The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

16.02 Релиз композитного менеджера Compiz 0.9.14.0 (31 +6)
  После трёх лет разработки представлен выпуск композитного менеджера Compiz 0.9.14.0, использующего OpenGL для вывода графики (окна обрабатываются как текстуры при помощи GLX_EXT_texture_from_pixmap) и предоставляющего гибкую систему плагинов для реализации эффектов и расширения функциональности.

Основные изменения:

  • Разработка переведена с системы управления иходными текстами Bazaar на Git;
  • Конфигуратор CCSM (CompizConfig Settings Manage) портирован на GTK 3, PyGObject и Python 3;
  • Compizconfig-python (модуль для доступа к конфигурации Compiz из приложений на языке Python) переведён с использования языка Pyrex на применение компилятора Cython;
  • Возобновлена поддержка плагина Color Filter (заменяет цвета, например, отображает окно с более насыщенным синим цветом, в виде негатива или в оттенках серого), который портирован на новый API для разработки плагинов, появившийся в ветке 0.9;
  • Добавлена поддержка разнесения конфигурации по разным файлам;
  • Панель и заставки теперь появляются сфокусированными;
  • Налажена возможность сборки с использованием GCC 8;
  • Удалён код для поддержки KDE 4.x;
  • Повышены требования к версиям cmake (≥ 3.10.0) и pkg-config (≥ 0.29.1). Для gtk-window-decorator теперь требуется libmetacity как минимум версии 3.22.0.

  1. Главная ссылка к новости
  2. OpenNews: Релиз композитного менеджера Compiz 0.8.10, продолживший развитие ветки 0.8.x
  3. OpenNews: Релиз композитного менеджера Compiz 0.9.12.0
  4. OpenNews: Мэйнтейнер Compiz объявил о прекращении развития проекта в пользу Wayland/Weston
  5. OpenNews: В Compiz добавлена поддержка OpenGL ES 2.0
Обсуждение (31 +6) | Тип: Программы |


16.02 Выпуск Debian 9.8 (46 +2)
  Доступно восьмое корректирующее обновление дистрибутива Debian 9, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 90 обновлений с устранением проблем со стабильностью и 48 обновлений с устранением уязвимостей.

Из изменений в Debian 9.8 можно отметить удаление 23 пакетов, из которых большинство дополнения к Firefox и Thunderbird (в том числе adblock-plus, flashblock, mozilla-dom-inspector и mozilla-noscript), написанные с использованием технологии XUL и удалённые из-за несовместимости с ветками Firеfox 60 и Thunderbird 60, в которых возможна работа только дополнений на базе технологии WebExtension. Из удалённых пакетов также можно отметить corebird и flickrbackup, работоспособность которых нарушена из-за изменения API Twitter и Flickr. Обновлены до свежих стабильных версий пакеты postfix, postgresql-9.6 и samba, а также драйверы и модули для видеокарт NVIDIA.

Для загрузки и установки "с нуля" в ближайшие часы будут подготовлены установочные сборки, а также live iso-hybrid c Debian 9.8. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 9.8, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.

  1. Главная ссылка к новости
  2. OpenNews: Пятый альфа-выпуск инсталлятора Debian 10 "Buster"
  3. OpenNews: Внеплановый выпуск Debian 9.7
  4. OpenNews: Debian 10 "Buster" перешёл на первую стадию заморозки перед релизом
  5. OpenNews: Выпуск Debian 9.6
  6. OpenNews: Прецедент с удалением пакета из репозитория Debian из-за пошлого названия
Обсуждение (46 +2) | Тип: Программы |


16.02 В Chrome появится поддержка ссылок на отдельные слова и фразы в тексте (47 +7)
  В кодовую базу Chromium включена реализация режима Scroll-To-Text, который позволяет формировать ссылки на отдельные слова или фразы, без явного указания в документе меток при помощи тега "a name" или свойства "id". Реализация режима уже включена в состав экспериментальных сборок Chrome, на основе которых будет сформирован релиз 74 (доступна начиная со сборки 74.0.3706.0). Для включения в настройках следует активировать опцию "chrome://flags#enable-text-fragment-anchor".

Для передачи ссылки предлагается специальный параметр "#targetText=", в котором можно указать текст для перехода. Например, при открытии ссылки "https://opennet.ru/50156/#targetText=Chromium" страница сдвинется на позицию с первым упоминанием слова "Chromium" и данное слово будет подсвечено. По сути предложенная опция автоматизирует выполнение операции поиска с прокруткой сразу после открытии страницы. Для сокращения размера ссылки на большие блоки текста допускается указание маски, включающей фразы, указывающие на начало и конец фрагмента с использованием запятой в качестве их разделителя (например, "example.com#targetText=start%20words,end%20words").

Предложенная возможность является рабочим прототипом, который планируется обсудить с сообществом и разработчиками других браузеров, после чего использовать в качестве основы для стандартизации общего для разных браузеров решения.

  1. Главная ссылка к новости
  2. OpenNews: Для Chrome реализован режим экономии ресурсов
  3. OpenNews: Релиз web-браузера Chrome 72
  4. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
  5. OpenNews: От изменения манифеста Chrome пострадают и дополнения для обеспечения безопасности и приватности
  6. OpenNews: В Firefox 66 будет устранено смещение прокрутки из-за загрузки изображений
Обсуждение (47 +7) | Тип: К сведению |


16.02 Развитие Fedora Atomic Host прекращено в пользу проекта Fedora CoreOS (55)
  Разработчики проекта Fedora сообщили об удалении компонентов Fedora Atomic Host из репозитория Rawhide и прекращении разработки данной редакции дистрибутива. Fedora 29 станет последним выпуском с компонентами Fedora Atomic Host. После окончания цикла сопровождения Fedora 29 выпуск обновлений для Fedora Atomic Host будет полностью прекращён (ориентировочно в ноябре или декабре 2019 года).

Напомним, что в рамках проекта Fedora Atomic Host предлагалось урезанное до минимума окружение, обновление которого производится атомарно через замену образа всей системы, без разбивки на отдельные пакеты. На базе Fedora Atomic Host формировалось специализированное окружение для запуска и управления изолированными контейнерами Docker. Все пакеты, обеспечивающие работу конечных приложений, поставлялись непосредственно в составе контейнеров, а хост-система содержала только минимальный набор компонентов (systemd, journald, docker, rpm-OSTree и т.п.). Наработки Fedora Atomic Host использовались для формирования продуктов Red Hat Enterprise Linux Atomic Host и CentOS Atomic Host.

Отмечается, что на смену Fedora Atomic Host придёт проект Fedora CoreOS, продолжающий разработку серверной Linux-системы Container Linux, которая перешла в руки Red Hat после покупки компании CoreOS. В рамках продукта Fedora CoreOS объединены технологии Fedora Atomic и Container Linux. Как и в Fedora Atomic начинка Fedora CoreOS формируется на основе репозиториев Fedora с применением rpm-ostree, а для дополнительной изоляции контейнеров применяется SELinux, но базовые технологии, такие как Ignition (система конфигурирования на стадии начальной загрузки, альтернатива Cloud-Init) и механизм установки обновлений, перенесены из Container Linux.

Прекращение развития Fedora Atomic Host не повлияет на разработку проекта Fedora Atomic Workstation, который теперь развивается под именем Fedora Silverblue и со временем может заменить традиционный Fedora Workstation. Редакция Fedora Silverblue также поставляется в монолитном виде, без разделения базовой системы на отдельные пакеты, с применением атомарного механизма обновления. Вместо контейнеров Docker для установки дополнительных приложений применяются самодостаточные пакеты в формате flatpak. Системный образ неделим и формируется с использованием технологии OSTree (отдельные пакеты установить в таком окружении нельзя, можно лишь пересобрать весь образ системы, расширив его новыми пакетами при помощи инструментария rpm-ostree).

  1. Главная ссылка к новости
  2. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
  3. OpenNews: Представлен проект Fedora CoreOS
  4. OpenNews: Объявлено о создании редакции Fedora для интернета вещей
  5. OpenNews: Компания Red Hat представила первый стабильный выпуск дистрибутива Atomic Host
  6. OpenNews: Выпуск CentOS Atomic Host 7.1811, специализированной ОС для запуска контейнеров Docker
Обсуждение (55) | Тип: К сведению |


16.02 Выпуск Wine 4.2 (32 +13)
  Доступен экспериментальный выпуск открытой реализации Win32 API - Wine 4.2. С момента выпуска версии 4.1 было закрыто 60 отчётов об ошибках и внесено 269 изменений.

