаточно для удовлетворения требований Министерства финансов США и из ядра не придётся удалять код, переданный подсанкционными разработчиками. В отдельном письме Джеймс написал, что задержка с публикацией пояснений и ответов на вопросы связана с тем, что юристы ещё продолжают обсуждение специфики следования санкциям при разработке ядра и в дальнейшем намерены опубликовать подробный документ, описывающего связанные с санкциями правила.

Пояснение Джеймса отправлено в ответ на прощальное письмо Сергея Семина, попавшего в число удалённых мэйнтейнеров. В своём письме Сергей сообщил, что после случившегося он потерял мотивацию для продолжения дальнейшего участия в разработке ядра, а попытки получить у вышестоящего мэйнтенера более подробную информацию о причине удаления не прояснили ситуацию - в ответе было лишь извинение, упоминание санкций, сожаление о невозможности что-либо сделать и совет обратиться к юристу своей компании. При этом Сергей уже более года участвует в разработке ядра только как волонтёр, а не как оплачиваемый работник. За время работы в сообществе Сергей отправил 518 патчей, прорецензировал 253 патча и принял участие в тестировании 80 патчей.

В списке рассылки ядра также опубликовано предложение удалить из числа мэйнтейнеров разработчиков, трудоустроенных в компании Huawei, так как данная компания также находится в санкционных списках США. Теодор Цо (Theodore Ts'o), создатель файловой системы Ext4, пояснил, что в США действует несколько разных санкционных режимов и те санкции, которые применяются к Huawei, попадают под исключения, допускающие возможность принимать исправления и вовлекать в рецензирование кода разработчиков данной компании, если взаимодействие с ними осуществляется на публичной платформе, такой как списки рассылки разработчиков ядра Linux.

В случае подсанкционных российских компаний требования более жёсткие, так как Linux может применяться в военных целях, например, в ракетах и беспилотных летательных аппаратах. Мэйнтейнеры, проживающие в США, обязаны при приёме изменений выполнять законы и требования, установленные правительством США, а также убедиться, что производимые действия не представляют опасность для других разработчиков Linux. При этом у мэйнтейнеров из других стран могут возникать другие обязательства.

  1. OpenNews: Линус Торвальдс подтвердил решение по удалению мэйнтейнеров из РФ
  2. OpenNews: Из списка мэйнтейнеров ядра Linux удалено 11 участников из РФ
  3. OpenNews: Патчи от Байкал Электроникс отказались принимать в ядро Linux по политическим причинам
Обсуждение (129 –14) | Тип: Тема для размышления |
·23.10.2024 Выпуск криптографических библиотек OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 и Rustls 0.23.15 (16 +10)
  Опубликованы несколько новых версий криптографических библиотек:

Релиз библиотеки OpenSSL 3.4.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.4 будет осуществляться до октября 2025 года. Поддержка прошлых веток OpenSSL 3.3, 3.2, 3.1 и 3.0 LTS продлится до апреля 2026 года, ноября 2025 года, марта 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0. Основные новшества:

  • Добавлена поддержка набора шифров для TLSv1.3, ограниченного функциями проверки целостности данных (RFC 9150) и включающего алгоритмы TLS_SHA256_SHA256 и TLS_SHA384_SHA384.
  • Добавлена опциональная возможность использования в генераторе псевдослучайных чисел дополнительного источника энтропии на основе джиттера (jitter), реализованного при помощи библиотеки jitterentropy. Формирование энтропии производится путём измерения различий во времени повторного исполнения определённого набора инструкций на CPU, зависящего от множества внутренних факторов и непредсказуемого без физического контроля над CPU.
  • Добавлена начальная поддержка авторизационных сертификатов (AC - Attribute Certificate, RFC 5755), которые включают информацию о правах доступа, полномочиях и атрибутах владельца сертификата, удостоверяющих возможность совершения определённых действий. Например, AC-сертификат может определять право подключения к какому-то сервису.
  • Добавлена поддержка расширений X.509v3, связанных с авторизационными сертификатами.
  • В провайдере FIPS реализована поддержка FIPS 140-3 Indicator API, позволяющего определить использовалась ли та или иная операция в одобренном сервисе или нет.
  • В API BIO (Basic Input/Output) улучшена обработка ввода в формате Base64.
  • Добавлена поддержка сборки утилиты openssl в режиме PIE (Position Independent Executable), позволяющем использовать рандомизацию адресного пространства (ASLR).
  • Добавлена поддержка напрямую извлекаемых комбинированных алгоритмов цифровой подписи, таких как RSA-SHA2-256.
  • В PKCS#12 добавлена поддержка PBMAC 1 (Password-Based Message Authentication Code 1, RFC 9579).
  • В утилиту openssl добавлены опции '-not_before' и '-not_after' для явного указания начального и конечного времени действия сертификата.
  • Предоставлена возможность использования заранее вычисленных значений при инициализации криптографических алгоритмов на базе эллиптических кривых P-256.
  • Объявлены устаревшими функции TS_VERIFY_CTX_set_*, на замену которым пришли функции TS_VERIFY_CTX_set0_* с улучшенной семантикой.
  • Объявлены устаревшими функции SSL_SESSION_get_time(), SSL_SESSION_set_time() и SSL_CTX_flush_sessions() вместо которых следует использовать SSL_SESSION_get_time_ex(), SSL_SESSION_set_time_ex() и SSL_CTX_flush_sessions_ex(), избавленные от проблемы 2038 года.
  • Ожидавшаяся в OpenSSL 3.4 поддержка протокола QIUC на стороне сервера отложена до следующего выпуска.



Релиз проекта LibreSSL 4.0.0, развивающего форк OpenSSL, нацеленный на предоставление более высокого уровня безопасности и качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Значительная смена номера версии связана с использованием десятичной нумерации (после 3.9 следует версия 4.0). Наиболее заметные изменения:

  • Добавлена начальная поддержка сборки с использованием Emscripten, компилятора из C/C++ в WebAssembly.
  • В команду "openssl cms" добавлена опция CRLfile для указания дополнительных списков отозванных сертификатов (CRL), которые будут использованы при верификации.
  • Прекращена поддержка платформы mips32.
  • Прекращено предоставление доступа к функциям, написанным на языке ассемблер, через публичный API (подобные функции теперь предоставляются только через функции-обвязки на языке Си). Удалены ассемблерные реализации устеревших шифров для устаревших архитектур.
  • Удалён код для кэширования валидности сертификатов, которое потеряло смысл после оптимизации производительности.
  • Улучшена реализация расширений X.509v3, унифицированы методы X.509v3 и проведена чистка связанных с X.509v3 API.
  • Полностью переписана реализация типа CRYPTO_EX_DATA.
  • В libcrypto функции atoi() и strtol() заменены на strtonum().
  • Добавлен заголовочный файл crypto_arch.h, в который вынесен код, специфичный для аппаратных архитектур.
  • Переработана и оптимизирована реализация алгоритма DES.
  • Удалены заголовочные файлы pem2.h, ssl2.h, ssl23.h и ui_compat.h.
  • Удалена поддержка алгоритма хэширования Whirlpool.
  • Удалены функции HMAC_Init(), OPENSSL_load_builtin_modules(), X509_REQ_{get,set}_extension_nids(), X509_check_trust().
  • Удалены типы PEM_USER, PEM_CTX, COMP_CTX, COMP_METHOD, X509_CRL_METHOD, STORE, STORE_METHOD и SSL_AEAD_CTX.
  • В libssl добавлены функции SSL_CTX_set1_cert_store() и SSL_CIPHER_get_handshake_digest().



Доступен выпуск криптографической библиотеки Botan 3.6.0, применяемой в проекте NeoPG, форке GnuPG 2. Библиотека предоставляет большую коллекцию готовых примитивов, используемых в протоколе TLS, сертификатах X.509, шифрах AEAD, модулях TPM, PKCS#11, хэшировании паролей и постквантовой криптографии (подписи на основе хэша и согласование ключей на основе McEliece). Библиотека написана на языке C++ и поставляется под лицензией BSD. В новой версии:

  • Интегрирована новая библиотека с криптоалгоритмами на основе эллиптических кривых, операции на базе типовых кривых в которой выполняются в 2-3 раза быстрее. Также предложен новый API для низкоуровневой работы с эллиптическими кривыми.
  • Добавлена поддержка недавно стандартизированных в NIST алгоритмов постквантового шифрования: FIPS 203 ML-KEM (Kyber), FIPS 204 ML-DSA (Dilithium) и FIPS 205 SLH-DSA (SPHINCS+).
  • Добавлена поддержка чипов TPM2.
  • Расширено использование вычислений с постоянным временем выполнения операций для защиты от атак по сторонним каналам.
  • Добавлена генерация дополнительной энтропии при помощи библиотеки jitterentropy.
  • Повышена производительность обработки данных в шестнадцатеричном формате и кодировке base64.
  • Добавлена поддержка процессорных расширений AVX2-VAES и GFNI-AVX2.
  • Добавлено определение возможностей CPU armv7, aarch64 и ppc64 на платформе OpenBSD.
  • Добавлена сборочная опция для отключения всех ассемблерных inline-вставок.



Релиз проекта Rustls 0.23.15, развивающего клиентскую и серверную реализацию протоколов TLS1.2 и TLS1.3 для проектов на языке Rust. Rustls не предоставляет собственную реализацию криптографических примитивов, а использует подключаемые провайдеры криптографических функций (поддерживаются алгоритмы ECDSA, Ed25519, RSA, ChaCha20-Poly1305, AES128-GCM и AES256-GCM). По умолчанию в Rustls используется криптопровайдер на базе библиотеки aws-lc-rs, которая развивается компанией Amazon и базируется на С++ коде AWS-LC, ответвлённом от проекта BoringSSL (сопровождаемый Google форк OpenSSL). В качестве криптопровайдера также может использоваться библиотека ring, частично основанная на BoringSSL и комбинирующая код на ассемблере, С++ и Rust.

Новая версия примечательна значительными оптимизациями производительности. Утверждается, что при использовании криптопримитивов aws-lc-rs библиотека Rustls теперь опережает библиотеки OpenSSL и BoringSSL в тестах, измеряющих пропускную способность и скорость согласования/возобновления соединения.



  1. OpenNews: Выпуск криптографической библиотеки LibreSSL 3.9.0
  2. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.3.0
  3. OpenNews: В Rustls обеспечена совместимость с OpenSSL и nginx
  4. OpenNews: Реструктуризация проекта OpenSSL. Переход под крыло OpenSSL библиотек Bouncy Castle и Cryptlib
  5. OpenNews: Выпуск криптографической библиотеки Botan 3.0.0
Обсуждение (16 +10) | Тип: Программы |
Следующая страница (раньше) >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру