Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлены структуры LazyCell и LazyLock, позволяющие отложить инициализацию данных до первого доступа (вызов функции инициализации осуществляется при попытке доступа к значению). LazyLock отличается от LazyCell поддержкой средств синхронизации для использования в многопоточном коде.

  
     use std::sync::LazyLock;
     use std::time::Instant;
  
     static LAZY_TIME: LazyLock<Instant> = LazyLock::new(Instant::now);
  
     fn main() {
         let start = Instant::now();
         std::thread::scope(|s| {
             s.spawn(|| {
                 println!("Thread lazy time is {:?}", LAZY_TIME.duration_since(start));
             });
             println!("Main lazy time is {:?}", LAZY_TIME.duration_since(start));
         });
     }
  

• В компиляторе rustc стабилизирована опция "--check-cfg", которая задействована в пакетном менеджере для проверки всех имён и значений, задаваемых через cfg, включая имена из Cargo.toml.

  
     fn main() {
         println!("Hello, world!");
  
         #[cfg(feature = "crayon")]
         rayon::join(
             || println!("Hello, Thing One!"),
             || println!("Hello, Thing Two!"),
         );
     }
  
     warning: unexpected `cfg` condition value: `crayon`
      --> src/main.rs:4:11
       |
     4 |     #[cfg(feature = "crayon")]
       |           ^^^^^^^^^^--------
       |                     |
       |                     help: there is a expected value with a similar name: `"rayon"`
  

• В шаблонах разрешено указание диапазонов в форматах "a..b" и "..b", которые аналогичны использованию выражений Range и RangeTo.

  
     pub fn size_prefix(n: u32) -> &'static str {
         const K: u32 = 10u32.pow(3);
         const M: u32 = 10u32.pow(6);
         const G: u32 = 10u32.pow(9);
         match n {
             ..K => "",
             K..M => "k",
             M..G => "M",
             G.. => "G",
         }
  }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • impl Default for Rc<CStr>
  • impl Default for Rc<str>
  • impl Default for Rc<[T]>
  • impl Default for Arc<str>
  • impl Default for Arc<CStr>
  • impl Default for Arc<[T]>
  • impl IntoIterator for Box<[T]>
  • impl FromIterator for Box<str>
  • impl FromIterator<char> for Box<str>
  • LazyCell
  • LazyLock
  • Duration::div_duration_f32
  • Duration::div_duration_f64
  • Option::take_if
  • Seek::seek_relative
  • BinaryHeap::as_slice
  • NonNull::offset
  • NonNull::byte_offset
  • NonNull::add
  • NonNull::byte_add
  • NonNull::sub
  • NonNull::byte_sub
  • NonNull::offset_from
  • NonNull::byte_offset_from
  • NonNull::read
  • NonNull::read_volatile
  • NonNull::read_unaligned
  • NonNull::write
  • NonNull::write_volatile
  • NonNull::write_unaligned
  • NonNull::write_bytes
  • NonNull::copy_to
  • NonNull::copy_to_nonoverlapping
  • NonNull::copy_from
  • NonNull::copy_from_nonoverlapping
  • NonNull::replace
  • NonNull::swap
  • NonNull::drop_in_place
  • NonNull::align_offset
  • <[T]>::split_at_checked
  • <[T]>::split_at_mut_checked
  • str::split_at_checked
  • str::split_at_mut_checked
  • str::trim_ascii
  • str::trim_ascii_start
  • str::trim_ascii_end
  • <[u8]>::trim_ascii
  • <[u8]>::trim_ascii_start
  • <[u8]>::trim_ascii_end
  • Ipv4Addr::BITS
  • Ipv4Addr::to_bits
  • Ipv4Addr::from_bits
  • Ipv6Addr::BITS
  • Ipv6Addr::to_bits
  • Ipv6Addr::from_bits
  • Vec::<[T; N]>::into_flattened
  • <[[ T; N]]>::as_flattened
  • <[[ T; N]]>::as_flattened_mut
• Признак "const", определяющий возможность использования в любом контексте вместо констант, применён в функциях:
  • <[T]>::last_chunk
  • BinaryHeap::new
• Реализован третий уровень поддержки для платформы x86_64-unknown-linux-none. Третий уровень подразумевает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.

1. OpenNews: Выпуск Rust 1.79. Создан консорциум для разработки высоконадёжных систем на Rust
2. OpenNews: В каждом пятом пакете на языке Rust используется ключевое слово unsafe
3. OpenNews: Выпуск Rust 1.78. Язык Borgo, сочетающий сильные стороны Go и Rust
4. OpenNews: Движок Servo прошёл тесты Acid2. Сrash Reporter в Firefox переписан на Rust

В параметрах ключа указывалось, что он не заслуживает доверия и его не следует поставлять в своих продуктах. Подразумевалось, что данный тестовый ключ следует заменить на собственный, но производители не обратили внимание на предупреждение и использовали в итоговых прошивках типовой общий ключ, отправляемый всем партнёрам и клиентам компании AMI.

Закрытая часть тестового ключа AMI, необходимая для создания цифровых подписей, оказалась доступна публично после утечки информации у одного из производителей оборудования, сотрудник которого по ошибке разместил в публичном репозитории на GitHub код, содержащий данный ключ. Закрытый ключ был размещён в зашифрованном файле, при шифровании которого использовался простой 4-символьный пароль, который удалось легко подобрать методом перебора.

Ключ платформы используется в качестве корня доверия для заверения БД с ключами для Secure Boot. Получение закрытой части ключа платформы приводит к компрометации всей цепочки доверия, задействованной при проверке валидности компонентов загружаемой системы - зная ключ платформы можно обойти защиту Secure Boot и организовать подстановку при загрузке собственных компонентов через манипуляцию ключом KEK (Key Exchange Key) и базами данных "db" (Signature Database) и "dbx" (Forbidden Signature Database). KEK отвечает за создание цепочки доверия между прошивкой и операционной системой, "db" содержит сертификаты и подписи для загрузчика и сторонних компонентов UEFI, а "dbx" включает отозванные подписи известных вредоносных компонентов.

Для совершения атаки достаточно сгенерировать новые ключи и сертификаты для KEK и db, после чего использовать попавший в открытый доступ тестовый ключ платформы для загрузки в UEFI-прошивку созданного KEK-сертификата. Загрузив в прошивку KEK-сертификат, можно использовать связанный с ним закрытый ключ для загрузки в БД db нового сертификата. После загрузки сертификата db, связанный с ним закрытый ключ может применяться для заверения загружаемых EFI-компонентов.

   openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY KEK/" -out KEK.crt
   openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY db/" -out db.crt

   efi-updatevar -a -c KEK.crt -k PK.key KEK
   efi-updatevar -a -c db.crt -k KEK.key db
   sbsign --key db.key --cert db.crt --output rogue.efi.signed rogue.efi

Для проверки корректности ключа платформы достаточно запустить утилиту "efi-readvar -v PK" из пакета efitools и убедиться, что ключ платформы не является тестовым:

   efi-readvar -v PK

   Variable PK, length 862
   PK: List 0, type X509
       Signature 0, size 834, owner 26dc4851-195f-4ae1-9a19-fbf883bbb35e
           Subject:
               CN=DO NOT TRUST - AMI Test PK
           Issuer:
               CN=DO NOT TRUST - AMI Test PK

1. OpenNews: 67% публичных серверов Apache Superset используют ключ доступа из примера настроек
2. OpenNews: PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки
3. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
4. OpenNews: Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel
5. OpenNews: Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL

Основные изменения в Linux Mint 22:

• Пользовательское окружение Cinnamon обновлено до выпуска 6.2, обзор изменений в котором был предложен в отдельном анонсе.
• Для файлового менеджера Nemo предложен инструмент "Layout Editor", позволяющий на свой вкус настроить размещение действий в меню. Поддерживается создание вложенных подменю, привязка или переопределение пиктограмм, использование разделителей, переименование элементов и компоновка в режиме drag&drop. "Действия" представляют собой дополнения к файловому менеджеру Nemo, позволяющие подключить обработчики, вызываемые через контекстное меню и загружаемые по аналогии с апплетами и темами оформления.
• Оптимизирована установка языковых пакетов. После завершения установки обеспечено удаление лишних языковых пакетов для высвобождения занимаемого не используемыми языковыми пакетами дискового пространства. После завершения установки оставляются только пакеты для английского и дополнительно выбранного языка. В установочном iso-образе поставляются языковые пакеты только для 8 языков, включая английский и русский, а пакеты для остальных языков при необходимости загружаются динамически при наличии сетевого соединения на стадии установки.
• Осуществлён переход на пакетную базу Ubuntu 24.04 и ядро Linux 6.8. Настройки активных репозиториев переведены на использование формата deb822, поддержка которого добавлена в графический интерфейс управления пакетами Software Sources.
• По умолчанию задействован звуковой сервер Pipewire.
• В темах оформления обеспечена поддержка GTK4.
• Из-за перевода некоторых штатных GNOME-приложений на libAdwaita и прекращения поддержки системной темы Mint, приложения Celluloid, GNOME Calculator, Simple Scan, Baobab, System Monitor, GNOME Calendar, File Roller и Zenity заменены в Linux Mint 22 на более ранние версии, использующие GTK3, а приложение GNOME Font Viewer удалено из дистрибутива.
• Добавлено XApp-приложение "GNOME Online Accounts GTK", представляющее интерфейс для управления подключением к облачным сервисам, таким как Google Drive, и получения доступа к сохранённым там данным. В отличие от штатного GNOME Online Account новое приложение доступно в вариантах для GTK4 и GTK3 (используются разные версии библиотеки libgoa), а также адаптировано для работы в различных дистрибутивах и пользовательских окружениях, например, работоспособно не только в GNOME, но и в Cinnamon, Budgie, Unity, MATE и Xfce.
• В интерфейсе установки программ Software Manager по умолчанию скрыты Flatpak-пакеты, не верифицированные в каталоге FlatHub, т.е. формируемые сторонними энтузиастами (например, пакет Chrome во FlatHub формирует неизвестный под ником refi64). В настоящее время во FlatHub примерно 42% пакетов помечены как верифицированные, т.е. публикуемые основными проектами или лицами, связанными с ними. Показ неверифицированных пакетов можно вернуть в настройках, но они будут явно помечены как не заслуживающие доверия и иметь нулевой рейтинг.

  Из изменений в Software Manager также отмечается значительное сокращение времени запуска - основной экран со списком категорий рекомендованных приложений теперь появляется почти мгновенно. Кроме того, в приложении улучшено выполнение в многопоточном режиме, добавлена новая страница с настройками и реализована возможность показа слайдшоу в области баннера.

  
• После сворачивания разработки IRC-клиента Hexchat проект перешёл на использование сети Matrix, для работы с которой в состав добавлен Matrix-клиент Element, реализованный в виде самодостаточного web-приложения.
• Сохранена поставка классического deb-пакета с почтовым клиентом Thunderbird, который в Ubuntu 24.04 был заменён на snap-пакет.
• В менеджер фотографий Pix и инструментарий для генерации миниатюр добавлена поддержка формата JPEG XL.
• В репозиторий добавлен новый генератор миниатюр xapp-thumbnailer-gimp для формата изображений, используемого в GIMP.
• Все приложения, использующие библиотеку libsoup2 для работы с протоколом HTTP, переведены на ветку libsoup3.
• В загрузочной заставке Plymouth и экране входа в систему Slick-Greeter улучшена поддержка экранов с высокой плотностью пикселей (HiDPI).
• В приложении для ведения заметок Stick предоставлена возможность настройки позиции по умолчанию при создании новой заметки. Добавлена возможность создания заметки из командной строки.
• В текстовый редактор Xed в меню Edit добавлена кнопка "Duplicate" и комбинация клавиш Ctrl+Shift+D для дублирования выделенного текста. В настройки добавлена опция, определяющая выходить или нет из программы при закрытии последней вкладки.
• В секции со списком недавно открытых файлов число элементов увеличено с 5 до 10.
• В программе для резервного копирования Timeshift реализован запрос подтверждения операции при попытке удаления снапшота.
• В web-приложениях, создаваемых через WebApp Manager и запускаемых в Firefox, реализовано адаптивное отображение меню и панели инструментов, которые скрыты по умолчанию, но становятся видимыми при открытии вкладки.
• В Xfce предоставлена возможность настройки размера символьных и цветных пиктограмм в системном лотке
• В ISO-образе реализована совместимость с FAT32 в режиме FST (File System Transposition).

1. OpenNews: Релиз дистрибутива Linux Mint 21.3
2. OpenNews: Linux Mint развивает новое приложение для чата после сворачивания IRC-клиента HexChat
3. OpenNews: Выпуск дистрибутива Linux Mint Debian Edition 6
4. OpenNews: Релиз дистрибутива Linux Mint 21
5. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS

Для трансляции задействован компилятор SWC (Speedy Web Compiler), написанный на языке Rust. Для того, чтобы не добавлять дополнительные зависимости к Node.js, задействовано представление компилятора swc/wasm-typescript, поставляемое в промежуточном коде WebAssembly и уже применяемое для тех же целей в платформе Deno. Изменение добавлено в ответ на многочисленные просьбы пользователей реализовать возможность запуска кода на TypeScript без установки внешних загрузчиков и дополнительных зависимостей. В конкурирующих платформах Deno и Bun поддержка TypeScript была реализована изначально.

Ключевым отличием TypeScript от JavaScript является явное определение типов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации, упрощает отладку и делает код более читаемым и простым для доработки и поддержки сторонними разработчиками. В добавленной в Node.js реализации данные возможности TypeScript теряются, так как в процессе трансляции исходных текстов в JavaScript проверка типов не осуществляется.

1. OpenNews: Доступна JavaScript-платформа Node.js 22.0.0
2. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
3. OpenNews: Фреймворк Turbo прекращает использование языка TypeScript
4. OpenNews: Доступен язык TypeScript 2.0, продвигаемый Microsoft в качестве дополнения к JavaScript
5. OpenNews: Автор Node.js представил защищённую JavaScript-платформу Deno 1.0

Возможность доступа к коммитам по хэшу во всех связанных форками репозиториях вызвано тем, что GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в основном репозитории любой коммит из любого форка, явно указав его хэш в URL. Например, пользователь может создать форк репозитория "/torvalds/linux" и добавить в него любой код, после чего этот код станет доступен по прямой хэш-ссылке в репозитории "/torvalds/linux". В случае удаления репозитория, если имеется хотя бы один публичных форк, данные из удалённого репозитория остаются доступны по хэшу коммита.

Предлагается три сценария, представляющих угрозу безопасности:

• Первый сценарий затрагивает ситуации, когда разработчики создают форки публичных репозиториев, добавляют в них изменения, экспериментируют, а затем удаляют. Помимо утечки кода, который не предназначен для публикации, опасность представляет ситуация, когда в экспериментах в код файлов с примерами добавляются рабочие ключи доступа к API. В этом случае атакующий может получить доступ к изменению по хэшу коммита, адресуемому после удаления форка через основной репозиторий. Например, предложенным способом исследователи смогли определить 30 рабочих ключей доступа к API, изучив три связанных с машинным обучением репозитория с большим числом форков.
• Второй сценарий касается возможности получения доступа к данным после удаления первичного репозитория, если для этого репозитория были созданы форки. В качестве примера приводится случай, когда в публичном репозитории одной компании были случайно опубликованы закрытые ключи одного из сотрудников, позволяющие получить полный доступ ко всем репозиториям данной компании на GitHub. Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.
  
  
• Третий сценарий связан с моделью разработки проектов, которые развивают базовую открытую версию в публичном репозитории и расширенную проприетарную версию в приватном. Если компания изначально развивала проект в приватном репозитории, а затем после открытия кода проекта перевела его в разряд публичных, но продолжила разработку закрытой внутренней или расширенной версии в приватном форке, имеется возможность доступа к добавленным в приватный форк изменениям по хэшам коммитов через публичный репозиторий. При этом доступ возможен только к изменениям, добавленным в приватный форк до перевода основного репозитория в разряд публичных (хранилища приватных и публичных репозиториев разделяются, но, когда два репозитория были приватными, коммиты хранились совместно, поэтому остались в репозитории после его перевода в разряд публичных).

Трюк, позволяющий получить доступ к коммитам в форках репозитория через ссылку на основной репозиторий, известен уже много лет и периодически используется для различных шуток и ввода в заблуждение разработчиков (например, шутники периодически подобным образом создают видимость подстановки бэкдоров в репозиторий с ядром Linux на GitHub). В качестве меры для противодействия подобным шуткам GitHub добавил предупреждение о том, что запрошенный коммит не относится к веткам в текущем репозитории и возможно принадлежит форку. При этом сама возможность доступа к коммитам по хэшу в любых связанных форками репозиториях рассматривалась как безобидная, так как для обращения к данным в удалённых и приватных форках требуется знание хэша коммита.

Подобрать хэш коммита, формируемый на базе алгоритма SHA-1 и включающий 32 символа, не реально, но оказалось, что это и не требуется. GitHub поддерживает сокращённую форму обращения к коммитам, позволяющую адресовать изменения по нескольким первым символам хэша, если отсутствуют пересечения с другими коммитами. Минимальное число символов для сокращённой адресации хэша - 4, что соответствует перебору всего 65 тысяч комбинаций (16^4). При этом перебор может и не потребоваться, так как API GitHub позволяет подключать обработчики для перехвата событий, которые используются сторонними проектами, ведущими архив с полным логом всех операций, в котором информация о хэшах коммитов остаётся и после удаления репозиториев.

1. OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
2. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
3. OpenNews: Через уязвимость в GitHub от имени Линуса Торвальдса создан фиктивный репозиторий linux-ng
4. OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise
5. OpenNews: Трюк с определением персональных данных через SSH

Миссия проекта охватывает такие ценности, как важность сообщества, приверженность модели разработки на основе открытого кода, соблюдение конфиденциальности, открытые и прозрачные методы управления. Ранее действовавший управляющий комитет OpenSSL Management Committee (OMC) упразднён, а принятие решений возложено на совместную работу советов директоров, избираемых отдельно в OpenSSL Foundation и OpenSSL Corporation. Обе организации имеют по 10 голосующих участников.

Кроме того, в OpenSSL Foundation и OpenSSL Corporation из представителей сообщества и заинтересованных коммерческих компаний избираются надзорные комитеты - Technical Advisory Committee (TAC) и Business Advisory Committee (BAC), которые могут напрямую представлять интересы сообщества в разработке планов. Комитет BAC будет сформирован в конце октября 2024 года, а TAC - в конце апреля 2025 года.

Проект отныне не ограничивается только библиотекой OpenSSL и открыт для других связанных с криптографией разработок. Первыми двумя присоединившимися проектами стали библиотеки Bouncy Castle (крипто-API для API Java и C#) и cryptlib (высокоуровневый API для упрощения добавления шифрования и аутентификации в программы), которые теперь будут развиваться под покровительством OpenSSL Foundation и OpenSSL Corporation.

1. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.3.0
2. OpenNews: Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL
3. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
4. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
5. OpenNews: Проект OpenSSL переходит на лицензию Apache и меняет схему нумерации выпусков

Основные изменения:

• Ядро приложения, связывающее все компоненты, переведено на использование цикла обработки событий в неблокирующем режиме, реализованного на основе библиотеки libuv, применяемой в таких проектах, как Node.js, Knot DNS, H2O, Luvit и MoarVM. В ветке 9.16 на libuv был переведён менеджер сетевых соединений в BIND, а теперь и части, используемые для взаимодействия внутренних компонентов инфраструктуры, а также длительно выполняемые в отдельных потоках вспомогательные обработчики (threadpool), используемые для верификации DNSSEC, трансфера зон, поддержания каталога зон и обработки RPZ (Response Policy Zone). Для сборки BIND теперь требуется как минимум выпуск libuv 1.34.0.
• Предложен новый бэкенд для работы с БД - "QP trie", который пришёл на смену RBTDB (Red-Black Tree Database) и задействован по умолчанию для хранения кэша и базы DNS-зон. Для многопоточной работы в QP trie задействована библиотека liburcu с реализацией в пространстве пользователя структур, не использующих блокировки, благодаря применению механизма синхронизации RCU (read-copy-update) и метода безопасного освобождения памяти QSBR (Quiescent-State-Based Reclamation).
• Задействован обновлённый механизм сжатия доменных имён, использующий более компактный метод кодирования имён с большим числом меток.
• Расширены возможности DNSSEC: "dnssec-policy" разрешено применять для управления подписанными зонами (опция auto-dnssec удалена); при использовании "inline-signing" добавлена поддержка RFC 8901 (DNSSEC multi-signer model 2); возобновлена поддержка PKCS#11 на базе OpenSSL 3.0.0 Engine API; в "dnssec-policy" добавлена поддержка HSM (Hardware Security Module).
• Добавлена поддержка второй версии каталога зон (Catalog Zone, RFC 9432), упрощающего поддержание вторичных DNS-серверов за счёт того, что вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача каталога вторичных зон. После настройки передачи каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, автоматически создаются на вторичном сервере без необходимости правки файлов конфигурации.
• Добавлена поддержка механизма расширенных ошибок (Extended DNS Errors, RFC 8914), позволяющего возвращать дополнительную информацию о причине ошибки, возникшей при выполнении DNS-запроса.
• Реализация технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), применяемых для шифрования запросов клиентов к резолверу и шифрованного обмена данными между серверами, переведена на использование унифицированного транспорта.
• Добавлена возможность использования протокола PROXYv2 со всеми транспортами, поддерживаемыми в BIND. Протокол PROXY позволяет передавать информацию о соединении для сохранения сведений об исходном IP-адресе и номере порта при пробросе DNS-запросов через другие бэкенды, балансировщики нагрузки и прокси-серверы.
• Добавлена поддержка режима USDT (User Statically Defined Tracing), дающего возможность выполнять трассировку приложения при помощи команды perf, не создавая дополнительные накладные расходы, когда трассировка отключена.
• В собираемой статистике реализовано отражения информации о незавершённых входящих операциях передачи зон.
• Проведена работа по сокращению задержек, уменьшению потребления памяти и снижению нагрузки на CPU при резолвинге, работе DNS-over-TLS и формировании ответов по UDP и TCP.
  
  
  
  
  
  
• Устранены 4 уязвимости, приводящие к аварийному завершению, излишней нагрузке на CPU, замедлению работы или проблемам со стабильностью.

1. OpenNews: Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC
2. OpenNews: DNS-сервер Trust-DNS переименован в Hickory и будет задействован в инфраструктуре Let's Encrypt
3. OpenNews: Выпуск DNS-сервера KnotDNS 3.3.0 с поддержкой DNS поверх QUIC
4. OpenNews: Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
5. OpenNews: Выпуск PowerDNS Authoritative Server 4.7

Основные изменения в новых выпусках hostapd и wpa_supplicant:

• Добавлена начальная поддержка Wi-Fi 7 (EHT/IEEE 802.11be) и улучшена поддержка Wi-Fi 6 (HE/IEEE 802.11ax).
• Добавлена поддержка третьей версии протокола DPP (Device Provisioning Protocol), в обиходе известного как "Wi-Fi Easy Connect", а также предоставлена возможность передачи параметров с настройками Wi-Fi при помощи DPP. Протокол DPP предоставляет возможность упрощённой настройки беспроводных устройств без экранного интерфейса, используя другое более продвинутое устройство, уже подключенное к беспроводной сети. DPP основывается на применении аутентификации по открытым ключам, например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе и кодирующего открытый ключ.
• Добавлена поддержка изменений API, предложенных в ветке криптографической библиотеки OpenSSL 3.0.
• В реализации протоколов аутентификации EAP-SIM (Extensible Authentication Protocol - Subscriber Identity Module) и EAP-AKA (Extensible Authentication Protocol - Authentication and Key Agreement), появилась поддержка механизма обеспечения конфиденциальности идентификатора абонента мобильной сети, исключающего раскрытие IMSI при подключении к точке доступа.
• Добавлена поддержка режимов работы SAE AKM (Simultaneous Authentication of Equals - Authentication and Key Management) с переменным размером ключей.
• Добавлена поддержка варианта AKM (Authentication and Key Management) на базе хэшей SHA384.
• В реализации механизма PASN (Pre Association Security Negotiation), применяемого для установки защищённого соединения и защиты обмена управляющими кадрами на ранней стадии подключения, обеспечена поддержка технологии "secure ranging" для безопасного определения расстояния между двумя Wi-Fi устройствами.
• Добавлена поддержка механизма USD (Unsynchronized Service Discovery), упрощающего обнаружение сервисов беспроводными устройствами.
• Добавлена поддержка явной защиты SSID при четырёхэтапном согласовании подключения. Защита включается при помощи опции "ssid_protection=1" и блокирует уязвимость CVE-2023-52424, позволяющую организовать подключение к менее защищённой беспроводной сети.
• Изменения, специфичные для hostapd:
  • Добавлена поддержка фонового обнаружения помех от радарных систем, работающих в тех же частотных диапазонах (при обнаружении осуществляется переключение на другие частоты). Также добавлена поддержка механизма CAC (Channel Availability Check), предназначенного для прослушивания канала перед использованием с целью проверки его занятости радарной системой.
  • В реализации метода согласования соединений SAE (Simultaneous Authentication of Equals) появилась возможность запроса пароля у RADIUS-сервера.
  • Добавлена поддержка проверок ACL (Access-Control List) и PSK (Pre-Shared Key) с использованием протокола RADIUS во время согласования соединения (wpa_psk_radius=3).
  • В реализации механизма ACS (Automatic Channel Selection) при выборе используемого канала обеспечен учёт пропускной способности и типов каналов.
  • Расширена поддержка использования на одной точке доступа нескольких идентификаторов BSSID (Basic Service Set Identifier) для обеспечения работы виртуальных беспроводных сетей.
  • Добавлена начальная поддержка использования TLS для шифрования обращений по протоколу RADIUS.
• Изменения, специфичные для wpa_supplicant:
  • В реализации стандарта MACsec (IEEE 802.1AE), предоставляющего средства для защиты канала передачи данных, предоставлена возможность использования набора шифров GCM-AES-256 и добавлена поддержка аппаратного ускорения через вынос операций на сторону сетевого адаптера.
  • Для TLSv1.3 улучшена поддержка EAP-TLS.
  • Усилена защита от DoS-атак при использовании PMF (Protected Management Frames).
  • Улучшен роуминг между AKM (Authentication and Key Management) при выборе SME/BSS (Service Management Entity/Basic Service Set) -драйвером.
  • Предоставлена возможность использования механизма PASN (Protected Access Secure Negotiation) с внешними программами.
  • Добавлена поддержка использования заранее сгенерированных MAC-адресов (mac_addr=3) вместо генерации случайного MAC для каждой сети.
  • Включено по умолчанию использовании второй фазы аутентификации (phase2_auth=1) для протокола EAP-PEAP, подразумевающей аутентификацию клиента внутри защищённого туннеля.
  • Расширена поддержка технологии MSCS (Multi-Streaming Channel Switching), позволяющей устройству переключаться между несколькими каналами.
  • Расширена поддержка технологии SCS (Spatial Channel Switching) для приоритетной обработки важного трафика при использовании QoS.

1. OpenNews: Проблемы, приводящие к обходу аутентификации Wi-Fi в IWD и wpa_supplicant
2. OpenNews: Выпуск Wifibox 0.12, окружения для использования WiFi-драйверов Linux во FreeBSD
3. OpenNews: Выпуск IWD 2.0, пакета для обеспечения подключения к Wi-Fi в Linux
4. OpenNews: Выпуск hostapd и wpa_supplicant 2.10
5. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.48.0

Компания Mozilla активировала блокировку сторонних Cookie по умолчанию в выпуске Firefox 69, сформированном в 2019 году. В 2020 году по умолчанию началась блокировка сторонних Cookie в браузере Safari. Компания Google опубликовала первые намерения о прекращении поддержки сторонних Cookie в 2019 году и планировала реализовать отключение до 2022 года, но затем сдвинула срок прекращения поддержки до середины 2023 года, потом перенесла на четвёртый квартал 2024 года, а теперь вообще отменила данный план.

План прекращения поддержки сторонних Cookie отменён в связи с негативным влиянием на сложившуюся экосистему интернет-рекламы, позволяющую авторам сайтов бесплатно распространять контент. Несмотря на многолетние усилия Google индустрия интернет-рекламы оказалась не готова к замене отслеживающих Cookie на новые специализированные API, учитывающие потребность пользователей в конфиденциальности, такие как FedCM (Federated Credential Management, позволяет создавать объединённые сервисы идентификации), Private State Tokens (позволяет разделять пользователей без использования межсайтовых идентификаторов), Topics (позволяет ранжировать пользователей по группам интересов), Protected Audience (таргетинг и изучение аудитории) и Attribution Reporting (оценка эффективности рекламы).

Связанные с Cookie изменения продвигаются в рамках инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Ранее попытки внедрения в Chrome замен отслеживающим Cookie вызвали сопротивление в сообществе и критику, связанную с тем, что идущие на смену отслеживающим Cookie методы не решают всех проблем и создаёт новые риски, такие как создание условий для дискриминации пользователей и появление дополнительного фактора для скрытой идентификации и отслеживания перемещений пользователя. На днях правозащитная организация EFF объявила о включении в последнем обновлении браузерного дополнения Privacy Badger средств для блокирования возможностей по отслеживанию пользователей, основанных на использовании API, развиваемых в рамках инициативы Privacy Sandbox.

Дополнительно можно отметить упомянутый в анонсе Google план по добавлению в режим инкогнито в Chrome возможности для скрытия IP-адреса пользователя от владельцев сайтов, реализуемый через отправку трафика не напрямую, а через прокси-сервер. При использовании нового режима целевой сервер будет видеть в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN. Для анонимизации запроса упоминается возможность проброса запроса последовательно через несколько прокси. В этом случае информация об IP-адресе клиента будет известна только первому прокси, а второй прокси в цепочке будет видеть адрес первого прокси.

1. OpenNews: EFF представил Privacy Badger 1.0 для защиты от отслеживания действий пользователя в Web
2. OpenNews: В ночных сборках Firefox тестируют автозакрытие запросов использования Cookie
3. OpenNews: Google отложил прекращение поддержки сторонних Cookie в Chrome
4. OpenNews: В Firefox по умолчанию включён режим полной изоляции Cookie
5. OpenNews: Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie

Из реализованных в Glibc 2.40 улучшений можно отметить:

• В заголовочный файл math.h добавлены новые экспоненциальные и логарифмические функции, определённые в стандарте C23: exp2m1, exp10m1.log2p1, log10p1 и logp1. Функции доступны в вариантах для типов float, double, long double, _FloatN и _FloatNx.
• Добавлен макрос _ISOC23_SOURCE, определяющий использование возможностей, предложенных в стандарте C23 (в настоящее время в Glibc реализованы лишь часть возможностей C23). Использование C23 также можно включить при компиляции через указание в GCC опций -std=c23, -std=gnu23, -std=c2x или -std=gnu2x.
• Добавлена настройка "glibc.rtld.enable_secure", позволяющая при проведении тестирования запускать программу так, как если бы она имела флаг смены идентификатора пользователя (setuid).
• На платформе Linux заголовочный файл epoll.h обновлён для поддержки новых ioctl и структур epoll, появившихся в ядре Linux 6.9.
• Функциональность для выявления возможных переполнений буфера и связанных с безопасностью ошибок во время выполнения функций работы со строками и управления памятью ("_FORTIFY_SOURCE") адаптирована для сборки Glibc при помощи компилятора Clang.
• В библиотеке с векторными математическими функциями (libmvec) предложены реализации функций acosh, asinh, atanh, cbrt, cosh, erf, erfc, hypot, pow, sinh и tanh для архитектуры Aarch64.
• На системах x86 добавлена настройка "x86_memset_non_temporal_threshold", позволяющая установить размер буфера, после которого реализация memset будет использовать "non-temporal store". Это позволяет исключить вытеснение данных из кеша процессора при заполнении буферов больших размеров.
• Макросы в заголовочном файле stdbit.h, работающие с различными типами (type-generic), при использовании GCC 14 переведены на использование встроенных функций __builtin_stdc_bit_ceil для поддержки операндов с типами __int128 и _BitInt(N).
• Поля с эпохальным счётчиком времени в структурах lastlog, utmp и utmpx переведены с использования 32-разрядного знакового типа на беззнаковый тип, что позволяет продлить максимальное адресуемое счётчиком время с 2038 года до 2106 года.
• Устранены уязвимости:
  • CVE-2024-2961 - переполнение буфера при преобразовании специально оформленных строк в кодировке ISO-2022-CN-EXT функцией iconv(). На практике уязвимость может быть использована для удалённой атаки на PHP-приложения, приводящей к выполнению кода.
  • CVE-2024-33599 - переполнение буфера в коде для работы с кэшем netgroup в процессе nscd (Name Service Cache Daemon). Уязвимость может быть эксплуатирована через отправку клиентом специально оформленного запроса.
  • CVE-2024-33600 - разыменование нулевого указателя в процессе nscd, которое может привести к аварийному завершению при обработке определённых запросов.
  • CVE-2024-33601 - ошибка при работке с кэшем netgroup может привести к аварийному завершению процесса nscd из-за сбоя при выделении памяти.
  • CVE-2024-33602 - повреждение памяти при работе с кэшем netgroup в процессе nscd.
  1. OpenNews: Уязвимость в Glibc, эксплуатируемая через скрипты на PHP
  2. OpenNews: Выпуск системной библиотеки Glibc 2.39 и набора утилит GNU Binutils 2.42
  3. OpenNews: Уязвимость в glibc, позволяющая получить root-доступ в системе
  4. OpenNews: Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
  5. OpenNews: Для избавления Glibc от проблемы 2038 года предложено прекратить использование utmp

Участники проекта GNOME выразили сомнение, что уставу организации GNOME Foundation соответствуют действия за закрытыми дверями без информирования сообщества и без обеспечения должной прозрачности процессов принятия решений. По мнению некоторых участников, голосовавших за Сонни, они должны знать почему он был отстранён, на каком основании и кто голосовал за это решение. Также отмечается, что продемонстрированный способ рассмотрения жалобы на нарушение кодекса поведения не типичен и, вероятно, жалоба использована лишь как повод для отстранения Сонни Пирса. Например, возникают вопросы, почему некоторые сопровождающие регулярно грубят другим участникам в обсуждениях, но не исключаются из сообщества, в то время как одной жалобы на Сонни оказалось достаточно для его удаления.

Роберт Маккуин (Robert McQueen), президент GNOME Foundation, пояснил, что произошедшее является беспрецедентной ситуацией, и детали не раскрываются по рекомендации юристов, чтобы ограничить возможную юридическую ответственность Фонда GNOME, а также чтобы защитить людей, вовлечённых в конфликт. Отмечается, что в этом году управляющий совет провёл 15-16 заседаний по этому поводу и уделил большое внимание принятию решения, пытаясь найти баланс между юридическими рисками и моральными обязательствами перед сообществом.

Затягивание объявления об отстранении Сонни объясняется намерением исключить влияние решения на выборы нового состава управляющего совета и желанием обеспечить утверждение решения на первом официальном заседании нового совета. На задержку в публикации объявления также повлиял незавершённый процесс разрешения конфликта, в котором организация GNOME Foundation выступила в роли нейтрального посредника (медиатора), помогающего сторонам конфликта достичь приемлемого решения.

Сохранение конфиденциальности при разрешении конфликта и нераскрытие протоколов заседаний не является нарушением, так как устав лишь определяет общие цели Фонда, но не является учредительным документом и не определяет процессы управления организацией. Для вопросов, которые должны рассматриваться в частном порядке, в соответствии с законодательством штата Калифорния, предусмотрена возможность не отображения информации в публичных протоколах.

Сонни Пирс опубликовал заявление о случившемся, в котором упомянул, что процесс и решение шокировали его, но не раскрыл никаких деталей из-за желания защитить людей, вовлечённых в работу над проектом GNOME, ограничившись лишь комментарием, что случившееся не рассматривается им как "межличностный конфликт". Сонни также упомянул об успешном воплощении в жизнь предложений, указанных при выдвижении своей кандидатуры на пост директора. Помимо GNOME Сонни также принимал участие в работе над XMPP и Firefox, и является автором GNOME-приложений Workbench, Tangram и Junction.

1. OpenNews: GNOME Foundation покидает исполнительный директор
2. OpenNews: Проект GNOME выставил на обсуждение план развития на следующие 5 лет
3. OpenNews: В знак несогласия с новым кодексом поведения LLVM покинул один из ведущих разработчиков
4. OpenNews: Из проекта elementary OS ушёл один из основателей
5. OpenNews: Конфликт между Ричардом Столлманом и командой разработчиков Glibc

Среди добавленных улучшений:

• Модернизированы и унифицированы системы дополнений (Add-on) и тем оформления, которые трансформированы в общую концепцию расширений (Extension). Расширения можно легко устанавливать с диска, локального репозитория или сайта extensions.blender.org в режиме Drag & Drop и обновлять прямо из интерфейса Blender (проверка наличия обновлений в репозиториях осуществляется при каждом запуске).
• Включена новая полностью переписанная реализация движка рендеринга EEVEE, поддерживающего физически корректный рендеринг в реальном времени и использующего GPU для визуализации. Новый вариант движка развивается в рамках проекта EEVEE Next и примечателен поддержкой реалистичного рендеринга с использованием глобального освещения (рендеринг с учётом косвенного освещения, отражения и преломления света), смещений (деформация в соответствии с текстурной картой), улучшенного SSS (Subsurface Scattering, имитация рассеяния света внутри полупрозрачных материалов), стабильных дизеринговых объёмных эффектов (dithered volumetric) при навигации по сцене, неограниченного числа BSDF (Bidirectional Scattering Distribution Function) и источников света в сцене и применением эффекта размытия движения во вьюпорте (имитация размытия при быстром движении объектов). EEVEE теперь позволяет автоматически выделять интенсивные источники света внешней среды и обрабатываться их как солнечные лучи, обеспечивая отрисовку более реалистичных теней.
  
  
• В систему рендеринга Cycles внесены изменения, нацеленные на повышение качества и скорости рендеринга. Добавлена новая нода Ray Portal BSDF для переноса лучей на новое место в сцене, что можно использовать, например, для рендеринга порталов. В ноде с принципиальным шейдером BSDF (Principled BSDF) реализована поддержка физически точных эффектов интерференции в тонкой плёнке, например, для реалистичной отрисовки пузырей. Повышено качество устранения шумов и добавлена возможность ускорения операций устранения шумов с привлечением GPU AMD на системах с Linux и Windows.
• Расширены возможности для автоматизации развёртывания и сопровождения сборок Blender в анимационных студиях, а также в изолированных окружениях, не предоставляющих доступ к глобальной сети (используемые скрипты и дополнения могут оформляться в виде отдельных наборов, а для запуска в offline-режиме предусмотрен флаг "--offline-mode").
• Встроена поддержка опубликованной консорциумом Khronos спецификации PBR Neutral Tone Mapper, позволяющей добиться фотореалистичной цветопередачи при рендеринге ассетов.
• Добавлен новый режим для быстрого создания многоугольных фигур - в данном режиме при каждом нажатии на левую кнопку мыши добавляется новая точка многоугольника, а если нажатие совпадает с начальной точкой, фигура замыкается. В режиме скульптурного моделирования жест для создания линии теперь может использоваться для обрезки (Trim), формирования наборов граней (Face Set) и скрытия, а жест свободного выделения "лассо" для скрытия областей.
• Добавлен новый тип сокетов, использующих матрицы и существенно упрощающих преобразования. Также добавлены типовые ноды для работы с матрицами.
  
  
• Повышена интерактивность работы с инструментарием "Node tools", который можно использовать для расширения базовых возможностей Blender и изменения существующих инструментов, используя геометрические ноды вместо скриптов на языке Python. В системе нодов теперь можно использовать информацию о вьюпорте и позиции мыши, добавлена функция применения выбранного оператора только после щелчка мышью. Проведена оптимизация геометрических нод, связанная с использованием многопоточности. В 4-10 раз ускорено выполнение нод для масштабирования элементов, и в 10-20 раз для сэмплировании UV-поверхностей.
  
  
• Улучшен интерфейс нелинейного видеоредактора (Video Sequencer). Для более заметного разделения скруглены углы элементов и увеличены отступы на монтажном столе, утолщены контуры активных и выделенных дорожек. Для корректировки позиции элемента достаточно подвести курсор к краю дорожки или области между дорожками и перемешать мышь, удерживая левую клавишу. Элементы, связанные с несуществующими файлами, теперь выделяются красным цветом и специальной пиктограммой. В текстовых дорожках добавлены дополнительные настройки тени, которые отбрасывает текст.
• Обеспечена совместимость со спецификацией CY2024, определяющей утилиты и библиотеки эталонной платформы VFX. Обновлены версии Python 3.11, OpenEXR 3.2, OpenColorIO 2.3 и OpenSubdiv 3.6.
• Добавлена поддержка привязки своего обработчика экспорта к каждой коллекции, чтобы не выбирать каждый раз формат при повторном экспорте ассетов. Например, можно привязать использование формата glTF к ассетам для игр или формата USD для студийных работ. Настройки экспорта сохраняются в файлах .blend и не сбрасываются между сеансами. Добавлена возможность импорта и экспорта в формате USD моделей волос и импорта облаков точек. В 3-2 раза ускорен процесс проверки мэшей при импорте. Включена проверка мэшей при импорте файлов в форматах USD, OBJ, PLY и STL. Добавлена возможность импорта сразу нескольких файлов Alembic за один раз.
• Добавлены средства для создания переносимых установок, в которых автоматически подхватываются настройки для воссоздания окружения пользователя. Настройки размещаются в каталоге portable, из которого Blender пытается перенести конфигурацию во время запуска.
• В системе постобработки (Compositor) реализована поддержка ускорения с задействованием GPU.
• Значительно повышена производительность графического редактора.
• Во встроенном текстовом редактора обеспечена подсветка синтаксиса языка шейдеров GLSL.
• Оптимизировано оформление различных диалогов и улучшено масштабирование интерфейса.
• В 5 раз ускорено выполнение отката изменений (Undo).
• В пользовательских окружениях на базе протокола Wayland реализована возможность копирования и вставки изображений из буфера обмена.
• На платформе Linux предоставлена поддержка регистрации и удаления файловых ассоциаций, позволяющих вызывать приложение Blender при попытке открытия различных типов файлов.

1. OpenNews: Выпуск свободной системы 3D-моделирования Blender 4.0
2. OpenNews: BlenderGPT - плагин для управления Blender командами на естественном языке
3. OpenNews: Инфраструктура разработки Blender переведена c Phabricator на платформу Gitea
4. OpenNews: SPA Studios открыла код внутреннего форка Blender с доработками Grease Pencil
5. OpenNews: Сообщество Blender выпустило анимационный фильм Sprite Fright

Особенности выпуска:

• По умолчанию задействована среда рабочего стола KDE Plasma 6, сформированная на основе выпусков KDE Plasma 6.1.3, KDE Frameworks 6.4.0, KDE Gears 24.05.2 и Qt 6.7.2. Опционально доступны пакеты и сборки с KDE Plasma 5.27.11, KDE Frameworks 5.116, KDE Gears 23.08.5 и Qt 5.15.14. По умолчанию продолжает использоваться графический стек на базе X11, но отдельно подготовлен iso-образ с KDE Plasma 6 на базе Wayland (поддержка Wayland в KDE отмечена как пока не достаточно зрелая для замены X11 для большинства пользователей).
• Обновлены версии пользовательских окружений LXQt 2.0.0 и GNOME 46.3.
• Компоненты графического стека обновлены до версий Xorg Server 21.1.13, Wayland 1.23.0 и Mesa 24.1.4.
• Обновлены системные компоненты: ядро Linux 6.10.0 (собрано компилятором Clang вместо GCC), systemd 255.7, LLVM/clang 18.1.8, binutils 2.42, gcc 14.1.0, glibc 2.39, Java 22. Инсталлятор обновлён до Calamares 3.3.8.
• Обновлены пользовательские приложения: LibreOffice 24.2.5 (с компонентами для интеграции с Qt 6 и KDE Plasma 6), Falkon 24.05.2, Firefox 128.0, Chromium 126.0.6478.182, QMPlay2 24.06.16, Telegram Desktop 5.1.7, Krita 5.2.3, GIMP 2.10.38, Digikam 8.4.0, SMPlayer 24.5.0, VLC 3.0.21, Virtualbox 7.0.18, VokoscreenNG 4.2.0 и OBS Studio 30.2.0.
• В дополнение к пакету wine в состав включены пакеты proton и proton-experimental, нацеленные на запуск в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam.
• В новый совмещённый интерфейс приветствия входа и настройки системы OM-Welcome встроены модули из старых приложений oma-welcome и om-control-center, что позволяет использовать OM-Welcome в качестве отправной точки для настройки системы и установки популярных дополнительных программ.
• В пакеты Firefox и Chromium включены изменения, отключающие отправку телеметрии на серверы Mozilla и Google. В Chromium задействованы изменения от проекта ungoogled и патчи для добавления поддержки формата JPEG-XL.
• Для систем с графическими картами AMD добавлена поддержка стека AMD ROCm для выноса вычислений на сторону GPU.
• В графический редактор Krita добавлен плагин для AI-генерации графики.
• Предложена функция декларативной сборки RPM-пакетов, реализованная для типовых сборочных систем, среди которых cmake, meson, autotools и Python setuptools/pip. Новая функция позволяет свести инструкции по сборке и установке многих пакетов к простейшим параметрам, таким как "BuildSystem: cmake".
• Ведётся портирование OpenMandriva для архитектуры RISC-V, сборки для которой планируют начать публиковать в следующем выпуске.

1. OpenNews: Релиз дистрибутива OpenMandriva Lx 5.0
2. OpenNews: Выпуск дистрибутива Mageia 9, форка Mandriva Linux
3. OpenNews: Выпуск дистрибутива OpenMandriva ROME 23.08
4. OpenNews: Первый выпуск rolling-дистрибутива OpenMandriva Lx ROME
5. OpenNews: Выпуск мобильной платформы /e/OS 2.0, развиваемой создателем Mandrake Linux

53.9% из блокированного или направленного для дополнительной проверки трафика приходится на вредоносную деятельность, попытки атак и активность ботов, 37.1% - на трафик DDoS-атак, а 7.2% - на запросы с IP-адресов, имеющих плохую репутацию и находящихся в чёрных списках.

Несмотря на то, что наиболее популярным типом атак на web-приложения остаётся DDoS-атаки, вызывающие отказ в обслуживании, отмечается возрастание значения атак, нацеленных на эксплуатацию неисправленных уязвимостей. Администраторам рекомендуется не затягивать с установкой обновлений с устранением критических уязвимостей, так как подобные атаки становятся всё более оперативными. Например, продукт JetBrains TeamCity начали атаковать спустя всего 22 минуты после появления в открытом доступе прототипа эксплоита для неисправленной уязвимости CVE-2024-27198, позволяющей получить доступ без аутентификации. Из наиболее активных атак упоминаются попытки эксплуатации уязвимостей в Apache Struts (CVE-2023-50164), Apache Spark (CVE-2022-33891), Adobe Coldfusion (CVE-2023-29298, CVE-2023-38203, CVE-2023-26360) и MobileIron (CVE-2023-35082).

31.2% от всего трафика связывается с активностью ботов, при том, что лишь 7% запросов от ботов генерируются известными легитимными сервисами, такими как поисковые системы, остальные 93% отнесены к категории неизвестных ботов, которые потенциально могут совершать вредоносные действия.

Из тенденций также отмечается рост трафика, связанного с обращением к Web API, отдающих ответы в форматах JSON или XML. Доля подобных запросов достигла отметки в 60% от всего динамически генерируемого (не кэшируемого) трафика. По оценке Cloudflare треть от запросов к API связаны с обращением к "теневым" API-обработчикам, которые не учитываются организациями (явно не преподносятся как публично доступные Web API) и должным образом не защищаются.

В среднем корпоративные клиенты Cloudflare используют в своих web-сервисах 47 сторонних скриптов. Наиболее популярными провайдерами сторонних скриптов названы Google (Tag Manager, Analytics, Ads, Translate, reCAPTCHA, YouTube), Meta (Facebook Pixel, Instagram), Cloudflare (Web Analytics), jsDelivr, New Relic, Appcues, Microsoft (Clarity, Bing, LinkedIn), jQuery, WordPress (Web Analytics, плагины), Pinterest, UNPKG, TikTok и Hotjar.

В ходе работы корпоративных web-приложений в среднем осуществляется подключение почти к 50 внешним сервисам (как правило, используемые сторонние скрипты передают данные на внешние хосты, например, Google Analytics отправляет статистику на серверы Google). Среди наиболее популярных внешних сервисов, к которым осуществляется подключение: Google (Analytics, Ads), Microsoft (Clarity, Bing, LinkedIn), Meta (Facebook Pixel), Hotjar, Kaspersky, Sentry, Criteo, tawk.to, OneTrust, New Relic и PayPal.

1. OpenNews: Оценка популярности IPv6 в трафике Cloudflare
2. OpenNews: По данным Cloudflare доля Firefox составляет 5.9%
3. OpenNews: Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada
4. OpenNews: Cloudflare, Apple и Fastly представили сохраняющий конфиденциальность вариант DNS over HTTPS

До сих пор в состав проприетарных драйверов входили как открытые, так и проприетарные варианты модулей, которые обновлялись синхронно, но по умолчанию использовались проприетарные модули. Отличие доступных вариантов сводится к тому, что открытые модули могут использоваться только с GPU, оснащёнными отдельным микроконтроллером GSP (GPU System Processor), использование которого позволило вынести операции инициализации и управления GPU из драйвера на уровень проприетарной прошивки. GSP поставляется в видеокартах на базе таких микроархитектур, как Turing, Ampere, Ada и Hopper.

В проприетарных модулях, помимо новых GPU, продолжает сохраняться и поддержка старых GPU, не оснащённых GSP, например, GPU на базе микроархитектур Maxwell, Pascal и Volta. Компания NVIDIA намерена прекратить реализацию поддержки новых GPU в проприетарных модулях и сосредоточиться только на развитии открытых. Например, в открытых модулях уже доступна поддержка новых платформ NVIDIA Grace Hopper и NVIDIA Blackwell, которые не поддерживаются в проприетарных модулях.

В выпуске драйверов NVIDIA 560 для обычных GPU начиная с Turing, а при виртуализации GPU, начиная с Ada, по умолчанию начнут устанавливаться открытые варианты модулей ядра nvidia.ko, nvidia-modeset.ko, nvidia-uvm.ko, nvidia-drm.ko и nvidia-peermem.ko, в ситуациях когда их применение возможно. В дистрибутивах Ubuntu, Debian, SUSE и openSUSE для установки варианта драйверов NVIDIA на базе открытых модулей рекомендуется использовать пакет "nvidia-open", а в дистрибутивах на базе RHEL - модуль "nvidia-driver:open-dkms".

При желании установить в систему проприетарные модули ядра потребуется указание опции "--kernel-module-type=proprietary" при запуске run-архива с драйверами NVIDIA, или изменение параметров по умолчанию в интерфейсе, показываемом инсталлятором. Кроме того, отдельно подготовлен пакет nvidia-driver-assistant, упрощающий выбор оптимального варианта модулей ядра.

1. OpenNews: Компания NVIDIA открыла код видеодрайверов для ядра Linux
2. OpenNews: В NVK, открытом драйвере для видеокарт NVIDIA, обеспечена поддержка Vulkan 1.0
3. OpenNews: NVIDIA препятствует разработке транслирующих прослоек для запуска CUDA на других платформах
4. OpenNews: NVIDIA начнёт использовать открытые модули ядра для GPU, начиная с Turing
5. OpenNews: Представитель NVIDIA ответил на вопросы, связанные с переводом драйверов на открытые модули ядра