The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.07.2018 Mozilla и Xiph развивают реализацию видеокодека AV1 на языке Rust (48 +11)
  В рамках проекта rav1e разработчики из сообществ Xiph и Mozilla развивают экспериментальный кодировщик для формата кодирования видео AV1, написанный на языке Rust и отличающийся от эталонного кодировщика libaom более высокой скоростью кодирования и повышенным вниманием к обеспечению безопасности. AV1 заметно опережает x264 и libvpx-vp9 по уровню сжатия, но из-за усложнения алгоритмов предложенная реализация кодировщика требует существенно больше времени для кодирования (по скорости кодирования libaom отстаёт от libvpx-vp9 в сотни раз, а от x264 в тысячи раз). Новый вариант кодировщика на языке Rust в настоящее время обеспечивает производительность кодирования на уровне 5 кадров в секунду для видео с качеством 480p.

  1. Главная ссылка к новости
  2. OpenNews: Результаты тестирования AV1 в Facebook. Новый формат JPEG XS
  3. OpenNews: Увидел свет первый выпуск открытого видеокодека нового поколения AV1
  4. OpenNews: Компания Cisco представила свободный видеокодек Thor, конкурирующий с VP9 и H.265
  5. OpenNews: GoPro перевёл видеокодек CineForm в разряд открытых проектов
  6. OpenNews: Компания Apple присоединилась к альянсу, развивающему свободный видеокодек
Обсуждение (48 +11) | Тип: Программы |
17.07.2018 Релиз http-сервера Apache 2.4.34 (19 +2)
  Опубликован релиз HTTP-сервера Apache 2.4.34, в котором представлено 38 изменений, не связанных с безопасностью.

Основные улучшения:

  • Разрешено использовать символ подчёркивания ("_") в именах хостов;
  • Расширены возможности модуля mod_md, разработанного проектом Let's Encrypt для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). Реализована возможность указания дополнительных параметров в директиве MDNotifyCmd, проверки ACME ограничены только доменами для которых явно активирован модуль, улучшена интеграция с libressl;
  • В mod_proxy_http для worker-процессов добавлен новый параметр 'responsefieldsize', позволяющий увеличить максимальный размер заголовка в HTTP-ответе (по умолчанию 8192);
  • В mod_ssl в директиве SSLOCSPEnable обеспечена поддержка режима 'leaf' для проверки только финальных элементов в цепочке сертификатов;
  • В mod_proxy_balancer добавлен новый тип для узлов горячей замены (Hot spare) и связанный с ними флаг "R". Узлы горячей замены позволяет на лету подхватить обработку запросов от вышедших из строя обработчиков без изменения набора балансировщиков. Ранее доступные резервные обработчики (hot standby) отличаются тем, что берут на себя обработку запросов только после выхода из строя всех штатных обработчиков.
  • В suexec добавлена опция "--enable-suexec-capabilites" для установки отдельных capability (setuid/setgid) вместо запуска в виде setuid root;
  • В suexec добавлена возможность сохранения лога в отдельном файле (вместо syslog). Для настройки связанного с логами поведения добавлены опции "--without-suexec-logfile" и "--with-suexec-syslog";
  • Добавлены новые условные секции IfFile, IfDirective и IfSection для применения настроек в случае существования файла, директивы или секции.

  1. Главная ссылка к новости
  2. OpenNews: Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости
  3. OpenNews: Релиз http-сервера Apache 2.4.33. Фонду Apache исполнилось 19 лет
  4. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
  5. OpenNews: Выпуск http-сервера lighttpd 1.4.49
  6. OpenNews: Проблемы в systemd и Apache httpd при обработке DNS-имён с символом подчёркивания
Обсуждение (19 +2) | Тип: Программы |
17.07.2018 Уязвимости в системе печати CUPS (13 +2)
  В системе печати CUPS выявлено несколько уязвимостей, позволяющих локальному злоумышленнику поднять свои привилегии до пользователя root, получить содержимое файлов, доступных только для root, и выйти за пределы sandbox-окружения, в том числе обойти ограничения AppArmor в Debian и Ubuntu. В своей комбинации уязвимости позволяют получить атакующему полноценные root-привилегии в основной системе. В Linux уязвимость затрагивают только системы, в которых непривилегированные пользователи могут вносить изменения в конфигурацию CUPS (например, уязвимы Debian и Ubuntu, но проблема не затрагивает дистрибутивы на базе RHEL). Исправления пока доступны в виде патчей.
  • CVE-2018-4180 - ошибка в обработчике переменных окружения в dnssd позволяет поднять свои привилегии в системе через установку специально оформленного значения в переменной окружения CUPS_SERVERBIN;
  • CVE-2018-4181 - некорректная обработка директивы включения других файлов в конфигурацию (include) позволяет непривилегированному пользователю прочитать содержимое любых файлов в системе;
  • CVE-2018-6553 - некорректная настройка профиля AppArmor для защиты бэкенда dnssd позволяет обойти ограничения доступа cupsd к основной системе через создание обработчика dnssd с другим именем, созданного при помощи жесткой ссылки на dnssd;
  • CVE-2017-18248 - отсутствие проверки использования недопустимых символов в имени пользователя в заданиях вывода на печать может применяться для удалённого инициирования краха CUPS;
  • CVE-2017-15400 - возможность запуска произвольных команд с правами демона CUPS через настройку подставного сервера IPP и передачу специально оформленного файла PPD;

  1. Главная ссылка к новости
  2. OpenNews: Компания Apple объявила о смене лицензии на систему печати CUPS
  3. OpenNews: Релиз системы печати CUPS 2.2
  4. OpenNews: Релиз системы печати CUPS 2.1 с начальной поддержкой 3D-принтеров
  5. OpenNews: Уязвимости в X.Org Server и CUPS
  6. OpenNews: Релиз системы печати CUPS 2.0 с поддержкой systemd
Обсуждение (13 +2) | Тип: Проблемы безопасности |
17.07.2018 Slackware Linux исполнилось 25 лет (65 +20)
  25 лет назад, 17 июля 1993 года, Патрик Фолькердинг (Patrick Volkerding) представил первый релиз дистрибутива Slackware Linux. Slackware Linux является старейшим из ныне существующих дистрибутивов, оказавшим влияние на многие проекты. Наиболее известным ответвлением от Slackware являются SUSE Linux. Из продолжающих развитие модификаций Slackware можно отметить Slackware Live Edition, Salix (позиционируется как MiniSlack), Zenwalk и Absolute Linux.

Первый выпуск Slackware был основан на ядре Linux 0.99pl10 и собран с использованием gcc 2.4.5. Графическое окружение было построено с использованием XFree-86 1.3 и оконного менеджера Open Look. Расцвет Slackware пришёлся на 1994-96 годы, в которые дистрибутив занимал лидирующие позиции среди других систем. Например, Slackware стал первым дистрибутивом, выпустившим релизы на основе ядра Linux 1.0 и 2.0 (Debian Buzz с ядром 2.0 вышел на несколько недель позже, а Red Hat 4.0 отстал на несколько месяцев). В последующем такие проекты, как Debian, Red Hat и SUSE, вытеснили Slackware, но вопреки многочисленным прогнозам о скором забвении проекта, дистрибутив по-прежнему жив и обновляется.

Основной причиной долгой жизни дистрибутива является неиссякаемый энтузиазм Патрика Фолькердинга, который спустя 25 лет по-прежнему остаётся лидером и основным разработчиком проекта. Кроме того, несмотря на солидный возраст, дистрибутив смог сохранить самобытность и простоту в организации работы. Отсутствие усложнений и простая система инициализации в стиле классических систем BSD делают дистрибутив интересным решением для изучения работы Unix-подобных систем, проведения экспериментов и знакомства с Linux.

  1. Главная ссылка к новости
  2. OpenNews: Релиз дистрибутива Slackware 14.2
  3. OpenNews: Проекту Mozilla исполняется 20 лет
  4. OpenNews: Проекту FreeBSD исполнилось 25 лет
  5. OpenNews: Slackware Linux - 10 лет.
Обсуждение (65 +20) | Тип: К сведению |
16.07.2018 Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI (92 +20)
  Компании Mozilla, Cloudflare, Fastly и Apple работают над новым TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В настоящее время расширение SNI, необходимое для организации работы на одном IP-адресе наскольких HTTPS-сайтов со своими сертификатами, подразумевает передачу имени хоста на стадии согласования соединения в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи.

С одной стороны подобная особенность упрощает организацию обработки запросов на http-серверах и позволяет использовать прокси и CDN-сети для проброса шифрованного трафика, но с другой стороны раскрывает информацию о запрошенных ресурсах для транзитных наблюдателей, например, позволяет провайдеру судить о запрашиваемых пользователем сайтах и выборочно фильтровать трафик. До недавнего времени CDN-сети Amazon и Google предоставляли возможность скрытия имени хоста при помощи техники "domain fronting", позволявшей обращаться по HTTPS с указанием в SNI фиктивного хоста и фактической передачей имени запрашиваемого хоста в HTTP-заголовке Host внутри TLS-сеанса (данная возможность позволяла использовать CDN для обхода блокировок и весной была отключена).

