Для загрузки доступны следующие редакции дистрибутива: Calculate Linux Desktop с рабочим столом KDE (CLD), MATE (CLDM), LXQt (CLDL), Cinnamon (CLDC) и Xfce (CLDX и CLDXE), Calculate Directory Server (CDS), Calculate Linux Scratch (CLS) и Calculate Scratch Server (CSS). Все версии дистрибутива распространяются в виде загрузочного Live-образа для систем x86_64 с возможностью установки на жесткий диcк или USB-накопитель.

Calculate Linux совместим с портежами Gentoo, использует систему инициализации OpenRC и применяет Rolling-модель обновлений. Репозиторий насчитывает более 13 тысяч бинарных пакетов. Live USB включает как открытые, так и проприетарные видеодрайверы. Поддерживается мультизагрузка и модификация загрузочного образа при помощи утилит Calculate. Система поддерживает работу с доменом Calculate Directory Server с централизованной авторизацией в LDAP и хранением профилей пользователей на сервере. В состав входит специально разработанная для проекта Calculate подборка утилит для настройки, сборки и установки системы. Предоставляются средства для создания специализированных ISO-образов, адаптированных под задачи пользователя.

Основные изменения:

• Добавлена возможность доведения до актуального состояния очень старых установок, для которых длительное время не устанавливались обновления.
• Предложена новая версия утилит Calculate Utils 3.7, полностью переведенная на Python 3.
• Из базовой поставки исключён Python 2.7.
• Звуковой сервер PulseAudio заменён на мультимедийный сервер PipeWire. Сохранена возможность выбора ALSA.
• Добавлена поддержка Bluetooth при использовании ALSA.
• Улучшена поддержка аппаратной виртуализации на базе гипервизора Hyper-V.
• Проведена оптимизация производительности системы.
• Музыкальный проигрыватель Clementine заменён на его форк Strawberry.
• Возвращено использование udev для управления устройствами вместо ранее применявшегося форка eudev.

Состав пакетов:

• CLD (KDE desktop), 3.18 G: KDE Frameworks 5.85.0, KDE Plasma 5.22.5, KDE Applications 21.08.3, LibreOffice 7.1.7.2, Chromium 96.0.4664.45, ядро Linux 5.15.6.
• CLDC (Cinnamon desktop), 2.89 G: Cinnamon 5.0.6, LibreOffice 7.1.7.2, Chromium 96.0.4664.45, Evolution 3.40.4, GIMP 2.10.28, Rhythmbox 3.4.4, ядро Linux 5.15.6.
• CLDL (LXQt desktop), 2.89 G: LXQt 0.17, LibreOffice 7.1.7.2, Chromium 96.0.4664.45, Claws Mail 3.17.8, GIMP 2.10.28, Strawberry 1.0, ядро Linux 5.15.6.
• CLDM (MATE desktop), 3 G: MATE 1.24, LibreOffice 7.1.7.2, Chromium 96.0.4664.45, Claws Mail 3.17.8, GIMP 2.10.28, Strawberry 1.0, ядро Linux 5.15.6.
• CLDX (Xfce desktop), 2.82 G: Xfce 4.16, LibreOffice 7.1.7.2, Chromium 96.0.4664.45, Claws Mail 3.17.8, Gimp 2.10.28, Strawberry 1.0, ядро Linux 5.15.6.
• CLDXS (Xfce Scientific desktop), 3.12 G: Xfce 4.16, Eclipse 4.13, Inkscape 1.1, LibreOffice 7.1.7.2, Chromium 96.0.4664.45, Claws Mail 3.18, GIMP 2.10.28, ядро Linux 5.15.6.
• CDS (Directory Server), 835 M: OpenLDAP 2.4.58, Samba 4.14.10, Postfix 3.6.3, ProFTPD 1.3.7c, Bind 9.16.12.
• CLS (Linux Scratch), 1.5 G: Xorg-server 1.20.13, ядро Linux 5.15.6.
• CSS (Scratch Server), 628 M: ядро Linux 5.15.6, Calculate Utilities 3.7.2.11.

1. Главная ссылка к новости
2. OpenNews: Вышел Calculate Linux 21
3. OpenNews: Вышел Calculate Linux 20
4. OpenNews: Сформирована новая редакция Calculate Linux с рабочим столом LXQt
5. OpenNews: Вариант дистрибутива Calculate Linux для запуска в контейнере LXC
6. OpenNews: Вышел Calculate Linux Desktop 9.2

Отмечается, что в недавнем выпуске проприетартного драйвера NVIDIA реализованы изменения, позволяющие обеспечить полноценную поддержку аппаратного ускорения OpenGL и Vulkan в приложениях X11, выполняемых при помощи DDX-компонента (Device-Dependent X) XWayland. При использовании новой ветки драйвера NVIDIA производительность OpenGL и Vulkan в X-приложениях, запущенных при помощи XWayland, теперь почти не отличается от запуска под управлением обычного X-сервера.

Напомним, что дистрибутив начал предлагать по умолчанию сеанс GNOME на базе протокола Wayland начиная с версии Fedora 25. Данный сеанс применялся только при использовании открытых драйверов, а при установке проприетарных драйверов NVIDIA мог запускаться только сеанс на основе X-сервера. В выпуске Fedora Linux 35 ситуация изменилась и в качестве опции была добавлена возможность использования Wayland с проприетарными драйверами NVIDIA. В Fedora Linux 36 данную опцию планируют перевести в режим по умолчанию.

1. Главная ссылка к новости
2. OpenNews: Выпуск проприетарного драйвера NVIDIA 495.44
3. OpenNews: Релиз дистрибутива Fedora Linux 35
4. OpenNews: Выпуск XWayland 21.1.1.901 с поддержкой аппаратного ускорения на системах с GPU NVIDIA
5. OpenNews: В Fedora 25 утверждено использование Wayland по умолчанию
6. OpenNews: В Fedora Linux 37 намерены прекратить поддержку 32-разрядной архитектуры ARM

В новой версии добавлено 5 новых вариантов голосов для русской речи. Реализована поддержка албанского языка. Обновлён словарь для украинского языка. Расширена поддержка озвучивания символов emoji. Проведена работа по устранению ошибок в приложении для платформы Android, упрощён импорт пользовательских словарей, а также добавлена поддержка платформы Android 11. В ядро движка добавлены новые настройки и функциональные возможности, включая g2p.case, word_break и поддержку фильтров эквализации.

Напомним, что в RHVoice применяются наработки проекта HTS (HMM/DNN-based Speech Synthesis System) и параметрический метод синтеза со статистическими моделями (Statistical Parametric Synthesis на базе HMM - Hidden Markov Model). Плюсом статистической модели являются низкие накладные расходы и нетребовательность к мощности CPU. Все операции выполняются локально на системе пользователя. Поддерживается три уровня качества речи (чем ниже качество - тем выше производительность и меньше время реакции).

Минусом статистической модели является относительно низкое качество произношения, которое не достигает уровня синтезаторов, генерирующих речь на основе комбинации фрагментов естественной речи, но тем не менее результат вполне разборчив и напоминает трансляцию записи с громкоговорителя. Для сравнения, проект Silero, предоставляющий открытый движок для синтеза речи на основе технологий машинного обучения и набор моделей для русского языка, по качеству превосходит RHVoice.

Для русского языка доступно 13 вариантов голосов, для английского - 5. Голоса формируются на основе записей естественной речи. В настройках можно изменять скорость, высоту и громкость. Для изменения темпа может применяться библиотека Sonic. Возможно автоматическое определение и переключение языка на основе анализа входного текста (например, для слов и цитат на другом языке может использоваться родная для данного языка модель синтеза). Поддерживаются голосовые профили, определяющие сочетания голосов для разных языков.

1. Главная ссылка к новости
2. OpenNews: Обновление голосовых данных Mozilla Common Voice 7.0
3. OpenNews: Компания Mozilla представила движок распознавания речи DeepSpeech 0.6
4. OpenNews: Техника воссоздания речи через анализ вибрации лампы в подвесном светильнике
5. OpenNews: Выпуск синтезатора речи RHVoice 1.2.4, развиваемого для русского языка
6. OpenNews: Новые модели для распознавания русской речи в библиотеке Vosk

С 7 декабря 2021 года по 4 января 2022 года будет произведён перевод всех мэйнтейнеров, имеющих право публикации NPM-пакетов, но не использующих двухфакторную аутентификацию, на использование расширенной верификации учётных записей. Расширенная верификация подразумевает необходимость ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm.

Расширенная верификация не заменяет, а лишь дополняет ранее доступную опциональную двухфакторную аутентификацию, при которой требуется подтверждение при помощи одноразовых паролей (TOTP). При включении двухфакторной аутентификации расширенная верификация по email не применяется. Начиная с 1 февраля 2022 года начнётся процесс перевода на обязательную двухфакторную аутентификацию сопровождающих 100 самых популярных NPM-пакетов, имеющих наибольшее число зависимостей. После завершения миграции первой сотни, изменение будет распространено на 500 самых популярных по числу зависимостей NPM-пакетов.

Помимо доступной в настоящее время схемы двухфакторной аутентификации на основе приложений для генерации одноразовых паролей (Authy, Google Authenticator, FreeOTP и т.п.) в апреле 2022 года планируют добавить возможность использования аппаратных ключей и биометрических сканеров, для которых имеется поддержка протокола WebAuthn, а также возможность регистрации и управления различными дополнительными факторами аутентификации.

Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.

1. Главная ссылка к новости
2. OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
3. OpenNews: GitHub запрещает парольную аутентификацию при доступе к Git
4. OpenNews: GitHub вводит новые требования для удалённого подключения к Git
5. OpenNews: GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair
6. OpenNews: GitHub опубликовал статистику за 2021 год

Блокировка выполнена на основании старого решения Саратовского районного суда, принятого ещё в 2017 году. Саратовский районный суд признал незаконным распространение на сайте www.torproject.org браузера-анонимайзера Tor Browser, так как с его помощью пользователи могут получить доступ к сайтам, на которых размещена информация, включённая в Федеральный список экстремистских материалов, запрещённых к распространению на территории Российской Федерации.

Таким образом, решением суда информация, содержащаяся на сайте www.torproject.org, признана запрещенной к распространению на территории Российской Федерации. Данное решение было внесено в реестр запрещённых сайтов в 2017 году, но последние четыре года запись была помечена как не подлежащая блокировке. Сегодня статус был изменён на "доступ ограничивается".

Примечательно, что изменения для активации блокировки были внесены через несколько часов после публикации на сайте проекта Tor предупреждения о ситуации с блокировками в России, в котором упоминалось, что ситуация может быстро перерасти в полномасштабную блокировку Tor в РФ и описывались возможные пути обхода блокировки. Россия находится на втором месте по числу пользователей Tor (около 300 тысяч пользователей, что примерно 14% от всех пользователей Tor), уступая лишь США (20.98%).

В случае блокировки самой сети, а не только сайта, пользователям рекомендуется использовать мостовые узлы. Получить адрес скрытого мостового узла можно на сайте bridges.torproject.org, отправив сообщение Telegram-боту @GetBridgesBot или отправив письмо через сервисы Riseup или Gmail на email bridges@torproject.org с пустой темой письма и текстом "get transport obfs4". Для того чтобы помочь в обходе блокировок в РФ энтузиастам предлагается принять участие в создании новых мостовых узлов. В настоящее время насчитывается около 1600 подобных узлов (1000 можно использовать с транспортом obfs4), из которых 400 было добавлено за последний месяц.

Дополнительно можно отметить выпуск специализированного дистрибутива Tails 4.25 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.1 ГБ.

В новой версии:

• Обновлены версии Tor Browser 11.0.2 (официально релиз ещё не анонсирован) и Tor 0.4.6.8.
• В состав включена утилита с интерфейсом для создания и обновления резервных копий постоянного хранилища, в котором содержатся изменяемые данные пользователей. Резервные копии сохраняются на другой USB-носитель c Tails, который может рассматриваться как клон текущего накопителя.
• В загрузочное меню GRUB добавлен новый пункт "Tails (External Hard Disk)", позволяющий запустить Tails с внешнего жёсткого диска или одного из нескольких USB-накопителей. Режим может применяться когда штатный процесс загрузки завершается ошибкой о невозможности найти образ live-системы.
• Добавлен ярлык для перезапуска Tails в случае, если Unsafe Browser не включён в приложении приветствия входа в систему (Welcome Screen).
• В сообщения об ошибках соединения с сетью Tor добавлены ссылки на документацию с рекомендациями по решению типовых проблем.

Также можно упомянуть корректирующий выпуск дистрибутива Whonix 16.0.3.7, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Особенностью Whonix является разделение дистрибутива на два отдельно устанавливаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом Xfce. Оба компонента поставляются внутри одного загрузочного образа для систем виртуализации. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов.

Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе. Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, который направляет трафик только через Tor. В новой версии обновлены Tor 0.4.6.8 и Tor Browser 11.0.1, в межсетевой экран Whonix-Workstation добавлена опциональная настройка для фильтрации исходящих IP-адресов с использованием белого списка outgoing_allow_ip_list.

1. Главная ссылка к новости
2. OpenNews: Провайдер сайта анонимной сети Tor получил уведомление от Роскомнадзора (дополнено)
3. OpenNews: В РФ наблюдаются проблемы с подключением к Tor
4. OpenNews: Delta Chat получил от Роскомнадзора требование о доступе к данным пользователей
5. OpenNews: Попытка запрета в РФ сайта за публикацию инструкции по использованию анонимайзеров
6. OpenNews: Инициатива запрета в РФ анонимных сетей, таких как Tor

Ключевые новшества:

• Добавлен скрипт /etc/rc.final, который запускается на последней стадии работы после завершения всех пользовательских процессов.
• В пакетом фильтре ipfw предоставлена команда dnctl для управления настройками системы ограничения трафика dummynet.
• Добавлен sysctl kern.crypto для управления криптоподсистемой ядра, а также отладочный sysctl debug.uma_reclaim.
• Добавлен sysctl net.inet.tcp.tolerate_missing_ts, допускающий TCP-пакеты без временных меток (опция timestamp, RFC 1323/RFC 7323).
• В ядре GENERIC для архитектуры amd64 включена опция COMPAT_LINUXKPI и активирован драйвер mlx5en (NVIDIA Mellanox ConnectX-4/5/6).
• В загрузчике добавлена возможность загрузки операционной системы с ram-диска, а также реализована поддержка ZFS-опций com.delphix:bookmark_written и com.datto:bookmark_v2.
• В библиотеку fetch добавлена поддержка проксирования FTP поверх HTTPS.
• В пакетном менеджере pkg для команд "bootstrap" и "add" реализован флаг "-r" для указания репозитория. Обеспечено использование переменных окружения из файла pkg.conf.
• В утилите growfs появилась возможность работы с файловыми системами примонтированными в режиме чтения и записи.
• В утилите etcupdate реализован режим отката изменений для восстановления одного или нескольких файлов. Добавлен флаг "-D" для указания целевого каталога. Обеспечено извлечение данных с использованием временного каталога и добавлена обработка SIGINT.
• В утилиты freebsd-update и freebsd-version добавлен флаг "-j" для поддержки jail-окружений.
• Утилиту cpuset теперь можно использовать в jail-окружениях для изменения параметров дочерних jail.
• В утилиту cmp добавлены опции: "-b" (--print-bytes) для вывода отличающихся байтов, "-i" (--ignore-initial) для игнорирования определённого числа начальных байтов, "-n" (--bytes) для ограничения числа сравниваемых байтов.
• В утилите daemon появился флаг "-H" для обработки SIGHUP и переоткрытия файла, в которых осуществляется вывод (добавлено для поддержки newsyslog).
• В утилите fstyp при указании флага "-l" обеспечено определение и отображение файловых систем exFAT.
• В утилите mergemaster реализована обработка символических ссылок в процессе обновления.
• В утилиту newsyslog добавлен флаг "E" для отключения ротации пустых логов.
• В утилите tcpdump появилась возможность декодирования пакетов на интерфейсах pfsync.
• В утилите top добавлена команда-фильтр "/" для показа только процессов или аргументов, соответствующих заданной строке.
• В unzip добавлена поддержка архивов, защищённых паролем.
• Улучшена поддержка оборудования. Добавлены идентификаторы PCI-устройств для AHCI-контроллеров ASMedia ASM116x и I2C-контроллеров Intel Gemini Lake. Реализована поддержка сетевых адаптеров Mikrotik 10/25G и беспроводных карт Intel Killer Wireless-AC 1550i, Mercusys MW150US, TP-Link Archer T2U v3, D-Link DWA-121, D-Link DWA-130 rev F1, ASUS USB-N14. Добавлен новый драйвер igc для ethernet-контроллеров Intel I225 2.5G/1G/100MB/10MB.
• Netgraph-узел ng_bridge адаптирован для SMP-систем. В узле ng_nat добавлена поддержка CGN (Carrier Grade NAT, RFC 6598). Предоставлена возможность подстановки узла ng_source в любую часть Netgraph-сети.
• В драйвере rctl, применяемом для лимитирования ресурсов, добавлена возможность установки ограничения потребления ресурсов в значение 0.
• В интерфейс vlan добавлена поддержка системы приоритизации трафика и управления пропускной способности ALTQ.
• В драйверах amdtemp и amdsmn реализована поддержка CPU Zen 3 "Vermeer" и APU Ryzen 4000 (Zen 2, "Renoir").
• Обновлены версии входящих в базовую систему сторонних приложений: awk 20210221, bc 5.0.0, less 581.2, Libarchive 3.5.1, OpenPAM Tabebuia, OpenSSL 1.1.1l, SQLite3 3.35.5, TCSH 6.22.04, Subversion 1.14.1, nvi 2.2.0-3bbdfe4. Утилита unzip синхронизирована с кодовой базой NetBSD.

1. Главная ссылка к новости
2. OpenNews: Проект Airyx развивает редакцию FreeBSD, совместимую с приложениями macOS
3. OpenNews: Дистрибутив Chimera Linux, сочетающий ядро Linux с окружением FreeBSD
4. OpenNews: Выпуск дистрибутива helloSystem 0.6, использующего FreeBSD и напоминающего macOS
5. OpenNews: Релиз FreeBSD 13.0
6. OpenNews: Релиз FreeBSD 12.2

Основные новшества:

• Для всех поддерживаемых платформ реализован дополнительный уровень изоляции, основанный на технологии RLBox. Предложенный слой изоляции обеспечивает блокировку проблем с безопасностью в сторонних библиотеках функций, которые не подконтрольны разработчикам Firеfox, но могут скомпрометировать основной проект в случае выявления уязвимостей. В текущем выпуске RLBox применён для изоляции библиотек Graphite, Hunspell и Ogg, а в следующем выпуске ожидается изоляция Expat и Woff2.

  Механизм работы RLBox сводится к компиляции C/C++ кода изолируемой библиотеки в низкоуровневый промежуточный код WebAssembly, который затем оформляется в виде WebAssembly-модуля, полномочия которого задаются в привязке только к этому модулю (например, библиотека для обработки строк не сможет открыть сетевой сокет или файл). Для непосредственного выполнения WebAssembly-модуль компилируется в машинный код при помощи компилятора wasm2c и выполняется в отдельной области памяти, не имея доступа к остальному адресному пространству.

  
• Для всех пользователей активирован режим строгой изоляции сайтов, развивавшийся в рамках проекта Fission. В отличие от применяемого до настоящего времени произвольного распределения обработки вкладок по доступному пулу процессов (по умолчанию 8), режим строгой изоляции выносит обработку каждого сайта в свой отдельный процесс с разделением не по вкладкам, а по доменам (Public Suffix).

  Режим строгой изоляции обеспечивает более надёжную защиту от атак класса Spectre, снижает фрагментацию памяти, позволяет дополнительно изолировать содержимое внешних скриптов и iframe-блоков, более эффективно возвращает память операционной системе, минимизирует влияние сборки мусора и интенсивных вычислений на страницы в других процессах, увеличивает эффективность распределения нагрузки на разные ядра CPU и повышает стабильность (крах процесса, обрабатывающего iframe, не потянет за собой основной сайт и другие вкладки). Ценой является общее повышение потребления памяти при большом числе открытых сайтов.

• Продолжена работа по улучшению поддержки протокола Wayland. Порт Firefox для Wayland доведён до общего паритета в функциональности со сборкой для X11 при работе в GNOME-окружении Fedora.
• В контекстное меню режима "картинка в картинке" (Picture-in-Picture) добавлена опция для перемещения кнопки переключения режима просмотра в противоположную сторону на видео.
• Реализована технология упреждающей компиляции JavaScript-кода, позволившая повысить производительность загрузки страниц. Внесены оптимизации в работу системы распределения памяти.
• Включено переопределение значения User Agent для сайта Slack.com на "Chrome", что позволило получить доступ к дополнительным возможностям Slack, таким как голосовые/видео вызовы и конференции (huddles), ранее не предоставляемым при открытии сайта в Firefox. Отключить переопределение User Agent можно на странице "about:compat".
• На всех платформах реализована поддержка глобального атрибута inputmode, применяемого для указании информации о типах данных, которые могут быть введены при редактировании элемента. Указанная информация используется для выбора экранной клавиатуры, наиболее подходящей для редактирования текущего элемента на устройствах с сенсорным экраном. Ранее поддержка inputmode ограничивалась только платформой Android.
• Добавлена функция Crypto.randomUUID(), возвращающая криптографически надёжный 36-символьный UUID.
• В сборках для платформы macOS снижена нагрузка на CPU в процессе обработки событий, ускорен запуск процессов обработки контента и снижено энергопотребление при программном декодировании видео, в том числе при воспроизведении видео с сайтов Netflix и Amazon Prime Video.
• Для платформ Windows 10 и Windows 11 предоставлена возможность установки Firefox из каталога Microsoft Store.
• В версии для платформы Android в меню с настройками реализована новая секция Homepage. На странице "Вернуться назад" ("Jump back in") обеспечен показ основных изображений с сайтов (Hero Image). Реализован запрос подтверждения при включении режима автоматического закрытия вкладок.
• В версии для платформы Android реализована поддержка CSS-свойства cursor, при помощи которого можно визуально отметить элементы, доступные для клика, что может упростить работу пользователей Android, применяющих манипулятор "мышь" (изображение курсора будет меняться при наведении на подобные элементы).

Кроме новшеств и исправления ошибок в Firefox 95 устранено 18 уязвимостей, из которых 11 помечены как опасные. 8 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 94
3. OpenNews: План улучшения поддержки Wayland в Firefox
4. OpenNews: В Firefox добавлены режимы тёмного и светлого отображения сайтов
5. OpenNews: Изменение правил каталога дополнений к Firefox
6. OpenNews: Mozilla начинает внедрение технологии изоляции библиотек RLBox

Захват трафика осуществляется через перевод беспроводного адаптера в режим мониторинга за транзитными сетевыми кадрами. Возможна передача перехваченных сетевых кадров в систему Graylog для длительного хранения на случай, если данные потребуются для разбора инцидентов и вредоносных действий. Например, программа позволяет выявить появление несанкционированных точек доступа, а в случае выявления попытки компрометации беспроводной сети покажет, кто стал целью атаки и какие пользователи были скомпрометированы.

Система может генерировать несколько типов предупреждений, а также поддерживает различные способы определения аномальной активности, включая проверку компонентов сети по fingerprint-идентификаторам и создание ловушек. Поддерживается генерация предупреждений при нарушении структуры сети (например, появления ранее неизвестного BSSID), изменении связанных с безопасностью параметров сети (например, изменение режимов шифрования), выявления присутствия типовых устройств для проведения атак (например, WiFi Pineapple), фиксации обращения к ловушке или определения аномального изменения поведения (например, при появлении отдельных кадров с нетипичным слабым уровнем сигнала или нарушением пороговых значений интенсивности поступления пакетов).

Помимо анализа вредоносной активности система может применяться для общего мониторинга за беспроводными сетями, а также для физического обнаружения источника выявленных аномалий через использование трекеров, позволяющих поступательно определить вредоносное беспроводное устройство на основании специфичных для него атрибутов и изменения уровня сигнала. Управление производится через web-интерфейс.

В новой версии:

• Добавлена поддержка генерации и отправки на email отчётов о выявленных аномалиях, зафиксированных сетях и общем состоянии.
• Добавлен поддержка предупреждений о выявлении попыток совершения атак для блокировки работы камер наблюдения, основанных на массовой отправке пакетов деаутентификации.
• Добавлена поддержка предупреждений о выявлении ранее не встречавшихся SSID-идентификаторов.
• Добавлена поддержка предупреждений о сбоях в работе системы мониторинга, например, при отключении беспроводного адаптера от компьютера, на котором выполняется Nzyme.
• Улучшена совместимость с сетями на базе WPA3.
• Добавлена возможность задания callback-обработчиков для реагирования на предупреждение (например, можно использовать для записи информации об аномалиях в лог-файл).
• Добавлен список инвентаризации ресурсов, в котором отображены параметры развёрнутых сетей, за которыми осуществляется мониторинг.
• Добавлена страница с профилем атакующего, предоставляющая информацию о системах и точках доступа с которыми взаимодействовал атакующий, а также статистику об уровне сигнала и отправленных кадрах.
  1. Главная ссылка к новости
  2. OpenNews: Проект OpenWifi с реализацией открытого Wi-Fi чипа на базе FPGA и SDR
  3. OpenNews: Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
  4. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
  5. OpenNews: FragAttacks - серия уязвимостей в стандартах и реализациях Wi-Fi
  6. OpenNews: Эксперимент с определением паролей пользователей 70% Wi-Fi сетей Тель-Aвива

Напомним, что предложенные изменения дают возможность использовать Rust в качестве второго языка для разработки драйверов и модулей ядра. Поддержка Rust преподносится как опция, не активная по умолчанию и не приводящая к включению Rust в число обязательных сборочных зависимостей к ядру. Использование Rust для разработки драйверов позволит с минимальными усилиями создавать безопасные и более качественные драйверы, избавленные от таких проблем как обращение к области памяти после её освобождения, разыменование нулевых указателей и выход за границы буфера.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами и учёт времени жизни объектов (области видимости), а также через оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

В новом варианте патчей продолжено устранение замечаний, высказанных в процессе обсуждения первой и второй версий патчей. Наиболее заметные изменения:

• Осуществлён переход на использование в качестве эталонного компилятора стабильного выпуска Rust 1.57 и обеспечена привязка к стабилизированной редакции языка Rust 2021. Ранее патчи были завязаны на бета-ветку Rust и использовали некоторые возможности языка, входящие в категорию нестабильных. Переход на спецификацию Rust 2021 позволил инициировать работу по уходу от использования в патчах таких нестабильных возможностей, как const_fn_transmute, const_panic, const_unreachable_unchecked и core_panic и try_reserve.
• Продолжено развитие входящего в состав патчей варианта Rust-библиотеки alloc, изменённой для избавления функций распределения памяти от возможных генераций состояния "panic" при возникновении ошибок, таких как нехватка памяти. В новой версии реализованы опции "no_rc" и "no_sync" для отключения функциональности, не используемой в Rust-коде для ядра, делающие библиотеку более модульной. Продолжается работа с основными разработчиками alloc, нацеленная на перенос необходимых для ядра изменения в основной состав библиотеки. В базовую библиотеку Rust (core) перенесена опция "no_fp_fmt_parse", необходимая для работы библиотеки на уровне ядра.
• Проведена чистка кода для избавления от возможных предупреждений компилятора при сборке ядра в режиме CONFIG_WERROR. При сборке кода на языке Rust включены дополнительные диагностические режимы компилятора и предупреждения линтера Clippy.
• Предложены абстракции для использования в коде на языке Rust блокировок seqlock (sequence locks), callback-вызовов для управления питанием, I/O Memory (readX/writeX), обработчиков прерываний и потоков, GPIO, доступа к устройствам, драйверам и учётным данным.
• Расширены средства для разработки драйверов с задействованием перемещаемых мьютексов, битовых итераторов, упрощённых обвязок над указателями, улучшенной диагностики сбоев и инфраструктуры, не зависимой от шины данных.
• Улучшена работа со ссылками при помощи упрощённого типа Ref, базирующегося на бэкенде refcount_t, использующем одноимённый API ядра для подсчёта ссылок. Поддержка типов Arc и Rc, предоставляемых в штатной библиотеке alloc, удалена и не доступна в коде, выполняемом на уровне ядра (для самой библиотеки подготовлены опции, отключающие данные типы).
• В состав патчей добавлен вариант драйвера PL061 GPIO, переписанный на Rust. Особенностью драйвера является то, что его реализация практически построчно повторяет имеющийся драйвер GPIO на языке Си. Для разработчиков, желающих познакомиться с созданием драйверов на Rust, подготовлено построчное сравнение, позволяющее понять в какие конструкции на Rust преобразован код на Си.
• В основную кодовую базу Rust принят rustc_codegen_gcc, бэкенд rustc для GCC, реализующий возможность упреждающей (AOT) компиляции с использованием библиотеки libgccjit. При должном развитии бэкенда он позволит собирать задействованный в ядре Rust-код при помощи GCC.
• Помимо компаний ARM, Google и Microsoft, интерес к использованию языка Rust в ядре Linux выразила компания Red Hat. Напомним, что Google напрямую обеспечивает поддержку проекта Rust for Linux, развивает новую реализацию механизма межпроцессного взаимодействия Binder на Rust и рассматривает возможность переработки на Rust различных драйверов. Компания Microsoft приступила к реализации драйверов для Hyper-V на Rust. Компания ARM работает над улучшением поддержи Rust для систем на базе процессоров ARM. Компания IBM реализовала поддержку Rust в ядре для систем PowerPC.

1. Главная ссылка к новости
2. OpenNews: Вторая редакция патчей для ядра Linux с поддержкой языка Rust
3. OpenNews: Для ядра Linux предложен драйвер GPIO, написанный на Rust
4. OpenNews: Проект Kerla развивает Linux-совместимое ядро на языке Rust
5. OpenNews: Поддержка Rust для ядра Linux столкнулась с критикой Торвальдса
6. OpenNews: В ветку ядра Linux-next добавлен код для разработки драйверов на языке Rust

Среди предложенных изменений:

• Для разработчиков на языке Java улучшено автодополнение кода для переменных анонимных классов и объявлений с ключевым словом "record". Добавлена предварительная поддержка сопоставления по шаблону в выражениях "switch". Обеспечено включение в код URL со ссылкой на используемые шаблоны.
• До версии 1.8 обновлён встроенный в NetBeans Java-компилятор nb-javac (модифицированный javac), добавлена поддержка JDK 17. Добавлена поддержка javadoc 17. JavaFX обновлён до версии 17.
• Улучшена поддержка системы сборки Gradle. Инструментарий Gradle обновлён до версии 7.3 с поддержкой Java 17. Обеспечено распознавание каталогов с кодом на языке Kotlin. Предложен новый мастер создания проектов для Gradle. Шаблон проекта Java Frontend обновлён для поддержки Gradle 7.
• Улучшена поддержка системы сборки Maven. Реализована возможность использования Support Maven Wrapper (mvnw) в проектах. Решены проблемы с UTF-8. Улучшен поиск препроцессора для аннотаций.
• Для языка Groovy предложен новый загрузчик классов (Cached Transformation Classloader), обеспечена статическая проверка типов атрибутов в AST, значительно повышена производительность парсинга при загрузке классов из файловой системы.
• В инструментах для Java EE добавлена поддержка Glassfish 6.2.1.
• Внесена большая порция исправлений и улучшений, связанных с использованием LSP-серверов (Language Server Protocol) для анализа кода и распознания синтаксиса.
• Для PHP в шаблоны добавлена поддержка пространств имён, добавлена защита от вставки выражения "use" в неверную позицию, обеспечено использование средств рефакторинга для приватных свойств trait-ов, добавлена поддержка стандарта форматирования кода PSR-12.
• В редакторе HTML улучшена поддержка SCSS, добавлена опция для дополнения значений цветовой палитры и реализована возможность игнорирования блоков при переформатировании CSS.
• Редакторы typescript и cpplite переведены на использование модуля MultiViews для корректного отображения вкладок в интерфейсе.
• Внесены улучшения в отладчик. Повышена производительность удалённой отладки. Добавлена возможность настройки текущего рабочего каталога и переменных окружения.
• Улучшен парсер для формата YAML.

1. Главная ссылка к новости
2. OpenNews: Выпуск интегрированной среды разработки Apache NetBeans 12.5
3. OpenNews: Выпуск интегрированной среды разработки Geany 1.38
4. OpenNews: Выпуск среды разработки Qt Creator 6.0
5. OpenNews: Выпуск Java SE 17
6. OpenNews: Релиз среды разработки приложений KDevelop 5.6

Напомним, что компания Sony Music добилась в Германии решения о блокировке доменных имён, уличённых в распространении музыкального контента, нарушающего авторские права. Блокировку было предписано реализовать на серверах DNS-сервиса Quad9, обслуживающих в том числе публичный DNS-резолвер "9.9.9.9" и сервисы "DNS over HTTPS" ("dns.quad9.net/dns-query/") и "DNS over TLS" ("dns.quad9.net"). Предписание о блокировке было вынесено несмотря на отсутствия прямой связи некоммерческой организации Quad9 с блокируемыми сайтами и системами, распространяющим подобный контент, лишь на основании того, что разрешение имён пиратских сайтов через DNS способствует нарушению авторских прав Sony.

Quad9 считает требование о блокировках неправомерным, так как доменные имена и информация, которую обрабатывает Quad9, не являются объектом нарушения авторских прав Sony Music, на серверах Quad9 нет данных, нарушающих авторские права, Quad9 не несёт прямой ответственности за чужую пиратскую деятельность и не имеет бизнес-отношений с распространителями пиратского контента. По мнению Quad9, корпорациям нельзя предоставлять возможность принуждения операторов сетевой инфраструктуры к цензурированию сайтов.

Позиция Sony Music сводится к тому, что Quad9 уже предоставляет в своём продукте блокировку доменов, распространяющих вредоносное ПО и уличённых в фишинге. Quad9 продвигает блокировку проблемных сайтов как один из атрибутов сервиса, поэтому должен блокировать и пиратские сайты, как один из видов нарушающего закон контента. В случае невыполнения требования о блокировке организации Quad9 грозит штраф в размере 250 тысяч евро.

Несмотря на то, что блокировка ссылок на нелицензионный контент в поисковых системах уже давно практикуется у правообладателей, представители Quad9 рассматривают перекладывание блокировок на сторону сторонних сервисов DNS как опасный прецедент, который может иметь далеко идущие последствия (следующим шагом может стать требование интеграции блокировки пиратских сайтов в браузеры, операционные системы, антивирусное ПО, межсетевые экраны и любые другие сторонние системы, которые могут влиять на доступ к информации). Для правообладателей же интерес к принуждению DNS-серверисов к реализации блокировок вызван тем, что данные сервисы используются пользователями для обхода DNS-фильтров пиратского контента, установленных у провайдеров, входящих в коалицию "Clearing Body for Copyright on the Internet".

1. Главная ссылка к новости
2. OpenNews: Sony Music добилась в суде блокировки пиратских сайтов на уровне DNS-резолвера Quad9
3. OpenNews: Новый вариант атаки SAD DNS для подстановки фиктивных данных в кэш DNS
4. OpenNews: Атака NXNSAttack, затрагивающая все DNS-резолверы
5. OpenNews: Торрент с Ubuntu удалён из поисковой выдачи Google из-за ошибки в требовании DMCA
6. OpenNews: Студия Warner Bros добавила собственный сайт в список блокировки пиратских ресурсов

Основные изменения:

• Проигрывание мини-видео на экране выбора кампании "The Price of Loyalty."
• Добавлен скрипт для извлечения ресурсов игры из DOSBOX версии Героев Меча и Магии 2.
• В ИИ устранены проблемы с одержимостью водоворотами и невозможностью высадки на берег.
• Отцентрован текст в некоторых окнах интерфейса.
• Поправлена отрисовка сетки на поле боя.
• Герои теперь отображаются на миникарте (в отличие от оригинала).
• Исправлена логика нахождения пути на карте приключений и расчета штрафов за передвижение по открытой местности. -** Проходимость возле морских объектов, а также при использовании заклинания "Дверь Измерений" теперь такая же, как в оригинале.
• SDL2 версия теперь поддерживает вертикальную синхронизацию для избавления от мерцания у некоторых пользователей.
• Появилась возможность выбора языка игры из Английского, Немецкого, Французского и Польского при запуске fheroes2 лишь с одной из этих локализаций.
• Исправлено свыше 60 ошибок с прошлого релиза.

1. Главная ссылка к новости
2. OpenNews: Выпуск игры Free Heroes of Might and Magic II (fheroes2) - 0.9.9
3. OpenNews: Компания Valve анонсировала игровую консоль Steam Deck на базе Arch Linux
4. OpenNews: Доступна двадцать пятая альфа-версия открытой игры 0 A.D.
5. OpenNews: Выпуск многопользовательской RPG-игры Veloren 0.11
6. OpenNews: Выпуск свободной гоночной игры SuperTuxKart 1.3

1. Главная ссылка к новости
2. OpenNews: Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи
3. OpenNews: Microsoft обеспечил поддержку открытого формата ODF 1.3 в MS Office 2021
4. OpenNews: Доступен макет нового интерфейса LibreOffice 8.0 с поддержкой вкладок
5. OpenNews: Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла
6. OpenNews: Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов

Ключевые изменения в Xen 4.16:

• В TPM Manager, обеспечивающий работу виртуальных чипов для хранения криптографических ключей (vTPM), реализуемых на базе общего физического TPM (Trusted Platform Module), внесены исправления для последующей реализации поддержки спецификации TPM 2.0.
• Повышена зависимость от прослойки PV Shim, применяемой для запуска немодифицированных паравиртуализированных гостевых систем (PV) в окружениях PVH и HVM. В дальнейшем использование 32-разрядных паравиртуализированных гостевых систем будет возможным только в режиме PV Shim, что позволит уменьшить количество мест в гипервизоре, в которых потенциально могут быть уязвимости.
• Добавлена возможность загрузки на устройствах Intel без программируемого таймера (PIT, Programmable Interval Timer).
• Проведена чистка устаревших компонентов, прекращена сборка по умолчанию кода "qemu-xen-traditional" и PV-Grub (необходимость в данных специфичных для Xen форках пропала после передачи изменений с поддержкой Xen в основной состав QEMU и Grub).
• Для гостевых систем с архитектрой ARM реализована начальная поддержка виртуализированных счётчиков для отслеживания производительности (Performance Monitor Counters).
• Улучшена поддержка режима dom0less, позволяющего обойтись без развёртывания окружения dom0 при запуске виртуальных машин на ранней стадии загрузки сервера. Внесённые изменения позволили реализовать поддержку 64-разрядных систем ARM с EFI-прошивками.
• Улучшена поддержка гетерогенных 64-разрядных систем ARM на базе архитектуры big.LITTLE, комбинирующих в одном чипе мощные, но потребляющие много энергии, ядра, и менее производительные, но более энергоэффективные ядра.

Одновременно компания Intel опубликовала выпуск гипервизора Cloud Hypervisor 20.0, построенного на основе компонентов совместного проекта Rust-VMM, в котором кроме Intel также участвуют компании Alibaba, Amazon, Google и Red Hat. Rust-VMM написан на языке Rust и позволяет создавать специфичные для определённых задач гипервизоры. Cloud Hypervisor является одним из таких гипервизоров, который предоставляет высокоуровневый монитор виртуальных машин (VMM), работающий поверх KVM и оптимизированный для решения задач, свойственных для облачных систем. Код проекта доступен под лицензией Apache 2.0.

Cloud Hypervisor cфокусирован на запуске современных дистрибутивов Linux с использованием паравиртуализированных устройств на базе virtio. Из ключевых задач упоминается: высокая отзывчивость, низкое потребление памяти, высокая производительность, упрощение настройки и сокращение возможных векторов для атак. Поддержка эмуляции сведена к минимуму и ставка делается на паравиртуализацию. В настоящее время поддерживаются только системы x86_64, но в планах имеется и поддержка AArch64. Из гостевых систем пока поддерживается только 64-разрядные сборки Linux. Настройка CPU, памяти, PCI и NVDIMM производится на этапе сборки. Предусмотрена возможность миграции виртуальных машин между серверами.

В новой версии:

• Для архитектур x86_64 и aarch64 теперь допускается создание до 16 PCI-сегментов, что увеличивает общее число допустимых PCI-устройств с 31 до 496.
• Реализована поддержка привязки виртуальных CPU к физическим ядрам CPU (CPU pinning). Для каждого vCPU теперь можно определить ограниченный набор хостовых CPU, на которых допускается выполнение, что может быть полезным при прямом отражении (1:1) ресурсов хоста и гостевой системы или при запуске виртуальной машины на определённом узле NUMA.
• Улучшена поддержка виртуализации ввода/вывода. Каждый регион VFIO теперь может быть отражён в память, что снижает число операций выхода из виртуальной машины и позволяет добиться повышения производительности проброса устройств в виртуальную машину.
• В коде на языке Rust проведена работа по замене unsafe-секций на альтернативные реализации, выполняемые в режиме safe. Для оставшихся unsafe-секций добавлены подробные комментарии с пояснением почему оставленный unsafe-код можно считать безопасным.

1. Главная ссылка к новости
2. OpenNews: Выпуск гипервизора Xen 4.15
3. OpenNews: Выпуск гипервизора Bareflank 3.0
4. OpenNews: Компания Siemens выпустила гипервизор Jailhouse 0.12
5. OpenNews: Обновление гипервизоров Intel Cloud Hypervisor 0.3 и Amazon Firecracker 0.19, написанных на Rust
6. OpenNews: Выпуск гипервизора для встраиваемых устройств ACRN 1.2, развиваемого в Linux Foundation

По мнению Штайнара, MySQL сильно устарел и неэффективен, при том, что большинство пользователей и разработчиков считают, что всё в порядке, не утруждая себя сравнением с другими СУБД, которые давно ушли вперёд. Реализованные для MySQL 8.x оптимизации позволили заметно улучшить работу оптимизатора запросов по сравнению с MySQL 5.7, но в общем виде работа оценивается как доведение его до уровня технологий начала 2000-х годов. Для дальнейшего доведения MySQL до приемлемого состояния Oracle не выделяет должных ресурсов, что мешает поддержанию его в виде конкурентоспособного продукта. В СУБД MariaDB ситуация не лучше: команда Микаэля Видениуса (Michael "Monty" Widenius) ушла в новый проект из-за изменений в руководстве, а не потому что они были недовольны качеством кода.

1. Главная ссылка к новости
2. OpenNews: Стабильный выпуск СУБД MariaDB 10.6
3. OpenNews: Компании Monty Program Ab и SkySQL объявили о слиянии с целью объединения усилий по развитию СУБД MariaDB
4. OpenNews: Компания Oracle официально приняла обязательства по отношению к MySQL
5. OpenNews: Создатель MySQL призывает не допустить развала проекта
6. OpenNews: Стабильный релиз СУБД MySQL 8.0