Для атаки достаточно наличия открытого сетевого порта с Webmin и активности в web-интерфейсе функции смены устаревшего пароля (по умолчанию включена в сборках 1.890, но в остальных версиях выключена). Проблема устранена в обновлении 1.930. В качестве временной меры для блокирования бэкдора достаточно убрать настройку "passwd_mode=" из файла конфигурации /etc/webmin/miniserv.conf. Для тестирования подготовлен прототип эксплоита.

Проблема была обнаружена в скрипте password_change.cgi, в котором для проверки введённого в web-форме старого пароля используется функция unix_crypt, которой передаётся полученный от пользователя пароль без выполнения экранирования спецсимволов. В git-репозитории данная функция является обвязкой над модулем Crypt::UnixCrypt и не представляет опасности, но в поставляемом на сайте Sourceforge архиве с кодом вызывается код, который напрямую обращается к /etc/shadow, но делает это при помощи shell-конструкции. Для атаки достаточно указать в поле со старым паролем символ "|" и следующий после него код будет выполнен с правами root на сервере.

По заявлению разработчиков Webmin, вредоносный код был подставлен в результате компрометации инфраструктуры проекта. Подробности пока не сообщаются, поэтому не ясно, ограничился ли взлом захватом управления над учётной записью в Sourceforge или затронул и другие элементы инфраструктуры разработки и сборки. Вредоносный код присутствовал в архивах с марта 2018 года. Проблема также затронула сборки Usermin. В настоящее время все загрузочные архивы пересобраны из Git.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в Webmin, позволяющая удалять произвольные файлы в системе
3. OpenNews: Бэкдор в зависимости к event-stream, популярной библиотеке для Node.js
4. OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
5. OpenNews: На GitHub выявлено 73 репозитория с бэкдорами
6. OpenNews: Опубликован zero-day эксплоит для атаки на системы с панелью управления Plesk

Решение дополняет уже воплощённое в ветке rawhide решение по прекращению формирования загрузочного образа ядра Linux для архитектуры i686. Прекращение поставки пакета с ядром делает опасным предоставление возможности обновления уже установленных систем из репозиториев, так как пользователи будут вынуждены применять устаревшие пакеты с ядром, содержащие неисправленные уязвимости. Формирование multi-lib репозиториев для окружений x86_64 будет сохранено и i686 пакеты в них сохранятся.

1. Главная ссылка к новости
2. OpenNews: Инициатива по сокращению размера приложений в Fedora
3. OpenNews: Представлен первый предварительный выпуск Fedora CoreOS
4. OpenNews: Разработчики Fedora намерены прекратить формирование репозиториев для архитектуры i686
5. OpenNews: Релиз Linux-дистрибутива Fedora 30
6. OpenNews: Canonical пересмотрела планы по прекращению поддержки архитектуры i386 в Ubuntu

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

• Возможность проверки номера порта из заголовка пакета транспортного уровня независимо от типа протокола 4 уровня:

  
     add rule x y ip protocol { tcp, udp } th dport 53
  

• Поддержка восстановления времени жизни набора элементов:

  
     add element ip x y { 1.1.1.1 timeout 30s expires 15s }
  

• Возможность проверки отдельных опций (lsrr, rr, ssrr и ra) из пакетов IPv4:

  
     add rule x y ip option rr exists drop
  

  Для опций маршрутизации возможна проверка полей type, ptr, length и addr:

  
     add rule x y ip option rr type 1 drop
  

• В выражениях теперь допустимо указание сетевых префиксов и диапазонов адресов:

  
     iifname ens3 snat to 10.0.0.0/28
     iifname ens3 snat to 10.0.0.1-10.0.0.15
  

• Поддержка использования переменных в определениях цепочек:

  
      define default_policy = accept
      add chain ip foo bar { type filter hook input priority filter; policy $default_policy }
  

• Указание приоритета цепочки теперь может производиться как в числовом, таки символьном виде:

  
      define prio = filter
      define prionum = 10
      define prioffset = "filter - 150"
  
      add table ip foo
      add chain ip foo bar { type filter hook input priority $prio; }
      add chain ip foo ber { type filter hook input priority $prionum; }
      add chain ip foo bor { type filter hook input priority $prioffset; }
  

• Реализована поддержка модуля synproxy. Например, для размещения TCP-порта 8888 под защитой synproxy можно использовать набор правил:

  
      table ip x {
              chain y {
                      type filter hook prerouting priority raw; policy accept;
                      tcp dport 8888 tcp flags syn notrack
              }
  
              chain z {
                      type filter hook forward priority filter; policy accept;
                      tcp dport 8888 ct state invalid,untracked synproxy mss 1460 \\
                         wscale 7 timestamp sack-perm  ct state invalid drop
              }
      }
  

• Для определения в таблице conntrack связанных с текущим соединением ожидаемых дополнительных соединений, которые применяются в требующих установки нескольких соединений протоколах и сценариях, теперь можно определять политики через штатные наборы правил. Например, для определения ожидаемых после соединений к TCP порту 8888 последующих соединений к порту 5432 можно указать следующие правила:

  
          table x {
                  ct expectation myexpect {
                          protocol tcp
                          dport 5432
                          timeout 1h
                          size 12
                          l3proto ip
                  }
  
                  chain input {
                          type filter hook input priority 0;
                          ct state new tcp dport 8888 ct expectation set myexpect
                          ct state established,related counter accept
                  }
          }
  
  
  
  

Реализация AWDL написана на языке Си и опубликована в виде Linux-приложения owl (Open Wireless Link), использующего API Netlink для выполнения специфичных для Wi-Fi операций, таких как переключение каналов. Интеграция с сетевым стеком осуществляется через виртуальный сетевой интерфейс, позволяющий приложениям с поддержкой IPv6 использовать протокол AWDL без внесения изменений в код. Работа возможна на сетевых картах с поддержкой режима активного мониторинга, допускающего подстановку кадров (например, поддерживается в Atheros AR9280).

Протокол AWDL является основой беспроводных технологий Apple, используемых для организации прямого взаимодействия устройств без их предварительной настройки и сопряжения. На базе AWDL в том числе работает сервис AirDrop, позволяющий обмениваться файлами по Wi-Fi и Bluetooth. Подготовленные исследователями компоненты AirDrop написаны на языке Python и доступны в рамках проекта OpenDrop. Код owl и OpenDrop опубликован под лицензией GPLv3.

OpenDrop предоставляет интерфейс командой строки, позволяющий обмениваться файлами между устройствами по Wi-Fi. На уровне протокола реализация полностью совместима с устройствами Apple, что позволяет организовать взаимодействия систем на базе Linux с устройствами с iOS и macOS. Допускается отправка файлов только на устройства Apple, находящиеся в режиме неограниченного определения другими пользователями, так как выборочное определение устройства и отправка по адресной книге требуют заверения цифровой подписью Apple.

1. Главная ссылка к новости
2. OpenNews: Открыты спецификации на беспроводной протокол Z-Wave
3. OpenNews: В Firefox OS появилась поддержка P2P-связи с использованием Wi-Fi Direct
4. OpenNews: В рамках проекта MagicPlay подготовлен открытый аналог технологии AirPlay
5. OpenNews: Доступен Mozilla WebThings Gateway 0.9, шлюз для умного дома и IoT-устройств

Основные изменения:

• Добавлен режим прозрачности для пиктограмм (опция "--alpha"), при включении которого обеспечена поддержка отображения элементов с 32-разрядными составляющими глубины цвета;
• Для задания цветов в настройках теперь можно использовать форму "rgba:" и префикс "[N]", где N определяет процентное соотношение составляющей;
• Добавлена возможность отображения заставки при запуске;
• В конфигурации предложены новые команды: sizeto, pid, systray, xembed, motif и symbol;
• В утилиту icesh добавлена поддержка фильтров для выбора определённых открытых окон и возможность изменения GRAVITY-меток, которые можно применять в фильтрах;
• Добавлено новое свойство окон "startClose" для мгновенного закрытия ненужных окон;
• Улучшена поддержка сборки с использованием CMake;
• Добавлены свойства _NET_SYSTEM_TRAY_ORIENTATION и _NET_SYSTEM_TRAY_VISUAL;
• Снято ограничение на число виртуальных рабочих столов. Добавлена опция TaskBarWorkspacesLimit для определения числа отображаемых на панели пиктограмм виртуальных рабочих столов. Реализована возможность редактирования имён рабочих столов на панели;
• Проведена оптимизация процесса запуска icewm;
• Добавлены дополнительные настройки xrandr для использования второго внешнего монитора как первичного.

1. Главная ссылка к новости
2. OpenNews: Релиз оконного менеджера IceWM 1.5
3. OpenNews: Доступен оконный менеджер i3wm 4.17
4. OpenNews: Релиз мозаичного оконного менеджера Awesome 4.3
5. OpenNews: Выпуск оконного менеджера Window Maker 0.95.8
6. OpenNews: Оконный менеджер на основе Emacs

Исследователями предложены три сценария проведения DoS-атак: создание заторов между мостовыми узлами, разбалансировка нагрузки и создание заторов между релееями, для осуществления которых требуется наличие у атакующего пропускной способности в 30, 5 и 3 Gbit/s. В денежном эквиваленте стоимость проведения атаки на протяжении месяца будет составлять 17, 2.8 и 1.6 тысяч долларов, соответственно. Для сравнения, проведение DDoS-атаки в лоб для нарушения работы Tor потребует пропускной способности 512.73 Gbit/s и будет стоить 7.2 миллиона долларов в месяц.

Первый метод, при затратах в 17 тысяч долларов в месяц, через флуд ограниченного набора мостовых узлов с интенсивностью 30 Gbit/s снизит скорость загрузки данных клиентами на 44%. При проведении тестов оставалось в работе только 12 мостовых узлов obfs4 из 38 (не входят в списки публичных серверов каталогов и используются для обхода блокировки сторожевых узлов), что позволяет выборочно вывести остающиеся в работе мостовые узлы флудом. Разработчики Tor могут удвоить расходы на сопровождение и восстановить работу недостающих узлов, но атакующему достаточно будет увеличить свои затраты до 31 тысячи долларов в месяц для проведения атаки на все 38 мостовых узлов.

Второй метод, который требует для атаки 5 Gbit/s, основан на нарушении работы централизованной системы измерения пропускной способности TorFlow и позволяет снизить среднюю скорость загрузки данных клиентами на 80%. TorFlow используется для балансировки нагрузки, что позволяет в рамках атаки нарушить распределение трафика и организовать его прохождение через ограниченное число серверов, вызвав их перегрузку.

Третий метод, для которого достаточно 3 Gbit/s, основан на использовании модифицированного Tor-клиента для создания паразитной нагрузки, что позволяет снизить скорость клиентских загрузок на 47% при затрате 1.6 тысяч долларов в месяц. При увеличении затрат на атаку до 6.3 тысяч долларов можно добиться снижения скорости клиентских загрузок на 120%. Модифицированный клиент вместо штатного построения цепочки из трёх узлов (входной, промежуточный и выходящий узел), применяет допустимую протоколом цепочку из 8 узлов с максимальным числом хопов между узлами, после чего запрашивает загрузку больших файлов и приостанавливает операции чтения после отправки запросов, но продолжает отправлять управляющие команды SENDME, инструктирующие входные узлы продолжать передачу данных.

Отмечается, что инициирование отказа в обслуживании заметно эффективнее, чем организация DoS-атаки методом Sybil при аналогичных затратах. Метод Sybil подразумевает размещение в сети Tor большого числа собственных релеев, на которых можно отбрасывать цепочки или урезать пропускную способность. При наличии бюджета для атаки в 30, 5 и 3 Gbit/s метод Sybil позволяет добиться снижения производительности для 32%, 7.2% и 4.5% выходных узлов, соответственно. В то время как предложенные в рамках исследования DoS-атаки охватывают все узлы.

Если сравнивать затраты с другими видами атак, то проведение атаки по деанонимизации пользователей с бюджетом 30 Gbit/s позволит добиться контроля за 21% входящими и 5.3% выходящими узлами и добиться охвата всех узлов цепочки в 1.1% случаях. Для бюджетов 5 и 3 Gbit/s эффективность составит 0.06% (4.5% входящих, 1.2% выходящих узлов) и 0.02% (2.8% входящих, 0.8% выходящих узлов).

1. Главная ссылка к новости
2. OpenNews: Хакерская группа Lizard Squad получила контроль почти над половиной релеев Tor
3. OpenNews: Новый вид теоретической атаки по деанонимизации в Tor
4. OpenNews: Выявлена группа ретрансляторов Tor, используемых для деанонимизации
5. OpenNews: Потерян контроль над кластером из 15 выходных узлов Tor
6. OpenNews: Обновление Tor с устранением уязвимостей и дополнительной защитой от DoS-атак

Основная идея Proton-i в предоставлении возможности использования патчей, вносимых в свежие версии Wine (в каждом выпуске публикуется несколько сотен изменений), которые потенциально могут помочь в запуске игр, при запуске которых раньше наблюдались проблемы. Предполагается, что какие-то проблемы могут быть устранены в новых выпусках Wine, а какие-то могут решаться патчами Proton. Сочетание этих исправлений потенциально даёт возможность добиться более высокого качества работы игр, чем при использовании нового Wine и Proton по отдельности.

Напомним, что развиваемый компанией Valve проект Proton основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9 (на базе D9VK), DirectX 10/11 (на базе DXVK) и 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. По сравнению с оригинальным Wine значительно увеличена производительность многопоточных игр благодаря применению патчей "esync" (Eventfd Synchronization) или "futex/fsync".

1. Главная ссылка к новости
2. OpenNews: Выпуск Wine 4.14 и Proton 4.11-2
3. OpenNews: Компания Valve выпустила Proton 4.11, пакет для запуска Windows-игр в Linux
4. OpenNews: В компилятор шейдеров ACO для Vulkan-драйвера RADV добавлена поддержка вершинных шейдеров
5. OpenNews: Выпуск Proton 4.2-4, пакета для запуска Windows-игр в Linux
6. OpenNews: Выпуск Wine 4.13

Сборки DaVinci Resolve подготовлены для Linux, Windows и macOS. Для загрузки требуется регистрация. Бесплатная версия имеет ограничения, связанные с выпуском продукции для коммерческого кинопоказа в кинотеатрах (монтаж и цветокоррекция 3D-кино, сверхвысокие разрешения и т.п.), но не ограничивает базовые возможности пакета, поддержку профессиональных форматов для импорта и экспорта, сторонних плагинов.

Новые возможности:

• Новая платформа DaVinci Neural Engine, использующая технологии на основе нейронных сетей и машинного обучения для реализации таких функций, как распознавание лиц, Speed Warp (создание хронометражных эффектов) и Super Scale (увеличение масштаба, автоматическое выравнивание и применение цветовой схемы).
• Добавлена поддержка быстрого экспорта из приложения в такие сервисы, как YouTube и Vimeo;
• Добавлены новые графики-индикаторы для расширенного мониторинга технических параметров, использующие возможности GPU для ускорения вывода;
• В блоке Fairlight добавлена настройка формы волны для корректной синхронизации аудио и видео, поддержка трехмерного звука, вывод дорожек шины, автоматизация предварительного просмотра и обработка речи;
• Улучшены существующие плагины ResolveFX, которые позволяют использовать виньетирование и тени, аналоговый шум, искажения и цветовую аберрацию, удалять объекты и выполнять стилизацию материала;
• Оптимизированы инструменты имитация телевизионных строк, сглаживание черт лица, заполнение фона, изменение формы, устранение битых пикселей и трансформация цветового пространства;
• На страницах Edit и Color добавлены средства для просмотра и редактирования ключевых кадров для эффектов ResolveFX;
• Добавлена новая страница Cut, которая предлагает альтернативный интерфейс для монтажа рекламных роликов и коротких новостных видео. Особенности:
  • Для монтажа и подгонки без масштабирования и прокрутки предложена двойная временная шкала.
  • Режим Source Tape для просмотра всех клипов как единого материала.
  • Интерфейс подгонки для отображения границы на стыке двух клипов.
  • Интеллектуальные механизмы работы для автоматической синхронизации клипов и их редактирования.
  • Подбор скорости воспроизведения на временной шкале в зависимости от длины клипа.
  • Инструменты преобразования, стабилизации и создания хронометражных эффектов.
  • Прямой импорт материалов нажатием кнопки.
  • Масштабируемый интерфейс для работы на экранах ноутбуков.

• Широкие возможности для цветоустановки;
• Высокая производительность с возможностью использования до восьми графических процессоров, что позволяет получать результат в реальном времени. Для быстрого рендеринга и формирования конечного продукта можно использовать кластерные конфигурации;
• Профессиональные средства монтажа разных типов материала - от телесериалов и рекламных роликов до контента, снятого с помощью нескольких камер;
• Инструменты редактирования учитывают контекст выполняемой операции и автоматически определяют параметры обрезки по местоположению курсора мыши;
• Средства синхронизации и микширования звука;
• Гибкие возможности по управлению медиаматериалами - файлы, временные шкалы и целые проекты легко перемещать, объединять и архивировать;
• Функция Clone, позволяющая копировать полученное с камер видео одновременно в несколько каталогов с проверкой по контрольной сумме;
• Возможность импортировать и экспортировать метаданные с помощью CSV-файлов, создавать на их основе пользовательские окна, автоматические каталоги и списки;
• Мощная функциональность для обработки и создания конечного продукта в любом разрешении, будь то мастер-копия для телевидения, цифровой пакет для кинотеатров или для распространения в интернете;
• Поддержка экспорта в разных форматах, в том числе с дополнительной информацией, формирование файлов EXR и DPX для наложения визуальных эффектов, а также вывод несжатого 10-битного видео и в ProRes для редактирования в таких приложениях, как Final Cut Pro X;
• Поддержка плагинов ResolveFX и OpenFX;
• Средства для стабилизации и трекинга изображений на экране, не требующие создания опорных кадров;
• Вся обработка изображений осуществляется в цветовом пространстве YRGB с точностью 32-разрядных чисел с плавающей запятой, что позволяет корректировать параметры яркости без повторной цветобалансировки в областях тени, полутона и света;
• Шумоподавление в реальном времени;
• Полное управление цветом на всех этапах процесса с поддержкой стандарта ACES 1.0 (Academy Color Encoding Specification). Возможность использования различных цветовых пространств для исходного и конечного материала, а также для временной шкалы;
• Возможность обработки видео с широким динамическим диапазоном (HDR);
• Цветоустановка на основе файлов RAW;
• Автоматическая первичная цветокоррекция и автоматическое согласование кадров.

1. Главная ссылка к новости
2. OpenNews: Выпуск видеоредакторов Shotcut 18.11 и DaVinci Resolve 15.2
3. OpenNews: Релиз профессионального видеоредактора DaVinci Resolve 15
4. OpenNews: Выпущен видеоредактор Lightworks 12
5. OpenNews: В рамках проекта Olive развивается новый открытый редактор видео
6. OpenNews: Выпуск видеоредактора Flowblade 2.0

Ветка 1.5 позиционируется как экспериментальная и включает такие возможности как новый интерфейс пользователя на базе Qt5, изменённый файловый формат, полная поддержка таблиц и расширенные средства обработки текста. Выпуск 1.5.5 отмечается как хорошо протестированный и уже вполне стабильный для работы над новыми документами. После проведения окончательной стабилизации и признания готовности для повсеместного внедрения на базе ветки 1.5 будет сформирован стабильный релиз Scribus 1.6.0.

Основные улучшения в Scribus 1.5.5:

• Проведена большая работа по рефакторингу кодовой базы для упрощения сопровождения проекта, улучшения читаемости кода и увеличения производительности. Попутно удалось устранить многие ошибки, из которых выделяются проблемы в новом текстовом движке и связанных с ним обработчиках сложных шрифтов;
• В интерфейсе пользователя реализована возможность использования тёмной цветовой схемы оформления;
• Добавлен интерфейс для поиска функций, подобный тому, что предоставляется в GIMP, G'MIC и Photoshop. В диалоге с результатами поиска по возможности также выводятся ссылки на элементы меню, через которые можно вызвать найденные функции;
• В настройках Document Setup / Preferences добавлена отдельная вкладка для шрифтов, которые установлены в системе, но не могут быть использованы в Scribus;
• Для записей в форме выбора шрифта реализованы всплывающие подсказки, позволяющие быстро определить имя шрифта;
• В Scripter добавлены новые команды для автоматизации выполнения различных работ с использованием внешних скриптов на языке Python;
• Обновлены фильтры импорта и экспорта;
• Внесены изменения для улучшения совместимости с последними обновлениями Windows 10 и macOS;
• Проведена полировка некоторых областей интерфейса пользователя.

1. Главная ссылка к новости
2. OpenNews: Новые версии свободного издательского пакета Scribus 1.4.7 и 1.5.4
3. OpenNews: Выпуск свободного издательского пакета Scribus 1.5.3
4. OpenNews: Экспериментальная ветка свободного издательского пакета Scribus 1.5
5. OpenNews: Выпуск свободного издательского пакета Scribus 1.5.1
6. OpenNews: Выпуск свободного издательского пакета Scribus 1.5.2

Пользовательская оболочка дистрибутива основана на легковесном десктоп-окружении LXDE, построенном на базе библиотеки GTK и способном работать на маломощных системах. Вместо стандартной системы SysV инициализации задействована новая система загрузки Microknoppix, значительно ускоряющая процесс загрузки дистрибутива за счет параллельного запуска сервисов и отложенной инициализации оборудования. При использовании USB Flash пользовательские настройки и дополнительно установленные программы не исчезают после перезагрузки системы - сохраняемые между сессиями данные помещаются в файл KNOPPIX/knoppix-data.img, который при желании можно зашифровать с помощью алгоритма AES-256. В поставку входит около 4000 пакетов.

Особенности новой версии:

• Синхронизация пакетной базы с Debian Buster. Видеодрайверы и компоненты десктоп-окружения импортированы из Debian/testing и Debian/unstable.
• Ядро Linux обновлено до выпуска 5.2 с патчами cloop и aufs. Поддерживаются две сборки ядра для 32- и 64-разрядных систем. При использовании LiveDVD на системах с 64-разрядным CPU автоматически загружается 64-разрядное ядро;
• Для компьютеров, оснащённых только CD-приводом, в директории KNOPPIX размещён сокращённый загрузочный образ, позволяющий загрузиться с CD и использовать остальную часть дистрибутива с USB Flash;
• По умолчанию используется оболочка LXDE c файловым менеджером PCMANFM 1.3.1, но в поставку также входят KDE Plasma 5 (активируется загрузочной опцией "knoppix64 desktop=kde") и GNOME 3 ("knoppix64 desktop=gnome");
• Обновлены компоненты графического стека (x server 1.20.4), в поставку включены новые версии графических драйверов. Предлагается поддержка композитного менеджера compiz;
• Новые версии программ, в том числе Wine 4.0, qemu-kvm 3.1, Chromium 76.0.3809.87, Firefox 68.0.1 (в комплекте с Ublock Origin и Noscript), LibreOffice 6.3.0-rc2, GIMP 2.10.8.
• В поставку добавлен Tor Browser, доступный для запуска через Knoppix-menu;
• В состав входит подборка программ для работы с 3D-принтерами и создания 3D-моделей: OpenScad 2015.03, Slic3r 1.3 (для 3D-печати), Blender 2.79.b и Freecad 0.18;
• Обновлён математический пакет Maxima 5.42.1, в котором обеспечена прямая интеграция сеанса с Texmacs для создания документов непосредственно при работе в Live-режиме;
• Добавлены режимы для запуска Knoppix в контейнерах и системах виртуализации - "Knoppix in Knoppix - KVM", "Knoppix in Docker" и "Knoppix in Chroot";
• В состав включены программы: видеоредакторы kdenlive 18.12.3, openshot 2.4.3, photofilmstrip 3.7.1, obs-studio 22.0.3, система управления мультимедийной библиотекой Mediathekview 13.2.1, клиенты к облачным хранилищам OwnCloud и NextCloud (2.5.1), система управления коллекцией электронных книг Calibre 3.39.1, игровой движок Godot3 3.0.6, перекодировщики звука/видео RipperX 2.8.0, Handbrake 1.2.2, медиасервер gerbera 1.1.0.
• Полноценная поддержка UEFI и UEFI Secure Boot;
• В поставку входит звуковое меню ADRIANE, которое включает в себя реализацию пользовательского окружения, основанного на идее звуковой навигации. Для голосового чтения содержимого страниц задействована система Orca. В качестве движка распознания сканированного текста служит Cuneiform.
• Возможность автоматического увеличения раздела с пользовательскими данными на USB Flash, не требующая перезагрузки.
• Возможность кастомизации дистрибутива при копировании на USB Flash при помощи утилиты flash-knoppix.

1. Главная ссылка к новости
2. OpenNews: Релиз Live-дистрибутива KNOPPIX 8.1
3. OpenNews: Доступен полностью свободный Linux-дистрибутив Trisquel 8.0
4. OpenNews: Фонд СПО признал libreCMC полностью свободным дистрибутивом
5. OpenNews: Фонд СПО признал Hyperbola полностью свободным дистрибутивом

Проблема вызвана недоработками (CVE-2019-9506) в спецификации Bluetooth BR/EDR Core 5.1 и более ранних версиях, допускающих использование слишком коротких ключей шифрования и не препятствующими вмешательству атакующего на этапе согласования соединения для отката на подобные ненадёжные ключи (возможна подстановка пакетов неаутентифицированным атакующим). Атака может быть совершена в момент согласования соединения устройств (уже установленные сеансы не могут быть атакованы) и эффективна только для соединений в режимах BR/EDR (Bluetooth Basic Rate/Enhanced Data Rate), если оба устройства подвержены уязвимости. В случае успешного подбора ключа злоумышленник может расшифровать передаваемые данные и незаметно от жертвы выполнить подстановку в трафик произвольного шифротекста.

При установке соединения между двумя Bluetooth-контроллерами A и B контроллер A после аутентификации по канальному ключу (link key) может предложить использовать для ключа шифрования (encryption key) 16 байт энтропии, а контроллер B может согласиться с этим значением или указать меньшее значение, в случае если не имеет возможности сформировать ключ предложенного размера. В ответ контроллер A может принять ответное предложение и активировать шифрованный канал связи. На данном этапе согласования параметров не применяется шифрование, поэтому атакующий имеет возможность вклиниться в обмен данными между контроллерами и подменить пакет с предложенным размером энтропии. Так как допустимый размер ключа варьируется от 1 до 16 байт, второй контроллер примет данное значение и отправит своё подтверждение с указанием аналогичного размера.

Для воспроизведения уязвимости в лабораторных условиях (активность злоумышленника имитировалась на одном из устройств) предложен прототип инструментария для проведения атаки. Для реальной атаки атакующий должен быть в зоне приёма устройств жертв и иметь возможность кратковременного блокирования сигнала от каждого устройства, что предлагается реализовать через манипулирование сигналом или реактивное глушение.

Организация Bluetooth SIG, отвечающая за разработку стандартов Bluetooth, опубликовала корректировку спецификации под номером 11838, в которой для реализации производителями предложены меры для блокирования уязвимости (минимальный размер ключа шифрования повышен с 1 до 7). Проблема проявляется во всех соответствующих стандарту Bluetooth-стеках и прошивках Bluetooth-чипов, включая продукты Intel, Broadcom, Lenovo, Apple, Microsoft, Qualcomm, Linux, Android, Blackberry и Cisco (из 14 протестированных чипов все оказались уязвимы). В Bluetooth-стек ядра Linux внесено исправление, позволяющее изменять минимальный размер ключа шифрования.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в Bluetooth-чипах TI, позволяющие удалённо выполнить код
3. OpenNews: Уязвимость, компрометирующая шифрование в различных реализациях Bluetooth
4. OpenNews: BlueBorne - опаснейшая удалённая уязвимость в Bluetooth-стеках Linux, Android, iOS и Windows
5. OpenNews: Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
6. OpenNews: Уязвимость MouseJack позволяет получить контроль над системами, использующими беспроводные мыши

Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для размещения библиотек поддерживается репозиторий crates.io.

Основные новшества:

• В компиляторе rustc обеспечена поддержка оптимизации на основе результатов профилирования кода (PGO, Profile-Guided Optimization), позволяющих генерировать более оптимальный код на основе анализа статистики, накопленной в процессе выполнения программы. Для генерации профиля предусмотрен флаг "-C profile-generate", а для использования профиля при сборке - "-C profile-use" (вначале программа собирается с первым флагом, обкатывается и после создания профиля собирается повторно со вторым флагом);
• При выполнении команды "cargo run", которую удобно использовать для быстрого тестирования консольных приложений, добавлена возможность автоматического выбора исполняемого файла для запуска, в случае если в пакете присутствует несколько исполняемых файлов. Выполняемый по умолчанию файл определяется через директиву default-run в секции [package] с параметрами пакета, которая позволяет обойтись без явного указания имени файла через флаг "--bin" при каждом запуске "cargo run";
• В пакетный менеджер Cargo интегрирована команда "cargo vendor", ранее поставляемая в виде отдельного пакета. Команда позволяет организовать работу с локальной копией зависимостей - после выполнения "cargo vendor" все исходные тексты зависимостей проекта загружаются с crates.io в локальный каталог, который затем можно использовать для работы без обращения к crates.io (после выполнения команды показывается подсказка по изменению конфигурации для использования каталога при сборках). Указанная возможность уже применяется для организации поставки компилятора rustc с упаковкой всех зависимостей в один архив с релизом;
• Появилась возможность создания ссылок на варианты перечислений (enum), используя псевдонимы типа (например, в теле функции "fn increment_or_zero(x: ByteOption) можно указывать "ByteOption::None => 0"), конструкции вычисления типов (‹MyType‹..››::вариант => N) или обращения Self (в блоках c &self можно указать "Self::Quarter => 25");
• Добавлена возможность создания неименованных констант в макросах. Вместо определения имени элемента в "const" теперь можно использовать символ "_" для динамического выбора неповторяющегося идентификатора, позволяющего избежать конфликта имён при повторном вызове макроса;
• Добавлена возможность использования атрибута "#[repr(align(N))" с перечислениями (enums), используя синтаксис, аналогичный определению структуры AlignN‹T› с выравниванием и последующему использованию AlignN‹MyEnum›;
• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы BufReader::buffer, BufWriter::buffer, Cell::from_mut, Cell::as_slice_of_cells, DoubleEndedIterator::nth_back, Option::xor, {i,u}{8,16,64,128,size}::reverse_bits, Wrapping::reverse_bits и slice::copy_within.

Дополнительно можно отметить начало тестирования проекта Async-std, предлагающего асинхронный вариант стандартной библиотеки Rust (порт библиотеки std, в котором все интерфейсы предложены в версии с async и готовы для использования с синтаксисом async/await).

1. Главная ссылка к новости
2. OpenNews: Выпуск операционной системы Redox OS 0.5, написанной на языке Rust
3. OpenNews: Выпуск языка программирования Rust 1.36
4. OpenNews: Компилятор Rust добавлен в состав дерева исходных текстов Android
5. OpenNews: Intel развивает открытую прошивку ModernFW и гипервизор на языке Rust
6. OpenNews: Проект RustPython развивает реализацию интерпретатора Python на языке Rust

Наиболее важные изменения:

• Движок Mono обновлён до версии 4.9.2, что позволило избавиться от проблем при запуске квестов DARK и DLC;
• DLL в формате PE (Portable Executable) теперь не привязаны к runtime MinGW;
• В ntoskrnl реализован вызов MmIsThisAnNtAsSystem и добавлены заглушки для вызовов SePrivilegeCheck и SeLocateProcessImageName;
• В wtsapi32 реализованы функции WTSFreeMemoryExA и WTSFreeMemoryExW, и добавлены заглушки для WTSEnumerateProcessesEx[AW], WTSEnumerateSessionsEx[AW] и WTSOpenServerEx[AW];
• Добавлены новые DLL wlanui и utildll;
• Из kernel32 в kernelbase перенесён код, связанный с управлением процессами, потоками и файловыми дескрипторами;
• В wined3d добавлены функции для работы с текстурами, такие как wined3d_texture_upload_data() и wined3d_texture_gl_upload_data();
• Внесены исправления, связанные с обработкой исключений на платформе ARM64;
• Закрыты отчёты об ошибках, связанные с работой игр и приложений: World War Z, AviUtl, Touhou 14-17, Eleusis, Rak24u, Omni-NFS 4.13, The Sims 1, Star Control Origins, Process Hacker, Star citizen, Adobe Digital Editions 2.

Дополнительно можно отметить публикацию компанией Valve обновления проекта Proton 4.11-2, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9 (на базе D9VK), DirectX 10/11 (на базе DXVK) и 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана.

В новой версии компоненты FAudio с реализацией звуковых библиотек DirectX (API XAudio2, X3DAudio, XAPO и XACT3) обновлены до выпуска 19.08, движок Mono до версии 4.9.2, а прослойка DXVK (реализация DXGI, Direct3D 10 и Direct3D 11 поверх API Vulkan) обновлена до версии 1.3.2. Обеспечен вывод данных о режиме 60 FPS и для экранов с высокой частотой кадров (необходимо для старых игр). Решены проблемы с зависанием при вводе текста в играх Earth Defense Force 5 и Earth Defense Force 4.1.

1. Главная ссылка к новости
2. OpenNews: Выпуск Wine 4.13
3. OpenNews: В Wine Staging добавлены патчи для повышения производительности многопоточных игр
4. OpenNews: Выпуск проекта DXVK 1.3 с реализацией Direct3D 10/11 поверх API Vulkan
5. OpenNews: Компания Valve выпустила Proton 4.11, пакет для запуска Windows-игр в Linux

По сравнению с прошлым выпуском в новую версию принято 505 изменений, подготовленных при участии 77 разработчиков, из которых 26 впервые приняли участие в разработке. Основные новшества:

• Представлены экспериментальные команды "git switch" и "git restore", призванные разделить между собой малосвязанные возможности "git checkout", такие как манипуляция ветками (переключение и создание) и восстановление файлов в рабочей директории ("git checkout $commit -- $filename") или сразу в staging area ("--staging", не имеет аналога в "git checkout"). Стоит отметить, что, в отличие от "git checkout", "git restore" удаляет неотслеживаемые файлы из восстанавливаемых директорий ("--no-overlay" по умолчанию).
• Добавлена опция "git merge --quit", которая, аналогично "--abort", останавливает процесс слияния веток, но оставляет при этом рабочую директорию нетронутой. Данная опция может оказаться полезной в случае, если некоторые из изменений, внесённых в ходе ручного слияния, предпочтительнее оформить в виде отдельного коммита.
• Команды "git clone", "git fetch" и "git push" теперь учитывают наличие коммитов в связанных репозиториях (alternates);
• Добавлены опции "git blame --ignore-rev" и "--ignore-revs-file", позволяющие пропустить коммиты, в которых внесены незначимые правки (например, исправления форматирования);
• Добавлена опция "git cherry-pick --skip" для пропуска конфликтного коммита (запоминаемый аналог последовательности "git reset && git cherry-pick --continue");
• Добавлена настройка status.aheadBehind, фиксирующая опцию "git status --[no-]ahead-behind" на постоянной основе;
• С данного выпуска "git log" по умолчанию учитывает изменения, внесённые mailmap, аналогично тому, как это уже происходит в git shortlog;
• Существенно ускорена операция обновления представленного в 2.18 экспериментального кеша графа коммитов (core.commitGraph). Также ускорен git for-each-ref в случае использования нескольких шаблонов и сокращено количество вызовов auto-gc в "git fetch --multiple";
• "git branch --list" теперь всегда показывает detached HEAD в самом начале списка независимо от локали.

1. Главная ссылка к новости
2. OpenNews: Выпуск распределенной системы управления исходными текстами Git 2.22
3. OpenNews: Выпуск распределенной системы управления исходными текстами Git 2.21
4. OpenNews: Фонд Apache перевёл свои Git-репозитории на GitHub
5. OpenNews: Зафиксирована атака вредоносных шифровальщиков на Git-репозитории (дополнено)
6. OpenNews: GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems

Основные новшества:

• В файловом менеджере Dolphin реализована и включена по умолчанию возможность открытия новой вкладки в существующем окне файлового менеджера (вместо открытия нового окна с отдельным экземпляром Dolphin) при попытке открытия каталога из другого приложения. Другим улучшением является поддержка глобальной горячей клавиши "Meta + E", позволяющей в любой момент вызвать файловый менеджер.

  Внесены улучшения в правую информационную панель: Добавлена поддержка включения автоматического воспроизведения мультимедийных файлов, выделенных в основной панели. Реализована возможность выделения и копирования текста, отображаемого на панели. Добавлен встроенный блок настроек, позволяющих изменить выводимое в панели содержимое без открытия отдельного конфигурационного окна. Добавлена обработка закладок;

  
• В просмотрщике изображений Gwenview усовершенствовано отображение миниатюр и добавлен режим низкого потребления ресурсов, при котором используются миниатюры в низком разрешении. Данный режим существенно быстрее и потребляет меньше ресурсов при загрузке миниатюр из изображений JPEG и RAW. В случае невозможности сгенерировать миниатюру, теперь отображается картинка-заглушка вместо использования миниатюры от предыдущего изображения. Также решены проблемы с созданием миниатюр из камер Sony и Canon и расширена информация, отображаемая на основе метаданных EXIF для RAW-изображений. Добавлено новое меню "Share" ("Опубликовать"), позволяющее отправить изображение по email, через Bluetooth, в Imgur, Twitter или NextCloud и корректно отобразить внешние файлы, доступ к которым производится через KIO;
• В просмотрщике документов Okular улучшена работа с аннотациями, например, появилась возможность сворачивания и раскрытия разом всех аннотаций, переработан диалог с настройками и добавлена функция обрамления концов линейных меток (например, можно отобразить стрелку). Улучшена поддержка формата ePub, в том числе решены проблемы с открытием некорректных файлов ePub и увеличена производительность при обработке больших файлов;
• В эмуляторе терминала Konsole расширены возможности мозаичной компоновки окон - основное окно теперь может быть разделено на части в произвольной форме, как вертикально, так и горизонтально. В свою очередь, каждая полученная после разделения область также может быть разделена или перемещена мышью в новое место в режиме drag&drop. Переработано окно с настройками, которое стало более ясным и простым;
• В утилите для создания скриншотов Spectacle при создании снимка с задержкой в заголовке и кнопке на панели менеджера задач обеспечена индикация времени, оставшегося до создания снимка. При раскрытии окна Spectacle во время ожидания снимка теперь появляется кнопка для отмены действия. После сохранения снимка выводится сообщение, позволяющее открыть изображение или каталог, в котором оно сохранено;
• В адресной книге, почтовом клиенте, календаре-планировщике и средствах совместной работы появилась поддержка Emoji. В KOrganizer реализована возможность перемещения событий из одного календаря в другой. В адресной книге KAddressBook появилась функция отправки SMS при помощи приложения KDE Connect;
• В почтовом клиенте KMail обеспечена интеграция с системами проверки грамматики, такими как LanguageTool и Grammalecte. В окне написания сообщения добавлена поддержка разметки Markdown. При планировании событий прекращено автоудаление писем с приглашениями после написания ответа;
• В видеоредакторе Kdenlive появились новые управляющие последовательности, вызываемые при помощи клавиатуры и мыши. Например, вращение колеса при удерживании Shift на шкале времени приведёт к изменению скорости клипа, а перемещение курсора по миниатюрам в клипе при удерживании Shift активирует предпросмотр видео. Унифицированы с другими видеоредакторами операции трёхточечного монтажа.
• В текстовом редакторе Kate при попытке открыть новый документ осуществлён вывод на передний план уже запущенного экземпляра редактора. В режиме "Quick Open" ("Быстрый переход") обеспечена сортировка элементов по времени их прошлого открытия и выделение по умолчанию самого верхнего элемента в списке.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в KDE, позволяющая выполнить код при просмотре списка файлов
3. OpenNews: Выпуск KDE Frameworks 5.61 с устранением уязвимости
4. OpenNews: Релиз рабочего стола KDE Plasma 5.16
5. OpenNews: Выпуск музыкального проигрывателя Elisa 0.4, развиваемого сообществом KDE
6. OpenNews: Выпуск KDE Applications 19.04