The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

16.02 В Chrome появится поддержка ссылок на отдельные слова и фразы в тексте (33 +5)
  В кодовую базу Chromium включена реализация режима Scroll-To-Text, который позволяет формировать ссылки на отдельные слова или фразы, без явного указания в документе меток при помощи тега "a name" или свойства "id". Реализация режима уже включена в состав экспериментальных сборок Chrome, на основе которых будет сформирован релиз 74 (доступна начиная со сборки 74.0.3706.0). Для включения в настройках следует активировать опцию "chrome://flags#enable-text-fragment-anchor".

Для передачи ссылки предлагается специальный параметр "#targetText=", в котором можно указать текст для перехода. Например, при открытии ссылки "https://opennet.ru/50156/#targetText=Chromium" страница сдвинется на позицию с первым упоминанием слова "Chromium" и данное слово будет подсвечено. По сути предложенная опция автоматизирует выполнение операции поиска с прокруткой сразу после открытии страницы. Для сокращения размера ссылки на большие блоки текста допускается указание маски, включающей фразы, указывающие на начало и конец фрагмента с использованием запятой в качестве их разделителя (например, "example.com#targetText=start%20words,end%20words").

Предложенная возможность является рабочим прототипом, который планируется обсудить с сообществом и разработчиками других браузеров, после чего использовать в качестве основы для стандартизации общего для разных браузеров решения.

  1. Главная ссылка к новости
  2. OpenNews: Для Chrome реализован режим экономии ресурсов
  3. OpenNews: Релиз web-браузера Chrome 72
  4. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
  5. OpenNews: От изменения манифеста Chrome пострадают и дополнения для обеспечения безопасности и приватности
  6. OpenNews: В Firefox 66 будет устранено смещение прокрутки из-за загрузки изображений
Обсуждение (33 +5) | Тип: К сведению |


16.02 Развитие Fedora Atomic Host прекращено в пользу проекта Fedora CoreOS (53)
  Разработчики проекта Fedora сообщили об удалении компонентов Fedora Atomic Host из репозитория Rawhide и прекращении разработки данной редакции дистрибутива. Fedora 29 станет последним выпуском с компонентами Fedora Atomic Host. После окончания цикла сопровождения Fedora 29 выпуск обновлений для Fedora Atomic Host будет полностью прекращён (ориентировочно в ноябре или декабре 2019 года).

Напомним, что в рамках проекта Fedora Atomic Host предлагалось урезанное до минимума окружение, обновление которого производится атомарно через замену образа всей системы, без разбивки на отдельные пакеты. На базе Fedora Atomic Host формировалось специализированное окружение для запуска и управления изолированными контейнерами Docker. Все пакеты, обеспечивающие работу конечных приложений, поставлялись непосредственно в составе контейнеров, а хост-система содержала только минимальный набор компонентов (systemd, journald, docker, rpm-OSTree и т.п.). Наработки Fedora Atomic Host использовались для формирования продуктов Red Hat Enterprise Linux Atomic Host и CentOS Atomic Host.

Отмечается, что Fedora Atomic Host заменит проект Fedora CoreOS, продолжающий разработку серверной Linux-системы Container Linux, которая перешла в руки Red Hat после покупки компании CoreOS. В рамках продукта Fedora CoreOS объединены технологии Fedora Atomic и Container Linux. Как и в Fedora Atomic начинка Fedora CoreOS формируется на основе репозиториев Fedora с применением rpm-ostree, а для дополнительной изоляции контейнеров применяется SELinux, но базовые технологии, такие как Ignition (система конфигурирования на стадии начальной загрузки, альтернатива Cloud-Init) и механизм установки обновлений, перенесены из Container Linux.

Прекращение развития Fedora Atomic Host не повлияет на разработку проекта Fedora Atomic Workstation, который теперь развивается под именем Fedora Silverblue и со временем может заменить традиционный Fedora Workstation. Редакция Fedora Silverblue также поставляется в монолитном виде, без разделения базовой системы на отдельные пакеты, с применением атомарного механизма обновления. Вместо контейнеров Docker для установки дополнительных приложений применяются самодостаточные пакеты в формате flatpak. Системный образ неделим и формируется с использованием технологии OSTree (отдельные пакеты установить в таком окружении нельзя, можно лишь пересобрать весь образ системы, расширив его новыми пакетами при помощи инструментария rpm-ostree).

  1. Главная ссылка к новости
  2. OpenNews: Проект Silverblue будет развивать атомарно обновляемый вариант Fedora Workstation
  3. OpenNews: Представлен проект Fedora CoreOS
  4. OpenNews: Объявлено о создании редакции Fedora для интернета вещей
  5. OpenNews: Компания Red Hat представила первый стабильный выпуск дистрибутива Atomic Host
  6. OpenNews: Выпуск CentOS Atomic Host 7.1811, специализированной ОС для запуска контейнеров Docker
Обсуждение (53) | Тип: К сведению |


16.02 Выпуск Wine 4.2 (30 +10)
  Доступен экспериментальный выпуск открытой реализации Win32 API - Wine 4.2. С момента выпуска версии 4.1 было закрыто 60 отчётов об ошибках и внесено 269 изменений.

Наиболее важные изменения:

  • Поддержка нормализации строк Unicode;
  • Возможность смешивания 32- и 64-разрядных DLL в каталогах, используемых для загрузки;
  • Поддержка криптографических ключей на основе эллиптических кривых (ECC);
  • На базе системного вызова Futex реализованы дополнительные примитивы для синхронизации, такие как условные переменные, а также операции kernelbase.dll.WaitOnAddress и kernelbase.dll.WakeByAddress{All,Single};
  • Закрыты отчёты об ошибках, связанные с работой игр и приложений: Port Royale, SIV 4, The Bard's Tale (2005), EA Sports FIFA 11, Planetside 2, Avencast: Rise of the Mage, The Settlers: Rise of an Empire, Shadows of Destiny, 1Password 6.4.377, Bayonetta, Alien vs Predator, Rogue Squadron 3D, League of Legends 8.12+, BETest, Elite Dangerous, AfterEffects CS16, HeidiSQL, 3D Custom Girl, Readiris 17, Far Cry 1.40, Ichitarou.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Wine 4.1
  3. OpenNews: Выпуск проекта Wine Staging 4.0, дополняющего Wine 4.0
  4. OpenNews: Стабильный релиз Wine 4.0
  5. OpenNews: Проект Wine выпустил Vkd3d 1.0 с реализацией Direct3D 12
  6. OpenNews: Энтузиасты взяли на себя продолжение разработки Wine staging
Обсуждение (30 +10) | Тип: Программы |


15.02 Уязвимость в библиотеке MatrixSSL (7 +9)
  В открытой криптографической библиотеке MatrixSSL, рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала, что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.

  1. Главная ссылка к новости
  2. OpenNews: Представлена техника атаки для определения ключей ECDSA и DSA
  3. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  4. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  5. OpenNews: Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL)
  6. OpenNews: Критическая уязвимость в библиотеке Libssh
Обсуждение (7 +9) | Тип: Проблемы безопасности |


15.02 Выпуск Ubuntu 18.04.2 LTS c обновлением графического стека и ядра Linux (136 +20)
  Сформировано обновление дистрибутива Ubuntu 18.04.2 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Kubuntu 18.04.2 LTS, Ubuntu Budgie 18.04.2 LTS, Ubuntu MATE 18.04.2 LTS, Lubuntu 18.04.2 LTS, Ubuntu Kylin 18.04.2 LTS и Xubuntu 18.04.2 LTS.

В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 18.10:

  • Предложено обновление пакетов с ядром 4.18 (в Ubuntu 18.04 и 18.04.1 использовалось ядро 4.15).
  • Обновлены компоненты графического стека, включая X.Org Server 1.20.1 и Mesa 18.2, которые были протестированы в осеннем выпуске Ubuntu 18.10. Добавлены свежие версии видеодрайверов для чипов Intel, AMD и NVIDIA.
  • Обновлены версии пакетов LibreOffice 6.0.7, Thunderbird 60.4.0, Firefox 65, GNOME Shell 3.28.3, Glib 2.56.2, OpenStack Queens, snapd 2.37.1, LXC 3.0.2, cloud-init 18.3, evince 3.28.4, shotwell 0.28, llvm 7;
  • Решены проблемы с отображением приглашения входа в систему на устройствах со старыми GPU Intel (Core2 и Atom);
  • Устранена утечка памяти в файловом менеджере Nautilus;
  • В экранной клавиатуре (OSK) исправлена ошибка, не позволявшая вводить буквы в верхнем регистре;
  • Исправлена ошибка, приводившая к запуску двух экземпляров приложения при попытке запуска через касание к ярлыку на панели на устройствах с сенсорным экраном;
  • Исправлена ошибка, из-за которой панель могла показываться и во время блокировки экрана;
  • Решены проблемы с производительностью в GNOME Shell;
  • Исправлена ошибка, приводившая к потере уведомлений о наличии Livepatch-обновлений;
  • В Ubuntu Server после установки оставлен активным только репозиторий "main";
  • Устранён сбой при попытке установки на дисковый раздел, до этого используемый для ZFS;
  • Добавлены сборки Ubuntu Server для плат Raspberry Pi 3, помимо ранее формируемых сборок для Raspberry Pi 2.

В сборках для рабочего стола новые ядро и графический стек предложены по умолчанию. Для серверных систем новое ядро добавлено в качестве опции в инсталляторе. Использовать новые сборки имеет смысл только для новых установок - системы, установленные ранее, могут получить все присутствующие в Ubuntu 18.04.2 изменения через штатную систему установки обновлений. Пользователи прошлой LTS-ветки Ubuntu 16.04 получат в менеджере установки обновлений уведомление о возможности автоматического перехода на ветку 18.04.2.

В анонсе упоминается, что поддержка выпуска обновлений и исправлений проблем безопасности для Ubuntu Desktop, Ubuntu Server, Ubuntu Cloud и Ubuntu Base 18.04 составит 5 лет, а для дополнительных редакций (Kubuntu, Xubuntu и т.п.) - 3 года. При этом ранее Марк Шаттлворт заявлял о продлении срока поддержки для ветки 18.04 до 10 лет, что не отражено в примечании к выпуску.

Напомним, что для поставки новых версий ядра и графического стека применяется rolling-модель поддержки обновлений, в соответствии с которой бэкпортированные ядра и драйверы будут поддерживаться только до выхода следующего корректирующего обновления LTS-ветки Ubuntu. Например, предложенное в текущем выпуске ядро Linux 4.18 будет поддерживаться до выхода Ubuntu 18.04.3, в котором будет предложено ядро из состава Ubuntu 19.04. Изначально поставляемое базовое ядро 4.15 будет поддерживаться в течение всего цикла сопровождения.

Для перевода уже существующих установок на новые версии ядра и графического стека следует выполнить команду:


   sudo apt-get install --install-recommends linux-generic-hwe-18.04 xserver-xorg-hwe-18.04 

Дополнение: Внимание, обладателям видеокарт NVIDIA следует повременить с обновлением графического стека из-за проблем с зависимостями драйвера или установить исправленый пакет nvidia-340, доступный сейчас только в тестовом репозитории bionic-proposed.



  1. Главная ссылка к новости
  2. OpenNews: Выпуск Ubuntu Core 18
  3. OpenNews: Время поддержки Ubuntu 18.04 увеличено до 10 лет
  4. OpenNews: Релиз Ubuntu 18.10
  5. OpenNews: Релиз Ubuntu 18.04.1 LTS
  6. OpenNews: Релиз дистрибутива Ubuntu 18.04 LTS
Обсуждение (136 +20) | Тип: Программы |


15.02 Представлен новый интерфейс браузера Opera (117 –16)
  Началось тестирование экспериментальной сборки Opera R3 (Reborn 3) с новым интерфейсом пользователя, который планируется включить в состав мартовского выпуска Opera 59. Для загрузки доступны пакеты в форматах deb и rpm.

Новый интерфейс преподносится как минималистичный, ориентированный на контент и сдвигающий навигационные элементы браузера на второй план. При этом дизайнеры попытались добиться эффекта минимализма без урезания функциональности и сохранили все прежние возможности. Интерфейс предложен в тёмном и светлом вариантах и отличается главным образом удалением рамок и разделителей. Цветовое оформление адресной строки и списка вкладок изменено так, что открытая вкладка выглядит как лежащая поверх других вкладок. В область рядом с адресной строкой перемещены кнопки быстрой настройки (EasySetup) и создания скриншотов (Snapshot).

Из функциональных изменений выделяется интеграция кошелька для работы с криптовалютой Ethereum. В остальном, несмотря на то, что Opera R3 преподносится как первый браузер, готовый для Web 3, в предложенном выпуске нет кардинальных изменений и в целом, за исключением исчезновения резких перепадов контраста, новый интерфейс не сильно отличается от прошлого варианта.

Было:

Стало:

  1. Главная ссылка к новости
  2. OpenNews: Стабильный выпуск web-браузера Otter 1.0 с интерфейсом в стиле Opera 12
  3. OpenNews: Выпуск web-браузера Opera 45 с интеграцией наработок проекта Opera Neon
  4. OpenNews: Утечка исходных текстов браузера Opera 12.15
  5. OpenNews: Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей
  6. OpenNews: Opera и ARM проданы китайским и японским компаниям
Обсуждение (117 –16) | Тип: К сведению |


14.02 Обновление PostgreSQL с устранением серьёзных проблем с fsync (73 +26)
  Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 11.2, 10.7, 9.6.12, 9.5.16 и 9.4.21, в которых исправлено около 70 ошибок. Наиболее значительным изменением стала переработка механизма использования вызова fsync() для обеспечения целостности записываемых на диск данных.

Оказалось, что вызов fsync() некорректно используется в PostgreSQL уже около 20 лет, что потенциально могло приводить в Linux, NetBSD и OpenBSD к потере записываемых данных в случае аппаратных сбоев. Разработчики PostgreSQL полагали, что успешно завершившийся вызов fsync() гарантирует, что поступившие данные записаны на постоянный носитель, но оказалось, что существуют ситуации когда это не так.

В случае когда ядро не может записать данные, например из-за сбоя буферизированного ввода/вывода вследствие аппаратной ошибки, некоторые операционные системы возвращают код ошибки в fsync() и очищают содержимое ожидающих записи буферов. Таким образом, ранее переданные данные отбрасываются, а блоки помечаются как очищенные. Получив код ошибки PostgreSQL опять попытается сбросить на диск данные и ещё раз вызывает fsync().

Так как буферы были очищены повторный вызов будет завершён успешно и PostgreSQL посчитает, что все данные записаны успешно. Но на деле, при чтении блоков, которые PostgreSQL полагает записанными, будет возвращено не то, что ожидается. Проблема усугубляется тем, что в разных операционных системах fsync() ведёт себя по разному и логичным кажется поведение, когда данные не отбрасываются при первой же неудачной попытке записи, а сохраняются в памяти в состоянии "dirty" для повторения попыток записи.

Начиная с выпусков PostgreSQL 11.2, 10.7, 9.6.12, 9.5.16 и 9.4.21 логика обработки ошибок fsync() изменена и PostgreSQL теперь не пытается после сбоя выполнения fsync() повторно вызвать fsync(), а завершается с выдачей фатальной ошибки. Данный шаг даёт возможность при перезапуске восстановить корректное состояние данных на основе WAL-лога, минуя скрытое повреждение содержимого базы. Подобная логика обработки ошибки может показаться неоптимальной, но разработчики сочли данное решение достаточным так как указанные проблемы возникают крайне редко.

Для систем, ядро которых не сбрасывает содержимое буфера записи после сбоя, в настройки добавлена опция data_sync_retry, позволяющая вернуть старое поведение с двойным вызовом fsync(). Например, FreeBSD не очищает состояние и при повторном вызове fsync() повторно выведет ошибку.

Поведение с очисткой буфера записи после ошибки объясняется тем, что в подавляющем большинстве случаев ошибки ввода/вывода возникают из-за удаления USB-накопителя без отмонтирования. Без очистки ситуация, когда какой-то процесс продолжает пытаться записать большой объём данных, приведёт к накапливанию страниц в состоянии "dirty", вплоть до исчерпания доступной памяти. Очистка же помогает сохранить работоспособность системы в подобных ситуациях.

Дополнительно можно отметить, что факт ошибки не всегда удаётся отследить. Например, если ошибка ввода/вывода возникла до открытия файла, то fsync() завершится успешно. Компания Google для обхода описанной проблемы использует альтернативный метод обработки ошибок ввода/вывода, основанный на сборе сведений об ошибках напрямую из ядра через netlink-сокет. Другим вариантом является использование прямого ввода/вывода (DIO), который предоставляет дополнительные механизмы для отслеживания сброса данных на диск и контроля за активностью ввода/вывода.

  1. Главная ссылка к новости
  2. OpenNews: Обновление PostgreSQL 11.1, 10.6, 9.6.11, 9.5.15, 9.4.20 и 9.3.25
  3. OpenNews: Выпуск PipelineDB 1.0.0, надстройки к PostgreSQL для непрерывной обработки потоков
  4. OpenNews: Релиз СУБД PostgreSQL 11
  5. OpenNews: Для PostgreSQL предложено новое хранилище zheap
  6. OpenNews: Microsoft поглотил компанию Citus, развивающую СУБД на базе PostgreSQL
Обсуждение (73 +26) | Тип: Программы |


14.02 Выпуск системного менеджера systemd 241 (192 –10)
  Опубликован релиз системного менеджера systemd 241, в котором устранены ранее выявленные уязвимости в systemd-journald, позволяющие непривилегированному локальному пользователю получить права root. Для защиты от эксплуатации уязвимостей в systemd-journald и systemd-journal-remote теперь отбрасываются записи со слишком большим числом полей и установлены лимиты на размер данных командной строки.

Среди других изменений в systemd 241:

  • Включены по умолчанию sysctl fs.protected_regular и fs.protected_fifos, реализованные в ядре Linux 4.19 и запрещающие в каталогах с флагом sticky (например, /tmp) открытие чужих FIFO-каналов или файлов с флагом O_CREAT (т.е. только владелец может пересоздать свои FIFO и файлы). Активация указанных sysctl позволяет блокировать атаки, в которых злоумышленник создаёт в /tmp подставной fifo или файл, используемый другим процессом. Для отключения в /etc/sysctl.d/60-protected.conf следует изменить значения fs.protected_regular и fs.protected_fifos на "0";
  • В link-файлах реализован новый режим наименования сетевых устройств (NamePolicy) - "keep", который указан по умолчанию в файле 99-default.link (запасной набор настроек для обеспечения обратной совместимости). Указанный режим добавлен для решения проблемы с изменением логики переименования сетевых интерфейсов из-за регрессивного изменения в systemd 240. При использовании режима "keep" или при обнаружении версии настроек (naming-scheme) меньше 240 будет сохранено старое поведение, при котором уже установленные в пространстве пользователя имена (например, через опцию NAME в правилах udev) не будут второй раз переименовываться на автоматически сгенерированные;
  • Реализована возможность настройки на этапе компиляции выставляемой по умолчанию локали. Если не менять настройки локаль по умолчанию будет выбрана автоматически (C.UTF-8, en_US.UTF-8 или C);
  • Строка с номером версии, показываемая systemd и другими утилитами, при сборке из Git теперь включает хэш коммита. При сборке данное поведение можно переопределить и использовать в номере версии, например, версию пакета из репозитория дистрибутива;
  • В утилиту systemd-cat добавлена поддержка фильтрации стандартного ввода (STDIN) и стандартного вывода ошибок (STDERR) на основании уровня приоритета syslog ("--stderr-priority");
  • В pam_systemd обеспечено выставление переменной окружения DBUS_SESSION_BUS_ADDRESS;
  • Из сборочных опций убран флаг "-fPIE". Для сборки исполняемых файлов в режиме PIE следует использовать в сборочной системе meson параметр "-Db_pie=true";
  • В процессе чтения файлов, указанных в настройке EnvironmentFile для unit-файлов, внутри текста в кавычках теперь обрабатываются обратные слэши, в соответствии с поведением POSIX shell;
  • Команды "udevadm trigger", "udevadm control", "udevadm settle" и "udevadm monitor" теперь автоматически определяют запуск в chroot-окружении и не выполняют в этом случае никаких действий;
  • Строки с флагом "C" в tmpfiles.d/ теперь копируют дерево каталогов не только когда целевой каталог отсутствует, но и когда целевой каталог существует, но не содержит файлов или вложенных каталогов;
  • В команду "udevadm control" добавлена опция "--ping" для проверки запуска и работоспособности процесса systemd-udevd.

  1. Главная ссылка к новости
  2. OpenNews: Systemd в Debian остался без мэйнтейнера из-за разногласий с разработчиками systemd
  3. OpenNews: В systemd-journald выявлены три уязвимости, позволяющие получить права root
  4. OpenNews: Выпуск системного менеджера systemd 240
  5. OpenNews: Удалённая уязвимость в systemd-networkd
  6. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
Обсуждение (192 –10) | Тип: Программы |


14.02 Выпуск Cilium 1.4, сетевой системы для Linux-контейнеров, основанной на BPF (17 +2)
  Представлен релиз проекта Cilium 1.4, в рамках которого при участии компаний Google, Facebook, Netflix и Red Hat развивается система обеспечения сетевого взаимодействия и применения политик безопасности для изолированных контейнеров и процессов. Для разграничения сетевого доступа в Cilium применяются еBPF (Berkeley Packet Filter) и XDP (eXpress Data Path). Код компонентов, работающих на уровне пользователя, написан на языке Go и распространяется под лицензией Apache 2.0. Загружаемые в ядро Linux сценарии BPF доступны под лицензией GPLv2.

Основу Cilium составляет фоновый процесс, который работает в пространстве пользователя и выполняет работу по генерации и компиляции BPF-программ, а также взаимодействию с runtime, обеспечивающим работу контейнеров. В форме BPF-программ реализованы системы обеспечения связности контейнеров, интеграции с сетевой подсистемой (физические и виртуальные сети, VXLAN, Geneve) и балансировки нагрузки. Фоновый процесс дополняют управляющий cli-интерфейс, репозиторий правил доступа, система мониторинга и модули интеграции с поддержкой Kubernetes, Mesos, Istio, и Docker. Производительность решения на базе Cilium при большом числе сервисов и соединений в два раза опережает решения на базе iptables из-за больших накладных расходов на перебор правил. Более подробно про особенности Cilium можно прочитать в тексте анонса первого выпуска проекта.

Основные новшества:

  • Добавлена возможность маршрутизации и проброса трафика сервисов между несколькими кластерами Kubernetes. Также предложена концепция глобальных сервисов (вариант штатных сервисов Kubernetes с бэкендами в нескольких кластерах). Новая функциональность позволяет в случае выхода из строя бэкендов, обеспечивающих работу сервиса в одном кластере, автоматически перенаправить трафик к обработчикам данного сервиса в другом кластере.

  • Реализованы средства для задания правил обработки запросов и ответов DNS в привязке к группам контейнеров (pods), позволяющие увеличить контроль за обращением к внешним ресурсами из контейнеров. Дополнительно появилась поддержка ведения лога всех запросов и ответов DNS в привязке к pod-ам. Помимо правил доступа на уровне IP-адресов теперь можно определить какие DNS-запросы и DNS-ответы допустимы, а какие нужно блокировать. Например, можно блокировать доступ к определённым доменам или разрешить запросы только для локального домена, без необходимости отслеживания изменений привязки доменов к IP. В том числе реализована возможность использования возвращённого в процессе запроса к DNS IP-адреса для ограничения последующих сетевых операций (например, можно разрешить только обращение к IP-адресам, которые были возвращены при резолвинге в DNS, т.е. предоставлен своеобразный межсетевой экран, манипулирующий доменами вместо IP, с временем жизни привязок в соответствии с определённым TTL);

  • Добавлена экспериментальная поддержка прозрачного шифрования всего трафика между сервисами. Шифрование может применяться как для трафика между разными кластерами, так и в пределах одного кластера. Также добавлена возможность аутентификации узлов, что позволяет размещать кластер в не заслуживающей доверия сети;
  • Добавлена экспериментальная поддержка сетевых интерфейсов IPVLAN, позволяющих добиться более высокой производительности и снизить задержки при взаимодействии между двумя локальными контейнерами;

  • Добавлен модуль для интеграции с Flannel, системой для автоматизации настройки сетевого взаимодействия между узлами в кластере Kubernetes, позволяющий работать бок о бок или запустить Cilium поверх Flannel (сетевое взаимодействие от Flannel, политики доступа и балансировка от Cilium);
  • Обеспечена экспериментальная поддержка определения правил доступа на основе метаданных AWS (Amazon Web Services), таких как метки EC2, группы безопасности и имена VPC;
  • Предоставлена возможность запуска Cilium в GKE (Google Kubernetes Engine в Google Cloud) с использованием COS (Container-Optimized OS);
  • Обеспечена тестовая возможность для использования Sockmap BPF для ускорения коммуникаций между локальными процессами (например, полезно для ускорения взаимодействия между sidecar proxie и локальными процессами);

  • Добавлены дополнительные метрики для системы мониторинга Prometheus и предложены новые графики в сводной панели Grafana;

  • Добавлена поддержка Kubernetes 1.13 и новых версий CRI-O;
  • Проведена большая работа по оптимизации потребления памяти и нагрузки на CPU.

  1. Главная ссылка к новости
  2. OpenNews: Эксперимент по настройке Linux для блокирования 10 млн пакетов в секунду
  3. OpenNews: Для Linux представлена система динамической отладки BPFtrace (DTrace 2.0)
  4. OpenNews: Выпуск Cilium 1.0, сетевой системы для Linux-контейнеров, основанной на BPF
  5. OpenNews: Google представил Cilium, сетевую систему для Linux-контейнеров, основанную на BPF
  6. OpenNews: В eBPF найдена возможность обхода защиты ядра Linux от атаки Spectre
Обсуждение (17 +2) | Тип: Программы |


14.02 Критическая уязвимость в WordPress-плагине "Simple Social Buttons" (52 +10)
  В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).

Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.

  1. Главная ссылка к новости
  2. OpenNews: В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
  3. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  4. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  5. OpenNews: Доля WordPress среди крупнейших сайтов достигла 30%
  6. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
Обсуждение (52 +10) | Тип: Программы |


14.02 Выпуск GnuPG 2.2.13 (20 +13)
  Состоялся релиз инструментария GnuPG 2.2.13 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.

Основные изменения:

  • В утилите gpg реализована возможность поиска ключей по "keygrip" (идентификатор мастер-ключа), используя префикс "&";
  • Добавлена возможность генерации ключей Ed25519 на основе существующих ключей;
  • Добавлен вывод сообщения об ошибке в случае, если при указании опции "-k" не удалось найти ключи;
  • В утилите gpgsm в процессе интерактивной генерации ключей обеспечено отображение алгоритмов ключей, используемых на смарткарте, и их keygrip-идентификаторов.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск GnuPG 2.2.12
  3. OpenNews: GnuPG признан пригодным для заверения нотариальных актов в штате Вашингтон
  4. OpenNews: Уязвимость в GnuPG
  5. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
  6. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
Обсуждение (20 +13) | Тип: Программы |


13.02 Выпуск поискового сервера Xapiand 0.9 (29 +13)
  Доступен выпуск поискового сервера Xapiand 0.9, предназначенного для хранения, индексации и поиска большой коллекции документов. Сервер является надстройкой над библиотекой для создания поисковых систем Xapian. Для асинхронной обработки запросов применяется библиотека libev. Код Xapiand написан на C++ и поставляется под лицензией MIT. Для упрощения развёртывания предоставляется готовый образ для системы Docker (dubalu/xapiand).

Обращение к серверу производится через HTTP RESTful API. Документы могут представлять собой любые данные в форматах JSON или MessagePack. Определение схемы хранения не требуется, выборка осуществляется при помощи полнотекстовых поисковых запросов. Поддерживается создание специализированных индексов для определённых типов данных и прикрепление более одного индекса. В том числе имеется встроенная поддержка индексации геопространственных данных, позволяющая комбинировать данные о местоположении с операциями полнотекстового поиска. Поддерживаются различные форматы хранения координат и иерархические пространственные индексы HTM (Hierarchical Triangular Mesh).

Сервер отличается высокой производительностью, низким потреблением памяти и возможностью создания распределённых и отказоустойчивых систем, в которых индексы разделены (на каждом узле своя часть индекса и в выполнение запроса вовлекается несколько узлов) или реплицированы (на каждом узле копия полного индекса и возможна балансировка нагрузки) на несколько узлов кластера. Заявляется производительность операций поиска близкая к обработке запросов в режиме реального времени. Индексы могут включать в себя файлы и полные исходные данные, что позволяет использовать Xapiand в качестве хранилища с функцией полнотекстового поиска.

Новый выпуск примечателен переходом на движок Xapian 1.5.0, существенным увеличением производительности и стабилизацией средств для обработки геопространственных данных. Кроме того, представлена поддержка языка запросов QueryDSL, позволяющего формировать запросы в формате JSON. Например, можно применять логические операторы, фильтровать вывод по определённым значениям полей в документах, учитывать вес и число совпадений, преобразовывать значения полей из одного формата в другой, отсеивать документы в зависимости от пространств имён (вложенных полей, например, для хранения тегов).

  1. Главная ссылка к новости
  2. OpenNews: Релиз поискового движка Elasticsearch 1.0.0
  3. OpenNews: Открыт исходный код поискового движка Gigablast
  4. OpenNews: Поисковый движок Searchdaimon переведён в разряд свободных проектов
  5. OpenNews: Wikimedia работает над созданием собственной поисковой системы
  6. OpenNews: Европейский Фонд СПО представил децентрализованную поисковую систему YaCy 1.0
Обсуждение (29 +13) | Тип: Программы |


13.02 Уязвимость в snapd, позволяющая получить root-привилегии в системе (84 +11)
  В snapd, инструментарии для управления самодостаточными пакетами в формате snap, выявлена уязвимость (CVE-2019-7304), позволяющая непривилегированному пользователю получить права администратора (root) в системе. Для проверки систем на наличие уязвимости опубликовано два прототипа эксплоита - первый позволяет завести нового пользователя в системе, а второй даёт возможность установить любой snap-пакет и запустить код с правами root (через установку пакета в режиме "devmode" с прикреплением обработчика, вызываемого с привилегиями root при установке пакета).

Уязвимость вызвана отсутствием в snapd должных проверок при обработке адреса внешнего сокета в процессе оценки прав доступа для Unix-сокетов. При обработке запросов к API через Unix-сокет проверяется ассоциированный с соединением UID пользователя и на основании его принимается решение о предоставлении доступа. Пользователь может прикрепить к имени файла с сокетом строку ";uid=0;" (например, создать сокет "/tmp/sock;uid=0;") и данная строка будет обработана как часть адреса клиентского сокета.

При парсинге параметров в snapd идентификатор пользователя выделяется через цикличный поиск по маске ";uid=" в строке, также включающей имя файла с сокетом (например, при создании клиентского сокета "/tmp/sock;uid=0;" эта строка примет вид "pid=5275;uid=1000;socket=/run/snapd.socket;/tmp/sock;uid=0;"). Таким образом, при наличии строки ";uid=0;" в имени сокета идентификатор будет выделен из неё, а не из штатного параметра с реальным UID. Локальный атакующий может использовать данную ошибку для доступа через сокет /run/snapd.socket к привилегированным API snapd и получения полномочий администратора (в вышеупомянутых эксплоитах используется обращение к API v2/create-user и /v2/snaps).

Проблема проявляется в версиях snapd с 2.28 по 2.37 и затрагивает все поддерживаемые ветки дистрибутива Ubuntu (с 14.04 по 18.10), в котором начиная с Ubuntu 18.04 поддержка snap предлагается по умолчанию. Проблема также затрагивает дистрибутивы Fedora и Debian, в которых snapd предлагается из штатных репозиториев. Уязвимость устранена в выпуске snapd 2.37.1, а также в обновлениях пакетов для дистрибутивов Ubuntu и Debian.

  1. Главная ссылка к новости
  2. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  3. OpenNews: Уязвимость во Flatpak, позволяющая повысить привилегии в системе
  4. OpenNews: Уязвимость в Glibc, позволяющая поднять привилегии в системе
  5. OpenNews: В Kubernetes 1.13 устранена критическая уязвимость, позволяющая поднять свои привилегии
  6. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.2.0
Обсуждение (84 +11) | Тип: Проблемы безопасности |


13.02 Обновление Firefox 65.0.1 и Tor Browser 8.0.6 (30 +19)
  Подготовлен корректирующий выпуск Firefox 65.0.1, в котором устранены три уязвимости и исправлено 8 ошибок. Уязвимости затрагивают входящую в состав библиотеку Skia и могут привести к целочисленному переполнению, обращению к уже освобождённой области памяти или переполнению буфера при обработке специально оформленных данных. Уязвимости также устранены в выпуске Firefox 60.5.1 ESR.

Среди исправленных ошибок:

  • При показе контекстных рекомендаций дополнений убрано случайное обращение к внешнему хосту addons.mozilla.org до того как пользователь нажал кнопку установки;
  • Улучшено воспроизведение интерактивных видео с сервиса Netflix;
  • Решена проблема с некорректным выбором размера диалога очистки недавней истории посещений;
  • Устранены задержки при выводе звука и видео в момент совершения вызовов по WebRTC;
  • Исправлен некорректный выбор размера видео для некоторых видеовызовов по WebRTC;
  • Устранено зацикливание запросов CONNECT при организации канала связи через прокси-сервер при использовании WebSockets поверх HTTP/2;
  • Решена проблема с неработоспособностью клавиши "Enter" в формах ввода паролей в Ubuntu и некоторых других дистрибутивах Linux.

Одновременно сформирован выпуск Tor Browser 8.0.6, в котором помимо вышеотмеченных исправлений уязвимостей обновлена версия дополнения HTTPS Everywhere 2019.1.31 и из списка доступных по умолчанию шлюзов удалён адрес 83.212.101.3 (уже несколько месяцев данный узел не работает).

Дополнительно можно отметить объявление о заключении соглашения с компанией Ubisoft по использованию при разработке Firefox системы сопровождения процесса разработки Clever-Commit, использующей методы машинного обучения для анализа качества кода и выявления ошибок во время рецензирования изменений, написания нового кода и тестирования продукта. Clever-Commit позволяет на самых ранних стадиях разработки выявлять типичные ошибки программистов, учитывая историю изменений, различные вспомогательные метрики и данные из системы отслеживания ошибок (система обучается на ранее допущенных ошибках и позволяет определять появление похожих проблем).

  1. Главная ссылка к новости
  2. OpenNews: Для Firefox развивается режим строгой изоляции страниц
  3. OpenNews: В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации
  4. OpenNews: WebRender для видеокарт AMD/Intel и защита от MITM-атак в Firefox
  5. OpenNews: Релиз Firefox 65
  6. OpenNews: В Firefox 66 по умолчанию в Linux будет включено декорирование окон на стороне клиента
Обсуждение (30 +19) | Тип: Программы |


12.02 Релиз рабочего стола KDE Plasma 5.15 (206 +42)
  Представлен релиз пользовательской оболочки Plasma 5.15, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу нового выпуска можно через Live-сборку от проекта openSUSE и сборки от проекта KDE neon. Пакеты для различных дистрибутивов можно найти на данной странице.

Ключевые улучшения:

  • Виджеты
    • В виджете контроля заряда аккумулятора реализовано отображение состояния аккумулятора внешних Bluetooth-устройств (функция работоспособна только при установке свежих версий upower и bluez);
    • В диалог настройки обоев рабочего стола встроены функции для загрузки и установки новых плагинов с реализацией динамических обоев;
    • Улучшена читаемость имён файлов под пиктограммами на рабочем столе: предоставлено достаточное горизонтальное пространство для текста, независимо от размера пиктограммы, и обеспечен должный контраст, необходимый для лёгкой читаемости текста, выводимого поверх очень светлых или замысловатых обоев рабочего стола. Для незрячих пользователей добавлена поддержка озвучивания пиктограмм через экранные ридеры;
    • В виджете для ведения заметок (Notes) появилась новая тема оформления, показывающая светлый текст на прозрачном фоне;
    • Добавлена возможность включения цикличной прокрутки при достижении конца списка виртуальных рабочих столов;
    • Улучшен внешний вид всплывающих предупреждений от системы уведомлений;
    • Повышено удобство работы в интерфейсе поиска программ (KRunner). Реализована корректная обработка дубликатов в выводе (теперь не показываются дубликаты закладок Firefox и повторяющиеся элементы при попадании найденного файла в несколько категорий). Оформление виджета отдельного поиска приведено в соответствии к оформлению KRunner;
    • Виджет для уведомления о подключении новых носителей теперь корректно обрабатывает попытки выполнения опасных для системы операций (например, отмонтирование корневой ФС);
  • Интерфейс для настройки системы
    • Изменено оформление и переписан код конфигуратора виртуальных рабочих столов. Новая реализация корректно работает в окружениях на базе Wayland, более удобна в работе и визуально соответствует остальным конфигураторам KDE;
    • Унифицировано оформление интерфейсов настройки часов и оболочки Folder View, которое приведено общему с остальными конфигураторами виду;
    • Проведена работа по унификации пиктограмм, отступов и кнопок на разных страницах Интерфейса для настройки системы;
    • На странице "Desktop Effects" в конфигураторе теперь отображаются и сторонние эффекты рабочего стола, установленные через каталог store.kde.org. Реализация конфигуратора "Desktop Effects" переведена на использование QtQuickControls 2;
    • В интерфейсе для настройки параметров экрана родное экранное разрешение теперь помечается звёздочкой;
    • Улучшено оформление страницы для настройки экрана входа в систему и обновлён эскиз внешнего вида для предлагаемой по умолчанию темы оформления Breeze;
  • Интеграция с GTK и GNOME
    • В Firefox 64 появилась поддержка использования в родных диалогов KDE для открытия и сохранения файлов. Для включения данной возможности требуется установить пакеты xdg-desktop-portal и xdg-desktop-portal-kde, после чего запустить Firefox с выставленной переменной окружения GTK_USE_PORTAL=1;
    • В интеграционные модули xdg-desktop-portal-kde и plasma-integration добавлена поддержка портала для доступа к настройкам, позволяющего обращаться к параметрам конфигурации Plasma (шрифты, пиктограммы, темы виджетов и цветовые схемы) из изолированных приложений Flatpak и Snap, без необходимости предоставления прямого доступа к глобальному файлу конфигурации KDE;
    • Глобальный коэффициент масштабирования для экранов с высокой плотностью пикселей (high-DPI) теперь учитывается и для вывода приложений GTK и GNOME, если он является целым числом;
    • Решены разнообразные проблемы, возникавшие при использовании темы оформления Breeze-GTK, в том числе устранены несоответствия между тёмным и светлым вариантами данной темы;
  • Центр установки приложений и дополнений (Discover):
    • В виджет для информирования о наличии обновлений добавлены сведения о появлении возможности обновления до новой версии дистрибутива, а также обеспечен показ кнопки "Restart" в ситуациях, когда после применения обновлений рекомендуется выполнить перезагрузку;
    • На странице со списком доступных обновлений появились опции для снятия метки и повторной отметки всех элементов списка, упрощающие выборочную установку обновлений;
    • Страница с настройками переименована в "Sources" и преобразована в боковую секцию;
    • Средства управления репозиториями модифицированы для практического применения в дистрибутивах на пакетной базе Ubuntu;
    • Добавлена поддержка дополнений, распространяемых в пакетах Flatpak;
    • Улучшена поддержка обработки локальных пакетов, для которых теперь определяются зависимости и показывается кнопка "Launch" для запуска приложения после установки;
    • При поиске в разделе избранных приложений в результатах теперь показываются только приложения. Дополнения к Plasma теперь фигурируют в результатах поиска только в случае явного поиска в категории "Дополнения";
    • Обеспечен корректный поиск установленных приложений, в случае наличия в системе приложений в формате Snap;
    • На странице со списком обновлений разделены на отдельные категории приложения и дополнения к Plasma;
  • Улучшения в оконном менеджере: В интерфейсе переключения между окнами по Alt+Tab добавлена поддержка управления с использованием экранного ридера и возможность переключения между элементами при помощи клавиатуры. Устранён крах при инициировании скриптом операции сворачивая окна. Эффекты закрытия окна теперь применяются и для диалогов с активным родительским окном. Окна конфигуратора теперь самостоятельно выдвигаются на передний план в случае получения фокуса ввода;
  • Улучшена поддержка Wayland. Полностью реализованы протоколы XdgStable, XdgPopups и XdgDecoration. В окружениях на базе Wayland обеспечена поддержка виртуальных рабочих столов, в том числе добавлена возможность выборочного размещения окна на заданных виртуальных рабочих столах (при использовании X11 подобной возможности нет и окно можно поместить либо на один виртуальный рабочий стол, либо на все). Добавлена поддержка перемещения элементов в режиме drag&drop при помощи жеста на сенсорном экране или тачпаде;
  • В интерфейс для управления сетевыми подключениями добавлена поддержка настойки VPN-туннелей WireGuard при наличии в системе соответствующего плагина к Network Manager. Добавлена возможность пометки сетевых соединений флагом "Metered" (тарификация по трафику);
  • Внесены улучшения в набор пиктограмм Breeze. Улучшены пиктограммы для устройств и настроек, полностью переработаны пиктограммы для эмблем и пакетов, задействованы более качественные пиктограммы для сетевых операций, добавлены отдельные пиктограммы для файлов с байткодом Python;
  • В KSysGuard реализована возможность скрытия строки меню с оставлением подсказки для его возвращения по аналогии с тем, как это сделано в Kate и Gwenview.

  1. Главная ссылка к новости
  2. OpenNews: Для Firefox реализована возможность использования файловых диалогов KDE
  3. OpenNews: Выпуск KDE Neon на базе Ubuntu 18.04
  4. OpenNews: Выпуск KDE Applications 18.12
  5. OpenNews: Релиз рабочего стола KDE Plasma 5.14
  6. OpenNews: Выпуск музыкального проигрывателя Elisa 0.3, развиваемого сообществом KDE
Обсуждение (206 +42) | Тип: Программы |


Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor