- +

Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Темы - denkin

Страницы: [1] 2 3 ... 10
1
Цитировать
В проекте yandex-disk-indicator, в рамках которого энтузиастами развивается индикатор для панелей задач различных рабочих столов, выполненный в виде обёртки над штатной консольной утилитой синхронизации yandex-disk, выявлена ошибка, из-за которой в процессе установки собранных из исходных текстов файлов осуществлялось удаление содержимого раздела /usr, если установочный скрипт был запущен под пользователем root.

Суть проблемы в том, что в файле install.sh для очистки локальной копии собранных файлов вместо команды "rm -r yd-tools/usr" по ошибке была добавлена строка "rm -r /usr". Проблема появилась в коде 20 мая в ходе переработки сборочных скриптов и была исправлена несколько часов назад. Проблема долго оставалась незамеченной так как присутствовала лишь в ветке для разработчиков, на основе которой не успели сформировать релиз (в апрельском выпуске 1.10.3 и в выпущенном несколько минут назад релизе 1.10.4 проблемы нет). Кроме того, индикатор обычно устанавливается пользователями из репозиториев в форме комбинированного пакета YD-tools.

Проект yandex-disk-indicator развивается не связанными с компанией Yandex энтузиастами, но входит в состав пакета YD-tools, который упоминается в списке GUI-приложений для Yandex Disk в официальной документации от Yandex.
Новость на Opennet.

2
Цитировать
Компания Microsoft опубликовала deb-пакет (microsoft-r-open-mro-3.5.0) с инструментарием Open R (вариант языка R от Microsoft) для Debian и Ubuntu, в установочном сценарии которого обнаружена серия недопустимых оплошностей. В частности, скрипт настройки, вызываемый после установки пакета (postinstall), удаляет /bin/sh, после чего создаёт символическую ссылку /bin/sh на /bin/bash. Если в системе нет /bin/bash то /bin/sh остаётся удалённым и пользователь получает неработающее окружение.
Новость на Opennet.

Spoiler: Подробности • показать

"Примечательно, что на идентичный код удаления /bin/sh в RPM-пакетах пользователи обращали внимание ещё в 2016 году. В то время проблема осталась нерешённой, а представитель Microsoft лишь пояснил, что /bin/sh заменяется, так как в Ubuntu в качестве shell по умолчанию применяется dash, а shell-обвязка над Microsoft R Server может работать только в bash. На этот раз критика не осталась без внимания и инженеры из Microsoft обновили deb- и rpm-пакеты, удалив в скрипте postinstall строки замены /bin/sh, вместо которых задействованы dpkg-divert для DEB и update-alternatives для RPM.


   #!/bin/bash
 
   #TODO: Avoid hard code VERSION number in all scripts
   VERSION=`echo $DPKG_MAINTSCRIPT_PACKAGE | sed 's/[[:alpha:]|(|[:space:]]//g' | sed 's/\-*//' | awk  -F. '{print $1 "." $2 "." $3}'`
   INSTALL_PREFIX="/opt/microsoft/ropen/${VERSION}"
 
   echo $VERSION
 
   ln -s "${INSTALL_PREFIX}/lib64/R/bin/R" /usr/bin/R
   ln -s "${INSTALL_PREFIX}/lib64/R/bin/Rscript" /usr/bin/Rscript
 
   rm /bin/sh
   ln -s /bin/bash /bin/sh

Кроме того, в скриптах есть и другие ошибки, например, в случае наличия уже установленного оригинального R, установочный скрипт завершается ошибкой, а в случае удаления пакета Microsoft удаляет и исполняемые файлы оригинального R (/usr/bin/R, /usr/bin/Rscript). Скрипт prerm:


   #!/bin/bash
 
   VERSION=`echo $DPKG_MAINTSCRIPT_PACKAGE | sed 's/[[:alpha:]|(|[:space:]]//g' | sed 's/\-*//' | awk  -F. '{print $1 "." $2 "." $3}'`
   INSTALL_PREFIX="/opt/microsoft/ropen/${VERSION}/"
 
   rm /usr/bin/R
   rm /usr/bin/Rscript
   rm -rf "${INSTALL_PREFIX}/lib64/R/backup" "
(ц)


3
Цитировать
Компания Intel опубликовала сведения о новой уязвимости (CVE-2018-3665) в механизме спекулятивного выполнения инструкций, которая получила кодовое название LazyFP. Проблема затрагивает только процессоры линейки Intel Core и проявляется при использовании "ленивого" (lazy) режима переключения контекста FPU, при котором реальное восстановление состояния регистров производится не сразу после переключения контекста, а только при выполнении первой инструкции, которая манипулирует восстанавливаемыми регистрами. На чипах Intel Atom/Knights и CPU AMD проблема не проявляется.
Новость на Opennet.

Spoiler: Подробности • показать

"Уязвимости присвоен средний уровень опасности (CVSS 4.3 из 10) - через проведение атаки по сторонним каналам атакующий может определить значения регистров FPU, MMX, SSE, AVX и AVX-512, используемых другим процессом. Например, в данных регистрах могут содержаться параметры для криптографических вычислений и имеющий доступ к локальной системе злоумышленник может попытаться использовать их для определения ключа шифрования. При использовании систем виртуализации проблема может применяться для определения состояния регистров другой гостевой системы или другого процесса в текущей гостевой системе.

По своей сути уязвимость LazyFP близка к обнародованной в конце мая проблеме Spectre 3a (CVE-2018-3640, RSRE - Rogue System Register Read). Публикация детального описания атаки отложена до августа по просьбе представителей Intel, чтобы дать пользователям время для установки исправлений. В качестве меры для блокирования уязвимости рекомендуется разработчикам ОС перейти от использования режима Lazy FP к режиму Eager FP через установку соответствующих флагов XSAVE или XCR0. Предложенный метод защиты не оказывает негативного влияния на производительность.

В ядре Linux защита была реализована ещё в феврале 2016 года, путём применения по умолчанию режима Eager FP (eagerfpu=on) и удаления возможности активации Lazy FP. Уязвимость затрагивает ядра Linux до версии 4.6 или системы с процессорами без поддержки инструкции XSAVE (до Sandy Bridge), в которых по умолчанию применялся режим Lazy FP. В старых ядрах Linux для защиты можно использовать опцию "eagerfpu=on", которая присутствует начиная с ядра 3.7. Обновления пакетов с ядром подготовлены для Debian и ожидаются для Ubuntu, SUSE/openSUSE и RHEL (RHEL 7 подвержен уязвимости частично, так как уже использует по умолчанию режим переключения контекста Eager FP на CPU Intel Sandy Bridge и более новых системах). Патчи с устранением проблемы также приняты в кодовые базы FreeBSD, OpenBSD и DragonflyBSD. Отдельно исправления выпущены для гипервизора Xen.

Дополнение: Изначально Intel планировал опубликовать сведения об уязвимости в августе, но поводом к досрочному раскрытию информации стал доклад Тео де Раадта на конференции BSDCan 2018 (неофициальное видео), в рамках которого были презентованы свежие доработки ядра OpenBSD. Филипп Гюнтер (Philip Guenther) на основании слухов о некоей непонятной уязвимости в механизме загрузки/сохранения регистров сопроцессора подготовил и добавил в OpenBSD патч, который, как выяснилось позднее, действительно исправлял уязвимость. Так как проект OpenBSD не был официально проинформирован об уязвимости, он не подпадал под эмбарго на разглашение. После доклада Колин Персиваль (Colin Percival), базируясь на озвученной информации, за пять часов написал эксплоит. В итоге корпорация Intel была вынуждена досрочно публично признать факт наличия очередной уязвимости в процессорах."
(ц)


4
Цитировать
После шести лет c момента релиза прошлой стабильной ветки состоялся выпуск файлового менеджера Thunar 1.8.0, развиваемого в рамках проекта Xfce. При разработке Thunar основное внимание уделяется обеспечению высокой скорости работы и отзывчивости, в сочетании с предоставлением простого в использовании, интуитивно понятного и избавленного от излишеств интерфейса.

Основные новшества:

Переход с GTK+2 на использование GTK+3;
Полная переработка панели для отображения текущего файлового пути. На панель добавлены кнопки для перехода к ранее открытым и следующим путям, перехода в домашний каталог и родительский каталог. В правой части панели появилась пиктограмма, клик на которой открывает диалог для редактирования строки с файловым путём. На скриншоте ниже для сравнения показаны старый и новые варианты панели;

Обновлён Thunar Plugin API (thunarx), в котором представлена поддержка интроспекции GObject и использования биндингов на различных языках программирования. При переходе на Thunar 1.8.0 требуется обновление всех плагинов (пакет thunar-plugins) и использование новой версии xfdesktop (4.13.2+);
Обеспечено отображение размера файлов в байтах;
Добавлен unit-файл для systemd для запуска сервисов через D-Bus;
Появилась возможность назначения обработчиков для выполнения определённых пользователем действий;
Реализована возможность использования Thunar UCA (User Configurable Actions) для внешних сетевых ресурсов;
Обновлены пиктограммы с корзиной;
Проведена оптимизация стилистики и интерфейса.
Новость на Opennet.

5
Цитировать
Полтора года назад компания Microsoft представила открытый проект "GVFS" (Git Virtual File System) с реализацией виртуальной файловой системы для Git, что вызвало недовольство части сообщества из-за использования имени, уже применяемого проектом GNOME (GVFS - Gnome Virtual File System) для своей виртуальной ФС с 2007 года. Представители сообщества много раз пытались донести до Microsoft информацию о порочности использования идентичного имени со сходным проектом, но они игнорировались компанией.

Три дня назад очередной энтузиаст опять попытался обратить внимание на проблему, но созданный им тикет был закрыт с отказом. В обращении пользователь указал на пренебрежительное отношение Microsoft к сложившейся экосистеме СПО и не желание считаться с другими проектами, а также предложил оценить реакцию если бы кто-то создал новую ФС с именем NTFS.

Во время создания GVFS от Microsoft в области виртуальной ФС уже давно существовал GVFS от GNOME, который был широко известен в среде разработчиков открытого ПО и упоминался в многочисленных источниках (разработчикам из Microsoft достаточно было набрать GVFS в поисковой системе, что бы узнать, что открытый проект с таким именем уже существует). Тем не менее, Microsoft не стал считаться с данным фактом и назвал свой открытый проект GVFS, что привело к путанице.

После очередного отказа переименовать GVFS, в свете покупки GitHub и заявлений, что компания изменилась и в этом можно будет убедиться по её будущим поступкам, тему с GVFS подхватили СМИ и развернулся очередной всплеск обсуждений в сообществе. В ответ компания Microsoft переосмыслила свою позицию, пообещала переименовать проект и предложила сообществу высказать свои предложения по поводу нового имени.
Новость на Opennet.

6
Цитировать
Доступен выпуск консольного файлового менеджера Midnight Commander 4.8.21, распространяемого в исходных текстах под лицензией GPLv3+.

Список основных изменений:

В диалоге расширенного изменения прав доступа ("Advanced chown") добавлена поддержка манипуляций мышью;
Настройка выделения файлов в зависимости от расширения ("extensions=...") теперь по умолчанию не чувствительна к регистру символов;
Добавлена отмена операции изменения владельца или прав доступа на большую группу файлов, если на выполнение данного действия нет полномочий;
Реализован безопасный вариант диалога перезаписи файла (по умолчанию выделена опция отмены перезаписи);
Добавлена поддержка формата сжатия ZSTD;
Во встроенном редакторе добавлена поддержка подсветки синтаксиса для кода на языке Rust, а также добавлена поддержка синтаксиса модулей JavaScript и улучшена поддержка разметки Markdown;
В mc.ext.in добавлена поддержка формата файлов табличного процессора Excel (xlsx);
Решена давняя проблема с выводом ошибки "-31" при передаче файлов по SFTP.
Новость на Opennet.

7
Цитировать
Доступен релиз видеоредактора Shotcut 18.06, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3.

В новом выпуске:

В меню управления свойствами клипа добавлена опция для реверса (Reverse);
В контекстное меню на шкале времени добавлена операция отсоединения звуковой дорожки (Detach Audio);
Расширено число фильтров, применяемых в панели Keyframes для определения ключевых кадров (добавлена поддержка фильтров Размытие, Маска и Насыщенность). Добавлены кнопки смены позиции и возможность добавления или удаления расширенных ключевых кадров через двойной клик мышью, а также возможность манипуляции мышью для настройки значения (при перемещении с нажатым Ctrl) и положения (при перемещении с нажатым Alt);
Добавлено несколько анимированных преднастроек для фильтров "Размер" и "Позиция";
Добавлен видеофильтр для изменения оттенка, яркости и насыщенности;
В фильтры копирования и обмена звуковых каналов добавлена поддержка объёмного звука 5.1;
Формат файлов с преднастройками переведён на использование YAML;
Сокращено потребление памяти в 32-разрядных сборках;
Библиотеки FFmpeg обновлены до версии 4.0, а MLT до ветки master в Git.
Новость на Opennet.

8
Новости / Релиз ядра Linux 4.17
« : Июнь 04, 2018, 19:07:26 »
Много о хорошем:
Цитировать
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.17. Несмотря на то, что в процессе цикла разработки ядра 4.17 был преодолён рубеж в 6 млн объектов в Git, Линус решил сохранить интригу и не воспользовался данным поводом для увеличения номера значительной версии ядра, как это делалось для веток 3.x и 4.x. По ощущениям Линуса переходить на нумерацию 5.x ещё рано и скорее всего это произойдёт ко времени выпуска 4.20.
Новость на Opennet.

Spoiler: Подробности • показать
"Среди наиболее заметных изменений в ядре 4.17: удаление 8 устаревших процессорных архитектур, добавление в XFS опции lazytime, полная реализация протокола TLS на стороне ядра, защита от уязвимостей Spectre 3a/4, оптимизация планировщика задач для мобильных и встраиваемых систем, снижение энергопотребления в состоянии простоя, поддержка архитектуры Andes Technologies NDS32, поддержка GPU AMD Vega12 и Intel Cannonlake, реализация алгоритмов блочного шифрования SM4 и Speck, стабилизация протокола SMB 3.1.1, поддержка SELinux в SCTP.

В новую версию принято 14.7 тысяч исправлений от 1400 разработчиков, размер патча - 70 Мб (изменения затронули 14170 файлов, добавлено 648108 строк кода, удалено 827247 строк). Около 38% всех представленных в 4.17 изменений связаны с драйверами устройств, примерно 22% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 11% связано с сетевым стеком, 4% - файловыми системами и 4% c внутренними подсистемами ядра.

Основные новшества:

Виртуализация и безопасность
Доведена до полноценного состояния реализация протокола TLS на уровне ядра (KTLS), использование которой позволяет добиться существенного повышения производительности приложений, использующих HTTPS. Реализация выполнена в виде модуля ядра, предоставляющего новый тип сокетов AF_KTLS, которые можно использовать для передачи данных по протоколам TLS 1.2 для TCP и DTLS 1.2 для UDP с применением шифра AES GCM. Добавленный ранее вариант модуля KTLS ограничивался поддержкой передающей стороны, но отныне в ядро включены и компоненты для согласования соединения на стороне получателя, т.е. в ядре теперь имеются все компоненты для полноценной поддержки TLS;
Добавлен код для защиты от уязвимостей Spectre 3a и Spectre 4 в механизме спекулятивного выполнения инструкций CPU (нераскрытыми остаются ещё 6 проблем из группы Spectre-NG). Кроме включения исправлений на стороне ядра для обеспечения защиты также обязательно требуется обновление микрокода - защита строится на применении MSR-бита SSBD (Speculative Store Bypass Disable), поддержка которого представлена в новом микрокоде. По предварительной оценке включение защиты приводит к снижению производительности на 2-8%. Так как применение защиты от Spectre 4 не всегда оправдано, для её отключения предусмотрена опция speculative_store_bypass_disable, в SECCOMP добавлен специальный флаг и код для автоматического отключения SSB для изолированных процессов, а для приложений предложен новый интерфейс prctl, при помощи которого программы могут определять наличие защиты и выборочно отключать её для отдельных процессов;
В ядро встроена поддержка блочного шифра Speck, разработанного Агентством национальной безопасности США. Шифр примечателен очень высокой производительностью программной реализации, которая обгоняет AES на системах без наличия средств аппаратного ускорения AES;
Добавлена поддержка шифрования AES в режиме CFM (Cipher Feedback Mode), наличие которого определено в спецификации TPM2 (Trusted Platform Module);
Реализована поддержка алгоритма блочного шифрования SM4 (GB/T 32907-2016), стандартизированного для учреждений Китая и применяемого в китайском стандарте Wireless LAN WAPI;
В протоколе SCTP обеспечена полноценная поддержка SELinux;
Добавлена возможность управления модулями AppArmor через сокет;
Дисковая подсистема, ввод/вывод и файловые системы
Для файловой системы XFS реализована поддержка опции монтирования lazytime, которая даёт возможность отследить время обращения к файлам, но не приводит к возникновению большого числа паразитных операций записи в ФС. Основное отличие от "atime" состоит в том, что время доступа сохраняется в inode, хранящихся в оперативной памяти, и сбрасываемых на диск только при возникновении явных условий или истечения достаточно длительного таймаута (раз в 24 часа). Таким образом для работающих программ возвращается всегда точный atime, но на диске сведения сохраняются с большой задержкой;
В файловой системе ext4 повышена надёжность работы в условиях обработки некорректных образов ФС, специально модифицированных для вредоносных целей. При этом мэйнтейнер Ext4 по-прежнему считает плохой идеей предоставление доступа к монтированию произвольных ext4-образов из изолированных контейнеров;
В файловой системе Btrfs добавлена опция монтирования nossd_spread, отключающая режим оптимизации ssd_spread, при котором при размещении данных осуществляется поиск наибольшей неиспользуемой области на SSD-накопителе. Проведена работа по ускорению операции перестроения массива в режимах RAID5/RAID6. Удалены операции ioctl() с реализацией функциональности управляемых транзакций, которая оказалась невостребованной и не примется на практике;
С реализации SMB 3.1.1 снят признак экспериментальной разработки. В CIFS добавлена поддержка представленной в спецификации SMB 3.1.1 возможности обеспечения целостности на стадии до прохождения аутентификации. Метод основан на использовании криптографических хэшей на этапе согласования сеанса связи и позволяет защититься от MITM-атак с подменой сообщений для отката на менее защищённые схемы аутентификации;
В файловой системе F2FS добавлена поддержка помещения в каталог lost+found файлов, потерянных в результате сбоя, но выявленных утилитой fsck. Добавлена опция монтирования fsync_mode, позволяющая выбрать метод вызова fsync для сброса данных на накопитель (поддерживается два режима - posix и strict). Проведена оптимизация производительности для маломощных устройств;
В файловой системе OverlayFS появилась опция монтирования "xino", обеспечивающая сохранения идентификатора ФС в составе номера inode, что позволяет зафиксировать имена inode и гарантировать, что они не будут меняться во времени. Предложенная опция предотвращает появлением в разное время разных номеров inode для одного файла, что может приводить к проблемам в приложениях, манипулирующих данными на уровне inode;
Память и системные сервисы
Для более оптимальной работы в условиях нагрузок, свойственных для мобильных и встраиваемых систем, доработан код оценки нагрузки в планировщике задач, прогнозирующий сколько ресурсов CPU может израсходовать каждый работающий процесс для оптимизации выбора режимов работы CPU и распределения процессов по ядрам CPU;
В системный вызов bpf() добавлена новая команда BPF_RAW_TRACEPOINT, позволяющая привязать BPF-обработчик к точке трассировки (tracepoint - вариант динамических printf(), выставляемых разработчиками программ для анализа поведения системы, к которым затем можно обращаться из LTTng, perf, SystemTap, ftrace). Работа осуществляется без предварительной обработки аргументов tracepoint на стадии до вызова BPF-программы, что позволяет минимизировать накладные расходы при трассировке, но усложняет написание BPF-программы;
Переработан код для обработки состояний простоя процессора (idle loop), в котором сокращено число краткосрочных переходов на неглубокие уровни экономии энергии. Перевод процессора в состояние idle теперь осуществляется только если планировщик прогнозирует нахождение в данном состоянии достаточно долгое время. В проведённых разработчиками тестах в состоянии простоя потребление энергии после внесения изменений снизилось на 10% и больше. Кроме того возросла производительность некоторых видов нагрузки, на которые негативно влиял переход в idle-режим;
Проведена чистка кода подсистемы CPUFreq;
В команде "perf script" добавлена поддержка скриптов на языке Python 3. В систему трассировки добавлен новый режим "histogram trigger", обеспечивающий формирование вывода данных трассировки в виде наглядных гистограмм;
Для сборки ядра на системах x86 теперь необходим компилятор с поддержкой специфичного для GCC выражения "asm goto", которое присутствует начиная с GCC 4.5, но пока не поддерживается в Clang. Кроме того, сборка модулей lexer и parser теперь производится в рамках общего сборочного процесса и требует наличия flex и bison (раньше данные модули поставлялись в репозитории в готовом виде);
Проведена массивная чистка кода от прямого обращения к реализациям системных вызовов внутри ядра. Чистка проведена с целью повышения гибкости интерфейса системных вызовов и упрощения дальнейшей работы по удалению вызовов set_fs(). Изменён и унифицирован механизм обращения к системным вызовам на оборудовании с архитектурой x86-64. Новая схема обращения к системным вызовам обеспечивает защиту от попадания в обработчик системного вызова неиспользуемых, но контролируемых атакующим, данных (например подобная техника была использована в недавней атаке на системы, неверно интерпретировавшие описание поведения инструкций MOV SS/POP SS в документации);
В состав принята подсистема LKMM (Linux Kernel Memory Consistency Model), включающая набор утилит (размещены в каталоге tools/memory-model/) для формального описания модели связи разных областей памяти ядра. Инструментарий даёт возможность генерировать модули ядра с тестовыми проверками, позволяющими тестировать различные методы работы ядра с памятью и выявлять проблемы связанные с организацией работы блокировок при попытках одновременного доступа к памяти;
Поведение таймера CLOCK_MONOTONIC приведено в соответствие с таймером CLOCK_BOOTTIME, т.е. таймер теперь учитывает время проведённое системой в спящем режиме без формирования разрыва. Потенциально унификация CLOCK_MONOTONIC и CLOCK_BOOTTIME может привести к нарушению поведения приложений, но проблемы, возникающие из-за пропуска времени, проведённого в спящем режиме, явно перевешивают. Для тех приложений которым действительно нужно учитывать только время в активном состоянии предложен таймер CLOCK_MONOTONIC_ACTIVE;
Представлена новая ioctl-команда INOTIFY_IOC_SETNEXTWD, позволяющая задать номер дескриптора, который должен быть возвращён при создании следующего дескриптора (используется при заморозке состояния системы при выполнении checkpoint/restart);
В системный вызов mmap() добавлена опция MAP_FIXED_NOREPLACE, которая пытается разместить новый регион памяти по адресу, заданному пользователем, но в отличие от MAP_FIXED без замены уже существующего маппинга по данному адресу (при пересечении будет выдана ошибка EEXIST);
Сетевая подсистема
Протокол RDS (Reliable Datagram Sockets), позволяющий создавать сокеты для надёжной передачи датаграмм поверх TCP-линков, расширен поддержкой режима zero-copy, позволяющего передавать данные без промежуточной буферизации;
Реализована возможность применения BPF-скриптов для фильтрации трафика, отправленного через системные вызовы sendmsg() и sendfile();
В системные вызовы bind() и connect() добавлен набор специфичных для cgroups точек подключения BPF-обработчиков. Присоединённые BPF-скрипты могут изменять поведение работы данных системных вызовов;
С нарушением обратной совместимости изменено 32-разрядное ABI для RDMA. Решение о нарушении совместимости принято так как данный режим пока не используется в реальных приложениях;
Поддержка архитектур
Проведена одна из крупнейших чисток кодовой базы от устаревшего кода (удалено 467 тысяч строк кода), в ходе которой удалена поддержка архитектур blackfin, cris, frv, m32r, metag, mn10300, score и tile, а также специфичные для данных архитектур драйверы. Ныне данные архитектуры не используются для создания процессоров, так как производителям дешевле лицензировать более новые ядра CPU от ARM, MIPS или RISC-V. Прошивки для ранее выпущенных чипов остаются на старых версиях ядра Linux и давно не обновлялись до новых веток;
Добавлена поддержка архитектуры CPU NDS32, развиваемой компанией Andes Technologies, и реализованных на её основе процессорных ядер N13, N15, D15, N10 и D10. NDS32 продолжает развитие 16/32-разрядной RISC-подобной архитектуры AndeStar и воплощена в новой серии настраиваемых процессоров AndesCore, которые охватывают широкий диапазон применения во встраиваемой технике, от компактных решений для микроконтроллеров и DSP до специализированных процессоров для ускорения определённых приложений и высокопроизводительных (1GHz+) систем общего назначения с возможностью запуска Linux;
Добавлена поддержка появившегося в процессорах SPARC M7 механизма обеспечения целостности данных приложения (ADI, Application Data Integrity). Новая возможность позволяет приложению установить метки на адреса виртуальной памяти (метки представляют собой четырёхбитовые значения, прикреплённые к адресу). В случае последующего обращения к указанной области по адресу без метки будет сгенерировано исключение;
Для архитектуры ARM реализована поддержка интерфейса SCMI (System Control and Management Interface), представляющего набор возможностей для управления системой и питанием;
Для 64-разрядных систем PowerPC реализована возможность адресации до 4 ПБ ОЗУ;
Прекращена поддержка процессоров POWER4, код для которых находился в неработоспособном виде с 2016 года и никто не обратил на это внимание, что свидетельствует об отсутствии пользователей, заинтересованных в данных CPU;
Оборудование
В DRM-драйвер AMDGPU добавлена полноценная поддержка GPU AMD Vega12. Для всех поддерживаемых GPU включена по умолчанию прослойка AMD DC (Display Core) с реализацией переработанного кода для управления отображением и поддержкой таких возможностей, как вывод звука через HDMI и DisplayPort, HDMI 2.0 и атомарное переключение видеорежимов. Проведена реструктуризация кода для использования технологии Powerplay. Прекращена поддержка менеджера управления видеопамятью TTM. Добавлены средства для контроля за энергопотреблением в стиле Radeon WattMan (позволяет управлять вольтажом, частотой движка и памяти, скоростью вращения кулера, получать сведения о температуре);
В драйвере amdkfd для dGPU (дискретные GPU, такие как Fiji, Tonga, Polaris) добавлена поддержка GPUVM и обработки событий KFD, что позволяет запустить поверх ядра стек OpenCL без применения сторонних модулей;
В DRM-драйвере Intel включен по умолчанию код для поддержки чипов Cannonlake (Gen 10). Добавлена поддержка технологии защиты HDCP (High-bandwidth Digital Content Protection) для шифрования видеосигнала, передаваемого через интерфейсы DVI, DisplayPort, HDMI, GVIF или UDI, с целью улучшения совместимости с существующим оборудованием (спецификация требует применения HDCP при передаче потоков звука в формате TrueHD). Добавлена поддержка портов AUX-F. Предоставлена возможность использования сжатого фреймбуфера для спрайтов. Реализован интерфейс Query uAPI. Обеспечено урезание кэша kmem во время простоя GPU;
В драйвер Nouveau внесены только мелкие правки, более заметные исправления отложены до следующего выпуска из-за наличия нерешённых проблем;
Добавлена поддержка панелей ARM Versatile, AUO G104SN02 V2, KEO TX31D200VM0BAA и Raydium RM68200 720x1280 DSI, HDMI-ресиверов NXP TDA1997x и SoundGraph iMON, тюнеров Sony CXD2880 DVB-T2/T;
Добавлен драйвер для гигабитных ethernet-адаптеров Microchip LAN743x;
Добавлена поддержка защищённых процессоров ARM TrustZone CryptoCell и аппаратных генераторов случайных чисел TI Keystone NETCP SA;
Добавлена поддержка устройств вывода звука с интерфейсом USB, соответствующих спецификации USB Audio Class 3.0;
Добавлена поддержка новых SoC Allwinner H6, ST STM32MPU, NVIDIA Tegra Tegra194 ("Xavier"), NVIDIA P2972. Добавлена поддержка плат Libre Computer Card ROC-RK3328-CC, Orange Pi Zero+, Teres-I, Olimex som204, Banana Pi M2 Zero, а также плат на базе Nuvoton NPCM и смартфонов Samsung Galaxy S3 и Galaxy S5 на базе SoC Exynos4 и MSM8974.
Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 4.17 - Linux-libre 4.17-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В новом выпуске прекращена чистка блобов для чипа обработки звука Dreamcast Yamaha AICA, прошивка для которого переведена в разряд СПО. Также прекращена чистка кода USB IrDA из-за удаления данной подсистемы из ядра. Проведена реорганизация кода загрузчика прошивок и скрипта builddeb. Обновлён код чистки блобов в драйверах i915, amdgpu, coda, s5p-mfc, wl1251 и brcmfmac."
(ц)

9
Немного о грустном:
Цитировать
По сведениям от издания Bloomberg компания Microsoft согласовала все основные вопросы, касающиеся сделки о покупке GitHub. Компании пока отказываются от комментариев, но публичные сведения о сделке планируется опубликовать в течение сегодняшнего дня.

После появления информации о продаже GitHub на конкурирующем сервисе GitLab, развиваемом в форме свободного проекта, наблюдается всплеск операций по импорту репозиториев - судя по всему началась массовая миграция пользователей на GitLab. Тем временем, старейший хостинг открытого кода SourceForge подготовил инструментарий для миграции проектов с GitHub на SourceForge. Аналогичный инструмент для переноса проектов с GitHub также представил сервис Bitbucket.
Новость на Opennet.

10
Новости / Релиз web-браузера Chrome 67
« : Май 30, 2018, 19:46:41 »
Цитировать
Компания Google представила релиз web-браузера Chrome 67. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.
Новость на Opennet.

Spoiler: Подробности • показать
"Основные изменения в Chrome 67:

Упрощён доступ к установленным дополнениям - в боковое меню раздела настройки параметров браузера добавлена отдельная ссылка на список дополнений;

В качестве эксперимента реализована опция (режим "Refresh" в "chrome://flags#top-chrome-md"), позволяющая оценить новый модернизированный интерфейс пользователя, оформленный в стиле Material Design и оптимизированный для устройств с сенсорными экранами (увеличенные отступы, скруглённое поле адресной строки, новая кнопка "+" для открытия вкладок, изменена расцветка панелей и полей ввода);

Добавлена функция записи всех сохранённых паролей в текстовый файл в формате CSV для последующего импорта в другие менеджеры паролей. Функция доступна в настройках (в меню "Saved Passwords" добавлен пункт "Export passwords...");

Оптимизировано отображение большого числа вкладок - в случае нехватки места на кнопке вместо скрытия пиктограммы сайта и отображения первой буквы заголовка теперь всегда показывается пиктограмма, даже если для её показа необходимо масштабирование;

Добавлена экспериментальная возможность (включается при запуске браузера с опцией"--enable-features=EnableCastLocalMedia") по трансляции произвольных звуковых и видео файлов на внешние устройства с поддержкой Google Cast. Для передачи следует выбрать в меню пункт "Cast...", выбрать устройство для передачи ("Cast to") и указать передаваемый файл ("Cast file");

В версии для Android оптимизировано отображение в адресной строке длинных URL и обеспечено автоматическое скрытие типовых частей URL, таких как "https", "http" и "www";

На платформе macOS через контекстное меню предоставлен быстрый доступ к интерфейсу выбора Emoji;

Расширены возможности версии Chrome для iOS: улучшена обработка ссылок на iTunes, предложен новый менеджер загрузок с поддержкой продолжения загрузки в фоне;

Реализован API Generic Sensor, позволяющий web-приложениям получить доступ к различным датчикам, имеющимся на мобильном устройстве. В основе нового API лежит класс Sensor, поверх которого реализованы специфичные для разных типов датчиков классы:
Accelerometer можно использовать для координации просмотра 3D-видео через перемещение устройства в пространстве;
Gyroscope даёт возможность манипулировать положением устройства в играх, наподобие настольного лабиринта;
OrientationSensor позволяет оценивать изменение ориентации устройства, комбинируя показания от акселерометра и гироскопа (если в игре лабиринт гироскоп позволяет направлять движение в двумерном пространстве, то OrientationSensor даёт возможность использовать поворот устройства, чтобы повернуть за угол);
Motion Sensors - предлагает набор классов для оценки характера и изменения направления движения. В дополнение к акселерометру и гироскопу, позволяет учитывать данные от магнитометра, например, для создания виртуального компаса.
Добавлен "Origin Trial" для API WebXR Device, позволяющий получить доступ к компонентам для создания виртуальной и дополненной реальности и унифицировать работу с различными классами устройств, от стационарных шлемов виртуальной реальности, подобных Oculus Rift, HTC Vive и Windows Mixed Reality, до решений на базе мобильных устройств, таких как Google Daydream View и Samsung Gear VR. Origin Trial подразумевает возможность работы с указанным API из приложений, загруженных с localhost или 127.0.0.1, или после прохождения регистрации и получения специального токена, который действует ограниченное время для конкретного сайта.
Из приложений, в которых может быть применим новый API упоминаются программы для просмотра видео в режиме 360°, системы визуализации трёхмерного пространства, создание виртуальных кинотеатров для презентации видео, проведение экспериментов по созданию 3D-интерфейсов магазинов и галерей;


В JavaScript предложен новый числовой тип BigInt, позволяющий хранить целые числа произвольного размера, для которых недостаточно типа Numbers (например, идентификаторы и значения точного времени раньше приходилось хранить в виде строк);
В API Credential Management добавлен новый тип учётных данных PublicKeyCredential, который дополнил ранее доступные типы PasswordCredential и FederatedCredential возможностью проведения аутентификации с использованием закрытого и открытого ключа. Из аутентификаторов поддерживается USB-токен U2F/CTAP 1;
Прекращена поддержка HTTP-заголовка Public-Key-Pins (ручные привязки пока сохранены), позволяющего сайтам определять привязки открытых ключей с использованием механизма PKP (Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Вместо PKP разработчикам сайтов рекомендуется использовать HTTP-заголовок Expect-CT c SCT-параметрами (SignedCertificate Timestamps) для выявления некорректных SSL-сертификатов при помощи системы Certificate Transparency, которая предусматривает возможность отмены ошибочных привязок;
В JavaScript-движке V8 продолжено усовершенствование средств для защиты от выполнения не заслуживающего доверия кода и блокирования атак по сторонним каналам, таким как Spectre. В частности, расширена категория пользователей которым для тестирования предлагается режим строгой изоляции сайта, предоставляющий дополнительную защиту от атак благодаря тому, что страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox;
В DOM предоставлена возможность добавления собственных HTML-элементов, расширяющих функциональность существующих HTML-тегов (например, для тега button можно добавить анимацию);
В API Streams добавлен класс TransformStream для создания и передачи данных в форме потока (pipe) между ReadableStream и WritableStream. В качестве примера использования TransformStream приводится организация перекодирования текста ответа на запрос;
В число обрабатываемых событий мыши помимо mousedown, auxclick и mouseup добавлены события для кнопок вперёд и назад, которые имеются в моделях мышей с 5 и более кнопками;
Поддержка AppCache (технология для организации работы web-приложения в offline-режиме) переведена в разряд устаревших, удаление запланировано на выпуск Chrome 69. В качестве причины называется желание избавиться от одного из векторов для совершения атак, связанных с межсайтовым скриптингом.
Кроме нововведений и исправления ошибок в новой версии устранены 34 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 24 премии на сумму 32.5 тысячи долларов США (две премии по $5000, по одной премии в $4500, $3000, $1500 и $1000, пять премий $2000 и пять премий $500). Размер 8 вознаграждений пока не определён."
(ц)

11
Цитировать
Представлен новый выпуск графического редактора GIMP 2.10.2, который в основном носит корректирующий характер и устраняет 44 проблемы, выявленные в релизе GIMP 2.10. Кроме исправления ошибок в новой версии также представлено несколько новшеств:

Добавлена поддержка формата изображений HEIF, который использует методы внутрикадрового кодирования из HEVC;
Добавлен фильтр Spherize для оборачивания изображения вокруг сферического колпака. Фильтр основан на операции gegl:spherize;

Добавлен фильтр рекурсивной трансформации (Recursive Transform) для создания эффекта Дросте. Фильтр основан на операции gegl:recursive-transform;

Налажен процесс создания скриншотов одного выбранного окна в Windows, если это окно выходит за край экрана или частично перекрывается другими окнами;
Вычисление гистограмм перенесено в отдельные потоки, что позволило избавиться от подвисаний интерфейса в определённых случаях;
Актуализирована документация на формат XCF.
Также отмечается успешное продвижение работы над веткой GIMP 3, в которой будет проведена значительная чистка кодовой базы и осуществлён переход на GTK3+. За месяц в новую ветку было добавлено более 200 коммитов.
Новость на Opennet.

12
Цитировать
Разработчики дистрибутива Lubuntu сообщили о решении окончательно перейти на окружение рабочего стола LXQt (Qt Lightweight Desktop Environment), развиваемое объединённой командой разработчиков проектов LXDE, Razor-qt и Hawaii. Выпуск Lubuntu 18.10 выйдет официально с LXQt.

Напомним, что инициатива по переводу Lubuntu с LXDE на LXQt была запущена в 2014 году, но миграция многократно откладывалась и дистрибутив до сих пор поставляется с LXDE. Начиная с выпуска Lubuntu 17.10 пользователям предлагается дополнительная тестовая редакция Lubuntu Next с LXQt, помимо штатных сборок с LXDE. Основной причиной миграции является стагнация, прекращение развития (по сути LXQt и есть продолжение развития LXDE) и перевод LXDE в режим сопровождения. LXDE остаётся привязан к GTK 2 и изменение ситуации не предвидится. LXQt активно развивается, основан на Qt 5 и избавлен от привязок к GNOME. LXQt помечен стабильным начиная с выпуска 0.11 (LXQt 1.0 ожидается только после готовности поддержки Wayland).
Новость на Opennet.

13
Эпичненько так, помнится у меня вопрошали некоторые товарищи: "а что плохого в снап-пакетах, это же для удобства пользователя, как в виндоус". Действительно: как в Виндоус.
Цитировать
Пользователи Ubuntu обратили внимание на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb, в частности проблема присутствует в пакете hextris.

После поступления сообщения о проблеме вредоносные пакеты были удалены из репозитория. Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий.

Код майнинга был камуфлирован под процесс systemd и поставлялся как /snap/$name/current/systemd. На системах с более чем 4 ядрами CPU процесс майнинга запускался в 2 потока, на остальных системах в однопоточном режиме. Интересно, что пакет 2048buntu поставлялся как проприетарное ПО, в то время как распространяемая в нём игра 2048 распространяется под лицензией MIT (мошенник, создавший вредоносный пакт, не связан с разработчиками игры).

Тем временем в каталоге Chrome Web Store выявлено семь вредоносных дополнений к браузеру Chrome, общая пользовательская база которых превышает 100 тысяч установок. Для защиты от удаления с систем пользователя вредоносные дополнения автоматически закрывали вкладку со списком дополнений сразу после попытки её открытия и заносили в локальный чёрный список связанные с безопасностью утилиты и инструменты Facebook и Google для выявления вредоносной активности. Для распространения дополнений среди пользователей применялись методы социальной инжинерии - в Facebook распространялась ссылка на фиктивный ролик в YouTube, при клике на который запрашивалась установка дополнения.


После установки вредоносных дополнений системы пользователей подключались к ботнету. Интегрированный в дополнения вредоносный код позволял перехватывает параметры учётных записей в Facebook и Instagram, собирал конфеденциальные данных из Facebook, выполнял майнинг криптовалют, совершал подмену ссылок при кликах в YuoTube и рассылал друзьям в Facebook ссылки на фиктивные ролики, требующие установки вредоносных дополнений (создавалась цепочка для привлечения новых жертв). В ходе работы встроенного майнера злоумышленникам за неделю удалось заработать около $1000 (преимущественно применялась криптовалюта monero).


Проблемы присутствуют в дополнениях Alt-j, Nigelify, PwnerLike, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate и iHabno. Спустя несколько часов после их выявления компания Google удалила проблемные дополнения из каталога Chrome Web Store и инициировала процесс удаления с систем пользователей.
Новость на Opennet.

14
Цитировать
Доступно обновление браузера Chrome 66.0.3359.170, в котором устранено четыре уязвимости, одной из которых присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали о критической уязвимости пока не раскрываются (доступ к информации будет открыт после того, как большая часть пользователей установит обновление).

Остальные три проблемы помечены как опасные: CVE-2018-6121 позволяет повысить свои привилегии в дополнениях, CVE-2018-6122 связана с неверной интерпретацией типов в V8, CVE-2018-6120 приводит к переполнению буфера при открытии специально оформленных PDF-файлов в PDFium.

Дополнительно можно отметить, что в опубликованном 9 мая релизе Firefox 60 было устранено 54 уязвимости, из которых 30 помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. 10 критических проблем сведены под CVE-2018-5150 и также проявляются в прошлой ESR ветке Firefox 52, а 20 проблем опубликованы под CVE-2018-5151. Информация об уязвимостях была опубликована не сразу, а лишь через несколько часов после анонса, поэтому данные об уязвимостях не вошли в новость о выходе Firefox 60.
Новость на Opennet.

15
Новости / Вышел X.Org Server 1.20
« : Май 11, 2018, 18:20:46 »
Цитировать
После полутора лет разработки опубликован релиз X.Org Server 1.20. В новой версии реализовано расширение DRI3 1.2, в XWayland добавлена поддержка проприетарного драйвера NVIDIA, интегрированы средства прямого вывода на шлемы виртуальной реальности, в xf86-video-modesetting и GLAMOR добавлена поддержка 30-битной глубины цвета, представлена новая система сборки на основе Meson.
Новость на Opennet.

Spoiler: Основные изменения: • показать

"Добавлена поддержка расширения RandR 1.6, предоставляющего средства для выполнения таких функций, как динамическое изменение разрешения экрана, вращение, трансформация и зеркалирование корневого окна, управление отображением данных на дополнительных мониторах. В новой версии RandR добавлена поддержка передачи ресурсов RANDR для эксклюзивного использования клиентом (Output Leases), что необходимо при использовании шлемов виртуальной реальности. При помощи Output Leases клиент может получить прямой доступ к устройствам вывода, в обход X.Org Server (например, система композитинга виртуальной реальности может получить прямой доступ к шлему без какого-либо обращения к X.Org Server);
В драйвер xf86-video-modesetting и архитектуру 2D-ускорения GLAMOR, в которой для ускорения 2D-операций используется OpenGL и шейдеры, добавлена поддержка 30-битовой глубины цвета (deep color);
В драйвер xf86-video-modesetting добавлена поддержка атомарного переключения видеорежимов;
Добавлена новая система сборки на основе инструментария Meson (поддержка autotools сохранена);
При выводе с использованием технологии PRIME (применяется для организации совместного использования буферов несколькими драйверами, например, при использовании гибридных графических систем) обеспечено применение метода "page flipping", при котором вместо копирования содержимого буфера в видеопамять, применяется техника быстрого переключения между двумя буферами в видеопамяти - пока один из буферов заполняется, другой отображается на экране;
В xorg.conf добавлена поддержка сопоставления классов устройств вывода при помощи директивы OutputClass;
Обновлён DDX-компонент XWayland, который позволяет обеспечить работу прослойки для выполнения немодифицированых приложений X11 в окружении на базе Wayland. В XWayland добавлена поддержка планшетов и захвата ввода. Реализована возможность использования EGLStreams, обеспечившего возможность работы XWayland с проприетарным драйвером NVIDIA. В XWayland также появилась возможность переключения между буферами с использованием расширения Present в привязке к отдельным окнам;
Интегрирована предложенная компанией NVIDIA GLX-библиотека libglxvnd (OpenGL Vendor-Neutral Driver), которая представляет собой программный диспетчер, осуществляющий перенаправление команд от 3D-приложения к той или иной реализации OpenGL, давая возможность использовать разные драйверы OpenGL для разных X-экранов;
Добавлена поддержка расширения DRI3 1.2 с возможностью использования технологии синхронизации DMA-буферов ("DMA Fences"). Например, при использовании единого буфера для драйверов web-камеры и видеокарты, DMA Fences позволяет дождаться заполнения буфера web-камерой перед отрисовкой GPU, чтобы избежать вывода не полностью выведенного в буфер изображения."
(ц)

Страницы: [1] 2 3 ... 10