Организация OSI выработала критерии открытости AI-систем

• Возможность использования в любых целях без необходимости получения отдельного разрешения;
• Возможность изучения работы системы и инспектирования её компонентов;
• Возможность внесения изменений для любых целей, включая изменение выводимой системой информации;
• Возможность передачи другим лицам как исходного варианта, так и редакции после внесения изменений, без ограничения целей использования.

Для предоставления возможности внесения изменений открытая AI-система должна включать:

• Детальную информацию о данных, использованных при обучении, и методологии обучения. Информации должно быть достаточно для того, чтобы профессиональный разработчик смог своими силами воссоздать эквивалентную AI-систему, используя для обучения те же самые или похожие данные.
• Исходный код, позволяющий как запустить AI-систему, так и выполнить процесс её обучения. Код также должен охватывать такие области, как препроцессинг, проверка данных и токенизация. Кроме того, должно быть предоставлено детальное описание архитектуры модели.
• Параметры модели (весовые коэффициенты), подразумевающие наличие готового к использованию среза состояния после обучения или наличие финального оптимизированного варианта модели.

Большие языковые модели машинного обучения, признанные соответствующими подготовленным критериям: Pythia (Eleuther AI), OLMo (AI2), Amber (LLM360), CrystalCoder (LLM360) и T5 (Google).

Большие языковые модели машинного обучения претендующие на соответствие, но требующие внесения изменений в лицензии или плавила использования: BLOOM (BigScience), Starcoder2 (BigCode) и Falcon (TII).

Большие языковые модели машинного обучения, признанные не соответствующими критериям открытых AI-систем, в силу отсутствия необходимых компонентов или из-за наличия требований, несовместимых с принципами Open Source: Llama2 (Meta), Grok (X/Twitter), Phi-2 (Microsoft) и Mixtral (Mistral).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62127

Forth - The New Synthesis Growing Forth with preForth and seedForth

https://www.youtube.com/watch?v=5vYUTQAfzr4

#Forth

Опубликовано пользовательское окружение Sway 1.10, использующее Wayland

Sway позволяет размещать окна на экране не пространственно, а логически. Окна располагаются, образуя сетку, оптимально использующую экранное пространство и позволяющую быстро манипулировать окнами только при помощи клавиатуры. Совместимость с i3 обеспечена на уровне команд, файлов конфигурации и IPC, что позволяет использовать Sway в качестве прозрачной замены i3, использующей Wayland вместо X11.

Для обустройства полноценного пользовательского окружения предлагаются сопутствующие компоненты: swayidle (фоновый процесс с реализацией ждущего режима), swaylock (хранитель экрана), mako (менеджер уведомлений), grim (создание скриншотов), slurp (выделение области на экране), wf-recorder (захват видео), waybar (панель приложений), virtboard (экранная клавиатура), wl-clipboard (работа с буфером обмена), wallutils (управление обоями рабочего стола).

Sway развивается как модульный проект, построенный поверх библиотеки wlroots, в которую вынесены все базовые примитивы для организации работы композитного менеджера. Wlroots включает бэкенды для абстрагирования доступа к экрану, устройствам ввода, отрисовки без прямого обращения к OpenGL, взаимодействию с KMS/DRM, libinput, Wayland и X11 (предоставляется прослойка для запуска X11-приложений на базе Xwayland). Помимо Sway библиотека wlroots активно используется и в других проектах. Кроме поддержки языков Си/С++, предоставляются обвязки для языков Scheme, Common Lisp, Go, Haskell, OCaml, Zig, Python и Rust.

В новом выпуске:

• Задействованы новые возможности библиотеки wlroots 0.18, такие как поддержка Wayland-протоколов linux-drm-syncobj-v1, alpha-modifier-v1, ext-foreign-toplevel-list-v1 и ext-transient-seat-v1, возможность использования цветовых профилей ICC для графического API Vulkan, поддержка операции сброса GPU и новый API отрисовки, не сохраняющий промежуточное состояние (stateless) и позволяющий получать информацию о пиксельных буферах из GPU.
• Код отрисовки переписан с использованием добавленного в wlroots API на базе графа сцены (scene graph). Отмечается, что переработка позволила добиться повышения производительности.
• Обеспечено восстановление состояния после сброса GPU.
• Добавлена команда для использования ICC-профилей для устройств вывода.
• Улучшен алгоритм настройки устройств вывода.
• Предоставлена возможность использования расширения протокола "tearing-control-v1" для отключения в полноэкранных приложениях вертикальной синхронизации (VSync) с кадровым гасящим импульсом, применяемой для защиты от появления разрывов при выводе (tearing). В мультимедийных приложениях появление артефактов из-за разрывов является нежелательным эффектом, но в игровых программах с артефактами можно смириться, если борьба с ними приводит к дополнительным задержкам.
• Добавлена поддержка расширения проткола "ext-transient-seat-v1" для создания временных независимых сеансов (seat), рассчитанных на использование вместе с виртуальными устройствами ввода. Например, в приложениях для подключения к удалённому рабочему столу, таких как VNC-клиент wayvn, можно создать для каждого пользователя отдельный сеанс с виртуальными клавиатурой и мышью.
• Добавлена поддержка расширения проткола "ext-foreign-toplevel-list-v1" для получения информации о поверхностях, размещённых на самом верхнем уровне (toplevel). Протокол позволяет организовать закрепление окон поверх другого содержимого, например, для реализации панелей и переключателей окон.
• Добавлена поддержка пятой версии протокола "xdg-shell", в которой предоставлены возможности для изменения позиции всплывающих окон и реализации кнопок свёртывания и раскрытия окна при декорировании окон на стороне клиента (CSD).
• Пакет dmenu_run, позволяющий использовать dmenu в роли интерфейса запуска приложений, убран из числа зависимостей в конфигурации по умолчанию.
• В файл конфигурации по умолчанию добавлено использование pactl для настройки горячих клавиш для изменения громкости и яркости, а также вызова утилиты grim для создания скриншота.
• Отключена по умолчанию поддержка устаревшего Wayland-протокола wl_drm, на смену которому пришёл протокол linux-dmabuf-v1.
• Удалена сборочная опция для включения поддержки Xwayland (включение Xwayland теперь зависит от сборочных настроек wlroots).

В ядре Linux оптимизирована реализация алгоритма CRC32C

    retpoline enabled  |   512 |   833 |  1024 |  2000 |  3173 |  4096 |
  ---------------------+-------+-------+-------+------ +-------+-------+
  Intel Haswell        | 35.0% | 20.7% | 17.8% |  9.7% | -0.2% |  4.4% |
  Intel Emerald Rapids | 66.8% | 45.2% | 36.3% | 19.3% |  0.0% |  5.4% |
  AMD Zen 2            | 29.5% | 17.2% | 13.5% |  8.6% | -0.5% |  2.8% |

   retpoline disabled: |   512 |   833 |  1024 |  2000 |  3173 |  4096 |
  ---------------------+-------+-------+-------+------ +-------+-------+
  Intel Haswell        |  3.3% |  4.8% |  4.5% |  0.9% | -2.9% |  0.3% |
  Intel Emerald Rapids |  7.5% |  6.4% |  5.2% |  2.3% | -0.0% |  0.6% |
  AMD Zen 2            | 11.8% |  1.4% |  0.2% |  1.3% | -0.9% | -0.2% |

Изначальный вариант CRC32C включал 128 развёрнутых циклов (unroll), что приводило к довольно большому коду. Так как современные процессоры c поддержкой выполнения инструкций не по порядку (out of order) могут выполнять команды параллельно, подобная оптимизация команд перехода в циклах получилась избыточной и приводила лишь к чрезмерно большому коду. Вместо 128 итераций в новом варианте было оставлено только 4, что не только сильно сократило объем кода, но и ускорило выполнение операции.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62123

Релиз десктоп-окружения Trinity R14.1.3, продолжающего развитие KDE 3.5

Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в системе KDE-приложений. Также присутствуют средства для корректного отображения интерфейса GTK-программ без нарушения единого стиля оформления.

Среди изменений:

• Добавлена начальная поддержка порталов Freedesktop (XDG Desktop Portal), применяемых для организации доступа к ресурсам пользовательского окружения из изолированных приложений. Для использования доступны порталы выбора файлов, доступа к учётной записи и Email.
• Добавлена новая тема оформления twin-style-mallory.
• В контекстное меню добавлены элементы для организации мозаичной (tiling) компоновки окон.
  
  
• В конфигуратор TDE Control Center добавлен модуль для настройки тачпадов.
• В конфигураторе по умолчанию скрыты модули для отсутствующего оборудования.
• В эмулятор терминала Konsole добавлены темный и светлый варианты цветовой темы Solarized.
• В состав включено приложение для чтение электронных книг tde-ebook-reader, представляющее собой порт FBReader, переведённый на использование библиотеки TQt.
• Добавлен порт программы форматировния кода UniversalIndentGUI, переведённый на TQt.
• Добавлена возможность работы интерфейса управления горячими ключами (khotkeys) в форме модуля к kded, а не только в виде отдельного приложения.
• Добавлена поддержка использования расширенных кнопок мыши "вперёд" и "назад" для перехода на следующие и предыдущие элементы в различных приложениях.
• В файловые менеджеры Dolphin и konqueror в контекстное меню добавлена опция для копирования в буфер обмена полного пути к файлу.
• В tdebase реализована поддержка интерфейса DCOP и глобальных клавиатурных комбинаций для перевода системы в спящий режим. Добавлена поддержка перемещения сетевых каталогов в корзину и возвращения из неё.
• В knetattach добавлена возможность подключения внешних каталогов, используя протокол SFTP.
• Налажена работа IRC-клиента ksirc.
• При запуске в Solaris и NetBSD реализована возможность использования звуковой системы sunaudio.
• Добавлена поддержка Python 3.13.
• Добавлена поддержка изображений в формате webp.
• Добавлена поддержка библиотеки libpoppler 24.04 и осуществлён переход с libpcre на libpcre2.
• Добавлена поддержка дистрибутивов OpenMandriva 5, OpenMandriva Cooker, Ubuntu 24.10 и Fedora 41.

Обновление дистрибутива TileOS 1.2

В отличии от Ubuntu Sway Remix, TileOS гораздо более открыт для различных изменений и кастомизаций, а также избавлен от каких-либо потенциальных проблем с авторскими правами (Ubuntu Sway Remix использует зарегистрированные товарные знаки Canonical, но официального ответа по поводу включения дистрибутива в официальное семейство Ubuntu до сих пор не получено). Для загрузки подготовлены сборки для архитектуры amd64 (в будущем планируется обеспечить поддержку arm64, в частности плат Raspberry Pi). Исходный код компонентов TileOS доступен на GitLab.

Основное внимание в TileOS уделяется оконным менеджерам, использующим протокол Wayland. Официально представлены редакции с рабочими столами Sway и River, в разработке находятся редакции с SwayFX (форк Sway, дополненный различными эффектами рабочего стола) и Qtile. Дистрибутив использует пакетную базу Debian Stable, однако из тестовой ветки переносятся различные улучшения, более свежие версии некоторого ПО и графических драйверов. Помимо этого, в состав включён ряд исправлений, оптимизирующих работу дисковой подсистемы и памяти, а также перенесены некоторые улучшения из Ubuntu, например монтирование дисков в файловом менеджере без запроса пароля, и другие.

В новом выпуске:

• Пакетная база синхронизирована с Debian 12.7;
• Ядро Linux обновлено до версии 6.6.57 (LTS);
• Пакет Mesa обновлён до версии 24.4.2;
• Мультимедийный сервер PipeWire обновлён до версии 1.2.5;
• Менеджер звуковых сеансов Wireplumber обновлён до выпуска 0.5.6;
• Представлена новая экспериментальная редакция, использующая мозаичный оконный менеджер Qtile, написанный и настраиваемый на языке Python. Qtile поддерживает как X11 так и Wayland, однако в TileOS Qtile Edition на данный момент поставляется только Wayland-сеанс (сеанс на базе X11 будет добавлен позднее, в качестве запасного варианта).

В Gentoo Linux реализована поддержка DTrace 2.0

Для использования DTrace в Gentoo теперь достаточно установить пакет dev-debug/dtrace, а все необходимые настройки уже включены в штатном ядре, предлагаемом в дистрибутиве. При ручной сборке ядра ebuild теперь будет выводить подсказку о тех опциях, которые следует включить для работы DTrace.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62116

Выпуск Tinygo 0.34, компилятора языка Go на базе LLVM

Скомпилированная программа напрямую может запускаться на микроконтроллерах, что позволяет применять подмножество языка Go для написания сценариев автоматизации. В текущем виде поддерживается более ста моделей микроконтроллеров, включая различные платы Adafruit, Arduino, BBC micro, ESP32, M5Stack, ST Micro, Digispark, Raspberry Pi Pico, Nordic Semiconductor, SiFive HiFive1, STM32, Makerdiary и Phytec. Для взаимодействия с датчиками и подключёнными внешними устройствами, а также для поддержки интерфейсов, таких как I2C, GPIO и SPI, предоставляются специальные драйверы.

В отличие от не обновлявшегося последние три года похожего компилятора emgo в tinygo сохранена оригинальная модель управления памятью Go с использованием сборщика мусора и вместо компиляции в представление на языке Си задействован LLVM для генерации эффективного машинного кода. В программах может без изменений использоваться уже существующий типовой код на языке Go, а также большая часть стандартных пакетов. Помимо генерации машинного кода в tinygo доступна поддержка сборки в формате WebAssembly с возможностью создания обособленных WebAssembly-приложений, используя интерфейс WASI (WebAssembly System Interface).

В новой версии реализована поддержка архитектуры MIPS с порядком следования байтов big-endian, а также добавлена поддержка плат RAKwireless RAK4631 и WaveShare ESP-C3-32S-Kit. Для экспорта WebAssembly-функций добавлена директива "//go:wasmexport". Проведена оптимизация производительности сборщика мусора. Добавлены новые опции командной строки "-C DIR" и "-ldflags='-extldflags=...'".

Источник: https://www.opennet.ru/opennews/art.shtml?num=62115

Выпуск дистрибутива Ubuntu Sway Remix 24.10

Окружение дистрибутива построено на основе Sway - композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера PCManFM-GTK3, и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего стола Azote, полноэкранного меню приложений nwg-drawer, утилиты для вывода содержимого скриптов на экран nwg-wrapper (используется для отображения подсказки по горячим клавишам на рабочем столе), менеджера настройки тем GTK, курсора и шрифтов nwg-look и скрипта Autotiling, автоматически компонующего окна открытых приложений на манер динамических мозаичных оконных менеджеров.

В состав дистрибутива входят программы как с графическим интерфейсом, такие как Firefox, Qutebrowser, Audacious, Transmission, Libreoffice, Pluma и MATE Calc, так и консольные приложения и утилиты, такие как музыкальный проигрыватель Musikcube, видеопроигрыватель MPV, утилита для просмотра изображений Swayimg, утилита для просмотра документов PDF Zathura, текстовый редактор Neovim, файловый менеджер Ranger и другие.

Другой особенностью дистрибутива является полный отказ от использования пакетного менеджера Snap, все программы поставляются в виде обычных deb-пакетов, в том числе веб-браузер Firefox, для установки которого задействован официальный PPA-репозиторий Mozilla Team. Установщик дистрибутива основан на фреймворке Calamares.

Основные изменения:

• Пакетная база обновлена до выпуска Ubuntu 24.10;
• Sway отныне запускается в качестве форк-процесса от утилиты ssh-agent, что позволило решить ряд проблем в работе ssh-agent (например генерацию новых SSH ключей) при работе в различных командных оболочках (zsh, fish и прочих);
• Обеспечен автоматически перезапуск панели Waybar при изменение её конфигурационного файла;
• Графический менеджер буфера обмена, реализованный на базе Rofi, заменён на nwg-clipman - графическую надстройку на базе GTK для менеджера буфера обмена Clipman;
• Меню приложений Rofi заменено на более легковесный и простой Fuzzel;
• Добавлена комбинация клавиш Mod+Ctrl_R для включения/отключения перехвата окнами нажатий различных комбинаций клавиш (например запуске виртуальных машин);
• Исправлены незначительные недоработки в оформлении и скриптах, устранен крах апплета показа погоды при отсутствии подключения к интернету, а также улучшены правила для окон приложений.

As maintainer of OSS Python scientific libraries, I'm seeing more users sharing screenshots of their error messages instead of copying and pasting them as text. I'm not sure why that's happening. But here's an advice:

Please, share plain text!

Because:
* Text is lightweight to send and store. #FrugalComputing
* Text is accessible: not all of us can see images.
* Text is easily parseable: I can search through it, copy it, paste it, quote it, reuse it.

my take on recent regrettable events in the #linux kernel community. https://laforge.gnumonks.org/blog/20241025-linux-maintainers-russian/

Создатель iptables выразил сожаление о том, во что превратилось Linux-сообщество

Как житель Германии он сравнивает подобную дискриминацию с действовавшим в чёрные времена его страны законом о родственной ответственности, который позволял привлечь человека к ответственности за преступления, совершённые членом его семьи. Конечно, исключение из процесса разработки ядра не сравнится с тюремным заключением, но принцип похожий - наказание следует не за конкретные поступки, а лишь за общение с тем, кто совершил осуждаемые поступки.

Помимо дискриминации разработчиков на основе их имени, email или работодателя, удивление вызвало то, что удаление произведено без каких-либо объяснений. Последующие разъяснения дали понять, что дело в санкциях, и удаление выполнено на основе консультации с юристами, но при этом не было предоставлено полного юридического анализа и не были отмечены вовлечённые в необходимость выполнения санкций субъекты (Linux Foundation? разработчики из США? Создатели дистрибутивов?).

Вельте полагал, что при разработке ядра значение имеет совместная работа отдельных разработчиков, независимо от того, кто их работодатели, а вклад в разработку оценивается по заслугам, а не по личности участника и не на основании работы в какой-то компании. Удаление из списка сопровождающих, по мнению Вельте, можно было понять, если бы конкретные разработчики были добавлены в санкционный список, но в рассматриваемом случае удалены люди, которые лишь предположительно могли быть связаны с подсанкционными компаниями.

Но даже в случае предоставления убедительных юридических доводов, перед фактическим исключением мэйнтейнеров было бы правильным провести публичное обсуждение, попытаться найти способ обойти требования юристов и организовать общественное движение против. В крайнем случае, если обходные пути не были бы найдены, по мнению Вельте, можно было ожидать гражданского неповиновения или оставления в файле MAINTAINERS пояснений о том, что удаление стало вынужденной мерой. Вместо этого наиболее значимые разработчики без лишней огласки в составе исправлений символьных драйверов применили патч с размытой формулировкой и тем самым проявили неуважение к работе удалённых участников и показали другим разработчикам как в сообществе люди относятся друг к другу.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62112

Нет ромофобии!

Опять погромы, опять жгут автомобили. Если «Лопатки-2019» повторятся, то потом расисты сожгут и дома. Я этого жду, а вот полиция будет делать вид, что она не понимает, что временно опустевшие дома обязательно попробуют поджечь.

Прошлые ромские погромы происходили в не настолько развоевавшейся и не настолько бесправной стране. #racism #romophobia #xenophobia #Korkino

Выпуск fheroes2 1.1.3, открытого движка Heroes of Might and Magic 2

Основные изменения:

• Возможность создавать карты на любом поддерживаемом языке.
• Увеличена скорость работы ИИ. - Исправлены недочеты ИИ при использовании заклинания "Портал" на карте приключений.
• Добавлена отсутствующая ранее анимация песчинок в песочных часах, отражающих прогресс хода соперника.
• Вертикальные кнопки теперь адаптируются по размеру для вмещения длинных слов при переводе.
• Исправлены ошибки при отрисовке окон режима "скрытого интерфейса".
• Исправлена логика заклинаний "Воскрешение", "Оживление", "Поднять нежить" при использовании на гексах с несколькими погибшими отрядами.
• Закрыто свыше 30 уведомлений об ошибках и предложений по улучшению проекта.

На соревнованиях Pwn2Own продемонстрированы взломы NAS, принтеров, умных колонок и IP-камер

Осуществлённые атаки:

• Смартфон Samsung Galaxy S24. Одна премия в $50,000 за эксплоит, охватывающий 5 уязвимостей, среди которых проблема, позволяющая выйти за пределы базового файлового пути (path traversal).
• Сетевое хранилище QNAP TS-464 NAS. 4 успешных взлома c использованием уязвимостей, связанных с использованием оставленных в прошивке криптографических ключей, некорректной проверкой сертификатов, подстановкой SQL-кода, подстановкой аргументов командной строки и подстановкой символа перевода строки. Участникам выплачено по одной премии в $40,000 и $10,000, и две премии в $20,000
• Сетевое хранилище QNAP QHora-322. 6 успешных взломов c использованием уязвимостей, связанных с подстановкой SQL-кода, отсутствием должной аутентификации, подстановкой команд и выходом за границ базового файлового пути. Участникам выплачено по одной премии в $100,000, $50,000, $41,750 и $23,000, а также две премии в $25,000.
• Сетевое хранилище True NAS X. Один взлом с премией в $20,000.
• Сетевое хранилище Synology BeeStation BST150-4T. 4 успешных взлома c использованием уязвимостей, связанных с подстановкой команд, обходом аутентификации и подстановкой SQL-кода. Участникам выплачено по одной премии в $40,000 и $20,000, а также две премии в $10,000.
• Сетевое хранилище Synology DiskStation DS1823xs+. 4 успешных взлома c использованием уязвимостей, связанных с некорректной обработкой аргументов, записью за пределы выделенного буфера и неверной проверкой сертификатов. Участникам выплачена одна премия в $40,000 и две премии в $20,000.
• Принтер Lexmark CX331adwe. Один взлом с премией в $20,000, эксплуатирующий уязвимость, вызванную неправильной обработкой типов (Type Confusion).
• Принтер HP Color LaserJet Pro MFP 3301fdw. Два успешных взлома c использованием уязвимостей, связанных с переполнением стека и неправильной обработкой типов. Выплачены две премии, размером $20,000 и $10,000.
• Принтер Canon imageCLASS MF656Cdw. Три успешных взлома c использованием уязвимостей, связанных с переполнением стека. Выплачены премии $20,000, $10,000 и $5,000.
• Камера видеонаблюдения Lorex 2K WiFi. 5 успешных взлома c использованием уязвимостей, связанных с переполнением буфера и разыменованием указателя. Выплачены премии $30,000, $15,000 и три по $3,750.
• Камера видеонаблюдения Synology TC500. Один взлом с премией в $30,000, эксплуатирующий уязвимость, вызванную переполнением буфера.
• Камера видеонаблюдения Ubiquiti AI Bullet. 3 успешных взлома. Выплачены премии $30,000, $15000 и $3,750.
• Умные колонки Sonos Era 300. 3 успешных взлома c использованием уязвимостей, связанных с переполнением буфера и обращением у уже освобождённой памяти. Выплачена премия в $60,000 и две премии в $30,000.
• Платформа управлния умным домом AeoTec Smart Home Hub. Один взлом с премией в $40,000, эксплуатирующий уязвимость, вызванную некорректной проверкой криптографической подписи.

Кроме вышеотмеченных успешных атак, 16 попыток эксплуатации уязвимостей завершились неудачей, в большинстве случаев из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома камер Ubiquiti AI Bullet, Synology TC500 и Lorex 2K, принтеров Lexmark CX331adwe и Canon imageCLASS MF656Cdw, сетевых хранилищ TrueNAS Mini X, Synology DiskStation DS1823xs+, Synology BeeStation BST150-4T и QNAP TS-464 и умной колонки Sonos Era 300.

В каких именно компонентах проблемы пока не сообщается. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62110

Бывший член совета директоров Linux Foundation пояснил причины удаления мэйнтейнеров из РФ

Если удаление произведено по ошибке и текущий работодатель не находится в указанном списке, то разработчику следует предоставить информацию об этом Грегу Кроа-Хартману (это именно та документация, о которой шла речь в первом сообщении об удалении). В любом случае Джеймс пообещал при необходимости добавить в файл CREDITS упоминание о вкладе удалённых участников в разработку ядра. Причиной следования санкциям названо нахождение в США всей инфраструктуры для разработки ядра Linux и большого числа сопровождающих. Из-за этого при разработке ядра невозможно игнорировать требования законодательства США.

Джеймс также выразил надежду, что удаления из списка мэйнтейнеров будет достаточно для удовлетворения требований Министерства финансов США и из ядра не придётся удалять код, переданный подсанкционными разработчиками. В отдельном письме Джеймс написал, что задержка с публикацией пояснений и ответов на вопросы связана с тем, что юристы ещё продолжают обсуждение специфики следования санкциям при разработке ядра и в дальнейшем намерены опубликовать подробный документ, описывающего связанные с санкциями правила.

Пояснение Джеймса отправлено в ответ на прощальное письмо Сергея Семина, попавшего в число удалённый мэйнтейнеров. В своём письме Сергей сообщил, что после случившегося он потерял мотивацию для продолжения дальнейшего участия в разработке ядра, а попытки получить у вышестоящего мэйнтенера более подробную информацию о причине удаления не прояснили ситуацию - в ответе было лишь извинение, упоминание санкций, сожаление о невозможности что-либо сделать и совет обратиться к юристу своей компании. При этом Сергей уже более года участвует в разработке ядра только как волонтёр, а не как оплачиваемый работник. За время работы в сообществе Сергей отправил 518 патчей, прорецензировал 253 патча и принял участие в тестировании 80 патчей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62106

Уязвимость в NetworkManager-libreswan и guix-daemon, позволяющие повысить привилегии в системе

Проблема вызвана некорректной проверкой конфигурации VPN, определяемой локальным непривилегированным пользователем и передаваемой напрямую в Libreswan при попытке активации соединения. В частности, в плагине не выполнялась проверка использования escape-символов, таких как перевод строки "\n", которые могли применяться для разделения отдельных настроек, указанных в одной строке.

Соответственно, атакующий мог указать в составе одного из разрешённых параметров параметр "leftupdown", запрещённый для непривилегированных пользователей и задающий скрипт, выполняемый с правами root в процессе установки соединения. Например, для запуска программы /bin/true к разрешённому параметру "hostaddrfamily" можно прикрепить следующие настойки:

   hostaddrfamily=ipv4\n leftupdown=/bin/true\n ikev2=never\n
leftxauthclient=yes\n leftusername=username\n phase2alg=aes256-sha1\n
authby=secret\n left=%defaultroute\n leftmodecfgclient=yes\n
right=172.31.79.2\nconn ign

Ещё одна уязвимость выявлена в фоновом процессе guix-daemon, применяемом в дистрибутивах на базе пакетного менеджера GNU Guix. Уязвимость представляет опасность для многопользовательских систем и позволяет локальному пользователю получить привилегии любого пользователя, выполняющего сборку пакетов (build user), и внести изменения в результат сборки. Суть уязвимости в том, что атакующий может запустить производную сборку и если сборочный процесс будет прерван, уже созданные suid-файлы останутся доступны остальным пользователям системы. После этого атакующий может воспользоваться созданный suid-файлом для приостановки сборочного процесса, открытия любого файла через /proc/$PID/fd с правами выполняющего сборку пользователя и перезаписать файлы c результатами сборки).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62109

I completely forgot to post about the OpenSMTPD 7.6 release! I'm so late that we also did 7.6.0p1 in the meantime, but that's only because I forgot a few files in the tarball

https://www.opensmtpd.org/

Among a few goodies, please remember to update the external tables if you're using any. The OpenSMTPD-extras package was split into per-tables repositories, and the communication protocol was changed. Once the executables are updated, no further changes are needed!

On OpenBSD, that means a `pkg_delete opensmtpd-extra` and then install right table, for example `pkg_add opensmtpd-table-passwd` for table-passwd.

#OpenSMTPD #smtpd

@veer66 @ahriboy (This is just a personal understanding, not an official statement)

The way events related to Russian Linux maintainers seems to have been handled is a shame.

Since the NetBSD Foundation is based in the USA, and all active committers are required to be members, it may be a problem if any individuals are directly sanctioned or work for a sanctioned employer.

However, we looked into whether any of our Russian committers are affected by sanctions, and the answer seems to be "no".

Bitwarden SDK переведён с проприетарной лицензии на GPLv3

Код клиентских приложений и серверной части был открыт ранее под лицензиями GPLv3 и AGPLv3, но содержимое SDK распространялось под проприетарной лицензией. Несколько недель назад SDK был включён в число сборочных зависимостей к десктоп-клиенту Bitwarden, что формально переводило клиентскую часть менеджера паролей Bitwarden в разряд несвободного ПО, так как лицензия на SDK запрещала его использование для создания приложений, используемых с сервисами, отличными от Bitwarden.

Разработчики Bitwarden приняли к сведению замечание о проблемах с лицензией и провели реструктуризацию кодовой базы Bitwarden SDK, в результате которой основные компоненты SDK, используемые при сборке и выполнении клиентского ПО, переведены на лицензию GPLv3 и вынесены в репозиторий sdk-internal, а старый репозиторий, включающий код для создания бизнес-продуктов, переименован в sdk-secrets.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62108

Бывший член совета директоров Linux Foundation пояснил причины удаления мэйнтейнеров из РФ

Если удаление произведено по ошибке и текущий работодатель не находится в указанном списке, то разработчику следует предоставить информацию об этом Грегу Кроа-Хартману (это именно та документация, о которой шла речь в первом сообщении об удалении). В любом случае Джеймс пообещал при необходимости добавить в файл CREDITS упоминание о вкладе удалённых участников в разработку ядра. Причиной следования санкциям названо нахождение в США всей инфраструктуры для разработки ядра Linux и большого числа сопровождающих. Из-за этого при разработке ядра невозможно игнорировать требования законодательства США.

Джеймс также выразил надежду, что удаления из списка мэйнтейнеров будет достаточно для удовлетворения требований Министерства финансов США и из ядра не придётся удалять код, переданный подсанкционными разработчиками. В отдельном письме Джеймс написал, что задержка с публикацией пояснений и ответов на вопросы связана с тем, что юристы ещё продолжают обсуждение специфики следования санкциям при разработке ядра и в дальнейшем намерены опубликовать подробный документ, описывающего связанные с санкциями правила.

Пояснение Джеймса отправлено в ответ на прощальное письмо Сергея Семина, попавшего в число удалённый мэйнтейнеров. В своём письме Сергей сообщил, что после случившегося он потерял мотивацию для продолжения дальнейшего участия в разработке ядра, а попытки получить у вышестоящего мэйнтенера более подробную информацию о причине удаления не прояснили ситуацию - в ответе было лишь извинение, упоминание санкций, сожаление о невозможности что-либо сделать и совет обратиться к юристу своей компании. При этом Сергей уже более года участвует в разработке ядра только как волонтёр, а не как оплачиваемый работник. За время работы в сообществе Сергей отправил 518 патчей, прорецензировал 253 патча и принял участие в тестировании 80 патчей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62106

В федиверс можно играть в шахматы [1].

1. https://castling.club/

Важные языки. Часть 1. Forth

Этой статьей начинаю краткий цикл о трех языках программирования, знакомство с которыми считаю очень важным для любого профессионала в программировании: Форт, Лисп и Оберон. Сразу оговорюсь, что я не призываю на этих языках разрабатывать, нужны очень веские причины, чтобы принять такое решение. Но знакомство с ними — важная часть профессионального роста.

https://habr.com/ru/articles/852174/

#forth #lisp #язык_программирования #история_it

Браузер Vivaldi 7.0 c новым дизайном интерфейса

Браузер развивается силами бывших разработчиков Opera Presto и ставит своей задачей создание настраиваемого и функционального браузера, сохраняющего приватность данных пользователей. В число основных функций входит блокировщик слежки и рекламы, менеджеры заметок, истории и закладок, приватный режим просмотра, синхронизация, защищённая сквозным шифрованием, режим группировки вкладок, боковая панель, конфигуратор с большим числом настроек, режим горизонтального отображения вкладок, а также в тестовом режиме встроенный почтовый клиент, RSS-ридер и календарь.

В новой версии произведено около 120 улучшений, среди которых:

• Новый дизайн интерфейса: изменения коснулись как внешнего вида элементов, так и набора штатных иконок. При желании в настройках можно переключиться на компактный вид интерфейса, который ближе к ранее используемому. Для адаптации оформления в соответствии со своими предпочтениями предложено множество настроек тем оформления.
• Добавлена панель виджетов - новая вкладка Экспресс-панели, на которой размещаются дата/время, заметки, закладки, стикеры, календарь и многое другое. Также пользователи могут добавлять веб-сайты в виде виджетов. Опубликованы технические рекомендации по созданию своих виджетов.
• Во встроенный клиент новостных лент добавлена возможность создания папок для размещения в них новостных лент по категориям или по темам. Дополнительно разработчики напомнили, что просматривать видео с YouTube можно прямо в самом клиенте, что позволяет избавиться от рекламы. Просмотр доступен как в менеджере лент, так и в полноэкранном режиме или в откреплённом виде. Также видео можно слушать в фоновом режиме.
• В почтовом клиенте появилась всплывающая кнопка, позволяющая переходить к последним полученным письмам в один клик.
• Переработана синхронизация - теперь она работает в режиме реального времени. Функция доступна пока только на десктопных версиях, мобильный релиз состоится чуть позже.
• Появилась возможность синхронизации веб-панелей - на другом устройстве они будут отображаться в колонке веб-панелей на вкладке Окна. Можно перетащить этот элемент на боковую панель, чтобы восстановить привычное расположение веб-панели.

Выпуск Cozystack 0.17.0, открытой PaaS-платформы на базе Kubernetes

В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap.

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.

В новой версии:

• В платформе появилась возможность создавать виртуальные машины с несколькими дисками, производить установку с CD-ROM и переключать диски из одной виртуальной машины в другие. Старое приложение "Virtual Machine" разделено на два отдельных "vm-disk" (Virtual Machine Disk) и "vm-instance" (Virtual Machine Instance). Приложение vm-disk поддерживает загрузку образов с HTTP или локальных накопителей, при создании диска можно указать источник и тип образа — CD-ROM или классический. Приложение vm-instance позволяет запустить виртуальную машину из созданных дисков. Возможность использования старого приложения Virtual Machine сохранена для совместимости.
• Добавлены опции instanceType и instanceProfile, а также набор инстансов по умолчанию и профилей для Ubuntu, RHEL, Alpine и Windows. Предоставлена возможность настроить виртуальную машину с оптимальными параметрами в зависимости от ОС (например включить TPM и virtio-устройства, использовать tablet-pointer), а вместо указания ресурсов для виртуальной машины можно использовать стандартизированные инстансы, специально предназначенные для конкретного типа нагрузки. Типы инстансов распространяются так же и на Kubernetes, что позволяет более грамотно планировать свои node-группы.
• В ingress добавлена опция включения проксирования для загрузки образов с локальных машин, а также обновлён CDI для более корректной работы с блочными устройствами. Реализована возможность загрузки образов для LINSTOR с помощью утилиты virtctl.
• Добавлена поддержка виртуальных машин с Windows. С использованием новых vm-disk и vm-instance протестирована установка Windows 10 и Windows Server 2k15 из ISO с последующим переключением на драйверы VirtIO.
• При заказе S3-бакетов реализовано автоматическое развёртывание web-интерфейса для доступа к ним. Через web-интерфейс можно загружать и удалять файлы, а также генерировать временные ссылки для публичного доступа. Интерфейс построен на основе s3manager, распространяемого под лицензией Apache 2.0.
• Добавлены алерты для FluxCD, отображающие состояние релизов. Алерты структурированы и теперь разбиваются по категориям, кроме того, в поле Resource теперь отображается проблемный ресурс.
• Появилась возможность доставки алертов в Telegram с дедупликацией и кнопками для управления жизненным циклом каждого алерта.
• В Cluster API включен контроллер MachineHealthChecks, который будет следить за состоянием узлов в кластере Kuberrnetes. В случае возникновения проблем узлы будут автоматически перезаказаны.
• Добавлен компонент external-dns, который позволяет автоматически настраивать DNS-записи в Cloudflare. Кроме того, реализована возможность заказа сертификатов через API Cloudflare с использованием метода DNS.
• Добавлен external-secrets-operator, позволяющий синхронизировать секреты с внешними системами.
• Введены опциональные компоненты, которые по умолчанию отключены, но доступны для включения при помощи опции bundle-enable в конфигурации Cozystack.
• Улучшены работы (job) для инициализации PostgreSQL и FerretDB, которые теперь ожидают, когда база поднимется, прежде чем производить какие-либо действия с конфигурацией.
• Повышена стабильность Kube-OVN. Отключена возможность коммуникации с NetworkManager. На некоторых системах эта проблема блокировала запуск контроллеров OVN.
• Добавлена настройка логов для Clickhouse. Логи вынести в отдельный раздел и настроить ротацию.
• Обновлены компоненты: LINSTOR 1.29.1, Talos Linux 1.8.1 и Cilium 1.16.3.

Официальное заявление разработчика «Байкал Электроникс» Сергея Сёмина по поводу исключения из списка мейнтейнеров Linux
24 октября 2024 года в списке рассылки сообщества разработчиков Linux вышло официальное заявление разработчика «Байкал Электроникс» Сергея Сёмина по поводу исключения из списка мейнтейнеров Linux с темой "linux: прощание от волонтёра сообщества Linux".
https://habr.com/ru/news/853072/

Обновление дистрибутива Steam OS 3.6.19, используемого на игровой консоли Steam Deck

Выпуски SteamOS формируются только для устройств Steam Deck, но энтузиастами развиваются неофициальные сборки SteamFork и HoloISO, пригодные для установки на обычных компьютерах и игровых консолях, отличных от Steam Deck. Кроме того, компания Valve давно обещает предоставить официальные сборки SteamOS для ПК и ведёт работу по реализации поддержки консолей других производителей.

Среди изменений:

• Осуществлена синхронизация со свежей пакетной базой Arch Linux. Ядро Linux обновлено до версии 6.5. Пакет Mesa обновлён до версии 24.1.
• Рабочий стол KDE Plasma обновлён до версии 5.27.10.
• В файловом менеджере включён показ эскизов файлов с видео.
• В Bluetooth-стеке добавлена поддержка Bluetooth-профилей HFP и BAP, а также повышена скорость передачи данных и улучшено сопряжение с устройствами Apple AirPods.
• Добавлен механизм для настройки какие из Bluetooth-устройств могут выводить систему из состояния сна. По умолчанию из спящего режима систему могут вывести только игровые контроллеры.
• В систему ввода добавлена поддержка контроллеров ASUS ROG Raikiri Pro и Machenike G5 Pro, а также кнопок игровых консолей ROG Ally.
• Реализована поддержка белого списка, определяющего какие из изменённых файлов в каталоге /etc следует переносить при обновлении версии операционной системы. Независимо от состояния белого списка, после обновления системы ранее изменённые файлы сохраняются в каталоге /etc/previous/.
• Добавлена поддержка создания в /var/lib/steamos-atomupd/etc_backup/ резервных копий для 5 прошлых состояний каталога /etc.
• Добавлена поддержка переопределения отдельных настроек в файлах ssh_config и sshd_config.
• Увеличена скорость установки обновлений и снижено время загрузки системы.
• Повышена надёжность работы с картами microSD.
• Улучшен обработка аварийных завершений, вызванных ошибками GPU и приводящих к перезапуску сеанса.
• Улучшено восстановление системы в случае повреждения установленной системы.
• Налажена работа с некоторыми ранее не поддерживаемыми точками доступа Wi-Fi 7.
• Решены различные проблемы, влияющие на работу игр.
• Повышена отзывчивость интерфейса пользователя Steam.
• Улучшена работа в условиях нехватки свободной оперативной памяти.
• Улучшена настройка цветового баланса экрана при низких уровнях яркости.
• Решены проблемы с подключением внешних экранов.
• Для Steam Deck LCD добавлены настройки разгона (overclocking) и на 10% увеличено время автономной работы при низкой нагрузке на систему.
• Для Dock-станции добавлена поддержка возможностей HDMI CEC, позволяющих использовать пульт дистанционного управления для ввода данных, переключать устройства ввода и выходить из спящего режима.

MUSE - COMPLIANCE

#ЧтоПослушать

Какая-то фантасмагория с этими #alttext, которые из простого инструмента превращяются в предмет для холиваров. Теперь жалуются, что зрячие не смотрят в альтекст, полагая, что там просто описание изображения для незрячих, а кто-то в них прячет и другие подробности, которые могут быть интересны всем.

Возможно, надо вернуться к простой мысли: вообще по умолчанию никто не обязан ни читать альтексты, ни писать их, ни постить фотографии, и ни рассматривать их внимательно; а всё вышесказанное - на усмотрение автора и поста, и того, что этот пост читает. Какие-то изображения нравятся сразу, какие-то требуют внимательного разглядывания, а что-то требует подробного описания в тексте поста, или в альттексте, которые могут не совпадать, а все проблемы обычно - в глазах смотрящего или читающего.

Линус Торвальдс подтвердил решение по удалению мэйнтейнеров из РФ

Линус Торвальдс подтвердил решение по удалению мэйнтейнеров из РФ

Выпуск криптографических библиотек OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 и Rustls 0.23.15

Релиз библиотеки OpenSSL 3.4.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.4 будет осуществляться до октября 2025 года. Поддержка прошлых веток OpenSSL 3.3, 3.2, 3.1 и 3.0 LTS продлится до апреля 2026 года, ноября 2025 года, марта 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0. Основные новшества:

• Добавлена поддержка набора шифров для TLSv1.3, ограниченного функциями проверки целостности данных (RFC 9150) и включающего алгоритмы TLS_SHA256_SHA256 и TLS_SHA384_SHA384.
• Добавлена опциональная возможность использования в генераторе псевдослучайных чисел дополнительного источника энтропии на основе джиттера (jitter), реализованного при помощи библиотеки jitterentropy. Формирование энтропии производится путём измерения различий во времени повторного исполнения определённого набора инструкций на CPU, зависящего от множества внутренних факторов и непредсказуемого без физического контроля над CPU.
• Добавлена начальная поддержка авторизационных сертификатов (AC - Attribute Certificate, RFC 5755), которые включают информацию о правах доступа, полномочиях и атрибутах владельца сертификата, удостоверяющих возможность совершения определённых действий. Например, AC-сертификат может определять право подключения к какому-то сервису.
• Добавлена поддержка расширений X.509v3, связанных с авторизационными сертификатами.
• В провайдере FIPS реализована поддержка FIPS 140-3 Indicator API, позволяющего определить использовалась ли та или иная операция в одобренном сервисе или нет.
• В API BIO (Basic Input/Output) улучшена обработка ввода в формате Base64.
• Добавлена поддержка сборки утилиты openssl в режиме PIE (Position Independent Executable), позволяющем использовать рандомизацию адресного пространства (ASLR).
• Добавлена поддержка напрямую извлекаемых комбинированных алгоритмов цифровой подписи, таких как RSA-SHA2-256.
• В PKCS#12 добавлена поддержка PBMAC 1 (Password-Based Message Authentication Code 1, RFC 9579).
• В утилиту openssl добавлены опции '-not_before' и '-not_after' для явного указания начального и конечного времени действия сертификата.
• Предоставлена возможность использования заранее вычисленных значений при инициализации криптографических алгоритмов на базе эллиптических кривых P-256.
• Объявлены устаревшими функции TS_VERIFY_CTX_set_*, на замену которым пришли функции TS_VERIFY_CTX_set0_* с улучшенной семантикой.
• Объявлены устаревшими функции SSL_SESSION_get_time(), SSL_SESSION_set_time() и SSL_CTX_flush_sessions() вместо которых следует использовать SSL_SESSION_get_time_ex(), SSL_SESSION_set_time_ex() и SSL_CTX_flush_sessions_ex(), избавленные от проблемы 2038 года.
• Ожидавшаяся в OpenSSL 3.4 поддержка протокола QIUC на стороне сервера отложена до следующего выпуска.

Релиз проекта LibreSSL 4.0.0, развивающего форк OpenSSL, нацеленный на предоставление более высокого уровня безопасности и качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Значительная смена номера версии связана с использованием десятичной нумерации (после 3.9 следует версия 4.0). Наиболее заметные изменения:

• Добавлена начальная поддержка сборки с использованием Emscripten, компилятора из C/C++ в WebAssembly.
• В команду "openssl cms" добавлена опция CRLfile для указания дополнительных списков отозванных сертификатов (CRL), которые будут использованы при верификации.
• Прекращена поддержка платформы mips32.
• Прекращено предоставление доступа к функциям, написанным на языке ассемблер, через публичный API (подобные функции теперь предоставляются только через функции-обвязки на языке Си). Удалены ассемблерные реализации устеревших шифров для устаревших архитектур.
• Удалён код для кэширования валидности сертификатов, которое потеряло смысл после оптимизации производительности.
• Улучшена реализация расширений X.509v3, унифицированы методы X.509v3 и проведена чистка связанных с X.509v3 API.
• Полностью переписана реализация типа CRYPTO_EX_DATA.
• В libcrypto функции atoi() и strtol() заменены на strtonum().
• Добавлен заголовочный файл crypto_arch.h, в который вынесен код, специфичный для аппаратных архитектур.
• Переработана и оптимизирована реализация алгоритма DES.
• Удалены заголовочные файлы pem2.h, ssl2.h, ssl23.h и ui_compat.h.
• Удалена поддержка алгоритма хэширования Whirlpool.
• Удалены функции HMAC_Init(), OPENSSL_load_builtin_modules(), X509_REQ_{get,set}_extension_nids(), X509_check_trust().
• Удалены типы PEM_USER, PEM_CTX, COMP_CTX, COMP_METHOD, X509_CRL_METHOD, STORE, STORE_METHOD и SSL_AEAD_CTX.
• В libssl добавлены функции SSL_CTX_set1_cert_store() и SSL_CIPHER_get_handshake_digest().

Доступен выпуск криптографической библиотеки Botan 3.6.0, применяемой в проекте NeoPG, форке GnuPG 2. Библиотека предоставляет большую коллекцию готовых примитивов, используемых в протоколе TLS, сертификатах X.509, шифрах AEAD, модулях TPM, PKCS#11, хэшировании паролей и постквантовой криптографии (подписи на основе хэша и согласование ключей на основе McEliece). Библиотека написана на языке C++ и поставляется под лицензией BSD. В новой версии:

• Интегрирована новая библиотека с криптоалгоритмами на основе эллиптических кривых, операции на базе типовых кривых в которой выполняются в 2-3 раза быстрее. Также предложен новый API для низкоуровневой работы с эллиптическими кривыми.
• Добавлена поддержка недавно стандартизированных в NIST алгоритмов постквантового шифрования: FIPS 203 ML-KEM (Kyber), FIPS 204 ML-DSA (Dilithium) и FIPS 205 SLH-DSA (SPHINCS+).
• Добавлена поддержка чипов TPM2.
• Расширено использование вычислений с постоянным временем выполнения операций для защиты от атак по сторонним каналам.
• Добавлена генерация дополнительной энтропии при помощи библиотеки jitterentropy.
• Повышена производительность обработки данных в шестнадцатеричном формате и кодировке base64.
• Добавлена поддержка процессорных расширений AVX2-VAES и GFNI-AVX2.
• Добавлено определение возможностей CPU armv7, aarch64 и ppc64 на платформе OpenBSD.
• Добавлена сборочная опция для отключения всех ассемблерных inline-вставок.

Релиз проекта Rustls 0.23.15, развивающего клиентскую и серверную реализацию протоколов TLS1.2 и TLS1.3 для проектов на языке Rust. Rustls не предоставляет собственную реализацию криптографических примитивов, а использует подключаемые провайдеры криптографических функций (поддерживаются алгоритмы ECDSA, Ed25519, RSA, ChaCha20-Poly1305, AES128-GCM и AES256-GCM). По умолчанию в Rustls используется криптопровайдер на базе библиотеки aws-lc-rs, которая развивается компанией Amazon и базируется на С++ коде AWS-LC, ответвлённом от проекта BoringSSL (сопровождаемый Google форк OpenSSL). В качестве криптопровайдера также может использоваться библиотека ring, частично основанная на BoringSSL и комбинирующая код на ассемблере, С++ и Rust.

Новая версия примечательна значительными оптимизациями производительности. Утверждается, что при использовании криптопримитивов aws-lc-rs библиотека Rustls теперь опережает библиотеки OpenSSL и BoringSSL в тестах, измеряющих пропускную способность и скорость согласования/возобновления соединения.

От: shop@alpinabook.ru

К сожалению, совершить покупку книги без номера телефона возможности нет.

Ясно-понятно. На флибусте номер телефона не требуют...

Game of Trees 0.104 released

Version 0.104 of Game of Trees has been released (and the port updated).

* got 0.104; 2024-10-22
  see git repository history for per-change authorship information
- gotd.conf: document the macro syntax
- tog: prevent a segfault upon unexpected object type in ref list view
- fix pack file creation in the presence of tagged tag objects
- plugged some memory leaks
- fix a crash when unstaging a file which has been removed from disk
- gotwebd: fix out of bounds access while handling the configuration

Релиз Tor Browser 14.0

Для дополнительной защиты в Tor Browser включена настройка «HTTPS Only», позволяющая использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты.

Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.

В новой версии:

• Осуществлён переход на кодовую базу Firefox 128 ESR (ранее использовался Firefox 115). В процессе перехода проведён аудит изменений в Firefox, в процессе которого проанализированы и устранены более 200 потенциальных проблем, которые могли негативно повлиять на конфиденциальность и безопасность.
• В версии для Android в меню добавлена кнопка "New circuit" для обновления цепочки узлов, через которые передаётся трафик в сети Tor при доступе к определённому сайту (после обновления для сайта обращение будет выглядеть как запрос от другого пользователя с другим IP-адресом). Ранее обновление цепочки узлов выполнялось через фиксированное уведомление, показываемое в области уведомлений Android, а теперь перенесено в штатное меню Tor Browser.
• После продления компанией Mozilla времени жизни ESR-ветки Firefox 115 как минимум до марта 2025, аналогично решено продлить время сопровождения ветки Tor Browser 13.5, в которой остаётся поддержка платформ Windows 7, 8 и 8.1, а также macOS 10.12, 10.13 и 10.14. Таким образом обновление до ветки Tor Browser 14.0 будет предложено только пользователям Linux, Windows 10+ и macOS 10.15+, а обладатели старых версий Windows и macOS продолжат оставаться на ветке Tor Browser 13.5.

Проект AlmaLinux представил дистрибутив Kitten, основанный на CentOS Stream 10

В репозитории Kitten применяется непрерывная модель обновления пакетов. Установочные сборки будут обновляться каждые три месяца. Репозитории Kitten используются в качестве upstream-а для ветки AlmaLinux 10 - исправления и новые возможности вначале тестируются в репозиториях Kitten, а затем переносятся в AlmaLinux. Репозитории Kitten также используются в качестве платформы для интеграции и совместной работы с вышестоящими проектами, такими как CentOS Stream и Fedora.

Основные отличия Kitten от CentOS Stream:

• Возвращено использование процессорного регистра %rbp в качестве базового указателя на кадр стека, содержащий адреса возврата и переменные функции (frame pointer). Использование указателя на кадры стека позволяет использовать в дистрибутиве дополнительные возможности для трассировки и профилирования системы.
• Сформированы отдельные сборки для второй версии микроархитектуры x86-64 (x86-64-v2), которые сопровождаются параллельно с базовыми сборками x86-64, формируемыми с оптимизациями для микроархитектуры x86-64-v3, которая используется в RHEL 10. Дополнительная поддержка x86-64-v2 позволяет обеспечить совместимость с CPU старше Intel Haswell и AMD Excavator, спроектированными до 2013 года.
• Реализована возможность загрузки в режиме UEFI Secure Boot для систем с процессорами Intel/AMD и ARM.
• Продолжена поставка серверных и клиентских реализаций протокола SPICE, позволяющего организовать удаленную работу с рабочим столом, функционирующим в виртуальном окружении под управлением QEMU/KVM. В отличие от протоколов VNC и RDP в SPICE отрисовка содержимого экрана и обработка аудиопотоков производится на стороне клиента, а не на сервере. В RHEL поддержка SPICE была прекращена в выпуске 9.0.
• Реализована возможность использования гипервизора KVM на системах с процессорами IBM POWER. В RHEL подобная поддержка была прекращена в ветке 9.0.
• Возобновлена поддержка более 150 аппаратных устройств, не поддерживаемых в RHEL 10.
• В репозитории включены rpm-пакеты c Firefox и Thunderbird (в CentOS Stream 10 и RHEL10 предлагается устанавливать Firefox и Thunderbird из пакетов в формате flatpak).

Версии программ:

• Ядро Linux 6.11.
• GCC 14.2, LLVM 18.1, Rust 1.79, Perl 5.40, PHP 8.3, CMake 3.28, Bash 5.2.
• Systemd 256, Anaconda 40.22, glibc 2.39, binutils 2.41, DNF 4.20, RPM 4.19.
• Apache HTTPD 2.4.62, Nginx 1.26, MySQL 8.4, Redis 7.2, Grafana 10.2, OpenSSH 9.9.
• QEMU-KVM 9.1.
• GNOME 47, Qt 6.7.
• Прекращено формирование пакетов для 32-разрядных систем (i686).

Дистрибутив AlmaLinux основан компанией CloudLinux в ответ на преждевременное сворачивание поддержки CentOS 8 компанией Red Hat (выпуск обновлений для CentOS 8 прекращён в конце 2021 года, а не в 2029 году, как предполагали пользователи). Проект курирует отдельная некоммерческая организация AlmaLinux OS Foundation, которая была создана для разработки на нейтральной площадке с участием сообщества и c использованием модели управления, похожей на организацию работы проекта Fedora. Дистрибутив бесплатен для всех категорий пользователей. Все наработки AlmaLinux публикуются под свободными лицензиями.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62091

Случайная тропа привела.

Очень много наоткрывалось барбершопов и просто мужских парикмахерских. Сейчас вот на окраине наблюдал милую картину, как в одном из таких заведений на небольшом диванчике двое мастеров с завитыми усиками и постриженными бородками сидели рядышком, и смотрели на большом экране драки накаченных мужчин в трусиках!

Из списка мэйнтейнеров ядра Linux удалено 11 участников из РФ

Герт Уйттерховен (Geert Uytterhoeven), мэйнтейнер порта Linux для архитектуры m68k, указал, что формулировки слишком размыты и так как ядро является открытым проектом, неплохо бы уточнить, что подразумевается под "различными требованиями комплаенса" и какую именно документацию нужно предоставить для восстановления. Он также выразил опасение, что подобное удаление без изложения правил открывает двери для дальнейших злоупотреблений. Вопрос пока остался без ответа.

Удалены следующие мэйнтейнеры:

• Abylay Ospan ‹*@netup.ru›, драйверы для DVB-систем NETUP PCI, HELENE, ASCOT2E, HORUS3A, LNBH25 и CXD2841ER
• Alexander Shiyan ‹*@mail.ru›, порт для ARM/CIRRUS LOGIC CLPS711X
• Dmitry Kozlov ‹*@mail.ru›, драйверы PPTP и GRE DEMULTIPLEXER
• Dmitry Rokosov ‹*@sberdevices.ru›, драйвер для EMSENSING MICROSYSTEMS MSA311
• Evgeniy Dushistov ‹*@mail.ru›, файловая система UFS
• Ivan Kokshaysky ‹*@jurassic.park.msu.ru›, порт для архитектуры Alpha
• Nikita Travkin ‹*@trvn.ru›, драйвер к контроллеру ACER ASPIRE 1
• Serge Semin ‹*@gmail.com›, платформа BAIKAL-T1, базовые драйверы для систем MIPS, драйверы для BAIKAL-T1 PVT, DESIGNWARE EDMA CORE IP, LIBATA SATA AHCI SYNOPSYS DWC CONTROLLER, NTB IDT, SYNOPSYS DESIGNWARE APB GPIO, SYNOPSYS DESIGNWARE APB SSI
• Sergey Kozlov ‹*@netup.ru›, драйверы для DVB-систем NETUP PCI, ASCOT2E, HORUS3A, LNBH25 и CXD2841ER
• Sergey Shtylyov ‹*@omp.ru›, драйверы к LIBATA PATA, RENESAS R-CAR SATA, RENESAS SUPERH ETHERNET и RENESAS ETHERNET AVB
• Vladimir Georgiev ‹*@metrotek.ru›, драйвер для MICROCHIP POLARFIRE FPGA

Из списка мэйнтейнеров ядра Linux удалено 11 участников из РФ

Герт Уйттерховен (Geert Uytterhoeven), мэйнтейнер порта Linux для архитектуры m68k, указал, что формулировки слишком размыты и так как ядро является открытым проектом, неплохо бы уточнить, что подразумевается под "различными требованиями комплаенса" и какую именно документацию нужно предоставить для восстановления. Он также выразил опасение, что подобное удаление без изложения правил открывает двери для дальнейших злоупотреблений. Вопрос пока остался без ответа.

Удалены следующие мэйнтейнеры:

• Abylay Ospan ‹*@netup.ru›, драйверы для DVB-систем NETUP PCI, HELENE, ASCOT2E, HORUS3A, LNBH25 и CXD2841ER
• Alexander Shiyan ‹*@mail.ru›, порт для ARM/CIRRUS LOGIC CLPS711X
• Dmitry Kozlov ‹*@mail.ru›, драйверы PPTP и GRE DEMULTIPLEXER
• Dmitry Rokosov ‹*@sberdevices.ru›, драйвер для EMSENSING MICROSYSTEMS MSA311
• Evgeniy Dushistov ‹*@mail.ru›, файловая система UFS
• Ivan Kokshaysky ‹*@jurassic.park.msu.ru›, порт для архитектуры Alpha
• Nikita Travkin ‹*@trvn.ru›, драйвер к контроллеру ACER ASPIRE 1
• Serge Semin ‹*@gmail.com›, платформа BAIKAL-T1, базовые драйверы для систем MIPS, драйверы для BAIKAL-T1 PVT, DESIGNWARE EDMA CORE IP, LIBATA SATA AHCI SYNOPSYS DWC CONTROLLER, NTB IDT, SYNOPSYS DESIGNWARE APB GPIO, SYNOPSYS DESIGNWARE APB SSI
• Sergey Kozlov ‹*@netup.ru›, драйверы для DVB-систем NETUP PCI, ASCOT2E, HORUS3A, LNBH25 и CXD2841ER
• Sergey Shtylyov ‹*@omp.ru›, драйверы к LIBATA PATA, RENESAS R-CAR SATA, RENESAS SUPERH ETHERNET и RENESAS ETHERNET AVB
• Vladimir Georgiev ‹*@metrotek.ru›, драйвер для MICROCHIP POLARFIRE FPGA

Недавно я встретил семью лебедей в парке неподалёку от дома. Вышел пофотографировать природу, но задержался возле этих красавцев на минут двадцать. Люди фотографировали, кто-то рассказывал своему малышу о лебедях, а я делал кадр за кадром, наслаждаясь моментом и чувствуя связь с чем-то настоящим и прекрасным.

Момент в моём блоге:
https://antomal.com/photos/encounter-with-a-swan/

#streetart #стритарт

Представлена ветка ядра linus-next для тестирования в режиме непрерывной интеграции

До этого используемая ветка "linux-next" отлично подходит для проверки интеграции изменений в ядро, оценки наличия конфликтов между подветками разных сопровождающих и выявления связанных со сборкой ошибок и предупреждений, но её проблематично использовать для тестирования работы вносимых изменений. Ветка "linux-next" включает в себя смесь готовых для переноса в основной состав ядра изменений и экспериментальных дополнений, которые ещё долго могут дорабатываться и, возможно, так и не будут приняты в основную ветку ядра.

Наличие нестабильного экспериментального кода не позволяет использовать ядро "linux-next" для полноценного рабочего тестирования, так как экспериментальный код может негативно влиять на остальные подсистемы ядра. В новой ветке "linus-next" критерии принятия изменений будут строже - в состав будут включаться только адресованные Линусу Торвальдсу pull-запросы, которые по предположению разработчиков Линус примет в основную ветку ядра.

Появление ветки "linus-next" даст возможность не только тестировать сочетаемость предлагаемых изменений на уровне сбороки ядра, но и оценить непосредственно работу, что приведёт к повышению качества тестирования изменений на этапе рассмотрения уже отправленного, но ещё не рассмотренного Линусом, pull-запроса. Новая ветка также будет стимулировать отправку pull-запросов как можно раньше, ещё до начала окна приёма изменений, чтобы дать возможность протестировать их в работе. Кроме того, ветка "linus-next" будет развиваться в соответствии с моделью непрерывной интеграции, а не ежедневного обновления с созданием нового тега, что упростит анализ возникающих проблем и выявление конкретных изменений, вызвавших сбой.

Дополнительно можно отметить недовольство Линуса Торвальдса процессом блокирования на уровне ядра уязвимостей в аппаратном обеспечении, высказанное в ходе обсуждения проблем и регрессий в коде для противодействия атакам, использующим уязвимости в механизме спекулятивного выполнения инструкций в CPU. Изменения, необходимые для блокировки аппаратных уязвимостей, усложняют разработку, приводят к появлению регрессий и негативно сказываются на производительности, при том, что атаки с использованием большинства подобных уязвимостей являются сугубо теоретическими и никогда не применяются на практике, вне лабораторных условий.

Рассматривая предложение изменить ядро для обхода потенциальных проблем при противодействии аппаратным уязвимостям Линус предложил возложить ответственность на производителей оборудования, как на виновников появления аппаратных уязвимостей, и дать понять, что им следует самим решать собственные проблемы. Обсуждаемое изменение предлагалось добавить в качестве перестраховки, так как из-за неопределённости поведения CPU защита потенциально могла перестать работать на некоторых новых CPU Intel.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62086

Прошаки, запрощики, кубраки, лабори и прочие увлекательные профессии в книге этнографа С. М. Максимова «Бродячая Русь».

Выпуск системы инициализации SysVinit 3.11

В новом выпуске реализована возможность связывания логическими операторами shell-команд в файле inittab, позволяющая организовать запуск команды, только если предыдущая команда завершилась успешно ("cmd1 && cmd2") или наоборот, выполнять следующую команду только в случае возвращения кода ошибки при запуске предыдущей команды ("cmd1 || cmd2"). Например:

   ww:c:once:/usr/bin/command1 && echo "Success" > /var/log/command"
   
   ww:c:once:/usr/bin/command1 || echo "Command failed" > /var/log/command