The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

·15.07 Релиз ядра Linux 6.10 (110 +17)
  После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.10. Среди наиболее заметных изменений: драйвер ntsync c примитивами синхронизации Windows NT, компоненты DRM Panic для реализации аналога "синего экрана смерти", прекращение поддержки старых CPU Alpha, возможность верификации целостности в ФС на базе FUSE, ограничение доступа к ioctl через механизм Landlock, подсистема для профилирования операций выделения памяти, системный вызов mseal(), возможность шифрованного обмена данными с устройствами TPM, поддержка высокоприоритетных рабочих очередей в dm-crypt, драйвер panthor для десятого поколения GPU Mali.

В новую версию принято 14564 исправлений от 1989 разработчиков, размер патча - 41 МБ (изменения затронули 12509 файлов, добавлено 547663 строк кода, удалено 312464 строк). В прошлом выпуске было 15680 исправлений от 2106 разработчиков, размер патча - 54 МБ. Около 41% всех представленных в 6.10 изменений связаны с драйверами устройств, примерно 15% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 13% связано с сетевым стеком, 5% - с файловыми системами и 4% c внутренними подсистемами ядра.

Основные новшества в ядре 6.10:

  • Дисковая подсистема, ввод/вывод и файловые системы
    • Добавлена новая fcntl-операция F_DUPFD_QUERY, при помощи которой процесс может определить, что два разных файловых дескриптора ссылаются на один и тот же файл. В отличие от похожих возможностей, предоставляемых системным вызовом kcmp(), F_DUPFD_QUERY не приводит к раскрытию лишней информации и работает на системах с отключённым kcmp().
    • В подсистеме FUSE, применяемой для реализации файловых систем в пространстве пользователя, реализована возможность применения механизма fs-verity для проверки целостности и подлинности файлов.
    • В модуль dm-crypt, применяемый для шифрования блочных устройств, добавлена опция "high_priority", позволяющая задействовать высокоприоритетные рабочие очереди для повышения производительности на мощных серверах. По умолчанию режим выключен, так как он может приводить на обычных ПК к повышению задержек при выполнении работ не связанных с шифрованием, таких как обработка звука.
    • Добавлен основанный на netlink протокол для управления NFS-сервером в ядре. В пространстве пользователя на базе данного протокола подготовлена утилита nfsdctl. Отключена по умолчанию поддержка монтирования NFS v2 (в утилите mount.nfs поддержка NFS v2 была прекращена ещё в 2021 году).
    • В файловой системе XFS продолжена работа над реализацией возможности применения утилиты fsck для проверки и исправления выявленных проблем в online-режиме, без отмонтирования файловой системы. Добавлен ioctl XFS_IOC_EXCHANGE_RANGE для обмена байтовыми диапазонами между двумя файлами в атомарном режиме.
    • В Btrfs реализована поддержка урезания (shrinker) незакреплённых карт экстентов, что может оказаться полезным для сокращения потребления памяти в условиях нехватки памяти в системе. Код для сжатия данных и функция put_file_data() переведены на использование фолиантов страниц памяти (page folios). Переработан механизм блокировки экстентов при выполнении операций обратной записи.
    • В ФС Ext4 добавлена поддержка ioctl FS_IOC_GETFSSYSFSPATH для определения местоположения заданной примонтированной ФС в иерархии /sys/fs.
    • Файловые системы OPENPROMFS, ISOFS, QNX6, NILFS2, MINIX и FREEVXFS переведены на использование нового API монтирования разделов.
    • В файловой системе EROFS (Extendable Read-Only File System), предназначенной для использования на разделах, доступных в режиме только для чтения, добавлена поддержка алгоритма сжатия Zstandard.
    • В Bcachefs проведена подготовка к выполнению fsck без отмонтирования раздела (online-проверка). Добавлены изменения и исправления для повышения надёжности работы. Реализована возможность обновления и отката формата ФС в режиме "nochanges", отключающем запись и хранящем метаданные только в памяти.
    • В файловую систему OverlayFS добавлена поддержка создания временных файлов, используя опцию O_TMPFILE.
    • Прекращена поддержка механизма ограничения пропускной способности блочных устройств "CONFIG_BLK_DEV_THROTTLING_LOW", который с 2017 года сохранил статус экспериментального, не получил распространения на практике и затрудняет сопровождения подсистемы блочных устройств.
  • Память и системные сервисы
    • Добавлен, но отключён при сборке, драйвер ntsync, реализующий символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Реализация подобных примитивов на уровне ядра позволяет существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя. Создание отдельного драйвера для ядра Linux объясняется проблематичностью корректной реализации API синхронизации NT поверх существующих примитивов в ядре.
    • Добавлена подсистема для профилирования операций выделения памяти в ядре Linux, позволяющая выявлять утечки памяти в ядре и упрощающая проведение оптимизаций потребления памяти. Подсистема обеспечивает низкие накладные расходы, что позволяет использовать её не только в отладочных сборках ядра, но на рабочих системах.
    • Добавлена начальная реализация обработчика аварийных ситуаций в ядре - DRM Panic, использующего подсистему DRM (Direct Rendering Manager) для отображения наглядного цветного отчёта в стиле "синего экрана смерти". В следующем выпуске планируется добавить возможность показа логотипа и QR-кода на экране при возникновении аварийного состояния.
    • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). Осуществлён переход на использование выпуска Rust 1.78, позволивший переключиться на использование штатной библиотеки alloc, вместо собственного ответвления. Добавлены абстракции для работы со временем в ядре (обвязка над структурой ktime_t). Добавлена поддержка использования компонентов ядра на языке Rust на системах с архитектурой RISC-V.
    • В BPF-программах реализована возможность использования очередей ожидания (wait queue) в ядре. Добавлены функции bpf_preempt_disable и bpf_preempt_enable, позволяющие создавать не прерываемые планировщиком задач секции с кодом. Предоставлена возможность доступа BPF-программ к криптографическим функциям ядра (crypto). Реализована поддержка JIT-компиляции BPF-программ на системах с 32-разрядными процессорами ARCv2.
    • Для 32-разрядных систем ARM реализована поддержка сборки ядра компилятором Clang с включённым режимом защиты CFI (Control Flow Integrity), блокирующим нарушения нормального порядка выполнения (control flow) в результате применения эксплоитов, изменяющих хранимые в памяти указатели на функции.
    • Добавлена возможность прямого отражения через mmap() кольцевых буферов трассировки для передачи их содержимого в пространство пользователя без дополнительного копирования.
    • Добавлен системный вызов "mseal", позволяющий процессам выставлять блокировку на изменение определённых частей своего адресного пространства. На практике новый системный вызов планируется использоваться в браузере Chrome для усиления sandbox-изоляции.
    • Для субархитектуры x32, которая предоставляет гибридный x86_64 ABI, позволяющий использовать на 64-разрядных системах 32-разрядную модель адресации памяти (процессор работает в 64-разрядном режиме, но использует 32-разрядные указатели и арифметические операции), добавлена поддержка механизма Shadow Stack, который позволяет блокировать работу многих эксплоитов, используя аппаратные возможности процессоров Intel для защиты от перезаписи адреса возврата из функции в случае переполнения буфера в стеке.
    • На системах с архитектурой ARM64 в системном вызове userfaultfd(), дающем возможность создавать обработчики обращений к невыделенным страницам памяти (page faults) в пространстве пользователя, реализованы возможности, связанные с защитой от записи областей памяти и элементов таблицы страниц памяти.
    • Удалён код для поддержки выпускаемых с 1995 года процессоров Alpha 21164 (EV5) и более ранних серий. Сопровождение кода для данных процессоров было усложнено из-за отсутствия в них возможности доступа к памяти на уровне отдельных байтов. Alpha была первой архитектурой, на которой было портировано ядро Linux, изначально доступное только для систем x86.
  • Виртуализация и безопасность
    • Добавлена поддержка шифрованного обмена данными с устройствами TPM (Trusted Platform Module) и проверки целостности транзакций.
    • В LSM-модуль Landlock, позволяющий ограничить взаимодействие группы процессов с внешним окружением, добавлена возможность применения правил для ограничения доступа к вызовам ioctl().
    • Предложена выставляемая на этапе загрузки опция init_mlocked_on_free, обеспечивающая обнуление содержимого памяти, защищённой от вытеснения в раздел подкачки при помощи вызова mlock(), если данная память будет освобождена без разблокировки вызовом munlock(). Использование данной опция позволяет исключить оседание криптографических ключей в памяти в случае аварийного завершения, работающего с ними приложения.
    • В подсистеме crypto ускорено выполнение операций дискового шифрования с использованием алгоритма AES-XTS на системах x86_64 с процессорами Intel и AMD, поддерживающими расширения VAES, AVX2, VPCLMULQDQ, AVX10 или AVX512.
    • Удалена возможность сбора статистики об использовании криптоподсистемы ядра (CONFIG_CRYPTO_STATS). Данная возможность не использовалась на практике и приводила к значительному снижению производительности, а также создавала ощутимую дополнительную нагрузку на сопровождающих.
  • Сетевая подсистема
    • Значительно повышена производительность операций отправки данных в режиме zero-copy при использовании подсистемы io_uring. Добавлена возможность объединения ("bundle") нескольких буферов для операций отправки и приёма данных.
    • Переписан код сборки мусора, применяемый при отправке файловых дескрипторов через Unix-сокеты c использованием сообщений SCM_RIGHTS. Изменение позволяет решить проблему с накоплением зацикленных счётчиков ссылок.
    • Добавлена возможность установки фильтров для протокола PFCP (Packet Forwarding Control Protocol), используемого в сетях 4G и 5G.
    • Добавлена поддержка опции сетевых сокетов SO_PEEK_OFF, которая по аналогии с такой же опцией для Unix-сокетов позволяет определить смещение данных в очереди, используемое системным вызовом recv при указании флага MSG_PEEK (помечает данные непрочитанными и они будут опять выданы при следующем вызове recv).
    • В подсистему io_uring добавлена поддержка операции IORING_CQE_F_SOCK_NONEMPTY, позволяющей определить у сетевого сокета наличие запросов на соединение, ожидающих обработки.
    • Предложена реализация технологии PoE (Power over Ethernet), основанная на ранее доступном коде для поддержки PoDL (Power over Data Line) и совместимая с PoE-контроллерами Microchip PD692x0 и TI TPS23881.
    • Для протоколов TCP, DCCP и MPTC добавлена поддержка механизма rstreason, позволяющего определять причину отправки RST-пакетов (например, NO_SOCKET).
  • Оборудование
    • В состав включён драйвер panthor для десятого поколения GPU Mali (G310, G510, G710), в котором применяется технология CSF (Сommand Stream Frontend), выносящая на сторону прошивки некоторые функции драйвера для снижения нагрузки на CPU и предлагающая новую модель организации выполнения работ на GPU. Изменения для поддержки нового драйвера также приняты в Mesa и включены в состав Gallium-драйвера panfrost для GPU Mali.
    • В драйвер i915 добавлены PCI-идентификаторы новых дискретных видеокарт Intel Arc (DG2/Alchemist).
    • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлена поддержка CPU Arrow Lake H. Продолжена реализация поддержки процессоров Lunar Lake. Добавлена начальная поддержка механизма SR-IOV (Single Root I/O Virtualization).
    • В драйвере AMDGPU добавлена поддержка SMU 14.0 (System Management Unit). Добавлена возможность использования новых GPU AMD на системах с архитектурой RISC-V.
    • Добавлен драйвер для ускорителя криптографических операций Tegra Security Engine, который можно использовать для ускорения AES и различных алгоритмов хэширования.
    • Добавлена поддержка экранных панелей LG SW43408, Innolux G121XCE-L01 LVDS, RK3326 GameForce Chi, Crystal Clear CMT430B19N00, POWERTIP PH128800T006-ZHC01, Startek KD050HDFIA020-C020A, Pixel 3a, Khadas TS050 V2, Raydium RM69380,BOE NT116WHM-N44, CMN N116BCA-EA1 и AUO B120XAN01.0.
    • Добавлена поддержка звуковой подсистемы ноутбуков Lenovo Thinkbook 13x Gen 4, Lenovo Thinkbook 16P Gen 5, Lenovo Thinkbook 13X и ASUS Zenbook 2024 HN7306W. Добавлена поддержка внешних звуковых карт Vocaster One и Vocaster Two. Добавлен драйвер для усилителей NAU8325 от компании Nuvoton Technology.
    • В драйвер HID-Steam добавлена поддержка IMU (Inertial Measurement Unit) игрового контроллера Steam Deck, позволяющая использовать отдельный узел evdev для доступа к данным гироскопа и акселерометра.
    • Включены изменения для поддержки ARM SoC Snapdragon X Elite, в котором используется собственный 12-ядерный CPU Qualcomm Oryon и GPU Qualcomm Adreno. Чип нацелен на использование в ноутбуках и ПК, и опережает во многих тестах производительности чипы Apple M3 и Intel Core Ultra 155H.
    • Добавлена поддержка ARM-плат, SoC и устройств: PocketBook 614 Plus, Sony Xperia Z3, Xperia 1 V, Samsung Galaxy S5 China, Motorola Moto G, RK3326 GameForce Chi, Anbernic RG35XX (Plus/H/2024), Airoha EN7581, Radxa ROCK 3C, ArmSom Sige7, Tanix TX1, Toradex Colibri iMX8DX, Renesas RZ/V2H, Forlinx OK3588-C, Protonic MECSBC, Emcraft Systems NavQ+, NXP S32G3, Wolfvision pf5, Amlogic A4/A5, ASUS RT-AC3200, ASUS RT-AC5300, ASrock E3C256D4I, IBM system1 BMC, Meta Harma BMC(AST2600), ASRock X570D4U BMC, Au-Zone Maivin AI Vision Starter Kit.
    • Добавлена поддержка плат Milk-V Mars, использующих SoC Starfive JH7110 на базе архитектуры RISC-V.

Одновременно латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 6.10 - Linux-libre 6.10-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В выпуске 6.10 обновлён код чистки блобов в драйверах Intel i915, rtl8xxxu, qla2xxx и QCAI sahara. Проведена чистка имён блобов в dts-файлах (devicetree) для архитектуры Aarch64. Очищены от блобов новые файлы, добавленные в драйверах Adreno, Intel IPU3 и PRUEth. Проведена чистка новых драйверов Panthor, Intel IPU6, PRUEth SR1, rtw8703b, tps23881, air_en8811h, Intel ISH HID и pcm6240. Прекращена чистка USB-драйвера Prism2.5/3 USB, который был удалён из ядра.

  1. Главная ссылка к новости
  2. OpenNews: Релиз ядра Linux 6.9
  3. OpenNews: Релиз ядра Linux 6.8
  4. OpenNews: Релиз ядра Linux 6.7
  5. OpenNews: Релиз ядра Linux 6.6
  6. OpenNews: Релиз ядра Linux 6.5
Обсуждение (110 +17) | Тип: Программы | Интересно


·15.07 Выпуск Wine 9.13 и Wine staging 9.13 (41 +5)
  Опубликован экспериментальный выпуск открытой реализации Win32 API - Wine 9.13. С момента выпуска 9.12 было закрыто 22 отчёта об ошибках и внесено 336 изменений.

Наиболее важные изменения:

  • Добавлена поддержка загрузки собранных для Windows ODBC-драйверов к СУБД.
  • Продолжена работа по размещению в разделяемой памяти структур данных библиотеки user32.
  • Продолжено переписывание движка, используемого в командном интерпретаторе CMD.EXE.
  • Закрыты отчёты об ошибках, связанные с работой приложений: Photoshop CC 2024, CUERipper 2.2.5, MEGA TECH Faktura Small Business, Virtual Desktop, RegEdit.
  • Закрыты отчёты об ошибках, связанные с работой игр: Victoria 2: A House Divided, Lylian, Guild Wars 2, The Witcher 3, Assassin's Creed : Revelations, So Blonde.

Кроме того, сформирован выпуск проекта Wine Staging 9.13, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 430 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 9.13 и перенесены свежие изменения из vkd3d. Обновлён набор патчей gdi32-rotation. Добавлен патч odbc32-fixes, решающий проблемы c записью в СУБД и с поддержкой ODBC 2.0.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 9.12
  3. OpenNews: Проект Wine опубликовал Vkd3d 1.12 с реализацией Direct3D 12
  4. OpenNews: В Arch Linux улучшили совместимость c Windows-играми, запускаемыми в Wine и Steam
  5. OpenNews: Стабильный релиз Wine 9.0
  6. OpenNews: Выпуск DXVK 2.4, реализации Direct3D 8/9/10/11 поверх API Vulkan
Обсуждение (41 +5) | Тип: Программы |


·14.07 Доступна система фильтрации спама Rspamd 3.9 (10 +11)
  Состоялся релиз системы фильтрации спама Rspamd 3.9, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки, на основе которых формируется итоговый вес сообщения, используемый для принятия решения о необходимости блокировки. Rspamd поддерживает практически все возможности, реализованные в SpamAssassin, и имеет ряд особенностей, позволяющих фильтровать почту в среднем в 10 раз быстрее, чем SpamAssassin, а также обеспечивать лучшее качество фильтрации. Код системы написан на языке Си и распространяется под лицензией Apache 2.0.

Rspamd построен с использованием событийно-ориентированной архитектуры (Event-driven) и изначально рассчитан на применение в высоконагруженных системах, позволяя обрабатывать сотни сообщений в секунду. Правила для выявления признаков спама отличаются высокой гибкостью и в простейшем виде могут содержать регулярные выражения, а в более сложных ситуациях могут оформляться на языке Lua. Расширение функциональности и добавление новых типов проверок реализуется через модули, которые могут создаваться на языках Си и Lua. Например, доступны модули для проверки отправителя с использованием SPF, подтверждения домена отправителя через DKIM, формирования запросов в списки DNSBL. Для упрощения настройки, создания правил и отслеживания статистики предоставляется административный web-интерфейс.

В новой версии:

  • Улучшены настройки байесовского классификатора. Размер окна по умолчанию уменьшен с 5 до 2 слов, что позволило добиться повышения производительности и в 4 раза сократить потребление места в хранилище без деградации уровня классификации спама. Для тестирования работы классификатора с разными настройками предложена утилита "rspamadm classifier_test".
  • Добавлен модуль GPT, использующий API OpenAI GPT для классификации текста через запрос к большим языковым моделям, таким как GPT-3.5 Turbo и GPT-4o. Точность классификации спама при помощи нового модуля ниже, чем у байесовского классификатора, но его достоинство в том, что он не требует предварительной тренировки и может учитывать контекст в сообщениях, в то время как для эффективной работы байесовского классификатора необходима качественная и сбалансированная тренировка движка. Кроме непосредственного выявления спама в сообщениях модуль GPT может применяться для тренировки байесовского классификатора.
  • Реализована возможность совместного использования модулей known_senders и replies для пометки верифицированных отправителей, используя в качестве признака то, что им ранее направлялись ответы.
  • По умолчанию отключено динамическое изменение ограничений интенсивности отправки сообщений (dynamic ratelimit), связанных с одним отправителем, получателем или IP-адресом.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системы фильтрации спама SpamAssassin 4.0.0
  3. OpenNews: Доступна система фильтрации спама Rspamd 3.0
  4. OpenNews: В рамках проекта Spamnesty развивается бот для увеличения затрат спамеров
  5. OpenNews: Желание получить футболку от Hacktoberfest привело к спам-атаке на GitHub-репозитории
  6. OpenNews: В NPM выявлено 15 тысяч пакетов для фишинга и спама
Обсуждение (10 +11) | Тип: Программы |


·14.07 Выпуск пакетного менеджера Pacman 7.0 (16 +16)
  Доступен релиз пакетного менеджера Pacman 7.0, применяемого в дистрибутиве Arch Linux. Из изменений можно выделить:
  • В настройки добавлен параметр DownloadUser, позволяющий сбросить привилегии при выполнении операций загрузки файлов и сохранить загруженные файлы во временный каталог, принадлежащий указанному в директиве пользователю.
  • В системах на базе ядра Linux задействованы механизмы изоляции, запрещающие процессу, выполняющему загрузку, запись в области ФC, вне каталога для загрузки. Для отключения режима изоляции при загрузке предложены настройка DisableSandbox и опция командной строки "--disable-sandbox".
  • Добавлена проверка того, что БД и цифровая подпись загружены из одного источника.
  • В коде для предотвращения переполнений буфера вместо функции sprintf задействована функция snprintf, в которой задаётся лимит на размер результирующей строки.
  • Налажена возможность сборки в режиме "-D_FORTIFY_SOURCE=3", выявляющем возможные переполнения буфера при выполнении строковых функций, определённых в заголовочном файле string.h.
  • Устранена проблема, которая могла привести к переполнению буфера при обработке очень длинных файловых путей к скриплетам.

  1. Главная ссылка к новости
  2. OpenNews: В Arch Linux обновлён пакетный менеджер Pacman 6.1 и инсталлятор Archinstall 2.7.2
  3. OpenNews: Выпуски пакетного менеджера Pacman 6.0 и инсталлятора Archinstall 2.2.0
  4. OpenNews: Уязвимость в пакетном менеджере pacman, позволяющая выполнить код в ходе MITM-атаки
  5. OpenNews: Релиз дистрибутива blendOS 4, поддерживающего пакеты из Arch, Fedora, Debian, CentOS и Ubuntu
  6. OpenNews: Представлен Amelia, простой консольный инсталлятор для Arch Linux
Обсуждение (16 +16) | Тип: Программы |


·14.07 Обновление ОС Qubes 4.2.2, использующей виртуализацию для изоляции приложений (30 +9)
  Доступен выпуск операционной системы Qubes 4.2.2, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы рекомендуется система с 16 Гб ОЗУ (минимум - 6 Гб) и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа - 6 ГБ (x86_64).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений (например, работа, развлечения, банковские операции), а также системные сервисы (сетевая подсистема, межсетевой экран, работа с хранилищем, USB-стек и т.п.), работают в отдельных виртуальных машинах, запускаемых с использованием гипервизора Xen. При этом указанные приложения доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Ubuntu, Gentoo и Arch Linux. Возможна организация доступа к приложениям в виртуальной машине с Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.

В новом выпуске отмечено обновление версий программ, формирующих базовое системное окружение (dom0). Подготовлен шаблон для формирования виртуальных окружений на базе Fedora 40.

В ветке 4.2 для защиты от атак, связанных с манипуляцией с unicode-символами и некорректными кодами символов в именах файлах, были введены ограничения, связанные с использованием расширенных символов в именах файлов. Данное изменение привело к проблемам с копированием и перемещением файлов, содержащих не латинские буквы в имени. В версии 4.2.2 по умолчанию восстановлено старое поведение при обработке имён файлов, а для настройки в сервис qubes.Filecopy добавлен параметр "allow-all-names".

  1. Главная ссылка к новости
  2. OpenNews: Обновление ОС Qubes 4.2.1, использующей виртуализацию для изоляции приложений
  3. OpenNews: Релиз ОС Qubes 4.2.0, использующей виртуализацию для изоляции приложений
  4. OpenNews: Выпуск Whonix 17.2, дистрибутива для обеспечения анонимных коммуникаций
  5. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
  6. OpenNews: Началось тестирование ОС Subgraph, использующей контейнерную изоляцию приложений на десктопе
Обсуждение (30 +9) | Тип: Программы |


·14.07 Выпуск fheroes2 1.1.1, открытого движка Heroes of Might and Magic 2 (36 +23)
  Доступен выпуск проекта fheroes2 1.1.1, который воссоздаёт движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить из оригинальной игры Heroes of Might and Magic II.

Основные изменения:

  • Добавлена возможность создавать карты с особыми условиями победы и поражения.
  • Добавлено окно настройки ежедневных событий в игре.
  • Добавлено окно настройки слухов, появляющихся в таверне.
  • Новое окно выбора героя в редакторе.
  • Реализована возможность запрещать постройку любых зданий в городе или замке.
  • Исправления в логике ИИ.
  • Уменьшены и оптимизированы преимущества, который получает ИИ на режимах высокой сложности.
  • На карте приключений дорисована отсутствующая часть спрайта объекта "Сфинкс".
  • Новая вариация объекта "пещера" для найма кентавров на карте приключений.
  • Улучшены и исправлены переводы на поддерживаемые движком языки.
  • Закрыто свыше 40 уведомлений об ошибках и предложений по улучшению проекта.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск fheroes2 1.1.0, открытого движка Heroes of Might and Magic 2
  3. OpenNews: Выпуск открытого игрового движка VCMI 1.5.0, совместимого с Heroes of Might and Magic III
  4. OpenNews: Проект OpenEnroth развивает открытый движок для игр Might and Magic VI-VIII
Обсуждение (36 +23) | Автор: sirDranik | Тип: Программы |


·14.07 Выпуск Whonix 17.2, дистрибутива для обеспечения анонимных коммуникаций (58 +3)
  Доступен выпуск дистрибутива Whonix 17.2, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2.1 ГБ c Xfce и 1.4 ГБ консольный). Образ также может быть сконвертирован для использования с гипервизором KVM.

Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Оба компонента поставляются внутри одного загрузочного образа. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, работающего на базе Whonix-Gateway, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы, как VLC, Tor Browser, Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. Сравнение Whonix с Tails, Tor Browser, Qubes OS TorVM и corridor можно найти на данной странице. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что даёт возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные изменения:

  • Обновлены сборки на базе компонентов защищённого дистрибутива Kicksecure, расширяющего Debian дополнительными механизмами и настройками для повышения безопасности (AppArmor для изоляции, установка обновлений через Tor, использование PAM-модуля tally2 для защиты от подбора паролей, расширение энтропии для RNG, отключение suid, отсутствие открытых сетевых портов по умолчанию, использование рекомендаций от проекта KSPP (Kernel Self Protection Project), добавление защиты от утечки сведений об активности CPU и т.п.).
  • Обеспечено подключение к сети Tor по умолчанию (без вызова мастера подключения при первой загрузке). Пользователям, которым необходимо прямое подключение к сети, предлагается отдельно вызывать ACW (Anon Connection Wizard).
  • Межсетевой экран Whonix-Firewall переведён c iptables на nftables.
  • Улучшена поддержка IPv6.
  • Продолжена работа над экспериментальной Live-сборкой Whonix-Host, оснащённой инсталлятором. Сборка основана на окружении Kicksecure и рассчитана на предоставление защищённого хост-окружения для запуска виртуальных машин с "Whonix-Gateway" и "Whonix-Workstation".
  • Обновлены версии Tor и Tor Browser.
  • Внесены изменения для поддержки децентрализованной P2P-сети Bisq 2, предназначенной для обмена и торговли криптовалютами.
  • Обновлены шаблоны для ОС Qubes. Осуществлён переход с pulseaudio на pipewire. Для направления трафика через Tor задействован tinyproxy и протокол SOCKS.
  • При запуске под управлением гипервизора KVM размер ОЗУ в параметрах виртуальной машины Whonix-Gateway увеличен до 1280 MB, а Whonix-Workstation - до 2048 MB, что соответствует ранее использовавшимся настройкам для VirtualBox.

  1. Главная ссылка к новости
  2. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  3. OpenNews: Релиз ОС Qubes 4.2.0, использующей виртуализацию для изоляции приложений
  4. OpenNews: Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций
  5. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
  6. OpenNews: Выпуск дистрибутива Tails 6.4
Обсуждение (58 +3) | Тип: Программы |


·13.07 Выпуск системы потокового видеовещания OBS Studio 30.2 (35 +20)
  Опубликован выпуск OBS Studio 30.2, пакета для потокового вещания, композитинга и записи видео. Код написан на языках C/C++ и распространяется под лицензией GPLv2. Сборки сформированы для Linux (flatpak), Windows и macOS.

Целью разработки OBS Studio было создание переносимого варианта приложения Open Broadcaster Software (OBS Classic), не привязанного к платформе Windows, поддерживающего OpenGL и расширяемого через плагины. Отличием также является использование модульной архитектуры, подразумевающей разделение интерфейса и ядра программы. Поддерживается перекодирование исходных потоков, захват видео во время игр и стриминг в PeerTube, Twitch, Facebook Gaming, YouTube, DailyMotion и другие сервисы. Для обеспечения высокой производительности возможно использование механизмов аппаратного ускорения (например, NVENC, Intel QSV и VAAPI).

Предоставляется поддержка композитинга с построением сцены на основе произвольных видеопотоков, данных с web-камер, карт захвата видео, изображений, текста, содержимого окон приложений или всего экрана. В процессе вещания допускается переключение между несколькими предопределёнными вариантами сцен (например, для переключения представлений с акцентом на содержимое экрана и изображение с web-камеры). Программа также предоставляет инструменты для микширования звука, фильтрации при помощи VST-плагинов, выравнивая громкости и подавления шумов.

Ключевые изменения:

  • Реализована поддержка гибридного формата вывода MP4, более стойкого к потере данных, но сохраняющего совместимость с MP4. Формат сочетает в себе устойчивый к сбоям фрагментированный вариант MP4 с распространённым и обеспечивающий быстрый доступ обычный MP4.
  • Добавлена поддержка стриминга многотрекового видео (соответствует режиму "Enhanced Broadcasting" в Twitch). Данная возможность пока доступна только на системах с Windows при наличии GPU NVIDIA GTX 900, GTX 10, RTX 20, AMD RX 6000 или более новых серий. При вещании в данном режиме на стриминговый сервис отправляются такие данные как версия OBS, выставленные настройки звука и видео, информация о памяти, операционной системе, GPU и CPU
  • Добавлена поддержка передачи многотрекового звука и видео с использованием расширенного формата RTMP/FLV.
  • Реализована возможность использования кодировщика NVENC AV1 на платформе Linux.
  • На системах с Linux в кодировщиках на базе NVENC, QuickSync и VA-API обеспечена поддержка разделяемых текстур (shared texture), используемых несколькими объектами в 3D-сцене.
  • При выводе через WebRTC реализована возможность использования формата HEVC.
  • Добавлена система 'Composable Themes' для упрощения создания и сопровождения тем оформления. Возможно создание базовых тем, и основанных на них вариантов, переключаемых во вкладке "Appearance". Поддержка старого формата тем оформления прекращена.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системы потокового видеовещания OBS Studio 30.1
  3. OpenNews: Выпуск сервера потокового вещания Owncast 0.1.0
  4. OpenNews: Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1
  5. OpenNews: В OBS Studio добавлена поддержка WebRTC с возможностью вещания в режиме P2P
  6. OpenNews: Опубликована система потокового видеовещания OBS Studio 30.0
Обсуждение (35 +20) | Тип: Программы |


·12.07 Выпуск почтового клиента Thunderbird 128 (162 +16)
  Спустя год после публикации прошлого значительного выпуска опубликован релиз почтового клиента Thunderbird 128, развиваемого силами сообщества и основанного на технологиях Mozilla. Thunderbird 128 построен на кодовой базе ESR-выпуска Firefox 128 и отнесён к категории версий с длительным сроком поддержки, обновления для которых выпускаются в течение года.

Основные изменения в Thunderbird 128:

  • Добавлена возможность разработки компонентов на языке Rust. Отмечается, что использование языка Rust даст возможность снизить вероятность совершения ошибок при работе с памятью, обеспечит увеличение производительности и позволит вписаться в существующую экосистему, развивающую связанные с электронной почтой модули на языке Rust.

    Первым из компонентов на Rust станет реализация почтового протокола Microsoft Exchange Web Services (EWS), позволяющая обойтись без установки сторонних дополнений, через которые до сих пор предоставлялась поддержка Microsoft Exchange. Встроенную поддержку MS Exchange планируют активировать в одном из будущих промежуточных выпусков 128.x.

  • Модернизировано оформление режима вертикальной компоновки списка сообщений (Card View), стилизованного под мобильные интерфейсы в которых элементы показываются в форме "плоских" карточек. Упрощена навигация по нитям переписки и обеспечена автоматическая корректировка высоты карточек в зависимости от настроек. Добавлена индикация непрочитанных сообщений зелёной точкой, а появившихся с момента прошлого открытия новых сообщений - жёлтой звёздочкой.
  • Расширены возможности панели со списком почтовых папок (Folder Pane). Ускорена отрисовка и поиск унифицированных папок. Добавлена возможность выделения сразу нескольких папок.
  • Добавлена поддержка использования заданных в темах оформления акцентных цветов (accent), применяемых для выделения активных элементов. Изменение позволяет добиться единого цветового оформления с другими приложениями в дистрибутивах, активно использующих акцентные цвета в темах оформления, таких как Ubuntu и Linux Mint.
  • Предоставлена возможность выбора цвета для визуального выделения разных учётных записей. При написании письма поле "From" подсвечивается цветом, в зависимости от выбранной учётной записи.
  • Упрощена навигация с использованием меню.
  • На платформе Windows при выводе уведомлений задействована штатная система уведомлений. При щелчке мышью на уведомлении, оно закрывается и осуществляется переход к соответствующему сообщению в интерфейсе Thunderbird.
  • Проведена реорганизация контекстного меню, наиболее значимые операции представлены в виде пиктограмм для быстрого доступа. Добавлено контекстное меню для кнопки "Get Messages", через которое можно инициировать получение новых сообщений для отдельных учётных записей.
  • Реализована обработка почтовых заголовков List-Unsubscribe, Archived-At и List-Archive для предоставления действий по отписке от списка рассылки или перехода на сайт с архивом рассылки.
  • Подготовлена, но пока не включена по умолчанию, возможность синхронизации настроек между разными системами, реализованная через привязку к учётной записи в Mozilla Account.
  • Добавлена настройка mail.addressDisplayFormat для постоянного отображения в списке сообщений полного имени и email всех получателей.
  • В режим древовидного просмотра переписки добавлен счётчик новых сообщений.
  • В менеджере ключей OpenPGP реализована процедура для отзыва любого ключа.
  • Для сообщений S/MIME реализована поддержка шифрования и расшифровки с использованием протокола ECDH.
  • Изменён применяемый по умолчанию порядок сортировки списка сообщений - новые сообщения теперь показываются вверху.
  • Переработана панель инструментов в адресной книге.

  1. Главная ссылка к новости
  2. OpenNews: В Thunderbird добавят реализацию протокола Microsoft Exchange на языке Rust
  3. OpenNews: Реклама программы-вымогателя под видом почтового клиента Thunderbird
  4. OpenNews: Выпуск почтового клиента Thunderbird 115 c переработанным интерфейсом пользователя
  5. OpenNews: Проект K-9 Mail перейдёт под крыло Thunderbird и станет основой Thunderbird для Android
  6. OpenNews: Релиз Firefox 128
Обсуждение (162 +16) | Тип: Программы |


·12.07 Выпуск GNU Automake 1.17, инструментария для генерации сборочных файлов (66 +10)
  Спустя шесть лет с момента прошлого выпуска опубликован релиз Automake 1.17, утилиты для автоматической генерации make-файлов, соответствующих стандартам кодирования проекта GNU. В новой версии параметр AM_PATH_PYTHON изменён для использования в качестве приоритетной ветки Python 3 вместо Python 2, в случае наличия обеих веток в системе. Добавлено определение версий Python новее 3.9. В скрипте py-compile прекращена поддержка выпусков Python 0.x и 1.x, в качестве минимальной заявлена версия Python 2.0, выпущенная в 2000 году.

Остальные значимые изменения в Automake 1.17 в основном связаны с проведением работы по улучшению переносимости и исправлению накопившихся ошибок. Например:

  • Добавлена новая опция "posix" для создания специальной сборочной цели .POSIX для утилиты make.
  • Добавлена поддержка систем, поведение команды "rm -f" в которых не соответствует спецификации POSIX.
  • Разрешено использование экранированной последовательности "\#" в переменных.
  • В утилиту aclocal добавлен флаг "--aclocal-path" для переопределения значения переменной $ACLOCAL_PATH.
  • В скрипт missing добавлена поддержка autoreconf, autogen и perl.
  • В лог test-suite.log добавлена основная информация о системе.

  1. Главная ссылка к новости
  2. OpenNews: Релиз генератора файлов сборки GNU Automake 1.16
  3. OpenNews: Выпуск системы сборки GNU Make 4.4
  4. OpenNews: Опубликован Autodafe, инструментарий для замены Autotools на обычный Makefile
  5. OpenNews: Выпуск GNU Autoconf 2.72
Обсуждение (66 +10) | Тип: Программы |


·12.07 FreeBSD переходит на сокращённый цикл подготовки релизов (212 +12)
  Колин Персиваль (Colin Percival), лидер команды, отвечающей за подготовку релизов FreeBSD, объявил об изменении процессов формирования и сопровождения выпусков. Начиная с ветки FreeBSD 15, намеченной на конец 2025 года, время сопровождения значительных веток после формирования первого релиза (15.0) будет сокращено с 5 до 4 лет. При этом новые значительные ветки будут формироваться раз в два года.

Промежуточные выпуски (15.1, 15.2, 15.3) будут разрабатываться в рамках фиксированного цикла разработки, подразумевающего публикацию новых версий в одной ветке примерно через каждые 6 месяцев, а не раз в год как было до сих пор. C учётом одновременного сопровождения двух разных значительных веток, новый промежуточный выпуск будет публиковаться раз в 3 месяца (15.4, 16.1, 15.5, 16.2 и т.п.), за исключением подготовки первых релизов новых значительных веток, перед которыми будет 6-месячный перерыв в релизах (например, релиз 15.3 будет сформирован в июне 2027 года, 16.0 в декабре 2027, 15.4 - в марте 2028, 16.1 - в июне 2028).

Отмечается, что проведённые в последнее время оптимизации взаимодействия команд, отвечающих за формирование релизов и разработку, позволили свести процесс подготовки релизов к 3 бета-версиям и одному кандидату в релизы, вместо 3-4 бета-версий и 3-6 кандидатов в релизы. При подобной организации разработки 3 месяцев для подготовки промежуточного выпуска вполне достаточно. Сокращение цикла подготовки релизов позволит более оперативно доводить до пользователей новые возможности и снизить нагрузку при подготовке каждого выпуска. Общая предсказуемая модель разработки упростит планирование пользователями перехода на новые выпуски, но в случае выявления критических проблем разработчики оставляют за собой право отложить релиз до готовности исправления.

Новый график формирования и сопровождения выпусков FreeBSD:

  • 13.3: Mar 2024 Dec 2024
  • 14.1: Jun 2024 Mar 2025
  • 13.4: Sep 2024 Jun 2025
  • 14.2: Dec 2024 Sep 2025
  • 13.5: Mar 2025 Apr 2026
  • 14.3: Jun 2025 Jun 2026
  • 15.0: Dec 2025 Sep 2026
  • 14.4: Mar 2026 Dec 2026
  • 15.1: Jun 2026 Mar 2027
  • 14.5: Sep 2026 Jun 2027
  • 15.2: Dec 2026 Sep 2027
  • 14.6: Mar 2027 Nov 2028
  • 15.3: Jun 2027 Jun 2028
  • 16.0: Dec 2027 Sep 2028
  • 15.4: Mar 2028 Dec 2028
  • 16.1: Jun 2028 Mar 2029
  • 15.5: Sep 2028 Jun 2029
  • 16.2: Dec 2028 Sep 2029
  • 15.6: Mar 2029 Dec 2029
  • 16.3: Jun 2029 Jun 2030
  • 17.0: Dec 2029 Sep 2030

  1. Главная ссылка к новости
  2. OpenNews: Обсуждение ветки FreeBSD 15 и интеграции поддержки Rust во FreeBSD
  3. OpenNews: Релиз FreeBSD 14.1 с улучшенным звуковым стеком и поддержкой cloud-init
  4. OpenNews: Результаты опроса пользователей FreeBSD и план устранения выявленных проблем
  5. OpenNews: Проект ravynOS развивает редакцию FreeBSD, нацеленную на совместимость c macOS
  6. OpenNews: Для FreeBSD развивается новый графический инсталлятор. Отчёт FreeBSD за 1 квартал
Обсуждение (212 +12) | Тип: К сведению |


·12.07 Утечка токена для полного доступа к GitHub-репозиториям проекта Python (103 +43)
  Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.

По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре. Токен предоставлял доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa. Проблемный Docker-образ с токеном был опубликован в каталоге Docker Hub третьего марта 2023 года, а удалён 11 июня 2024 года т.е. 16 месяцев находится в открытом доступе. 28 июня токен был отозван.

Примечательно, что в доступных исходных текстах, на базе которых был сгенерирован проблемный файл с байткодом, упоминание токена отсутствует. Автор кода пояснил, что в процессе разработки инструментария cabotage-app5 на своей локальной системе столкнулся с ограничениями интенсивности доступа к API GitHub при выполнении функции автоматизированной загрузки файлов из GitHub, и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ.


    def _fetch_github_file(
   -    github_repository="owner/repo", ref="main", access_token=None, filename="Dockerfile"
   +    github_repository="owner/repo",
   +    ref="main",
   +    access_token="0d6a9bb5af126f73350a2afc058492765446aaad",
   +    filename="Dockerfile",
    ):

Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа с использованием раскрытого токена. С учётом того, что с 2017 года GitHub является первичной площадкой для разработки CPython, попадание токена в руки злоумышленника могло бы привести к полной компрометации инфраструктуры, используемой для разработки Python и репозитория PyPI, и возможности совершения попыток интеграции бэкдоров в CPython и пакетный менеджер PyPI.

Инцидент показывает важность анализа утечек не только в исходном коде, файлах конфигурации и переменных окружения, но и в бинарных файлах. В контексте Python пользователям также рекомендуется обращать внимание на наличие в загружаемых проектах pyc-файлов со скомпилированным байткодом, так как данные файлы могут содержать скрытые модификации, отсутствующие в исходном коде.

  1. Главная ссылка к новости
  2. OpenNews: Утечка токенов пользователей платформы Hugging Face Spaces
  3. OpenNews: GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения
  4. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
  5. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
  6. OpenNews: 67% публичных серверов Apache Superset используют ключ доступа из примера настроек
Обсуждение (103 +43) | Тип: Проблемы безопасности | Интересно


·11.07 Выпуск межсетевого экрана firewalld 2.2.0 (121 +5)
  Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Ключевые изменения:

  • Добавлены сервисы для поддержки протоколов STUN и STUNS.
  • Добавлен сервис для трафика Steam в локальной сети.
  • Добавлен сервис для протокола MNDP (MikroTik Neighbor Discovery Protocol).
  • Добавлен сервис для файлового сервера XRootD.
  • Добавлен сервис для протокола WS-Discovery (Web Services Dynamic Discovery).
  • Добавлены сервисы для сетевой активности утилит измерения пропускной способности iperf2 и iperf3.
  • Разрешено использование в nftables таблиц с флагами "owner" и "persist".
  • Добавлена поддержка режимов работы rpfilter (Reverse Path Filter): strict-forward, loose-forward и loose.

  1. Главная ссылка к новости
  2. OpenNews: Доступны межсетевые экраны OpenSnitch 1.6.0 и firewalld 2.0
  3. OpenNews: Выпуск интерактивного межсетевого экрана TinyWall 2.0
  4. OpenNews: Опубликован межсетевой экран приложений Portmaster 1.0
  5. OpenNews: Выпуск пакетного фильтра nftables 1.0.8
  6. OpenNews: Выпуск пакетного фильтра iptables 1.8.10
Обсуждение (121 +5) | Тип: Программы |


·11.07 Выпуск графической библиотеки IGL 1.0, абстрагирующей работу с OpenGL, Metal, Vulkan и WebGL (28 +19)
  Компания Meta* опубликовала релиз графической библиотеки IGL 1.0 (Intermediate Graphics Library), предоставляющей универсальный низкоуровневый API для управления GPU. Предложенный API охватывает типовую функциональность GPU и позволяет создавать кросс-платформенные приложения, способные работать поверх графических API OpenGL, Metal и Vulkan на системах с Android, iOS, Linux, macOS и Windows, а также использовать WebGL для отрисовки в Web при компиляции приложения в промежуточный код WebAssembly. Код IGL написан на языке С++ и распространяется под лицензией MIT.

Для отрисовки предоставляются бэкенды для API Metal 2+, OpenGL 2.x, OpenGL 3.1+, OpenGL ES 2.0+, Vulkan 1.1 и WebGL 2.0. Библиотека подходит для разработки игр, систем 3D-моделирования и любых других проектов, требующих поддержки высококачественной графики. Код IGL оптимизирован для достижения максимальной производительности даже при работе со сложными и детализированными моделями.

Структура API разработана с оглядкой на простоту использования и реализует типовые концепции, понятные большинству разработчиков, знакомых с одним из графических API. По уровню абстракций IGL близок к Vulkan и WebGPU, но при этом избавлен от привязанной к конкретным движкам специфики. Библиотека поддерживает подключение расширений, при помощи которых можно легко интегрировать дополнительную функциональности и реализовать возникающие нестандартные потребности разработчиков.

  1. Главная ссылка к новости
  2. OpenNews: Релиз фреймворка Qt 6.7 и среды разработки Qt Creator 13
  3. OpenNews: Выпуск графической библиотеки Pixman 0.40
  4. OpenNews: Выпуск библиотеки для создания графических интерфейсов Slint 0.2
  5. OpenNews: Релиз векторной графической библиотеки Cairo 1.18.0
  6. OpenNews: Доступен графический тулкит GTK 4.14 с новыми движками для OpenGL и Vulkan
Обсуждение (28 +19) | Тип: Программы |


·11.07 Новая версия почтового сервера Exim 4.98 (33 +13)
  После восьми месяцев разработки опубликован релиз почтового сервера Exim 4.98, в который внесены накопившиеся исправления и добавлены новые возможности. Код проекта написан на языке Си и распространяется под лицензией GPLv2+. В соответствии с июньским автоматизированным опросом около 400 тысяч почтовых серверов, доля Exim составляет 59.06% (год назад 55.93%), Postfix используется на 34.68% (37.40%) почтовых серверов, Sendmail - 3.42% (3.45%), MailEnable - 1.81% (1.86%), MDaemon - 0.37% (0.48%), Microsoft Exchange - 0.17% (0.25%).

Основные изменения:

  • Устранена уязвимость (CVE-2024-39929), вызванная некорректным разбором имён файлов в почтовых вложениях. Уязвимость позволяет обойти фильтры, в которых используется переменная $mime_filename, и добиться передачи исполняемых файлов во вложениях, несмотря на их блокировку в настройках.
  • В ACL, применимым к данным, переменным командой DATA, разрешено использование условия dkim_status, позволяющего оценить результат проверки через механизм DKIM (DomainKeys Identified Mail).
  • При включении настройки dkim_verbose, выводящей в лог дополнительную отладочную информацию о работе DKIM, обеспечен вывод сведений о цифровых подписях.
  • В опции dkim_timestamps, управляющей включением в подпись информации о времени, разрешено указание значения "0" для добавления текущего времени.
  • В опции recipients_max, задающей лимит на число получателей для одного сообщения, разрешено использование подстановок и шаблонов.
  • При тестировании выражений через команду "exim -be" предоставлена возможность выставления tainted-значений (значения, полученные извне, например, выставленные отправителем письма).
  • Добавлена поддержка обработки и отражения в логах события "dns:fail", возникающего при сбое запроса к DNSBL-спискам.
  • В lookup-блоки dsearch добавлена поддержка поиска по неполному файловому пути ("${lookup {foo/bar} dsearch,key=path {/etc}}").
  • В состав включена утилита mailtest для проверки и диагностики SMTP-соединения.
  • Реализована поддержка SMTP-расширения WELLKNOWN, при помощи которого SMTP-сервер может передавать клиенту публичную информацию, например, контактные данные или параметры верификации при получении TLS-сертификата, используя протокол ACME.
  • Добавлена возможность использования SQLite3 для хранения внутренних БД, в дополнение к DBD, NDB, GBDM и TDB. Для использования SQLite3 перед сборкой в Local/Makefile необходимо указать "USE_SQLITE = y" и "DBMLIB = -lsqlite3".

  1. Главная ссылка к новости
  2. OpenNews: Обновление Exim 4.97.1 с добавлением защиты от атаки SMTP Smuggling
  3. OpenNews: Новая версия почтового сервера Exim 4.97
  4. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере
  5. OpenNews: Обновление Exim 4.94.2 с устранением 10 удалённо эксплуатируемых уязвимостей
  6. OpenNews: Опубликован почтовый сервер Postfix 3.9.0
Обсуждение (33 +13) | Тип: Программы |


Следующая страница (раньше) >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру