The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

18.10.2017 Объявлено о готовности Fleet Commander, системы для централизованной настройки Linux-десктопов (21 +12)
  Разработчики GNOME объявили о готовности проекта Fleet Commander к широкому применению. Fleet Commander представляет собой набор компонентов для организации развёртывания и сопровождения настроек для большого числа рабочих станций на базе Linux и GNOME. Предоставляется единый централизованный интерфейс для управления настройками рабочего стола, прикладных программ и сетевых подключений. Проект можно рассматривать как аналог объектов групповых политик в Active Directory. Код Fleet Commander написан на языке Python и распространяется под лицензией LGPLv2.1. Готовые пакеты добавлены в штатный репозиторий Fedora 26 и готовятся для включения в репозиторий EPEL для CentOS/RHEL.

Fleet Commander включает в себя три базовых компонента:

  • Плагин к FreeIPA для хранения профилей в контроллере доменов;
  • Плагин к Cockpit с реализацией управляющего web-интерфейса;
  • Сервис, запускаемый на каждой клиентской системе.

Настройка клиентских систем производится через запуск виртуальных сеансов рабочего стола, работа которых обеспечивается при помощи libvirt и KVM. Виртуальные рабочие столы позволяют на лету редактировать конфигурацию приложений на основе имеющихся шаблонов. Доступ к используемому для настройки виртуальному рабочему столу обеспечивается через web-интерфейс при помощи JavaScript-клиента SPICE. На выбор предлагается несколько базовых шаблонов на основе CentOS, RHEL и Fedora.

Создание конфигурации сводится к запуску через административный web-интерфейс виртуальной машины с окружением на базе типового шаблона и корректировки окружения с использованием методов, которые применяются обычными пользователями. Все изменения настроек приложений в виртуальной машине записываются и после окончания сеанса предлагаются для рецензирования в виде списка внесённых изменений.

После одобрения изменения прикрепляются к профилю конкретного пользователя, хоста, группы пользователей или группы хостов. Профили хранятся в контроллере домена на базе FreeIPA. В настоящее время поддерживается обработка настроек на основе dconf (GSettings), GNOME Online Accounts, LibreOffice и NetworkManager (поддержка настроек браузеров ожидается в ближайшее время). Процесс изменения конфигурации полностью автоматизирован и не требует ручной правки файлов конфигурации или запуска скриптов.

  1. Главная ссылка к новости
  2. OpenNews: Релиз протокола для взаимодействия с удаленным рабочим столом SPICE 0.12.0
  3. OpenNews: Релиз платформы Ulteo Open Virtual Desktop 3.0
  4. OpenNews: Проект Fedora опубликовал первый выпуск модульного серверного дистрибутива Boltron
  5. OpenNews: Релиз Red Hat Enterprise Linux 7.4
  6. OpenNews: Вышел релиз FreeIPA 1.2.2, системы для идентификации пользователей
Обсуждение (21 +12) | Тип: Программы |
18.10.2017 Релиз системы виртуализации VirtualBox 5.2 (25 +12)
  После пятнадцати месяцев разработки компания Oracle опубликовала релиз системы виртуализации VirtualBox 5.2. Готовые установочные пакеты доступны для Linux (Ubuntu, Fedora, openSUSE, Debian, SLES, RHEL), Solaris, macOS и Windows.

Основные изменения:

  • Поддержка экспорта виртуальных машин в Oracle Cloud (OPC);
  • Режим автоматизированной установки гостевых систем, похожий на функцию "Easy Install" в VMware и позволяющий без лишних настроек запустить гостевую систему, лишь выбрав необходимый для запуска образ;
  • Новый графический интерфейс выбора виртуальных машин;
  • Улучшение средств для людей с ограниченными возможностями;
  • Поддержка определения звуковых устройств и автоматизированный выбор драйвера для звукового бэкенда. Возможность горячего подключения внешних звуковых карт;
  • Эмуляция звуковых устройств HDA переведена на обработку данных в асинхронном режиме с выполнением в отдельном потоке;
  • Улучшена обработка видеорежимов при использовании EFI.
  • В GUI добавлена возможность сохранения макета расположения инструментов;
  • Добавлена возможность включения или выключения ввода/вывода звука на лету;
  • Представлена экспериментальная поддержка звука при записи видео;
  • В GUI переработан интерфейс управления виртуальными носителями (Virtual Media Manager), в котором появились средства для управления такими атрибутами, как размер, местоположение, тип и описание;
  • В GUI добавлен Network Manager для упрощения управления сетями и их параметрами;
  • В GUI переработана панель работы со снапшотами, позволяющая управлять такими атрибутами, как имя и описание снапшота. Переработан блок с информацией о снапшоте, который теперь отражает отличия от текущего состояния виртуальной машины;
  • Добавлена возможность подключения образов CUE/BIN в качестве виртуальных CD/DVD-носителей, содержащих несколько треков;
  • В подсистеме хранения добавлена поддержка функциональности Controller Memory Buffers для устройств памяти NVMe;
  • В интерфейсе запрещена операция уменьшения размера носителя через меню "Virtual Media Manager » Properties » Attributes", так как такая функция не поддерживается;
  • Устранены искажения звука при использовании бэкенда PulseAudio;
  • Решены проблемы с записью звука при использовании бэкенда ALSA;
  • В дополнения для гостевых систем на базе Linux добавлена поддержка RHEL 7.4 и X-сервера 1.19;
  • Представлены результаты первого этапа переработки стека ввода/вывода;
  • Устранены крахи GUI на платформе macOS.

  1. Главная ссылка к новости
  2. OpenNews: Релиз системы виртуализации VirtualBox 5.1
  3. OpenNews: Релиз системы виртуализации VirtualBox 5.0
Обсуждение (25 +12) | Тип: Программы |
18.10.2017 Mozilla, Microsoft, Google, W3C и Samsung унифицируют документацию по Web-технологиям (32 +17)
  Компании Mozilla, Microsoft, Google и Samsung договорились объединить усилия в области подготовки единой унифицированной документации для web-разработчиков, охватывающей поддерживаемые в современных браузерах технологии, включая JavaScript, CSS, HTML и различные Web API. Работа будет организована на площадке Mozilla Developer Network и курироваться комитетом, в который войдут представители вышеотмеченных компаний и консорциума W3C. В итоге, планируется сформировать качественную кроссбраузерную документацию, которая не будет привязана к конкретным продуктам.

  1. Главная ссылка к новости
  2. OpenNews: Консорциум W3C опубликовал вторую редакцию стандарта HTML 5.1
  3. OpenNews: W3C рассматривает вопрос перевода предыдущих спецификаций HTML в разряд устаревших
  4. OpenNews: Консорциум W3C утвердил стандарт HTML5
  5. OpenNews: Консорциум W3C опубликовал обзор развития web-стандартов для мобильных систем
  6. OpenNews: Консорциум W3C опубликовал второй черновой вариант спецификации HTML 5.1
Обсуждение (32 +17) | Тип: К сведению |
18.10.2017 Оформление LibreOffice будет оптимизировано для KDE Plasma 5 (87 +47)
  На завершившейся несколько дней назад конференции LibreOffice Conference 2017 был представлен отчёт о создании VCL-плагина на базе Qt 5 и KDE Frameworks 5, который позволит привести интерфейс LibreOffice к общему стилю рабочего стола KDE Plasma. Применяемый ныне плагин для KDE основан на Qt4 и kdelibs4, и плохо сочетается с KDE 5. Новый плагин даст возможность не только задействовать штатный диалог выбора файлов из Plasma 5 и обеспечит более плотную интеграцию с рабочим столом, но и предоставит корректную поддержку Wayland и Hi-DPI.

Подcистема VCL (Visual Components Library) позволяет абстрагировать оформление LibreOffice от различных тулкитов, предоставляя возможность использования родных для каждого графического окружения диалогов, кнопок, обрамлений окна и виджетов. Новая VCL-прослойка для KDE Plasma 5 развивается при поддержке проекта LiMux, занимающегося внедрением Linux в госучреждениях Мюнхена.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск офисного пакета LibreOffice 5.4
  3. OpenNews: Разработчики LibreOffice представили новую концепцию модульного интерфейса
  4. OpenNews: CODE 2.0 предоставил средства для совместной работы в LibreOffice Online
  5. OpenNews: Collabora и ownCloud представили CODE, дистрибутив для развёртывания LibreOffice Online
  6. OpenNews: В LibreOffice обеспечена поддержка Wayland
Обсуждение (87 +47) | Тип: К сведению |
18.10.2017 Пятая уязвимость в реализации сокетов AF_PACKET ядра Linux (127 +9)
  Продолжают всплывать уязвимости в обработчике RAW-сокетов AF_PACKET из состава ядра Linux. Проблема вызвана обращением к уже освобождённому блоку памяти и может привести к повышению привилегий в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Уязвимость устранена в обновлении ядра 4.14-rc2. Это пятая уязвимость в подсистеме AF_PACKET за последний год (1, 2, 3, 4).

Так как для обращения к AF_PACKET требуется наличие полномочий CAP_NET_RAW, атака имеет смысл только из изолированных контейнеров с пользователем root, запущенных с применением пространств имён идентификаторов пользователей (user namespaces) и изолированного сетевого стека (net namespaces). В Debian и Red Hat Enterprise Linux поддержка user namespaces по умолчанию не активирована, но она включена в Ubuntu и Fedora.

  1. Главная ссылка к новости
  2. OpenNews: Четвёртая уязвимость в реализации сокетов AF_PACKET ядра Linux
  3. OpenNews: Уязвимости в реализации сокетов AF_PACKET и UDP-стеке ядра Linux
  4. OpenNews: Локальная root-уязвимость в реализации сокетов AF_PACKET в ядре Linux
  5. OpenNews: Локальная root-уязвимость в ядре Linux
Обсуждение (127 +9) | Тип: Проблемы безопасности |
18.10.2017 Выпуск web-браузера Chrome 62 (47 +6)
  Компания Google представила релиз web-браузера Chrome 62. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.

Основные изменения в Chrome 62:

  • Расширен спектр ситуаций при которых выводится сообщение о небезопасном соединении при обращении к сайтам по HTTP. Помимо уже выставляемой метки небезопасного соединения при заполнении форм ввода пароля и номеров кредитных карт, аналогичное предупреждение теперь будет выводиться при заполнении любых форм данных на страницах открытых по HTTP, а также при открытии сайтов по HTTP в режиме инкогнито;
  • Возможность отключить звук для отдельных сайтов. Пользователь может на постоянной основе заблокировать вывод звука для конкретных сайтов, которые злоупотребляют автоматическим воспроизведением видео или раздражающими звуковыми эффектами;

  • Обрамление окна и кнопки закрытия, сворачивания и раскрытия на весь экран в Linux теперь отображаются с использованием стиля из штатной темы оформления GTK3+;

  • В настройки добавлена опция для включения режима инвертирования прокрутки, меняющего направление сдвига содержимого при прокрутке вращением колеса мыши;
  • В API Network Infomation добавлены метрики качества сетевого соединения, позволяющие оценить реальную пропускную способность текущего подключения и задержки в доставке пакетов, помимо ранее предоставляемых сведений о теоретической скорости сетевого интерфейса. Кроме того, предоставлены средства для постоянного отслеживания сетевой производительности и генерации уведомлений об изменении качества канала связи. Информация о скорости привязана к классам сетевого подключения, таким как 2G, 4G, WiFi и Ethernet (например, будет выставлен класс 2G, даже если фактическое соединение Ethernet, но наблюдаются большие задержки). С практической стороны, разработчики могут воспользоваться новым API для загрузки упрощённой версии сайта или отключения сервисов, требующих интенсивной передачи данных, в условиях медленного сетевого соединения;
  • Добавлена поддержка изменчивых шрифтов OpenType (variable fonts), в которых толщина, ширина и другие стилистические характеристики глифа могут произвольно меняться. Вместо отдельного описания каждого представления, комбинации возможных вариантов определяются в одном шрифтовом ресурсе через определения возможных delta-отклонений от базового глифа с получением результата через применение интерполяции. Таким образом, вместо использования для каждого стиля своего файла со шрифтом, можно обойтись одним шрифтовым файлом, что значительно сокращает размер данных, необходимых для получения заданного результата. Управление параметрами отрисовки изменчивых шрифтов осуществляется при помощи CSS-свойств font-weight (теперь можно указывать не только класс, но и цифровые значения для толщины и стиля) и font-variation-settings (более тонкая настройка глифов);
  • В API DOM Elements добавлено расширение Media Capture, позволяющее захватывать содержимое, отрисовываемое при помощи HTMLMediaElements (например, контент, выводимый через теги video и audio). Захват инициируется методом captureStream(), после чего мультимедийные данные передаются в форме MediaStream напрямую из HTMLMediaElements. В том числе возможна запись и отправка захваченного потока через WebRTC и обработка при помощи API WebAudio;
  • Внесены новые оптимизации производительности в JavaScript-движок V8. До 6.5 раз увеличена скорость работы метода Object#toString(), что положительно сказалась на работе фреймворков, использующих Object#toString(), например, производительность AngularJS возросла примерно на 3% (по тесту Speedometer). Также до 3 3 раз ускорена работа метода String#includes(), до 5 раз someProxy(params) и SomeOtherProxy(params) и до 6.5 раз someProxy.property. Внесены оптимизации в работу Map, Set, WeakMap и WeakSet, позволившие ускорить работу с хэшами при использовании библиотеки Hashcode;
  • Улучшена работа движка V8 на устройствах с небольшим объёмом ОЗУ, для которых начальный размер буфера для объектов с коротким жизненным циклом уменьшен до 512K;
  • Максимальный размер строк на 64-разрядных системах увеличен с 2^28 (256 Мб) до 2^30 символов (1 Гб);
  • В движке разбора регулярных выражений по умолчанию включен режим dotAll при указании флага "s", при котором под маску "." подпадает в том числе символ перевода строки (/foo.bar/su.test('foo\nbar'); // true). Добавлен механизм оценки Lookbehind, позволяющий определить в регулярном выражении, что один шаблон предшествует другому (например, сопоставить сумму в долларах без захвата знака доллара);
  • В API PaymentRequest для каждого метода платежей обеспечена возможность указания перечня цен и элементов при помощи модификатора PaymentDetailsModifier.data;
  • Добавлена поддержка html-элементов ‹data› и ‹time› для опредления значений для автоматического разбора, например, "‹data value="8"›Восемь ‹/data›" или " ‹time›2017-10-18 13:04‹/time›";
  • В парсер значений цветов в CSS добавлена поддержка 8- и 4-значных шестнадцатеричных форматов значений цвета (#RRGGBBAA и #RGBA);
  • Добавлен "Origin Trial" для WebVR, что позволяет начать эксперименты с web-приложениями для виртуальной реальности;
  • Расширен интерфейс загрузки файлов в Chrome для Android через формы ‹input type="file"›. Обеспечена возможность выбора для загрузки сразу нескольких файлов, если через атрибут accept разрешена только загрузка изображений;
  • В API MediaSource расширены средства перемещения по потоку при помощи метода HTMLMediaElement.seekable, благодаря новым API setLiveSeekableRange и clearLiveSeekableRange.
  • В API Media Source Extensions (MSE) добавлена поддержка формата кодирования звука FLAC;
  • В Chrome для Android добавлена поддержка модуля декодирования контента (Content Decryption Module) Widevine L1 и реализована возможность воспроизведения защищённого контента в offline;
  • В шаблонах разрешено использование символов экранирования, что позволяет создавать шаблоны для конструкций LaTeX;
  • Запрос подтверждения полномочий на показ уведомлений теперь возможен только при открытии сайта по HTTPS.

Кроме нововведений и исправления ошибок в новой версии устранено 35 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity и LibFuzzer. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 20 премий на сумму более 40 тысяч долларов США (одна премия $7500, две премии $5000, пять премий $3000, одна премия $2000, три премии $1000, одна премия $1337 и три премии $500). Размер пяти вознаграждений пока не определён.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск операционной системы Chrome OS 61
  3. OpenNews: В Chrome будет принудительно включаться HTTPS для доменов .dev и .foo
  4. OpenNews: В Chrome 64 будет прекращено автоматическое воспроизведение видео со звуком
  5. OpenNews: Chrome будет помечать FTP как небезопасный протокол
  6. OpenNews: Выпуск web-браузера Chrome 61
Обсуждение (47 +6) | Тип: Программы |
17.10.2017 Фонд СПО добавил EPL 2.0 в список свободных лицензий, несовместимых с GPL (5 +9)
  Фонд свободного ПО добавил лицензию Eclipse Public License (EPL) 2.0 в список свободных лицензий, несовместимых с GPL. Несовместимость обусловлена тем, что EPL относится к категории слабого копилефта и включает пункт о выборе юрисдикции. При этом отмечается, что в отличие от EPL 1.0 в лицензии EPL 2.0 предоставлена возможность назначения GPLv2+ в качестве вторичной лицензии для кода. При подобном назначении обеспечивается явная совместимость с GPL, но без него EPL 2.0 остается несовместимой с GPL.

  1. Главная ссылка к новости
  2. OpenNews: Евросоюз утвердил открытую лицензию EUPL 1.2, совместимую с GPLv3
  3. OpenNews: OpenSSL переходит на новую лицензию, совместимую с GPL
  4. OpenNews: Проект LLVM планирует сменить лицензию
  5. OpenNews: Один из авторов GPLv3 представил лицензию GPL.next
Обсуждение (5 +9) | Тип: К сведению |
17.10.2017 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (10 +5)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 252 уязвимости.

В выпуске Java SE 8u151 и 9.0.1 устранено 22 проблемы с безопасностью, 20 из которых могут быть эксплуатированы удалённо без проведения аутентификации. 2 уязвимостям присвоен критический уровень опасности (CVSS Score 9 и выше). 12 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  1. Главная ссылка к новости
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Обсуждение (10 +5) | Тип: Проблемы безопасности |
17.10.2017 Проект Let's Encrypt представил модуль для http-сервера Apache (70 +18)
  Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, представил выпуск mod_md 1.0, модуля к http-серверу Apache для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment).

При помощи mod_md можно упростить процесс сопровождения сертификатов на серверах с большим числом сайтов или в системах массового хостинга. При наличии mod_md пользователям не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в сервисе Let’s Encrypt при первом запуске, организует их загрузку в mod_ssl (указание директив SSLCertificate* не требуется) и периодически будет обновлять сертификаты при приближении к истечению срока действия.

Модуль mod_md уже принят в экспериментальную ветку Apache httpd и запланирован к бэкпортированию в стабильную ветку 2.4.x. Из нововведений экспериментальной ветки httpd также отмечается новая директива SSLPolicy, упрощающая корректную настройку параметров TLS, благодаря выбору готовых типовых настроек вместо перечисления списка допустимых шифров. Предложено три базовых режима: modern - включение только самых передовых шифров, поддерживаемых в современных браузерах; intermediate - возможность отката на не самые современные, но не устаревшие шифры для старых клиентов; old - возможность использования устаревших шифров для таких систем, как Windows XP/Internet Explorer 6.

  1. Главная ссылка к новости
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Let's Encrypt обеспечит поддержку масок в сертификатах
  4. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt начал выдачу сертификатов всем желающим
  5. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  6. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
Обсуждение (70 +18) | Тип: Программы |
17.10.2017 Обновление nginx 1.12.2 ( +11)
  Представлен второй выпуск основной стабильной ветки nginx 1.12.2, в рамках которой вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей (в параллельно поддерживаемой основной ветке 1.13 продолжается развитие новых возможностей).

Основные изменения:

  • Исправлена ошибка при которой клиентские SSL-соединения сразу закрывались при использовании отложенного accept и параметра proxy_protocol в директиве listen;
  • Решена проблема с обрывом соединений при выполнении операции тестирования корректности конфигурации на платформе Linux, в случае использовании опции "reuseport" в директиве "listen";
  • Устранена проблема, приводившая к возвращению некорректной длины ответа на 32-разрядных системах при запросе более 4 Гб данных, разбитых несколько диапазонов (range);
  • В модуле stream исправлена ошибка, проявляющаяся при использовании директивы 'ssl_preread' (не работало переключение на следующий бэкенд);
  • Исправлена ошибка при использовании протокола HTTP/2, из-за которой могло быть повреждено тело запроса;
  • Внесены исправления в обработку адресов клиентов при использовании unix domain сокетов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск nginx 1.13.6
  3. OpenNews: Увеличение пропускной способности и минимизация задержек на серверах с nginx
  4. OpenNews: Выпуск nginx 1.13.5
  5. OpenNews: Выпуск nginx 1.13.4
  6. OpenNews: Выпуск http-серверов Apache 2.4.27, nginx 1.13.3 и 1.12.1
Обсуждение ( +11) | Автор: eRIC | Тип: Программы |
17.10.2017 Выпуск VirtualBox 5.1.30 (11 +12)
  В преддверии первого стабильного выпуска новой ветки 5.2 компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.1.30, в котором отмечено 5 исправлений. В новой версии:
  • Решены проблемы со сборкой в Linux-дистрибутивах на базе glibc 2.26;
  • Обновлены переводы элементов интерфейса;
  • На хостах с Solaris обеспечена возможность увеличения размера MTU до 9706 байт для поддержки jumbo-кадров;
  • Устранена проблема с дублированием курсора при запуске GUI в macOS;
  • В дополнениях для Windows устранён крах при использовании 3D.

Дополнение: Без упоминания в списке изменений в выпуске 5.1.30 устранено 5 уязвимостей (максимальная степень опасности 7.3).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск VirtualBox 5.1.28
  3. OpenNews: Второй бета-выпуск VirtualBox 5.2
  4. OpenNews: Бета-выпуск VirtualBox 5.2
  5. OpenNews: Выпуск VirtualBox 5.1.24
  6. OpenNews: Релиз системы виртуализации VirtualBox 5.1
Обсуждение (11 +12) | Тип: Программы |
17.10.2017 Релиз netutils-linux 2.5, утилит для мониторинга и тюнинга сетевого стека Linux (7 +16)
  Представлен выпуск проекта netutils-linux 2.5.0, в рамках которого развивается набор утилит для мониторинга и тюнинга производительности сетевого стека Linux. Исходные тексты проекта написаны на Python (поддерживаются python 2.6+ и 3.4+) и поставляются под лицензией MIT.

Цель проекта - упростить и унифицировать процесс настройки сетевого стека и сетевых карт, снизив необходимость разбираться в устройстве сетевого стека для рядовых системных администраторов (и снизить объём вычислений в уме: маски CPU, соответствие CPU и номеров IRQ и т.д.). В состав входят такие программы, как network-top, irqtop, softirq-top, softnet-stat-top, link-rate, snmptop, rss-ladder, autorps, maximize-cpu-freq, rx-buffers-increase и server-info. Например, утилиты могут оказаться полезными при проведении работы по минимизации задержек и потерь пакетов в конфигурации с Linux-сервером, подключенном по каналу в 200 Мбит/с и выше.

С момента прошлого (и первого) публичного релиза было исправлено несколько неприятных ошибок, связанных с совместимостью с архитектурами, дистрибутивами Linux, версиями Python и зависимостями проекта, приводившими к невозможности запуска некоторых утилит. Помимо исправлений ошибок улучшена кодовая база, удалось отказаться от устаревшего optparse в пользу argparse.

Другие нововведения:

  • Утилиты autorps и rss-ladder переписаны с Bash на Python с сохранением полной обратной совместимости. Также автоматизирована настройка оборудования в специфических ситуациях:
    • Добавлены предупреждения при использовании неоптимальных параметров таких как использование foreign NUMA-ноды и нескольких очередях одной сетевой карты, обрабатываемых одним и тем же ядром.
    • Autorps теперь по умолчанию использует только ядра локальной для сетевого устройства NUMA-ноды вместо того, чтобы падать с ошибкой в системе с несколькими процессорами.
    • Точное задание списка ядер, обрабатывающих пакеты;
    • Задание "сдвига" для RSS, что подходит в ситуации, когда один физический процессор с 8+ ядрами обрабатывает несколько сетевых карт;
  • Утилиты для мониторинга (в первую очередь network-top) подсвечивают метрики, значения которых указывают на повышенную нагрузку.
  • Добавлена утилита autoxps для настройки распределения отправки пакетов между ядрами процессора.
  • Добавлен прототип утилиты snmptop для визуализации файла /proc/net/snmp.

Долгосрочные планы проекта

  • Пополнение примеров применения.
  • Упаковка в стандартные для дистрибутивов Linux форматы пакетов.
  • Добавление пакета в стандартные репозитории дистрибутивов.
  • Интеграция с Tuned и (или) NetworkManager.
  • Теоретически - выработка алгоритма, позволяющего полностью автоматически настраивать все сетевые карты наиболее оптимальным образом в 90% случаев.

  1. Главная ссылка к новости
  2. OpenNews: Проект LibOS развивает вариант ядра Linux с сетевым стеком в форме библиотеки
  3. OpenNews: Оценка способности сетевого стека Linux обрабатывать миллион пакетов в секунду
  4. OpenNews: Intel развивает систему для использования кода ядра Linux в пользовательских приложениях
  5. OpenNews: Intel представил сокращённый вариант сетевого стека для Linux
  6. OpenNews: Fastsocket - новая высокомасштабируемая реализация сетевой подсистемы ядра Linux
Обсуждение (7 +16) | Автор: weirded | Тип: Программы |
17.10.2017 Для ядра Linux адаптированы правила GPLv3 в отношении отзыва лицензии (76 +15)
  Технический совет организации Linux Foundation опубликовал документ, поясняющий отношение сообщества разработчиков ядра Linux к вопросу принуждения к соблюдению условий лицензии GPLv2, компаниями использующими ядро в своих продуктах. Документ, который подписали 102 известных разработчика ядра и одобрили такие компании как Linaro, Red Hat, SUSE, VMware, Collabora, Oracle и Samsung, войдёт в состав документации к выпуску 4.14. Инициативу также поддержала правозащитная организация Software Freedom Conservancy, которой некоторые разработчики передали свои имущественные права на код в ядре для отстаивания соблюдения лицензии GPL.

Документ определяет добровольные обязательства, которые принимают одобрившие документ разработчики, в отношении расторжения лицензии GPLv2 и прекращении всех прав лицензиата, предоставленных ему данной лицензией. Кроме того, указывается, что юридический путь решения проблемы рассматривается как последний из способов урегулирования нарушения, которое вначале следует попытаться решить путём разъяснений и привлечения к совместной работе в сообществе.

В последнее время отдельными участниками разработки ядра предприняты агрессивные судебные разбирательства против нарушителей GPLv2, в которых преследуются личные цели и намерение получить персональную денежную компенсацию. Данные разбирательства больше походят на шантаж и дискредитируют сообщество в глазах компаний.

Например, в подобной деятельности уличён Патрик МакХарди (Patrick McHardy), бывший лидер проекта Netfilter, который за свои поступки уже исключён из основной команды разработчиков. МакХарди манипулировал двусмысленностью некоторых условий GPLv2 и запрашивал большие суммы за незначительные нарушения, которые могли быть легко устранены, доводя требования GPLv2 до абсурда. Например, он требовал у производителей смартфонов отправлять бумажные распечатки кода для автоматически доставляемых OTA-обновлений прошивок или трактовал выражение "эквивалентный доступ к коду" так, что серверы для кода должны обеспечивать скорость загрузки не ниже серверов для загрузки бинарных сборок.

Одним из рычагов давления в подобных разбирательствах служил предусмотренный GPLv2 незамедлительный отзыв лицензии у нарушителя, который позволял трактовать несоблюдение GPLv2 как нарушение договора, за которое у суда можно было добиться финансовых взысканий. В опубликованном документе разработчики ядра попытались смягчить данную особенность GPLv2 и по аналогии с изменениями в лицензии GPLv3 явно определили сроки и порядок устранения нарушений, предоставив возможность устранить выявленные проблемы с публикацией кода в течение 30 дней с момента получения уведомления.

В соответствии с представленными правилами, если нарушения были выявлены впервые и устранены за 30 дней после уведомления, права на лицензию восстанавливаются и лицензия полностью не отзывается (договор остаётся не нарушен). Также из GPLv3 перенесён пункт, сразу возвращающий права в случае устранения нарушений, если правообладатель не уведомил о нарушении в течение 60 дней. Иначе, вопрос восстановления прав должен обсуждаться отдельно с каждым правообладателем. Таким образом представленное пояснение позволяет парировать в суде попытки выбить финансовые компенсации сразу после выявления нарушения, давая 30 дней на устранение проблемы.

  1. Главная ссылка к новости
  2. OpenNews: Совместная инициатива Debian и Software Freedom Conservancy по защите соблюдения GPL
  3. OpenNews: Суд отклонил иск о нарушении компанией VMware лицензии GPL
  4. OpenNews: Линус Торвальдс отметил влияние GPL на успех ядра Linux
  5. OpenNews: Из Debian удалены сборки пакетов с драйверами NVIDIA из-за подозрений в несовместимости с GPL
  6. OpenNews: Grsecurity возможно нарушает лицензию GPL в своих попытках остановить перенос кода в ядро Linux
Обсуждение (76 +15) | Тип: К сведению |
16.10.2017 Локальная уязвимость в звуковой подсистеме ALSA, позволяющая выполнить код с правами ядра (53 +24)
  В работающем на уровне ядра Linux коде звуковой системы ALSA выявлена уязвимость (CVE-2017-15265), позволяющая непривилегированному пользователю выполнить код с правами ядра.

Уязвимость присутствует в модуле snd-seq.ko (/dev/snd/seq) и вызвана обращением к буферу после его освобождения (use-after-free) в функции snd_seq_create_port(). Проблема может быть эксплуатирована через ioctl при выполнении из разных нитей команд создания и удаления порта. Обновление уже выпущено для Fedora и Debian Unstable. Также подготовлен патч, который включён в состав ядра Linux 4.14-rc5.

  1. Главная ссылка к новости
  2. OpenNews: Локальная уязвимость в ядре Linux, позволяющая получить root-доступ
  3. OpenNews: Четвёртая уязвимость в реализации сокетов AF_PACKET ядра Linux
  4. OpenNews: Уязвимости в реализации сокетов AF_PACKET и UDP-стеке ядра Linux
  5. OpenNews: Локальная root-уязвимость в подсистеме inotify ядра Linux
  6. OpenNews: Локальная root-уязвимость в реализации сокетов AF_PACKET в ядре Linux
Обсуждение (53 +24) | Тип: Проблемы безопасности |
16.10.2017 Уязвимость в библиотеке Infineon, упрощающая факторизацию закрытого RSA-ключа (30 +16)
  В библиотеке Infineon, которой оснащаются смарткарты и TPM-модули на базе чипов компании Infineon Technologies AG, выявлена уязвимость, существенно снижающая стойкость к факторизации параметров генерации ключа по имеющемуся открытому ключу. Атака получила название "ROCA" и касается RSA-ключей, сгенерированных с использованием смарткарт и вшитых в некоторые материнские платы чипов-криптоакселераторов.

Уязвимость присутствует как минимум с 2012 года и затрагивает в том числе устройства, имеющие сертификаты безопасности NIST FIPS 140-2 и CC EAL 5+. Например, проблеме оказались подвержены 750 тысяч выпущенных в Эстонии идентификационных карт, снабжённых 2048-битными ключами RSA, а также ключи созданные с использованием TPM-модулей Infineon в устройствах Microsoft (BitLocker), Google (Chromebook), HP, Lenovo, Acer, ASUS, LG, Samsung, Toshiba и Fujitsu. Проблема также присутствует в брелоках YubiKey 4, выпущенных до 6 июня 2017 года. Практические методы атаки доступны для 512-, 1024- и 2048-разрядных ключей и позволяют воссоздать закрытый ключ только на основе данных открытого ключа (доступ к смарткарте или TPM-модулю не требуется).

Из-за некачественного формирования случайных простых чисел, лежащих в основе RSA-ключа, стойкость созданных при помощи библиотеки Infineon ключей кардинально снижается, например, для воссоздания 512-битного RSA-ключа по открытому ключу требуется всего 2 часа процессорного времени, 1024-битного - 97 дней работы CPU (стоимость подбора в Amazon AWS составляет $40-$80), 2048-битного - 140.8 лет CPU (стоимость подбора $20-40 тысяч). Ключи размером 3072 и 4096 бит требуют слишком много ресурсов и даже несмотря на существенное снижение стойкости остаются надёжными. Для проверки RSA-ключей введена в строй web-форма, которая позволяет определить наличие проблемы по открытому RSA-ключу. Детали атаки планируется раскрыть 2 ноября на конференции ACM CCS-2017.

  1. Главная ссылка к новости
  2. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  3. OpenNews: Доступен проект Phuctor, коллайдер RSA-ключей
  4. OpenNews: Метод определения RSA-ключей через анализ изменения разности потенциалов
  5. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
  6. OpenNews: Обновление GnuPG с устранением уязвимости, позволяющей восстановить закрытые RSA-ключи
Обсуждение (30 +16) | Тип: Проблемы безопасности |
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor