· | 28.09 | 0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8 (97 +10) |
Компания Google опубликовала обновление браузера Chrome 117.0.5938.132, в котором устранена уязвимость (CVE-2023-5217) в библиотеке libvpx, приводящая к переполнению буфера при использовании функций кодирования в формате VP8. В отличие от недавно выявленной уязвимости в декодировщике изображений в формате WebP, проблеме в кодировщике VP8 присвоен высокий, но не критический уровень опасности, т.е. проблема не позволяет обойти все уровни защиты браузера и для выполнения кода в системе за пределами sandbox-окружения требуется задействование ещё каких-то уязвимостей. При этом уязвимость выявлена в ходе анализа существующего в сети рабочего эксплоита, который применялся злоумышленниками для совершения атак (0-day).
Уязвимость позволяет выполнить свой код при открытии специально оформленной web-страницы, вызывающей функции кодирования в формате VP8. Проблема присутствует в libvpx и всех приложениях, использующих данную библиотеку, движок Chromium или платформу Electron, но для эксплуатации необходимо наличие возможности выполнения своего JavaScript-кода в приложении, т.е. проблема затрагивает в основном браузеры. Вероятно (пока не подтверждено) уязвимость также проявляется в Firefox, так как в данном браузере для обработки формата VP8 также используется библиотека libvpx. Исправление уязвимости пока доступно только в виде патча. Напомним, что критическая уязвимость в libwebp, могла быть эксплуатирована при обработке специально оформленного изображения и затронула Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron, например, Discord, GitHub Desktop, Mattermost, Signal, Edge, Brave, Opera, Slack, Twitch, Visual Studio Code, Android, 1Password и Telegram. Дополнительно можно отметить раскрытие информации об уязвимости в JIT-движке Firefox, позволявшей добиться выполнения кода при открытии пользователем специально оформленной страницы. Уязвимость (CVE не присвоен) была вызвана некорректной инициализацией памяти в коде преобразования булевых параметров в JIT. Уявзимость устранена в октябре прошлого года в выпуске Firefox 106. Дополнение 1: Выпущены обновления Firefox 118.0.1, Firefox ESR 115.3.1, Firefox для Android 118.1.0 и Firefox Focus для Android 118.1.0 с устранением уязвимости в libvpx. Дополнение 2: Сформирована версия библиотеки libvpx 1.13.1 с устранением уязвимости.
| ||
Обсуждение (97 +10) |
Тип: Проблемы безопасности |
| ||
· | 28.09 | Релиз CrossOver 23.5 для Linux, Chrome OS и macOS (55 +16) |
Компания CodeWeavers выпустила релиз пакета Crossover 23.5, основанного на коде Wine и предназначенного для выполнения программ и игр, написанных для платформы Windows. CodeWeavers входит в число ключевых участников проекта Wine, спонсирует его разработку и возвращает в проект все новшества, реализованные для своих коммерческих продуктов. Исходные тексты открытых компонентов CrossOver 23.0 можно загрузить на данной странице.
В новой версии, которая продолжает основываться на Wine 8.0.1, vkd3d 1.8 и DXVK 1.10.3, улучшена совместимость с дистрибутивами Debian 13 (Debian Testing), openSUSE 15.1 и Ubuntu 23.10. В сборках для платформы macOS обеспечена совместимость с macOS 14 "Sonoma", реализована поддержка GStreamer и транслирующей прослойки из Game Porting Toolkit, добавлена настройка для использования D3DMetal вместо DXVK, решены проблемы при запуске игр, защищённых Denuvo, добавлена поддержка игры Baldur's Gate 3, улучшено качество и повышена производительность в играх Elden Ring, Hogwarts Legacy, Cyberpunk 2077, Armored Core VI Fires of Rubicon, Mortal Kombat 1, Deep Rock Galactic, Satisfactory, Monster Hunter Rise, God of War и Batman Arkham Knight. | ||
Обсуждение (55 +16) |
Тип: Программы |
| ||
· | 28.09 | Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере (95 +18) |
Проект Zero Day Initiative (ZDI) раскрыл сведения о неисправленных (0-day) уязвимостях (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) в почтовом сервере Exim, позволяющих удалённо выполнить свой код на сервере с правами процесса, принимающего соединения на 25 сетевом порту. Аутентификация для проведения атаки не требуется.
Первая уязвимость (CVE-2023-42115) вызвана ошибкой в сервисе smtp и связана с отсутствием должных проверок данных, полученных от пользователя в процессе SMTP-сеанса и применяемых для расчёта размера буфера. В итоге, атакующий может добиться управляемой записи своих данных в область памяти за границей выделенного буфера. Вторая уязвимость (CVE-2023-42116) присутствует в обработчике NTLM-запросов и вызвана копированием полученных от пользователя данных в буфер фиксированного размера без необходимых проверок размера записываемой информации. Третья уязвимость (CVE-2023-42117) присутствует в процессе smtp, принимающем соединения на 25 TCP-порту, и вызвана отсутствием проверки входных данных, что может привести к записи переданных пользователем данных в область памяти за пределами выделенного буфера. Уязвимости помечены как 0-day, т.е. остаются неисправленными, но в отчёте ZDI утверждается, что разработчики Exim были заранее уведомлены о проблемах. Последнее изменение в кодовой базе Exim произведено два дня назад и пока не ясно, когда проблемы будут устранены (производители дистрибутивов пока не успели среагировать так как информация раскрыта без деталей несколько часов назад). В настоящее время разработчики Exim готовятся к выпуску новой версии 4.97, но точных данных о времени её публикации пока нет. В качестве единственного на данный момент метода защиты упоминается ограничение доступа к SMTP-сервису на основе Exim. Кроме вышеотмеченных критических уязвимостей раскрыта информация и о нескольких менее опасных проблемах:
Дополнение: 2 октября опубликован корректирующий выпуск Exim 4.96.1 с устранением уязвимостей CVE-2023-42114, CVE-2023-42115 и CVE-2023-42116. Проблемы CVE-2023-42117, CVE-2023-42118 и CVE-2023-42219 остаются неисправленными.
| ||
Обсуждение (95 +18) |
Тип: Проблемы безопасности |
| ||
· | 27.09 | Атака GPU.zip, позволяющая воссоздать данные, отрисовываемые GPU (88 +25) |
Группа исследователей из нескольких университетов США разработала новую технику атаки по сторонним каналам, позволяющую воссоздать визуальную информацию, обрабатываемую в GPU. При помощи предложенного метода, который получил название GPU.zip, атакующий может определить выводимую на экран информацию. Среди прочего атака может быть проведена через web-браузер, например, продемонстрировано, как открытая в Chrome вредоносная web-страница может получить информацию о пикселях, выводимых при отрисовке другой web-страницы, открытой в том же браузере.
Источником утечки информации выступает применяемая в современных GPU оптимизация, обеспечивающая сжатие графических данных. Проблема проявляется при использовании сжатия на всех протестированных интегрированных GPU (AMD, Apple, ARM, Intel, Qualcomm) и дискретных видеокартах NVIDIA. При этом исследователи обнаружили, что интегрированные GPU Intel и AMD всегда включают сжатие графических данных, даже если приложение специально не запрашивают применение подобной оптимизации. Применение сжатия приводит к тому, что трафик в DRAM и нагрузка на кэш коррелируют с характером обрабатываемых данных, которые можно попиксельно воссоздать через анализ по сторонним каналам. Метод достаточно медленный, например, на системе с интегрированным GPU AMD Ryzen 7 4800U атака по определению имени, под которым пользователь в другой вкладке вошёл в Wikipedia, заняла 30 минут и позволила определить содержимое пикселей с точностью 97%. На системах с интегрированным GPU Intel i7-8700 аналогичная атака заняла 215 минут при точности 98%. При проведении атаки через браузер целевой сайт циклично открывается в iframe для инициирования отрисовки. Для определения показываемой информации, вывод iframe преобразуется в черно-белое представление, к которому применяется SVG-фильтр, выполняющий последовательное наложение масок, вносящих и не вносящих большую избыточность при сжатии. На основании оценки изменения времени отрисовки эталонных образцов выделяется наличие в определённой позиции тёмных или светлых пикселей. Общее изображение воссоздаётся через последовательную попиксельную проверку с использованием подобных масок. ![]() Производители GPU и браузеров были уведомлены о проблеме в марте, но ни один поставщик пока не подготовил исправление, так как проведение атаки на практике не в идеальных условиях сомнительно и проблема имеет больше теоретический интерес. Google пока не принял решение о целесообразности блокирования атаки на уровне браузера Chrome. Chrome уязвим так как разрешает загрузку iframe с другим сайтом без очистки Cookie, позволяет применить к iframe SVG-фильтры и делегирует выполнение отрисовки GPU. Firefox и Safari не подвержены уязвимости, так как не удовлетворяют данным критериям. Атака также не применима к сайтам, запрещающим встраивание через iframe на других сайтах (например, через выставление HTTP-заголовка X-Frame-Options в значение "SAMEORIGIN" или "DENY", а также через настройки доступа при помощи заголовка Content-Security-Policy).
| ||
Обсуждение (88 +25) |
Тип: Проблемы безопасности |
| ||
· | 27.09 | Выпуск дистрибутива Linux Mint Debian Edition 6 (130 +33) |
Спустя полтора года с момента прошлого выпуска опубликован релиз альтернативной сборки дистрибутива Linux Mint - Linux Mint Debian Edition 6, выполненной на основе пакетной базы Debian (классический Linux Mint базируется на пакетной базе Ubuntu). Дистрибутив доступен в виде установочных iso-образов с десктоп-окружением Cinnamon 5.8.
LMDE ориентирован на технически грамотных пользователей и предоставляет более новые версии пакетов. Целью развития LMDE является проверка того, что Linux Mint сможет продолжить существовать в том же виде даже в случае прекращения разработки Ubuntu. Кроме того, LMDE помогает проверять развиваемые проектом приложения на предмет их полноценной работы в системах, отличных от Ubuntu. В поставку LMDE включено большинство улучшений классического релиза Linux Mint 21.2, а также оригинальные разработки проекта (менеджер приложений, система установки обновлений, конфигураторы, меню, интерфейс, текстовый редактор Xed, менеджер фотографий Pix, просмотрщик документов Xreader, просмотрщик изображений Xviewer). Дистрибутив полностью совместим с Debian GNU/Linux 12, но не совместим на уровне пакетов с Ubuntu и классическими релизами Linux Mint. Системное окружение соответствует составу Debian GNU/Linux 12 (ядро Linux 6.1, systemd 252, GCC 12.2, Mesa 22.3.6). ![]()
| ||
Обсуждение (130 +33) |
Тип: Программы |
| ||
· | 27.09 | Представлен TuxClocker 1.0, интерфейс для разгона видеокарт NVIDIA (49 +19) |
После четырёх с половиной лет разработки опубликован выпуск проекта TuxClocker 1.0, предоставляющего инструменты для оверклокинга (overclock) и мониторинга работы видеокарт. TuxClocker состоит из фонового процесса, управляющего тактовой частотой, напряжением и параметрами системы охлаждения видеокарты, а также графического интерфейса на базе библиотеки Qt. Код написан на С++ и распространяется под лицензией GPLv3.
TuxClocker позволяет изменять подаваемое напряжение и частоту работы видеопамяти и ядра GPU, настраивать скорость вращения кулера в зависимости от температуры, ограничивать максимальное энергопотребление в ваттах, создавать профили с сохранёнными настройками и наглядно отслеживать изменение температуры и энергопотребления на графиках. Имеется возможность работы с несколькими GPU (multi-GPU). Новая версия почти полностью переписана. Реализована новая архитектура, в которой выполнение привилегированных операций и взаимодействия с оборудованием вынесено в отдельный фоновый процесс. Предоставлена возможность добавления поддержки нового оборудования через подключение плагинов. В текущем виде в TuxClocker пока поддерживаются только видеокарты NVIDIA (начиная с серии GeForce 600), но разработчики планируют в будущем добавить поддержку и карт AMD. Для управления подготовлен новый интерфейс, использующий иерархическую компоновку, поддерживающую работу одновременно с несколькими GPU и несколькими кулерами. В интерфейсе унифицирована работа со свойствами доступными на запись или допускающими только на чтение. Добавлена возможность автоматического применения значений из профиля. Реализована поддержка рекурсивного сброса настроек в значения по умолчанию и привязки свойств, определяющих диапазоны значений, к любым свойствам, доступным только для чтения, что позволяет создавать гибкие правила разгона, выбирающие пограничные параметры потребления энергии в привязке к температуре. Управляющий интерфейс выполняется с правами непривилегированного пользователя и коммуницирует с фоновым процессом через DBus. ![]() ![]() ![]()
| ||
Обсуждение (49 +19) |
Тип: Программы |
| ||
· | 27.09 | Выпуск Wifibox 0.12, окружения для использования WiFi-драйверов Linux во FreeBSD (128 +8) |
Доступен выпуск проекта Wifibox 0.12, нацеленного на решение проблемы с использованием во FreeBSD беспроводных адаптеров, для которых отсутствуют необходимые драйверы. Работа проблемных для FreeBSD адаптеров в Wifibox обеспечивается через запуск гостевой системы с Linux, в которой загружаются родные для Linux драйверы беспроводных устройств. Окружение потенциально может применяться для любых WiFi-карт, поддерживаемых в Linux, но протестировано в основном на чипах Intel, Qualcomm Atheros и AMD RZ608 (MediaTek MT7921K).
Установка гостевой системы с драйверами автоматизирована, а все необходимые компоненты оформлены в виде готового пакета wifibox, который запускается при загрузке при помощи поставляемого в комплекте rc-сервиса. Гостевая система запускается при помощи гипервизора Bhyve, в котором организуется проброс доступа к беспроводной карте. Для работы требуется система с поддержкой аппаратной виртуализации (AMD-Vi или Intel VT-d). Начинка гостевой системы основана на дистрибутиве Alpine Linux, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Для подключения к беспроводной сети используется пакет wpa_supplicant, файлы конфигурации для которого синхронизируются с настройками из основного окружения FreeBSD. Создаваемый для wpa_supplicant управляющий Unix-сокет пробрасывается в хост-окружение, что позволяет использовать штатные утилиты FreeBSD для подключения и работы с беспроводной сетью, среди прочего можно использовать утилиты wpa_cli и wpa_gui (net/wpa_supplicant_gui). В новом выпуске реализован режим "suspend_vmm", при включении которого осуществляется выгрузка модуля ядра vmm при переходе системы в спящий режим и его загрузка после после пробуждения системы. Предложенный режим позволят избавиться от проблем на системах, на которых из-за оборудования или гипервизора bhyve наблюдаются сбои при переходе в спящих режим с активным модулем vmm. Кроме того, в новом выпуске дополнена документация и добавлены команды start и stop для запуска и остановки обработчиков netif, консоли и vmm.
| ||
Обсуждение (128 +8) |
Тип: Программы |
| ||
· | 27.09 | Выпуск Chrome OS 117 (51 +4) |
Доступен релиз операционной системы Chrome OS 117, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 117. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 117 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex.
Основные изменения в Chrome OS 117:
| ||
Обсуждение (51 +4) |
Тип: Программы |
| ||
· | 27.09 | Релиз дистрибутива Porteus 5.01 (20 +11) |
Спустя более года после публикации прошлого обновления доступен релиз Live-дистрибутива Porteus 5.01, построенного на пакетной базе Slackware Linux и предлагающего сборки с пользовательскими окружениями Xfce, Cinnamon, GNOME, KDE, LXDE, LXQt, MATE и OpenBox. Состав дистрибутива подобран для минимального потребления ресурсов, что позволяет использовать Porteus на устаревшем оборудовании. Из особенностей также отмечается высокая скорость загрузки. Для загрузки предлагаются компактные Live-образы, размером около 380 МБ, собранные для архитектур i586 и x86_64.
Дополнительные приложения распространяются в форме модулей. Для управления пакетами используется свой пакетный менеджер PPM (Porteus Package Manager), учитывающий зависимости и позволяющий устанавливать программы из репозиториев Porteus, Slackware, и Slackbuilds.org. Для использования также доступны разработанные для Slackware пакетные менеджеры slapt-get, slackpkg и slpkg. Интерфейс построен с оглядкой на возможность использования на устройствах, имеющих небольшое экранное разрешение. Для настройки используется собственный конфигуратор Porteus Settings Centre. Дистрибутив загружается из сжатого образа ФС, но все внесённые в процессе работы изменения (история браузера, закладки, загруженные файлы и т.п.) могут быть отдельно сохранены на USB-накопителе или на жестком диске. При загрузке в режиме 'Always Fresh' изменения не сохраняются. В новой версии осуществлена синхронизация с репозиторием Slackware 15.0-patches, ядро Linux обновлено до версии 6.5.5. Предложены новые версии Sysvinit 3.07, BusyBox 1.36.1, mpv 0.36.0, VirtualBox 7.01, проприетарных драйверов NVIDIA 535 и 470. Perl перемещён в модуль 05-devel, а стек xcb в 002-xorg. Добавлен скрипт convertz для преобразования каталога с модулями, сжатыми с использованием xz, в модули, сжатые при помощи алгоритма zstd. Добавлена новая версия пользовательского окружения LXQt.
| ||
Обсуждение (20 +11) |
Тип: Программы |
| ||
· | 27.09 | Проекту GNU исполнилось 40 лет (211 +33) |
27 сентября 1983 года Ричард Столлман основал проект GNU (Gnu's Not Unix), нацеленный на разработку системных компонентов для создания свободного аналога Unix, позволяющих полностью обойтись без проприетарного ПО. GNU образует содружество свободных проектов, двигающихся к общей цели и развиваемых в соответствии с единой идеологией и философией.
В настоящий момент под крылом GNU развивается 385 свободных проектов, среди которых GCC, Glibc, Bash, Emacs, binutils, classpath, coreutils, sysutils, ddd, FreeFont, gawk, GDB, GetText, Ghostscript, GIMP, Gnash, Gnumeric, GnuPg, GnuTLS, Hurd, GRUB, Gzip, ядро linux-libre, MidnightCommander, Nano, MediaGoblin, ncurses, screen и wget. Изначально центральными звеньями проекта выступали ядро GNU, инструментарий для разработчиков и набор приложений и утилит для пользовательского окружения, среди которых текстовый редактор, табличный процессор, командная оболочка и даже набор игр. Развиваемое проектом ядро не получило должного распространения, но пользовательское окружение и инструментарий разработки оказались востребованными и в сочетании с ядром Linux легли в основу дистрибутивов GNU/Linux.
| ||
Обсуждение (211 +33) |
Тип: К сведению |
| ||
· | 26.09 | Обновление LibreOffice с устранением уязвимости, эксплуатируемой через изображения WebP (39 +15) |
Организация The Document Foundation объявила о публикации внеплановых корректирующих выпусков офисного пакета LibreOffice 7.6.2 и 7.5.7, который оказался подвержен уязвимости (CVE-2023-4863, CVE-2023-5129) в библиотеке libwebp. LibreOffice поддерживает вставку изображений в формате WebP и использует для их обработки уязвимый код из библиотеки libwebp. Уязвимость позволяет добиться выполнения кода злоумышленника при обработке в LibreOffice специально оформленных данных в формате WebP.
Уязвимость в libwebp затрагивает Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron. Например, косвенно уязвимость затронула такие популярные приложения, как Discord, GitHub Desktop, Mattermost, Signal, Edge, Brave, Opera, Slack, Twitch, Visual Studio Code, Android, 1Password и Telegram. Для тестирования публично доступен прототип эксплоита.
| ||
Обсуждение (39 +15) |
Тип: Проблемы безопасности |
| ||
· | 26.09 | Первый стабильный релиз ФС Composefs (47 +9) |
Александр Ларсон (Alexander Larsson), создатель Flatpak, работающий в компании Red Hat, представил первый стабильный выпуск файловой системы Composefs, оптимизированной для эффективного совместного хранения содержимого нескольких примонтированных дисковых образов. На практике ФС Composefs может оказаться полезной для монтирования образов контейнеров и размещения Git-подобного репозитория OSTree. Код проекта написан на языке Си и распространяется под лицензией GPLv2.
Изначально реализация Composefs представляла собой отдельный модуль ядра Linux, но понимая сложность продвижения новой ФС в основной состав ядра, разработчики сменили тактику и переработали проект в виде надстройки над уже присутствующими в ядре ФС OverlayFS и EROFS, функциональность которых частично пересекается с Composefs. Таким образом, работа по интеграции поддержки Composefs в ядро Linux свелась к продвижению в OverlayFS и EROFS патчей, реализующих необходимые для Composefs специфичные возможности. Функциональность EROFS (Extendable Read-Only File System) отвечает требованиям Composefs начиная с версии ядра 5.15. В OverlayFS изменения вносились в несколько этапов: в ядро 6.5 была включена поддержка слоёв "data-only", используемых только для данных (отдельно от метаданных). Оставшаяся часть изменений, связанная с возможностью сохранения хэшей fs-verity в расширенном атрибуте (xattr) overlay.verity, была недавно принята в состав тестового выпуска ядра 6.6-rc1, что ознаменовало включение в основной состав ядра Linux всей функциональности, необходимой для работы Composefs. Принятие в состав ядра всех необходимых изменений позволило определить и зафиксировать финальный формат образов Composefs и опубликовать версию 1.0, стабилизирующую формат хранения и библиотечный API/ABI. Из функциональных отличий версии 1.0 от прошлого тестового выпуска упоминается внесение оптимизаций, повышающих эффективность формата хранилища; уход от использования встроенных в подсистеме ядра fs-verity средств для верификации цифровых подписей в пользу работающих в пространстве пользователя библиотек; добавление утилиты composefs-info для инспектирования файлов с образами Composefs и выявления несоответствий между метаданными и отдельно хранимыми данными. Функциональность Composefs сводится к построению многослойных ФС, в которых произвольные деревья ФС в режиме только для чтения накладываются поверх штатных ФС Linux, выступающих в качестве нижнего слоя. От уже существующих похожих файловых систем, таких как SquashFS и EROFS, Composefs отличает поддержка совместного хранения содержимого разных образов и наличие функций для проверки подлинности читаемых данных. В Composefs применяется модель хранения с адресацией на основе содержимого, в которой первичным идентификатором является не имя файла, а хэш от содержимого файла. Подобная модель обеспечивает дедупликацию и позволяет хранить только одну копию одинаковых файлов, встречающихся в разных примонтированных разделах. Образы контейнеров содержат множество типовых системных файлов и в случае применения Composefs каждый из этих файлов будет совместно использован всеми примонтированными образами, без задействования таких трюков, как проброс при помощи жёстких ссылок. При этом общие файлы не только хранятся в виде одной копии на диске, но и обходятся одной записью в страничном кэше, что даёт возможность экономить как дисковую, так и оперативную память. Для экономии дисковой памяти данные и метаданные в Composefs разделены и при монтировании отдельно указывается бинарный индекс, в котором содержатся все метаданные файловой системы, имена файлов, права доступа и другие сведения. Индексы с метаданными создаются для каждого образа ФС и хранится в отдельном файле в формате EROFS (образ контейнера представляет собой монтируемый в loopback-режиме образ EROFS, в котором присутствуют только метаданные). Непосредственно файлы всех монтируемых образов хранятся в общем базовом каталоге в обычной ФС (ext4, xfs, btrfs) и связываются с образом при помощи расширенного атрибута rusted.overlay.redirect, на базе которого OverlayFS находит необходимые файлы по хэшу содержимого. Для монтирования Composefs применяется загружаемый в пространстве пользователя FUSE-модуль composefs-fuse и утилита mount.composefs, а для создания ФС предоставляется утилита mkcomposefs. Для верификации содержимого отдельных файлов и всего образа в условиях общего хранения применяется механизм fs-verity, который при обращении к файлам проверяет соответствие указанных в бинарном индексе хэшей с фактическим содержимым - если злоумышленник внесёт изменение в файл в базовом каталоге или данные повредятся в результате сбоя, то подобная сверка выявит расхождение. Из проектов, которые уже применяют Composefs упоминаются Ostree и Container Storage Library. В git-подобном хранилище Ostree полная поддержка Composefs, включая возможности верификации содержимого, реализована в выпусках Ostree 2023.6 и rpm-ostree 2023.6, но код пока остаётся помечен как экспериментальный. В Container Storage Library предложена начальная реализация бэкенда, использующего Composefs для хранения образов контейнеров. После завершения работы бэкенд можно будет использовать для применения Composefs для дедупликации и защиты от подмены образов, управляемых при помощи инструментария Podman.
| ||
Обсуждение (47 +9) |
Тип: Программы |
| ||
· | 26.09 | Релиз Firefox 118 (125 +29) |
Состоялся релиз web-браузера Firefox 118 и сформировано обновление ветки с длительным сроком поддержки - 115.3.0. На стадию бета-тестирования переведена ветка Firefox 119, релиз которой намечен на 24 октября.
Основные новшества в Firefox 118:
Кроме новшеств и исправления ошибок в Firefox 118 устранено 16 уязвимостей. 13 уязвимостей (8 объединено под CVE-2023-5176), которые помечены как опасные, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
| ||
Обсуждение (125 +29) |
Тип: Программы |
| ||
· | 26.09 | Уязвимость в CPU AMD Zen1, приводящая к утечке информации о прошлых операциях при делении на ноль (162 +17) |
В процессорах AMD выявлена уязвимость (CVE-2023-20588), приводящая к утечке данных, используемых в ходе выполнения операций на том же ядре CPU при обработке процессором исключения #DE (Divide Error), возникающего при попытке деления на ноль. Уязвимость проявляется только в процессорах AMD на базе микроархитектуры Zen1, например, в сериях AMD EPYC 7001, AMD Athlon 3000, AMD Ryzen 3000 с GPU Radeon, AMD Athlon PRO 3000 c GPU Radeon Vega и AMD Ryzen PRO 3000 с GPU Radeon Vega.
Уязвимость вызвана тем, что при возникновении исключения #DE при делении на ноль, процессор спекулятивно перенаправляет результат предыдущей операции деления, так как на CPU с микроархитектурой Zen1 в конвейере присутствует только один делитель, обслуживающий операций в разных потоках. На уязвимых системах атакующий может определить результат предыдущей операции деления, в том числе выполненной на том же ядре CPU в других контекстах, например, в ядре, в других процессах или вне виртуальной машины. С практической стороны уязвимость может использоваться для организации скрытого канала передачи данных между процессами, sandbox-окружениями или виртуальными машинами, позволяющего обмениваться данными в обход системных механизмов разграничения доступа и без обращения к системным вызовам. Уязвимость также позволяет из пространства пользователя определить результат предыдущего фактического или спекулятивного выполнения инструкции DIV, которая может применяться при обработке конфиденциальных данных на более высоком уровне привилегий (например, деление может использоваться при выполнении криптографических операций и атакующий может определить параметры этих операций). Исправления для блокирования уязвимости подготовлены для ядра Linux и гипервизора Xen. Проблема устранена через перезапись буфера делителя во время переключения контекста. Исправление эффективно только при отключении симметричной многопоточности (SMT).
| ||
Обсуждение (162 +17) |
Тип: Проблемы безопасности |
| ||
· | 26.09 | Выпуск Savant 0.2.5, фреймворка компьютерного зрения и глубокого обучения (42 +7) |
Опубликован выпуск Python-фреймворка Savant 0.2.5, упрощающего использование NVIDIA DeepStream для решения задач, связанных с машинным обучением. Фреймворк берет на себя всю сложную работу с GStreamer или FFmpeg, позволяя сосредоточиться на построении оптимизированных конвейеров вывода с помощью декларативного синтаксиса (YAML) и функций Python. Savant позволяет создавать конвейеры (pipeline), которые одинаково работают как на ускорителях в датацентре (NVIDIA Turing, Ampere, Hopper), так и на edge-устройствах (NVIDIA Jetson NX, AGX Xavier, Orin NX, AGX Orin, New Nano). С помощью Savant можно легко обрабатывать несколько видеопотоков одновременно, быстро создавать готовые к рабочим применениям конвейеры видеоаналитики, использующие NVIDIA TensorRT. Код проекта распространяется под лицензией Apache 2.0.
Основные новшества:
| ||
<< Предыдущая страница (позже) | ||
Следующая страница (раньше) >> |
Закладки на сайте Проследить за страницей |
Created 1996-2023 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |