По сравнению с оригинальной СУБД Apache Cassandra проект ScyllaDB обеспечивает увеличение скорости обработки запросов на каждом узле в 10 раз, в 99% случаев успевая обработать запрос менее чем за миллисекунду. Обработка большего числа запросов на одном узле позволяет существенно снизить затраты на кластер (при использовании AWS EC2 в 2.5 раз), в котором для достижения заданных характеристик потребуется на порядок меньше узлов, чем при создании кластера на основе классической СУБД Cassandra. Например, 4-узловой кластер на базе Scylla вполне справляется с нагрузкой для которой потребовалось бы развернуть 40-узловой кластер на базе Cassandra.

Одним из факторов, позволившим добиться высоких показателей производительности, является использование развиваемого теми же авторами C++ фреймворка Seastar, нацеленного на создание сложных серверных приложений, обрабатывающих запросы в асинхронном режиме. Seastar учитывает особенности современного оборудования, таких как распараллеливание на многоядерных системах, учёт попадания данных в процессорный кэш, оптимизация для накопителей SSD, прямой доступ к очереди пакетов на сетевой карте и полная утилизация пропускной способности 10/40-гигабитных сетевых карт.

Система построена на основе архитектуры shared-nothing, подразумевающей, что к каждому ядру CPU привязывается отдельный обособленный обработчик, которому выделена отдельная память (отсутствуют задержки из-за организации блокировок) и привязана отдельная очередь пакетов к сетевой карте. Каждый процесс-обработчик ScyllaDB включает в себя собственный оптимизирванный TCP/IP-стек, работающий в пространстве пользователя, прикреплённый к отдельному ядру CPU и напрямую взаимодействующий с сетевой картой.

Другие особенности ScyllaDB:

• Поддержка работы в качестве прозрачной замены Apache Cassandra;
• Возможность применения существующих клиентских драйверо от Apache Cassandra для подключения к ScyllaDB;
• Поддержка модели хранения данных на базе семейства столбцов (ColumnFamily, хэши с несколькими уровнями вложенности);
• Возможность использования SQL-подобного язык структурированных запросов CQL (Cassandra Query Language);
• Исключение задержек при проведении упаковки и восстановления целостности БД;
• Отсутствие сборщика мусора;
• Возможность переконфигурации кластера (удаление/добавление узлов) без остановки работы;
• Линейная масштабируемость, при которой производительность находится в прямой зависимости от числа процессорных ядер;
• Наличие средств для пакетной загрузки и выгрузки больших объёмов данных из хранилищ Hadoop и Spark.

Выпуск СУБД ScyllaDB 3.0 по функциональности соответствует ветке Apache Cassandra 3 и примечателен следующими улучшениями:

• Поддержка материализованных представлений, позволяющих сформировать виртуальную таблицу на основе произвольного CQL-запроса, содержимое которой не генерируется на лету как в обычных представлениях, а кэшируется между запросами в форме индекса;
• Добавлена поддержка глобальных для всего кластера вторичных индексов (GSI, Global Secondary Indexes), реализованных через материализованные представления и позволяющих более эффективно индексировать запросы по ключам с агрегированием данных на одном узле;
• Предложен новый формат хранения данных на диске, совместимый с Apache Cassandra 3.0 и требующий для хранения до 66% меньше места в хранилище по сравнению со старым форматом при активном использовании операций удаления записей. Применение нового формата отключено по умолчанию и может быть активировано через настройку "enable_sstables_mc_format";
• Добавлен новый механизм хранения информации о репликах для сбойных узлов ("hinted handoff"), вместо одного файла system.hints хинты теперь записываются в отдельные файлы, в разрезе один файл на один узел и реплицированный поток;
• Существенно улучшена работа операций полного (мульти-секционнного) сканирования БД, при которых данные перебираются без выборки по конкретному ключу;
• Добавлена поддержка фильтрации сложных запросов с возвращением только подмножества результатов. Фильтрация производится на стороне сервера и позволяет существенно снизить размер передаваемых по сети данных между кластером и приложением;
• Осуществлён переход на штатные утилиты Cassandra, включая nodetool, cassandra-stress и node_exporter 0.17;
• Увеличена производительность потоковой отправки данных при добавлении нового узла или восстановлении после сбоя.

1. OpenNews: CharybdeFS - ФС для тестирования устойчивости ПО к ошибкам ввода/вывода
2. OpenNews: Новая СУБД ScyllaDB, полностью совместимая с Cassandra, но в 10 раз быстрее
3. OpenNews: Выпуск документоориентированной СУБД Apache CouchDB 2.3.0
4. OpenNews: Опасная уязвимость в Apache Cassandra
5. OpenNews: Доступна СУБД Apache Cassandra 3.0

Аудит не выявил серьёзных проблем с безопасностью в OpenSSL 1.1.1 и реализации TLS 1.3. Код отмечен в целом как безопасный, быстрый и функциональный, но выявлены отдельные области, в которых качество кода и комментариев могут быть улучшены. Всего разработчикам OpenSSL было предоставлено 16 рекомендаций и исправлений. Для дальнейшего контроля качества проект OpenSSL включён в программу Internet Bug Bounty, в рамках которой производятся выплаты вознаграждений за выявление уязвимостей и недоработок в области безопасности.

При проведении аудита выявлено 6 проблем, которые были устранены ещё до официального релиза OpenSSL 1.1.1 в ходе приватной переписки разработчики OpenSSL и исследователей, проводивших аудит:

• В некоторых ситуациях соединения могли сбрасываться без обработки ошибки. Проблема могла применяться для осуществления DoS-атаки на клиента (крах приложения) при его обращении к подконтрольному злоумышленнику серверу (например, через организацию MITM-атаки);
• Проблемы с генерацией уведомлений об ошибках, связанных с TLS v1.3. Проблемы можно было использовать для инициирования отказа в обслуживании;
• Высказано несколько замечаний по качеству кода нового генератора псевдослучайных чисел и недостаточно ясному описанию назначения функций в комментариях (функциональные недоработки в PRNG были выявлены ранее, после другого аудита);
• Реализация протокола аутентификации SRP признана корректной, но выявлено отсутствие проверок некоторых возвращаемых значений. Также высказаны замечания по качеству кода и недостаточным пояснениям в комментариях;
• По реализации CAPI замечания коснулись отсутствия комментариев в коде, что значительно затрудняет понимание реализованной логики. Качество кода не вызвало нареканий;
• Во многих внутренних функциях OpenSSL обнаружены случаи отсутствия явных проверок на значения NULL, что потенциально может приводить к непредсказуемому поведению, которое может вылиться в проблемы со стабильностью или безопасностью.

1. OpenNews: Результаты аудита обновлённого генератора псевдослучайных чисел OpenSSL 1.1.1
2. OpenNews: Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности
3. OpenNews: Завершён аудит проекта OpenVPN
4. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
5. OpenNews: Аудит сетевого стека NetBSD выявил уязвимости в BSD-системах

EDNS определяет механизм расширения размера параметров DNS и позволяет добавлять в протокол новые флаги. Расширенные флаги кодируются в специальных RR-записях, что позволят сохранить обратную совместимость с классическим протоколом DNS (не поддерживающий EDNS сервер может ответить на запрос без учёта дополнительных флагов). EDNS был стандартизирован в 1999 году в форме RFC 2671, а в 2013 году было выпущено обновление спецификации RFC 6891.

Так как в первом варианте спецификации EDNS не были явно описаны некоторые пограничные ситуации, DNS-серверы по разному реагировали на запросы с применением не поддерживаемых на этих серверах расширений EDNS. Утверждённая спецификация предписывает в случае отсутствия поддержки определённых EDNS-флагов отправлять соответствующий DNS-ответ в старом формате, просто отбрасывая флаги EDNS. Некоторые серверы поступали иначе и игнорировали не поддерживаемые запросы, вообще не отправляя ответный пакет.

Около 20 лет назад в DNS-сервере BIND был реализован обходной манёвр ("грязный хак"), позволяющий корректно взаимодействовать с подобными серверами, который впоследствии был воплощён и в других DNS-резолверах. Суть метода в том, что в качестве признака отсутствия поддержки флагов EDNS использовался таймаут - если после отправки запроса с флагами EDNS через определённый промежуток времени не поступал ответ, DNS-сервер считал, что расширенные флаги не поддерживаются и отправлял повторный запрос без флагов EDNS.

Применение обходного манёвра позволяло сохранить взаимодействие с проблемными серверами, но приводило к увеличению задержек из-за повторной отправки пакетов, повышению нагрузки на сеть и неоднозначности при отсутствии ответа из-за сетевых сбоев, а также мешало внедрению основанных на EDNS возможностей, таких как применение DNS Cookies для защиты от DDoS-атак. Добавление обходного манёвра также привело к тому, что некоторые DNS-серверы не уделяли должного внимания соблюдению стандарта и до недавнего времени практиковали игнорирование пакетов с не поддерживаемыми флагами EDNS.

В частности, в резолвере PowerDNS все замечания в области поддержки спецификации будут устранены только в готовящемся выпуске 4.2. При этом в подготовленной в 2017 году версии PowerDNS 4.1 авторитативный сервер уже полностью соответствовал спецификации EDNS, а в ветке 4.0 всплывали лишь отдельные несовместимости, возникающие при определённом стечении обстоятельств и в общем виде не мешающие нормальной работе.

Теперь разработчики DNS-серверов договорились удалить из реализаций DNS-резолверов поддержку упомянутого обходного метода проверки и более не откатываться на старый вариант протокола в случае наступления таймаута. Изменение планируется произвести в выпусках BIND 9.14 (намечен на 1 февраля), Unbound 1.8.4/1.9.0 и PowerDNS Recursor 4.2.0. В Knot Resolver рассматриваемый обходной метод не применялся изначально. К инициативе также подключились компании CloudFlare, Quad 9, Cisco (OpenDNS) и Google, которые планируют удалить поддержку обходного метода проверки на своих публичных DNS-серверах.

Изменение не повлияет на штатное поведение резолверов - запросы с использованием старого протокола DNS и корректно отбрасываемые не поддерживаемые запросы с EDNS будут обрабатываться как и прежде. Иными словами, авторитативные DNS-серверы как и раньше не обязаны поддерживать EDNS и могут ограничиваться старым классическим протоколом, но они теперь должны корректно реагировать на не поддерживаемые запросы EDNS, а не молча игнорировать их. По сути, DNS-серверы лишь принуждают к соответствию стандарту.

С практической стороны прекращение поддержки обходной проверки может привести к проблемам при взаимодействии с DNS-серверами, использующими очень старые выпуски PowerDNS. Для тестирования корректности реагирования на запросы с EDNS запущены специальные online-сервисы dnsflagday.net и EDNS Compliance Tester. Так как каждый домен обслуживает как минимум 2 разных DNS-сервера, а переход на новые выпуски Unbound и BIND будет выполняться постепенно, эффект от изменения проявится не сразу, но со временем всё больше и больше DNS-резолверов не сможет взаимодействовать с DNS-серверами, некорректно обрабатывающими EDNS-запросы (игнорирующими без отправки ответного пакета).

Проблемы после отмены обходной проверки также могут возникнуть из-за блокирования расширенных DNS-запросов на стороне межсетевых экранов - блокировка DNS-пакетов размером больше 512 байт иногда применяется для противодействия DDoS-атакам, использующим поля EDNS для усиления трафика. Поэтому администраторам межсетевых экранов также следует обратить внимание на корректность пропускания DNS-трафика с флагами EDNS.

1. OpenNews: Рост атак, связанных с захватом контроля над DNS
2. OpenNews: Новый этап тестирования DNS поверх HTTPS в Firefox
3. OpenNews: Анализ перехвата провайдерами транзитного DNS-трафика
4. OpenNews: Выпуск DNS-сервера KnotDNS 2.7.0
5. OpenNews: Релиз DNS-сервера Unbound 1.7.0

Потенциально могут быть скомпрометированы системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера "go-pear" из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле рекомендуется сравнить хэши имеющегося у пользователя архива "go-pear.phar" с аналогичной версией архива, поставляемой через официальный репозиторий на GitHub (репозиторий на GitHub не скомпрометирован, файл был подменён на web-сервере PEAR). MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

Подробности пока не сообщаются. До завершения разбирательства и полной пересборки содержимого сайта работа сервера PEAR остановлена.

1. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
2. OpenNews: Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера
3. OpenNews: Подтверждён факт взлома инфраструктуры проекта PHP
4. OpenNews: Уязвимость в движке для создания форумов phpBB
5. OpenNews: Уязвимости в PHP и PHPMailer

Ключевые улучшения:

• Виджеты
  • В виджете контроля заряда аккумулятора реализовано отображение состояния аккумулятора внешних Bluetooth-устройств (функция работоспособна только при установке свежих версий upower и bluez);
  • В диалог настройки обоев рабочего стола встроены функции для загрузки и установки новых плагинов с реализацией динамических обоев;
  • Улучшена читаемость имён файлов под пиктограммами на рабочем столе: предоставлено достаточное горизонтальное пространство для текста, независимо от размера пиктограммы, и обеспечен должный контраст, необходимый для лёгкой читаемости текста, выводимого поверх очень светлых или замысловатых обоев рабочего стола. Для незрячих пользователей добавлена поддержка озвучивания пиктограмм через экранные ридеры;
  • В виджете для ведения заметок (Notes) появилась новая тема оформления, показывающая светлый текст на прозрачном фоне;
  • Добавлена возможность включения цикличной прокрутки при достижении конца списка виртуальных рабочих столов;
  • Улучшен внешний вид всплывающих предупреждений от системы уведомлений;
  • Повышено удобство работы в интерфейсе поиска программ (KRunner). Реализована корректная обработка дубликатов в выводе (теперь не показываются дубликаты закладок Firefox и повторяющиеся элементы при попадании найденного файла в несколько категорий). Оформление виджета отдельного поиска приведено в соответствии к оформлению KRunner;
  • Виджет для уведомления о подключении новых носителей теперь корректно обрабатывает попытки выполнения опасных для системы операций (например, отмонтирование корневой ФС);
• Интерфейс для настройки системы
  • Изменено оформление и переписан код конфигуратора виртуальных рабочих столов. Новая реализация корректно работает в окружениях на базе Wayland, более удобна в работе и визуально соответствует остальным конфигураторам KDE;
  • Унифицировано оформление интерфейсов настройки часов и оболочки Folder View, которое приведено общему с остальными конфигураторами виду;
  • Проведена работа по унификации пиктограмм, отступов и кнопок на разных страницах Интерфейса для настройки системы;
  • На странице "Desktop Effects" в конфигураторе теперь отображаются и сторонние эффекты рабочего стола, установленные через каталог store.kde.org. Реализация конфигуратора "Desktop Effects" переведена на использование QtQuickControls 2;
  • В интерфейсе для настройки параметров экрана родное экранное разрешение теперь помечается звёздочкой;
  • Улучшено оформление страницы для настройки экрана входа в систему и обновлён эскиз внешнего вида для предлагаемой по умолчанию темы оформления Breeze;
• Интеграция с GTK и GNOME
  • В Firefox 64 появилась поддержка использования в родных диалогов KDE для открытия и сохранения файлов. Для включения данной возможности требуется установить пакеты xdg-desktop-portal и xdg-desktop-portal-kde, после чего запустить Firefox с выставленной переменной окружения GTK_USE_PORTAL=1;
  • В интеграционные модули xdg-desktop-portal-kde и plasma-integration добавлена поддержка портала для доступа к настройкам, позволяющего обращаться к параметрам конфигурации Plasma (шрифты, пиктограммы, темы виджетов и цветовые схемы) из изолированных приложений Flatpak и Snap, без необходимости предоставления прямого доступа к глобальному файлу конфигурации KDE;
  • Глобальный коэффициент масштабирования для экранов с высокой плотностью пикселей (high-DPI) теперь учитывается и для вывода приложений GTK и GNOME, если он является целым числом;
  • Решены разнообразные проблемы, возникавшие при использовании темы оформления Breeze-GTK, в том числе устранены несоответствия между тёмным и светлым вариантами данной темы;
• Центр установки приложений и дополнений (Discover):
  • В виджет для информирования о наличии обновлений добавлены сведения о появлении возможности обновления до новой версии дистрибутива, а также обеспечен показ кнопки "Restart" в ситуациях, когда после применения обновлений рекомендуется выполнить перезагрузку;
  • На странице со списком доступных обновлений появились опции для снятия метки и повторной отметки всех элементов списка, упрощающие выборочную установку обновлений;
  • Страница с настройками переименована в "Sources" и преобразована в боковую секцию;
  • Средства управления репозиториями модифицированы для практического применения в дистрибутивах на пакетной базе Ubuntu;
  • Добавлена поддержка дополнений, распространяемых в пакетах Flatpak;
  • Улучшена поддержка обработки локальных пакетов, для которых теперь определяются зависимости и показывается кнопка "Launch" для запуска приложения после установки;
  • При поиске в разделе избранных приложений в результатах теперь показываются только приложения. Дополнения к Plasma теперь фигурируют в результатах поиска только в случае явного поиска в категории "Дополнения";
  • Обеспечен корректный поиск установленных приложений, в случае наличия в системе приложений в формате Snap;
  • На странице со списком обновлений разделены на отдельные категории приложения и дополнения к Plasma;
• Улучшения в оконном менеджере: В интерфейсе переключения между окнами по Alt+Tab добавлена поддержка управления с использованием экранного ридера и возможность переключения между элементами при помощи клавиатуры. Устранён крах при инициировании скриптом операции сворачивая окна. Эффекты закрытия окна теперь применяются и для диалогов с активным родительским окном. Окна конфигуратора теперь самостоятельно выдвигаются на передний план в случае получения фокуса ввода;
• Улучшена поддержка Wayland. Полностью реализованы протоколы XdgStable, XdgPopups и XdgDecoration. В окружениях на базе Wayland обеспечена поддержка виртуальных рабочих столов, в том числе добавлена возможность выборочного размещения окна на заданных виртуальных рабочих столах (при использовании X11 подобной возможности нет и окно можно поместить либо на один виртуальный рабочий стол, либо на все). Добавлена поддержка перемещения элементов в режиме drag&drop при помощи жеста на сенсорном экране или тачпаде;
• В интерфейс для управления сетевыми подключениями добавлена поддержка настойки VPN-туннелей WireGuard при наличии в системе соответствующего плагина к Network Manager. Добавлена возможность пометки сетевых соединений флагом "Metered" (тарификация по трафику);
• Внесены улучшения в набор пиктограмм Breeze. Улучшены пиктограммы для устройств и настроек, полностью переработаны пиктограммы для эмблем и пакетов, задействованы более качественные пиктограммы для сетевых операций, добавлены отдельные пиктограммы для файлов с байткодом Python;
• В KSysGuard реализована возможность скрытия строки меню с оставлением подсказки для его возвращения по аналогии с тем, как это сделано в Kate и Gwenview.

1. OpenNews: Разработчик KWin ушёл с поста мэнтейнера из-за несогласия с новыми веяниями в KDE
2. OpenNews: Выпуск KDE Applications 18.12
3. OpenNews: Релиз среды разработки приложений KDevelop 5.3
4. OpenNews: Релиз рабочего стола KDE Plasma 5.14

Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка (современные WiFi чипы реализуются на базе архитектуры FullMAC, подразумевающей наличие специализированного процессора, на котором выполнятся отдельная операционная система с реализаций своего беспроводного стека). Данное окружение выполняется в контексте беспроводного чипа и не имеет доступа к системной памяти (подключено через шину SDIO), поэтому для выполнения атаки на основную систему применяется ещё одна уязвимость в проприетарном модуле ядра для чипов Marvell Avastar, отвечающем за взаимодействие окружения прошивки и основной ОС. Эксплуатация уязвимости в драйвере осуществляется через отправку со стороны Wi-Fi SoC некорректно оформленных команд чрез шину SDIO, вызывающих переполнение стека.

Выявлено несколько путей совершения атаки, но наиболее простым является атака во время операции сканирования сети, которая автоматически запускается беспроводным чипом раз в пять минут. Уязвимость позволяет добиться контролируемого переполнения буфера в окружении на базе ThreadX при обработке специально оформленного пакета , полученного во время сканирования сети. В случае удачного стечения обстоятельств атакующий может переписать указатель, используемый для перехода при выполнении дальнейших операций. Атака не требует выполнения от пользователя каких-либо действий - достаточно наличия активного Wi-Fi у жертвы и нахождение в пределах досягаемости от беспроводной точки доступа атакующего.

Вероятность успешного проведения атаки оценивается в 50-60% для каждой попытки и зависит от стадии сканирования, на которой выполнена обработка пакета атакующего. Чип Marvell Avastar достаточно широко распространён и применяется для обеспечения работы Bluetooth и WiFi во многих смартфонах, планшетах, ноутбуках, медиацентрах, домашних маршрутизаторах, игровых контроллерах и автомобильных информационно-развлекательных системах, в том числе в таких устройствах, как Samsung Chromebook, Microsoft Surface, Sony PS4 и Valve Steamlink. Техника эксплуатации не специфична для чипов Marvell и может быть адаптирована для атаки на любые другие чипы, в прошивках которых используется RTOS ThreadX. Пример успешной атаки продемонстрирован для удалённого получения контроля за телеприставкой Valve Steamlink, основное программное окружение которой построено на основе Dеbian и ядра Linux 3.8.13.

1. OpenNews: Новая техника атаки на беспроводные сети с WPA2
2. OpenNews: Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов
3. OpenNews: В Android устранена уязвимость, эксплуатируемая через беспроводную сеть
4. OpenNews: Удалённо эксплуатируемая уязвимость в WiFi-чипах Broadcom
5. OpenNews: Устранение уязвимости в WiFi-чипах Broadcom

Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для размещения библиотек поддерживается репозиторий crates.io.

В подготовке нового выпуска приняли участие 152 разработчика. Основные новшества:

• Добавлен новый макрос "dbg!", позволяющий упростить наблюдение за состоянием переменных в отладочных целях. Кроме непосредственного значения переменной, предложенный макрос также показывает имя файла, номер строки и название переменной, что делает его более удобным инструментом для отладки, чем вывод при помощи "println". Информация выводится в поток "stderr". Макрос также можно применять для анализа вычисления выражений и условных операторов, например, можно указывать "if dbg!(n <= 1) {" или "dbg!(n*f(n-1))";
• Прекращено использование по умолчанию библиотеки распределения памяти jemalloc в пользу штатных системных функций выделения и освобождения блоков памяти. Несмотря на то, что jemalloc обычно обеспечивает более высокую производительность, его применение приводит к увеличению размера исполняемого файла приблизительно на 300 Кб. Кроме того, jemalloc специфичен для Unix-подобных систем и в некоторых ситуациях приводит к возникновению проблем. При необходимости продолжения использования jemalloc теперь нужно явно подключать пакет jemallocator;
• Пути к модулям в выражении "use", не начинающиеся с ключевых слов "super", "self" и "crate", теперь приводят к извлечению определённого в модуле элемента (структуры, перечисления и т.п.), до попытки определения внешнего пакета. Например, указание "use Color::*;" при наличии определения "enum Color { Red, Green, Blue };" до выражения "use", приведёт к импорту вариантов значений перечисления "Color";
• В макросы добавлен новый проверочный признак "literal", позволяющий определить является ли переменная литералом, независимо от типа (строковым, числовым, символьным);
• В определениях макросов теперь можно использовать оператор "?", позволяющий определить, что шаблон встречается 0 или 1 раз, по аналогии с тем как операторы "*" и "+" проверяют наличие шаблона 0 и более раз или один и более раз;
• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы to_be_bytes (big endian), to_le_bytes (little endian) и to_ne_bytes (native) в модулях i8, i16, i32, i64, i128, isize, u8, u16, u32, u64, u128 и usize;
• 19 различных функций определены с признаком "const" и могут применяться не только как обычные функции, но и использоваться в любом контексте вместо констант;
• В пакетном менеджере Cargo обеспечена возможность указания имени пользователя внутри URL реестра и добавлена команда "cargo c", которая является сокращённым псевдонимом команды "cargo check".

1. OpenNews: Релиз языка программирования Rust 2018 (1.31)
2. OpenNews: Релиз языка программирования Rust 1.30
3. OpenNews: Mozilla и Xiph развивают реализацию видеокодека AV1 на языке Rust
4. OpenNews: Выпуск libOS, unikernel на языке Rust для запуска приложений поверх гипервизора
5. OpenNews: Для Linux и Redox представлена реализация Libc на языке Rust

Основные новшества Inkscape 0.92.4:

• Возможность выравнивания нескольких объектов, манипулируя ими как целостной группой, перемещаемой относительно одного отдельного объекта;
• Возможность пошагового изменения значений при выборе цвета через удерживание клавиши "Ctrl" во время перемещения ползунка (по умолчанию используется шаг 16 для диапазонов 0-255 и 10 для диапазонов 0-100);
• В режиме командной строки появилась поддержка отправки данных изображения через стандартный выходной поток (STDOUT) и чтения изображения из него. Например, теперь можно использовать конструкции вида "cat vector.svg | inkscape --file - --export-png img.png";
• Ускорена работа расширений при обработке сложных документов. Обеспечено сохранение состояния выделения объектов после применения расширений;
• Ускорено исключение элементов из выделенного блока, содержащего очень большое число узлов;
• Ускорена отрисовка результатов применения фильтров;
• Обеспечено сохранение размера шрифта дочерних текстовых элементов после отключения группировки;
• Появилась возможность вывода на печать и использования корректного размера печатаемой страницы на принтерах Canon, EPSON и Konica Minolta;
• Ускорено измерение смещений при помощи инструмента Measure в режиме с видимой сеткой;
• При экспорте в PDF обеспечено отображение корректного уровня прозрачности для частично прозрачных встроенных изображений;
• Обеспечена сборка с новым выпуском библиотеки poppler 0.72 (решает проблемы со сборкой в mac OS с использованием Homebrew);
• Прекращена поддержка Windows XP.

Особенности ветки 1.0:

• Добавлена поддержка тем оформления и альтернативных наборов пиктограмм. Изменён формат поставки пиктограмм: вместо размещения всех пиктограмм в одном большом файле, каждая пиктограмма теперь поставляется в отдельном файле. Проведена модернизация интерфейса пользователя, в котором задействованы новые возможности из свежих веток GTK+. Переработан код для обработки и восстановления размера и местоположения окон;
• Интерфейс адаптирован для экранов с высокой плотностью пикселей (HiDPI);
• Добавлена опция, позволяющая считать нулевую точку отчёта относительно верхнего левого угла, что соответствует расположению координатных осей в формате SVG (по умолчанию в Inkscape отчёт для оси Y начинается с нижнего левого угла);
• Предоставлена возможность вращения и зеркального отражения холста. Вращение осуществляется колесом мыши при удержании Ctrl+Shift или через ручное определение угла поворота. Зеркалирование выполняется через меню "View > Canvas orientation > Flip horizontally / Flip vertically";
• Добавлен новый режим отображения ("View->Display mode->Visible Hairlines"), при котором независимо от выбранного уровня масштабирования все линии остаются видимыми;
• Для сенсорных экранов, трекпадов и тачпадов реализован управляющий жест для масштабирования щипком;
• В инструменте PowerStroke нажим кисти теперь соответствует давлению, прикладываемому к графическому планшету;
• Добавлены расширенные настройки экспорта в формате PNG;
• Значительно ускорены операции с контурами и функции снятия выделения с больших наборов контуров;
• Изменено поведение команды 'Stroke to Path', которая теперь разделяет сгруппированный контур на отдельные компоненты;
• В инструмент создания окружностей добавлена возможность замыкания разрывов одним кликом;
• Добавлены недеструктивные булевые операторы для манипуляции применением эффектов к контурам (LPE, Live Path Effects);
• Реализован диалог для задания применяемых по умолчанию параметров LPE-эффектов;
• Добавлен новый LPE-эффект Dash Stroke для использования прерывистых линий в контурах;
• Добавлен новый LPE-эффект "Ellipse from Points" для создания эллипсов на основе нескольких узловых точек на контуре;
• Добавлен новый LPE-эффект "Embroidery Stitch" для формирования вышивок;
• Добавлены новые LPE-эффекты "Fillet" и "Chamfer" для скругления углов и снятия фаски;
• Добавлена новая опция "erase as clip" для недеструктивной очистки любых элементов клипа, включая растровые изображения и клоны;
• Реализована возможность использования изменчивых шрифтов (при компиляции с библиотекой pango 1.41.1+);
• Предоставлены средства для кастомизации интерфейса. Например, диалоги теперь оформлены в виде glade-файлов, меню можно поменять через файл menus.xml, цвета и стили можно поменять через style.css, а состав панелей определяется в файлах commands-toolbar.ui, snap-toolbar.ui, select-toolbar.ui и tool-toolbar.ui.

1. OpenNews: Выпуск редактора векторной графики Inkscape 0.92.3
2. OpenNews: Проект Inkscape перевёл разработку c Bzr и Launchpad на Git и GitLab
3. OpenNews: Выпуск редактора векторной графики Inkscape 0.92
4. OpenNews: Выпуск редактора векторной графики Inkscape 0.91
5. OpenNews: Релиз редактора векторной графики Inkscape 0.48

Основные новшества, специфичные для сборки Android-x86:

• В качестве альтернативного интерфейса для запуска программ предложена панель задач (Taskbar) с классическим меню приложений, возможностью закрепления ярлыков на часто используемые программы и отображением списка недавно запущенных приложений;
• Поддержка многооконного режима FreeForm для обеспечения одновременной работы с несколькими приложениями. Возможность произвольного позиционирования и масштабирования окон на экране;
  
  
• Ядро Linux обновлено до выпуска 4.19.15. Обеспечена поддержка как 64-разрядных, так и 32-разрядных сборок ядра и компонентов пространства пользователя;
• Применение Mesa 18.3.1 для поддержки OpenGL ES 3.x с аппаратным ускорением графики для GPU Intel, AMD и NVIDIA, а также для виртуальных машин VMware и QEMU (virgl);
• Использование SwiftShader для программного рендеринга с обеспечением OpenGL ES 2.0 для неподдерживаемых видеоподсистем;
• Поддержка кодеков с аппаратным ускорением для графических чипов Intel HD и G45;
• Возможность загрузки в режиме UEFI Secure Boot и возможность установки на диск при использовании UEFI;
• Наличие интерактивного инсталлятора, работающего в текстовом режиме;
• Поддержка тем оформления загрузчика в GRUB-EFI;
• Поддержка мультитач, звуковых плат, Wi-Fi, Bluetooth, датчиков, камеры и Ethernet (настройка по DHCP);
• Автоматическое монтирование внешних USB-накопителей и SD-карт;
• Опция ForceDefaultOrientation для ручного задания ориентации экрана на устройствах без соответствующего датчика. Программы рассчитанные на портретный режим работы могут корректно отображаться на устройствах с ландшафтным экраном без поворота устройства;
• Возможность запуска в x86-окружении приложений, созданных для платформы ARM, через применение специальной прослойки;
• Возможность обновления до версии 8.1 систем, на которых установлены неофициальные выпуски Android-x86;
• Экспериментальная поддержка графического API Vulkan на системах с актуальными версиями графических драйверов Intel и AMD;
• Поддержка мыши при запуске Android-x86 в виртуальных машинах на базе VirtualBox, QEMU, VMware и Hyper-V.
1. OpenNews: Доступна тестовая сборка Android 8.1 для платформы x86 от проекта Android-x86
2. OpenNews: Доступна сборка Android 7.1 для платформы x86 от проекта Android-x86
3. OpenNews: Объявлено о прекращении разработки Remix OS, Android-окружения для ПК
4. OpenNews: Проект Android-x86 может остаться без основного разработчика
5. OpenNews: Выпуск Remix OS 3.0, Android-окружения для ПК

Проект Trident был образован после трансформации TrueOS в обособленную модульную операционную систему, которую можно использовать в качестве платформы для других проектов. TrueOS позиционируется как "downstream" форк FreeBSD, модифицирующий базовый состав FreeBSD поддержкой таких технологий как OpenRC и LibreSSL. В процессе разработки проект придерживается шестимесячного цикла подготовки релизов с обновлением в предсказуемые заранее намеченные сроки.

Некоторые особенности Trident:

• Наличие предопределённого профиля межсетевого экрана для отправки трафика через анонимную сеть Tor, который может быть активирован на этапе установки.
• Для навигации по Web предлагается браузер Falkon (QupZilla) со встроенным блокировщиком рекламы и расширенными настройками для защиты от отслеживания перемещений.
• По умолчанию используется файловая система ZFS и система инициализации OpenRC.
• При обновлении системы в ФС создаётся отдельный снапшот, позволяющий мгновенно вернуться к прошлому состоянию системы в случае возникновения проблем после обновления.
• Вместо OpenSSL применяется LibreSSL от проекта OpenBSD.
• Устанавливаемые пакеты верифицируются по цифровой подписи.

Выпуск Trident 18.12 основан на стабильной ветке TrueOS 18.12, которая в свою очередь ответвилась от FreeBSD 13-CURRENT. Выпуск построен с использованием нового инструментария формирования релизов, предлагаемого проектом TrueOS и дополненного серией собственных расширений. Состояние пакетов планируется синхронизировать с репозиторием один или два раза в неделю. Размер установочного iso-образа 4.1 Гб (AMD64).

1. OpenNews: Проект TrueOS трансформировался в обособленную ОС
2. OpenNews: Выпуск рабочего стола Lumina 1.4
3. OpenNews: Выпуск операционной системы TrueOS 18.03
4. OpenNews: Релиз GhostBSD 18.12

Конфликт возник из-за появления в выпуске systemd 240 регрессивного изменения, приводящего к изменению поведения при обработке существующих правил udev и проблемам у пользователей Debian с изменением логики переименования сетевых интерфейсов - несмотря на использование опции NAME для привязки имени сетевого интерфейса к MAC-адресу после перехода на udev из состава systemd 240 сетевые интерфейсы адаптеров Ethernet поменяли свои имена с фиксированных на автоматически сгенерированные (ранее замена производилась только один раз, а начиная с версии 240 может применяться несколько замен).

Майкл Библь попросил разработчиков systemd вернуть прежнее поведение, когда заданная в настройках ручная привязка имени является более приоритетной, но разработчики systemd не посчитали данное регрессивное изменение проблемой, так как внесённые в systemd 240 изменения не нарушали документированное поведение, а в скриптах, в которых проявлялась проблема, использовались недокументированные особенности udev, работа которых не гарантировалась.

Тем не менее, позднее были найдены свидетельства, что старое поведение описано в документации. После этого разработчики systemd предложили выборочно отключать новое поведение в случае если правила udev созданы для старых версий systemd (если схема наименования определена для версий меньше 240 по умолчанию выставлять опцию RenameOnce=yes, а иначе RenameOnce=no).

В списке рассылки разработчиков systemd также разгорелась дискуссия, связанная с предложением дополнительно по горячим следам выпускать корректирующие версии systemd c исправлением серьёзных ошибок, всплывающих в значительных выпусках. Леннарт Поттеринг отказался от данной идеи, сославшись на нехватку ресурсов. Подобное мнение было воспринято некоторыми разработчиками как фундаментальное заблуждение, так как сосредоточение приоритета на развитии функциональности в ущерб стабильности негативно отражается на пользователях.

В ответ Леннарт сослался на то, что конечные пользователи не применяют самые свежие выпуски systemd, а используют пакеты, стабилизированные дистрибутивами, например, перед помещением системных компонентов в RHEL проводится их проверка в Fedora и службой контроля качества. В случае изменения приоритетов в разработке и исправлении ошибок по мнению Леннарта возникнет лишь расслоение, при котором чаще станут игнорироваться и отдаваться на откуп сообществу ошибки, связанные с экзотичными архитектурами, отличными от RHEL дистрибутивами, нетипичными графическими окружениями, библиотеками и драйверами.

1. OpenNews: В systemd-journald выявлены три уязвимости, позволяющие получить права root
2. OpenNews: Выпуск системного менеджера systemd 240
3. OpenNews: Удалённая уязвимость в systemd-networkd
4. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
5. OpenNews: Архитектурные проблемы systemd, негативно влияющие на стабильность и безопасность

Выявившие проблему исследователи утверждают, что проблема специфична для ветки "Constantinople", которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth до выпуска 1.8.21, откатиться на версию 1.8.19 или запускать приложение с опцией "--override.constantinople=9999999". При использовании клиента Parity необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании сети и обслуживающим узлы обновлять приложения не обязательно.

Владельцам умных контрактов рекомендуется проверить свои контракты на предмет подверженности уязвимости. Проблема вызвана снижением стоимости внутренних транзакций ("газ") для операций SSTORE, предложенным в спецификации EIP-1283. Из-за данного изменения после обновления платформы до ветки "Constantinople" некоторые уже существующие умные контракты станут подвержены атаке на реентерабельность (re-entrancy, состояние контракта может измениться в процессе его выполнения в условиях когда новое обращение к контракту возможно до завершения обработки предыдущего).

В ходе аудита изменения блокчейна после форка "Constantinople" исследователи безопасности пришли к выводу, что вероятность проведения re-entrancy атаки полностью не исключается для некоторых видов контрактов, в которых перед операторами изменения состояния используются методы transfer() и send(). Например, проблема может затрагивать контракты, в которых несколько участников совместно получают средства, решают как разделить полученные средства и инициируют выплату этих средств.

В случае успешной атаки злоумышленник может похитить средства у пользователей, заключивших с ним умный контракт, в обход условий контракта и без получения согласия пользователя. До введения в строй ветки "Constantinople" контракты не подвержены уязвимости, т.е. пользователям Ethereum ничего не угрожает. Анализ существующих умных контрактов пока не выявил экземпляров, которые могли бы использоваться для совершения подобных атак.

1. OpenNews: В результате двойной траты средств в Ethereum Classic похищен 1.1 млн долларов
2. OpenNews: Выявлена лёгкая в реализации атака на P2P-сеть криптовалюты Ethereum
3. OpenNews: Критическая уязвимость в Bitcoin Core
4. OpenNews: Криптовалюта Bitcoin Gold подверглась атаке по двойной трате средств
5. OpenNews: Linux Foundation представил платформу Hyperledger Sawtooth 1.0 на базе технологий блокчейн

В качестве причины неприятия отмечается, что применение SSPL приводит к дискриминации отдельных категорий пользователей (провайдеров облачных сервисов). Кроме того, указано, что лицензия явно создана с целью нагнетания неуверенности (FUD, "страх, неуверенность и сомнение") среди пользователей коммерческих продуктов, построенных на основе кода под данной лицензией. Лицензия SSPL сформулирована так, что на практике приложения под данной лицензией невозможно использовать в облачных сервисах без покупки коммерческой лицензии, так как иначе придётся перелицензировать под SSPL код всех компонентов ОС, включая ядро.

Организация OSI (Open Source Initiative), занимающаяся проверкой соответствия лицензий критериям Open Source, пока не завершила анализ SSPL и не вынесла своего решения по этому поводу. Напомним, что лицензия SSPL основана на тексте AGPLv3, в котором внесены изменения в раздел 13. Изменения сводятся к добавлению требования поставки под лицензией SSPL не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса. По мнению некоторых представителей сообщества данное требование нарушает совместимость с GPL и другими копилефт лицензиями, которые запрещают перелицензирование чужого кода.

1. OpenNews: СУБД MongoDB переведена на новую лицензию, которая пока не проверена на открытость
2. OpenNews: Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения
3. OpenNews: В DNF предлагают встроить UUID для идентификации установок Fedora
4. OpenNews: Изменение лицензионной политики проекта Redis
5. OpenNews: Основан проект GoodFORM, который продолжит развитие свободных модулей к СУБД Redis

Предлагавшаяся для тестирования функциональность частично останется доступной в форме отдельных дополнений, доступных для установки из каталога addons.mozilla.org. Экспериментальные возможности, реализованные не в форме дополнений, такие как Firefox Lockbox (предоставляет доступ к сохранённым в Firefox логинам и паролям) и Firefox Send (инструмент для обмена файлами), продолжат своё развитие в виде отдельных продуктов, не привязанных к Firefox.

Напомним, что для участия в программе требовалась установка специального дополнения Test Pilot, которое позволяло активировать и протестировать прототипы с реализацией новых возможностей. В процессе работы Test Pilot осуществлялись сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями. Перед своим основным внедрением в основной состав браузера тестирование в Test Pilot прошли такие функции, как Activity Stream, Firefox Screenshots и средства для блокирования отслеживания перемещений.

Отмечается, что программа Test Pilot оказалась успешной, но требующей вложения значительных инженерных ресурсов. В конечном счёте, поддержание отдельной платформы для создания экспериментов признано нецелесообразным. Вместо Test Pilot для оценки новых возможностей и сервисов предложена новая модель, ориентированная на применении индивидуальных циклов тестирования с более широким охватом пользователей, но с коротким периодом тестирования (в отличие от Test Pilot подобный эксперимент не потребует постоянного сопровождения).

В качестве примера альтернативной схемы тестирования приводится сервис Firefox Monitor, экспериментальный прототип которого был предложен для тестирования ограниченному числу пользователей штатных выпусков Firefox, не прибегая к программе Test Pilot.

Модель на основе контрольной выборки реальных пользователей оказалась более эффективной, чем использование небольшой отдельной группы тестировщиков. В дальнейшем экспериментальные возможности будут предлагаться для тестирования обычным пользователям (тесты не навязываются и пользователь волен согласиться или отказаться), вместо привлечения для этой задачи узкого круга пользователей, явно присоединившихся к тестированию и установивших дополнение Test Pilot.

Кроме того, можно упомянуть решение о закрытии online-сервиса Firefox Screenshots, позволявшего загружать созданные в браузере снимки страниц и обмениваться ими с другими пользователями. Загруженные снимки в течение 14 дней оставались доступны по прямой ссылке для других пользователей, знающих специальный идентификатор. Одноимённое системное дополнение, поставляемое начиная с выпуска Firefox 59, будет сохранено, но ограничено сохранением скриншотов web-страниц только в локальной системе, без возможности загрузки в облако.

1. OpenNews: Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
2. OpenNews: В Firefox тестируют поддержку сохранения в облачные хранилища
3. OpenNews: В Firefox началось тестирование системы рекомендации контента на основе активности пользователя
4. OpenNews: Разработчики Mozilla представили две тестовые возможности: Lockbox и Notes
5. OpenNews: В Firefox тестируется возможность одновременного просмотра разных вкладок

В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры (Firefox, Chrome) и VirtualBox, но эксплоиты для них должны демонстрироваться в окружении Windows.

При этом в состав будущего соревнования добавлена новая категория премий за взлом информационных систем автомобиля Tesla Model 3, общий размер призовых выплат в которой составляет более 900 тысяч долларов. Связанные с Tesla номинации затрагивают получение контроля за шиной CAN Bus, оставление вредоносного ПО активным после перезапуска, проведение атак на модем, тюнер, Wi-Fi, Bluetooth, информационно-развлекательную систему, автопилот и функцию использования смартфона в роли ключа.

Наибольший приз, размером 250 тысяч долларов, предусмотрен за управляемое выполнение кода в контексте подсистем Gateway (связывает все информационные системы автомобиля), Autopilot или VCSEC (подсистема обеспечения безопасности). За инициирование сбоя в работе автопилота предлагается премия в 50 тысяч долларов, за разблокировку замков, запуск двигателя без ключа и получения контроля за шиной CAN - 100 тысяч, за получение root-доступа к информационно-развлекательной системе - 85 тысяч долларов.

Номинации связанные с серверными технологиями ограничились призом за взлом Microsoft Windows RDP (приз 150 тысяч долларов). Награды за эксплуатацию уязвимость в пользовательских приложениях предусмотрены для Adobe Reader (40 тысяч), Microsoft Office 365 ProPlus (60 тысяч) и Microsoft Outlook (100 тысяч). Номинации атак на браузеры заявлены для Google Chrome (80 тысяч), Microsoft Edge (50, 60 и 80 тысяч), Apple Safari (55 и 65 тысяч) и Mozilla Firefox (40 и 50 тысяч). Из участвующих в соревновании систем виртуализации отмечены VirtualBox (35 тысяч), VMware Workstation (70 тысяч), VMware ESXi (150 тысяч) и Microsoft Hyper-V Client (250 тысяч). Отдельно предусмотрена номинация за повышение привилегий через эксплуатацию уязвимости в ядре Windows (30 тысяч).

1. OpenNews: На соревновании Pwn2Own 2018 продемонстрированы взломы Firefox, Edge и Safari
2. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
3. OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
4. OpenNews: На соревновании Pwn2Own 2017 продемонстрированы взломы Ubuntu и Firefox
5. OpenNews: На соревновании Pwn2Own 2017 появились номинации за взлом Linux и Apache httpd