Bootkitty размещается в файле grubx64.efi в системном разделе EFI (EFI system partition, /boot/efi/EFI/ubuntu) вместо штатного загрузчика GRUB. После активации UEFI-прошивкой буткит загружает в память реальный загрузчик GRUB2 и вносит в размещённый в памяти код GRUB2 изменения, отключающие проверку целостности компонентов, загружаемых в дальнейшем, а также добавляет обработчик, вызываемый после распаковки образа ядра Linux в память. Указанный обработчик вносит изменения в загруженные в память функции ядра (отключает проверку модулей по цифровой подписи), а также изменяет строку запуска процесса инициализации с "/init" на "LD_PRELOAD=/opt/injector.so /init)".

Библиотека injector.so перехватывает некоторые операции SELinux и функцию init_module, которая затем используется для загрузки модуля ядра /opt/dropper.ko. Модуль ядра dropper.ko создаёт и запускает исполняемый файл /opt/observer, затем скрывает себя в списке модулей ядра и выставляет обработчики системных вызовов, таких как getdents и tcp4_seq_show, для скрытия файла /opt/observer и определённого сетевого трафика. Исполняемый файл /opt/observer загружает модуль ядра /opt/rootkit_loader.ko, который является загрузчиком руткита /opt/rootkit.

Для установки буткита требуется привилегированный доступ к системе и обычно подобные виды вредоносного ПО используются атакующими после успешного взлома или компрометации системы для закрепления своего дальнейшего присутствия и скрытия осуществляемой вредоносной активности. Библиотека injector.so и вредоносные модули ядра помещаются в образ начального RAM-диска или файловую систему атакующим. Загрузчик grubx64.efi размещается в раздел с файлами для UEFI.

В варианте Bootkitty, попавшем в руки исследователей, модификация функций в памяти ядра производилась по заранее определённым смещениям без проверки корректности этих смещений для загруженной версии ядра. используемые в Bootkitty смещения были применимы лишь к версиям ядра и GRUB, поставляемым в определённых выпусках Ubuntu, а в остальных системах приводили к сбою при загрузке. Для верификации загрузчика Bootkitty (grubx64.efi) использовался самоподписанный сертификат, что не позволяло применять буткит на системах с включённым режимом UEFI Secure Boot без установки сертификата атакующего в список заслуживающих доверия сертификатов в UEFI. Подобные особенности натолкнули исследователей на мысль, что Bootkitty лишь прототип буткита, пока не применяемый для реальных атак.

Изучив опубликованную ESET информацию исследователи из компании Binarly REsearch заметили среди связанных с Bootkitty артефактов BMP-изображения, используемые для эксплуатации уязвимости LogoFAIL, позволяющей выполнить код на уровне UEFI-прошивки и обойти механизм UEFI Secure Boot. В контексте Bootkitty эксплуатация уязвимости LogoFAIL применялась для добавления в список одобренных сертификатов UEFI самоподписанного сертификата атакующего, которым заверен загрузчик буткита grubx64.efi, что позволяло запустить буткит на системах c активным UEFI Secure Boot без добавления сертификата вручную.

Атака осуществляется через размещение в разделе ESP (EFI System Partition) специально оформленного изображения в формате BMP для его вывода UEFI-прошивкой в качестве логотипа производителя. Из-за использования в UEFI-прошивках уязвимых библиотек для работы с изображениями, обработка специально оформленного изображения может привести к переполнению буфера и выполнению кода с привилегиями прошивки UEFI. Уязвимость LogoFAIL была выявлена год назад и затрагивала UEFI-прошивки, среди прочего используемые на ноутбуках Acer, HP, Fujitsu и Lenovo. В новых версиях UEFI-прошивок проблема устранена, но многие находящиеся в обиходе устройства продолжают работать с уязвимыми версиями прошивок.

1. Главная ссылка к новости
2. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
3. OpenNews: PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки
4. OpenNews: Уязвимость в прошивках AMI MegaRAC, вызванная поставкой старой версии lighttpd
5. OpenNews: Уязвимости в UEFI-прошивках на базе фреймворка InsydeH2O, позволяющие выполнить код на уровне SMM
6. OpenNews: Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel

Так как для выполнения программ на GDScript требуется наличие движка Godot, основной целью атаки были пользователи игр на данном движке. Самые ранние варианты нового вредоносного ПО датированы 29 июня. Всего зафиксировано более 17 тысяч систем поражённых GodLoader. Как правило жертвы атаки загружали со сторонних ресурсов и подставных репозиториев на GitHub непроверенные pck-архивы c интегрированным GodLoader. После выполнения размещённого в архиве скрипта на языке GDScript, GodLoader осуществлял загрузку и запуск дополнительных вредоносных компонентов, совершающих такие действия как майнинг криптовалюты и отправку с системы пользователя сохранённых паролей и ключей доступа.

1. Главная ссылка к новости
2. OpenNews: Проект GodotOS подготовил оболочку операционной системы на игровом движке Godot
3. OpenNews: Выпуск открытого игрового движка Godot 4.3
4. OpenNews: Библиотека LibGodot для встраивания в приложения сцен, созданных для игрового движка Godot
5. OpenNews: Распространение вредоносного ПО через рекламу домена, неотличимого от домена проекта KeePass
6. OpenNews: Смена владельца библиотеки Polyfill привела к подстановке вредоносного кода на 110 тысяч сайтов

Из особенностей Red Panda C++ можно отметить автодополнение кода, проверку синтаксиса во время редактирования, возможность сворачивания блоков кода, автоформатирование; отладчик с поддержкой стека вызовов и интерфейсом для просмотра содержимого памяти; использование тем оформления и цветовых схем; наличие тёмного режима интерфейса; интерфейс для ведения списков задач (TODO) и закладок; гибкие функции поиска и замены; возможности для проведения рефакторинга (переименования переменных, классов, методов и функций).

Среди изменений в новой версии:

• Реализована поддержка строковых литералов с префиксами LR/UR/uR/u8R.
• Улучшено определением информации об установленном наборе компиляторов GCC.
• Улучшены операции копирования и экспорта в формате HTML, добавлена возможность указания номеров строк при экспорте.
• Добавлена поддержка копирования содержимого, используя комбинацию Ctrl+Drag/Drop.
• В настройки добавлена кнопка "Copy Compiler Set" для копирования состава набора инструментов компилятора.
• В отладчике реализовано автоматическое переключение фокуса на панель трассировки стека в случае остановки выполнения на позиции, не связанной с файлами с исходным кодом.
• Изменены отступы в диалоге поиска и замены. Обеспечено выставление фокуса на поле ввода при открытии диалога поиска и замены.

1. Главная ссылка к новости
2. OpenNews: Выпуск интегрированной среды разработки Red Panda C++ 3.0
3. OpenNews: Сообщество Eclipse представило интегрированную среду разработки Theia IDE
4. OpenNews: Первый выпуск проекта Pulsar, подхватившего разработку редактора кода Atom
5. OpenNews: Обновление редактора кода CudaText 1.192.0
6. OpenNews: В многопользовательском редакторе кода Zed обеспечена поддержка Linux

Из исправленных ошибок отмечается решение проблемы в Plasma, приводившей к аварийному завершению в случае отклонения пользователем уведомления об изменении состоянии сети, а также устранение краха KWin после исчерпания доступных файловых дескрипторов на системах с драйверами для GPU, отличных от Intel. Кроме того, устранён крах конфигуратора, возникавший в случае подключения мыши при открытой странице настройки мыши.

Среди улучшений, подготовленных на этой неделе для KDE 6.3.0 и KDE Frameworks 6.9:

• В конфигураторе на странице с настройками KWin предоставлена возможность временного отключения правил с переопределением атрибутов окон приложений (KWin Window Rules). Ранее для прекращения действия подобных правил их можно было только удалить.
• В виджете, показывающем в панели список открытых окон (Task Manager), реализована возможность показа обычных текстовых всплывающих подсказок, в случае отключения в настройках показа эскизов содержимого окна.
• В виджете "Power and Battery" реализован вывод уведомления о низком заряде аккумулятора беспроводных наушников, предоставляющих корректную информацию о состоянии аккумулятора.
• Длительность эффекта "выезжающих окон" в KWin ("Slide Back") приближена к другим эффектам и анимациям. Кроме того, поведение эффекта сделано более предсказуемым при выставлении нестандартных настроек скорости анимации.
• В дистрибутивах на базе Ubuntu при использовании темы Breeze задействована символьная пиктограмма с информацией о наличии обновлений в системе, соответствующая по стилю другим пиктограммам. Изменение внесено в ветку KDE Frameworks 6.9.
• В кодовую базу на основе которой формируется выпуск Qt 6.9.0 добавлена возможность отображения цветных emoji в сочетании с черно-белым текстом при выставленных в KDE Plasma настройках шрифта по умолчанию. Улучшена визуализация операции изменения размера окон приложений на базе Qt Quick.

1. Главная ссылка к новости
2. OpenNews: Проект KDE развивает собственный дистрибутив KDE Linux
3. OpenNews: Проект KDE определил цели развития на ближайшие два года
4. OpenNews: Отчёт проекта KDE за 2023 год
5. OpenNews: Релиз среды рабочего стола KDE Plasma 6.2
6. OpenNews: Fedora c KDE присвоен статус базовой редакции, поддерживаемой на уровне Fedora Workstation с GNOME

В Rust задачи создавались с использованием фреймворка Tokio и на базе библиотеки async_std, в C# - API List<Task>(), JavaScript - async/await в Node.js, Python - asyncio, Go - goroutine, Java - сопрограммы. Используемые версии и конфигурация: Rust 1.82, .NET 9.0.100 с NativeAOT, Go 1.23.3, OpenJDK/GraalVM 23.0.1, NodeJS 23.2.0, Python 3.13.0.

Результаты:

• Запуск одной задачи для оценки потребления памяти в runtime.
  
  
• Запуск 10 тысяч задач.
  
  
• Запуск 100 тысяч задач.
  
  
• Запуск миллиона задач. Высокое потребление памяти в Go при похождении теста объясняется лишним использованием ключевого слова "defer", приводящим к выделению дополнительной памяти.
  
  
• Похожий прошлогодний тест с запуском миллиона задач, проведённый автором Spark Cassandra Connector и одним из разработчиков распределённой СУБД DataStax Enterprise (на базе Apache Cassandra).
  
  

1. Главная ссылка к новости
2. OpenNews: Опубликованы тесты простейших приложений на различных языках программирования
3. OpenNews: Сравнение эффективности 20 языков программирования
4. OpenNews: Оценка популярности открытых лицензий в зависимости от языка программирования
5. OpenNews: Проект по тестированию эффективности языков программирования
6. OpenNews: Сравнение производительности сетевого драйвера в вариантах на 10 языках программирования

Выпуск Ubuntu Touch OTA-7 Focal сформирован вне графика и содержит только исправления ошибок и устранение уязвимости, затрагивающей звуковой сервер PulseAudio. Уязвимость даёт возможность изолированным приложениям обойти ограничения, получить доступ к микрофону и организовать скрытую от пользователя запись звука. Вторая проблема позволяет вызвать аварийное завершение PulseAudio через изменение громкости виртуального устройства, если к системе подключены Bluetooth-наушники. Обе проблемы вызваны ошибками в патчах к PulseAudio, специфичных для Ubuntu Touch.

В новом выпуске также предложены исправления к libgbinder, в конфигураторе lomiri-system-settings обеспечен показ панель настройки печати при наличии работающего сервера CUPS и решены проблемы с переподключением внешнего монитора.

1. Главная ссылка к новости
2. OpenNews: Релиз мобильной платформы Ubuntu Touch OTA-6 Focal
3. OpenNews: Представлена новая модель формирования релизов Ubuntu Touch
4. OpenNews: Опубликована прошивка Ubuntu Touch OTA-1 Focal, переведённая на Ubuntu 20.04
5. OpenNews: Пользовательская оболочка Lomiri (Unity8) принята в Debian
6. OpenNews: Опубликован postmarketOS 24.06, Linux-дистрибутив для смартфонов и мобильных устройств

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлены новые возможности для кода в контексте "const", вычисляемого на этапе компиляции и пригодного для использования вместо констант. Добавлена возможность определения с признаком "const" ссылок на значения, инициализированные с признаком "static", при условии, что ссылка выставляется на не изменяемые статические переменные (без признака "mut"). При этом возможно использование в качестве констант raw-указателей, указывающих на изменяемый элемент. Например:

    
     static S1: i32 = 25;
     static mut S2: i32 = 64;
  
     const C1: &i32 = &S1;             // Ok
     const C2: i32 = unsafe { S2 };    // ошибка
     const C3: &i32 = unsafe { &S2 };  // ошибка
     const C4: *mut i32 = &raw mut S2; // Ok
  

• Разрешено использование в контексте констант изменяемых ссылок и указателей (c признаком "mut"), но подобные изменяемые ссылки и указатели допускаются только внутри блока для вычисления константы, но не могут указываться в финальном значении константы. Например:

   
     const fn inc(x: &mut i32) {
         *x += 1;
     }
  
     const C1: i32 = {
         let mut c = 41;
         inc(&mut c);
         c
     };
  
     const C2: &mut i32 = &mut 4; // ошибка, использование в финальном значении запрещено
  

• Стабилизировано применение &Cell и *const Cell в контексте констант.
• Признак "const" применён в функциях:
  • Cell::into_inner
  • Duration::as_secs_f32
  • Duration::as_secs_f64
  • Duration::div_duration_f32
  • Duration::div_duration_f64
  • MaybeUninit::as_mut_ptr
  • NonNull::as_mut
  • NonNull::copy_from
  • NonNull::copy_from_nonoverlapping
  • NonNull::copy_to
  • NonNull::copy_to_nonoverlapping
  • NonNull::slice_from_raw_parts
  • NonNull::write
  • NonNull::write_bytes
  • NonNull::write_unaligned
  • OnceCell::into_inner
  • Option::as_mut
  • Option::expect
  • Option::replace
  • Option::take
  • Option::unwrap
  • Option::unwrap_unchecked
  • Option::<&_>::copied
  • Option::<&mut _>::copied
  • Option::<Option<_>>::flatten
  • Option::<Result<_, _>>::transpose
  • RefCell::into_inner
  • Result::as_mut
  • Result::<&_, _>::copied
  • Result::<&mut _, _>::copied
  • Result::<Option<_>, _>::transpose
  • UnsafeCell::get_mut
  • UnsafeCell::into_inner
  • array::from_mut
  • char::encode_utf8
  • {float}::classify
  • {float}::is_finite
  • {float}::is_infinite
  • {float}::is_nan
  • {float}::is_normal
  • {float}::is_sign_negative
  • {float}::is_sign_positive
  • {float}::is_subnormal
  • {float}::from_bits
  • {float}::from_be_bytes
  • {float}::from_le_bytes
  • {float}::from_ne_bytes
  • {float}::to_bits
  • {float}::to_be_bytes
  • {float}::to_le_bytes
  • {float}::to_ne_bytes
  • mem::replace
  • ptr::replace
  • ptr::slice_from_raw_parts_mut
  • ptr::write
  • ptr::write_unaligned
  • <*const _>::copy_to
  • <*const _>::copy_to_nonoverlapping
  • <*mut _>::copy_from
  • <*mut _>::copy_from_nonoverlapping
  • <*mut _>::copy_to
  • <*mut _>::copy_to_nonoverlapping
  • <*mut _>::write
  • <*mut _>::write_bytes
  • <*mut _>::write_unaligned
  • slice::from_mut
  • slice::from_raw_parts_mut
  • <[_]>::first_mut
  • <[_]>::last_mut
  • <[_]>::first_chunk_mut
  • <[_]>::last_chunk_mut
  • <[_]>::split_at_mut
  • <[_]>::split_at_mut_checked
  • <[_]>::split_at_mut_unchecked
  • <[_]>::split_first_mut
  • <[_]>::split_last_mut
  • <[_]>::split_first_chunk_mut
  • <[_]>::split_last_chunk_mut
  • str::as_bytes_mut
  • str::as_mut_ptr
  • str::from_utf8_unchecked_mut
• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • BufRead::skip_until
  • ControlFlow::break_value
  • ControlFlow::continue_value
  • ControlFlow::map_break
  • ControlFlow::map_continue
  • DebugList::finish_non_exhaustive
  • DebugMap::finish_non_exhaustive
  • DebugSet::finish_non_exhaustive
  • DebugTuple::finish_non_exhaustive
  • ErrorKind::ArgumentListTooLong
  • ErrorKind::Deadlock
  • ErrorKind::DirectoryNotEmpty
  • ErrorKind::ExecutableFileBusy
  • ErrorKind::FileTooLarge
  • ErrorKind::HostUnreachable
  • ErrorKind::IsADirectory
  • ErrorKind::NetworkDown
  • ErrorKind::NetworkUnreachable
  • ErrorKind::NotADirectory
  • ErrorKind::NotSeekable
  • ErrorKind::ReadOnlyFilesystem
  • ErrorKind::ResourceBusy
  • ErrorKind::StaleNetworkFileHandle
  • ErrorKind::StorageFull
  • ErrorKind::TooManyLinks
  • Option::get_or_insert_default
  • Waker::data
  • Waker::new
  • Waker::vtable
  • char::MIN
  • hash_map::Entry::insert_entry
  • hash_map::VacantEntry::insert_entry
• Реализован третий уровень поддержки для платформ aarch64_unknown_nto_qnx700, arm64e-apple-tvos, armv7-rtems-eabihf, loongarch64-unknown-linux-ohos, riscv32-wrs-vxworks and riscv64-wrs-vxworks, riscv32{e|em|emc}-unknown-none-elf, x86_64-unknown-hurd-gnu и x86_64-unknown-trusty. Третий уровень подразумевает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.
• Требования к минимальной внешней версии LLVM подняты до ветки 18. Прекращена поддержка компилятора Visual Studio 2013.

Дополнительно можно отметить несколько проектов на языке Rust:

• Разработчики платформы XCP-ng, развиваемой проектом Xen, опубликовали отчёт о развитии проекта по созданию нового низкоуровневого инструментария для гипервизора Xen, написанного на языке Rust и идущего на смену libxl. Инструментарий планируют задействовать в платформе XCP-ng для низкоуровневого управления хост-окружением и гостевыми системами. В настоящее время работа сосредоточена на создании crate-пакетов на языке Rust, способных заменить Си-библиотеки из пакета xen-libs. Например, ведётся работа над созданием Rust-аналогов библиотек xenctrl и xeneventchan с реализацией интерфейса для гипервызовов Xen и каналов обработки событий.
• Проект IronCalc развивает движок для создания табличных процессоров, написанный на языке Rust, а также сопутствующий инструментарий для работы с электронными таблицами. Движок рассчитан на встраивание в приложения на языках программирования Rust, Python и JavaScript (возможно, появится поддержка R, Julia и Go). Поддерживается встраивание как пользовательского интерфейса для создания и редактирования электронных таблиц (стиль и оформление настраивается по желанию разработчиков), так и средств автоматизации работы с электронными таблицами. Предоставляются компоненты для манипуляции электронными таблицами в графическом режиме, консоли и в web-приложениях. Заявлено стремление к обеспечению полной совместимости с файлами в формате Microsoft Excel. Код проекта распространяется под лицензиями MIT и Apache 2.0. Доступна online-демонстрация, работающая в браузере.

  На текущем этапе развития IronCalc можно рассматривать как рабочий прототип, формирующий интерфейс для работы через браузер, поддерживающий около 200 функций, позволяющий управлять стилем и форматированием ячеек, обеспечивающий импорт и экспорт в формате xlsx, поддерживающий интеграцию с программами на Rust и Python. В версии IronCalc 1.0 планируется добиться 90% совместимости с Excel.

  
• Опубликован выпуск проекта uutils coreutils 0.0.28, развивающего аналог пакета GNU Coreutils, переписанный на языке Rust. В состав coreutils входит более ста утилит, включая sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Целью проекта является создание кроссплатформенной альтернативной реализации Coreutils, способной работать в том числе на платформах Windows, Redox и Fuchsia. В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL.

  В новой версии uutils улучшена совместимость с эталонным тестовым набором GNU Coreutils, при прохождении которого успешно выполнено 476 тестов (на 21 больше, чем в прошлой версии), 94 тестов пока не удаётся пройти. Проведена оптимизация утилит cksum, mkdir и tr. Расширены возможности, улучшена совместимость и добавлены недостающие опции для утилит basenc, cat, cksum, cp, date, dd, dircolors, echo, hashsum, hostname, join, ls, ln, mkdir, mv, od, paste, printf, runcon, sort, sync, test, uptime, users, tr, tsort, uucore.

  

1. Главная ссылка к новости
2. OpenNews: Выпуск Rust 1.82. Новый браузер на Rust. Использование Rust в Volvo
3. OpenNews: Представлен новый вариант правил использования товарных знаков Rust
4. OpenNews: Инициатива по верификации стандартной библиотеки Rust
5. OpenNews: Проект Asterinas развивает ядро на языке Rust, совместимое с Linux
6. OpenNews: Выпуск операционной системы Redox OS 0.9, написанной на языке Rust

Релиз OpenMoHAA 0.80.0 отмечен как первый, достигший достаточного уровня готовности для перехода проекта в стадию бета-выпусков - заявляется, что однопользовательская кампания оригинальной игры и двух её дополнений Spearhead и Breakthrough полностью проходимы. Что касается сетевой игры, то на стороне сервера поддерживаются боты, блокировка по IP, подключение по IPv6, защита от флуда и возможность использования текстового и голосового чата.

1. Главная ссылка к новости
2. OpenNews: Вышла новая версия ioquake3. Игровой движок Unigine будет поддерживать Linux
3. OpenNews: SurrealEngine - открытая реализация игрового движка Unreal Engine 1
4. OpenNews: Опубликован исходный код игры Rogue Legacy
5. OpenNews: Релиз свободного воксельного игрового движка Luanti 5.10.0
6. OpenNews: Началось бета-тестирование открытого российского игрового движка NauEngine

В языке Snek используется семантика и синтаксис Python, но поддерживается лишь ограниченное подмножество возможностей. Одной из целей, которая учитывается при разработке, является сохранение обратной совместимости - программы на Snek могут выполняться с использованием полноценных реализаций Python 3.

Для разработки приложений на Snek может использоваться редактор кода Mu (патчи для поддержки) или собственная консольная интегрированная среда разработки Snekde, которая написана с использованием библиотеки Curses и предоставляет интерфейс для редактирования кода и взаимодействия с устройством через USB-порт (можно сразу сохранять программы в eeprom устройства и загружать код с устройства).

Snek портирован для различных встраиваемых устройств, включая платы Arduino, Feather/Metro M0 Express, Adafruit Crickit, Adafruit ItsyBitsy, Lego EV3 и µduino, предоставляет доступ к GPIO и периферийным устройствам. Проектом также разработан собственный открытый микроконтроллер Snekboard (ARM Cortex M0 с 256КБ Flash и 32КБ ОЗУ), рассчитанный на использование со Snek или CircuitPython, и нацеленный на обучение и создание роботов с использованием деталей LEGO.

В новом выпуске:

• Добавлена поддержка использования 512-байтового загрузчика ubaboot на платах ATmega 32u4.
• В глобальное пространство имён перенесены функции, связанные с математическими вычислениями, временем и генерацией псевдослучайных чисел (модули "math", "time" и "random"), которые теперь можно использовать без префиксов "math.", "time." и "random.".
• Компоненты для поддержки микроконтроллеров AVR адаптированы для новой avr libc и компилятора gcc-avr на базе gcc 14.
• Для всех поддерживаемых устройств предложены унифицированные реализации генераторов псевдослучайных чисел snek-random.c и snek-random-small.c (вариант без 64-разрядной арифметики для маломощных устройств).

1. Главная ссылка к новости
2. OpenNews: Доступен PikaScript 1.8, вариант языка Python для микроконтроллеров
3. OpenNews: Выпуск стандартной Си-библиотеки PicoLibc 1.8.6
4. OpenNews: Обеспечена возможность запуска MicroPython в web-браузере
5. OpenNews: Проект Tilck развивает упрощённое Linux-совместимое ядро
6. OpenNews: Опубликована операционная система реального времени RT-Thread 5.1

Ключевым изменением в новой версии стало окончательное прекращение использования утилиты apt-key для управления ключами, применяемыми для верификации цифровых подписей пакетов. Утилита apt-key несколько лет назад была объявлена устаревшей в связи с уходом от старой модели проверки целостности пакетов, в которой использовалось общее хранилище ключей (/etc/apt/trusted.gpg) и отсутствовала привязка ключей к репозиториям, т.е. ключ, добавленный для какого-то стороннего репозитория, подходил для проверки пакетов во всех репозиториях. Пришедший на смену apt-key метод работы с ключами подразумевает разделение хранилищ ключей для каждого репозитория (/etc/apt/trusted.gpg.d/ или /etc/apt/keyrings/).

Другие изменения:

• В список путей для вызова gpg добавлена написанная на языке Rust утилита gpg-sq, принимающая те же аргументы, что и утилита gpg, но имитирующая её работу через Sequoia, реализацию OpenPGP на языке Rust. Вызов gpg-sq является более приоритетным, чем gpg, т.е. для использования gpg-sq вместо gpg достаточно установить соответствующий пакет.
• Обеспечена привязка типов ключей к расширениям файлов: расширение ".asc" связано с ascii-armored ключами, ".gpg" - всегда с бинарными ключами, а все остальные файловые расширения вызовут ошибку "The key(s) in the keyring ... are ignored as the file has an unsupported filetype". Например, при использовании файла с ключом "/etc/apt/keyrings/winehq-archive.key", его нужно будет переименовать в "/etc/apt/keyrings/winehq-archive.gpg" и исправить путь в файле в "/etc/apt/sources.list.d/".
• Многие функции переведены на использование класса "std::string" вместо "const char *" (определённый в стандарте С++17 класс std::string_view, более эффективно работающий со строками за счёт использования ссылок на существующие данные и исключения лишнего копирования данных, пока не задействован в коде).
• Реализована поддержка самостоятельной проверки хранилищ ключей (keyring) и выполнения операции dearmor (преобразование ключа в формате ASCII-armored в бинарный формат) без обращения к apt-key.
• Добавлена функция Base64Decode.

1. Главная ссылка к новости
2. OpenNews: Началось тестирование переработанного интерфейса пакетного менеджера APT 3.0
3. OpenNews: Выпуск инструментария для поддержания локальных зеркал apt-mirror2 4
4. OpenNews: В пакетном менеджере APT 2.7 реализована поддержка снапшотов
5. OpenNews: Выпуск пакетного менеджера APT 2.6
6. OpenNews: Релиз Sequoia 1.0, реализации OpenPGP на языке Rust

Основные новшества:

• Предложена новая тема оформления, которая отличается использованием более тёмных цветов, более выраженным контрастом, скруглением элементов интерфейса и увеличенными отступами между апплетами и панелью.
• Изменено оформление апплета с календарём.
• Изменено оформление диалоговых окон. Добавлена возможность использования цветных кнопок в диалогах.
• Для отрисовки ключевых всплывающих диалоговых окон задействована библиотека Clutter.
• Переделан диалог для принудительного завершения работы приложений, показываемый в случае зависания программы и прекращения её реагирования на действия пользователя.
• Модернизирован внешний вид экранных индикаторов (OSD), используемых при изменении яркости и громкости медиа-кнопками, а также при переключении виртуальных рабочих столов.
• Интегрирован режим ночной подсветки ("Night Light"), который меняет цветовую температуру в зависимости от времени суток и может использоваться в окружениях на базе X11 и Wayland. Например, при работе в ночное время автоматически уменьшается интенсивность синего цвета на экране, что делает цветовую гамму более тёплой для снижения напряжения глаз и сокращения факторов возникновения бессонницы при работе перед сном.
• Переработано оформление диалогов системы уведомлений. Сокращены горизонтальные отступы между кнопками. Добавлена опция для показа уведомлений в полноэкранном режиме.
• Улучшен интерфейс смены задач по Alt-tab. Добавлена опция для показа только окон, размещённых на текущем мониторе. Переделана работа со свёрнутыми окнами.
• Обновлён стиль и увеличены отступы в основном меню. Добавлена поддержка навигации по меню с использованием клавиш управления курсором на цифровой клавиатуре. Упрощена анимация при работе с меню.
• Налажен предпросмотр изображений в формате JPEG-XL.
• Предложен новый апплет статусной строки.
• Добавлен новый виджет ввода пароля.
• В модуле power реализована поддержка профилей энергопотребления. Добавлена поддержка DBus-интерфейса для управления профилями энергопотребления.
• Добавлена опциональная возможность установки сессионных файлов для Wayland.

1. Главная ссылка к новости
2. OpenNews: Выпуск среды рабочего стола Cinnamon 6.2
3. OpenNews: Выпуск пользовательского окружения Cinnamon 6.0 с начальной поддержкой Wayland
4. OpenNews: Первые результаты портирования Cinnamon на Wayland
5. OpenNews: Релиз дистрибутива Linux Mint 22

Системная часть дистрибутива базируется на пакетной базе Debian и OpenZFS. Программный стек для управления резервным копированием написан на языке Rust и поддерживает инкрементальные бэкапы (на сервер передаются только изменившиеся данные), дедупликацию (при наличии дубликатов хранится только одна копия), сжатие (используется ZSTD) и шифрование резервных копий. Система спроектирована на базе клиент-серверной архитектуры - Proxmox Backup Server может использоваться как для работы с локальными резервными копиями, так и в качестве централизованного сервера для резервного копирования данных с разных хостов. Предоставляются режимы быстрого выборочного восстановления и синхронизации данных между серверами.

Proxmox Backup Server поддерживает интеграцию с платформой Proxmox VE для резервного копирования виртуальных машин и контейнеров. Управление резервными копиями и восстановление данных осуществляется через web-интерфейс. Имеется возможность разграничения доступа пользователей к своим данным. Весь передаваемый трафик от клиентов к серверу шифруется с использованием AES-256 в режиме GCM, а сами резервные копии передаются уже зашифрованными при помощи асимметричного шифрования по открытым ключам (шифрование производится на стороне клиента, и компрометация сервера с резервными копиями не приведёт к утечке данных). Целостность резервных копий контролируется при помощи хэшей SHA-256.

В новом выпуске:

• Осуществлена синхронизация с пакетной базой Debian 12.8. Ядро Linux обновлено до выпуска 6.8.12. В качестве опции добавлен пакет с ядром 6.11. Реализация файловой системы ZFS обновлена до версии OpenZFS 2.2.6.
• Добавлена поддержка режима "push" для синхронизированных работ (sync jobs), позволяющего копировать снапшоты с резервными копиями из локального хранилища во внешнее хранилище на базе Proxmox Backup Server, что полезно в ситуациях, когда внешний сервер не может инициировать соединение к локальному. В ранее поддерживаемом режиме "pull" внешний сервер забирал резервные копии с локального хранилища, а в новом режиме "push" локальный сервер сам отправляет бэкапы на внешний.
• Добавлена поддержка хранилищ на извлекаемых носителях информации. Среди прочего извлекаемое хранилище, созданное на одном сервере, может быть подключено к другим серверам на базе Proxmox Backup Server. Монтирование и отмонтирование извлекаемых хранилищ может осуществляться как через web-интерфейс, так и из командной строки.
• Добавлена поддержка отправки HTTP-запросов для передачи на другой сервер событий из системы уведомлений. Например, подобные запросы могут содержать сведения о синхронизированных работах, верификации бэкапов и удалении устаревших бэкапов. Форма HTTP-запроса для передачи метаданных о событии может быть настроена пользователем.
• Добавлены новые режимы определения изменений, позволяющие ускорить операции резервного копирования. Данные и метаданные снапшотов резервных копий теперь разделены по разным архивам, что позволяет на основе архива с метаданными быстро определять файлы, изменившиеся со времени создания прошлой резервной копии, и исключать не изменившиеся файлы при создании новой резервной копии.

1. Главная ссылка к новости
2. OpenNews: Релиз Proxmox VE 8.3, дистрибутива для организации работы виртуальных серверов
3. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.1
4. OpenNews: Доступен дистрибутив Proxmox Backup Server 3.1
5. OpenNews: Выпуск дистрибутива для резервного копирования Rescuezilla 2.4
6. OpenNews: Выпуск Redo Rescue 4.0.0, дистрибутива для резервного копирования и восстановления

В новой версии обновлены Tor Browser 14.0.3 и почтовый клиент Thunderbird 128.4.3 (ранее использовалась ветка 115.x). В Thunderbird отключено сохранение данных телеметрии. В bitcoin-кошельке Electrum налажена поддержка аппаратных криптокошельков Trezor. Решены проблемы с запуском рабочего стола на системах с небольшим объёмом оперативной памяти.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Tails 6.9
3. OpenNews: Проект Tor и дистрибутив Tails объявили об объединении
4. OpenNews: В Arti 1.1.12, реализации Tor на Rust, началось тестирование onion-сервисов
5. OpenNews: Результаты второго аудита безопасности разработок проекта Tor
6. OpenNews: Релиз Tor Browser 14.0

Основные изменения:

• Добавлена виртуальная цифровая клавиатура для ввода количества существ в диалогах разделения стека.
• Исправлена логика передвижения героев вокруг некоторых объектов на карте, чтобы соответствовать оригинальной игре.
• В редакторе карт была добавлена новая разновидность объекта "навес", чтобы её можно было размещать на других типах территорий. Ранее, он был только в заснеженном исполнении.
• ИИ в бою перестал гоняться за летающими и быстрыми существами, фокусируясь больше на стрелковых отрядах.
• Стрелковые отряды под управлением ИИ больше не будут врукопашную атаковать блокирующий ослеплённый отряд, отдавая предпочтение маневрированию.
• Для "злого" стиля интерфейса было добавлено окно описания сценария в нужной цветовой схеме, которое изначально было только в "добрых" тонах (коричневом и бежевом).
• Улучшены переводы на многие языки и добавлена виртуальная клавиатура со спецсимволами для белорусского языка.

Команда fheroes2 сейчас в активных поисках помощи от художников, способных работать в стиле "пиксель-арт". В игре есть множество задач на разный уровень сложности, от небольших иконок или кнопок, до крупных объектов и полноценных анимированных объектов или существ. Желающие поучаствовать в разработке и помочь проекту могут написать в личные сообщения в discord или на почту проекта - fhomm2@gmail.com.

1. Главная ссылка к новости
2. OpenNews: Выпуск fheroes2 1.1.3, открытого движка Heroes of Might and Magic 2
3. OpenNews: Выпуск открытого игрового движка VCMI 1.5.0, совместимого с Heroes of Might and Magic III
4. OpenNews: Проект OpenEnroth развивает открытый движок для игр Might and Magic VI-VIII

Проблема присутствует в реализации DBus-метода "com.redhat.tuned.instance_create", применяемого для создания экземпляров плагинов, в который можно передать параметры "script_pre" и "script_post" для указания скриптов, выполняемых перед или после создания экземпляра плагина. Проблема в том, что настройки Polkit позволяют любому вошедшему в систему локальному пользователю без аутентификации отправить DBus-запрос к данному методу, в то время как сам процесс tuned выполняется с правами root и запускает отмеченные в параметрах "script_pre" и "script_post" скрипты тоже с правами root. Например, для запуска скрипта /path/to/myscript.sh с правами root пользователю достаточно выполнить команду:

   gdbus call -y -d com.redhat.tuned -o /Tuned \
        -m com.redhat.tuned.control.instance_create cpu myinstance \
        '{"script_pre": "/path/to/myscript.sh", "devices": "*"}'

В DBus-методе "com.redhat.tuned.instance_create" также присутствует менее опасная уязвимость (CVE-2024-52337), вызванная отсутствием чистки значения с именем экземпляра плагина при его выводе в лог. Атакующий может добавить имя, содержащее перевод строки и escape-символы для эмулятора терминала, которые могут использоваться для нарушения структуры лога и выполнения действий при отображении вывода команды "tuned-adm get_instances" в терминале.

    EVIL=`echo -e "this is\nevil\033[?1047h"`
    gdbus call -y -d com.redhat.tuned -o /Tuned -m com.redhat.tuned.control.instance_create cpu "$EVIL" '{"devices": "*"}'

Уязвимости проявляются начиная с версии tuned 2.23, сформированной в начале июня 2024 года, и устранены в выпуске tuned 2.24.1. Из крупных дистрибутивов проблемы исправлены в RHEL 9, Fedora 40, Arch Linux и Gentoo. В стабильных ветках Ubuntu, Debian и SUSE/openSUSE уязвимости не проявляются, так как в них поставляются старые версии tuned (<2.23), не подверженные уязвимостям.

1. Главная ссылка к новости
2. OpenNews: Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux
3. OpenNews: Уязвимость в glibc, позволяющая получить root-доступ в системе
4. OpenNews: Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc
5. OpenNews: Уязвимость в pam_oath, позволяющая получить права root в системе
6. OpenNews: Уязвимость в Polkit, позволяющая повысить свои привилегии в системе