Поддержка начальной черновой спецификации ESNI уже реализована в библиотеках BoringSSL (используется в Chromium), NSS (используется в Friefox) и picotls (используется в http-сервере h2o). При использовании ESNI имя хоста (поле server_name) также передаётся в ClientHello, но в зашифрованном виде. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля "_esni", а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. Для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

  1. Главная ссылка к новости
  2. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  3. OpenNews: TLS 1.3 получил статус предложенного стандарта
  4. OpenNews: Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor
  5. OpenNews: В следующем выпуске Android появится поддержка "DNS over TLS"
Обсуждение (92 +20) | Тип: К сведению |
16.07.2018 Выпуск GNU Binutils 2.31 (16 +10)
  Представлен релиз набора системных утилит GNU Binutils 2.31, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, strings, strip.

В новой версии:

  • Ускорено выполнение операций прямого связывания DLL для Cygwin и Mingw;
  • В компоновщике в Linux по умолчанию включён режим "-z separate-code", повышающий защищённость исполняемых файлов ценой небольшого увеличения размера и потребления памяти;
  • В дизассемблер добавлена поддержка файлов с прошивками в формате Netronome Flow Processor (NFP);
  • В дизассемблере для архитектуры AArch64 обеспечен вывод предупреждений о некорректном применении процессорных инструкций;
  • В менеджер архивов AR добавлена поддержка модификатора "O" для отображения смещений файлов-составных частей в архиве;
  • В ассемблере для MIPS добавлена поддержка расширений Global INValidate (GINV) и Cyclic Redudancy Check (CRC);
  • Добавлена поддержка архитектуры Freescale S12Z;
  • В ассемблер добавлена опция "--generate-missing-build-notes=[yes|no]" для создания примечаний GNU Build Attribute;
  • Для систем x86 удалена опция "-mold-gcc";
  • В ассемблере для x86 добавлена поддержка опций "-O[2|s]" для включения альтернативных схем укороченного кодирования инструкций;
  • В компоновщик gold добавлена поддержка инструкций Intel's Indirect Branch Tracking (IBT) и Shadow Stack. Добавлена опция "--debug=plugin" для упрощения отладки плагинов. Обеспечена поддержка опции "-z keep_text_section_prefix" и секции ".note.gnu.property".

  1. Главная ссылка к новости
  2. OpenNews: Выпуск набора базовых системных утилит GNU Coreutils 8.30
  3. OpenNews: Релиз util-linux 2.30
  4. OpenNews: Релиз netutils-linux 2.5, утилит для мониторинга и тюнинга сетевого стека Linux
  5. OpenNews: Выпуск GNU Binutils 2.28
  6. OpenNews: Выпуск GNU Diffutils 3.4 с поддержкой цветного вывода
Обсуждение (16 +10) | Тип: Программы |
16.07.2018 Оценка безопасности новой системы контейнерной изоляции Nabla (10 +9)
  Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, входивший в координационный технический комитет Linux Foundation, опубликовал результаты анализа безопасности различных систем контейнерной изоляции, включая традиционные контейнеры Docker, недавно представленную систему Nabla, нацеленную на минимизацию выполняемых в основном ядре системных вызовов, и гибридные системы gVisor и Kata Containers с изоляцией на базе гипервизоров.

Для каждого типа систем оценивался уровень защищённости от совершения горизонтальных атак (HAP, Horizontal Attack Profile), при которых брешь в одном из базовых слоёв (например, в ядре Linux или гипервизоре) может привести к полной компрометации всей инфраструктуры и получению контроля за корневым окружением и всеми запущенными контейнерами. Уровень безопасности HAP зависит от объёма привилегированного кода, который вызывается в процессе работы той или оной системы контейнерной изоляции или виртуализации. Чем меньше привилегированного кода вовлечено в выполнение контейнера тем выше безопасность всей системы, так как сокращается число потенциальных векторов для атак и уменьшается вероятность присутствия уязвимостей.

Основным путём совершения горизонтальных атак для контейнеров являются системные вызовы, обработка которых выполняется на стороне общего ядра и, в случае наличия уязвимости в одном из обработчиков системного вызова, злоумышленник, имеющий доступ к одному из контейнеров, может получить контроль над всей инфраструктурой. В случае применения виртуализации на базе гипервизоров главными объектами для атак становятся гипервизор и прослойки для обеспечения доступа к оборудованию или эмуляции оборудования. В системах контейнерной изоляции предоставляется доступ к около 300 системным вызовам, что примерно в 10 раз превышает число гипервызовов (hypercall).

Из-за использования общего ядра Linux обычные контейнеры предоставляют больше векторов для совершения горизонтальных атак. Выходом могли бы стать комбинированные решения на базе виртуализации, использующие легковесное системное окружение, но из-за больших накладных расходов они проигрывают по производительности (наблюдается снижение производительности на 10-30%) и требуют для своей работы больше памяти. В качестве варианта, который обеспечивал бы должную производительность и защищённость, недавно была представлена система контейнерной изоляции Nabla.

В Nabla используется только 9 системных вызовов, а вся основная функциональность, включая TCP/IP стек и код файловых систем, реализована в виде работающего в пространстве пользователя unikernel, не привязанного к ядру ОС и системным библиотекам. Данную систему можно рассматривать как аналог проектов для запуска приложений поверх гипервизора, но вместо гипервизора Nabla использует обычные механизмы контейнерной изоляции с жесткой блокировкой доступа к системным вызовам при помощи фильтров seccomp.

В качестве основы в окружениях Nabla задействованы наработки открытого компанией IBM проекта Solo5, предоставляющего изолированное окружение для запуска произвольных unikernel, в том числе развиваемых проектами Rump, MirageOS и IncludeOS. Вся необходимая системная функциональность прикрепляется к приложению во время сборки. Среди протестированных приложений Nginx, Python, Redis и Node.js, для которых подготовлены типовые образы контейнеров. Для запуска контейнеров применяется runtime runnc (переработанный runc), интегрируемый с инструментарием Docker и совместимый со спецификацией OCI (Open Container Initiative).

Для анализа безопасности была проведена оценка охвата привилегированного кода, который вовлекается при выполнении изолированных окружений. В частности, было посчитано число уникальных функций ядра, которые были вызваны в процессе работы окружений с Redis, Python и Node.js. Для контейнеров при помощи ftrace учитывалось число выполненных системных вызовов, а для систем виртуализации число гипервызовов и обращений к бэкендам, выполняемым на стороне kvm vhost или Xen dom0.

В результате в Nabla было зафиксировано в 2-3 раза меньше вызовов по сравнению с другими механизмами изоляции, в том числе по сравнению с gVisor (используется собственное мини-ядро на языке Go, предоставляющее необходимые системные вызовы) и Kata Containers (применяется урезанный вариант обычного ядра Linux).

Измерение производительности тестовых заданий на базе Redis, Python и Node.js показало, что показатели конетейнеров Nabla сравнимы с Kata Containers и отстают от Docker на 10-30%. Узким местом Nabla стала реализация сетевого стека в пространстве пользователя. При использовании конфигурации с оркестровкой контейнера напрямую (nabla-raw) без сетевого взаимодействия, производительность Nabla достигла уровня Docker. Низкая производительность gVisor объясняется большими накладными расходами при использовании ptrace и гипервызовов (gVisor-kvm) для привязки системных вызовов к изолированному окружению.

  1. Главная ссылка к новости
  2. OpenNews: Google открыл gVisor, гибрид системы виртуализации и контейнеров
  3. OpenNews: Выпуск MirageOS 2.5, платформы для запуска приложений поверх гипервизора
  4. OpenNews: В рамках проекта IncludeOS развивается ядро для обособленного запуска C++-приложений
  5. OpenNews: Компании Intel и Hyper представили проект Kata Containers
  6. OpenNews: Выпуск Kata Containers 1.0 с изоляцией на основе виртуализации
Обсуждение (10 +9) | Тип: К сведению |
15.07.2018 Выпуск Latte Dock 0.8, альтернативной панели для KDE (41 +19)
  Состоялся релиз панели Latte Dock 0.8, предлагающей элегантное и простое решение для управления задачами и плазмоидами. В том числе поддерживается эффект параболического увеличения пиктограмм в стиле macOS или панели Plank. Панель Latte построена на базе фреймворка KDE Plasma и требует для работы Plasma 5.12, KDE Frameworks 5.38 и Qt 5.9 или более новые выпуски. Код проекта распространяется под лицензией GPLv2. Установочные пакеты сформированы для Ubuntu, Debian, Fedora и openSUSE.

Проект основан в результате слияния схожих по своим задачам панелей - Now Dock и Candil Dock. После объединения разработчики попытались совместить предлагаемый в Candil принцип формирования обособленной панели, работающей отдельно от Plasma Shell, со свойственными Now Dock качественным оформлением интерфейса и использованием только библиотек KDE и Plasma без сторонних зависимостей.

Основные новшества:

  • Появилась возможность одновременного использования нескольких раскладок панели, что позволяет привязать к разным комнатам (activities) принципиально разные способы компоновки панели, например, в одной комнате отображать панель сбоку в стиле Unity, а в другой комнате в форме нижней строки в стиле Plasma;



  • Улучшен механизм динамического отображения фона окон - во время перемещения или изменения размера окон теперь автоматически фон окна становится полупрозрачным для более удобного позиционирования с учётом другого содержимого на рабочем столе;
  • Добавлен унифицированный механизм горячих клавиш для апплетов и задач (для всех элементов на панели теперь применяются общие номера быстрого вызова);
  • В каталог store.kde.org добавлена возможность загрузки раскладок панели для Latte Dock, подготовленных представителями сообщества. Содержимое каталога можно просмотреть непосредственно из конфигуратора панели;
  • Обеспечена более плавная анимация изменений при конфигурировании панели;
  • В режим редактирования пользователю предоставлена возможность выбора произвольных фоновых изображений для панели;
  • Добавлен новый виджет с реализацией разделителя, позволяющего более явно визуально отделить друг от друга задачи в панели;
  • В конфигуратор добавлены новые настройки: возможность блокировки раскладок панели для запрета внесения изменений и режим скрытия границ (Borderless) при раскрытии окна на весь экран;
  • Во вкладке настройки задач пользователь теперь может отключить группировку идентичных программ;
  • В настройки добавлены две новые секции Active Indicator для настройки стиля индикатора активной задачи и Glow для настройки характера подсветки значка активной задачи;
  • Добавлена возможность смены режима панели в один клик;
  • Для людей с ослабленным зрением реализована возможность вывода более крупных меток на значках;
  • Добавлена возможность выбрать раскладку панели через контекстное меню при использовании менеджера задач Plasma;
  • Добавлены опции командной строки для манипуляции базовыми настройками панели (например, "--layout" для выбора раскладки, "--available-layouts" для просмотра доступных раскладок и "--import-layout" для импорта раскладки);
  • Улучшена поддержка Wayland. Разработчик Latte Dock теперь использует панель в окружении на базе Wayland в своей повседневной работе.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск Latte Dock 0.7, альтернативной панели для KDE
  3. OpenNews: Выпуск Dock Panel 0.3, альтернативной панели для KDE
  4. OpenNews: Выпуск панели LXPanel 0.9.0
  5. OpenNews: Новые версии панели Xfce 4.12.2 и 4.13.2
  6. OpenNews: Выпуск панели Dash to Dock 63
Обсуждение (41 +19) | Тип: Программы |
14.07.2018 Выпуск Debian 9.5 (113 +24)
  Доступно пятое корректирующее обновление дистрибутива Debian 9, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 91 обновление с устранением проблем со стабильностью и 100 обновлений с устранением уязвимостей.

Из изменений в Debian 9.5 можно отметить удаление пакетов libnet-whois-perl, mlbviewer, python-uniconvertor, singularity-container и visionegg которые оказались без сопровождения или неработоспособны из-за прекращения работы связанных с ними сервисов. Обновлены до свежих стабильных версий пакеты clamav, dpdk, glx-alternatives, драйверы nvidia, rustc и postgresql-9.6.

Для загрузки подготовлены установочные сборки, а также live iso-hybrid c Debian 9.5. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 9.5, через штатную систему установки обновлений. Включенные в новые выпуски Debian исправления проблем безопасности доступны пользователям по мере выхода обновлений через сервис security.debian.org.

  1. Главная ссылка к новости
  2. OpenNews: Компания Collabora представила debos, генератор системных образов на базе Debian
  3. OpenNews: Обновление Debian 8.11 и создание LTS-ветки Debian 8
  4. OpenNews: Третий альфа-выпуск инсталлятора Debian 10 "Buster"
  5. OpenNews: Релиз дистрибутива Devuan 2.0, форка Debian 9 без systemd
  6. OpenNews: Выпуск Debian 9.4
Обсуждение (113 +24) | Тип: Программы |
13.07.2018 Релиз гипервизора Xen 4.11 (34 +16)
  После семи месяцев разработки состоялся релиз свободного гипервизора Xen 4.11. По сравнению с прошлым выпуском в Xen 4.11 внесено 1206 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, AMD, Intel, Amazon, Google, Oracle, EPAM Systems, Huawei, DornerWorks и Qualcomm.

Ключевые изменения в Xen 4.11:

  • Продолжена работа по усовершенствованию ABI-интерфейса PVH, комбинирующего элементы режимов паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти. Гостевые системы в режиме PVH содержат меньше критичного кода по сравнению с PV и HVM, а интерфейс между операционной системой и гипервизором значительно проще и менее подвержен атакам.

    В новом выпуске добавлена экспериментальная поддержка PVH Dom0, активируемая при вызове Xen c опцией "dom0=pvh". До сих пор запуск в качестве Dom0 был возможен только для гостевых систем в режиме PV. Гостевые системы в режиме HVM требуют выполнения компонентов QEMU на стороне Dom0 для эмуляции оборудования, что не позволяет использовать их как Dom0. Гостевые системы PVH не требуют для своего выполнения компонентов, помимо гипервизора, поэтому они как и гостевые системы PV могут загружаться в условиях, когда не запущено других гостевых систем, и могут выполнять функции базового окружения Dom0. Применение PVH Dom0 существенно повышает безопасность конфигураций Xen, так как по сравнению с PV позволяет исключить при работе примерно 1.5 млн строк кода QEMU. Работа PVH Dom0 пока доступна только в Linux и FreeBSD;

  • В гипервизор добавлена встроенная поддержка эмуляции конфигурации PCI, которая ранее предоставлялась через внешний обработчик из QEMU;
  • Добавлена прослойка для обеспечения запуска немодифицированных паравиртуализированных гостевых систем (PV) в окружении PVH, что позволяет обеспечить работу старых гостевых систем в более безопасных окружениях, ограниченных режимом PVH;
  • Производительность планировщиков Credit1 и Credit2 оптимизирована для работы в условиях эксклюзивной и мягкой (soft-affinity) привязки виртуальных CPU (vCPU) к физическим ядрам CPU (pCPU);
  • Добавлены новые вызовы DMOP (Device Model Operation Hypercall) для работы консоли VGA при использовании QEMU, запущенном в режиме изоляции, позволяющем защититься от атак на гипервизор в случае компрометации компонентов QEMU;
  • На системах с процессорами на базе архитектуры Skylake и новее включена поддержка расширения MBA (Memory Bandwidth Allocation), позволяющего снизить негативное влияние на систему перегруженных виртуальных машин за счёт применения системы урезания ресурсов на основе выделенного бюджета;
  • В эмулятор x86 добавлена поддержка наборов инструкций Intel AVX и AVX2, а также AMD F16C, FMA4, FMA, XOP и 3DNow;
  • В систему привязки ресурсов для гостевых систем добавлена возможность маппинга таблиц доступа к памяти (Grant table) и серверных страниц IOREQ;
  • Для систем на базе архитектуры ARM переработана поддержка VGIC и проведён рефакторинг обработчиков таблиц страниц памяти, подсистем работы с памятью и поддержки платформ big.LITTLE для упрощения сопровождения кода. Добавлена поддержка интерфейсов PSCI 1.1 (Power State Coordination Interface) и SMCCC 1.1 (Secure Monitor Call Calling Conventions);
  • Добавлены механизмы для блокирования уязвимостей в механизме спекулятивного выполнения инструкций в процессорах: для защиты от уязвиомости Meltdown добавлен механизм XPTI (эквивалент добавленной в ядро Linux техники KPTI (Kernel Page Table Isolation). Для защиты от Spectre задействованы инструции IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), а для систем без их поддержки предложена техника Retpoline. Также добавлены методы для защиты от атак Spectre 4 и Lazy FP. Для управления включением методов защиты предложена новая опция spec-ctrl;
  • В будущих выпусках ожидается стабилизация PVH Dom0, поддержка проброса PCI-устройств в гостевые системы PVH и возможность сборки PV- и HVM-версий Xen.

  1. Главная ссылка к новости
  2. OpenNews: Уязвимости в гипервизоре Xen
  3. OpenNews: Первый выпуск XCP-NG, свободного варианта Citrix XenServer
  4. OpenNews: Релиз гипервизора Xen 4.10
  5. OpenNews: Проект Xen представил Unikraft для выполнения приложений поверх гипервизора
  6. OpenNews: Релиз гипервизора Xen 4.9
Обсуждение (34 +16) | Тип: Программы |
13.07.2018 Организация Linux Foundation учредила коалицию LF Energy (33 +16)
  Организация Linux Foundation объявила об образовании коалиции LF Energy, в рамках которой планируется развивать открытые проекты, связанные с энергетикой и охватывающие различные аспекты деятельности от создания адаптивных систем энергоснабжения до автоматизации процессов управления генерацией и передачей энергии. Инициативу поддержал RTE, крупнейший в Европе оператор электросетей, который передал под покровительство Linux Foundation и открыл исходные тексты трёх программных продуктов:
  • OperatorFabric - модульная система для автоматизации работы операторов энергосетей, систем водоснабжения и других коммунальных коммуникаций;
  • Let’s Coordinate - решение на базе OperatorFabric для координации работы систем энергоснабжения, организации взаимодействия служб и анализа информации о текущем состоянии инфраструктуры;
  • PowSyBl Framework - набор компонентов для построения высокопроизводительных вычислительных платформ, позволяющих моделировать и симулировать работу энергосетей;

Кроме того, Университет Вандербильта передал Linux Foundation код проекта RIAPS (Resilient Information Architecture Platform), в рамках которого подготовлена платформа, предоставляющая сервисы для создания эффективных распределённых приложений для умных сетей энегоснабжения (Smart Grid - RIAPS).

  1. Главная ссылка к новости
  2. OpenNews: Linux Foundation представил выпуск операционной системы OpenSwitch 2.3
  3. OpenNews: Intel и Linux Foundation представили Akraino Edge Stack
  4. OpenNews: OpenBMC, стек для создания BMC-прошивок, перешёл под крыло Linux Foundation
  5. OpenNews: Linux Foundation развивает новый гипервизор ACRN для встраиваемых устройств
  6. OpenNews: Linux Foundation представил платформу Hyperledger Sawtooth 1.0 на базе технологий блокчейн
Обсуждение (33 +16) | Тип: Программы |
13.07.2018 Выпуск сервера приложений NGINX Unit 1.3 (35 +9)
  Доступен выпуск сервера приложений NGINX Unit 1.3, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby и Go). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Проект пока находится на стадии бета-тестирования и не рекомендован для промышленного использования. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе прошлого выпуска.

В новой версии:

  • Добавлен параметр max_body_size для ограничения размера тела запроса;
  • Добавлены новые параметры для настройки таймаутов при установке HTTP-соединения;
    
          "settings": {
              "http": {
                  "header_read_timeout": 30,
                  "body_read_timeout": 30,
                  "send_timeout": 30,
                  "idle_timeout": 180,
                  "max_body_size": 8388608
              }
          },
    
  • В модуле для языка Ruby обеспечено автоматическое использование Bundler при наличии такой возможности;
  • В модуле для языка Go реализован интерфейс http.Flusher;
  • В содержимом полей в заголовках запросов разрешено использовать символы в кодировке UTF-8;
  • Устранены проблемы с обработкой ошибок при установке HTTP-соединений.

  1. Главная ссылка к новости
  2. OpenNews: Выпуск nginx 1.15.1
  3. OpenNews: Выпуск сервера приложений NGINX Unit 1.2
  4. OpenNews: Выпуск сервера приложений NGINX Unit 1.1
  5. OpenNews: Релиз nginx 1.14.0
  6. OpenNews: Первый стабильный релиз сервера приложений NGINX Unit
Обсуждение (35 +9) | Тип: Программы |
13.07.2018 В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации (50 +15)
  Администраторы репозитория NPM уведомили пользователей о компрометации пакетов eslint-scope и eslint-config-eslint, в которых поставлялся популярный анализатор JavaScript-кода, насчитывающий более 2 млн загрузок в неделю и 59 млн суммарных загрузок. В результате получения контроля за учётными данными мэйнтейнера eslint-scope злоумышленникам удалось опубликовать обновление, содержащее троянский код.

При выполнении операции установки пакета, с сайта pastebin.com загружался и запускался скрипт, который отправлял на внешний сервер содержимое файла ~/.npmrc, включающего токен для аутентификации в NPM. Данные отправлялись на серверы учёта статистики посещений "sstatic1.histats.com" и "c.statcounter.com" в составе параметра, указанного в HTTP-заголовке "Referer" (злоумышленники могли просмотреть захваченные токены через web-интерфейсы счётчиков посещений histats.com и statcounter.com).

Взлом учётной записи разработчика был произведён из-за использования одного и того же пароля на разных сайтах, на одном из которых произошла утечка базы пользователей. Сопоставив email разработчика злоумышленники смогли воспользоваться паролем для получения доступа к NPM. Троянская вставка присутствовала в версиях eslint-scope 3.7.2 и eslint-config-eslint 5.0.2.

По предварительным сведениям с момента публикации до блокировки вредоносного обновления (c 12:49 до 17:37 MSK 12 июля) злоумышленникам удалось получить токены для доступа к учётным записям примерно 4500 разработчиков. К счастью атака была оперативно пресечена и администрация NPM заблокировала все токены аутентификации, выданные до 17:30 (MSK) 12 июля. Пользователям NPM необходимо обновить свои токены повторно выполнив процедуру аутентификации на сайте npmjs.com. Для усиления защиты своих учётных записей разработчикам модулей рекомендовано включить двухфакторную аутентификацию. В промежуток времени с момента публикации вредоносного обновления до начала блокировки токенов достоверно подтверждённых попыток использования перехваченных токенов не зафиксировано.

Предполагается, что компрометация пакета eslint-scope, как правило используемого для отладки других NPM-пакетов разработчиками, была первым этапом внедрения червя, который мог использовать захваченные токены для внедрения вредоносного кода в новые модули. С учётом разветвлённой системы зависимостей в случае успеха атака могла иметь катастрофические последствия. Например, среди пользователей eslint-scope разработчики таких популярных проектов, как Yarn (48% всех загрузок в NPM), Babel (150 млн загрузок), jQuery (65 млн загрузок), CoffeeScript (50 млн загрузок). Данные пакеты используются как зависимости в тысячах других пакетов и проектов.

По счастливому стечению обстоятельств во вредоносном коде была допущена ошибка, которая приводила к сбою установки, если при определённых условиях поток для получения ответа на запрос к pastebin.com закрывался до окончания выполнения вызова eval(). Данная особенность сразу привлекла внимание пользователей пакета, которые начали разбирать код и менее чем через час после публикации вредоносного обновления отправили уведомление разработчикам.

  1. Главная ссылка к новости
  2. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  3. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
  4. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  5. OpenNews: Сбой антиспам-системы привёл к коллапсу в репозитории NPM
  6. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
Обсуждение (50 +15) | Тип: Проблемы безопасности |
12.07.2018 Релиз iptables 1.8.0 (30 +15)
  Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен iptables 1.8.0, новый значительный релиз инструментария для управления пакетным фильтром Linux.

Основные изменения:

  • Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова "-legacy", например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо "-compat" теперь заканчиваются на "-nft", например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда (например "iptables v1.8 (legacy)" или "iptables v1.8 (nf_tables)");
  • Дистрибутивам рекомендуется устанавливать по умолчанию классический фронтэнд для стабильных выпусков, а в экспериментальных версиях предлагать команды на базе nftables в качестве альтернативы c созданием симлинков iptables, ip6tables, iptables-restore и т.п., указывающих на xtables-nft-multi. В качестве плюсов применения варианта на базе nftables отмечается отсутствие необходимости применения опции "--wait" для решения проблем с одновременным запуском, поддержка мониторинга набора правил при помощи сторонних фоновых процессов, предоставление возможностей для отладки правил (xtables-monitor --trace в сочетании с iptables-действием TRACE) и возможность добавления/удаления правил не меняя внутреннее состояние таких критериев как ограничения и квоты;
  • Применяемый для IPv6 критерий (match) 'srh' теперь может применяться для сопоставления с прошлым, следующим и последним идентификатором сеанса (SID);
  • В действии (target) CONNMARK обеспечена поддержка операций битового сдвига для критериев restore-mark, set-mark и save-mark;
  • В DNAT теперь допустимо использовать сдвинутые диапазоны portmap (входящие обращения к портам (например, 5000-5100) теперь можно перенаправить в иной диапазон портов (2000-2100), в то время как раньше поддерживалось перенаправление только совпадающих диапазонов портов или нужно было перечислять по одному порту в правиле);
  • В бэкенд nf_tables добавлены новые команды:
    • xtables-monitor - отображает изменения в наборе правил и информацию о трассировке пакетов для отладки правил.
    • ebtables - функциональность для замены утилиты ebtables;
    • arptables - функциональность для замены утилиты arptables;
  • Добавлено семейство утилит 'translate' (ip6tables-translate, ip6tables-restore-translate, iptables-restore-translate, iptables-translate) для преобразования синтаксиса iptables в родные наборы правил nftables, воспринимаемые утилитой nft.

  1. Главная ссылка к новости
  2. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  3. OpenNews: Релиз iptables 1.6.0
  4. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  5. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  6. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
Обсуждение (30 +15) | Тип: Программы |
12.07.2018 Гвидо ван Россум решил отстраниться от руководства проектом Python (244 +21)
  Гвидо ван Россум (Guido van Rossum) сообщил о намерении покинуть пост великодушного пожизненного диктатора (BDFL) проекта Python и полностью отстраниться от участия в процессах принятия решений. Основной причиной ухода является нежелание больше тратить своё время на баталии при принятии PEP-спецификаций (в январе Гвидо исполнилось 62 года и он устал от сложившегося темпа работы).

Гвидо продолжит участие в проекте, но на позиции обычного core-разработчика и наставника. Он также не намерен назначать преемника на пост BDFL и поэтому предложил другим разработчикам обсудить возможность перехода на новую модель управления. До реструктуризации модели управления пост BDFL сохраняется, но формально Гвидо теперь находится в бессрочном отпуске, а управление будет сосредоточено в руках сообщества, которое должно будет выбрать новую модель управления.

Решение Гвидо не скажется на ежедневной работе в системе отслеживания ошибок и активности на GitHub, так как он мало пересекался с этой деятельностью. Основными вопросами, которые предстоит решить сообществу, станет выработка новых процессов для принятия PEP-спецификаций, включения участников в группу core-разработчиков с правом коммита, а также воздействия на нарушителей кодекса поведения проекта (Code of Conduct).

  1. Главная ссылка к новости
  2. OpenNews: Музей компьютерной истории наградил Гвидо ван Россума
  3. OpenNews: Разработка Python переведена на GitHub
  4. OpenNews: Поддержка Python 2.7 продлена до 2020 года
  5. OpenNews: Гвидо ван Россум предложил на несколько лет заморозить возможности языка Python
  6. OpenNews: Увидел свет язык программирования Python 3.7
Обсуждение (244 +21) | Тип: Тема для размышления |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor