Режим Advanced Protection охватывает следующие механизмы защиты:

• Защита на случай кражи, конфискации и получения физического доступа атакующего к устройству.
  • Перезагрузка устройства, если экран не был разблокирован более 3 дней. В случае попадания устройства в другие руки автоматическая перезагрузка переведёт расшифрованные разделы с пользовательскими данными в исходное нерасшифрованное состояние, что защитит от атак по анализу содержимого памяти и эксплуатации уязвимостей в механизме блокировки экрана.
  • Защита от совершения атак или слива данных через подключение устройства по USB. При заблокированном экране возможности USB-порта для новых подключений ограничиваются только зарядкой, а передача данных блокируется.
  • Автоматическая блокировка устройства при определении признаков кражи или при длительном нахождении в offline.
• Анализ инцидентов.
  • Резервное копирование системных логов в облаке Google. Резервная копия логов сохраняется с использованием сквозного шифрования и доступна только пользователю устройства. В случае компрометации или взлома устройства предложенная возможность упростит проведение криминалистического анализа и не позволит атакующему замести свои следы через чистку логов на устройстве.
• Защита от уязвимостей в приложениях и установки вредоносных приложений.
  • Задействование аппаратного механизма защиты MemTag (MTE, Memory Tagging Extension), присутствующего в чипах на базе архитектуры ARMv8.5-A. Технология MemTag даёт возможность привязать теги к областям в памяти и организовать проверку корректности использования указателей для блокирования эксплуатации уязвимостей, вызванных обращением к уже освобождённым блокам памяти, переполнением буфера и обращением до инициализации.
  • Включение Google Play Protect для проверки приложений на предмет вредоносного кода и навязываемой функциональности.
  • Блокировка установки неизвестных приложений. Допускается загрузка только программ из официальных каталогов приложений, изначально предустановленных на устройстве.
• Защита от установки небезопасных сетевых соединений.
  • Блокирование подключения к 2G-сетям сотовой связи.
  • Отключение автоматического переподключения к незащищённым Wi-Fi сетям, использующим WEP или OWE, а также доступным без пароля.
• Защита при работе с небезопасными сайтами.
  • Отключение JIT-оптимизаторов в JavaScript-движке V8, что повышает безопасность работы с потенциально опасными web-приложениями за счёт уменьшения возможных векторов для совершения атаки.
  • Включение Android Safe Browsing для блокирования обращения к сайтам, на которых зафиксирована вредоносная активность.
  • Использование только HTTPS в Chrome.
• Фильтрация от спама и мошеннических сообщений.
  • Включение в приложении Google Messages режимов Spam Protection и Scam Protection для отбрасывания нежелательных сообщений.
  • Защита от перенаправления на вредоносные и фишинговые сайты. Вывод отдельного предупреждения в случае поступления сообщений от неизвестных пользователей, содержащих ссылки.
• Блокирование рекламных звонков.
  • Идентификация по Caller ID нежелательных вызовов, используя поддерживаемую силами Google базу телефонных номеров спамеров.
  • Автоматическая проверка входящих звонков на спам, используя AI-ассистент.
  • Вывод предупреждений при выявлении признаков мошенничества в результате анализа телефонного разговора в режиме реального времени.

1. Главная ссылка к новости
2. OpenNews: Google ограничил полномочия Android-приложения Nextcloud
3. OpenNews: В Android появится опция для автоматической перезагрузки после 3 дней неактивности
4. OpenNews: Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов
5. OpenNews: Vulkan стал официальным графическим API платформы Android. Третий бета-выпуск Android 16
6. OpenNews: В обновлении Android 15 для устройств Google Pixel добавлен Linux-терминал

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• В стандартную библиотеку добавлена поддержка неименованных каналов (anonymous pipe). Для создания неименованных каналов предложен метод std::io::pipe(), который может использоваться в сочетании с std::process::Command для обработки стандартных входных и выходных потоков, а также для объединения потоков stdout и stderr.

  
     use std::process::Command;
     use std::io::Read;
  
     let (mut recv, send) = std::io::pipe()?;
  
     let mut command = Command::new("path/to/bin")
         // объединение stdout и stderr в один канал
         .stdout(send.try_clone()?)
         .stderr(send)
         .spawn()?;
  
     let mut output = Vec::new();
     recv.read_to_end(&mut output)?;
  
     assert!(command.wait()?.success());
  

• Разрешён вызов из safe-кода большинства встроенных в компилятор функций (Intrinsics) std::arch. Изменение применяется к встроенным функциям std::arch, которые помечены unsafe только из-за привязки к определённой функциональности, если эта функциональность включена. Например, _mm256_add_epi32 можно вызывать из safe-кода, если в приложении используется '#[target_feature(enable = "avx2")]'.
• Из блоков "asm!" с ассемблерным кодом разрешено осуществлять переходы на блоки с кодом на языке Rust, что упрощает разработку низкоуровневого кода, например, реализации оптимизаций в ядре или организации взаимодействия с оборудованием. Точка для перехода для ассемблерной команды "jmp" задаётся в макросе "asm!" при помощи нового операнда "label", содержащего блочное выражение с кодом на языке Rust.

  
  
     unsafe {
         asm!(
             "jmp {}",
             label {
                 println!("Jumped from asm!");
             }
         );
     }
  

• Разрешено точно указывать захваченные обобщённые типы и время жизни в определениях типажей с использованием возвращаемых типов impl Trait.

  
     trait Foo {
         fn method<'a>(&'a self) -> impl Sized;
       
         type Implicit1<'a>: Sized;
         fn method_desugared<'a>(&'a self) -> Self::Implicit1<'a>;
     
         fn precise<'a>(&'a self) -> impl Sized + use<Self>;
      
         type Implicit2: Sized;
         fn precise_desugared<'a>(&'a self) -> Self::Implicit2;
     }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • Vec::extract_if
  • vec::ExtractIf
  • LinkedList::extract_if
  • linked_list::ExtractIf
  • <[T]>::split_off
  • <[T]>::split_off_mut
  • <[T]>::split_off_first
  • <[T]>::split_off_first_mut
  • <[T]>::split_off_last
  • <[T]>::split_off_last_mut
  • String::extend_from_within
  • os_str::Display
  • OsString::display
  • OsStr::display
  • io::pipe
  • io::PipeReader
  • io::PipeWriter
  • impl From<PipeReader> for OwnedHandle
  • impl From<PipeWriter> for OwnedHandle
  • impl From<PipeReader> for Stdio
  • impl From<PipeWriter> for Stdio
  • impl From<PipeReader> for OwnedFd
  • impl From<PipeWriter> for OwnedFd
  • Box<MaybeUninit<T>>::write
  • impl TryFrom<Vec<u8>> for String
  • <*const T>::offset_from_unsigned
  • <*const T>::byte_offset_from_unsigned
  • <*mut T>::offset_from_unsigned
  • <*mut T>::byte_offset_from_unsigned
  • NonNull::offset_from_unsigned
  • NonNull::byte_offset_from_unsigned
  • <uN>::cast_signed
  • NonZero::<uN>::cast_signed.
  • <iN>::cast_unsigned.
  • NonZero::<iN>::cast_unsigned.
  • <uN>::is_multiple_of
  • <uN>::unbounded_shl
  • <uN>::unbounded_shr
  • <iN>::unbounded_shl
  • <iN>::unbounded_shr
  • <iN>::midpoint
  • <str>::from_utf8
  • <str>::from_utf8_mut
  • <str>::from_utf8_unchecked
  • <str>::from_utf8_unchecked_mut
• Признак "const" применён в функциях:
  • core::str::from_utf8_mut
  • <[T]>::copy_from_slice
  • SocketAddr::set_ip
  • SocketAddr::set_port,
  • SocketAddrV4::set_ip
  • SocketAddrV4::set_port,
  • SocketAddrV6::set_ip
  • SocketAddrV6::set_port
  • SocketAddrV6::set_flowinfo
  • SocketAddrV6::set_scope_id
  • char::is_digit
  • char::is_whitespace
  • <N::as_flattened
  • <N::as_flattened_mut
  • String::into_bytes
  • String::as_str
  • String::capacity
  • String::as_bytes
  • String::len
  • String::is_empty
  • String::as_mut_str
  • String::as_mut_vec
  • Vec::as_ptr
  • Vec::as_slice
  • Vec::capacity
  • Vec::len
  • Vec::is_empty
  • Vec::as_mut_slice
  • Vec::as_mut_ptr
• Удалён второй уровень поддержки для целевой платформы i586-pc-windows-msvc. Рекомендуется использовать платформу i686-pc-windows-msvc, которая отличается поддержкой инструкций SSE2. Платформа i586-pc-windows-msvc потеряла смысл, так как для Windows 10 необходима поддержка SSE2, а более ранние выпуски Windows в Rust не поддерживаются.

1. Главная ссылка к новости
2. OpenNews: Обзор проектов, использующих Rust
3. OpenNews: Прогресс в разработке транслятора из Rust в код на Cи и .NET IR
4. OpenNews: Искажение авторства патчей Rust-обвязок к подсистеме DRM
5. OpenNews: Выпуск Rust 1.86. Подготовка официальной спецификации языка Rust
6. OpenNews: Разработчики GRUB2 рассматривают возможность использования языка Rust

В отличие от YJIT новый JIT-компилятор не транслирует байткод виртуальной машины YARV в низкоуровневое промежуточное представление (по сути почти напрямую в машинный код), а преобразует байткод в высокоуровневое промежуточное представление SSA (Static Single Assignment), над которым можно реализовать дополнительные фазы оптимизации и проводить оптимизацию с оглядкой на крупные блоки кода, а не отталкиваясь только от текущих операций.

ZJIT выполняет компиляцию за раз целого метода, в то время как YJIT мог манипулировать компиляцией только базовых блоков. Для профилирования типов ZJIT реализует классическую архитектуру JIT, использующую накопленные интерпретатором исторические данные о типах, вместо применённой в YJIT техники версионирования базовых блоков (LBBV - Lazy Basic Block Versioning).

Использование высокоуровневого промежуточного представления решит проблемы с расширением, возникшие в YJIT, заложит основу для реализации в будущем многоуровневой JIT-компиляции, позволит реализовать расширенные оптимизации (например, более агрессивное inlinе-развёртывание) и упростит адаптацию JIT для различных платформ. Возвращение к традиционной модели профилирования типов избавит код от усложнений и даст возможность привлечь к работе новых участников (использование LBBV в YJIT привело к тому, что проект был непонятен другим участникам и развивался только сотрудниками Shopify).

1. Главная ссылка к новости
2. OpenNews: Опубликован язык программирования Ruby 3.4.0
3. OpenNews: Представлен RubyWM, оконный менеджер, написанный целиком на Ruby
4. OpenNews: Доступен встраиваемый интерпретатор mruby 3.2
5. OpenNews: RubyGems переходит на обязательную двухфакторную аутентификацию для популярных пакетов
6. OpenNews: Шутка про возраст женщин привела к изменению кодекса поведения Ruby

Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Компоненты представляют собой отдельные системные окружения, поставляемые внутри одного загрузочного образа и запускаемые в разных виртуальных машинах. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера или эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, работающего на базе Whonix-Gateway, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы, как VLC, Tor Browser, Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что позволяет обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные изменения:

• В Whonix-Workstation с рабочим столом Xfce рабочая учётная запись по умолчанию разделена на два разных пользователя: user - для повседневной работы и sysmaint для управления системой и выполнения административных задач, таких как обновление и установка нового ПО.
• Обновлены сборки на базе компонентов защищённого дистрибутива Kicksecure, расширяющего Debian дополнительными механизмами и настройками для повышения безопасности: AppArmor для изоляции, установка обновлений через Tor, использование PAM-модуля tally2 для защиты от подбора паролей, расширение энтропии для RNG, отключение suid, отсутствие открытых сетевых портов по умолчанию, использование рекомендаций от проекта KSPP (Kernel Self Protection Project), добавление защиты от утечки сведений об активности CPU и т.п.
• Добавлена стартовая страница whonix-welcome-page.
• Для запуска приложения anon-gw-anonymizer-config задействован фреймворк privleap (аналог sudo).
• Добавлена новая тема оформления загрузочного меню GRUB.
• В список рекомендованных пакетов добавлен gnome-keyring, решающий проблемы с мессенджером Signal.
• В Whonix-Workstation прекращена установка по умолчанию пакета qubes-core-agent-passwordless-root.

1. Главная ссылка к новости
2. OpenNews: Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций
3. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
4. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
5. OpenNews: Проект Tor и дистрибутив Tails объявили об объединении
6. OpenNews: Релиз ОС Qubes 4.2.0, использующей виртуализацию для изоляции приложений

Oniux позволяет создать для любого приложения изолированный контейнер, трафик из которого принудительно перенаправляется только через сеть Tor. Для отправки трафика создаётся туннель на базе onionmasq, внутри контейнера выглядящий как виртуальный сетевой интерфейс (TUN). Доступ к доступным в основном окружении сетевым интерфейсам блокируется на уровне изоляции сетевого стека в отдельном пространстве имён.

По сравнению с torsocks новая утилита не ограничивается подменой библиотечных функций и блокирует возможные каналы утечки (например, перенаправление через torsocks можно обойти через прямое обращение к системным вызовам ядра). Программа также защищает от утечек, вызванных ошибками при настройке SOCKS-прокси, направляющего трафик в сеть Tor. Ценой более жёсткой изоляции является потеря многоплатформенности - Oniux может работать только в Linux.

Утилита Oniux самодостаточна и не требует для работы запуска отдельного фонового процесса Tor. Взаимодействие с сетью Tor в Oniux построено с использованием библиотеки, развиваемой проектом Arti, в то время как torsocks базируется на CTor и использует SOCKS-прокси. Утилита Oniux может оказаться полезной для запуска приложений и сервисов, критических важных с точки зрения обеспечения конфиденциальности.

Использование сводится к добавлению вызова утилиты "oniux" перед запуском желаемой программы. Например, для отправки запроса через curl поверх Tor можно выполнить команду "oniux curl URL", а для направления через Tor любых запросов внутри сеанса с командным интерпретатором - "oniux bash". Поддерживается изоляция графических приложений.

1. Главная ссылка к новости
2. OpenNews: Выпуск Tor Browser 14.5
3. OpenNews: Выпуск Arti 1.4.0, официальной реализации Tor на языке Rust
4. OpenNews: Проект Tor и дистрибутив Tails объявили об объединении
5. OpenNews: Выпуск новой стабильной ветки Tor 0.4.8

Представители проекта Nextcloud отправляли в Google апелляции, поясняя, что функциональность для доступа ко всем файлам необходима для синхронизации файлов между системами и предоставления совместного доступа к файлам. Данные операции образуют ключевую функциональность Nextcloud и являются её конкурентными преимуществами. Приложение Nextcloud размещено в Google Play с 2016 года и до сих пор не вызывало претензий в плане обеспечения конфиденциальности.

В ответ от службы поддержки Google Play возвращались только повторяющиеся типовые отписки с цитированием отрывка из руководства для разработчиков, советующего перейти на другие API, обеспечивающие конфиденциальную работу с данными. Рекомендуемые новые API неприменимы с учётом специфики Nextcloud, например, API SAF (Storage Access Framework) нацелен на обмен файлами между разными приложениями, а API MediaStore позволяет работать только с мультимедийными файлами.

Добиться публикации новой версии в Google Play удалось только после выполнения требований и задействования API MediaStore для работы с фотографиями и видео, но для остальных типов файлов теперь невозможно включить загрузку с устройств Android в Nextcloud, если приложение установлено из Google Play. Для обхода данного ограничения рекомендуется использовать вариант приложения из каталога F-Droid.

1. Главная ссылка к новости
2. OpenNews: Выпуск Nextcloud Hub 10, платформы для организации совместной работы
3. OpenNews: Google развивает в Android 16 возможность запуска графических Linux-приложений
4. OpenNews: Vulkan стал официальным графическим API платформы Android. Третий бета-выпуск Android 16
5. OpenNews: Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов

Некоторые отдельные Mercurial-репозитории объединены в единое Git-пространство и доступны через Git-ветки: репозиторий mozilla-central теперь стал веткой main в Git-репозитории Firefox, mozilla-beta - веткой beta, mozilla-release - release, mozilla-esr115 - esr-115, mozilla-esr-128 - esr-128, autoland - autoland. Использование сервисов Bugzilla, moz-phab, Phabricator и Lando будет продолжено без изменений. Старые Mercurial-репозитории пока остаются доступны, но переведены в режим синхронизированных зеркал.

Решение о миграции на Git было принято осенью 2023 года. Предполагалось, что миграция займёт около 6 месяцев, но в итоге она затянулась на полтора года. До миграции проект предоставлял возможность использования Mercurial или Git на выбор разработчиков, но в основном репозитории применялся Mercurial. Поддержка сразу двух систем создавала большую нагрузку на администраторов, а самостоятельное сопровождение хостинга кода приводило к проблемам с масштабированием и отнимало ресурсы на поддержания отказоустойчивой инфраструктуры. Поэтому было решено ограничиться применением для разработки только Git и разместить основной репозиторий на GitHub.

Дополнительно можно отметить корректирующий выпуск Firefox 138.0.3, в котором решено несколько проблем:

• Устранено аварийное завершение работы, возникавшее при просмотре сайтов, использующих WebGL.
• Устранена ошибка, приводившая к аварийному завершению работы при применении некоторых эффектов SVG, таких как размытие и отбрасывание тени, к очень мелким объектам на экране.
• На платформе Linux устранена проблема с размытым отображением видео в Youtube на системах с Wayland, не поддерживающих HDR.
• Исправлена недоработка, из-за которой не работала комбинация клавиш Alt+C для активации режима поиска с учётом регистра символов.

1. Главная ссылка к новости
2. OpenNews: Проекты Mozilla Labs стали доступны через Git
3. OpenNews: Релиз Firefox 138
4. OpenNews: Mozilla пояснила причину удаления обещаний не продавать данные пользователей
5. OpenNews: Компания Mozilla выступила против запрета отчислений за трафик поисковой системе Google
6. OpenNews: Mozilla развивает Thunderbird Pro и сервис Thundermail в стиле Gmail и Office 365

Целью проекта является предоставление готового к работе пользовательского окружения, не требующего выполнения дополнительных действий после установки и решающего основные проблемы, с которыми сталкиваются пользователи Fedora. Дистрибутив поставляется с проприетарными компонентами, обычно используемыми на рабочих станциях, такими как мультимедийные кодеки и драйверы, а также пакетами, отсутствующими в штатном репозитории Fedora, например, OBS Studio, Steam, Lutris и дополнительными зависимостями к Wine.

Среди предлагаемых дистрибутивом расширенных исправлений отмечается поставка патчей к ядру Linux для снижения задержек в играх (Zenify), решения проблем с OpenRGB, использования драйвера amdgpu со старыми GPU, поддержки приставки Steam Deck и устройства Microsoft Surface, улучшения совместимости с ноутбуками ASUS, устранения несовместимости SimpleDRM с драйверами NVIDIA, поддержки ноутбуков Lenovo Legion, включения ashmem и binder для Waydroid, устранения проблем при использовании Wayland с драйвером Nouveau.

В состав включены наиболее свежие выпуски Mesa и Wine, собранные из репозиториев основных проектов. SELinux заменён на AppArmor. Добавлены патчи к Glibc, Flatpak, SDL2, Mutter и xwayland. В пакет с Blender включена поддержка FFmpeg и библиотеки трассировки лучей HIP. Установлены дополнительные зависимости для Davinci Resolve. Включена большая подборка патчей для OBS Studio, среди которых патчи для решения проблем с захватом экрана игр, использующих OpenGL и Vulkan, а также патчи для аппаратного кодирования H.264 и H.265/HEVC на системах AMD, NVIDIA и Intel. По умолчанию активирован репозиторий RPMFusion.

В новой версии:

• Переход на пакетную базу Fedora 42.
• Дистрибутив переведён на rolling-модель доставки обновлений. Например, пользователи уже установленных систем Nobara 41 уже получили через обновления все пакеты, соответствующие выпуску Nobara 42.
• По умолчанию задействован браузер Brave с выставленными настройками "BraveRewardsDisabled", "BraveWalletDisabled", "BraveVPNDisabled", "TorDisabled", "DnsOverHttpsMode" и отключённым AI-чатом. Поводом для перехода на Brave стали сбои при прокрутке видео youtube shorts и tiktok в Firefox, а также проблемы с Google Meets в Chromium при включённом аппаратном ускорении. Brave лишён подобных проблем и не требует дополнительных пакетов для включения видеокодеков.
• Из списка избранных приложений и с рабочего стола убран ярлык для вызова пакетного менеджера Nobara Package Manager, который остаётся в системе, но не рекомендован для новичков, которые не разобравшись пытаются устанавливать системные пакеты.
• Вместо plasma-discover и gnome-software для установки flatpak-пакетов предложен интерфейс собственной разработки flatpost.
• Пакет Mesa пересобран с патчами, устраняющими проблемы с wine wayland и игрой "DOOM: The Dark Ages".
• Предложен новый менеджер драйверов, позволяющий переключаться между ветками mesa-vulkan-drivers и mesa-vulkan-drivers-git, а также выбирать разные версии открытых и закрытых драйверов NVIDIA.
• Обновлены версии пакетов: GNOME 48, KDE 6.3.4, Mesa 25.1.0, NVIDIA 570.144, ядро Linux 6.14.6.

1. Главная ссылка к новости
2. OpenNews: Выпуск Nobara 41, редакции Fedora с патчами для игр и обработки контента
3. OpenNews: Утверждён переход Fedora 43 на пакетный менеджер RPM 6. Смена лидера Fedora
4. OpenNews: В Fedora 43 намерены удалить из репозитория пакеты для поддержки X11 в GNOME
5. OpenNews: Выпуск дистрибутива Fedora Linux 42
6. OpenNews: Опубликованы официальные сборки Fedora, AlmaLinux и Arch Linux для WSL

Свободно использовать загруженную версию могут только физические лица, в том числе – индивидуальные предприниматели. Коммерческие и государственные организации могут скачивать и тестировать дистрибутив, но для постоянной работы в корпоративной инфраструктуре юридическим лицам необходимо приобретать лицензии или заключать лицензионные договоры в письменной форме.

Основные изменения:

• Пользовательское окружение обновлено до KDE 6 с использованием Wayland по умолчанию для GPU Intel и AMD (для GPU NVIDIA оставлен X11). Задействованы выпуски KDE Plasma 6.3, KDE Frameworks 6.12, KDE Gear 24.12, Mesa 24.3, драйверы NVIDIA 470, FFmpeg 7.1, Qmmp 2.1, Сhromium 134.0 (в качестве опции доступен Яндекс Браузер).
• Осуществлён переход на мультимедийный сервер PipeWire.
• Обновлены версии ядра Linux 6.12, Glibc 2.38, GCC 14, systemd 255.18, Java 21, Bash 5.0, Bacula 15.
• Переработан установочный образ, который теперь позволяет запустить систему в Live-режиме. Изменено оформление инсталлятора, который переведён на Qt6. Экран выбора дополнительного ПО в инсталляторе теперь предлагается перед разметкой диска.
• Подсистема начальной загрузки заменена на altboot.
• Добавлена поддержка формата шифрования дисков LUKS2.
• Идентификаторы пользователей (UID) теперь начинаются с 1000 (было 500), как в большинстве других дистрибутивов.
• Добавлен оптимизатор производительности игр GameMode, на лету изменяющий различные системные настройки Linux.
• В kio-admin добавлена поддержка протокола admin:/ для предоставления административного доступа ко всей системе (например, позволяет изменять системные файлы в файловом менеджере Dolphin).
• Улучшена поддержка загрузки в режиме UEFI Secure Boot, позволяющая установить на один компьютер "Альт Рабочая станция К" и Windows.
• В центре приложений Discover при обновлении системы теперь показываются последние изменения для каждого пакета.
• В панель задач добавлен виджет для изменения яркости встроенного и внешних мониторов.
• Добавлен и интегрирован с NetworkManager VPN-клиент OpenFortiVPN с поддержкой туннелей поверх TLS.
• Добавлена программа "Сургуч" для работы с цифровыми подписями в PDF-документах.
• Добавлена программа "Копидел" для создания ISO-образа с копией уже настроенной системы.

Также можно отметить релиз дистрибутива "Альт Рабочая станция» 11.0", доступного в сборках x86_64 и AArch64. Из специфичных для данной сборки изменений можно отметить переход с MATE на GNOME 47.4 c Wayland по умолчанию. На выбор предложено два режима оформления: панельный - для пользователей, привыкших к классическому оформлению MATE, и GNOME - штатный для новых версий GNOME. Для переключения между режимами с сохранением пользовательских профилей добавлен сервис alt-panelmoded. Выбрать режим можно в интерфейсе первого запуска ALT Tour.

1. Главная ссылка к новости
2. OpenNews: Почта России переводит 130 тысяч рабочих мест на ALT Linux
3. OpenNews: Опубликована одиннадцатая платформа ALT
4. OpenNews: Обновление дистрибутива Альт Рабочая станция К 10.3
5. OpenNews: Опубликованы дистрибутивы Альт Сервер 10.2 и Альт Рабочая станция 10.2
6. OpenNews: Экспериментальные сборки ALT Linux для процессоров Loongarch64 и смартфона Pinephone Pro

Сборка включает новые версии программ, расширенную функциональность и исправления ошибок, доступные на момент формирования выпуска. Для загрузки подготовлен отдельный iso-образ, а также предоставлена возможность перехода на использование CBE после установки обычных сборок Oracle Solaris 11.4. Для переключения на CBE достаточно подключить репозиторий pkg.oracle.com/solaris/release в пакетном менеджере IPS и выполнить команду "pkg update". Код открытых компонентов Solaris доступен в репозитории на GitHub, а отдельные пакеты можно загрузить с сайта pkg.oracle.com.

Основные изменения по сравнению с прошлым выпуском CBE:

• Среда рабочего стола обновлена до GNOME 45 (раньше поставлялся GNOME 3.38). Внесены косметические изменения в интерфейс, например, индикатор "Обзор" ("Activities") на рабочем столе заменён на индикатор виртуальных рабочих столов. X-сервер обновлён до ветки 1.20. Добавлены новые версии графических драйверов NVIDIA 470.182.
• Реализация протокола mDNS (Multicast DNS/Zeroconf) заменена на пакет Avahi 0.8. Ранее использовался специфичный для Solaris порт ПО Apple Bonjour.
• Системное окружение для языка Python помечено как самостоятельно управляемое (PEP 668), что не позволяет использовать pip и подобные утилиты для установки дополнительных Python-библиотек в каталоги, в которых размещаются Python-библиотеки, входящие в состав Solaris. Для установки дополнительных Python-пакетов в окружении, отделённом от системного, рекомендуется использовать утилиту pipx.
• Добавлена поддержка системных вызовов preadv и pwritev для чтения и записи данных с использованием нескольких буферов. В libc добавлены новые функции getpeereid, getumask, mremap, core_get_process_content, core_set_process_content, core_get_process_path, core_set_process_path и ucred_getprinc. Значение IOV_MAX (допустимое число элементов массива iovec для одного вызова) увеличено с 16 до 1024.
• В функции u8_strcmp и u8_textprep_str добавлена поддержка Unicode 14.
• В lastlog, utmpx и wtmpx решена проблема 2038 года - адресуемое счётчиком время расширено до 2106 года.
• Добавлена возможность определения настроек сервера SSH с разбивкой на отдельные файлы /etc/ssh/sshd_config.d/*.conf. Пакет OpenSSH обновлён до версии 9.6. Отключена поддержка RSA-подписей на базе SHA-1. Утилита scp переключена на использование SFTP.
• В утилиту ps добавлена опция "-I" для вывода времени в формате ISO 8601.
• В утилиту modinfo добавлена поддержка разделения штатных модулей ядра, поставляемых в Solaris, и отдельно установленных модулей. Для показа только несистемных модулей добавлена опция "-x".
• В основной состав добавлены утилиты ctfconvert, ctfdump и ctfmerge для работы с отладочными данными в формате CTF (Compact Type Format), обеспечивающем компактное хранение сведений о Си-типах, связях между функциями и отладочных символах. В компоновщик ld встроена поддержка CTF. Добавлена поддержка версии CTF 3. Расширены возможности утилит elfcompress, ldiostat и strip.
• По умолчанию включён запуск процесса ACT (Autonomous Crash dump Tool), упрощающего разбор сбоев в ядре. В отладчик mdb добавлены дополнительные пути для поиска crash-дампов ядра. Расширены диагностические возможности утилиты iostat.
• В утилиты cp и mv добавлен флаг "-S" для сброса буферов на диск при помощи системного вызова fsync.
• Реализовано устройство /dev/full, при чтении выдающее нули, а при записи код ошибки об отсутствии свободного места (ENOSPC).
• В ZFS добавлена поддержка защиты файлов от удаления на определённый срок (File Retention). Для монтирования клонов в режиме clonedir в ZFS задействован каталог ".zfs/clone". В команды mount/unmount добавлена опция "-r" для монтирования/отмонтирования всех ФС внутри указанной точки монтирования. В команде "zfs send" реализован режим "-w crypto" при котором шифрованные данные передаются без расшифровки. Настройки разделов подкачки и дампов перенесены из /etc/vfstab и /etc/dumpadm.conf в ZFS-свойства.
• Добавлен сервис memory-reserve, позволяющий при помощи механизма MRP (Memory Reservation Pool) во время загрузки зарезервировать память для последующего использования в OSM (Object Storage Manager).
• Добавлена поддержка live-миграции изолированных окружений Kernel Zone (KZ). В утилиту zoneadm добавлена команда "log" для просмотра содержимого логов, связанных с определённой изолированной зоной.
• Добавлен пакет Ansible для централизованного управления конфигураций.
• Обновлены версии программ для разработчиков: GCC 14, LLVM 19, Go 1.23.5, JDK 1.8.0_441-b7, Node.js 20, Perl 5.38, PHP 8.4, Python 3.13, Ruby 3.13, Rust 1.78, autoconf 2.71, cmake 3.24, GNU make 4.4.1, meson 1.5.2, git 2.48.1, Mercurial 6.8, subversion 1.14.5, vim 9.1, GDB 15.1, ImageMagick 7, MySQL 8.4.
• Обновлены версии GRUB 2.12, Shim 15.8, CUPS 2.4.11, OpenLDAP 2.6, Samba 4.21.3, Puppet 7.27.0.
• Добавлен пакет с DNS-сервером Unbound.
• В состав включены библиотеки zstd, pcaudiolib, bdw-gc, libadwaita, fmt, gcr-4, libpaper, libsoup-3, libuv, libyaml, espeak-ng и libxcvt.
• Вместо Snort для обнаружения и предотвращения сетевых вторжений предложено использовать систему Suricata (в Snort 3 задействован LuaJIT, не поддерживающий CPU SPARC).
• Удалены библиотеки gtk2, clutter, webkitgtk4, aalib, gtkmm, cogl, libtorrent.
• Удалены версии OpenSSL 1.0.2 и 1.1, осуществлён переход на OpenSSL 3.

1. Главная ссылка к новости
2. OpenNews: Выпуск операционной системы Solaris 11.4 SRU78
3. OpenNews: Выпуск дистрибутива OmniOS CE r151054, построенного на технологиях OpenSolaris
4. OpenNews: Выпуск дистрибутива OpenIndiana 2024.04, продолжающего развитие OpenSolaris
5. OpenNews: Опубликован дистрибутив Helios на базе Illumos. Поддержка Solaris 11.4 продлена до 2037 года
6. OpenNews: Oracle представил Solaris 11.4 CBE, редакцию для бесплатного использования

В атаках класса Spectre-v2 для организации утечки данных используется подстановка значений в буфер адреса ветвления (Branch Target Buffer) или буфер с историей переходов (Branch History Buffer), применяемые для предсказания следующей операции ветвления. Через манипуляции с историей переходов создаются условия неверного предсказания перехода при спекулятивном выполнении инструкций. Задача атакующего в том, чтобы при выполнении спекулятивной операции ветвления адрес для перехода был взят из желаемой области памяти. После выполнения спекулятивного перехода, в процессорном кэше остаётся считанный из памяти адрес перехода (под видом адреса считываются необходимые атакующему данные из памяти). Для извлечения информации из кэша может применяться один из способов определения содержимого кэша на основе анализа изменения времени доступа к прокэшированным и не прокэшированным данным.

Методы атаки Training Solo нацелены на обход механизмов изоляции областей исполнения (domain isolation), таких как IBPB, eIBRS и BHI_NO, применяемых для блокирования атак класса Spectre-v2. Например, инструкция IBPB (Indirect Branch Prediction Barriers) обеспечивает сброс состояния блока предсказания переходов при каждом переключении контекста - при передаче управления между пространством пользователя и ядром или между гостевой системой и хост окружением. Сброс состояния блокирует возможность использования собственного кода для влияния на поведение блока предсказания косвенных переходов.

Отличия методов Training Solo в том, что для влияния на блок предсказания переходов предлагается не запускать подконтрольный атакующему код, а использовать код, уже имеющийся на стороне привилегированной области исполнения (ядро или гипервизор), утечки из которой добивается атакующий. В остальном методы напоминают классическую атаку Spectre-v2. Помимо этого исследователи выявили две аппаратные проблемы (CVE-2024-28956 и CVE-2025-24495), позволяющие полностью обойти изоляцию областей исполнения и реализовать утечки из процессов других пользователей, других гостевых систем или хост-окружения.

Предложены три вида атак Training Solo:

• Искажение логики предсказания переходов за счёт вызова уже существующих в ядре последовательностей команд (гаджетов), влияющих на содержимое буфера с историей переходов. В качестве подобных гаджетов предложено использовать механизм ограничения доступа к системным вызовам SECCOMP, позволяющий через подстановку своих BPF-фильтров добиться ложного косвенного перехода в спекулятивном режиме (фильтры в SECCOMP задаются при помощи классического cBPF, включённого по умолчанию в отличие от eBPF). При тестировании на CPU Intel Tiger Lake и Lion Cove скорость утечки при использовании данного метода составила 1.7KB/сек.
• Использование IP-коллизий (Instruction Pointer) в блоке предсказания переходов. Атакующий может создать условия, при которых адрес для спекулятивного перехода будет выбран только на основе уже имеющегося в буфере адреса перехода, без учёта истории переходов. Идея в том, что одна операция косвенного перехода может влиять на другую, если возникает коллизия при хранении хешей их адресов в BTB (Branch Target Buffer).
• Использование влияния прямых переходов на предсказание косвенных переходов. Подобное поведение вызвано двумя аппаратными уязвимостями: CVE-2024-28956 - ITS (Indirect Target Selection) и CVE-2025-24495 - проблема в CPU Intel с ядрами Lion Cove. Скорость утечки данных из памяти при использовании данного метода составила 17 KB/сек. В продемонстрированном эксплоите на определение хэша пароля пользователя root, сохранённого в памяти после вызова команды "passwd -s", было потрачено 60 секунд.

Атаке, искажающей буфер с историей переходов, подвержены все CPU Intel, имеющие поддержку механизма eIBRS, включая CPU Intel Coffee Lake и Lion Cove. Для блокировки уязвимости компания Intel выпустила обновление микрокода с реализацией новой инструкции IBHF (Indirect Branch History Fence), которую предлагается указывать после кода, влияющего на буфер истории переходов. Для старых CPU Intel предложено использовать программный метод очистки истории переходов. В ядро Linux принято изменение, добавляющее программную и аппаратную защиту от атак, осуществляемых с использованием cBPF. Компания AMD заявила, что на её CPU метод атаки не действует. Компания ARM сообщила, что проблема затрагивает только старые процессоры ARM, уязвимые для атак Spectre-v2 и не поддерживающие расширения FEAT_CSV2_3 и FEAT_CLRBHB.

Уязвимость Indirect Target Selection (ITS, CVE-2024-28956) затрагивает CPU Intel Core 9-11 поколений (Cascade Lake, Cooper Lake, Whiskey Lake V, Coffee Lake R, Comet Lake, Ice Lake, Tiger Lake и Rocket Lake) и Intel Xeon 2-3 поколений. Уязвимость CVE-2025-24495 проявляется в CPU на базе микроархитектур Lunar Lake и Arrow Lake. Проблемы устранены во вчерашнем обновлении микрокода. В ядро Linux принято изменение, блокирующее проблему через вынос косвенных переходов в верхнюю часть строки кэша.

1. Главная ссылка к новости
2. OpenNews: Обход защиты от атак Spectre и эксплоит для извлечения данных из памяти другого процесса
3. OpenNews: SnailLoad - атака по определению открываемых сайтов через анализ задержек доставки пакетов
4. OpenNews: Новый вариант атаки BHI на CPU Intel, позволяющий обойти защиту в ядре Linux
5. OpenNews: GhostRace - атака на механизм спекулятивного выполнения в процессорах Intel, AMD, ARM и IBM
6. OpenNews: SLAM - атака на CPU Intel, AMD и ARM, позволяющая определить содержимое памяти

Уязвимость CVE-2025-23395 проявляется только в ветке screen 5.0.0, которая поставляется в Fedora Linux, Arch Linux, NetBSD, OpenBSD и Alpine. В Debian, Ubuntu, RHEL (EPEL 9), Gentoo, FreeBSD, SUSE/openSUSE и OpenWrt продолжает поставляться ветка screen 4.x. Эксплуатация уязвимости возможна в системах, устанавливающих исполняемый файл screen с флагом setuid root, например, в Arch Linux и NetBSD. В Fedora утилита ставится с флагом setgid для получения прав группы screen, позволяющих размещать сокеты в системном каталоге /run/screen, что ограничивает возможности атаки отказом в обслуживании.

Уязвимость вызвана тем, что при запуске с правами root функция logfile_reopen() выполняется до сброса привилегий, но обрабатывает данные в контексте каталогов текущего непривилегированного пользователя, запустившего screen. Примечательно, что начальное открытие лога производится с корректным сбросом привилегий, но при повторном открытии файла с логом сброс привилегий не производится.

Через манипуляции с включением режима журналирования содержимого сеанса пользователь может добиться записи данных в файл с правами root, при том, что сам файл может быть сохранён в домашнем каталоге пользователя. Атака сводится к удалению созданного файла с логом и его замене на символическую ссылку, указывающую на любой файл в системе. Если файл уже существует, в него без изменения владельца будут добавлены данные с содержимым экрана в сеансе screen. Если файл не существует, он будет создан с правами 0644, владельцем root и группой как у текущего пользователя.

Алгоритм атаки, создающей файл /etc/profile.d/exploit.sh с командой "chown $USER /root":

• Создание сеанса screen с включением ведения лога

  
     $ screen -Logfile $HOME/screen.log
  

• Нажатие комбинации клавиш Сtrl-a-H для включения лога.
• Удаление файла с логом и его замена на символическую ссылку, которая приведёт к созданию файла /etc/profile.d/exploit.sh

  
      $ rm $HOME/screen.log; ln -s /etc/profile.d/exploit.sh $HOME/screen.log
  

• Возвращение в сеанс screen и вывод на экран данных, которые будут записаны в файл с логом.

  
     $ echo -e "\nchown $USER /root;"
  

• После того как к системе подключится реальный root, запустится сценарий /etc/profile.d/exploit.sh, который поменяет владельца для каталога /root.

  
     $ ls -lhd /root
     drwxr-x--- 5 user root 4.0K Dec 30  2020 .
  

• По аналогии можно создать файлы конфигурации sudo или добавить команды в конец системных скриптов.

Менее опасные уязвимости в screen:

• CVE-2025-46802 - перехват устройства TTY в многопользовательских сеансах (пользователь может добиться выставления для устройства /dev/pts/1 прав crw-rw-rw-). Проблема проявляется в ветках screen 4.x и 5.x.
• CVE-2025-46803 - выставление по умолчанию прав 0622 на устройство PTY, допускающих запись любым пользователям. Проблема проявляются только в ветке screen 5.0.
• CVE-2025-46804 - утечка информации о наличии файлов и каталогов в закрытых каталогах (при указании каталога для сокетов, используя переменную окружения SCREENDIR, утилита выдаёт разные тексты ошибок, позволяющие суть о наличии файлов и каталогов с данным именем). Проблема проявляется в ветках screen 4.x и 5.x.
• CVE-2025-46805 - состояние гонки при отправке сигналов SIGCONT и SIGHUP, приводящее к отказу в обслуживании. Проблема проявляется в ветках screen 4.x и 5.x.
• Некорректное использование функции strncpy (замена strcpy на strncpy без учёта разницы в обработке нулевых символов "\0"), приводящее к аварийному завершению при выполнении специально оформленных команд. Проблема проявляются только в ветке screen 5.0.

Уязвимости выявлены в ходе аудита кодовой базы GNU screen, проведённого командой, отвечающей за безопасность дистрибутива SUSE Linux. Разработчикам screen сведения об уязвимости были отправлены 7 февраля, но за отведённые 90 дней они так и не смогли подготовить исправления для всех уязвимостей и сотрудникам SUSE пришлось подготовить некоторые патчи самостоятельно. По мнению проводивших аудит исследователей, нынешние сопровождающие GNU screen недостаточно хорошо ориентируются в кодовой базе проекта и не способны полностью разобраться в выявленных проблемах безопасности.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в tmux, эксплуатируемая через escape-последовательность
3. OpenNews: Первый выпуск abduco, легковесной альтернативы tmux и screen
4. OpenNews: Выпуск Xpra 6.0, аналога утилиты screen для GUI. Развитие Wprs, реализации Xpra для Wayland
5. OpenNews: Выпуск консольного оконного менеджера GNU screen 5.0

Все git-репозитории проекта будут переведены на использование Codeberg до 7 июня. Основной репозиторий Guix будет перенесён 25 мая, после чего в течение года старый репозиторий git.savannah.gnu.org/git/guix.git останется доступен в форме зеркала. Пользователям Guix потребуется заменить в файлах конфигурации channels.scm упоминание "git.savannah.gnu.org" на "https://codeberg.org/guix/guix.git", о чём будет выведена соответствующая подсказка при выполнении команды "guix pull".

После завершения миграции появится возможность отправки сообщений об ошибках через web-интерфейс Codeberg Issues и использования для передачи патчей механизма pull-запросов. Поддержка старого метода приёма отчётов об ошибках и патчей, основанного на email, будет сохранена до 31 декабря 2025 года. В качестве причины миграции упоминается желание упростить участие в работе над проектом и избавиться от проблем, свойственных устаревшей инфраструктуре, которая излишне усложнена, требует высокого порога вхождения, ненаглядна, ненадёжна, трудозатратна и затрудняет автоматизацию проверок контроля качества.

1. Главная ссылка к новости
2. OpenNews: Доступен пакетный менеджер GNU Guix 1.4 и дистрибутив на его основе
3. OpenNews: Уязвимость в NetworkManager-libreswan и guix-daemon, позволяющие повысить привилегии в системе
4. OpenNews: Опасные уязвимости в Firejail, Connman и GNU Guix
5. OpenNews: Пять уязвимостей в платформе совместной разработки Gogs, позволяющих выполнить код на сервере
6. OpenNews: Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов

1. Главная ссылка к новости
2. OpenNews: Выпуск Dropbear SSH 2024.84
3. OpenNews: Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc
4. OpenNews: Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода
5. OpenNews: Уязвимость в SSH-клиентах OpenSSH и PuTTY
6. OpenNews: Terrapin - уязвимость в протоколе SSH, позволяющая снизить защиту соединения

Автор проекта считает дискуссию о смене лицензии закрытой. Разработчики уверяют, что "для большинства пользователей community-версии продукта ничего не изменится", умалчивая о том, что новая лицензия не одобрена организацией OSI и Фондом СПО, так как не соответствует определению Open Source и критериям Свободного ПО.

Лицензия Fair Use License допускает использование и модификацию исходного кода только при персональном использовании, в процессе обучения или для обеспечения работы внутренних процессов в компании. Использование кодовой базы для создания платных продуктов или для запуска сервисов, предлагаемых третьим лицам (например, предоставление доступа других юридических лиц к развёрнутому экземпляру Planka), запрещено без покупки отдельной коммерческой лицензии.

Тем временем, более двух лет (с момента перехода проекта Planka на лицензию AGLPv3) активно разрабатывается форк 4gaBoards, продолжающий использовать лицензию Expat/MIT. В форке реализован ряд новых функции, отсутствующих в Planka, среди которых: расширенные возможности кастомизации интерфейса (сворачивание колонок, отображение в виде списка); средства для интеграции с внешними сервисами (включая способы авторизации и синхронизацию); боковая панель для навигации между проектами и досками; шаблоны досок.

1. Главная ссылка к новости
2. OpenNews: Система управления проектами Rike переведена в разряд открытых продуктов
3. OpenNews: Выпуск децентрализованной платформы совместной разработки Radicle 1.0
4. OpenNews: Выпуск Nextcloud Hub 10, платформы для организации совместной работы
5. OpenNews: Релиз открытой системы управления ресурсами предприятия OpenERP 6.1
6. OpenNews: Plane - открытая система отслеживания ошибок и управления проектами