Наиболее важные изменения:

  • Поддержка нормализации строк Unicode;
  • Возможность смешивания 32- и 64-разрядных DLL в каталогах, используемых для загрузки;
  • Поддержка криптографических ключей на основе эллиптических кривых (ECC);
  • На базе системного вызова Futex реализованы дополнительные примитивы для синхронизации, такие как условные переменные, а также операции kernelbase.dll.WaitOnAddress и kernelbase.dll.WakeByAddress{All,Single};
  • Закрыты отчёты об ошибках, связанные с работой игр и приложений: Port Royale, SIV 4, The Bard's Tale (2005), EA Sports FIFA 11, Planetside 2, Avencast: Rise of the Mage, The Settlers: Rise of an Empire, Shadows of Destiny, 1Password 6.4.377, Bayonetta, Alien vs Predator, Rogue Squadron 3D, League of Legends 8.12+, BETest, Elite Dangerous, AfterEffects CS16, HeidiSQL, 3D Custom Girl, Readiris 17, Far Cry 1.40, Ichitarou.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 4.1
  3. OpenNews: Выпуск проекта Wine Staging 4.0, дополняющего Wine 4.0
  4. OpenNews: Стабильный релиз Wine 4.0
  5. OpenNews: Проект Wine выпустил Vkd3d 1.0 с реализацией Direct3D 12
  6. OpenNews: Энтузиасты взяли на себя продолжение разработки Wine staging
Обсуждение (32 +13) | Тип: Программы |


15.02 Уязвимость в библиотеке MatrixSSL (9 +9)
  В открытой криптографической библиотеке MatrixSSL, рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала, что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.

  1. Главная ссылка к новости
  2. OpenNews: Представлена техника атаки для определения ключей ECDSA и DSA
  3. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  4. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  5. OpenNews: Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL)
  6. OpenNews: Критическая уязвимость в библиотеке Libssh
Обсуждение (9 +9) | Тип: Проблемы безопасности |


15.02 Выпуск Ubuntu 18.04.2 LTS c обновлением графического стека и ядра Linux (144 +21)
  Сформировано обновление дистрибутива Ubuntu 18.04.2 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Kubuntu 18.04.2 LTS, Ubuntu Budgie 18.04.2 LTS, Ubuntu MATE 18.04.2 LTS, Lubuntu 18.04.2 LTS, Ubuntu Kylin 18.04.2 LTS и Xubuntu 18.04.2 LTS.

В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 18.10:

  • Предложено обновление пакетов с ядром 4.18 (в Ubuntu 18.04 и 18.04.1 использовалось ядро 4.15).
  • Обновлены компоненты графического стека, включая X.Org Server 1.20.1 и Mesa 18.2, которые были протестированы в осеннем выпуске Ubuntu 18.10. Добавлены свежие версии видеодрайверов для чипов Intel, AMD и NVIDIA.
  • Обновлены версии пакетов LibreOffice 6.0.7, Thunderbird 60.4.0, Firefox 65, GNOME Shell 3.28.3, Glib 2.56.2, OpenStack Queens, snapd 2.37.1, LXC 3.0.2, cloud-init 18.3, evince 3.28.4, shotwell 0.28, llvm 7;
  • Решены проблемы с отображением приглашения входа в систему на устройствах со старыми GPU Intel (Core2 и Atom);
  • Устранена утечка памяти в файловом менеджере Nautilus;
  • В экранной клавиатуре (OSK) исправлена ошибка, не позволявшая вводить буквы в верхнем регистре;
  • Исправлена ошибка, приводившая к запуску двух экземпляров приложения при попытке запуска через касание к ярлыку на панели на устройствах с сенсорным экраном;
  • Исправлена ошибка, из-за которой панель могла показываться и во время блокировки экрана;
  • Решены проблемы с производительностью в GNOME Shell;
  • Исправлена ошибка, приводившая к потере уведомлений о наличии Livepatch-обновлений;
  • В Ubuntu Server после установки оставлен активным только репозиторий "main";
  • Устранён сбой при попытке установки на дисковый раздел, до этого используемый для ZFS;
  • Добавлены сборки Ubuntu Server для плат Raspberry Pi 3, помимо ранее формируемых сборок для Raspberry Pi 2.

В сборках для рабочего стола новые ядро и графический стек предложены по умолчанию. Для серверных систем новое ядро добавлено в качестве опции в инсталляторе. Использовать новые сборки имеет смысл только для новых установок - системы, установленные ранее, могут получить все присутствующие в Ubuntu 18.04.2 изменения через штатную систему установки обновлений. Пользователи прошлой LTS-ветки Ubuntu 16.04 получат в менеджере установки обновлений уведомление о возможности автоматического перехода на ветку 18.04.2.

В анонсе упоминается, что поддержка выпуска обновлений и исправлений проблем безопасности для Ubuntu Desktop, Ubuntu Server, Ubuntu Cloud и Ubuntu Base 18.04 составит 5 лет, а для дополнительных редакций (Kubuntu, Xubuntu и т.п.) - 3 года. При этом ранее Марк Шаттлворт заявлял о продлении срока поддержки для ветки 18.04 до 10 лет, что не отражено в примечании к выпуску.

Напомним, что для поставки новых версий ядра и графического стека применяется rolling-модель поддержки обновлений, в соответствии с которой бэкпортированные ядра и драйверы будут поддерживаться только до выхода следующего корректирующего обновления LTS-ветки Ubuntu. Например, предложенное в текущем выпуске ядро Linux 4.18 будет поддерживаться до выхода Ubuntu 18.04.3, в котором будет предложено ядро из состава Ubuntu 19.04. Изначально поставляемое базовое ядро 4.15 будет поддерживаться в течение всего цикла сопровождения.

Для перевода уже существующих установок на новые версии ядра и графического стека следует выполнить команду:


   sudo apt-get install --install-recommends linux-generic-hwe-18.04 xserver-xorg-hwe-18.04 

Дополнение: Внимание, обладателям видеокарт NVIDIA следует повременить с обновлением графического стека из-за проблем с зависимостями драйвера или установить исправленый пакет nvidia-340, доступный сейчас только в тестовом репозитории bionic-proposed.



  1. Главная ссылка к новости
  2. OpenNews: Выпуск Ubuntu Core 18
  3. OpenNews: Время поддержки Ubuntu 18.04 увеличено до 10 лет
  4. OpenNews: Релиз Ubuntu 18.10
  5. OpenNews: Релиз Ubuntu 18.04.1 LTS
  6. OpenNews: Релиз дистрибутива Ubuntu 18.04 LTS
Обсуждение (144 +21) | Тип: Программы |


15.02 Представлен новый интерфейс браузера Opera (119 –16)
  Началось тестирование экспериментальной сборки Opera R3 (Reborn 3) с новым интерфейсом пользователя, который планируется включить в состав мартовского выпуска Opera 59. Для загрузки доступны пакеты в форматах deb и rpm.

Новый интерфейс преподносится как минималистичный, ориентированный на контент и сдвигающий навигационные элементы браузера на второй план. При этом дизайнеры попытались добиться эффекта минимализма без урезания функциональности и сохранили все прежние возможности. Интерфейс предложен в тёмном и светлом вариантах и отличается главным образом удалением рамок и разделителей. Цветовое оформление адресной строки и списка вкладок изменено так, что открытая вкладка выглядит как лежащая поверх других вкладок. В область рядом с адресной строкой перемещены кнопки быстрой настройки (EasySetup) и создания скриншотов (Snapshot).

Из функциональных изменений выделяется интеграция кошелька для работы с криптовалютой Ethereum. В остальном, несмотря на то, что Opera R3 преподносится как первый браузер, готовый для Web 3, в предложенном выпуске нет кардинальных изменений и в целом, за исключением исчезновения резких перепадов контраста, новый интерфейс не сильно отличается от прошлого варианта.

Было:

Стало:

  1. Главная ссылка к новости
  2. OpenNews: Стабильный выпуск web-браузера Otter 1.0 с интерфейсом в стиле Opera 12
  3. OpenNews: Выпуск web-браузера Opera 45 с интеграцией наработок проекта Opera Neon
  4. OpenNews: Утечка исходных текстов браузера Opera 12.15
  5. OpenNews: Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей
  6. OpenNews: Opera и ARM проданы китайским и японским компаниям
Обсуждение (119 –16) | Тип: К сведению |


14.02 Обновление PostgreSQL с устранением серьёзных проблем с fsync (74 +26)
  Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 11.2, 10.7, 9.6.12, 9.5.16 и 9.4.21, в которых исправлено около 70 ошибок. Наиболее значительным изменением стала переработка механизма использования вызова fsync() для обеспечения целостности записываемых на диск данных.

Оказалось, что вызов fsync() некорректно используется в PostgreSQL уже около 20 лет, что потенциально могло приводить в Linux, NetBSD и OpenBSD к потере записываемых данных в случае аппаратных сбоев. Разработчики PostgreSQL полагали, что успешно завершившийся вызов fsync() гарантирует, что поступившие данные записаны на постоянный носитель, но оказалось, что существуют ситуации когда это не так.

В случае когда ядро не может записать данные, например из-за сбоя буферизированного ввода/вывода вследствие аппаратной ошибки, некоторые операционные системы возвращают код ошибки в fsync() и очищают содержимое ожидающих записи буферов. Таким образом, ранее переданные данные отбрасываются, а блоки помечаются как очищенные. Получив код ошибки PostgreSQL опять попытается сбросить на диск данные и ещё раз вызывает fsync().

Так как буферы были очищены повторный вызов будет завершён успешно и PostgreSQL посчитает, что все данные записаны успешно. Но на деле, при чтении блоков, которые PostgreSQL полагает записанными, будет возвращено не то, что ожидается. Проблема усугубляется тем, что в разных операционных системах fsync() ведёт себя по разному и логичным кажется поведение, когда данные не отбрасываются при первой же неудачной попытке записи, а сохраняются в памяти в состоянии "dirty" для повторения попыток записи.

Начиная с выпусков PostgreSQL 11.2, 10.7, 9.6.12, 9.5.16 и 9.4.21 логика обработки ошибок fsync() изменена и PostgreSQL теперь не пытается после сбоя выполнения fsync() повторно вызвать fsync(), а завершается с выдачей фатальной ошибки. Данный шаг даёт возможность при перезапуске восстановить корректное состояние данных на основе WAL-лога, минуя скрытое повреждение содержимого базы. Подобная логика обработки ошибки может показаться неоптимальной, но разработчики сочли данное решение достаточным так как указанные проблемы возникают крайне редко.

Для систем, ядро которых не сбрасывает содержимое буфера записи после сбоя, в настройки добавлена опция data_sync_retry, позволяющая вернуть старое поведение с двойным вызовом fsync(). Например, FreeBSD не очищает состояние и при повторном вызове fsync() повторно выведет ошибку.

Поведение с очисткой буфера записи после ошибки объясняется тем, что в подавляющем большинстве случаев ошибки ввода/вывода возникают из-за удаления USB-накопителя без отмонтирования. Без очистки ситуация, когда какой-то процесс продолжает пытаться записать большой объём данных, приведёт к накапливанию страниц в состоянии "dirty", вплоть до исчерпания доступной памяти. Очистка же помогает сохранить работоспособность системы в подобных ситуациях.

Дополнительно можно отметить, что факт ошибки не всегда удаётся отследить. Например, если ошибка ввода/вывода возникла до открытия файла, то fsync() завершится успешно. Компания Google для обхода описанной проблемы использует альтернативный метод обработки ошибок ввода/вывода, основанный на сборе сведений об ошибках напрямую из ядра через netlink-сокет. Другим вариантом является использование прямого ввода/вывода (DIO), который предоставляет дополнительные механизмы для отслеживания сброса данных на диск и контроля за активностью ввода/вывода.

  1. Главная ссылка к новости
  2. OpenNews: Обновление PostgreSQL 11.1, 10.6, 9.6.11, 9.5.15, 9.4.20 и 9.3.25
  3. OpenNews: Выпуск PipelineDB 1.0.0, надстройки к PostgreSQL для непрерывной обработки потоков
  4. OpenNews: Релиз СУБД PostgreSQL 11
  5. OpenNews: Для PostgreSQL предложено новое хранилище zheap
  6. OpenNews: Microsoft поглотил компанию Citus, развивающую СУБД на базе PostgreSQL
Обсуждение (74 +26) | Тип: Программы |


14.02 Выпуск системного менеджера systemd 241 (193 –10)
  Опубликован релиз системного менеджера systemd 241, в котором устранены ранее выявленные уязвимости в systemd-journald, позволяющие непривилегированному локальному пользователю получить права root. Для защиты от эксплуатации уязвимостей в systemd-journald и systemd-journal-remote теперь отбрасываются записи со слишком большим числом полей и установлены лимиты на размер данных командной строки.

Среди других изменений в systemd 241:

  • Включены по умолчанию sysctl fs.protected_regular и fs.protected_fifos, реализованные в ядре Linux 4.19 и запрещающие в каталогах с флагом sticky (например, /tmp) открытие чужих FIFO-каналов или файлов с флагом O_CREAT (т.е. только владелец может пересоздать свои FIFO и файлы). Активация указанных sysctl позволяет блокировать атаки, в которых злоумышленник создаёт в /tmp подставной fifo или файл, используемый другим процессом. Для отключения в /etc/sysctl.d/60-protected.conf следует изменить значения fs.protected_regular и fs.protected_fifos на "0";
  • В link-файлах реализован новый режим наименования сетевых устройств (NamePolicy) - "keep", который указан по умолчанию в файле 99-default.link (запасной набор настроек для обеспечения обратной совместимости). Указанный режим добавлен для решения проблемы с изменением логики переименования сетевых интерфейсов из-за регрессивного изменения в systemd 240. При использовании режима "keep" или при обнаружении версии настроек (naming-scheme) меньше 240 будет сохранено старое поведение, при котором уже установленные в пространстве пользователя имена (например, через опцию NAME в правилах udev) не будут второй раз переименовываться на автоматически сгенерированные;
  • Реализована возможность настройки на этапе компиляции выставляемой по умолчанию локали. Если не менять настройки локаль по умолчанию будет выбрана автоматически (C.UTF-8, en_US.UTF-8 или C);
  • Строка с номером версии, показываемая systemd и другими утилитами, при сборке из Git теперь включает хэш коммита. При сборке данное поведение можно переопределить и использовать в номере версии, например, версию пакета из репозитория дистрибутива;
  • В утилиту systemd-cat добавлена поддержка фильтрации стандартного ввода (STDIN) и стандартного вывода ошибок (STDERR) на основании уровня приоритета syslog ("--stderr-priority");
  • В pam_systemd обеспечено выставление переменной окружения DBUS_SESSION_BUS_ADDRESS;
  • Из сборочных опций убран флаг "-fPIE". Для сборки исполняемых файлов в режиме PIE следует использовать в сборочной системе meson параметр "-Db_pie=true";
  • В процессе чтения файлов, указанных в настройке EnvironmentFile для unit-файлов, внутри текста в кавычках теперь обрабатываются обратные слэши, в соответствии с поведением POSIX shell;
  • Команды "udevadm trigger", "udevadm control", "udevadm settle" и "udevadm monitor" теперь автоматически определяют запуск в chroot-окружении и не выполняют в этом случае никаких действий;
  • Строки с флагом "C" в tmpfiles.d/ теперь копируют дерево каталогов не только когда целевой каталог отсутствует, но и когда целевой каталог существует, но не содержит файлов или вложенных каталогов;
  • В команду "udevadm control" добавлена опция "--ping" для проверки запуска и работоспособности процесса systemd-udevd.

  1. Главная ссылка к новости
  2. OpenNews: Systemd в Debian остался без мэйнтейнера из-за разногласий с разработчиками systemd
  3. OpenNews: В systemd-journald выявлены три уязвимости, позволяющие получить права root
  4. OpenNews: Выпуск системного менеджера systemd 240
  5. OpenNews: Удалённая уязвимость в systemd-networkd
  6. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
Обсуждение (193 –10) | Тип: Программы |


14.02 Выпуск Cilium 1.4, сетевой системы для Linux-контейнеров, основанной на BPF (17 +2)
  Представлен релиз проекта Cilium 1.4, в рамках которого при участии компаний Google, Facebook, Netflix и Red Hat развивается система обеспечения сетевого взаимодействия и применения политик безопасности для изолированных контейнеров и процессов. Для разграничения сетевого доступа в Cilium применяются еBPF (Berkeley Packet Filter) и XDP (eXpress Data Path). Код компонентов, работающих на уровне пользователя, написан на языке Go и распространяется под лицензией Apache 2.0. Загружаемые в ядро Linux сценарии BPF доступны под лицензией GPLv2.

Основу Cilium составляет фоновый процесс, который работает в пространстве пользователя и выполняет работу по генерации и компиляции BPF-программ, а также взаимодействию с runtime, обеспечивающим работу контейнеров. В форме BPF-программ реализованы системы обеспечения связности контейнеров, интеграции с сетевой подсистемой (физические и виртуальные сети, VXLAN, Geneve) и балансировки нагрузки. Фоновый процесс дополняют управляющий cli-интерфейс, репозиторий правил доступа, система мониторинга и модули интеграции с поддержкой Kubernetes, Mesos, Istio, и Docker. Производительность решения на базе Cilium при большом числе сервисов и соединений в два раза опережает решения на базе iptables из-за больших накладных расходов на перебор правил. Более подробно про особенности Cilium можно прочитать в тексте анонса первого выпуска проекта.

Основные новшества:

  • Добавлена возможность маршрутизации и проброса трафика сервисов между несколькими кластерами Kubernetes. Также предложена концепция глобальных сервисов (вариант штатных сервисов Kubernetes с бэкендами в нескольких кластерах). Новая функциональность позволяет в случае выхода из строя бэкендов, обеспечивающих работу сервиса в одном кластере, автоматически перенаправить трафик к обработчикам данного сервиса в другом кластере.

  • Реализованы средства для задания правил обработки запросов и ответов DNS в привязке к группам контейнеров (pods), позволяющие увеличить контроль за обращением к внешним ресурсами из контейнеров. Дополнительно появилась поддержка ведения лога всех запросов и ответов DNS в привязке к pod-ам. Помимо правил доступа на уровне IP-адресов теперь можно определить какие DNS-запросы и DNS-ответы допустимы, а какие нужно блокировать. Например, можно блокировать доступ к определённым доменам или разрешить запросы только для локального домена, без необходимости отслеживания изменений привязки доменов к IP. В том числе реализована возможность использования возвращённого в процессе запроса к DNS IP-адреса для ограничения последующих сетевых операций (например, можно разрешить только обращение к IP-адресам, которые были возвращены при резолвинге в DNS, т.е. предоставлен своеобразный межсетевой экран, манипулирующий доменами вместо IP, с временем жизни привязок в соответствии с определённым TTL);

  • Добавлена экспериментальная поддержка прозрачного шифрования всего трафика между сервисами. Шифрование может применяться как для трафика между разными кластерами, так и в пределах одного кластера. Также добавлена возможность аутентификации узлов, что позволяет размещать кластер в не заслуживающей доверия сети;
  • Добавлена экспериментальная поддержка сетевых интерфейсов IPVLAN, позволяющих добиться более высокой производительности и снизить задержки при взаимодействии между двумя локальными контейнерами;

  • Добавлен модуль для интеграции с Flannel, системой для автоматизации настройки сетевого взаимодействия между узлами в кластере Kubernetes, позволяющий работать бок о бок или запустить Cilium поверх Flannel (сетевое взаимодействие от Flannel, политики доступа и балансировка от Cilium);
  • Обеспечена экспериментальная поддержка определения правил доступа на основе метаданных AWS (Amazon Web Services), таких как метки EC2, группы безопасности и имена VPC;
  • Предоставлена возможность запуска Cilium в GKE (Google Kubernetes Engine в Google Cloud) с использованием COS (Container-Optimized OS);
  • Обеспечена тестовая возможность для использования Sockmap BPF для ускорения коммуникаций между локальными процессами (например, полезно для ускорения взаимодействия между sidecar proxie и локальными процессами);

  • Добавлены дополнительные метрики для системы мониторинга Prometheus и предложены новые графики в сводной панели Grafana;

  • Добавлена поддержка Kubernetes 1.13 и новых версий CRI-O;
  • Проведена большая работа по оптимизации потребления памяти и нагрузки на CPU.

  1. Главная ссылка к новости
  2. OpenNews: Эксперимент по настройке Linux для блокирования 10 млн пакетов в секунду
  3. OpenNews: Для Linux представлена система динамической отладки BPFtrace (DTrace 2.0)
  4. OpenNews: Выпуск Cilium 1.0, сетевой системы для Linux-контейнеров, основанной на BPF
  5. OpenNews: Google представил Cilium, сетевую систему для Linux-контейнеров, основанную на BPF
  6. OpenNews: В eBPF найдена возможность обхода защиты ядра Linux от атаки Spectre
Обсуждение (17 +2) | Тип: Программы |


14.02 Критическая уязвимость в WordPress-плагине "Simple Social Buttons" (53 +10)
  В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).

Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.

  1. Главная ссылка к новости
  2. OpenNews: В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
  3. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  4. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  5. OpenNews: Доля WordPress среди крупнейших сайтов достигла 30%
  6. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
Обсуждение (53 +10) | Тип: Программы |


14.02 Выпуск GnuPG 2.2.13 (20 +13)
  Состоялся релиз инструментария GnuPG 2.2.13 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.

Основные изменения:

  • В утилите gpg реализована возможность поиска ключей по "keygrip" (идентификатор мастер-ключа), используя префикс "&";
  • Добавлена возможность генерации ключей Ed25519 на основе существующих ключей;
  • Добавлен вывод сообщения об ошибке в случае, если при указании опции "-k" не удалось найти ключи;
  • В утилите gpgsm в процессе интерактивной генерации ключей обеспечено отображение алгоритмов ключей, используемых на смарткарте, и их keygrip-идентификаторов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск GnuPG 2.2.12
  3. OpenNews: GnuPG признан пригодным для заверения нотариальных актов в штате Вашингтон
  4. OpenNews: Уязвимость в GnuPG
  5. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
  6. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
Обсуждение (20 +13) | Тип: Программы |


13.02 Выпуск поискового сервера Xapiand 0.9 (29 +13)
  Доступен выпуск поискового сервера Xapiand 0.9, предназначенного для хранения, индексации и поиска большой коллекции документов. Сервер является надстройкой над библиотекой для создания поисковых систем Xapian. Для асинхронной обработки запросов применяется библиотека libev. Код Xapiand написан на C++ и поставляется под лицензией MIT. Для упрощения развёртывания предоставляется готовый образ для системы Docker (dubalu/xapiand).

Обращение к серверу производится через HTTP RESTful API. Документы могут представлять собой любые данные в форматах JSON или MessagePack. Определение схемы хранения не требуется, выборка осуществляется при помощи полнотекстовых поисковых запросов. Поддерживается создание специализированных индексов для определённых типов данных и прикрепление более одного индекса. В том числе имеется встроенная поддержка индексации геопространственных данных, позволяющая комбинировать данные о местоположении с операциями полнотекстового поиска. Поддерживаются различные форматы хранения координат и иерархические пространственные индексы HTM (Hierarchical Triangular Mesh).

Сервер отличается высокой производительностью, низким потреблением памяти и возможностью создания распределённых и отказоустойчивых систем, в которых индексы разделены (на каждом узле своя часть индекса и в выполнение запроса вовлекается несколько узлов) или реплицированы (на каждом узле копия полного индекса и возможна балансировка нагрузки) на несколько узлов кластера. Заявляется производительность операций поиска близкая к обработке запросов в режиме реального времени. Индексы могут включать в себя файлы и полные исходные данные, что позволяет использовать Xapiand в качестве хранилища с функцией полнотекстового поиска.

Новый выпуск примечателен переходом на движок Xapian 1.5.0, существенным увеличением производительности и стабилизацией средств для обработки геопространственных данных. Кроме того, представлена поддержка языка запросов QueryDSL, позволяющего формировать запросы в формате JSON. Например, можно применять логические операторы, фильтровать вывод по определённым значениям полей в документах, учитывать вес и число совпадений, преобразовывать значения полей из одного формата в другой, отсеивать документы в зависимости от пространств имён (вложенных полей, например, для хранения тегов).

  1. Главная ссылка к новости
  2. OpenNews: Релиз поискового движка Elasticsearch 1.0.0
  3. OpenNews: Открыт исходный код поискового движка Gigablast
  4. OpenNews: Поисковый движок Searchdaimon переведён в разряд свободных проектов
  5. OpenNews: Wikimedia работает над созданием собственной поисковой системы
  6. OpenNews: Европейский Фонд СПО представил децентрализованную поисковую систему YaCy 1.0
Обсуждение (29 +13) | Тип: Программы |


13.02 Уязвимость в snapd, позволяющая получить root-привилегии в системе (84 +11)
  В snapd, инструментарии для управления самодостаточными пакетами в формате snap, выявлена уязвимость (CVE-2019-7304), позволяющая непривилегированному пользователю получить права администратора (root) в системе. Для проверки систем на наличие уязвимости опубликовано два прототипа эксплоита - первый позволяет завести нового пользователя в системе, а второй даёт возможность установить любой snap-пакет и запустить код с правами root (через установку пакета в режиме "devmode" с прикреплением обработчика, вызываемого с привилегиями root при установке пакета).

Уязвимость вызвана отсутствием в snapd должных проверок при обработке адреса внешнего сокета в процессе оценки прав доступа для Unix-сокетов. При обработке запросов к API через Unix-сокет проверяется ассоциированный с соединением UID пользователя и на основании его принимается решение о предоставлении доступа. Пользователь может прикрепить к имени файла с сокетом строку ";uid=0;" (например, создать сокет "/tmp/sock;uid=0;") и данная строка будет обработана как часть адреса клиентского сокета.

При парсинге параметров в snapd идентификатор пользователя выделяется через цикличный поиск по маске ";uid=" в строке, также включающей имя файла с сокетом (например, при создании клиентского сокета "/tmp/sock;uid=0;" эта строка примет вид "pid=5275;uid=1000;socket=/run/snapd.socket;/tmp/sock;uid=0;"). Таким образом, при наличии строки ";uid=0;" в имени сокета идентификатор будет выделен из неё, а не из штатного параметра с реальным UID. Локальный атакующий может использовать данную ошибку для доступа через сокет /run/snapd.socket к привилегированным API snapd и получения полномочий администратора (в вышеупомянутых эксплоитах используется обращение к API v2/create-user и /v2/snaps).

Проблема проявляется в версиях snapd с 2.28 по 2.37 и затрагивает все поддерживаемые ветки дистрибутива Ubuntu (с 14.04 по 18.10), в котором начиная с Ubuntu 18.04 поддержка snap предлагается по умолчанию. Проблема также затрагивает дистрибутивы Fedora и Debian, в которых snapd предлагается из штатных репозиториев. Уязвимость устранена в выпуске snapd 2.37.1, а также в обновлениях пакетов для дистрибутивов Ubuntu и Debian.

  1. Главная ссылка к новости
  2. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  3. OpenNews: Уязвимость во Flatpak, позволяющая повысить привилегии в системе
  4. OpenNews: Уязвимость в Glibc, позволяющая поднять привилегии в системе
  5. OpenNews: В Kubernetes 1.13 устранена критическая уязвимость, позволяющая поднять свои привилегии
  6. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.2.0
Обсуждение (84 +11) | Тип: Проблемы безопасности |


Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor