The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·21.09 Представлен модуль ядра, способный в разы ускорить OpenVPN (62 +16)
  Разработчики пакета для создания виртуальных частных сетей OpenVPN представили модуль ядра ovpn-dco, позволяющий существенно ускорить производительность VPN. Несмотря на то, что модуль пока развивается с оглядкой только на ветку linux-next и имеет статус экспериментального, он уже достиг уровня стабильности, позволившего задействовать его для обеспечения работы сервиса OpenVPN Cloud.

По сравнению с конфигурацией на основе интерфейса tun применение модуля на стороне клиента и сервера при использовании шифра AES-256-GCM позволило добиться прироста пропускной способности в 8 раз (с 370 Mbit/s до 2950 Mbit/s). При применении модуля только на стороне клиента пропускная способность возросла в три раза для исходящего трафика и не изменилась для входящего. При применении модуля только на стороне сервера пропускная способность возросла в 4 раза для входящего трафика и на 35% для исходящего.

Ускорение достигается за счёт выноса всех операций шифрования, обработки пакетов и управления каналом связи на сторону ядра Linux, что позволяет избавиться от накладных расходов, связанных с переключением контекста, даёт возможность оптимизировать работу за счёт прямого обращения к внутренним API ядра и исключает медленную передачу данных между ядром и пространством пользователя (шифрование, расшифровка и маршрутизация выполняется модулем без отправки трафика в обработчик в пространстве пользователя).

Отмечается, что негативное влияние на производительность VPN оказывают главным образом ресурсоёмкие операции шифрования и задержки, вызванные переключением контекста. Для ускорения шифрования привлекались процессорные расширения, такие как Intel AES-NI, но переключения контекста до появления ovpn-dco оставались узким местом. Помимо применения предоставляемых процессором инструкций для ускорения шифрования в модуле ovpn-dco дополнительно обеспечено разделение операций шифрования на отдельные сегменты и их обработка в многопоточном режиме, что позволяет задействовать все имеющиеся ядра CPU.

Из текущих ограничений реализации, которые в будущем будут устранены, выделяется поддержка только режимов AEAD и 'none' (без аутентификации) и шифров AES-GCM и CHACHA20POLY1305. Поддержку DCO планируют включить в состав выпуска OpenVPN 2.6, запланированного на 4 квартал нынешнего года. В настоящее время модуль поддерживается в проходящем бета-тестирование Linux-клиенте OpenVPN3 и в экспериментальных сборках сервера OpenVPN для Linux. Похожий модуль ovpn-dco-win также развивается для ядра Windows.

  1. Главная ссылка к новости
  2. OpenNews: Доступен OpenVPN 2.5.0
  3. OpenNews: Сравнение производительности сетевого драйвера в вариантах на 10 языках программирования
  4. OpenNews: Компания Cloudflare подготовила патчи, кардинально ускоряющие дисковое шифрование в Linux
  5. OpenNews: Netflix опубликовал патчи с реализацией TLS для ядра FreeBSD
  6. OpenNews: Релиз ядра Linux 4.13 со встроенной поддержкой TLS
Обсуждение (62 +16) | Тип: К сведению |


·21.09 Время поддержки Ubuntu 14.04 и 16.04 увеличено до 10 лет (62 +33)
  Компания Canonical объявила об увеличении срока формирования обновлений для LTS-выпусков Ubuntu 14.04 и 16.04 c 8 до 10 лет. Ранее решение об аналогичном продлении срока поддержки было принято для Ubuntu 18.04 и 20.04. Таким образом обновления будут выпускаться для Ubuntu 14.04 до апреля 2024 года, для Ubuntu 16.04 - до апреля 2026 года, для Ubuntu 18.04 до апреля 2028 года, а для Ubuntu 20.04 до апреля 2030 года.

Половину из 10-летнего срока сопровождения поддержка будет осуществляться в рамках программы ESM (Extended Security Maintenance), которая охватывает обновления с устранением уязвимостей для ядра и наиболее важных системных пакетов. Доступ к ESM-обновлениям ограничен только для пользователей платной подписки на услуги технической поддержки или до трех машин при регистрации при условии персонального использования или до 50 машин для членов Ubuntu membership. Для обычных пользователей доступ к обновлениям предоставляется только в течение пяти лет с момента релиза.

Что касается других дистрибутивов, 10-летний срок сопровождения предоставляется в дистрибутивах SUSE Linux и Red Hat Enterprise Linux (не считая расширенного трёхлетнего дополнительного сервиса для RHEL). Срок поддержки Debian GNU/Linux с учётом программы расширенной LTS-поддержки составляет 5 лет (плюс выборочно ещё два года в рамках инициативы "Extended LTS"). Fedora Linux поддерживается 13 месяцев, а openSUSE - 18 месяцев.

  1. Главная ссылка к новости
  2. OpenNews: Google продлил до 8 лет время поддержи устройств на базе ChromeOS
  3. OpenNews: Время поддержки Ubuntu 18.04 увеличено до 10 лет
  4. OpenNews: Canonical продолжит выпуск обновлений после окончания времени поддержки Ubuntu 12.04 LTS
  5. OpenNews: Время поддержки SUSE Linux Enterprise 11 увеличено до 10 лет. Инициатива SUSE SolidDriver
  6. OpenNews: Срок поддержки Red Hat Enterprise Linux 5/6 продлён с 7 до 10 лет
Обсуждение (62 +33) | Тип: К сведению |


·21.09 Google опубликовал HIBA, надстройку над OpenSSH для авторизации на основе сертификатов (38 –1)
  Компания Google опубликовала исходные тексты проекта HIBA (Host Identity Based Authorization), предлагающего реализацию дополнительного механизма авторизации для организации доступа пользователей по SSH в привязке к хостам (проверки, разрешён или нет доступ к конкретному ресурсу при аутентификации по открытым ключам). Интеграция с OpenSSH обеспечивается через указание обработчика HIBA в директиве AuthorizedPrincipalsCommand в /etc/ssh/sshd_config. Код проекта написан на языке Си и распространяется под лицензией BSD.

HIBA использует штатные механизмы аутентификации на основе сертификатов OpenSSH для гибкого и централизованного управления авторизацией пользователей в привязке к хостам, но не требует при этом периодического изменения файлов authorized_keys и authorized_users на стороне хостов, к которым осуществляется подключение. Вместо хранения списка допустимых публичных ключей и условий доступа в файлах authorized_(keys|users), HIBA интегрирует сведения о привязке пользователей к хостам непосредственно в сами сертификаты. В частности, предложены расширения для сертификатов хостов и сертификатов пользователей, в которых хранятся параметры хостов и условия предоставления доступа пользователей.

Проверка на стороне хоста инициируется через вызов обработчика hiba-chk, прописанного в директиве AuthorizedPrincipalsCommand. Данный обработчик декодирует интегрированные в сертификаты расширения и на их основе принимает решение о предоставлении или блокировании доступа. Правила доступа определяются централизованно на уровне удостоверяющего центра (CA) и интегрируются в сертификаты на этапе их генерации.

На стороне удостоверяющего центра ведётся общий список доступных полномочий (хостов к которым разрешено подключение) и список пользователей, которым разрешено воспользоваться данными полномочиями. Для генерации заверенных сертификатов с интегрированной информацией о полномочиях предложена утилита hiba-gen, а функциональность необходимая для создания удостоверяющего центра вынесена в скрипт hiba-ca.sh.

Во время подключения пользователя указанные в сертификате полномочия подтверждаются цифровой подписью удостоверяющего центра, что позволяет выполнить все проверки целиком на стороне целевого хоста, к которому осуществляется подключение, без обращения к внешним службам. Список открытых ключей удостоверяющего центра, заверяющего SSH-сертификаты, указывается через директиву TrustedUserCAKeys.

Помимо прямой привязки пользователей к хостам, HIBA позволяет определить более гибкие правила доступа. Например, к хостам можно привязать такую информацию как местоположение и тип сервиса, а при определении правил доступа пользователей разрешить подключени ко всем хостам с заданным типом сервиса или к хостам в указанном месте.

  1. Главная ссылка к новости
  2. OpenNews: Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов
  3. OpenNews: Google представил Key Transparency, альтернативу серверам криптографических ключей
  4. OpenNews: В Chrome планируют добавить собственное хранилище корневых сертификатов
  5. OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
  6. OpenNews: В клиентском ПО удостоверяющего центра MonPass выявлен бэкдор
Обсуждение (38 –1) | Тип: Программы |


·21.09 Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла (78 +15)
  В офисном пакете Apache OpenOffice выявлена уязвимость (CVE-2021-33035), позволяющая добиться выполнения кода при открытии специально оформленного файла в формате DBF. Выявивший проблему исследователь предупредил о создании рабочего эксплоита для платформы Windows. Исправление уязвимости пока доступно только в форме патча в репозитории проекта, который вошёл в состав тестовых сборок OpenOffice 4.1.11. Обновления для стабильной ветки пока не сформировано.

Проблема вызвана тем, что при выделении памяти OpenOffice полагался на значения fieldLength и fieldType в заголовке файлов DBF, не проверяя при этом соответствие фактического типа данных в полях. Для совершения атаки можно указать в значении fieldType тип INTEGER, но разместить данные большего размера и указать значение fieldLength не соответствующее размеру данных c типом INTEGER, что приведёт к тому, что хвост данных из поля будет записан за пределы выделенного буфера. В результате контролируемого переполнения буфера исследователю удалось переопределить указатель возврата из функции и при помощи приёмов возвратно-ориентированного программирования (ROP - Return-Oriented Programming) добиться выполнения своего кода.

При использовании техники ROP атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. В качестве гаджетов в эксплоите для OpenOffice использовался код из используемой в OpenOffice библиотеки libxml2, которая в отличие от самого OpenOffice оказалась собрана без механизмов защиты DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization).

Разработчики OpenOffice были уведомлены о проблеме 4 мая, после чего на 30 августа было назначено публичное раскрытие сведений об уязвимости. Так как к намеченному сроку обновление стабильной ветки так и не было сформировано, исследователь перенёс раскрытие деталей на 18 сентября, но разработчики OpenOffice не успели сформировать релиз 4.1.11 и к этому сроку. Примечательно, что в ходе того же исследования была выявлена похожая уязвимость в коде поддержки формата DBF в Microsoft Office Access (CVE-2021–38646), детали о которой будут раскрыты позднее. В LibreOffice проблем не найдено.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагивающей и LibreOffice
  3. OpenNews: Выпуск Apache OpenOffice 4.1.9 с исправлением неаккуратного использования "rm -rf"
  4. OpenNews: Выпуск офисного пакета Apache OpenOffice 4.1.8
  5. OpenNews: Apache OpenOffice преодолел отметку в 300 миллионов загрузок
  6. OpenNews: OpenOffice.org исполнилось 20 лет
Обсуждение (78 +15) | Тип: Проблемы безопасности |


·21.09 Выпуск системы инициализации sysvinit 3.0 (115 +41)
  Представлен релиз классической системы инициализации sysvinit 3.0, которая широко применялась в дистрибутивах Linux во времена до systemd и upstart, а теперь продолжает использоваться в таких дистрибутивах, как Devuan, Debian GNU/Hurd и antiX. Изменение номера версии на 3.0 не связано со значительными изменениями, а является следствием достижения максимального значения второй цифры, что, в соответствии с применяемой в проекте логикой нумерации версий, привело к переходу к номеру 3.0 после 2.99.

В новом выпуске устранены проблемы в утилите bootlogd, связанные с определением устройства для консоли. Если раньше в bootlogd принимались только устройства с именами, соответствующими известным консольным устройствам, то теперь можно указать произвольное имя устройства, проверка для которого ограничена только применением допустимых символов в имени. Для задания имени устройства следует использовать параметр командной строки ядра "console=/dev/device-name".

Версии применяемых в связке с sysvinit утилит insserv и startpar не изменились. Утилита insserv предназначена для организации процесса загрузки с учётом зависимостей между init-скриптами, а startpar применяется для обеспечения параллельного запуска нескольких скриптов в процессе загрузки системы.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск системы инициализации sysvinit 2.99
  3. OpenNews: В sysvinit добавлена утилита для преобразования unit-файлов systemd
  4. OpenNews: В скрипте инициализации RHEL допущена ошибка, приводящая к удалению всех файлов
  5. OpenNews: Выпуск системы инициализации GNU Shepherd 0.8
  6. OpenNews: Доступна система инициализации Finit 4.0
Обсуждение (115 +41) | Тип: Программы |


·20.09 Выпуск Samba 4.15.0 (89 +21)
  Представлен релиз Samba 4.15.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.15:

  • Завершена работа по модернизации слоя VFS. По историческим причинам код с реализацией файлового сервера был завязан на обработку файловых путей, которая применялась в том числе для протокола SMB2, переведённого на использование дескрипторов. Модернизация свелась к переводу кода, обеспечивающего доступ к файловой системе сервера, на использование файловых дескрипторов вместо файловых путей (например, задействован вызов fstat() вместо stat() и SMB_VFS_FSTAT() вместо SMB_VFS_STAT()).
  • В реализацию технологии BIND DLZ (Dynamically-loaded zones), позволяющую клиентам отправлять запросы передачи DNS-зон серверу BIND и получать ответ от Samba, добавлена возможность определения списков доступа, позволяющих определять каким клиентам подобные запросы разрешены, а каким нет. В плагине DLZ DNS прекращена поддержка веток Bind 9.8 и 9.9.
  • Включена по умолчанию и стабилизирована поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel), позволяющего клиентам устанавливать несколько соединений для распараллеливания передачи данных в рамках одного SMB-сеанса. Например, при обращении к одному файлу операции ввода/вывода могут распределяться сразу по нескольким открытым соединениям. Данный режим позволяет повысить пропускную способность и увеличить устойчивость к сбоям. Для отключения SMB3 Multi-Channel в smb.conf следует изменить опцию "server multi channel support", которая отныне включена по умолчанию на платформах Linux и FreeBSD.
  • Обеспечена возможность использования команды samba-tool в конфигурациях Samba, собранных без поддержки контроллера домена Active Directory (при указании опции "--without-ad-dc"). Но в этом случае не вся функциональность доступна, например, ограничены возможности команды 'samba-tool domain'.
  • Улучшен интерфейс командной строки: Предложен новый парсер опций командной строки, задействованный в различных утилитах samba. Унифицированы похожие опции, которые отличались а разных утилитах, например, унифицирована обработка опций, связанных с шифрованием, работой с цифровыми подписями и использованием kerberos. В smb.conf определены настройки для задания значений опций по умолчанию. Для вывода ошибок во всех утилитах задействован STDERR (для вывода в STDOUT предложена опция "--debug-stdout").

    Добавлена опция "--client-protection=off|sign|encrypt".

    Переименованы опции:

    
       --kerberos       ->    --use-kerberos=required|desired|off
       --krb5-ccache    ->    --use-krb5-ccache=CCACHE
       --scope          ->    --netbios-scope=SCOPE
       --use-ccache     ->    --use-winbind-ccache
    

    Удалены опции: "-e|--encrypt" и "-S|--signing".

    Проведена работа по чистке дубликатов опций в утилитах ldbadd, ldbdel, ldbedit, ldbmodify, ldbrename и ldbsearch, ndrdump, net, sharesec, smbcquotas, nmbd, smbd и winbindd.

  • По умолчанию отключено сканирование списка доверенных доменов (Trusted Domain) при запуске winbindd, которое имело смысл во времена NT4, но не актуально для Active Directory.
  • Добавлена поддержка механизма ODJ (Offline Domain Join), позволяющего присоединить компьютер к домену без прямого обращения к контроллеру домена. В Unix-подобных ОС на базе Samba для присоединения предложена команда 'net offlinejoin', а в Windows можно использовать штатную программу djoin.exe.
  • В команде 'samba-tool dns zoneoptions' реализованы опции для задания интервала обновления и управления чисткой устаревших DNS-записей. В случае удаления всех записей для имени DNS узел переводится в состояние удалённого ("tombstone").
  • DCE/RPC DNS-сервера теперь может использоваться утилитой samba-tool и утилитами Windows для манипуляции с DNS-записями на внешнем сервере.
  • При выполнении команды "samba-tool domain backup offline" обеспечено корректное выставление блокировок к БД LMDB для защиты от параллельной модификации данных во время резервного копирования.
  • Прекращена поддержка экспериментальных диалектов протокола SMB - SMB2_22, SMB2_24 и SMB3_10, которые использовались только в тестовых сборках Windows.
  • В сборках с экспериментальной реализацией Active Directory на базе MIT Kerberos подняты требования к версии данного пакета. Для сборки теперь необходима как минимум версия MIT Kerberos 1.19 (поставляется в Fedora 34).
  • Удалена поддержка NIS.
  • Устранена уязвимость CVE-2021-3671, позволяющая неаутентифицированному пользователю вызвать крах контроллера домена на базе Heimdal KDC в случае отправки пакета TGS-REQ, в котором не указано имя сервера.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Samba 4.14.0
  3. OpenNews: Обновление Samba 4.14.2, 4.13.7 и 4.12.14 с устранением уязвимостей
  4. OpenNews: Новые версии Samba 4.14.4, 4.13.8 и 4.12.15 с устранением уязвимости
  5. OpenNews: Выпуск Samba 4.13.0
  6. OpenNews: Реализация контроллера домена в Samba оказалась подвержена уязвимости ZeroLogin
Обсуждение (89 +21) | Тип: Программы |


·20.09 Выпуск DXVK 1.9.2, реализации Direct3D 9/10/11 поверх API Vulkan (32 +25)
  Доступен выпуск прослойки DXVK 1.9.2, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как Mesa RADV 20.2, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D 9/10/11, работающих поверх OpenGL.

Основные изменения:

  • В реализации D3D9 снижена нагрузка на CPU и устранены различные сбои в тестовом наборе.
  • Решены проблемы, проявлявшиеся при включении опций d3d9.evictManagedTexturesOnUnlock и d3d11.relaxedBarriers.
  • Решены проблемы в играх Call of Cthulhu, Crysis 3, Homefront The Revolution, GODS, Total War Medieval 2, Fantasy Grounds, Need For Speed Heat, Paranormal Files, Pathfinder: Wrath of the Rightous, Payday, Shin Megami Tensei 3 и Sine Mora EX.

  1. Главная ссылка к новости
  2. OpenNews: Компания Valve выпустила Proton 6.3-6, пакет для запуска Windows-игр в Linux
  3. OpenNews: Выпуск DXVK 1.9.1, реализации Direct3D 9/10/11 поверх API Vulkan
  4. OpenNews: Выпуск DXVK 1.9, реализации Direct3D 9/10/11 поверх API Vulkan
  5. OpenNews: В Wayland-драйвере для Wine появилась поддержка Vulkan и многомониторных конфигураций
  6. OpenNews: Выпуск Wine 6.17 и Wine staging 6.17
Обсуждение (32 +25) | Тип: Программы |


·20.09 Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale (128 +18)
  Проект Headscale развивает открытую реализацию серверного компонента VPN-сети Tailscale, позволяющего создавать похожие на Tailscale VPN-сети на своих мощностях, не привязываясь к сторонним сервисам. Код Headscale написан на языке Go и распространяется под лицензией BSD. Проект развивает Хуан Фонт Алонсо (Juan Font) из Европейского космического агентства.

Tailscale позволяет объединить произвольное число территориально разнесённых хостов в одну сеть, построенную по образу mesh-сети, в которой каждый узел взаимодействует с другими узлами напрямую (P2P) или через соседние узлы, без передачи трафика через централизованные внешние серверы VPN-провайдера. Поддерживается управление доступом и маршрутами на основе ACL. Для установки каналов связи в условиях применения трансляторов адресов (NAT) предоставляется поддержка механизмов STUN, ICE и DERP (аналог TURN, но на базе HTTPS). В случае блокировки канала связи между определёнными узлами сеть может перестраивать маршрутизацию для направления трафика через другие узлы.

От проекта Nebula, также предназначенного для создания распределённых VPN-сетей c mesh-маршрутизацией, Tailscale отличается использованием протокола Wireguard для организации передачи данных между узлами, в то время как в Nebula используются наработки проекта Tinc, в котором для шифрования пакетов используется алгоритм AES-256-GSM (в Wireguard применяется шифр ChaCha20, который в тестах демонстрирует более высокую пропускную способность и отзывчивость).

Отдельно развивается ещё один похожий проект - Innernet, в котором для обмена данными между узлами также применяется протокол Wireguard. В отличие от Tailscale и Nebula в Innernet применяется иная система разделения доступа, основанная не на ACL с привязкой тегов к отдельным узлам, а на разделении подсетей и выделении разных диапазонов IP-адресов, как в обычных интернет-сетях. Кроме того, вместо языка Go в Innernet применяется язык Rust. Три дня назад опубликовано обновление Innernet 1.5 с улучшенной поддержкой обхода NAT. Существует также проект Netmaker, позволяющий объединять сети с разной топологией при помощи Wireguard, но его код поставляется под лицензией SSPL (Server Side Public License), которая не является открытой из-за наличия дискриминирующих требований.

Tailscale распространяется с использованием модели Freemium, подразумевающей возможность бесплатного использования для индивидуальных лиц и платный доступ для предприятий и команд. Клиентские компоненты Tailscale, за исключением графических приложений для Windows и macOS, развиваются в форме открытых проектов под лицензией BSD. Работающее на стороне компании Tailscale серверное ПО, обеспечивающее аутентификацию при подключении новых клиентов, координирующее управление ключами и организующее взаимодействие между узлами, является проприетарным. Проект Headscale устраняет этот недостаток и предлагает независимую открытую реализацию серверных компонентов Tailscale.

Headscale берёт на себя функции обмена открытыми ключами узлов, а также выполняет операции назначения IP-адресов и распространения таблиц маршрутизации между узлами. В текущем виде в Headscale реализованы все основные возможности управляющего сервера, за исключением поддержки MagicDNS и Smart DNS. В частности, поддерживаются функции регистрации узлов (в том числе через web), адаптации сети к добавлению или удалению узлов, разделения подсетей при помощи пространств имён (одна VPN-сеть может быть создана для нескольких пользователей), организации общего доступа узлов к подсетям в разных пространствах имён, управления маршрутизацией (в том числе назначение выходных узлов для обращения к внешнему миру), разделения доступа через ACL и работы службы DNS.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск P2P-платформы GNUnet 0.15.0
  3. OpenNews: Выпуск Yggdrasil 0.4, реализации приватной сети, работающей поверх интернета
  4. OpenNews: Компания Alibaba открыла код P2P-системы доставки файлов Dragonfly
  5. OpenNews: Выпуск Commotion 1.0, свободной платформы для удобного развёртывания mesh-сетей
  6. OpenNews: Facebook открыл реализацию платформы и протокола маршрутизации Open/R
Обсуждение (128 +18) | Тип: Программы |


·20.09 Выпуск программного звукового синтезатора Bespoke Synth 1.0 (43 +27)
  После 10 лет разработки доступен первый стабильный выпуск проекта Bespoke Synth, развивающего модульный программный синтезатор звука, позволяющий генерировать и обрабатывать звук на основе наглядного перенаправления звуковых потоков между разными модулями, формирующими и меняющими форму звуковой волны, а также накладывающими эффекты. Код проекта написан на языке С++ и распространяется под лицензией GPLv3. Готовые сборки подготовлены для Linux, macOS и Windows.

Из особенностей приложения отмечается возможность изменения окружения на лету - можно не прерывая воспроизведения музыки добавлять и менять узлы. Для создания звуковых цепочек доступно более 190 модулей. Поддерживается подключение готовых VST-плагинов и быстрое создание собственных обработчиков на языке Python. Предоставляются средства для интеграции с MIDI-контроллерами.

Интересным является подход проекта к монетизации - кроме бесплатной версии предлагается два платных варианта - bespoke plus ($5) и bespoke pro ($15), которые полностью идентичны бесплатной версии и не содержат расширенных возможностей, о чём явно заявляется в сравнительной таблице на сайте (подразумевается, что если программа понравилась, пользователь без принуждения может поддержать проект, купив платный вариант).



  1. Главная ссылка к новости
  2. OpenNews: Выпуск свободного звукового редактора Ardour 6.9
  3. OpenNews: Выпуск системы потокового видеовещания OBS Studio 27.0
  4. OpenNews: Выпуск Mixxx 2.3, свободного пакета для создания музыкальных миксов
  5. OpenNews: Открыт код Spleeter, системы для разделения музыки и голоса
  6. OpenNews: Первый официальный выпуск программы для синтеза музыки GNU Cursynth
Обсуждение (43 +27) | Тип: Программы |


·20.09 Релиз дистрибутива для исследования безопасности Kali Linux 2021.3 (23 +1)
  Увидел свет релиз дистрибутива Kali Linux 2021.3, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлены несколько вариантов iso-образов, размером 380 МБ, 3.8 ГБ и 4.6 ГБ. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). По умолчанию предлагается рабочий стол Xfce, но опционально поддерживаются KDE, GNOME, MATE, LXDE и Enlightenment e17.

Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов. В комплект входит коллекция эксплоитов и более 300 специализированных утилит для проверки безопасности, таких как Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap, p0f. Помимо этого, в дистрибутив включены средства для ускорения подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit) через задействование технологий CUDA и AMD Stream, позволяющих использовать GPU видеокарт NVIDIA и AMD для выполнения вычислительных операций.

В новом выпуске:

  • Настройки OpenSSL изменены для достижения максимальной возможной совместимости, в том числе по умолчанию возвращена поддержка устаревших протоколов и алгоритмов, включая TLS 1.0 и TLS 1.1. Для отключения устаревших алгоритмов можно воспользоваться утилитой kali-tweaks (Hardening/Strong Security).
  • На сайте проекта запущен раздел Kali-Tools с подборкой информации об имеющихся утилитах.
  • Улучшена работа Live-сеанса под управлением систем виртуализации VMware, VirtualBox, Hyper-V и QEMU+Spice, например, добавлена возможность использования единого буфера обмена с хост-системой и поддержка интерфейса drag & drop. Специфичные для каждой системы виртуализации настройки можно изменить при помощи утилиты kali-tweaks (секция Virtualization).
  • Добавлены новые утилиты:
    • Berate_ap - создание фиктивных точек беспроводного доступа.
    • CALDERA - эмулятор активности злоумышленников.
    • EAPHammer - проведение атаки на Wi-Fi сети с WPA2-Enterprise.
    • HostHunter - определение активных хостов в сети.
    • RouterKeygenPC - создание ключей для WPA/WEP Wi-Fi.
    • Subjack - захват поддоменов.
    • WPA_Sycophant - реализация клиента для проведения атаки EAP Relay.
  • Рабочий стол KDE обновлён до выпуска 5.21.
  • Улучшена поддержка Raspberry Pi, Pinebook Pro и различных ARM-устройств.
  • Подготовлен TicHunter Pro - вариант редакции NetHunter для умных часов TicWatch Pro. NetHunter предоставляет окружения для мобильных устройств на базе платформы Android с подборкой инструментов для тестирования систем на наличие уязвимостей. При помощи NetHunter возможна проверка осуществления атак, специфичных для мобильных устройств, например, через эмуляцию работы USB-устройств (BadUSB и HID Keyboard - эмуляция сетевого USB-адаптера, который может использоваться для MITM-атак, или USB-клавиатуры, выполняющей подстановку символов) и создание подставных точек доступа (MANA Evil Access Point). NetHunter устанавливается в штатное окружение платформы Android в форме chroot-образа, в котором выполняется специально адаптированный вариант Kali Linux.

  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива для исследования безопасности Kali Linux 2021.2
  3. OpenNews: Выпуск дистрибутива Parrot 4.11 с подборкой программ для проверки безопасности
  4. OpenNews: Выпуск BlackArch 2020.06.01, дистрибутива для тестирования безопасности
  5. OpenNews: Выпуск BackBox Linux 7, дистрибутива для тестирования безопасности
  6. OpenNews: Релиз CAINE 11.0, дистрибутива для выявления скрытых данных
Обсуждение (23 +1) | Тип: Программы |


·20.09 Выпуск отладчика GDB 11 (25 +18)
  Представлен релиз отладчика GDB 11.1 (первый выпуск серии 11.x, ветка 11.0 использовалась для разработки). GDB поддерживает отладку на уровне исходных текстов для широкого спектра языков программирования (Ada, C, C++, Objective-C, Pascal, Go, Rust и т.д.) на различных аппаратных (i386, amd64, ARM, Power, Sparc, RISC-V и т.д.) и программных платформах (GNU/Linux, *BSD, Unix, Windows, macOS).

Ключевые улучшения:

  • В интерфейс TUI (Text User Interface) добавлена поддержка действий мышью и возможности прокрутки содержимого колесом мыши. Обеспечен проброс в GDB комбинаций клавиш, не обрабатываемых в TUI.
  • Добавлена поддержка механизма ARMv8.5 MTE (MemTag, Memory Tagging Extension), позволяющего привязать теги к каждой операции выделения памяти и организовать при доступе к памяти проверку указателя, который должен быть связан с корректным тегом. В протоколе удалённого управления отладкой для привязки тегов к памяти обеспечена поддержка пакетов "qMemTags" и "QMemTags".
  • Изменена логика чтения файлов конфигурации. Файл .gdbinit теперь проверяется в следующем порядке: $XDG_CONFIG_HOME/gdb/gdbinit, $HOME/.config/gdb/gdbinit и $HOME/.gdbinit. Т.е. вначале в подкаталоге config, а уже потом в домашнем каталоге.
  • В команде "break [...] if CONDITION" прекращён вывод ошибки при недопустимости условия в определённых местах, если условие допустимо хотя бы в одном случае.
  • Добавлена поддержка отладки core-дампов, сгенерированных для программ Cygwin, собранных для архитектуры x86_64.
  • Добавлена поддержка типов с фиксированной запятой, а также констант DW_AT_GNU_numerator и DW_AT_GNU_denominator.
  • Добавлена настройка "startup-quietly on|off" setting; when "on", аналогичная опции "-silent".
  • В команде "ptype" реализованы опции /x" и "/d" для выбора шестнадцатеричного или десятичного исчисления при выводе размеров и смещений. Добавлена настройка "print type hex on|off" для использования шестнадцатеричных значений в выводе команды 'ptype'.
  • В команде "inferior" при вызове без аргументов обеспечен вывод текущего объекта отладки (inferior).
  • Переработан вывод команды "info source".
  • Добавлена команда "style version foreground | background | intensity" для управления стилем нумерации версий.
  • Добавлены новые опции командной строки: "--early-init-command" ("-eix"), "--early-init-eval-command" ("-eiex"), "--qualified" (для команд '-break-insert' и '-dprintf-insert'), "--force-condition" (для команд '-break-insert' и '-dprintf-insert'), "--force" (для команды '-break-condition').
  • В команде "-file-list-exec-source-files' разрешено указание регулярных выражений для отсеивания обрабатываемых исходных файлов. В вывод добавлено поле 'debug-fully-read' для информирования о степени загрузки отладочной информации.
  • Внесены улучшения в Python API. Добавлены новые методы gdb.Frame.level() и db.PendingFrame.level() для возвращения уровня стека для объекта Frame. При срабатывании точки захвата (catchpoint) в Python API обеспечена передача gdb.BreakpointEvent вместо gdb.StopEvent. Добавлены настройки "python ignore-environment on|off" для игнорирования переменных окружения и "python dont-write-bytecode auto|on|off" для отключения записи байткода.
  • Внесены улучшения в Guile API. Добавлены новые процедуры value-reference-value, value-rvalue-reference-value и value-const-value.
  • В число обязательных сборочных зависимостей включена библиотека GMP (GNU Multiple Precision Arithmetic).
  • Прекращена поддержка платформы ARM Symbian (arm*-*-symbianelf*).

  1. Главная ссылка к новости
  2. OpenNews: Выпуск отладчика GDB 10
  3. OpenNews: Проект Debian запустил сервис для динамического получения отладочной информации
  4. OpenNews: В Redox OS появилась возможность отладки программ при помощи GDB
  5. OpenNews: Для Linux представлена система динамической отладки BPFtrace (DTrace 2.0)
  6. OpenNews: Mimic - утилита для подмены похожих символов, делающая отладку кошмаром
Обсуждение (25 +18) | Тип: Программы |


·19.09 30 лет с момента первого релиза ядра Linux 0.01 (171 +50)
  Исполнилось 30 лет с момента формирования первого публичного выпуска ядра Linux. Ядро 0.01 имело размер 62 Кб в сжатом виде, включало 88 файлов и содержало 10239 строк исходного кода. По мнению Линуса Торвальдса именно момент публикации ядра 0.01 является настоящей датой 30-летия проекта.

Линус написал в списке рассылки разработчиков ядра Linux:

Это просто случайное наблюдение, чтобы люди знали, что сегодня на самом деле одна из основных дат 30-летнего юбилея: версия 0.01 была загружена 17 сентября 1991 года.

Релиз 0.01 никогда не был публично объявлен, и я только написал об этом десятку людей в частном порядке (и старых email тех дней у меня не сохранились), так что реальных записей об этом нет. Я подозреваю, что единственная информация о дате находится в самом tar-файле Linux-0.01.

Увы, даты в этом tar-файле - это даты последних изменений, а не фактического создания tar-файла, но, похоже, что это случилось примерно в 19:30 (по финскому времени), так что точная годовщина была технически несколько часов назад.

Подумал, что стоит упомянуть об этом, поскольку, несмотря на необъявленность, во многих отношениях это настоящая дата 30-летия фактического кода.

  1. Главная ссылка к новости
  2. OpenNews: Статистика развития ядра Linux
  3. OpenNews: Статистика Linux ядра: 75% кода пишется корпорациями
  4. OpenNews: Ядру Linux исполнилось 30 лет
  5. OpenNews: Релиз ядра Linux 5.14
Обсуждение (171 +50) | Автор: Artem S. Tashkinov | Тип: К сведению |


·19.09 Тестирование рабочего стола KDE Plasma 5.23 (92 +32)
  Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.23. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 октября.

Ключевые улучшения:

  • В теме оформления Breeze изменён дизайн кнопок, элементов меню, переключателей, ползунков и полос прокрутки. Для повышения удобства работы с сенсорных экранов увеличен размер полоc прокрутки и полос-регуляторов (spinbox). Добавлен новый индикатор загрузки, оформленный в виде вращающейся шестерёнки. Реализован эффект, подсвечивающий виджеты, касающиеся края панели. Для виджетов, размещённых на рабочем столе, обеспечено размытие фона.
  • Значительно переработан код с реализацией нового меню Kickoff, повышена производительность и устранены мешающие работе ошибки. Предоставлена возможность выбора между показом имеющихся программ в виде списка или сетки пиктограмм. Добавлена кнопка для закрепления открытого меню на экране. На сенсорных экранах удерживание касания теперь приводит к открытию контекстного меню. Предоставлена возможность настройки показа кнопок для управления сеансом и завершением работы.
  • При переходе в режим планшета обеспечено увеличение пиктограмм в системном лотке для упрощения управления с сенсорных экранов.
  • В интерфейсе показа уведомлений предоставлена поддержка копирования текста в буфер обмена при помощи комбинации клавиш Ctrl+C.
  • Апплет с реализацией глобального меню сделан более похожим на обычное меню.
  • Предоставлена возможность быстрого переключения между профилями энергопотребления: "экономия энергии", "высокая производительность" и "сбалансированные настройки".
  • В системном мониторе и виджетах для показа состояния датчиков обеспечено отображение усреднённого показателя нагрузки (LA, load average).
  • В виджете для работы буфером обмена обеспечено запоминание 20 последних элементов и игнорирование выделенных областей, для которых явно не выполнена операция копирования. Имеется возможность удаления выбранных элементов в буфере обмена через нажатие клавиши Delete.
  • В апплете управления громкостью реализовано разделение приложений, воспроизводящих и записывающих звук.
  • В виджете управления сетевым соединением добавлен показ дополнительных деталей о текущей сети. Предоставлена возможность ручного выставления скорости для Ethernet-соединения и отключения IPv6. Для соединений через OpenVPN добавлена поддержка дополнительных протоколов и настроек аутентификации.
  • В виджете управления медиапроигрывателем включён постоянный показ обложки альбома, которая одновременно используется для формирования фона.
  • Расширена логика переноса текста названий миниатюр в режиме Folder View - метки с текстом в стиле CamelCase теперь переносятся как в Dolphin по границе неразделённых пробелом слов.

  • Улучшен интерфейс для настройки параметров системы. На странице "Обратная связь" предоставлен отчёт о всей информации, ранее отправленной разработчикам KDE. Добавлена опция для включения или отключения Bluetooth во время входа пользователя. На странице настройки экрана входа появилась опция для синхронизации расположения экрана. Улучшен интерфейс поиска по имеющимся настройкам, к параметрам привязаны дополнительные ключевые слова. На странице настройки ночного режима обеспечен вывод уведомлений для действий, приводящих к обращению ко внешним сервисам определения местоположения. На странице настройки цветов предоставлена возможность переопределения основного цвета в цветовой схеме.
  • После применения новых настроек экрана обеспечен вывод диалога подтверждения изменения с обратным отчётом времени, позволяющим автоматически вернуть старые параметры в случае нарушения нормального вывода на экран.

  • В центре управления приложениями ускорена загрузка и обеспечен показ источника получения приложения на кнопке установки.
  • Значительно улучшена работа сеанса на базе протокола Wayland. Реализована возможность вставки из буфера обмена средней кнопкой мыши и применения интерфейса drag-and-drop между программами, использующими Wayland и запущенными при помощи XWayland. Устранено несколько проблем, возникавших при использовании GPU NVIDIA. Добавлена поддержка изменения разрешения экрана при запуске в системах виртуализации. Улучшен эффект размытия фона. Обеспечено сохранение параметров виртуальных рабочих столов.

    Предоставлена возможность изменения настроек RGB для видеодрайвера Intel. Добавлена новая анимация поворота экрана. При записи приложением содержимого экрана обеспечен вывод специального индикатора в системном лотке, позволяющим отключить запись. Улучшено управление жестами на тачпаде. В менеджере задач реализована визуальная индикация клика на пиктограммы приложений. Для индикации начала запуска программ предложена специальная анимация курсора.

  • Обеспечено согласование раскладки экранов в многомониторных конфигурациях между сеансами X11 и Wayland.
  • Переписана реализация эффекта "Презентация окон" (Present Windows).
  • В приложении для отправки сообщений об ошибках (DrKonqi) добавлено уведомление о приложениях, оставшихся без сопровождения.
  • Из заголовков окон с диалогами и настройками убрана кнопка "?".
  • Запрещено использование прозрачности при перемещении или изменении размера окон.

  1. Главная ссылка к новости
  2. OpenNews: Сеанс KDE на базе Wayland признан стабильным
  3. OpenNews: Выпуск мобильной платформы KDE Plasma Mobile 21.08
  4. OpenNews: Выпуск KDE Gear 21.08, набора приложений от проекта KDE
  5. OpenNews: Релиз рабочего стола KDE Plasma 5.22
  6. OpenNews: Мэйнтейнер Cinnamon в Debian перешёл на использование KDE
Обсуждение (92 +32) | Тип: Программы |


·19.09 Уязвимость в подсистеме io_uring ядра Linux, позволяющая поднять свои привилегии (29 +13)
  В ядре Linux выявлена уязвимость (CVE-2021-41073), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана ошибкой в реализации интерфейса асинхронного ввода/вывода io_uring, приводящей к обращению к уже освобождённому блоку памяти. Отмечается, что исследователем удалось добиться освобождения памяти по заданному смещению при манипуляции с функцией loop_rw_iter() со стороны непривилегированного пользователя, что делает возможным создание рабочего эксплоита. Проблема пока устранена только в виде патча, который бэкпортирован в стабильные ветки ядра, но обновление ещё не выпущено (в сегодняшние обновления 5.14.6, 5.13.19 и 5.10.67 исправление не вошло).

  1. Главная ссылка к новости
  2. OpenNews: Уязвимости в ядре Linux, затрагивающие реализации VSOCK, Futex и io_uring
  3. OpenNews: Релиз ядра Linux 5.1 с включением поддержки io_uring
  4. OpenNews: Уязвимость в eBPF, позволяющая выполнить код на уровне ядра Linux
  5. OpenNews: Уязвимость в подсистеме ядра Linux Netfilter
  6. OpenNews: Root-уязвимость в ядре Linux и отказ в обслуживании в systemd
Обсуждение (29 +13) | Тип: Проблемы безопасности |


·19.09 Для Mesa развивается фронтэнд OpenCL, написанный на языке Rust (143 –1)
  Кэрол Хербст (Karol Herbst) из компании Red Hat, принимающий участие в разработке Mesa, драйвера Nouveau и открытого стека OpenCL, опубликовал rusticl - экспериментальную программную реализацию OpenCL (фронтэнд OpenCL) для Mesa, написанную на языке Rust. Rusticl выступает в роли аналога уже присутствующего в Mesa OpenCL-фронтэнда Clover и также разработан с использованием предоставляемого в Mesa интерфейса Gallium.

Разработка была представлена 17 сентября на конференции XDC 2021 (X.Org Developers Conference). Целью разработки было изучение Rust, выработка оптимальных путей интеграции Rust в Mesa, опробование создания реализаций API на другом языке и проверка сочетаемости компонентов на Rust с остальным кодом на языке Си. Разработка ещё полностью не завершена - уже успешно выполняются тесты CL CTS, связанные с копированием, чтением и записью буферов, но пока ещё не обеспечена интеграция компилятора и нет поддержки внешних crate-пакетов в системе сборки. Для генерации биндингов для Mesa и OpenCL, позволяющих вызывать Rust-функции из кода на Си и наоборот, задействован rust-bindgen.

Напомним, что год назад разработчики Mesa уже обсуждали целесообразность использования языка Rust. Из плюсов поддержки Rust упоминалось повышение безопасности и качества драйверов за счёт избавления от типовых проблем при работе с памятью, а также возможность включения в состав Mesa сторонних наработок, таких как Kazan (реализация Vulkan на Rust). Из недостатков отмечается усложнение системы сборки, нежелание привязываться к пакетной системе cargo, расширение требований к сборочному окружению и необходимость включения компилятора Rust в сборочные зависимости, обязательные для построения ключевых компонентов рабочего стола в Linux.

  1. Главная ссылка к новости
  2. OpenNews: Разработчики Mesa обсуждают возможность добавления кода на языке Rust
  3. OpenNews: Вторая редакция патчей для ядра Linux с поддержкой языка Rust
  4. OpenNews: В Fedora 21 предложено обеспечить "из коробки" поддержку OpenCL на основе открытых технологий
  5. OpenNews: Опубликованы финальные спецификации OpenCL 3.0
  6. OpenNews: Релиз PoCL 1.6, независимой реализации стандарта OpenCL
Обсуждение (143 –1) | Тип: К сведению |


Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру