· | 22.01.2025 |
Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей (1) |
|
Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении устранено 318 уязвимостей.
Некоторые проблемы:
- 2 проблемы с безопасностью в Java SE. Одна уязвимость в Java SE может быть эксплуатирована удалённо без проведения аутентификации и затрагивает окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасная проблема в Java SE имеет уровень опасности 7.3 (уязвимость в Hotspot) и затрагивает инсталлятор (Sparkle). Удалённо эксплуатируемая уязвимость имеет уровень опасности 4.8 и затрагивает виртуальную машину Hotspot.
Уязвимости устранены в выпусках Java SE 23.0.2, 17.0.14, 11.0.26 и 8u441.
- 32 уязвимости в сервере MySQL, из которых 3 могут быть эксплуатированы удалённо. Две наиболее серьёзные проблемы имеют уровень опасности 9.1 и связаны с уязвимостями в компонентах Kerberos и Curl. Менее опасные уязвимости затрагивают InnoDB, Thread Pooling, DDL, оптимизатор, парсер и систему аутентификации. Проблемы устранены в выпусках MySQL Community Server 9.2.0, 8.4.4 и 8.0.41.
- 2 уязвимости в VirtualBox, одна из которых помечена как опасная (7.3 из 10). Уязвимости, которые позволяют локальным пользователям повысить свои привилегии, устранены в обновлениях VirtualBox 7.1.6 и 7.0.24.
- 1 уязвимость в Solaris, которая затрагивает файловую систему (уровень опасности 6 из 10). Уязвимость устранена в обновлении Solaris 11.4 SRU77. В новой версии Solaris также обновлены версии пакетов Django 4.2.17,
Firefox 128.5.0esr
MySQL 8.0.40,
PHP 8.3.14,
Thunderbird 128.5.0esr,
Wireshark 4.4.2,
ansible-core 2.18.0,
python 3.9.20,
virtualenv 20.27.1,
wget 1.25.0,
kernel/privilege и utility/net-snmp, в которых также были устранены уязвимости.
- OpenNews: Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей
- OpenNews: Выпуск операционной системы Solaris 11.4 SRU72
- OpenNews: Уязвимость в VirtualBox, эксплуатируемая через протокол RDP
- OpenNews: Возможность генерации фиктивных подписей ECDSA в Java SE. Уязвимости в MySQL, VirtualBox и Solaris
|
|
|
| |
· | 22.01.2025 |
Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.18 (5 +1) |
|
Опубликован выпуск проекта VeraCrypt 1.26.18, развивающего форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. Разработанный проектом VeraCrypt код распространяется под лицензией Apache 2.0, а заимствования из TrueCrypt продолжают поставляться под лицензией TrueCrypt License 3.0. Готовые сборки формируются для Linux, FreeBSD, Windows и macOS.
Среди изменений в новой версии:
- На системах x86 для ускорения работы алгоритма PBKDF2-HMAC-SHA256 задействованы специализированные инструкции CPU для вычисления хэшей SHA-256.
- Для платформ ARM64 добавлена поддержка расширенных инструкций для аппаратного ускорения шифрования AES.
- Упрощена логика определения сеансов, созданных с использованием утилиты sudo.
- Решены проблемы при сборке с библиотекой wxWidgets, поставляемой в Ubuntu.
- Добавлена проверка существования разделов перед монтированием.
- В сборках для macOS по умолчанию отключён захват экрана (для включения добавлена опция "--allow-screencapture").
- Прекращена поддержка 32-разрядных систем Windows. В качестве минимально поддерживаемого заявлен выпуск Windows 10 update 1809 (октябрь 2018 года). На системах с Windows задействован генератор псевдослучайных чисел BCryptGenRandom (вместо устаревшего CryptGenRandom) и современный API для накопления энтропии.
- Устранена уязвимость CVE-2024-54187, вызванная использованием относительных путей при запуске системных исполняемых файлов. Для защиты от подмены запускаемых файлов, путём их размещение в доступных пользователю каталогах, при запуске теперь используются только абсолютные пути.
- Устранена уязвимость CVE-2025-23021, позволявшая монтировать разделы в системные каталоги, например, в каталоги, упомянутые в переменной окружения PATH.
- OpenNews: Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.14
- OpenNews: Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL
- OpenNews: Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске
- OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
- OpenNews: В Ubuntu появится поддержка полнодискового шифрования, использующего TPM
|
|
|
| |
· | 21.01.2025 |
Выпуск минималистичного набора системных утилит Toybox 0.8.12 (45 +9) |
|
Опубликован релиз набора системных утилит Toybox 0.8.12, оптимизированного для минимального потребления системных ресурсов. По аналогии с BusyBox все утилиты набора доступны через один исполняемый файл. Проект развивается бывшим мэйнтейнером BusyBox, написан на языке Си и распространяется под лицензией 0BSD. Целью создания Toybox является предоставление производителям возможности использования минималистичного набора стандартных утилит без открытия исходных текстов модифицированных компонентов. По возможностям Toybox пока отстаёт от BusyBox, но уже реализовано 316 базовых команд (235 полностью и 81 частично) из 392 запланированных. С 2015 года Toybox предлагается в основном составе платформы Android.
Среди новшеств Toybox 0.8.12:
- В tar добавлена поддержка алгоритма сжатия zstd и реализована возможность работы с устаревшими форматами архивов.
- В getconf реализована обработка переменных окружения NPROCESSORS_CONF и NPROCESSORS_ONLN.
- В netcat добавлены опции "-o" и "-O".
- В devmem реализованы опции "--no-mmap", "-f FILE" и "--no-sync".
- В test добавлены опции "-ef", "-ot" и "-nt".
- В dmesg добавлена опция "-W".
- В mount добавлена поддержка "LABEL=".
- В lsusb и lspci учтено содержимое /usr/share/hwdata.
- Устранены ошибки и улучшены реализации утилит grep, host, find, chmod, tar, ps, test, file, patch, cp, lsusb, top, blkid,
ionice, microcom.
- Добавлена поддержка сборки для платформ riscv32 и riscv64.
- OpenNews: Выпуск минималистичного набора системных утилит Toybox 0.8.9
- OpenNews: Оценка пригодности ядра Linux для систем с несколькими мегабайтами ОЗУ
- OpenNews: В BusyBox прекращена поддержка systemd
- OpenNews: Противоречивая ситуация вокруг создания альтернативы Busybox
- OpenNews: Релиз минималистичного набора системных утилит BusyBox 1.37
|
|
|
| |
· | 21.01.2025 |
Выпуск 9front 10931, ответвления от операционной системы Plan 9 (80 +14) |
|
Представлен выпуск операционной системы 9front 10931, опубликованный под кодовым именем "THIS TIME DEFINITELY". Проект 9front с 2011 года развивает независимый от компании Bell Labs форк распределённой операционной системы Plan 9. Готовые установочные сборки сформированы для архитектур i386, x86_64 и плат Raspberry Pi 1-4. Код распространяется под лицензией MIT. Доступна приуроченная к релизу музыкальная композиция.
Основная идея Plan 9 связана со стиранием различий между локальными и удалёнными ресурсами. Система представляет собой распределённую среду, базирующуюся на трёх базовых принципах: все ресурсы можно рассматривать как иерархический набор файлов; нет различия в доступе к локальным и внешним ресурсам; каждый процесс имеет собственное изменчивое пространство имён. Для создания единой распределённой иерархии файлов-ресурсов используется протокол 9P.
Форк 9front примечателен реализаций дополнительных механизмов защиты, расширением поддержки оборудования, улучшением работы в беспроводных сетях, добавлением новых файловых систем, реализацией звуковой подсистемы и кодировщиков/декодировщиков звуковых форматов, поддержкой USB, созданием web-браузера Mothra, заменой загрузчика и системы инициализации, применением шифрования данных на диске, поддержкой Unicode, наличием эмулятора режима реальных адресов, поддержкой архитектуры AMD64 и 64-разрядного адресного пространства.
Значительные изменения:
- В инсталляторе включена новая файловая система gefs, созданная специально для Plan 9, поддерживающая снапшоты и оптимизированная для быстрого перебора файлов в очень больших каталогах. ФС спроектирована для сохранения целостности в случае сбоев, таких как экстренное отключение питания, и имеет средства для самодиагностики, не допускающие скрытого повреждения данных и возвращения некорректных данных. При этом gefs полностью совместима с традиционной файловой системой 9p, возможности которой воссозданы с использование режима copy-on-write и структуры Bε-tree.
- В утилиты ip и ipconfig добавлена поддержка динамического выделения IP-адресов через DHCPv6 и обработки истечения времени действия префиксов для IPv6.
- Устранена уязвимость CVE-2024-8158, вызванная ошибкой в механизме аутентификации, реализованном в библиотеке lib9p. Уязвимость позволяет пользователю, имеющему учётную запись в системе, выдать себя за любого другого пользователя при работе с файловой системой. Причиной уязвимости является отсутствие должного сопоставления имени пользователя, передаваемого в 9p-сообщениях Tauth и Tattach, с UID-идентификатором клиента, выдаваемом после прохождением пользователем аутентификации. Проблема проявляется во всех версиях 9front (ошибка допущена в коде Plan 9 ещё до создания форка), но затрагивает только конфигурации с файловой системой hjfs (в системах с ФС cwfs и gefs уязвимость не проявляется).
- OpenNews: Релиз операционной системы Inferno 0.6 для Raspberry Pi
- OpenNews: Компания Nokia перелицензировала ОС Plan9 под лицензией MIT
- OpenNews: Представлена распределённая ОС Node9, сочетающая технологии Inferno и язык Lua
- OpenNews: Представлена ОС Clive, основанная на идеях Plan 9 и Nix
- OpenNews: Glendix - новая ОС на основе Plan9 с ядром Linux
|
|
|
| |
· | 21.01.2025 |
Доступен полностью свободный вариант ядра Linux-libre 6.13 (41 +7) |
|
Латиноамериканский Фонд свободного ПО опубликовал полностью свободный вариант ядра Linux 6.13 - Linux-libre 6.13-gnu, очищенный от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В Linux-libre также отключены функции ядра для загрузки внешних несвободных компонентов, не входящих в поставку ядра, а из документации удалены упоминания об использовании несвободных компонентов.
Для очистки ядра от несвободных частей проектом Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих критериям Фонда СПО по построению полностью свободных дистрибутивов GNU/Linux. Например, Linux-libre используется в таких дистрибутивах, как GNU Guix System, Dragora Linux, Trisquel, Dyne:Bolic, gNewSense, Parabola, Musix и Kongoni.
В выпуске Linux-libre 6.13-gnu добавлен код для чистки блобов в новых драйверах rtw8812a, rtw8821a, bmi270, aw88081, ntp8835, ntp8918.
Произведена чистка имён блобов в dts-файлах (devicetree) для архитектуры Aarch64. Обновлён код удаления блобов в драйверах wilc1000, rt1320, sh4-siu, ivpu, btnxpuart, adreno и r8169, а также в коде, связанном с поддержкой сенсорных экранов на системах с архитектурой x86. Прекращена чистка драйверов rtl8192e, rtl8712, vt6656 и ti-st, которые были удалены из состава ядра.
- OpenNews: Доступно ядро Linux-libre 6.12. Решение лицензионных проблем с драйверами Tuxedo
- OpenNews: Предложение по блокировке драйверов-прослоек, предоставляющих доступ к GPL-вызовам ядра Linux
- OpenNews: Технология DMA-BUF не может быть использована в проприетарных видеодрайверах без перелицензирования
- OpenNews: Из Debian удалены сборки пакетов с драйверами NVIDIA из-за подозрений в несовместимости с GPL
- OpenNews: Релиз ядра Linux 6.13
|
|
|
| |
· | 20.01.2025 |
В Mesa принят amdgpu_virtio для использования OpenGL и Vulkan в гостевых системах (55 +34) |
|
В кодовую базу, используемую для формирования выпуска Mesa 25.0, принята прослойка amdgpu_virtio, позволяющая гостевой системе использовать OpenGL- и Vulkan-драйверы radeonsi, radeonsi_drv_video и radv, предоставляемые хост-окружением. Доступ осуществляется через VirtIO, что обеспечивает высокую производительность 3D-ускорения в виртуальной машине. На данный момент использование драйвера возможно только в связке QEMU+KVM.
Заявлено, что производительность amdgpu_virtio выше, чем при использовании драйверов virgl и venus, ранее разработанных для доступа к Vulkan и OpenGL из гостевых систем. При проведении тестов Unigine Heaven и Superposition производительность в гостевых системах составила примерно 99% по сравнению с производительностью при запуске тестов на стороне хоста.
Из достоинств нового метода также упоминается упрощение сопровождения, так как в гостевой системе используются те же драйверы, что и при работе без виртуализации, за исключением того, что вместо прямого обращения к libdrm (amdgpu) используется дополнительная прослойка на основе VirtIO.
- OpenNews: Опубликован эмулятор QEMU 9.2.0 с поддержкой Rust и Vulkan
- OpenNews: NVIDIA опубликовала код с реализацией vGPU на базе драйвера Nouveau
- OpenNews: Venus - виртуальный GPU для QEMU и KVM, реализованный на базе API Vulkan
- OpenNews: В Mesa-драйвере RADV сертифицирована поддержка Vulkan 1.3 для старых GPU AMD
- OpenNews: Релиз Mesa 24.3, свободной реализации OpenGL и Vulkan
|
|
|
| |
· | 20.01.2025 |
Для ядра Linux предложен драйвер с реализацией режима NVMe PCI Endpoint (61 +27) |
|
Компания Western Digital разработала для ядра Linux драйвер с реализацией NVMe PCI Endpoint Function Target. При наличии контроллера PCIe, поддерживающего режим endpoint, драйвер позволяет системе под управлением Linux изображать из себя контроллер PCI NVMe, который для других систем будет выглядеть как накопитель с интерфейсом NVMe.
Как пример, подобный накопитель был реализован на основе платы Rock5B, использующей SoC Rockchip RK3588 с контроллером PCI Gen3x4, умеющем работать в режиме endpoint. При использовании блочного устройства null_blk и в конфигурации с 4 очередями ввода/вывода накопитель показал пропускную способность в 2.8 GB/sec при последовательном чтении блоков 512KB и производительность в 131 тысяч операций ввода/вывода в секунду при случайных операциях чтения блоками 4K.
- OpenNews: Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF/TCP из состава ядра Linux
- OpenNews: Выпуск UDisks 2.10.0 с поддержкой NVMe
- OpenNews: WD разрабатывает NVMe-драйвер на языке Rust. Эксперименты с Rust во FreeBSD
- OpenNews: Доступен набор утилит для управления SSD-накопителями - nvme-cli 2.0
|
|
|
| |
· | 19.01.2025 |
Релиз минималистичного web-браузера Dillo 3.2.0 (129 +27) |
|
Представлен релиз web-браузера Dillo 3.2.0. Браузер предоставляет графический интерфейс на основе вкладок и поддерживает HTML 4.01, CSS и HTTPS (нет поддержки JavaScript). Функциональность Dillo может расширяться через плагины, например, имеются плагины для протоколов IPFS и Gemini. При открытии стартовой страницы Dillo расходует 12 МБ ОЗУ, а установочный deb-пакет занимает около 600 КБ. Графический интерфейс построен с использованием библиотеки FLTK. Код проекта распространяется под лицензией GPLv3.
В новой версии:
- Через подключение библиотеки nanosvg реализована поддержка векторных изображений в формате SVG и возможность отрисовки математических формул.
- Добавлена возможность сборки с библиотекой libwebp для поддержки изображений в формате WebP. Для выбора обрабатываемых форматов изображений может использоваться параметр "ignore_image_formats".
- Добавлен режим постраничной прокрутки содержимого, упрощающий навигацию по многостраничным документам. Режим включается через параметр "scrollbar_page_mode" и позволяет прокручивать содержимое на страницу вниз или вверх при щелчке левой или правой кнопкой мыши на вертикальной полосе прокрутки. Степень перекрытия прокручиваемой области можно настроить через параметр scroll_page_overlap.
- Добавлен параметр "scrollbar_on_left" для перемещения полосы прокрутки в левую сторону.
- Добавлен параметр "link_action allows" для привязки собственных обработчиков ссылок (например, можно добавить кнопки для открытия ссылок в другом браузере или в мультимедийном проигрывателе).
- Реализованы клавиатурные комбинации "Ctrl +" и "Ctrl -" для изменения уровня масштабирования текста на странице. Комбинация "Ctrl 0" сбрасывает масштаб с исходное состояние. Для задания масштаба по умолчанию добавлен параметр "zoom_factor option".
- Предоставлена возможность перезагрузки текущей страницы через отправку процессу сигнала SIGUSR1, что может оказаться полезным, например, для организации работы экранов, отображающих обновляемые данные с системы мониторинга.
- OpenNews: Web-браузеру Dillo исполнилось 25 лет
- OpenNews: После многолетнего забвения опубликован минималистичный web-браузер Dillo 3.1
- OpenNews: Представлен Fifth, минималистичный web-браузер с интерфейсом на основе FLTK
- OpenNews: Выпуск минималистичного web-браузера links 2.26
- OpenNews: Новая версия браузера NetSurf 3.11
|
|
|
| |
· | 19.01.2025 |
Выпуск uutils 0.0.29, варианта GNU Coreutils на языке Rust (185 –8) |
|
Опубликован выпуск проекта uutils coreutils 0.0.29, развивающего аналог пакета GNU Coreutils, написанный на языке Rust. В состав coreutils входит более ста утилит, включая sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls. Целью проекта является создание кроссплатформенной альтернативной реализации Coreutils, способной работать в том числе на платформах Windows, Redox и Fuchsia. В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL. Дополнительно той же командой разработчиков развиваются написанные на Rust аналоги наборов утилит util-linux, diffutils, findutils и bsdutils.
В новой версии uutils:
- Учтены изменения в выпуске GNU Coreutils 9.6.
- Улучшена совместимость с эталонным тестовым набором GNU Coreutils, при прохождении которого успешно выполнено 506 тестов (в прошлой версии 476), 67 (94) тестов завершилось неудачей, а 41 (43) тест был пропущен.
- Обеспечена полная совместимость с GNU Coreutils для утилит
df, dircolors, chmod, chroot, comm, seq, split, uniq и more.
- Проведена оптимизация производительности утилит du, echo и seq.
- Расширены возможности, улучшена совместимость и добавлены недостающие опции для утилит basenc, base32, base64, checksum, chmod, chroot, comm, cp, csplit, cut, date, dd, df, dircolors, du, echo, env,
fmt, head, install, kill, ls, mkfifo, more, mv, numfmt, printf, rm, seq, sort, split, stat. tail, tr, tsort, uniq, wc и uucore.
- OpenNews: Выпуск набора утилит GNU Coreutils 9.6
- OpenNews: Адаптация Debian для использования реализации coreutils на языке Rust
- OpenNews: Выпуск набора утилит GNU Coreutils 9.5 и его варианта на языке Rust
- OpenNews: Эксперимент по переводу Gentoo на использование варианта Coreutils на языке Rust
- OpenNews: Выпуск набора утилит GNU findutils 4.10.0 с возобновлением поддержки Си-библиотеки Musl
|
|
|
| |
· | 18.01.2025 |
Выпуск VPN Lanemu 0.12 (54 +16) |
|
Состоялся выпуск Lanemu P2P VPN 0.12 - реализации децентрализованной виртуальной частной сети, работающей по принципу Peer-To-Peer, при котором участники подключены друг к другу, а не через центральный сервер. Участники сети могут находить друг друга через BitTorrent-трекеры или BitTorrent DHT, либо через других участников сети (peer exchange). Приложение является бесплатным и открытым аналогом VPN Hamachi, написано на языке Java (c отдельными компонентами на языке Си) и распространяется под лицензией GNU LGPL 3.0. Поддерживается запуск в Windows, GNU/Linux и FreeBSD.
Изменения в версии 0.12:
- Для пирингового шифрования задействован алгоритм AES-128-GCM. Из-за изменения алгоритма шифрования новая версия приложения не сможет взаимодействовать с предыдущими версиями. Изменения в приглашениях не требуется.
- Добавлена возможность получения IPv6-адресов с BitTorrent-трекеров.
- Bouncy castle обновлён до версии jdk18on-1.79.
- Частично исправлена проблема с загрузкой 32-битной библиотеки libTunTapWindows.dll.
- Улучшен алгоритм поиска сетевого устройства в Windows.
- Добавлена возможность ручного удаления IP-адресов из списка известных IP-адресов, показываемого при нажатии правой кнопки мыши на записи.
- Переработано внутреннее поведение модуля системного трея для Linux и FreeBSD.
- Добавлен загрузчик OpenJDK, который скачивает архив OpenJDK и устанавливает его в директорию "jdk" рядом с исполняемым файлом программы.
- Календарь теперь использует системный язык при создании приглашения, что влияет на порядок дней недели.
- Обновлены параметры сети по умолчанию, применяемые при неработающем BitTorrent-трекере.
- OpenNews: Выпуск VPN Lanemu 0.11.7
- OpenNews: Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP
- OpenNews: Анализ безопасности 100 бесплатных VPN-приложений для платформы Android
- OpenNews: Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi
- OpenNews: Уязвимость в OpenVPN, допускающая подстановку данных в плагины и сторонние обработчики
|
|
|
| |
· | 17.01.2025 |
Выпуск набора утилит GNU Coreutils 9.6 (27 +23) |
|
Опубликована стабильная версия набора базовых системных утилит GNU Coreutils 9.6, в состав которого входят такие программы, как sort, cat, chmod, chown, chroot, cp, date, dd, echo, hostname, id, ln и ls.
Ключевые новшества:
- В утилиту cksum добавлена опция "-a crc32b" для расчёта контрольных сумм в соответствии со спецификацией ITU V.42, используемой, например, в gzip. Добавлена оптимизация производительности с использованием инструкции pclmul. Для ускорения работы команды "cksum -a crc" задействованы SIMD-расширения AVX2, AVX512 и ARMv8, в тестах сокращающие время вычислений на 40%, 60% и 80%, соответственно.
- В утилиту ls добавлена опция "--sort=name" для явного выставления сортировки по имени файла.
- В printf добавлена поддержка индексированных аргументов в формате "%<i>$", где '<i>' целочисленный номер аргумента (POSIX:2024).
- В утилиту test добавлена возможность использования операторов '<' и '>' со строками (POSIX:2024).
- В утилиту timeout добавлены опции "-f" и "-p", являющиеся короткими вариантами опций "--foreground" и "--preserve-status" (POSIX:2024).
- В утилите sort ускорены операции над файлами в псевдо-ФС, таких как /proc.
- В утилиты stat и tail добавлена поддержка типов ФС "bcachefs" и "pidfs". Для вывода типа ФС добавлена команда "stat -f -c%T". В команде "tail -f" задействован механизм inotify для ФС "bcachefs" и "pidfs".
- В утилите wc минимальный размер читаемого за раз блока увеличен с 16KiB до 256KiB. При чтении прокэшированных файлов производительность "wc -l" повышена примерно на 10%.
- OpenNews: Эксперимент по переводу Gentoo на использование варианта Coreutils на языке Rust
- OpenNews: Выпуск набора утилит GNU Coreutils 9.5 и его варианта на языке Rust
- OpenNews: Адаптация Debian для использования реализации coreutils на языке Rust
- OpenNews: Утверждён стандарт POSIX 1003.1-2024
|
|
|
| |
· | 17.01.2025 |
Выпуск Cozystack 0.22, открытой PaaS-платформы на базе Kubernetes (10 +7) |
|
Доступен выпуск свободной PaaS-платформы Cozystack 0.22.0, построенной на базе Kubernetes. Проект нацелен на предоставление готовой платформы для хостинг-провайдеров и фреймворка для построения частных и публичных облаков. Платформа устанавливается напрямую на серверы и охватывает все аспекты подготовки инфраструктуры для предоставления управляемых сервисов. Cozystack позволяет запускать и предоставлять кластеры Kubernetes, базы данных и виртуальные машины. Код платформы доступен на GitHub и распространяется под лицензией Apache-2.0.
В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap.
Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.
В новой версии добавлен cozystack-controller и новые сущности: Workload и WorkloadMonitor — которые позволяют следить за состоянием pod-ов, управляемых операторами, и оценивать уровень сервиса по заранее определённым правилам. Приложения в Cozystack управляются разными операторами, поэтому было решено создать единый формат для отображения статуса каждого сервиса.
Как это работает: При развёртывании приложения устанавливается и WorkloadMonitor, который следит за состоянием pod-ов по селектору. Как только под селектор попадает один из pod-ов, для него создаётся новая сущность Workload, которая отображает роль для каждого pod-а и его состояние. В статусе WorkloadMonitor можно увидеть количество существующих реплик и минимальное количество реплик, необходимое для обслуживания сервиса. Как только нагрузка (workload) становится меньше, чем значение minReplicas для WorkloadMonitor, сервис помечается неработающим (non-operational).
Для приложений, которым нельзя задать точное значение minReplicas (например, worker-ы Kubernetes могут масштабироваться автоматически), реализована возможность вообще не указывать это значение в WorkloadMonitor. В этом случае WorkloadMonitor просто будет считать общее количество запущенных экземпляров.
Такой механизм позволяет использовать любые операторы и механизмы управления pod-ами в Kubernetes и легко расширять платформу, предоставляя единый интерфейс для отображения текущего состояния сервиса.
WorkloadMonitor для сбора информации о репликах и их работоспособности добавлен в приложения Kubernetes, Postgres, Monitoring, VirtualMachine, VMInstance, Redis, etcd и SeaweedFS. Dashboard Cozystack теперь отображает количество реплик приложения и уровень сервиса для каждой группы Workload.
Другие изменения:
- Реализованы и опубликованы под лицензией Apache 2.0 клиент и сервер телеметрии. Сбор метрик для телеметрии осуществляется в соответствии с рекомендациями "LF Telemetry Data Collection and Usage Policy" и его можно отключить с помощью опции "telemetry-enabled: false" в конфигурации Cozystack. Сами данные анонимы и полностью обезличены. К следующим релизам платформы планируется собрать публичный Dashboard на основе данных телеметрии.
- Обновлён компонент cluster-autoscaller для Kubernetes, а также его настройки, которые позволяют более эффективно масштабировать кластеры, как вверх так и вниз.
- Обновлён файл MAINTAINERS, в котором перечислены участники, сопровождающие проект, и сферы их ответственности.
- В Cozystack добавлено сервисное приложение builder, позволяющее производить сборку платформы прямо в Kubernetes.
- Для СУБД VictoriaMetrics добавлена возможность указывать собственные параметры и повышены выставляемые по умолчанию ограничения.
- Для Grafana и Alerta реализован сбор метрик из баз данных.
- Добавлены алерты о состоянии виртуальных машин и postgres-кластеров.
- Для KubeVirt настроен сбор метрик и добавлен Grafana dashboard.
- В конфигурацию Cozystack добавлена опция extra-keycloak-redirect-uri-for-dashboard, позволяющая настроить дополнительные перенаправления для Keycloak.
- В VMInstance исправлена ошибка, блокирующая подключение VMdisks к виртуальным машинам.
- Обновлены Flux Operator 0.12.0, Flux Instance chart 0.12.0,
Cilium 1.16.5, Kube-OVN 1.13.2, CNPG PostgreSQL Operator 1.25.0, Talos Linux 1.9.1.
- OpenNews: Выпуск Cozystack 0.21, открытой PaaS-платформы на базе Kubernetes
- OpenNews: Опубликован код COSI-драйвера для SeaweedFS
- OpenNews: Проект etcd-await-election для запуска процессов с учётом выбора лидирующего экземпляра
- OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
- OpenNews: Первый выпуск свободной PaaS-платформы Cozystack на базе Kubernetes
|
|
|
| |
· | 17.01.2025 |
В GCC решено убрать поддержку ABI ARM64 ILP32 (42 +18) |
|
В кодовую базу GCC, используемую для формирования ветки GCC 15, внесено изменение, переводящее в разряд устаревших поддержку ABI ARM64 ILP32 (-mabi=ilp32) и выводящее предупреждение об удалении в будущем релизе. ILP32 напоминает субархитектуру x32 для систем x86_64 и также позволяет использовать 32-разрядные указатели и 32-разрядную модель адресации памяти, при работе процессора в 64-разрядном режиме с поддержкой 64-разрядных регистров и расширенных инструкций. Ограничением ABI ILP32 является невозможность адресации из приложения более 4 ГБ памяти.
Изначально ABI ILP32 был разработан для упрощения переноса 32-разрядных приложений на 64-разрядные процессоры AArch64, но не получил должного распространения. Поддержка ILP32 так и не была принята в ядро Linux и системную библиотеку Glibc. Отдельно развивались порты Linaro и Debian для ILP32, но они уже более пяти лет находятся в заброшенном состоянии. Из редких систем, поддерживающих ILP32, отмечена операционная система watchOS, применяемая в устройствах Apple Watch, но GCC не поддерживается для данной ОС. В случае получения жалоб от пользователей, применяющих ILP32 в своих проектах, решение может быть пересмотрено.
- OpenNews: Доступен набор компиляторов LLVM 18
- OpenNews: Проект гибридного x86_64 Linux ABI с 32-битной адресацией памяти X32
- OpenNews: В реализации x32 ABI ядра Linux обнаружена серьёзная уязвимость
- OpenNews: Разработчики ядра Linux обсуждают вопрос удаления субархитектуры x32
|
|
|
| |
· | 17.01.2025 |
Обновление OpenVPN 2.6.13 (24 +19) |
|
Опубликован выпуск пакета для создания виртуальных частных сетей OpenVPN 2.6.13, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов.
Из изменений можно отметить:
- Добавлена блокировка обращений от клиентов, логин и пароль у которых превышает значение USER_PASS_LEN. Уточняется, что изменение не связано с устранением уязвимостей, но может приводить к неверному разбору входящих IV-параметров и выводу некорректных сообщений об ошибках.
- При выставлении настройки "push-peer-info" на платформах, отличных от Windows, реализована отправка клиентом в параметре IV_PLAT_VER информации о релизе операционной системы (выдаваемой функцией uname()), что позволяет на серверах отслеживать сведения о версиях ОС, используемых клиентами.
- На системах с Linux обеспечен запуск процесса systemd-ask-password с параметром "--timeout=0" для отключения применяемого по умолчанию 90-секундного таймаута.
- Устранены утечки памяти, проявляющиеся во FreeBSD.
- При запуске с опцией "--auth-nocache" реализовано удаление из памяти параметров аутентификации для прокси, после их использования.
- В Windows-клиенте задействована функция CryptProtectMemory() для защищённого хранения в памяти прокэшированных паролей и токенов. Задействован новый API для получения версии драйвера dco-win.
- OpenNews: Уязвимость в OpenVPN, допускающая подстановку данных в плагины и сторонние обработчики
- OpenNews: Определение сеансов OpenVPN в транзитном трафике
- OpenNews: Обновление OpenVPN 2.6.9 с изменением лицензии
- OpenNews: Уязвимости в OpenVPN и SoftEther VPN
- OpenNews: Доступен OpenVPN 2.6.0
|
|
Обсуждение (24 +19) |
Тип: Проблемы безопасности |
|
| |
· | 16.01.2025 |
Превращение сборки Fedora c KDE в базовую редакцию дистрибутива (113 +44) |
|
Разработчики проекта Fedora опубликовали план поставки сборки со средой рабочего стола KDE в форме базовой редакции дистрибутива, идентичной по уровню поддержки со сборкой Fedora Workstation, поставляемой с GNOME. Ранее изменение статуса сборки Fedora с KDE утвердил управляющий совет проекта Fedora. Теперь реализация новой первичной редакции в выпуске Fedora 42 будет рассмотрена комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива.
Сборка Fedora KDE Plasma Desktop Edition начнёт преподноситься на равных со сборкой на базе GNOME, получит аналогичный уровень маркетингового продвижения и будет иметь такое же представление на сайте fedoraproject.org. Специфичные для KDE серьёзные проблемы будут рассматриваться как блокирующие релиз Fedora Linux, так же как ранее блокировали релиз серьёзные проблемы в GNOME.
- OpenNews: Fedora c KDE присвоен статус базовой редакции, поддерживаемой на уровне Fedora Workstation с GNOME
- OpenNews: В Fedora 42 намерены включить инсталлятор на основе web-интерфейса и добавить эмулятор FEX
- OpenNews: Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo
- OpenNews: Инициативы Fedora по созданию сборки с рабочим столом COSMIC и продвижению Btrfs
- OpenNews: В Fedora 42 планируют поставлять оптимизированные варианты исполняемых файлов
|
|
Обсуждение (113 +44) |
Тип: Тема для размышления |
|
| |
Следующая страница (раньше) >> |