The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

25.03 Выпуск мобильной ОС Sailfish 3.0.2 (10 –1)
  Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 3.0.2. Сборки подготовлены для устройств Jolla 1, Jolla C, Jolla Tablet, Sony Xperia X, Gemini, и уже доступны в форме OTA-обновления. Ростелеком использует Sailfish в качестве основы для отечественной мобильной операционной системы, предлагаемой под брендом "Аврора" (компания Jolla предоставила лицензию на создание локализованного варианта ОС Sailfish).

Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но их код планировалось открыть ещё в 2017 году.

В новой версии:

  • В верхнее всплывающее меню добавлены переключатели для приглушения рингтонов и активации работы через прокси;
  • Добавлен режим экономии заряда аккумулятора, при котором снижается яркость экрана и отключаются операции фоновой синхронизации данных. Возможно задание уровня заряда, при достижении которого режим включается автоматически (по умолчанию 20%);
  • В почтовый клиент добавлена опциональная возможность отправки подтверждений о прочтении писем;
  • Улучшена работа в окружениях с большим числом Bluetooth устройств и беспроводных сетей - сканирование доступных сетей больше не тормозит работу устройства;
  • Значительно расширены возможности встроенного межсетевого экрана, в том числе реализована поддержка IPv6 и включена блокировка всего трафика к портам системных сервисов (доступ к каждому порту требует подтверждения от пользователя);
  • Добавлена возможность определения глобального прокси, применяемого для всех соединений при подключении через WiFi или мобильные сети;
  • Проведения оптимизация потребления памяти в коде отображение обоев на домашнем экране, добавлена поддержка высвобождения занятой обоями памяти для других приложений;
  • Расширены средства удалённого управления мобильным устройством (MDM, Device Management), добавлены API для сбора статистики по звонкам и трафику, управления определением местоположения, настройки прокси, автозапуска приложений, контроля за настройками подключения к сотовым сетям;
  • До Android 8.1 обновлена прослойка Aliendalvik для Xperia XA2, предоставляющая средства для запуска приложений, написанных для платформы Android. Повышена надёжность сетевого доступа Android-приложений при подключении через мобильную сеть;
  • В браузере улучшена обработка ссылок "mailto" для исключения случайного запуска почтового клиента;
  • Решены проблемы с фокусировкой передней камеры.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск мобильной ОС Sailfish 3.0.1
  3. OpenNews: Выпуск мобильной ОС Sailfish 3
  4. OpenNews: Компании Jolla и Sony представили версию Sailfish для смартфонов Sony Xperia
  5. OpenNews: Компания Jolla готовит открытие кода приложений и графического интерфейса Sailfish
  6. OpenNews: Мобильная платформа Sailfish одобрена для госучреждений и госкорпораций РФ
Обсуждение (10 –1) | Тип: Программы |


25.03 Релиз PyPy 7.1, реализации Python, написанной на языке Python (12 +4)
  Опубликован релиз проекта PyPy 7.1, в рамках которого развивается реализации языка Python, написанной на языке Python (используется статически типизированное подмножество RPython, Restricted Python). Выпуск подготовлен одновременно для веток PyPy2.7, PyPy3.5 и PyPy3.6 (beta-версия), обеспечивающих поддержку синтаксиса Python 2.7, Python 3.5 и Python 3.6. Выпуск доступен для Linux (x86, x86_64, PPC64, s390x, ARMv6 или ARMv7 с VFPv3), macOS (x86_64), OpenBSD, FreeBSD и Windows (x86).

Особенностью PyPy является использование JIT-компилятора, на лету транслирующего некоторые элементы в машинный код, что позволяет обеспечить высокий уровень производительности - при выполнении некоторых операций PyPy в несколько раз обгоняет классическую реализацию Python на языке Си (CPython). Ценой высокой производительности и использования JIT-компиляции является более высокое потребление памяти - общее потребление памяти в сложных и длительно работающих процессах (например, при трансляции PyPy силами самого PyPy) превышает потребление CPython в полтора-два раза.

Новый выпуск примечателен переработкой внутреннего представления строк. Строки теперь изначально хранятся в кодировке utf8. Изменение позволило заметно поднять производительность работы со строками за счёт избавления от выполнения перекодирования. Перевод строк на utf-8 пока принят только в ветку PyPy 3.5, но в ближайшее время также ожидается и в ветке 3.6. Из других изменений отмечается улучшение работы python-интерфейса buffer со структурами и массивами ctype, что позволило оптимизировать совместный доступ к буферам между ctypes и NumPy. Обновлён модуль CFFI 1.12.2 (C Foreign Function Interface) с реализацией интерфейса для вызова функций, написанных на языках Си и C++. CFFI рекомендован для взаимодействия с кодом на Си, в то время как cppyy для кода на C++.

  1. Главная ссылка к новости
  2. OpenNews: Релиз PyPy 7.0, реализации Python, написанной на языке Python
  3. OpenNews: Увидел свет язык программирования Python 3.7
  4. OpenNews: Выпуск Nuitka 0.6.0, компилятора для языка Python
  5. OpenNews: Утверждена новая модель управления разработкой Python
  6. OpenNews: Проект RustPython развивает реализацию интерпретатора Python на языке Rust
Обсуждение (12 +4) | Тип: Программы |


25.03 Выпуск Puppy Linux 8.0, дистрибутива для устаревших компьютеров (21 +6)
  Представлен релиз легковесного Linux-дистрибутива Puppy 8.0 (BionicPup), ориентированного на работу на устаревшем оборудовании. Загрузочный iso-образ занимает 354 Мб (x86 и x86_64 c поддержкой BIOS и UEFI).

Дистрибутив собран с использованием пакетной базы Ubuntu 18.04 и собственного сборочного инструментария Woof-CE, позволяющего использовать в качестве основы пакетные базы сторонних дистрибутивов. Использование бинарных пакетов из Ubuntu позволяет значительно сократить время подготовки и тестирования релиза, и одновременно обеспечить пакетную совместимость с репозиториями Ubuntu, при сохранении совместимости с классическими пакетами Puppy в формате PET. Для установки дополнительных приложений и обновления системы предлагается интерфейс Quickpet.

Графическое окружение пользователя базируется на оконном менеджере JWM, файловом менеджере ROX, собственном наборе GUI-конфигураторов (Puppy Control Panel), виджетов (Pwidgets - часы, календарь, RSS, состояние соединения и т.п.) и приложений (Pburn, Uextract, Packit, Change_kernels, JWMdesk, YASSM, Pclock, SimpleGTKradio). В качестве браузера используется Palemoon. В поставку также включены почтовый клиент Claws mail, Torrent-клиент, мультимедийный проигрыватель MPV, аудиоплеер Deadbeef, текстовый процессор Abiword, табличный процессор Gnumeric, Samba, CUPS.

Кроме обновления версий программ отмечаются следующие новшества:

  • В файловом менеджере rox filer добавлена поддержка копирования и вставки через буфер обмена;
  • По умолчанию задействован композитный менеджер compton и включён эффект небольшой тени для окон и меню;
  • Темы оформления JWM унифицированы с темами GTK;
  • Для claws-mail реализована возможность сворачивания в системный лоток;
  • По умолчанию в системный лоток добавлена кнопка для поиска и запуска приложений;
  • Конвертер ffconvert заменён на qwinff, gcolor на gpick, а screeny на "take a shot";
  • В состав включены приложения homebank, sunfish, guvcview, redshift-gui и janky_BT (интерфейс для настройки bluetooth).

  1. Главная ссылка к новости
  2. OpenNews: Релиз Linux-дистрибутива Quirky 8.4, развиваемого автором Puppy Linux
  3. OpenNews: Выпуск Puppy Linux 7.5, дистрибутива для устаревших компьютеров
  4. OpenNews: Выпуск легковесных дистрибутивов Puppy Linux 6.0 "Tahrpup" и Quirky Unicorn 6.2
  5. OpenNews: Релиз Linux-дистрибутивов Wary Puppy 5.5 и Racy Puppy 5.5
  6. OpenNews: Релиз дистрибутива Slacko Puppy 5.4
Обсуждение (21 +6) | Тип: Программы |


25.03 Отчёт о развитии FreeBSD за четвёртый квартал 2018 года (135 +16)
  Опубликован отчёт о развитии проекта FreeBSD с октября по декабрь 2018 года.

Основные достижения:

  • Общие и системные вопросы
    • Продолжено развитие инфраструктуры непрерывной интеграции, в которой проводится регулярное автоматизированное тестирование изменений и пересборка содержимого Subversion-репозитория проекта в Travis CI и Jenkins. За отчётный период была проведена работа по расширению окружения для выполнения тестов, расширению покрытия тестами кодовой базы и налаживанию сотрудничества по совместному тестированию с внешними проектами. Из планов отмечается добавление в CI сборки drm-портов в окружении ветки CURRENT, реализация автоматических тестов на невиртуализированном оборудовании (bare metal) и добавление тестов для отдельных веток, таких как clang800-import;
    • FreeBSD Core Team одобрил план по переводу драйверов для 10 и 100 мегабитных сетевых адаптеров Ethernet в разряд устаревших;
    • Размер собранных в прошлом году пожертвований превысил 1.3 млн долларов. Наиболее значительный вклад внесли компании Juniper, Netflix и Facebook, а также проект Handshake.org
    • Трудоустроенные в организации FreeBSD Foundation инженеры выполнили работу по выявлению и исправлению узких мест в ядре и системных библиотеках, обеспечению сборки системы и портов с использованием утилиты Poudriere, добавлению встроенного в ядро загрузчика микрокода для CPU Intel, расширению изоляции системных утилит при помощи фреймворка capsicum, улучшению поддержи NUMA, внесению исправлений, связанных с компоновщиком lld (от LLVM) и компонентами инструментария ELF, обновлением OpenSSL до версии 1.1.1 и добавлением защиты Retpoline от атак Spectre;
    • В дополнение к недавно добавленной в реализацию виртуальных терминалов поддержке установки цветовых схем (kern.vt.color.X.rgb tunables) пользователям предложена готовая коллекция из примерно 200 цветовых схем для различных терминалов. Для применения схем достаточно скопировать их параметры в /boot/loader.conf или /boot/loader.conf.local;
    • Для ядра i386 предложена опция PAE_PAGETABLES, включающая поддержку нового формата таблиц страниц памяти, который ранее был доступен только в режиме PAE. Новый формат необходим для реализации поддержки не исполняемых страниц памяти (бит noexec) и увеличения адресуемой памяти (до 24G). Его применение без PAE позволит сохранить прежними структуры vm_paddr_t и bus_addr_t, т.е. обеспечить неизменными интерфейсы ядра и избежать нарушения совместимости с драйверми. Чтобы не распространять несколько сборок ядра i386 поддержка страниц памяти вынесена в отдельные модули - два модуля pmap, один для PAE и один для поддержки старых двухуровневых таблиц страниц памяти;
  • Безопасность
    • Добавлена поддержка механизма ключей защиты памяти Usermode Protection Keys, позволяющего приложениям разбить используемую память на зоны, применив к каждой зоне дополнительные ограничения, например, можно установить права при которых код может быть запущен, но не может быть прочитан. Механизм предоставляется в процессорах Intel Xeon на базе микроархитектуры Skylake;
    • В гипервизор bhyve добавлена поддержка Live-миграции гостевых окружений с одного хоста на другой. Для управления переносом в bhyvectl добавлена опция "--migrate-live". В bhyve также реализована функциональность Save/Restore, позволяющая заморозить гостевую систему с сохранением состояния в файл, а затем возобновить выполнение. При сохранении в разные файлы записывается образ памяти, метаданные для восстановления, состояние CPU и устройств. Для заморозки гостевой системы в bhyvectl добавлена команда "--suspend state_file", а для восстановления опция "-r" (используется вместе с "--suspend");
    • Внесены улучшения во фреймворк Capsicum, предоставляющий механизмы ограничения использования приложениями определённых системных функций. В Casper, фоновый процесс для организации доступа к привилегированным операциям из режима повышенной изоляции, добавлен сервис fileargs для обращения к частям ФС из sandbox-окружения. Использование fileargs позволяет изолировать такие приложения, как brandelf, wc, savecore, head и strings, а также добавить в bhyve поддержку доступа к звуковым устройствам, изолированным при помощи Capsicum. Кроме того, добавлен Casper-сервис private и реализована sandbox-изоляция процессов rtsold и rtsol , используемых для отправки сообщений ICMPv6 Router Solicitation;
    • Добавлена поддержка устройств TPM 2.0 (Trusted Platform Module) с отдельным чипом и памятью для безопасных вычислений, которые обычно применяются для верифицированной загрузки прошивок и загрузчика ОС. Во FreeBSD TPM также может использоваться для усиления безопасности Strongswan IPsec, SSH и TLS за счёт выполнения криптографических операций на отдельном чипе;
    • Для режима верифицированной загрузки UEFI Secure Boot реализована поддержка сертификатов X509. На базе библиотеки BearSSL для загрузчика EFI подготовлен код проверки цифровых подписей. Обеспечено извлечение списка разрешённых и запрещённых сертификатов из переменных окружения UEFI. Предоставленной функциональности достаточно для верифицированной загрузки ядра с использованием цифровой подписи на основе самостоятельно сгенерированного сертификата;
    • Проходит рецензирование код с реализацией системы контроля целостности исполняемых файлов Veriexec, который скорее всего будет интегрирован с кодом для поддержки UEFI Secure Boot;
    • Библиотека libvdsk оптимизирована для упрощения добавления поддержки новых форматов дисковых образов. Добавлена поддержка формата QCOW2. Из планов отмечается поддержка Copy-On-Write, средства для работы с несколькими снапшотами и интеграция с bhyve;
  • Сетевая подсистема
    • Проведена оптимизация производительности pfsync, системы для синхронизации таблиц отслеживания состояния соединений нескольких пакетных фильтров. Пакетный фильтр pf может обрабатывать одновременно несколько состояний на разных ядрах CPU, но pfsync был привязан к блокировке PFSYNC_LOCK, позволявшей единовременно использовать только одно ядро CPU. Для решения данной проблемы очереди pfsync теперь разбиты на несколько сегментов с разными идентификаторами состояния и собственными независимыми блокировками. Указанное изменение позволяет одновременно обрабатывать несколько состояний на разных ядрах CPU. Число сегментов настраивается (по умолчанию выбирается в два раза больше, чем число CPU). В зависимости конфигурации прирост производительности составляет от 30% до 100%;
  • Поддержка оборудования
    • Продолжается развитие компонентов графического стека. Проведена работа по стабилизации портированных из ядра Linux 4.16 графических драйверов drm-kmod (порт, обеспечивающий работу DRM-модулей amdgpu, i915 и radeon, используя фреймворк linuxkpi для совместимости с DRM API (Direct Rendering Manager) ядра Linux). Порты с DRM-драйверами переименованы для более явной привязки к веткам (graphics/drm-current-kmod для CURRENT и graphics/drm-fbsd12.0-kmod для релиза 12.0. Добавлен новый порт graphics/drm-kmod, устанавливающий корректный драйвер в зависимости от версии FreeBSD и аппаратной архитектуры.

      Старые драйверы, портированные из ядра 4.11 и используемые в выпуске FreeBSD 11.2, помещены в порт graphics/drm-legacy-kmod и также могут использоваться во FreeBSD 12.0 и CURRENT. Намечено удаление кода drm2 из базовой системы в пользу драйверов из портов, но часть компонентов drm2 останется из-за привязки к ARM-платам NVIDIA Tegra. Проводится альфа-тестирование поддержки архитектур i386 и PowerPC 64 в драйверах drm. Добавлена поддержка проброса GPU в окружения VMware. Обновлён стек для поддержки устройств ввода. Заголовочные файлы Evdev выделены из порта multimedia/v4l_compat в отдельный порт devel/evdev-proto;

    • В ядро добавлена новая подсистема для разработки PWM-драйверов. Для настройки предложена утилита pwm. В настоящее время совместимость с новой подсистемой обеспечена только в драйвере для ARM SoC Allwinner;
    • Представлена начальная поддержка 64-разрядных SoC на базе чипов Broadcom BCM5871X с процессорами ARMv8 Cortex-A57, нацеленными на использование в маршрутизаторах, шлюзах и сетевых хранилищах. В текущем виде уже поддерживаются iProc PCIe, BNXT Ethernet, OTP (One Time Programmable memory) и crypto-движок для IPsec. Для включения в ветку HEAD код будет готов приблизительно в третьем квартале;
    • Файлы DTS (Device Tree Sources) синхронизированы с ядром Linux 4.20 для ветки HEAD и 4.19 для 12-STABLE. Обеспечена компиляция DTS для некоторых плат arm64;
    • При участии компании Amazon подготовлена новая версия драйвера ena с поддержкой второго поколения сетевых адаптеров ENAv2 (Elastic Network Adapter), используемых в инфраструктуре Elastic Compute Cloud (EC2) для организации связи между узлами EC2 на скоростях до 25 Gb/s. Перед интеграцией в основную кодовую базу остаётся только провести рецензирование и проверку кода;
    • Улучшена поддержка FreeBSD на системах Power9 (ppc64): обеспечена возможность загрузки ядра, собранного при помощи LLVM, добавлена поддержка Rust, стабилизирована реализация Superpage, адаптирован графический драйвер radeonkms, улучшена обработка прерываний;
    • Продолжена работа по реализации поддержки архитектуры RISC-V. В текущем виде FreeBSD уже успешно загружается на плате SiFive Unleashed, но пока не может использовать более одного ядра CPU;
    • Добавлена поддержка загрузки FreeBSD на SoC Marvell 8K. Подготовлены драйверы для таймера, gpio, термодатчиков и sdcard/eMMC, в разработке находятся драйверы для SATA и USB;
    • Сформирован образ SD-карты для ноутбука Pinebook;
    • Добавлена начальная поддержка чипов RockChip RK3399, используемых в платах RockPro64. Реализована возможность сетевой загрузки, добавлена поддержка RK805 и RK808 PMIC (Power Management IC) для корректного управления питанием;
  • Приложения и система портов
    • В дереве портов включена по умолчанию сборка графических приложений с поддержкой Wayland;
    • Дерево портов FreeBSD преодолело рубеж в 32900 портов, число незакрытых PR держится на отметке в 2365, из которых 500 неразобраны. За отчётный период внесено 7333 изменений от 174 разработчиков. Права коммиттера получили два новых участника. Восемь участников лишились права коммита в порты из-за длительной неактивности.

      Среди значительных обновлений версий в портах отмечаются: PHP 7.2, Perl 5.28, Ruby 2.5, LLVM 7.0. Обеспечена параллельная установка портов PyQt. Прекращена поддержка KDE 4 и ветки FreeBSD 10, время жизни которых истекло. Для внешнего построения портов (":outsource") по умолчанию задействован флаг "USES=cmake".

    • Из портов удалено окружение KDE 4. Удаление Qt4 ожидается в конце марта. Рабочий стол KDE Plasma обновлён до версии 5.12. Задействованы актуальные выпуски KDE Frameworks и KDE Applications. Поддержка KDE синхронизирована с upstream. Библиотека Qt5 обновлена до выпуска 5.12. Реализация QtWebEngine пока остаётся на уровне 5.9.5, но в конце марта будет обновлена до Qt 5.12;
    • Продолжается развитие проекта ClonOS, развивающего специализированный дистрибутив для развёртывания инфраструктуры виртуальных серверов. По решаемым задачам ClonOS напоминает такие системы, как Proxmox, Triton (Joyent), OpenStack, OpenNebula и Amazon AWS, главным отличием от которых является использование FreeBSD и возможность управления, развертывания и управления Jail-контейнерами FreeBSD и виртуальными средами на базе гипервизоров Bhyve и Xen. Из планов на будущее отмечается добавление в web-интерфейс инструментов для live-миграции Bhyve и управления окружениями на базе Xen, поддержка CEPH/GlusterFS, iSCSI для виртуальных блочных устройств XEN и bhyve, средства для обеспечения высокой доступности (HA-cluster) и автоматической балансировки нагрузки между узлами, интеграция с системами мониторинга Prometheus/Grafana/Zabbix, система автоматического обновления узлов кластера, агрегирование сетевых интерфейсов, RestAPI, расширенная система разграничения доступа с интеграцией с Active Directory, RBAC и SSO.
    • Сформирован релиз HardenedBSD 12, форка FreeBSD 12, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей. В новом выпуске задействован механизм проверки целостности выполнения программ Non-Cross-DSO CFI (Control Flow Integrity), обеспечена дополнительная изоляция гипервизора bhyve, отключена по умолчанию технология одновременной многопоточности (SMT или Hyper-Threading), обеспечена сборка приложений с оптимизациями на этапе связывания (LTO, Link-Time Optimization);
    • Продолжена разработка системного менеджера nosh, предоставляющего инструменты инициализации, загрузки, ведения логов, управления фоновыми процессами и терминалами. Nosh позиционируется как замена BSD init и NetBSD rc.d, вобравшая в себя черты таких систем, как Solaris SMF, daemontools-encore, UCSPI и средств IBM AIX по раздельному управлению системой и сервисами. Предоставляется набор прослоек для использования команд, ставших привычных в других системах, импорта существующих конфигурационных файлов /etc/fstab, /etc/rc.conf, /etc/rc.local и /etc/ttys, а также настроек изолированных окружений Jail и PC-BSD Warden. В nosh предоставляются функции для определения порядка запуска сервисов, организации зависимостей между сервисами, обеспечения параллельного запуска сервисов, автоматической ротации логов, отслеживания работы сервисов и применения kevent для обеспечения событийно-ориентированного параллелизма.

      Из изменений в nosh с момента публикации прошлого отчёта отмечается добавление поддержки bcron, появление обвязок для OpenRC rc-update и rc-service, а также некоторых утилит из набора util-linux. Реализованы новые утилиты getuidgid, userenv-fromenv, setgid-fromenv, envgid, printenv, setlogin, console-decode-ecma48, console-control-sequence, console-flat-table-viewer, console-input-method и local-stream-socket-connect. Добавлены файлы для большого числа различных сервисов. Расширены средства настройки сервисов в привязке к пользователям. Для работающих в пространстве пользователя виртуальных терминалов добавлена поддержка методов ввода. Вместо NCurses для организации вывода на экран задействована новая библиотека TerminalCapabilities, предоставляющая поддержку управляющих последовательностей ECMA-48 и DEC VT.

  1. Главная ссылка к новости
  2. OpenNews: Отчёт о развитии FreeBSD за третий квартал 2017 года
  3. OpenNews: Релиз FreeBSD 11.2
  4. OpenNews: В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании
  5. OpenNews: Релиз FreeBSD 12.0
  6. OpenNews: Разработчики FreeBSD намерены сменить реализацию ZFS на "ZFS on Linux"
Обсуждение (135 +16) | Тип: Обобщение |


25.03 Выпуск операционной системы Redox OS 0.5, написанной на языке Rust (98 +30)
  После года разработки подготовлен выпуск операционной системы Redox 0.5, разработанной с использованием языка Rust и концепции микроядра. Наработки проекта распространяются под свободной лицензией MIT. Для тестирования в VirtualBox или QEMU предложены готовые загрузочные образы.

Пользовательское окружение в Redox построено на базе графической оболочки Orbital, работающей поверх Wayland. В качестве web-браузера применяется Netsurf. Операционная система использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях. Для совместимости с существующими приложениями предоставляется специальная POSIX-прослойка, позволяющая запускать многие программы без портирования.

Redox развивается в соответствии с философией Unix c заимствованием некоторых идей из SeL4, Minix и Plan 9. В системе применяется принцип "все есть URL". Например, для записи в лог может использоваться URL "log://", для взаимодействия между процессами "bus://", для сетевого взаимодействия "tcp://" и т.п. Модули, которые могут быть реализованы в форме драйверов, расширений ядра и пользовательских приложений, могут регистрировать свои обработчики URL, например, можно написать модуль обращения к портам ввода/вывода и привязать его к URL "port_io://", после чего можно использовать его для доступа к 60 порту через открытие URL "port_io://60".

Проектом также развивается собственный пакетный менеджер, набор стандартных утилит (binutils, coreutils, netutils, extrautils), командная оболочка ion, vim-подобный текстовый редактор sodium, сетевой стек и файловая система TFS, развиваемая на основе идей ZFS (модульный вариант ZFS на языке Rust). Конфигурация задаётся на языке Toml. Система поддерживает запуск на процессорах с архитектурой x86_64 c VBE-совместимой графической картой (nvidia, intel, amd), AHCI-дисками и сетевыми картами на базе чипов E1000 или RTL8168.

Из новшеств, добавленных в выпуске Redox 0.5, можно отметить:

  • Предложена собственная стандартная Си-библиотека Relibc, написанная на языке Rust. Relibc позиционируется как переносимая реализация стандартной библиотеки Си, соответствующая стандарту POSIX и способная работать не только в Redox, но и в дистрибутивах на базе ядра Linux. Ранее в Redox в качестве стандартной библиотеки применялся форк библиотеки newlib от проекта Сygwin, но он не устраивал разработчиков с точки зрения безопасности и кросс-платформенности. На текущей стадии развития Relibc уже намного превосходит newlib по функциональности;
  • Подготовлены новые загрузчики bootloader-coreboot и bootloader-efi для coreboot и EFI, на основе которых сформированы загрузочные образы. Написаны библиотеки для работы с EFI на языке Rust и загрузочный код (payload для coreboot) на Rust. Загрузчики могут применяться обособленно от Redox и в других проектах;
  • Система обработки событий переработана для предоставления корректной поддержки вызовов select и poll;
  • Реализована полноценная поддержка функций отображения в память (mmap);
  • Добавлена поддержка Pthreads и предложены дополнительные системные вызовы для обработки сигналов;
  • Улучшена совместимость с LLVM, что позволило обеспечить сборку rustc и Mesa (c llvmpipe);
  • Благодаря переходу на новую системную библиотеку удалось добиться поддержки многих новых приложений. Для установки в Redox подготовлены готовые пакеты с библитеками SDL2, ffmpeg, cairo, gstreamer, pcre, glib, pixman, libiconv, libsodium и gettext, набором компиляторов llvm, реализацией OpenGL/Vulkan Mesa, эмуляторами scummvm, dosbox и mgba, играми eduke32 (Duke Nukem 3D), openttd и FreeDoom. Всего добавлено 62 новых пакета.

  1. Главная ссылка к новости
  2. OpenNews: Для Linux и Redox представлена реализация Libc на языке Rust
  3. OpenNews: Третий выпуск операционной системы Redox OS, написанной на языке Rust
  4. OpenNews: Представлена операционная система Redox, написанная на языке Rust
  5. OpenNews: Проект RustPython развивает реализацию интерпретатора Python на языке Rust
  6. OpenNews: Выпуск libOS, unikernel на языке Rust для запуска приложений поверх гипервизора
Обсуждение (98 +30) | Тип: Программы |


24.03 Выпуск текстового редактора GNU nano 4.0 (76 +19)
  Состоялся релиз консольного текстового редактора GNU nano 4.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения.

В новом выпуске:

  • По умолчанию включён режим плавной прокрутки (по одной строке). Для возвращения прокрутки по половине страницы за раз добавлена опция "--jumpyscrolling" (-j);
  • Для построчной прокрутки добавлены горячие клавиши Alt+Up и Alt+Down;
  • Убрана пустая строка под заголовком, которая теперь относится к области редактирования. Для возвращения пустой строки предложена опция "--emptyline" (-e);
  • Убраны автоматический перенос очень длинных строк и добавление символа новой строки в конец буфера. Для возвращения старого поведения добавлены опции "--breaklonglines" (-b) и "--finalnewline" (-f);
  • Хвост строк, которые не вмещаются на экран, теперь помечается символом ">". Добавлена поддержка горизонтальной прокрутки строк;
  • Любые операции выравнивания теперь могут быть отменены (undo);
  • После выравнивания выделенного текста он теперь помещается в отдельный абзац;
  • Добавлена опция "--guidestripe=N" для отображения вертикальной полосы в указанном столбце;
  • Функции перехода к указанному абзацу переименованы с Search на Go-to-Line;
  • Добавлена опция "--rebinddelete" для решения проблем с работой клавиши Del в некоторых раскладках клавиатуры;
  • Объявлены устаревшими и теперь игнорируются опции "--morespace" и "--smooth". Удалена опция скрипта configure "--disable-wrapping-as-root".

  1. Главная ссылка к новости
  2. OpenNews: Выпуск текстового редактора GNU nano 3.2
  3. OpenNews: Выпуск текстового редактора GNU nano 3.0
  4. OpenNews: Выпуск текстового редактора GNU nano 2.7.0. Конфликт с проектом GNU исчерпан
  5. OpenNews: Раскол проекта Nano при попытке его вывода из состава GNU
  6. OpenNews: Релиз текстового редактора Vim 8.1
Обсуждение (76 +19) | Тип: Программы |


24.03 Microsoft опубликовал Pyright, систему проверки типов для языка Python (118 –9)
  Компания Microsoft открыла исходные тексты проекта Pyright, в рамках которого развивается система для применения статической типизации в приложениях на языке Python. Для разработчиков предлагается утилита командной строки для проверки типов и плагин для интегрированных сред разработки, поддерживающих протокол LSP (Language Server Protocol), таких как Visual Studio Code, Nuclide и Atom. Код написан на языке Typescript (диалект JavaScript со статической типизацией), использует Node.js и открыт под лицензией MIT.

Информация о типах может определяться в коде через добавление дополнительных аннотаций к переменным (PEP 526, например "# type: List[int]"), TypeVar-подсказок в стиле mypy (PEP 484, например "def greeting(name: str) -> str:") или применения структурных подтипов (PEP 544). Pyright поддерживает вывод типов для возвращаемых функциями значений, локальных переменных, переменных классов и глобальных переменных. Системой также применяются умные ограничители типов, учитывающие ветвления в коде с использованием операторов if/else.

Pyright работает примерно в пять раз быстрее mypy и других систем проверки типов, написанных на языке Python. Высокая производительность позволяет использовать Pyright для очень крупных кодовых баз, для работы в режиме непрерывного отслеживания при редактировании и для быстрого инкрементального обновления при изменении файлов. Для работы Pyright не требуется установка Python-окружения, но необходимо наличие Node.js.

Кроме инструментов для анализа и проверки кода в состав также входит подготовленный проектом Typeshed набор stub-файлов (".pyi"), содержащих информацию о типах для стандартных библиотек stdlib. Плагин для IDE поддерживает вывод всплывающих подсказок с информацией о типе, переход к позиции с определением переменной и обеспечение обратной связи во время редактирования.

  1. Главная ссылка к новости
  2. OpenNews: Доступен язык TypeScript 2.0, продвигаемый Microsoft в качестве дополнения к JavaScript
  3. OpenNews: Увидел свет TypeScript 1.0, продвигаемый Microsoft в качестве альтернативы JavaScript
  4. OpenNews: Компания Microsoft представила TypeScript, новую открытую альтернативу JavaScript
  5. OpenNews: Компания Microsoft представила Python Language Server
  6. OpenNews: Instagram открыл код MonkeyType, системы аннотации типов для Python
Обсуждение (118 –9) | Тип: Программы |


24.03 Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО (135 +7)
  Ричард Столлман объявил на конференции LibrePlanet 2019 лауреатов ежегодной премии "Free Software Awards 2018", учрежденной Фондом свободного ПО (FSF) и присуждаемой людям, внесшим наиболее значительный вклад в развитие свободного ПО, а также социально значимым свободным проектам.

Премию за продвижение и развитие свободного ПО получила Дебора Николсон (Deborah Nicholson), директор по взаимодействию с сообществом в организации Software Freedom Conservancy, ведущая деятельность в областях, где технологии пересекаются с вопросами социальной справедливости, отстаиванием неограниченного доступа к информации, свободой слова и собраний, а также гражданскими свободами. Дебора присоединилась к движению СПО в 2006 году после нескольких лет организации локальных выступлений за свободу слова, женское равноправие и прозрачность политических процессов. Первое время Дебора работала в Фонде СПО, в котором курировала программы членства в организации, организовывала конференции и продвигала инициативы по вовлечению женщин в разработку СПО. Дебора также является одним из трёх первых разработчиков проекта GNU social (StatusNet) и позднее также принимала участие в разработке платформ GNU MediaGoblin и OpenHatch.

В номинации, вручаемой проектам, принесшим значительную пользу обществу и способствовавшим решению важных социальных задач, награда присуждена свободному проекту OpenStreetMap, нацеленному на создание общедоступной совместно редактируемой карты мира. От имени OpenStreetMap премию получила Кейт Чапман (Kate Chapman), занимающая пост председателя в организации OpenStreetMap Foundation и являющаяся сооснователем проекта HOT (Humanitarian OpenStreetMap Team).

Список прошлых победителей:

  • 2017 Карен Сэндлер (Karen Sandler), директор правозащитной организации Software Freedom Conservancy;
  • 2016 Александре Олива (Alexandre Oliva), бразильский популяризатор и разработчик свободного ПО, основатель Латиноамериканского Фонда СПО, автор проекта Linux-Libre (полностью свободный вариант ядра Linux);
  • 2015 Вернер Кох (Werner Koch), создатель и основной разработчик инструментария GnuPG (GNU Privacy Guard);
  • 2014 Себастьян Жодонь (Sébastien Jodogne), автор Orthanc, свободного DICOM-сервера для обеспечения доступа к данным компьютерной томографии;
  • 2013 Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, входящий в технический совет организации Linux Foundation, внёсший значительный вклад в обеспечение загрузки Linux на системах с UEFI Secure Boot;
  • 2012 Фернандо Переc (Fernando Perez), автор IPython, интерактивной оболочки для языка Python;
  • 2011 Юкихиро Мацумото (Yukihiro Matsumoto), автору языка программирования Ruby. Юкихиро уже на протяжении 20 лет участвует в развитии проектов GNU, Ruby и других открытых проектов;
  • 2010 Роб Савуа (Rob Savoye), лидер проекта по созданию свободного Flash-плеера Gnash, участник разработки GCC, GDB, DejaGnu, Newlib, Libgloss, Cygwin, eCos, Expect, основатель компании Open Media Now;
  • 2009 Джон Гилмор (John Gilmore), один из основателей правозащитной организации Electronic Frontier Foundation, создатель легендарного списка рассылки Cypherpunks и иерархии Usenet-конференций alt.*. Учредитель компании Cygnus Solutions, первой начавшей оказывать коммерческую поддержку для решений на базе свободного ПО. Основатель свободных проектов Cygwin, GNU Radio, Gnash, GNU tar, GNU UUCP и FreeS/WAN;
  • 2008 Wietse Venema (известный эксперт в области компьютерной безопасности, создатель таких популярных проектов, как Postfix, TCP Wrapper, SATAN и The Coroner's Toolkit);
  • 2007 Harald Welte (архитектор мобильной платформы OpenMoko, один из 5 основных разработчиков netfilter/iptables, мантейнер подсистемы пакетной фильтрации Linux ядра, активист движения свободного программного обеспечения, создатель сайта gpl-violations.org);
  • 2006 Theodore T'so (разработчик Kerberos v5, файловых систем ext2/ext3, известный хакер Linux ядра и участник группы, разработавшей спецификацию IPSEC);
  • 2005 Andrew Tridgell (создатель проектов samba и rsync);
  • 2004 Theo de Raadt (руководитель проекта OpenBSD);
  • 2003 Alan Cox (вклад в разработку Linux ядра);
  • 2002 Lawrence Lessig (популяризатор открытого ПО);
  • 2001 Guido van Rossum (автор языка Python);
  • 2000 Brian Paul (разработчик библиотеки Mesa 3D);
  • 1999 Miguel de Icaza (лидер проекта GNOME);
  • 1998 Larry Wall (создатель языка Perl).

Премию за развитие социально значимых свободных проектов получили организации и сообщества: Public Lab (2017), SecureDrop (2016), Library Freedom Project (2015), Reglue (2014), GNOME Outreach Program for Women (2013), OpenMRS (2012), GNU Health (2011), Tor Project (2010), Internet Archive (2009), Creative Commons (2008), Groklaw (2007), Sahana (2006) и Wikipedia (2005).

  1. Главная ссылка к новости
  2. OpenNews: Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО (2018)
  3. OpenNews: Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО (2017)
  4. OpenNews: Фонд СПО назвал обладателей ежегодной премии за вклад в развитие свободного ПО (2016)
  5. OpenNews: Фонд СПО объявил лауреатов ежегодной премии за вклад в развитие свободного ПО (2015)
  6. OpenNews: Фонд СПО объявил лауреатов ежегодной премии за вклад в развитие свободного ПО (2014)
Обсуждение (135 +7) | Тип: К сведению |


23.03 Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook (29 +11)
  В Fizz, развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения.

Воспользовавшись уязвимостью атакующий может исчерпать доступные ресурсы, что приведёт к недоступности сервера для пользователей. Так как Fizz активно применяется во внутренней и внешней инфраструктуре Facebook, указанная уязвимость могла привести к блокированию работы сервисов Facebook. Facebook был уведомлен о проблеме 20 февраля и устранил уязвимость до раскрытия сведений о её наличии.

  1. Главная ссылка к новости
  2. OpenNews: Опубликован RFC для TLS 1.3
  3. OpenNews: Раскрыты детали новой атаки на различные реализации TLS
  4. OpenNews: Обновление OpenSSL с устранением уязвимости в реализации TLS
  5. OpenNews: Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией
  6. OpenNews: Facebook открыл код C++ библиотеки Folly
Обсуждение (29 +11) | Тип: Проблемы безопасности |


23.03 Endlessh - фиктивный SSH-сервер для борьбы с перебором паролей (95 +30)
  Представлен проект Endlessh, в рамках которого подготовлен простой фиктивный SSH-сервер, который пытается максимально долго удерживать установленные соединения открытыми на начальной стадии подключения к SSH-серверу. Endlessh может использоваться для затруднения работы различных вредоносных систем, постоянно перебирающих пароли и сканирующих хосты на наличие определённых сетевых сервисов.

Суть борьбы с данными системами в удержании одного соединения, не позволяя ему завершиться по таймайту, и, соответственно, временно блокируя проведения перебора для текущего хоста. Приложение обрабатывает лишь начальную стадию обмена данными, на этапе до аутентификации, поэтому очень просто в реализации и потребляет минимальные ресурсы в процессе работы. Endlessh можно запустить на 22 сетевом порту, а реальный SSH-сервер переместить на другой сетевой порт.

Для предотвращения обрыва соединения по таймауту используется особенность протокола SSH, который допускает отправку сервером произвольного числа строк с информацией о сервере до вывода строки "SSH-", сигнализирующей о начале обмена данными для аутентификации. После подключения клиента, Endlessh периодически отправляет клиенту случайные строки без вывода приглашения "SSH-", что мешает удалённой стороне завершить соединение по таймауту. Таким образом соединение может оставаться открытым длительное время (несколько дней) и сеанс SSH-клиента оказывается заблокированным.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимость в OpenSSH, позволяющая определить наличие пользователей
  3. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.70
  4. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
  5. OpenNews: Уязвимость, позволяющая обойти защиту от BruteForce-атак в OpenSSH
  6. OpenNews: Зафиксирована новая ботнет-сеть, распространяющаяся через подбор паролей по SSH
Обсуждение (95 +30) | Тип: Программы |


23.03 Обновление Firefox 66.0.1 и Tor Browser 8.0.8 с устранением уязвимостей (43 +20)
  Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8, в которых устранены две критические уязвимости, позволяющие выполнить код при обработке специально оформленных web-страниц. Рабочие эксплоиты для данных уязвимостей были продемонстрированы вчера на соревновании Pwn2Own 2019 командой Fluoroacetate и исследователем Niklas Baumstark. За демонстрацию эксплоитов было выплачено 90 тысяч долларов.

Обе уязвимости выявлены в коде JIT-компилятора. Первая проблема (CVE-2019-9810) вызвана некорректной проверкой границ из-за передачи в JIT неверной информации об алиасах при выполнении метода Array.prototype.slice, что можно использовать для инициирования переполнения буфера. Вторая уязвимость (CVE-2019-9813) связана с неверным выводом типов при обработке изменения объектов при помощи конструкции "__proto__", что позволяет прочитать и записать данные в произвольные области памяти.

  1. Главная ссылка к новости
  2. OpenNews: На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox
  3. OpenNews: В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации
  4. OpenNews: Для Firefox развивается режим строгой изоляции страниц
  5. OpenNews: Компания Mozilla ввела в строй сервис обмена файлами Firefox Send
  6. OpenNews: Релиз Firefox 66
Обсуждение (43 +20) | Тип: Проблемы безопасности |


22.03 Выпуск свободного видеоредактора OpenShot 2.4.4 (54 +20)
  Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.4. Код проекта поставляется под лицензией GPLv3. Интерфейс написан на Python и PyQt5. Ядро обработки видео (libopenshot) реализовано на C++ и использует возможности пакета FFmpeg. Интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS.

Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, даёт возможность работы с многотрековыми монтажными шкалами с возможностью перемещения мышью элементов между ними, позволяет масштабировать, кадрировать, осуществлять слияние блоков видео, обеспечивать плавное перетекание из одного ролика в другой, производить наложение полупрозрачных областей и т.п. Имеется возможность перекодирования видео с предварительным просмотром изменений на лету. Благодаря задействованию библиотек проекта FFmpeg OpenShot поддерживает огромное количество форматов видео, звука и изображений (включая полную поддержку SVG).

Основные новшества:

  • Представлен новый полноразмерный виджет для изменения свойств, отображаемый в левой или правой панели интерфейса. Новый виджет позволяет отобразить больше информации без необходимости прокрутки, что особенно полезно при редактировании видео или создании анимации;
  • Модернизирован процесс вставки нового трека, который стал значительно быстрее и проще, включая возможность отката изменения при необходимости. Во всех диалогах добавлена возможность произвольного наименования треков;
  • Обеспечена адаптация параметров ключевых кадров к изменению частоты кадров. Изменение позволяет решить проблемы, возникающие при переключении на другую частоту кадров, такие как запаздывание или слишком ранее применение ключевых кадров;
  • Внесены улучшения в реализацию шкалы времени, включая специальную обработку некоторых видов звуковых файлов для однокадровых видео, обновление фреймворка Angular, оптимизация производительности, улучшение кэширования изображений и устранение подвисаний при потере кадров;
  • Улучшена отрисовка изображений в формате SVG благодаря задействованию для отрисовки библиотеки resvg;
  • Улучшен установщик для Windows, в котором решены проблемы, связанные с конфликтующими DLL;
  • В файлах проектов (*.osp) теперь используются только относительные пути, что позволяет произвольно перемещать каталог с проектом на другие системы. При сохранении проектов текущие пути автоматически конвертируются в относительные, в том числе для записей в истории изменений;
  • Появилась возможность подключения созданных пользователем преднастроек экспорта. Файлы с преднастройками могут помещаться в каталог .openshot_qt/presets, после чего становятся доступными для применения через диалог Export;
  • Добавлена поддержка однопроходного сжатия видео в режиме CRF (Constant Rate Factor), который может использоваться в любых преднастройках экспорта и по умолчанию используется в преднастройках для фортмата VP9;
  • Добавлено меню Help->About OpenShot->Changelog со списком изменений.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск свободных видеоредакторов OpenShot 2.4.3 и Shotcut 18.09
  3. OpenNews: Релиз профессионального видеоредактора DaVinci Resolve 15
  4. OpenNews: Релиз видеоредактора Kdenlive 18.12
  5. OpenNews: В рамках проекта Olive развивается новый открытый редактор видео
  6. OpenNews: Выпуск видеоредактора Flowblade 2.0
Обсуждение (54 +20) | Тип: Программы |


22.03 На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox (59 +20)
  Подведены итоги второго дня соревнования Pwn2Own 2019, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge, Safari, VMware Workstation и VirtualBox. Суммарный размер выплат составил 510 тысяч долларов (общий призовой фонд составлял более 2 млн долларов).

Успешно продемонстрированные следующие взломы:

  • $35 тысяч - взлом VirtualBox: целочисленное переполнение + race condition, позволившие из окружения гостевой системы выполнить код на стороне хост-системы;
  • $35 тысяч - взлом VirtualBox: целочисленное переполнение, позволившее получить доступ к базовому системному окружению из гостевой системы;
  • $40 тысяч - взлом Firefox: ошибка в JIT + использование логической ошибки для выхода из sandbox-изоляции;
  • $50 тысяч - взлом Firefox: ошибка в JIT + запись за пределы буфера в ядре Windows для выполнения кода с правами ядра;
  • $45 тысяч - частичный взлом Safari, ошибка в JIT + чтение из области вне буфера с дальнейшей попыткой получения прав root через уязвимость в ядре.
  • $50 тысяч - взлом Microsoft Edge: двойное освобождение блока памяти в процессе отрисовки + выход из sandbox;
  • $55 тысяч - взлом Safari с обходом sandbox-изоляции;
  • $70 тысяч - взлом VMware Workstation: race condition + переполнение буфера в VMware client, позволившие выполнить код на стороне хост-системы;
  • $130 тысяч - взлом Microsoft Edge с последующим выходом из гостевого окружения VMware с выполнением кода на уровне хост-системы.

Взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd) в этом году исключены из призовых номинаций, а дистрибутив Ubuntu убран из числа окружений для взлома (попытки взломов в данной категории ограничились только демонстрацией в 2017 году 0-day уязвимости в ядре Linux).

На завтра запланированы демонстрации взломов информационных систем автомобиля Tesla Model 3 (взлом компонента VCSEC и встроенного браузера на основе Chromium). Общий размер призового фонда на взломы Tesla составляет более 900 тысяч долларов.

Дополнение: Продемонстрирован взлом информационно-развлекательной системы Tesla Model 3 через уязвимость в JIT-компиляторе системы отрисовки, использующей движок Chromium. Авторы атаки получили $35000. Заявка на взлом компонента VCSEC в Tesla Model 3 была отозвана.

  1. Главная ссылка к новости
  2. OpenNews: В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla
  3. OpenNews: На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
  4. OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
  5. OpenNews: На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox
  6. OpenNews: На соревновании Pwn2Own 2015 продемонстрированы взломы Firefox, Chrome, Safari и IE
Обсуждение (59 +20) | Тип: Проблемы безопасности |


22.03 Анализ утечек конфиденциальных данных через репозитории на GitHub (36 +18)
  Группа исследователей из Университета штата Северная Каролина опубликовала результаты (PDF) анализа случайного попадания конфиденциальных данных в публично доступные репозитории на GitHub. Например, из-за недосмотра в репозитории временами попадают оставленные в рабочем каталоге или вшитые в код ключи доступа к облачным сервисам, пароли к СУБД, ключи к VPN и сертификаты для цифровых подписей.

В ходе проделанной работы был исследован как статических срез, включающий 13% репозиториев на GitHub (около 4 млн репозиториев), так и проанализирована динамика появления новых утечек, для чего на протяжении 6 месяцев отслеживались все новые коммиты на GitHub. Для анализа использовались срезы содержимого GitHub, предоставляемые через хранилище BigQuery, а также запросы через Google Search API. Проверка охватывала только типовые форматы закрытых ключей и токены доступа к наиболее популярным платформам, таким как Amazon Web Services (AWS), Azure, Twitter, Google Cloud, Slack, Stripe, Facebook, Mailchimp, MailGun, Twilio, Square, Braintree и Picatic.

В результате было выявлено более 100 тысяч репозиториев, содержащих токены доступа к API или криптографические ключи. Всего было получено 575456 ключей и токенов, из которых 201642 уникальны. Большая часть утечек связана с размещением токенов доступа к Google API и AWS, а также случайно попавшими в репозиторий закрытыми ключами. 93.58% всех утечек выявлены в репозиториях, принадлежащих одному разработчику, а не совместным проектам.

Непрерывный мониторинг показал, что ежедневно на GitHub попадает несколько тысяч новых утечек конфиденциальных данных. 6% из выявленных в ходе динамического мониторинга утечек были сразу замечены разработчиками и удалены в течение часа. 12% забытых ключей оставались в открытом доступе не больше 24 часов, а 19% до 16 дней. 81% всех утечек остались незамеченными и продолжали оставаться в репозиториях спустя 16 дней.

Из наиболее заметных утечек отмечается попадание в репозиторий учётных данных к окружениям AWS, используемым одним из крупных сайтов, которым пользуются миллионы учащихся колледжей в США, а также к AWS-окружению сайта государственного учреждения одной из стран Восточной Европы. Кроме того, выявлено 564 ключа к Google API, которые использовались для копирования роликов YouTube на один из сайтов обмена видео в обход ограничений YouTube. В размещённых в репозиториях файлах конфигурации OpenVPN было выявлено 7280 оставленных RSA-ключей, позволяющих получить доступ к тысячам различных приватных сетей.

После передачи информации о выявленных утечках в GitHub, разработчики данного сервиса запустили в тестовом режиме систему автоматизированного сканирования в репозиториях типовых параметров подключения к внешним API. При выявлении утечек сервис-провайдерам направляются уведомления для отзыва скомпрометированных токенов.

  1. Главная ссылка к новости
  2. OpenNews: Представлен Gitleaks 1.0, инструмент для аудита git-репозиториев
  3. OpenNews: Невозможность удаления данных, по ошибке опубликованных на GitHub
  4. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
  5. OpenNews: GitHub и Twitter по ошибке сохраняли открытые пароли в логе
  6. OpenNews: Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли
Обсуждение (36 +18) | Тип: Проблемы безопасности |


22.03 Выпуск BIND 9.14.0, разрывающий совместимость с серверами, не отвечающими на запросы с EDNS (24 +11)
  После более года разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.14. Поддержка ветки 9.14 будет осуществляться до 2 квартала 2020 года в рамках штатного цикла сопровождения. В следующем году будет сформирован LTS релиз 9.16, который будет поддерживаться три года. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.12 прекратиться в июне.

BIND 9.14.0 стал первым стабильный выпуском, сформированным в рамках новой схемы нумерации версий. Нечётные номера релизов теперь присваиваются экспериментальным веткам, в которых развивается функциональность для будущих стабильных веток, имеющих чётный номер выпуска. Формирование отдельных альфа- и бета-веток прекращено. Таким образом, ветка BIND 9.13 была экспериментальной и на её базе сформирован стабильный релиз BIND 9.14.

Ключевым изменением в BIND 9.14.0 стало отключение кода, позволявшего взаимодействовать с DNS-серверами, на которых используется старое ПО с некорректно реализованной обработкой запросов EDNS (расширенные флаги, которые кодируются в специальных RR-записях без нарушения обратной совместимости со старым протоколом). Изменение не повлияет работу серверов, не поддерживающих EDNS, но корректно обрабатывающих запросы с флагами EDNS.

Проблемы могут возникнуть только с серверами, которые вопреки стандарту не отправляют DNS-ответ в старом формате, отбрасывая флаги EDNS, а молча игнорируют подобные запросы, никак не реагируя на них и не отправляя ответный пакет. При этом авторитативные DNS-серверы могут, как и раньше, не поддерживать EDNS и ограничиваться старым классическим протоколом, но теперь они обязаны корректно реагировать на подобные запросы. В настоящее время все актуальные DNS-серверы корректно отвечают на запросы с EDNS, а проблемные системы, как правило на основе старых выпусков PowerDNS, и блокирующие EDNS межсетевые экраны были уведомлены в рамках проведённой в феврале инициативы DNS flag day.

Ранее для обеспечения взаимодействия с серверами, не отвечавшими на запросы с флагами EDNS, в BIND применялся "грязный хак" - если после отправки запроса с флагами EDNS через определённый промежуток времени не поступал ответ, DNS-сервер считал, что расширенные флаги не поддерживаются и отправлял повторный запрос без флагов EDNS. Наличие подобного кода приводило к увеличению задержек из-за повторной отправки пакетов, повышению нагрузки на сеть и неоднозначности при отсутствии ответа из-за сетевых сбоев, а также мешало внедрению основанных на EDNS возможностей, таких как применение DNS Cookies для защиты от DDoS-атак.

Другие изменения в BIND 9.14.0:

  • Прекращена возможность сборки без OpenSSL и сборки без поддержки DNSSEC. Задействован предоставляемый библиотекой OpenSSL генератор псевдослучайных чисел (CSPRNG), работающий в неблокирующем режиме;
  • Для работы в UNIX-подобных ОС теперь требуется поддержка многопоточности (POSIX threads), расширенных параметров сокетов для IPv6 (RFC 3542) и Си-компилятора с поддержкой атомарных операций. При сборке в Linux для настройки привилегий процесса теперь требуется библиотека libcap;
  • Прекращено тестирование работы на устаревших ОС, включая старые версии UnixWare, BSD/OS, AIX, Tru64, SunOS, TruCluster и IRIX. Также удалена поддержка некоторых устаревших систем;
  • Существенно изменён код для управления задачами и работой с сокетами - задачи теперь распределяются с использованием очередей, закреплённых за ядрами CPU, а в сетевом стеке реализовано несколько циклов обработки событий, запускаемых в привязанных к CPU разных потоках. Указанные изменения позволили существенно повысить производительность на крупных многоядерных системах, особенно при использовании сетевых карт с поддержкой нескольких очередей обработки пакетов;
  • Добавлен новый механизм подключения плагинов, позволяющий подключать дополнительные обработчики запросов, реализованные в форме внешних библиотек. Со временем, планируется выделить в плагины код для обработки необязательных расширений, таких как средства противостояния DDoS-атакам. Например, в плагин filter-aaaa.so заменил собой встроенную реализацию filter-aaaa;
  • В named.conf помимо неполиткорректных названий "master" и "slave" теперь в качестве типов зон можно указывать "primary" и "secondary";
  • Включены по умолчанию в режиме "relaxed" наработки проекта QNAME Minimization (RFC-7816), нацеленные на сокращение передачи дополнительной информации в запросах с целью предотвращения утечек сведений о запрошенном домене и повышения приватности. В будущих выпусках планируется применить режим "strict". В указанном режиме резолвер не упоминает полное имя искомого хоста в своих запросах к вышестоящему серверу имён. Например, при определении адреса для хоста foo.bar.baz.com резолвер отправит авторитетному для зоны ".com" серверу запрос "QTYPE=NS,QNAME=baz.com", не упоминая "foo.bar";
  • Добавлен режим зеркалирования зон, позволяющий named получать и работать с локальными копиями зон, но без функционирования в форме авторитетного сервера для данных зон. DNS-ответы для зеркалируемых зон не устанавливают бит AA ("authoritative answer"), но выставляют бит AD ("authenticated data"). Основным назначением указанной возможности является обработка локальных копий корневой зоны DNS;
  • Существенно повышена производительность работы с большим числом зон, обработки большого числа запросов и работы с корневой зоной. Расширено применение glue-cache, ускорена работа сетевых обработчиков за счёт исключения миграции между ядрами CPU. В проведённых тестах по сравнению с BIND 9.12 производительность обработки тысячи зон возросла на 20%, миллиона зон на 15%, выполнение миллиона операций делегирования на 10%, обработка миллиона RR-запросов на 12%, рекурсивная обработка запросов на 18% и обработка корневой зоны на 10%;
  • Добавлена настройка validate-except для определения списка доменов, для которых не нужно производить валидацию DNSSEC;
  • Добавлена опция "--enable-fips-mode" для включения FIPS-режима в OpenSSL;
  • Добавлены новые настройки min-cache-ttl и min-ncache-ttl для переопределения минимального TTL для полученных DNS записей (positive caching) и несуществующих записей (negative caching);
  • Добавлена поддержка сборки с библиотекой libidn2 для поддержки интернационализированных имён IDNA2008 (ранее поддерживалась только библиотека idnkit-1 и IDNA2003).

  1. Главная ссылка к новости
  2. OpenNews: Крупнейшие DNS-сервисы и серверы прекратят поддержку проблемных реализаций DNS
  3. OpenNews: ICANN призывает к повсеместному внедрению DNSSEC. Обновление BIND с устранением уязвимостей
  4. OpenNews: Анализ перехвата провайдерами транзитного DNS-трафика
  5. OpenNews: Рост атак, связанных с захватом контроля над DNS
  6. OpenNews: Релиз DNS-сервера BIND 9.12
Обсуждение (24 +11) | Тип: Программы |


Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor