Игровой движок Minetest переименован в Luanti

Проект развивает свободный кроссплатформенный игровой движок в жанре песочница, позволяющий создавать игры в стиле Minecraft, используя различные воксельные блоки для совместного формирования игроками различных структур и построек, образующих подобие виртуального мира. Предоставляемый движком геймплей полностью зависит от набора модов, создаваемых на языке Lua. Движок написан на языке С++ c использованием 3D-библиотеки IrrlichtMt (форк Irrlicht). Код распространяется под лицензией LGPL, а игровые ресурсы под лицензией CC BY-SA 3.0.

Доступен офисный пакет ONLYOFFICE 8.2

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 8.2, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE. Готовые сборки сформированы для Linux, Windows и macOS.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

Основные новшества:

• Модернизирован интерфейс пользователя. Предоставлена возможность выбора стиля отображений вкладок - помимо использования традиционных заполненных кнопок (Fill tab), для выделения активной вкладки теперь также можно выбрать стиль c подчёркиванием заголовка вкладки линией (Line tab). Также можно использовать цвет панели инструментов в качестве фонового цвета вкладок.
• Добавлена возможность работы с документами с управлением через сенсорные экраны.
• Изменено оформление окна с историей версий и переделано меню File, в котором также задействованы новые пиктограммы.
• Добавлена серая тема оформления, которая дополнила собой светлую и тёмную темы.
• В редакторе файлов в формате PDF реализована возможность совместного редактирования документов. Доступно два режима совместной работы: строгий режим (по умолчанию), при котором выполняется блокировка редактируемых каждым участником абзацев с сохранением изменений только после нажатия кнопки Save, и быстрый режим, при котором редактирование осуществляется в реальном времени. Кроме того, в редактор PDF добавлена поддержка градиентов, улучшено распознавание текста и обеспечена корректная работа с обрезанными или комбинированными фигурами. Реализована возможность подписывания PDF-форм через прикрепление изображения подписи или использования цифровой подписи.
• Добавлена поддержка локальных шаблонов, возможности которых пока ограничены использованием нескольких предустановленных шаблонов для создания документов.
• Изменения в редакторе документов:
  • Добавлена поддержка полей-заполнителей (Field codes), позволяющих включать в документ автоматически обновляемые данные, такие как номер страницы, имя авторов, дата и время.
  • Улучшены средства для совместного редактирования: в интерфейс просмотра истории изменений добавлена опция, включающая показ удалённого текста и предоставляющая возможность его восстановления.
  • Добавлена возможность вставки текста из внешних источников, таких как файл на диске или удалённом хранилище, а также содержимое, загружаемое по URL.
• Изменения в табличном процессоре:
  • Добавлена поддержка повторяемых вычислений - в настройках формулы можно указать число итераций для её повторного выполнения.
  • Внесены изменения, связанные со сводными таблицами (Pivot Table). Вкладка с операциями для сводных таблиц теперь по умолчанию скрывается и видна только при открытии сводной таблицы. При создании новой сводной таблицы обеспечен автоматический вывод боковой панели с настройками.
  • Реализована более плавная прокрутка содержимого электронных таблиц, особенно при работе с большими и сложными комбинациями ячеек.
  • В панель инструментов добавлены кнопки для быстрой настройки стиля разделителя в числах (выделение разрядов запятой для наглядности).
  • Добавлена поддержка предпросмотра содержимого локальных CSV-файлов перед импортом.
  • Добавлен режим для выравнивания электронных таблиц по правому краю и обратным порядком следования столбцов.
• Изменения в редакторе презентаций:
  • Предоставлена возможность добавления поверх слайда произвольных рисунков, созданных при помощи цифрового пера, например, для добавления меток от руки.
  • Добавлен режим случайного выбора эффекта перехода от одного слайда к другому.
  • Предложен более интуитивно понятный способ выбора анимации из списка.
• Добавлена поддержка генерации визуального представления для некоторых Smart Art, у которых визуальные данные отсутствуют в файле.
• Добавлены дополнительные типы диаграмм: гистограмма, воронка и каскадная диаграмма.
• Обновлены словари и улучшена проверка правописания для всех поддерживаемых языков.
• Ускорена загрузка файлов: открытие документов теперь занимает на 21% меньше времени, а презентаций - на 17%.
• Добавлена возможность обновления online-редакторов без остановки работы пользователей (доступно при развёртывании ONLYOFFICE Docs в контейнере на базе Kubernetes).

Выпуск IWD 3.0, пакета для организации подключения к Wi-Fi в Linux

В новом выпуске помимо исправления ошибок добавлена поддержка режима внешней аутентификации на системах с чипами на базе архитектуры FullMAC, подразумевающей реализацию беспроводного стека на стороне прошивки чипа, а не системного драйвера. Режим внешний аутентификации (CMD_EXTERNAL_AUTH) может применяться с драйверами, которые не поддерживают полную обработку протокола аутентификации SAE (Simultaneous Authentication of Equals) на стороне прошивки и при этом не предоставляют команды CMD_ASSOCIATE и CMD_AUTHENTICATE. В этом случае прошивка может предоставлять команду CMD_EXTERNAL_AUTH для задействования внешнего аутентификатора для обработки кадров SAE в пространстве пользователя.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62083

Самара, Самарская область | Samara, Samara region, 2014.
(c) Alexander Aksakov

#closeuprussia #alexanderaksakov
#rf #photography #photo

@rf

Выпуск web-браузера Chrome 130

Основные изменения в Chrome 130:

• Добавлена новая форма компактных уведомлений о совершённых операциях, показываемых под адресной строкой в виде небольшой полоски, перекрывающей контент. Например, подобный диалог может информировать пользователя об успешном добавлении элемента в список чтения и показывать кнопку для открытия списка для чтения в боковой панели. Внедрение новой формы уведомлений будет производиться постепенно, для управления показом предложена настройка "chrome://flags/#top-chrome-toasts".
• При включённом режиме экономии потребления энергии (Energy saver) реализована экспериментальная поддержка автоматической заморозки вкладок, потребляющих много ресурсов CPU, но при этом не выводящих звук и скрытых в течение более 5 минут. Исключение делается только для вкладок, связанных с управлением внешними устройствами или проведением видео и аудио конференций (подобные вкладки определяются на основании доступа к API для работы с USB, Bluetooth, камерой, устройствами ввода и микрофоном, а также организации канала связи с использованием RTCDataChannel или MediaStreamTrack). Для включения автозаморозки добавлены настройки "chrome://flags/#freezing-on-energy-saver" и "chrome://flags/#freezing-on-energy-saver-testing". В Chrome 131 автозаморозку планируют постепенно активировать по умолчанию, начав с 1% пользователей.
• В версии для платформы Android реализован встроенный просмотрщик документов в формате PDF, не требующий вызова внешних приложений (в качестве опции оставлены возможности для загрузки PDF и открытия в стороннем приложении).
• Предоставлена возможность открытия в режиме "картинка в картинке" (picture-in-picture) не только видео, но и любых элементов для показа произвольного контента поверх другого содержимого. Например, в режиме "картинка в картинке" теперь можно отображать интерфейсы для видеоконференций, собственные проигрыватели видео, системы создания заметок, чаты, инструменты для разработчиков и т.п. Открытие содержимого в режиме "картинка в картинке" осуществляется при помощи метода documentPictureInPicture.requestWindow(), возвращающего объект, через который можно добавлять контент при помощи метода .document.body.append().
• Добавлена возможность обращения к внешним словарям со сжатием ответов при помощи алгоритмов Brotli и Zstandard.
• Добавлена поддержка активации областей прокрутки при навигации с использованием клавиатуры, что позволяет пользователям без мыши вначале переключиться в нужную область клавишей Tab, а затем прокрутить её содержимое стрелками управления курсором.
• Добавлена поддержка разбора неспециальных схем URL (не включённых в список типовых схем) с разделением хоста и пути. Например, при разборе URL "git://example.com/path" значение "example.com" будет определено как хост, а "/path" как путь (до этого "//example.com/path" обрабатывался как один путь).
• В версии для Android появилась интегрированная поддержка подключения сторонних провайдеров автоматического заполнения форм и сохранения паролей, не завязанная на API Accessibility.
• Поведение элемента ‹meter› приведено к соответствию Safari и Firefox - в режиме видимости "none" элемент теперь не скрывается, а переключается на отдельный стиль.
• Реализованы новые рекомендации CSS Working Group по обработке вложенных правил в CSS-блоках, которые теперь учитывают порядок определения CSS-свойств и CSS-правил в блоке (раньше все CSS-правила обрабатывались в первую очередь, что приводило к нелогичным с точки зрения разработчика результатам). Например, показанный ниже CSS-блок раньше выставлял красный цвет фона, а теперь будет выставлять зелёный:

     .foo {
         width: fit-content;
  
         @media screen {
             background-color: red;
         }
         background-color: green;
     }
  

• Реализовано CSS-свойство box-decoration-break, указывающее как отрисовывать элемент в случае, когда его части оказываются разделены в разных строках, столбцах или страницах. Доступно два режима отрисовки: slice - элемент вначале полностью отрисовывается целиком, а потом разрезается на части; clone - каждый фрагмент отрисовывается отдельно со своими границами и отступами. В Firefox данной свойство поддерживается с 2014 года.
• В API WebGPU добавлен режим "dual-source-blending" для смешивания вывода из двух фрагментных шейдеров c записью результата в один фреймбуфер.
• В режиме "Origin trials" реализован API Language Detector, позволяющий определять язык по фрагменту текста.
• Расширены возможности инструментов для web-разработчиков. В панель анализа сетевой активности добавлено выпадающее меню с дополнительными фильтрами. Добавлена опция для чистки конфиденциальных данных перед сохранением HTTP-сеанса в формате HAR (HTTP Archive).

Кроме нововведений и исправления ошибок в новой версии устранены 17 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Одной проблеме присвоен высокий уровень опасности (обращение к уже освобождённой памяти в коде, связанном с AI). Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 13 премий на сумму 72 тысячи долларов США (по одной премии $36000, $4000 и $3000, по две премии $6000, $5000 и $2000, три премии $1000). Размер одного вознаграждения пока не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62080

TL;DR Ухожу с timeweb.cloud на self-host из дома.

За этот год цены на VPS в timeweb.cloud поднялись в два раза. Но обидно то, что когда я вносил платёж в 2023'ем в админке отображалось, что хватит до второй 2025 года: я, собственно, денег внёс именно в расчёте на нужный мне период.

Пару месяцев назад пришло письмо счастья, что "ой-ой-ой, денях осталось на пару недель, потом вырубим ваш сервер". Смотрю детализацию: начали списывать в два раза больше, деньги исчерпались.

Было ли предупреждение? Врать не буду: не знаю. Их идиотская рассылка, из которой я прочитал пару писем, обычно сводилась к "о, смотрите, мы прикрутили БЯМ к ответам в поддержку" / "подпишись на нас в телеграм, там много эксклюзивного контента". Может там и было что-то про увеличение тарифов, но среди общего присылаемого мусора (который, к слову, приходит даже после отключения всех необязательных рассылок) я такой информации не заметил.

В общем: купил у провайдера белый IP, накатил OpenBSD на ROCK64 (от PINE64) и теперь мой сервер "внутри РФ" крутится у меня (буквально) в шкафу.

P.S. Всё вышеописанное не относится к этому серверу. honk, почта и ещё некоторые сервисы крутятся в Амстердаме и там оплата идёт по-честному "за год". @OpenBSDAms просто делают своё дело, а не накручивают тяжеловесные джаваскрипт админики для мифического удобства. Всё общение в почте, все сообщения по делу, управление по ssh.

Выпуск сборочной системы Meson 1.6.0

Ключевой целью развития Meson является обеспечение высокой скорости сборочного процесса в сочетании с удобством и простотой использования. Вместо утилиты make при сборке по умолчанию применяется инструментарий Ninja, но возможно применение и других бэкендов, таких как xcode и VisualStudio. В систему встроен многоплатформенный обработчик зависимостей, позволяющий использовать Meson для сборки пакетов для дистрибутивов. Правила сборки задаются на упрощённом предметно-ориентированном языке, отличаются хорошей читаемостью и понятны пользователю (по задумке авторов разработчик должен тратить минимум времени на написание правил).

Поддерживается кросс-компиляция и сборка в Linux, Illumos/Solaris, FreeBSD, NetBSD, DragonFly BSD, Haiku, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов. Возможна сборка проектов на различных языках программирования, включая C, C++, Fortran, Java и Rust. Поддерживается инкрементальный режим сборки, при котором пересобираются только компоненты, напрямую связанные с изменениями, внесёнными с момента прошлой сборки. Meson можно использовать для формирования повторяемых сборок, при которых запуск сборки в разных окружениях приводит к генерации полностью идентичных исполняемых файлов.

Основные новшества Meson 1.6:

• Добавлена команда "meson reprotest" для тестирования повторяемых сборок.
• Добавлена поддержка компилятора flang, развиваемого проектом LLVM.
• Добавлена поддержка SDK DIA (Debug Interface Access), позволяющего читать отладочную информацию в формате PDB, используемом на платформе Windows.
• В компиляторах nvc и nvc++ от компании NVIDIA обеспечена возможность выбора стандартов Си и Си++. В nvc: c89, c90, c99, c11, c17, c18, gnu90, gnu89, gnu99, gnu11, gnu17, gnu18. В nvc++: c++98, c++03, c++11, c++14, c++17, c++20, c++23, gnu++98, gnu++03, gnu++11, gnu++14, gnu++17, gnu++20.
• Предоставлена возможность определения наличия специфичных для Qt утилит (moc, uic, rcc и lrelease) через вызов функции has_tools() для импортированных модулей сборки Qt.
• Реализована возможность использования компилятора OpenXL на платформе AIX (помимо ранее поддерживаемого GCC).
• По умолчанию включён вывод предупреждений о всех устаревших возможностях, если в функции project() для собираемого проекта не указана минимальная версия Meson.
• Добавлена поддержка использования переменных в системных зависимостях (в методе get_variable()).
• Добавлено предупреждение об экспериментальном характере поддержки субпроектов Cargo.
• В зависимостях, полученных из субпроектов CMake, теперь разрешено использование только флагов компоновки, помеченных в CMake как PUBLIC или INTERFACE (флаги помеченные как PRIVATE применяются только при сборке библиотеки субпроекта, а не при использовании в роли зависимости).
• Добавлена опция default_both_libraries, позволяющая переопределить поведение по умолчанию сборочной цели both_libraries.
• Для внутренних зависимостей, возвращаемых функцией declare_dependency(), реализованы методы as_static и as_shared для преобразования списка зависимостей с учётом статического или динамического связывания.
• В функциях test() и benchmark() добавлена возможность определения того, что проверяемый исполняемый файл является обёрткой для вызова других программ. Например:

     test('some_test', find_program('sudo'), args : [ find_program('sh'), 'script.sh' ])
  

• Добавлена поддержка использования вместо Clang фронтэнда компилятора C/C++, предоставляемого в инструментарии к языку Zig 0.11.

Нападки производителя ноутбуков Malibal на проект CoreBoot

Лидер проекта CoreBoot выразил удивление подобными нападками, так как компания Malibal никому не заплатила ни копейки, никакие договоры с ней не заключались и технические задания не составлялись. Всё взаимодействие свелось к бесплатному анализу пожеланий и уже проделанной в Malibal работы, после чего компании, занимающиеся связанным с CoreBoot консалтингом, просто отказались работать с Malibal.

Кристиан Уолтер (Christian Walter), глава отдела разработки прошивок в компании 9elements и основатель организации OSFW Foundation, извинился, что его участие в обсуждениях могло быть воспринято как высокомерие (английский для него не является родным языком и он часто отвечает с телефона, что приводит к отправке сообщений с опечатками), и пояснил некоторые технические детали.

Утверждение Malibal, что они предоставили уже готовое решение, которое нужно было лишь отладить, не соответствует действительности, так как присланный вариант прошивки был не рабочим и не загружался на предоставленном ноутбуке. Сотрудникам 9elements пришлось самостоятельно собирать и устанавливать прошивку для того, чтобы загрузить с ней ноутбук, и, судя по всему, предложенная прошивка ранее ни разу не загружалась на устройстве, т.е. был предоставлен код ни разу не проверенный в работе.

После загрузки подозрение подтвердилось, прошивка оказалась не рабочая и плата не выходила из состояния сброса, т.е. на ни о какой финальной отладке на данной стадии разработки прошивки речи не могло быть. Никаких денег за проведённые с предложенной прошивкой манипуляции компания 9elements не брала, т.е. по сути провела бесплатную экспертизу, а присланное устройство вернула. Архив переписки и разговоры сохранены и Кристиан готов предоставить их в качестве доказательства беспочвенности заявлений Malibal.

Дополнительно можно отметить сообщение от проекта GNU Boot с информацией о выявлении несвободного микрокода в первом предварительной выпуске GNU Boot. Проект GNU Boot развивает сборку на базе кода проектов CoreBoot, LibreBoot и Canoeboot, содержащую только свободное ПО и исключающую любые проприетарные компоненты. Проблема выявлена в пакете vboot, используемом в CoreBoot, и пакете vboot-utils, входящем в состав многих дистрибутивов GNU/Linux. В данных для проведения тестов (tests/futility/data) присутствовал несвободный микрокод, прошивки и компоненты BIOS. Поставка данных компонентов в дистрибутивах может нарушать правила, ограничивающие включение проприетарного кода в репозитории с открытым кодом.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62079

Intel начал продвигать решения на базе CoreBoot для систем с процессорами Intel Xeon 6

Предполагается, что проведённая работа сделает решения на базе CoreBoot более привлекательными для корпоративных систем и доведёт их до уровня проектов Open Platform Firmware (OPF) от сообщества Open Compute. Отмечается, что использование CoreBoot даёт возможность компаниям упростить процесс инициализации оборудования, снизить издержки на сопровождение и адаптировать компоненты начальной загрузки под свои потребности, что особенно актуально при внедрении программно определяемых инфраструктур (SDI, Software-Defined Infrastructure) в датацентрах. Из достоинств применения CoreBoot также отмечается возможность добиться высокой производительности, эффективности и безопасности рабочих нагрузок, и способствование развитию инноваций и более активной совместной работе в отрасли.

Более высокая производительность по сравнению с проприетарными прошивками UEFI достигается в CoreBoot благодаря минималистичной модульной архитектуре, позволяющей инициализировать только необходимые аппаратные компоненты. CoreBoot также позволяет сократить время, используя LinuxBoot для прямой передачи управления ядру Linux, без привлечения дополнительных загрузчиков и прошивок.

Эффективность сопровождения при использовании CoreBoot обеспечивается за счёт повторного использования кода и применения единого программного каркаса при обеспечении поддержки различного оборудования. Для поддержания безопасности для CoreBoot доступны компоненты, позволяющие организовать верифицированную загрузку системы и позволяющие использовать такие технологии, как TPM (Trusted Platform Module), Intel TXT (Trusted Execution Technology) и Intel CBnT (Converged Boot Guard and TXT). Открытый характер проекта позволяет добиться прозрачности при принятии решений и приёме изменений, а также, благодаря большому сообществу, добиться более быстрого исправления ошибок и уязвимостей.

Дистрибутиву Ubuntu Linux исполнилось 20 лет

Выпуск сетевого стека F-Stack 1.24, выполняемого в пространстве пользователя

F-Stack позволяет задействовать в приложениях собственный локальный сетевой стек, не зависящий от сетевого стека операционной системы, функционирующий в пространстве пользователя и напрямую работающий с сетевым оборудованием. F-Stack позиционируется как решение, позволяющее повысить производительность обработчиков сетевых запросов в условиях, когда штатный TCP/IP стек ядра Linux становится узким местом и ограничивает масштабирование - в некоторых ситуациях проект даёт возможность в разы увеличить число обрабатываемых мелких сетевых запросов. Теоретически F-Stack позволяет достигнуть потолка сетевой производительности, возможного для используемой сетевой карты.

Повышение производительности достигается за счёт исключения таких операций, как копирования сетевых пакетов, планирование потоков, обработка прерываний и применение системных вызовов. Для взаимодействия с сетевой картой, минуя интерфейсы ядра операционной системы, применяется фреймворк DPDK (Data Plane Development Kit), развивающий набор библиотек для низкоуровневой работы с сетевыми адаптерами. DPDK даёт возможность снизить накладные расходы и уложиться в минимальное число циклов CPU при приёме или отправке сетевых пакетов.

Функциональность TCP/IP стека соответствует сетевому стеку FreeBSD 13 и выделена из данной операционной системы в независимую библиотеку. Для разработки приложений можно использовать стандартный API POSIX (socket, epoll, kqueue) или собственный программный интерфейс на основе микропотоков, упрощающий создание сетевых приложений и позволяющий обойтись без сложной логики асинхронной обработки запросов.

Проектом поддерживаются переведённые на использование F-Stack редакции многопротокольного сервера Nginx 1.25.2 и СУБД Redis 6.2.6, демонстрирующие производительность выше обычных сборок, работающих поверх системного сетевого стека.

Наиболее заметные изменения в новом выпуске:

• В файле конфигурации config.ini предоставлена возможность выбора между использованием KNI (Kernel NIC Interface) и virtio_user в качестве транспорта для передачи пакетов между ядром и приложением обработки пакетов на базе DPDK. Добавлена возможность использования ratelimit для KNI.
• Добавлена поддержка включения настройки сетевого стека "net.add_addr_allfibs=1" для добавления адресов во все таблицы маршрутизации.
• Добавлен API ff_get_traffic для получения трафика, например, для реализации QoS (Quality of Service).
• Добавлены функции pthread_create и pthread_join, напоминающие аналогичные функции из POSIX.
• Добавлен API ff_dpdk_raw_packet_send для отправки приложением raw-пакетов напрямую через DPDK, а не через сокет.
• Реализована поддержка автоматической настройки VLAN, маршрутизации и policy routing.
• Осуществлён переход на версию DPDK 22.11.6 LTS.
• В реализации Nginx поверх F-Stack добавлена поддержка модуля stream.

Выпуск Wine 9.20 и Wine staging 9.20

Наиболее важные изменения:

• В состав встроена библиотека Capstone, через которую реализовано дизассемблирование в WineDbg.
• В D3DX9 реализована поддержка форматов X8L8V8U8, A2W10V10U10, A8P8, V16U16 и Q16W16V16U16.
• В систему непрерывной интеграции на базе Gitlab добавлена поддержка статического анализа с использованием Clang и отчётов о прохождении тестов JUnit.
• В API DirectPlay продолжена реализация поддержки сетевых сеансов.
• Обновлены версии используемых библиотек: faudio 24.10, mpg123 1.32.7, png 1.6.44, tiff 4.7.0, ldap 2.5.18, fluidsynth 2.3.6, xslt 1.1.42 и xml2 2.12.8.
• Закрыты отчёты об ошибках, связанные с работой приложений: Rhinoceros, Helicon Focus 8.2.0, Notepad++, Nikon NX Studio.
• Закрыты отчёты об ошибках, связанные с работой игр: Victoria 2, Just Cause, BeamNG.drive, Wargaming.net, KnightOfKnights.

Кроме того, сформирован выпуск проекта Wine Staging 9.20, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 357 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 9.20 и перенесены свежие изменения из vkd3d. В основной состав Wine перенесено исправление, решающее проблему с отрисовкой повёрнутого и отмасштабированного текста в win32u (проблема оставалась нерешённой с 2013 года).

Дополнительно можно отметить обновление ветки Proton Experimental, в которой компанией Valve развивается пакет, основанный на кодовой базе Wine и позволяющий запускать в Linux игровые приложения, изначально созданные для Windows и представленные в каталоге Steam. В Proton Experimental добавлена поддержка игр:

• APB Reloaded
• Conqueror's Blade
• Hard Chip Demo
• Onimusha: Warlords
• Sniper Elite: Nazi Zombie Army 2
• Test Drive Unlimited Solar Crown
• Total War: SHOGUN 2
• Warhammer 40k: Space Marine 2
• Welcome to Dustown

Исправлены проблемы в играх:

• Age of Empires II: Definitive Edition
• B-17 Flying Fortress
• Bloodstained: Ritual of the Night
• Clash for Crust
• Curse of Brotherhood
• Devil May Cry 3 Special Edition
• Diablo IV
• Dog Brew
• DOOM Eternal
• Fablecraft
• Fallout: New Vegas
• Final Fantasy XVI
• For Honor
• GreedFall
• Hotshot Racing
• Hunt: Showdown 1896
• March of Empires
• Mary Skelter 2
• Microsoft Flight Simulator
• Oddworld: Stranger's Wrath HD
• Pharaoh Rebirth+
• Phasmophobia
• Red Dead Redemption 2
• Resident Evil 2
• Shadow Warrior 2
• SpellForce 3: Versus Edition
• The Finals
• Tomb Raider
• Trackmania Nations Forever
• Trackmania United Forever
• Twisted Sails
• UNO
• WARRIORS ALL-STARS
• Yakuza 3
• Yakuza 4
• Yakuza 6

Иногда хочется похвастаться количеством прочитанных книг. Но на «Фантлабе» я видел людей с десятками тысяч прочитанных произведений (с оценками и отзывами).

Это заставляет задуматься: а зачем мы читаем? Наверное, лучше всего стараться получить максимум из каждой книги. А количество не важно.

#книги

The web we want still exists-- shining a light on the #smallweb with Solar-powered, self-hosted website https://solar.dri.es/

From my stuff tagged "smallweb" bookmarked in pinboard https://pinboard.in/u:cogdog/?query=smallweb

Обход защиты от атак Spectre и эксплоит для извлечения данных из памяти другого процесса

Первый способ обхода защиты от Spectre вызван ошибкой в микрокоде процессоров Intel и проявляется на системах с 12, 13 и 14 поколением процессоров Intel Core и 5 и 6 поколением процессоров Intel Xeon. Проблема устранена в обновлении микрокода, выпущенном компанией Intel в марте. Из-за ошибки результаты предсказания переходов сохранялись после выполнения инструкции IBPB, которая должна была их аннулировать, что позволяло определить данные, оставшиеся после спекулятивного выполнения инструкций в других процессах или виртуальных машинах.

В ходе исследования отдельное внимание было уделено разработке метода для организации утечки содержимого памяти других процессов, в том числе привилегированных, таких как sudo. Так как до сих пор не существовало рабочих техник эксплуатации уязвимостей класса Spectre, нацеленных на преодоление изоляции между процессами, реализация защиты была сосредоточена главным образом на ядрах и гипервизоре, а связанные со спекулятивным выполнением проблемы в процессах, манипулирующих конфиденциальными данными, были оставлены без должного внимания. Таким образом, для атаки на процессы, как правило, не требуется обходить защиту на базе IBPB, так как подобная защита на уровне процессов применялась лишь в единичных случаях. Подготовленный в ходе исследования эксплоит продемонстрировал возможность применения уязвимостей Spectre для атаки на процессы, использующие suid-бит для выполнения с повышением привилегий.

Для эксплуатации уязвимостей Spectre на уровне процессов требуется наличие в коде процессов определённых последовательностей инструкций, приводящих к спекулятивному выполнению кода в зависимости от внешних условий, на которые может влиять атакующий. Возникающие спекулятивные обращения к памяти после определения неверного предсказания перехода отбрасываются процессором, но следы их выполнения оседают в процессорном кэше и могут затем быть извлечены из других процессов при помощи анализа по сторонним каналам, например, анализируя изменение времени доступа к прокэшированным и не прокэшированным данным.

Второй способ обхода защиты от Spectre вызван тем, что детали использования инструкций IBPB отличаются в процессорах от различных производителей и в разных поколениях процессоров одного производителя. Из-за того, что семантика IBPB в прошлых поколениях процессоров AMD отличается от семантики в CPU Intel и новых поколений CPU AMD, в ядре Linux имеющиеся отличия не были учтены и некоторые конфигурации были не защищены должным образом. Вероятно, аналогичные проблемы присутствуют в других операционных системах и в гипервизорах, но в ходе исследования было изучено только ядро Linux, в силу доступности его исходного кода. Проблема подтверждена в процессорах AMD поколения Zen, Zen2 и Zen3 (проблемы на системах с Zen3 не подтверждены исследователями, но упомянуты в отчёте AMD) и устраняется через установку обновления ядра (указано, что для исправления подготовлен патч, который пока не принят в основной состав ядра Linux).

Для защиты от уязвимостей, вызванных спекулятивным выполнением инструкций, при каждой передаче управления ядро вызывает процедуру, выполняющую инструкцию IBPB для сброса буфера предсказаний переходов. Проблема вызвана тем, что на некоторых системах AMD помимо очистки предсказания переходов требуется отдельная очистка предсказания адресов возврата, используемых в инструкциях RET. Для совершения атаки на системах с CPU AMD Zen и Zen2 атакующий может инициировать ложное предсказание адреса возврата до завершения операции IBPB. В качестве демонстрации метода подготовлен эксплоит, извлекающий содержимое произвольных областей памяти ядра, который можно использовать для извлечения хэша пароля пользователя root из страничного кэша операционной системы.

Обход защиты от атак Spectre и эксплоит для извлечения данных из памяти другого процесса

Первый способ обхода защиты от Spectre вызван ошибкой в микрокоде процессоров Intel и проявляется на системах с 12, 13 и 14 поколением процессоров Intel Core и 5 и 6 поколением процессоров Intel Xeon. Проблема устранена в обновлении микрокода, выпущенном компанией Intel в марте. Из-за ошибки результаты предсказания переходов сохранялись после выполнения инструкции IBPB, которая должна была их аннулировать, что позволяло определить данные, оставшиеся после спекулятивного выполнения инструкций в других процессах или виртуальных машинах.

В ходе исследования отдельное внимание было уделено разработке метода для организации утечки содержимого памяти других процессов, в том числе привилегированных, таких как sudo. Так как до сих пор не существовало рабочих техник эксплуатации уязвимостей класса Spectre, нацеленных на преодоление изоляции между процессами, реализация защиты была сосредоточена главным образом на ядрах и гипервизоре, а связанные со спекулятивным выполнением проблемы в процессах, манипулирующих конфиденциальными данными, были оставлены без должного внимания. Таким образом, для атаки на процессы, как правило, не требуется обходить защиту на базе IBPB, так как подобная защита на уровне процессов применялась лишь в единичных случаях. Подготовленный в ходе исследования эксплоит продемонстрировал возможность применения уязвимостей Spectre для атаки на процессы, использующие suid-бит для выполнения с повышением привилегий.

Для эксплуатации уязвимостей Spectre на уровне процессов требуется наличие в коде процессов определённых последовательностей инструкций, приводящих к спекулятивному выполнению кода в зависимости от внешних условий, на которые может влиять атакующий. Возникающие спекулятивные обращения к памяти после определения неверного предсказания перехода отбрасываются процессором, но следы их выполнения оседают в процессорном кэше и могут затем быть извлечены из других процессов при помощи анализа по сторонним каналам, например, анализируя изменение времени доступа к прокэшированным и не прокэшированным данным.

Второй способ обхода защиты от Spectre вызван тем, что детали использования инструкций IBPB отличаются в процессорах от различных производителей и в разных поколениях процессоров одного производителя. Из-за того, что семантика IBPB в прошлых поколениях процессоров AMD отличается от семантики в CPU Intel и новых поколений CPU AMD, в ядре Linux имеющиеся отличия не были учтены и некоторые конфигурации были не защищены должным образом. Вероятно, аналогичные проблемы присутствуют в других операционных системах и в гипервизорах, но в ходе исследования было изучено только ядро Linux, в силу доступности его исходного кода. Проблема подтверждена в процессорах AMD поколения Zen, Zen2 и Zen3 (проблемы на системах с Zen3 не подтверждены исследователями, но упомянуты в отчёте AMD) и устраняется через установку обновления ядра (указано, что для исправления подготовлен патч, который пока не принят в основной состав ядра Linux).

Для защиты от уязвимостей, вызванных спекулятивным выполнением инструкций, при каждой передаче управления ядро вызывает процедуру, выполняющую инструкцию IBPB для сброса буфера предсказаний переходов. Проблема вызвана тем, что на некоторых системах AMD помимо очистки предсказания переходов требуется отдельная очистка предсказания адресов возврата, используемых в инструкциях RET. Для совершения атаки на системах с CPU AMD Zen и Zen2 атакующий может инициировать ложное предсказание адреса возврата до завершения операции IBPB. В качестве демонстрации метода подготовлен эксплоит, извлекающий содержимое произвольных областей памяти ядра, который можно использовать для извлечения хэша пароля пользователя root из страничного кэша операционной системы.

Выпуск Rust 1.82. Новый браузер на Rust. Использование Rust в Volvo

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• В пакетный менеджер cargo добавлена команда "info" для вывода информации о пакете в репозитории.
• Добавлена поддержка синтаксиса "use‹..›" в "impl Trait", определяющего информацию о скрытых типах. Например, "impl Trait + use‹'x, T›" указывает, что в скрытом типе разрешено использовать только параметры "x" и "T".
• Предложен отдельный синтаксис для создания raw-указателей, пришедший на смену ранее применяемым макросам: на смену макросу "addr_of!(expr)" теперь оператор "&raw const expr", а на смену макросу "addr_of_mut!(expr)" - оператор "&raw mut expr".

     struct Packed {
         not_aligned_field: i32,
     }
     fn main() {
         let p = Packed { not_aligned_field: 1_82 };
  
         // Старый способ создания raw-указателя
         let ptr = std::ptr::addr_of!(p.not_aligned_field);
  
         // Новый способ создания raw-указателя
         let ptr = &raw const p.not_aligned_field;
  
         let val = unsafe { ptr.read_unaligned() };
     }
  

• Предоставлена возможность определения безопасных (safe) функций и констант со временем жизни 'static' внутри extern-блоков с признаком "unsafe" (ранее все элементы в "unsafe extern" могли иметь только признак "unsafe"):

     unsafe extern {
         pub safe static TAU: f64;
         pub safe fn sqrt(x: f64) -> f64;
         pub unsafe fn strlen(p: *const u8) -> usize;
     }
  

• Атрибуты no_mangle, link_section и export_name, которые могут привести к неопределённому поведению, теперь считаются небезопасными и требуют явной пометки признаком "unsafe", например:

     #[unsafe(no_mangle)]
     pub fn my_global_function() { }
  

• При сопоставлением с образцом разрешено пропускать пустые типы, такие как "enum Void {}" или структуры с видимым пустым полем.

     use std::convert::Infallible;
     pub fn unwrap_without_panic‹T›(x: Result‹T, Infallible›) -› T {
         let Ok(x) = x; // "Err" можно пропустить
         x
     }
  

• В типах для чисел с плавающей запятой (f32 и f64) стандартизировано поведения при обработке нечисловых значений NaN (0.0/0.0), а также разрешено использование операций с плавающей запятой в const fn.
• В ассемблерных вставках предоставлена возможность использования операндов с признаком "const" для непосредственного использования целых числовых значений без их предварительного сохранения в регистре.

     const MSG: &str = "Hello, world!\n";
  
     unsafe {
         core::arch::asm!(
             "mov rdx, {LEN}  // будет сформирована инструкций 'mov     rdx, 14'",
              LEN = const MSG.len(),
     ...
         );
     }
  

• Разрешена адресация выражений с признаком "static" в безопасном контексте без определения блока unsafe (операторы "&raw mut" и "&raw const" не влияют на значение операнда и лишь создаёт указатель на него):

     static mut STATIC_MUT: Type = Type::new();
     extern "C" {
         static EXTERN_STATIC: Type;
     }
     fn main() {
          let static_mut_ptr = &raw mut STATIC_MUT;
          let extern_static_ptr = &raw const EXTERN_STATIC;
     }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • std::thread::Builder::spawn_unchecked
  • std::str::CharIndices::offset
  • std::option::Option::is_none_or
  • [T]::is_sorted
  • [T]::is_sorted_by
  • [T]::is_sorted_by_key
  • Iterator::is_sorted
  • Iterator::is_sorted_by
  • Iterator::is_sorted_by_key
  • std::future::Ready::into_inner
  • std::iter::repeat_n
  • impl DoubleEndedIterator for Take
  • impl ExactSizeIterator for Take
  • impl ExactSizeIterator for Take
  • impl Default for std::collections::binary_heap::Iter
  • impl Default for std::collections::btree_map::RangeMut
  • impl Default for std::collections::btree_map::ValuesMut
  • impl Default for std::collections::vec_deque::Iter
  • impl Default for std::collections::vec_deque::IterMut
  • Rc‹T›::new_uninit
  • Rc‹T›::assume_init
  • Rc‹[T]›::new_uninit_slice
  • Rc‹[MaybeUninit‹T›]›::assume_init
  • Arc‹T›::new_uninit
  • Arc‹T›::assume_init
  • Arc‹[T]›::new_uninit_slice
  • Arc‹[MaybeUninit‹T›]›::assume_init
  • Box‹T›::new_uninit
  • Box‹T›::assume_init
  • Box‹[T]›::new_uninit_slice
  • Box‹[MaybeUninit‹T›]›::assume_init
  • core::arch::x86_64::_bextri_u64
  • core::arch::x86_64::_bextri_u32
  • core::arch::x86::_mm_broadcastsi128_si256
  • core::arch::x86::_mm256_stream_load_si256
  • core::arch::x86::_tzcnt_u16
  • core::arch::x86::_mm_extracti_si64
  • core::arch::x86::_mm_inserti_si64
  • core::arch::x86::_mm_storeu_si16
  • core::arch::x86::_mm_storeu_si32
  • core::arch::x86::_mm_storeu_si64
  • core::arch::x86::_mm_loadu_si16
  • core::arch::x86::_mm_loadu_si32
  • core::arch::wasm32::u8x16_relaxed_swizzle
  • core::arch::wasm32::i8x16_relaxed_swizzle
  • core::arch::wasm32::i32x4_relaxed_trunc_f32x4
  • core::arch::wasm32::u32x4_relaxed_trunc_f32x4
  • core::arch::wasm32::i32x4_relaxed_trunc_f64x2_zero
  • core::arch::wasm32::u32x4_relaxed_trunc_f64x2_zero
  • core::arch::wasm32::f32x4_relaxed_madd
  • core::arch::wasm32::f32x4_relaxed_nmadd
  • core::arch::wasm32::f64x2_relaxed_madd
  • core::arch::wasm32::f64x2_relaxed_nmadd
  • core::arch::wasm32::i8x16_relaxed_laneselect
  • core::arch::wasm32::u8x16_relaxed_laneselect
  • core::arch::wasm32::i16x8_relaxed_laneselect
  • core::arch::wasm32::u16x8_relaxed_laneselect
  • core::arch::wasm32::i32x4_relaxed_laneselect
  • core::arch::wasm32::u32x4_relaxed_laneselect
  • core::arch::wasm32::i64x2_relaxed_laneselect
  • core::arch::wasm32::u64x2_relaxed_laneselect
  • core::arch::wasm32::f32x4_relaxed_min
  • core::arch::wasm32::f32x4_relaxed_max
  • core::arch::wasm32::f64x2_relaxed_min
  • core::arch::wasm32::f64x2_relaxed_max
  • core::arch::wasm32::i16x8_relaxed_q15mulr
  • core::arch::wasm32::u16x8_relaxed_q15mulr
  • core::arch::wasm32::i16x8_relaxed_dot_i8x16_i7x16
  • core::arch::wasm32::u16x8_relaxed_dot_i8x16_i7x16
  • core::arch::wasm32::i32x4_relaxed_dot_i8x16_i7x16_add
  • core::arch::wasm32::u32x4_relaxed_dot_i8x16_i7x16_add
• Признак "const", определяющий возможность использования в любом контексте вместо констант, применён в функциях:
  • std::task::Waker::from_raw
  • std::task::Context::from_waker
  • std::task::Context::waker
  • $integer::from_str_radix
  • std::num::ParseIntError::kind
• Реализован первый уровень поддержки для платформы macOS на 64-рядных процессорах Apple Silicon на базе архтитектуры ARM64 (aarch64-apple-darwin). Первый уровень поддержки подразумевает формирование бинарных сборок проведение досконального тестирования и предоставление наивысшей гарантии поддержки платформы - каждое изменение в компиляторе проверяется выполнением полного тестового набора.
• Реализован второй уровень поддержки платформ aarch64-apple-ios-macabi и x86_64-apple-ios-macabi, отождествлённых с технологией Mac Catalyst, позволяющей запускать приложения iOS на системах Mac. Второй уровень поддержки подразумевает гарантию сборки.

Do you like the idea of running free software / Linux on everything?

Do you have some hardware collecting dust in a drawer?

Do you have fun figuring out how things break, and/or helping others break stuff?

If you answered "yes" to these questions, consider joining the #postmarketOS testing team today! It'll be fun! 🥳

https://wiki.postmarketos.org/wiki/Testing_Team

Microsoft открыл код гипервизора OpenVMM и платформы паравиртуализации OpenHCL

Среди возможностей, поддерживаемых в OpenVMM:

• Загрузка в режимах UEFI и BIOS, прямая загрузка ядра Linux;
• Поддержка паравиртуализации на базе драйверов Virtio (virtio-fs, virtio-9p, virtio-net, virtio-pmem)
• Поддержка паравиртуализации на базе VMBus (storvsp, netvsp, vpci, framebuffer);
• Эмуляция vTPM, NVMe, UART, чипсета i440BX + PIIX4, IDE HDD, PCI и VGA;
• Бэкенды для проброса графики, устройств ввода, консоли, хранилищ и сетевого доступа;
• Управление через интерфейс командной строки, интерактивную консоль, gRPC и ttrpc.

OpenHCL позиционируется как окружение с компонентами паравиртуализации (паравизор), работающее поверх гипервизора OpenVMM. Ключевой особенностью систем виртуализации на базе OpenVMM и OpenHCL является то, что компоненты для паравиртуализации выполняются не на стороне хост-системы, а в одной виртуальной машине с гостевой системой. Изоляции слоя паравиртуализации от гостевой операционной системы при этом обеспечивается силами гипервизора второго уровня OpenVMM. OpenHCL при таком применении может рассматриваться как виртуальная прошивка, выполняемая на более высоком уровне привилегий, чем запускаемая в гостевом окружении операционная система.

Разделение гостевой системы и компонентов OpenHCL осуществляется с использованием концепции виртуальных уровней доверия (VTL, Virtual Trust Level), для реализации которых могут использоваться как программные механизмы, так и аппаратные технологии, такие как Intel TDX (Trust Domain Extensions), AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) и ARM CCA (Confidential Compute Architecture). Для выполнения компонентов OpenHCL используется урезанная сборка ядра Linux, включающая только минимально необходимые компоненты, необходимые для работы OpenVMM.

OpenHCL может работать на платформах x86-64 и ARM64, и поддерживает расширения Intel TDX, AMD SEV-SNP и ARM CCA для дополнительной изоляции. В состав OpenHCL входит набор сервисов, драйверов и эмуляторов, применяемых для организации доступа к оборудованию, обеспечения работы виртуальных устройств на стороне гостевой системы и эмуляции аппаратных устройств (например, может эмулироваться чип для хранения криптографических ключей - vTPM).

Для трансляции доступа к оборудованию на стороне гостевой системы применяются существующие драйверы с поддержкой паравиртуализации или может выполняться прямая привязка устройств к виртуальной машине, что позволяет переносить в окружение на базе OpenHCL существующие гостевые системы без внесения в них изменений. Кроме того, OpenHCL включает компоненты для диагностики и отладки виртуальных машин, выполняемых с использованием расширений для обеспечения конфиденциальных вычислений.

В отличие от уже существующего открытого проекта COCONUT-SVSM (Secure VM Service Module), предоставляющего сервисы и эмулируемые устройства для гостевых систем, выполняемых в конфиденциальных виртуальных машинах (CVM, Confidential Virtual Machine), OpenHCL позволяет использовать в гостевых системах стандартные интерфейсы, в то время как COCONUT-SVSM требует организации специального взаимодействия с SVSM, внесения изменений в гостевую систему и использования отдельных драйверов.

Из применений паравизора OpenHCL упоминаются такие сценарии, как перевод существующих систем на использование аппаратных ускорителей Azure Boost без необходимости внесения изменений в дисковый образ гостевой системы; выполнение имеющихся гостевых систем в виртуальных машинах, обеспечивающих конфиденциальные вычисления (например, на базе Intel TDX и AMD SEV-SNP); организация верифицированной загрузки виртуальных машин, используя режим UEFI Secure Boot и vTPM.

Отдельно отмечается, что проект OpenVMM сфокусирован на использование с OpenHCL и пока не готов для обособленного применения на хост-системах для рабочих внедрений конечными пользователями. Из проблем OpenVMM, мешающих его использованию в хост-окружениях в традиционной контексте, вне связки с OpenHCL, упоминаются: плохое документирование управляющего интерфейса; отсутствие должной оптимизации производительности бэкендов для хранилищ, сети и графики; отсутствие поддержки некоторых драйверов (например, IDE-дисков и PS/2 мыши); нет гарантии стабильности API и функциональности. При этом связка из OpenVMM и OpenHCL уже достигла уровня промышленного внедрения и задействована Microsoft в платформе Azure (Azure Boost SKU) для обеспечения работы более 1.5 млн. виртуальных машин.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62070

Microsoft открыл код гипервизора OpenVMM и платформы паравиртуализации OpenHCL

Среди возможностей, поддерживаемых в OpenVMM:

• Загрузка в режимах UEFI и BIOS, прямая загрузка ядра Linux;
• Поддержка паравиртуализации на базе драйверов Virtio (virtio-fs, virtio-9p, virtio-net, virtio-pmem)
• Поддержка паравиртуализации на базе VMBus (storvsp, netvsp, vpci, framebuffer);
• Эмуляция vTPM, NVMe, UART, чипсета i440BX + PIIX4, IDE HDD, PCI и VGA;
• Бэкенды для проброса графики, устройств ввода, консоли, хранилищ и сетевого доступа;
• Управление через интерфейс командной строки, интерактивную консоль, gRPC и ttrpc.

OpenHCL позиционируется как окружение с компонентами паравиртуализации (паравизор), работающее поверх гипервизора OpenVMM. Ключевой особенностью систем виртуализации на базе OpenVMM и OpenHCL является то, что компоненты для паравиртуализации выполняются не на стороне хост-системы, а в одной виртуальной машине с гостевой системой. Изоляции слоя паравиртуализации от гостевой операционной системы при этом обеспечивается силами гипервизора второго уровня OpenVMM. OpenHCL при таком применении может рассматриваться как виртуальная прошивка, выполняемая на более высоком уровне привилегий, чем запускаемая в гостевом окружении операционная система.

Разделение гостевой системы и компонентов OpenHCL осуществляется с использованием концепции виртуальных уровней доверия (VTL, Virtual Trust Level), для реализации которых могут использоваться как программные механизмы, так и аппаратные технологии, такие как Intel TDX (Trust Domain Extensions), AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) и ARM CCA (Confidential Compute Architecture). Для выполнения компонентов OpenHCL используется урезанная сборка ядра Linux, включающая только минимально необходимые компоненты, необходимые для работы OpenVMM.

OpenHCL может работать на платформах x86-64 и ARM64, и поддерживает расширения Intel TDX, AMD SEV-SNP и ARM CCA для дополнительной изоляции. В состав OpenHCL входит набор сервисов, драйверов и эмуляторов, применяемых для организации доступа к оборудованию, обеспечения работы виртуальных устройств на стороне гостевой системы и эмуляции аппаратных устройств (например, может эмулироваться чип для хранения криптографических ключей - vTPM).

Для трансляции доступа к оборудованию на стороне гостевой системы применяются существующие драйверы с поддержкой паравиртуализации или может выполняться прямая привязка устройств к виртуальной машине, что позволяет переносить в окружение на базе OpenHCL существующие гостевые системы без внесения в них изменений. Кроме того, OpenHCL включает компоненты для диагностики и отладки виртуальных машин, выполняемых с использованием расширений для обеспечения конфиденциальных вычислений.

В отличие от уже существующего открытого проекта COCONUT-SVSM (Secure VM Service Module), предоставляющего сервисы и эмулируемые устройства для гостевых систем, выполняемых в конфиденциальных виртуальных машинах (CVM, Confidential Virtual Machine), OpenHCL позволяет использовать в гостевых системах стандартные интерфейсы, в то время как COCONUT-SVSM требует организации специального взаимодействия с SVSM, внесения изменений в гостевую систему и использования отдельных драйверов.

Из применений паравизора OpenHCL упоминаются такие сценарии, как перевод существующих систем на использование аппаратных ускорителей Azure Boost без необходимости внесения изменений в дисковый образ гостевой системы; выполнение имеющихся гостевых систем в виртуальных машинах, обеспечивающих конфиденциальные вычисления (например, на базе Intel TDX и AMD SEV-SNP); организация верифицированной загрузки виртуальных машин, используя режим UEFI Secure Boot и vTPM.

Отдельно отмечается, что проект OpenVMM сфокусирован на использование с OpenHCL и пока не готов для обособленного применения на хост-системах для рабочих внедрений конечными пользователями. Из проблем OpenVMM, мешающих его использованию в хост-окружениях в традиционной контексте, вне связки с OpenHCL, упоминаются: плохое документирование управляющего интерфейса; отсутствие должной оптимизации производительности бэкендов для хранилищ, сети и графики; отсутствие поддержки некоторых драйверов (например, IDE-дисков и PS/2 мыши); нет гарантии стабильности API и функциональности. При этом связка из OpenVMM и OpenHCL уже достигла уровня промышленного внедрения и задействована Microsoft в платформе Azure (Azure Boost SKU) для обеспечения работы более 1.5 млн. виртуальных машин.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62070

Перед камерой целуют
В пасху жертвенных детей
И уводят их под утро
В темный темный мавзолей
Каждый новый юный гробик
Пополняет их гарем
Свежей плотью, сладкой кровью
Для усталых старых вен
Как сияют их погоны
Как звезда горит слеза...
Отчего же вы, иконы,
Не плюете им в глаза?

FuzixOS: Because Small Is Beautiful

UNIX для ретро-машин и их современных инкарнаций (Z80, 68к и многое другое).

Но меня поразило количество ссылок в разделе "Supported Systems" на разные homebrew-компьютеры.

(#osdev)

Выпуск мобильной платформы /e/OS 2.4

Прошивка /e/OS развивается как ответвление от платформы Android (используются наработки LineageOS), избавленное от привязки к сервисам и инфраструктуре Google, что позволяет с одной стороны сохранить совместимость с Android-приложениями и упростить поддержку оборудования, а с другой стороны блокировать передачу телеметрии на серверы Google и обеспечить высокий уровень конфиденциальности. Блокируется и неявная отправка информации, например, обращение к серверам Google при проверке доступности сети, резолвинге DNS и определении точного времени.

Для взаимодействия с сервисами Google предустановлен пакет microG, который позволяет обойтись без установки проприетарных компонентов и предлагает вместо сервисов Google независимые аналоги. Например, для определения местоположения по Wi-Fi и базовым станциям (без GPS) задействована прослойка UnifiedNlp, способная работать через OpenWlanMap, openBmap, OpenCellID, lacells.db и другие альтернативные сервисы. Вместо поисковой системы Google предлагается собственный метапоисковый сервис на основе форка движка Searx, обеспечивающий анонимность отправляемых запросов.

Для синхронизации точного времени вместо Google NTP используется NTP Pool Project, а вместо DNS-серверов Google (8.8.8.8) - DNS-серверы текущего провайдера. В web-браузере по умолчанию включён блокировщик рекламы и скриптов для отслеживания перемещений. Для синхронизации файлов и данных приложений разработан собственный сервис, который может работать c инфраструктурой на базе NextCloud. Серверные компоненты основаны на открытом ПО и доступны для установки на подконтрольных пользователю системах.

Интерфейс пользователя существенно переработан и включает собственное окружение для запуска приложений BlissLauncher, улучшенную систему уведомлений, новый экран блокировки и иное стилевое оформление. В BlissLauncher задействован специально разработанный для проекта набор автоматически масштабируемых пиктограмм и подборка виджетов (например, виджет для показа прогноза погоды).

Проектом также развивается собственный менеджер аутентификации, позволяющий использовать для всех сервисов единую учётную запись (user@murena.io), регистрируемую в процессе первой установки. Учётную запись можно использовать для получения доступа к своему окружению через Web или на других устройствах. В облаке Murena Cloud бесплатно предоставляется 1ГБ для хранения своих данных, синхронизации приложений и резервных копий.

По умолчанию в состав входят такие приложения, как почтовый клиент (K9-mail), web-браузер (Cromite, ответвление от Chromium), программа для работы с камерой (OpenCamera), программа для отправки мгновенных сообщений (qksms), система для ведения заметок (nextcloud-notes), PDF-просмотрщик (MJ PDF), планировщик (opentasks), программа для работы с картами (Magic Earth), галерея фотографий (gallery3d), файловый менеджер (DocumentsUI).

Основные изменения в /e/OS 2.4:

• Обеспечена официальная поддержка смартфона Google Pixel 7.
• Реализована возможность обновления программы управления учётными записями через менеджер приложений App Lounge, по аналогии с остальными приложениями. Кроме того, в App Lounge добавлена поддержка автообновления самого себя.
• В web-браузере обеспечена загрузка с собственного хоста gitlab.e.foundation фильтров для блокироваиня рекламы. Браузерный движок обновлён до кодовой базы Chromium 127.
• В календаре-планировщике предоставлена возможность добавления в календарь ics-файлов, включающих информацию о нескольких событиях.
• В прошивке для смартфона Fairphone 5 появилась возможность использования родного для данного смартфона приложения для работы с камерой. Улучшен интерфейс камеры для смартфона Murena Two.
• В программе доставки обновлений каналы stable и dev переименованы в official и community.
• Перенесены исправления и обновления из платформы LineageOS 20.
• Просмотрщик PDF обновлён до версии 2.2.1.

I am very happy to announce that Rabbit Waves is out!

The idea for this project came after @neauoire & I were discussing the disappearance of certain traditional seasteading skills and maritime communication knowledge. We believe these skills are valuable when electronics misbehave, but they're also just generally fun to learn and to use.

All of the art is drawn by hand :>! We will add more content as we go!

https://rabbitwaves.ca/

Выпуск СУБД MySQL 9.1.0

Основные изменения в MySQL 9.1:

• В операцию "CREATE VIEW" добавлена поддержка выражения "IF NOT EXISTS", позволяющего организовать создание представления только если представления с указанным именем ещё не существует и избежать возвращения ошибки, если представление уже создано.
• Прекращена загрузка триггеров при выполнении операций, связанных только с чтением. Ранее триггеры загружались при любом доступе к таблице, что приводило к расходованию памяти и созданию нагрузки на CPU в ситуациях, когда триггеры не использовались (например, при выполнении запросов SELECT). В MySQL 9.1 обработка и загрузка триггеров разделена на две стадии: чтение метаданных о триггере и разбор+выполнение траггера. Данные, полученные на первой стадии сохраняются один раз и затем совместно используются в различных экземплярах триггера. Разбор и выполнение триггера производится только для выражений, приводящих к изменению данных. Кроме того, для сокращения потребления памяти вместо статического выделения буферов для обработки ошибок в триггерах осуществлён переход к динамическому выделению памяти по необходимости.
• Расширен вывод операции "EXPLAIN", в котором теперь отображаются сведения об использовании многодиапазонного чтения (multi-range) и применении стратегии полуобъединения (semijoin), при которой при операциях JOIN обрабатываются строки только из одной таблицы.
• Обеспечено атомарное выполнение операций "CREATE DATABASE" и "DROP DATABASE" для защиты от сбоев в случае аварийного завершения или возникновения ошибок на уровне файловой системы во время выполнения данных операций. Например, ранее при аварийном завершении "CREATE DATABASE" могла быть сформирована неполная нерабочая структура хранилища БД, для очистки которой требовалось ручное вмешательство.
• В написанных на JavaScript хранимых процедурах обеспечена поддержка типа VECTOR. Данные с указанным типом теперь могут передаваться во входных и возвращаемых параметрах.
• Добавлена возможность аутентификации при подключении к СУБД с использованием протокола OpenID Connect.
• Устранено 27 уязвимостей, самой серьёзной из которых (CVE-2024-5535) присвоен критический уровень опасности (9.1 из 10). Уязвимость может быть эксплуатирована удалённо без прохождения аутентификации. Проблема вызвана чтением данных из области вне выделенного буфера в библиотеке OpenSSL и приводит к аварийному завершению или утечке содержимого памяти в ответе после соединения с сервером с указанием некорректных параметров протокола.

— Господи, почему ты не создал мир до Большого Взрыва?
— Ну как вам сказать... Понимаете... Времени не было.
©пиздил

Опубликована платформа Node.js 23.0 с начальной поддержкой языка TypeScript

Основные улучшения:

• Добавлена экспериментальная поддержка языка TypeScript, допускающего явное определение типов. Поддержка включается при помощи опций "--experimental-strip-types" и "--experimental-transform-types". В случае первой опции работа с TypeScript сводится к очистке специфичных для данного языка определений типов (проверка типов не выполняется, код просто приводится к виду JavaScript без типов). Вторая опция осуществляет преобразование в код на JavaScript некоторых элементов синтаксиса TypeScript, например, перечислений (enum) и пространств имён (namespace).
• Включена по умолчанию возможность использования вызова "require()" для загрузки JavaScript-модулей ESM (ECMAScript Modules) в синхронном режиме. ESM-модули применяются в браузерах и идут на смену модулям CommonJS, специфичным для Node.js. Для загрузки через "require()" в Node.js ESM-модуль должен выполняться в синхронном режиме (без await на верхнем уровне).
• Обеспечено автоматическое выявление ESM-модулей в файлах без расширения или с расширением ".js". Ранее подобные файлы трактовались как модули CommonJS, если в размещённом в том же каталоге файле package.json явно не указывался их тип ("type": "module"). В новой версии для файлов, тип которых не обозначен в package.json, вначале осуществляется попытка загрузки как модуля CommonJS, а если это не удалось, то как модуля ESM.
• Добавлена экспериментальная реализация совместимого с браузерами API Web Storage, предназначенного для постоянного (класс localStorage) или временного (класс sessionStorage) хранения данных в формате ключ/значение. Для включения поддержки Web Storage требуется запуск с флагом "--experimental-webstorage" и указание пути к файлу с хранилищем через флаг "--localstorage-file".
• Добавлен экспериментальный API SQLite для работы с базами данных, используя язык запросов SQL и хранилище на базе библиотеки SQLite. Помимо хранения базы данных в файле на диске, её также можно размещать в памяти, указав вместо имени файла ":memory:". Вышеотмеченной API Web Storage также реализован поверх SQLite, что привело к добавлению SQLite в число зависимостей для Node.js.
• Объявлена стабильной команда "node --run", предназначенная для запуска скриптов, определённых в файле package.json.
• Реализована опциональная поддержка кэширования скомпилированного кода на диске для существенного ускорения запуска модулей. Включение кэширования осуществляется через переменную окружения NODE_COMPILE_CACHE. По своему назначению возможность напоминает пакет v8-compile-cache, но отличается более высокой производительностью и поддержкой модулей ESM.
• Проведена оптимизация объекта Buffer, позволившая значительно увеличить производительность методов Buffer.copy() и Buffer.write().
• Повышена производительность модуля node:fs, в котором также сокращено число вызовов кода на C++ в процессе работы.
• Движок V8 обновлён до версии 12.9, применяемой в Chromium 129.
• Удалена поддержка 32-разрядных систем с ОС Windows.
• Из-за внедрения в Node.js и движке V8 возможностей, определённых в стандарте C++20, повышены требования к версии компилятора GCC. Для сборки Node.js теперь требуется как минимум версия GCC 12.

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обеспечения обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8 (дополнительно Microsoft развивает вариант Node.js с движком Chakra-Core). По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python Twisted и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.


Источник: https://www.opennet.ru/opennews/art.shtml?num=62066

Google проанализировал уязвимости, в 2023 году задействованные для совершения атак

Из тенденций также отмечается значительное ускорение разработки эксплоитов - среднее время появления эксплоитов для новых уязвимостей в 2023 году составило 5 дней после публикации исправления в уязвимом ПО, в то время как в 2021 и 2022 годах этот показатель составлял 32 дня, в 2020 году - 44 дня, а в 2018-2019 годах - 63 дня. В 12% случаев первый факт эксплуатации уязвимости выявлен в течение суток после публикации патча, в 29% - в течение недели, в 56% - в течение месяца, в 5% - 6 месяцев (в 2022 году этот показатель составлял 25%).

В качестве примеров рассмотрены критические уязвимости CVE-2023-28121 и CVE-2023-27997, затрагивающие плагин WooCommerce Payments к WordPress и Fortinet FortiOS. В первом случае эксаплуатация была примитивной и требовала отправки определённого HTTP-запроса для обхода аутентификации, а во втором случае для эксплуатации переполнения буфера и обхода механизма рандомизации адресов потребовалось создание достаточно сложного эксплоита. Атаки на WooCommerce Payments начались через 10 дней после публикации технических деталей, а на FortiOS лишь спустя 3 месяца, при этом первые рабочие эксплоиты были предложены через 8 дней и 3 дня соответственно.

Доступна платформа совместной разработки Forgejo 9.0, перешедшая на лицензию GPLv3

Ключевыми особенностями платформы является низкое потребление ресурсов (может использоваться на плате Raspberry Pi или в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев. Отдельно выделяется возможность использования протокола ActivityPub для объединения в федеративную сеть отдельных серверов разработчиков.

Основные изменения:

• Осуществлён переход c пермиссивной лицензией MIT на копилефт лицензию GPLv3+ для нового кода. Cмена лицензии упростит задействование в проекте кода, распространяемого под копилефт-лицензиями, не совместимыми с MIT, а также снизит риск применения недобросовестных бизнес-практик, таких как привязка пользователя к определённому поставщику и создание модифицированных версий Forgejo, распространяемых с дополнительными ограничениями.
• Добавлена начальная реализация системы настраиваемых квот, позволяющих ограничивать размер пользовательских данных на сервере. Реализация основана на установке мягких квот (soft quota), превышение которых проверяется только перед выполнением операций, но не ограничивается в случае превышения квоты в процессе выполнения операций.
• Разрешено использование SSH-ключей вместо паролей для аутентификации операций зеркалирования.
• Для работы с Git оставлен только бэкенд на базе штатного инструментарий Git. Удалён бэкенд go-git с реализацией Git на языке Go, что упростит сопровождение, позволит развивать Forgejo без оглядки на функциональность go-git и исключит проблемы с повреждением репозиториев, возникавших в go-git.
• Удалён провайдер сеансов на базе СУБД Couchbase, так как он завязан на несвободное ПО, возможности тестирования которого ограничены.

Репозиторий с кодом WinAmp удалён с GitHub

Проект Asterinas развивает ядро на языке Rust, совместимое с Linux

Проект развивается с осени 2022 года и намерен уже в этом году добиться уровня, пригодного для широкого использования в виртуальных машинах с архитектурой x86-64. Начиная со следующего года основное внимание планируют переключить на реализацию поддержки оборудования и других архитектур CPU. Из приоритетных областей применения называются системы, завязанные на Linux ABI, но требующие более высокого уровня защищённости. Например, Asterinas предлагается использовать для формирования системного окружения защищённых виртуальных машин, для изоляции которых используются такие технологии, как ARM CCA, AMD SEV и Intel TDX, а также на стороне хост-системы, обеспечивающей запуск контейнеров.

Для снижения вероятности появления ошибок при работе с памятью, являющихся главным источником наиболее опасных уязвимостей, при написании Asterinas задействован язык Rust и тактика ограниченного использования unsafe-блоков. Ядро построено с использованием архитектуры framekernel, в которой разработчики попытались совместить возможности изоляции микроядер с эффективностью монолитных ядер.

Компоненты ядра в Asterinas размещаются в общем адресном пространстве, а безопасность достигается на уровне логического разделения безопасного кода и кода в котором не исключено возникновение проблем с безопасностью. Ядро разбито на две части, написанные на Rust: OS Framework и OS Services. В OS Services запрещено применение unsafe-блоков, а все низкоуровневые операции, требующие выполнения кода в блоках unsafe, вынесены в OS Framework и доступны только через высокоуровневый API. Все системные вызовы, файловые системы и драйверы реализуются на уровне OS Services и не могут включать unsafe-блоки.

При разработке системных сервисов и модулей ядра предлагается использовать инструментарий OSDK (Operating System Development Kit), предоставляющий утилиту cargo-osdk для создания, сборки, тестирования и запуска компонентов операционной системы. Для разработчиков подготовлен набор библиотек OSTD (Operating System Standard Library), представляющий собой редакцию стандартных библиотек Rust(crate std), адаптированную для использования в компонентах операционной системы.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62061

Capibara Zero — дешёвая альтернатива Flipper Zero

https://capibarazero.github.io/docs/docs/intro/

Выпуск музыкального проигрывателя Fooyin 0.8

Поддерживается воспроизведение файлов в формате FLAC, MP3, MP4, Vorbis, Opus, WavPack, WAV, AIFF, Musepack, Monkey's Audio, VGM и различных трековых форматов. Среди возможностей Fooyin: извлечение сведений о порядке и длительности звуковых треков из CUE-файлов, воспроизведение без пауз (gapless), создание, импорт и экспорт списков воспроизведения в форматах M3U/M3U8, фильтрация содержимого музыкальной библиотеки по любым полям, древовидное представление коллекции, редактирование тегов, визуализации при помощи спектрограмм, навигация на уровне каталогов в файловой системе с возможностью прямого воспроизведения выбранных файлов. Для внешнего управления проигрывателем может использоваться D-Bus-интерфейс MPRIS (Media Player Remote Interfacing Specification).

В новой версии:

• Расширены возможности для нормализации громкости (ReplayGain). Для расчёта параметров нормализации может использоваться библиотека libebur128 или FFmpeg.
• В скрипты FooScript добавлен синтаксис запросов, который можно использовать для фильтрации и поиска содержимого. В следующей версии данная возможность будет использована при реализации умных списков воспроизведения.
• Добавлены новые плагины визуализации звуковой волны "peak" и "VU".
• Добавлена начальная поддержка загрузки и воспроизведения контента в формате DSF/DSDIFF.
• Реализована поддержка показа обложек альбомов при работе с коллекцией в древовидном режиме.
• Во встроенный виджет поиска добавлены новые режимы поиска. Реализована отдельная страница с настройками поиска.

Выпуск компилятора ISPC 1.25, развиваемого Intel для языка Си с расширениями SPMD

Си-программы с расширениями SPMD компилируются для выполнения на вычислительных блоках SIMD, предоставляемых CPU и GPU, что позволяет задействовать механизмы векторизации SIMD без низкоуровневых оптимизаций и явного применения в коде SIMD-инструкций. Для написания распараллеливаемых функций используется привычный синтаксис и идиомы языка Си - SPMD-функции напрямую взаимодействуют с функциями и структурами, написанными на C/C++. Для отладки программ могут применяться существующие отладчики.

В качестве бэкенда для генерации кода и оптимизации в ISPC используется инфраструктура LLVM. Поддерживаются векторные инструкции x86 (SSE2, SSE4, AVX, AVX2, AVX512) и ARM (NEON), а также вынос вычислений на сторону GPU (Intel Gen9 и Xe). На архитектурах с векторными блоками SSE, обрабатывающими по 4 элемента за раз, применение ISPC даёт возможность добиться ускорения выполнения программы в 3 или более раз, а на архитектурах с векторными блоками AVX, обрабатывающими по 8 элементов за раз, ускорение может достигать 5-6 раз. При этом помимо размера векторного блока, масштабирование также обеспечивается за счёт выполнения на разных процессорных ядрах.

Основные новшества, добавленные в версии ISPC 1.25:

• При объявлении переменных и функций разрешено указание атрибутов "noescape", "address_space(N)", "external_only" и "unmangled" при помощи ключевого слова "__attribute__".
• Добавлена поддержка использования шаблонов при объявлении векторов и массивов.
• Обеспечен вывод сообщений об ошибках при использовании несовместимых типов при объявлении переменных.
• Улучшена генерация кода для циклов foreach. Повышена эффективность генерации кода на основе наборов инструкций AVX2 и AVX512.
• Обеспечена упреждающая компиляция стандартной библиотеки (stdlib), выполняемая на стадии сборки ISPC, а не при компиляции проектов. Изменение позволило сократить время сборки на 5-60%, в зависимости от размера собираемого кода.
• Добавлены новые сборочные цели: xe2hpg-x16 и xe2hpg-x32 для GPU Intel Xe2 Battlemage, xe2lpg-x16 и xe2lpg-x32 для GPU Intel X Xe2 Lunar Lake. Также добавлены определения arrowlake, lunarlake и graniterapids для CPU Intel ArrowLake, LunarLake и GraniteRapids.
• Объявлены устаревшими сборочные цели avx512knl-x16, gen9-x8 и gen9-x16.
• В стандартную библиотеку для данных с типами float и double добавлены атомарные операции сложения, вычитания, поиска минимума и максимума.
• Добавлена опция командной строки "-ffunction-sections" для генерации каждой функции в отдельной секции.
• Предоставлена возможность сборки ISPC в двух режимах "slim" и "composite" (по умолчанию). Второй режим отличается интеграцией библиотек stdlib и binutils в единый исполняемый файл, вместо их поставки в виде отдельных файлов.

Опубликован исходный код игры Rogue Legacy

Опубликован только код без игровых ресурсов, которые можно перенести из своей копии игры. Предложенный код рассчитан на применение пакета FNA с открытой реализацией библиотек Microsoft XNA Game Studio 4.0 Refresh. При этом отдельно отмечается, что ведётся работа по портированию игры на библиотеку SDL 3.

Intel и AMD при участии Линуса Торвальдса создали консультативную группу по экосистеме x86

Ключевой задачею инициативы названа совместная работа над обеспечением совместимости между платформами, упрощением разработки программного обеспечения для систем x86 и выявлением потребностей разработчиков в расширении архитектуры. Целью является поддержание развития архитектуры x86 как вычислительной платформы, востребованной как разработчиками, так и потребителями.

Ожидается, что группа поможет объединить лидеров индустрии и учесть интересы как производителей оборудования, так и сообществ разработчиков ПО, для формирования будущего архитектуры и предоставления разработчикам более унифицированного набора инструкций и архитектурных интерфейсов. В область интересов группы попадают различные области применения, включая решения для центров обработки данных, клиентских систем, облачных сервисов, встраиваемых устройств, машинного обучения и 3D-графики.

Ожидается, что в итоге удастся улучшить совместимость между программным и аппаратным обеспечением, упростить руководства по архитектуре и стандартизировать интерфейсы продуктов Intel и AMD, а также обеспечить более эффективную интеграцию новых аппаратных возможностей в операционные системы, фреймворки и приложения.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62056

Amazon адаптировал инструментарий управлениями контейнерами Finch для работы в Linux

Интерфейс командной строки в Finch реализован с использованием наработок проекта nerdctl, предоставляющего совместимый с Docker набор команд для сборки, запуска, публикации и загрузки контейнеров (build, run, push, pull и т.п.), расширенного дополнительными возможностями, такими как режим работы без root, шифрование образов, распространение образов в режиме P2P при помощи IPFS и заверение образов цифровой подписью. В качестве runtime для управления контейнерами применяется containerd. Для сборки образов в формате OCI задействован инструментарий BuildKit.

В версиях для Windows и macOS для запуска виртуальных машин с Linux, настройки совместного доступа к файлам и перенапрпвления сетевых портов в Finch применяется отдельная прослойка Lima, позволяющая использовать технологии виртуализации VF (Virtualization Framework) в macOS и WSL2 в Windows для реализации используемых в Linux примитивов изоляции. В версии Finch для Linux вместо Lima осуществляется прямое обращение к штатным возможностям ядра, таким как пространства имён и cgroup.

Finch связывает nerdctl, containerd и BuildKit в одно целое и позволяет сразу приступить к работе, без необходимости разбираться и настраивать все эти компоненты по отдельности. Для работы предлагается собственная утилита finch, которая скрывает за унифицированным интерфейсом детали работы с каждым входящим в состав компонентом. Для начала работы достаточно установить один пакет, который включает всё что необходимо, после чего можно сразу создавать и запускать контейнеры.

В версии для Linux доступны все возможности, ранее предоставляемые для macOS и Windows, среди которых сборка образов контейнеров на основе Dockerfiles, запуск контейнеров на локальной системе, помещение и извлечение образов контейнеров из реестров, управление сетями и дисковыми разделами, использование команды "finch compose" для формирования многоконтейнерых приложений.

В процессе разработки Finch компанией Amazon также подготовлено несколько расширений к nerdctl, которые уже приняты в основной состав данного проекта. В частности, в nerdctl добавлены компоненты для заверения образов цифровой подписью и реализация возможности создания и запуска образов, используя технологию SOCI (Seekable OCI), изначально созданную для AWS и позволяющую заметно ускорить загрузку образов контейнеров (SOCI позволяет начать запуск не дожидаясь окончания полной загрузки образа и подгружать необходимые для работы части по мере необходимости).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62055

Обновление VirtualBox 7.1.4

• В дополнениях для гостевых систем с Linux добавлена начальная поддержка ядра 6.12, релиз которого ожидается в конце ноября. Из-за перехода гипервизора KVM к инициализации сразу после загрузки модуля ядра для запуска виртуальных машин в VirtualBox необходимо выставить параметр в командной строке ядра "kvm.enable_virt_at_load=0" или выгрузить модуль ядра kvm_*.
• Предоставлена возможность автоматического обновления дополнений для гостевых систем с Linux для ARM через меню Devices.
• В драйвере VMSVGA устранены проблемы с мерцанием, появлением чёрного экрана и нарушениями обновления информации на экране, проявляющиеся на системах с ядром Linux 6.4 и новее.
• В трансляторе адресов решена проблема с восстановлением состояния окружений, созданных в VirtualBox 7.0.X.
• В VBoxManage налажена работа команд "list vms" и "showvminfo" для недоступных виртуальных машин.
• В дополнениях для хостов c Windows решены проблемы с проверкой размера системных DLL при использовании Windows 11 24H2 и сборок Insider Preview.
• Для систем с EFI добавлен недостающий драйвер для LsiLogic MPT SCSI, решающий проблемы с загрузкой устройств, прикреплённых к хранилищам на основе данного контроллера.
• В EFI восстановлена поддержка сетевой загрузки.

Помимо данных изменений в новой версии устранено 5 уязвимостей с максимальным уровнем опасности 7.5. Подробности об уязвимостях не раскрываются. В ветке VirtualBox 7.0.x уязвимости устранены в выпуске 7.0.22.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62054

В OpenSSH код аутентификации вынесен в отдельный процесс sshd-auth

Процесс sshd-auth запускается из sshd-session и позволяет дополнительно изолировать связанные с аутентификацией данные в адресном пространстве отдельного процесса, что не даст получить доступ к этим данным в памяти в случае проведения атак на код, используемый для обработки стадий соединения до завершения аутентификации. Кроме того, изменение немного снизит потребление памяти, так как связанный с аутентификацией код теперь присутствует в памяти только в момент проведения аутентификации, а затем выгружается при завершении процесса sshd-auth.

По аналогии с sshd, ssh-session и ssh-agent для процесса sshd-auth применена операция случайной перекомпоновки исполняемого файла во время каждой загрузки операционной системы. Случайная перекомпоновка делает плохо предсказуемым смещения функций в исполняемых файлах и библиотеках, что затрудняет создание эксплоитов, использующих методы возвратно-ориентированного программирования (ROP - Return-Oriented Programming). При использовании техники ROP атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62052

#техника #история #микроволновка

А вот еще интересная штука: 1987 г., #Sharp, капсульная микроволновка. Переносная, позиционировалась «для использования за обеденным столом». Видимо, обусловлено японской культурой. Идея развития не получила.

А на мой взгляд — зря. Мы пользуемся микроволновкой 10 минут в день максимум. Остальное время она занимает место на кухонном столе. Кто-то вообще пользуется редко. И вот эту малышку можно было бы доставать и убирать в шкаф при необходимости (я не предлагаю делать это 3 раза в день ;-) но, например, быстро освободить место).

А смотрится так вообще шикарно. Вопросы, конечно, есть к излучению... Похоже, над этим в 87-м не особо задумывались.

https://design.sharp.co.jp/eng/design_column/a08_1987microwave-re2

Выпуск Sevimon 0.2, программы видеоконтроля напряжения мышц лица

Основные изменения:

• Добавлена настройка для вывода звукового предупреждения.
• Добавлена настройка задержки предупреждения.
• Появилась возможность выбора основного лица для анализа.
• Несовместимые изменения в формате файла с настройками.
• Внесены исправления для работы в macOS.
• Уменьшен размер образа Docker, а также файлов для Windows.

Для пользователей Windows 10+ подготовлен архив с бинарной сборкой. Поскольку для сборки используется компилятор Nuitka, некоторые антивирусы выдают предупреждение. Для пользователей Linux подготовлен образ Docker с программой, всеми её зависимостями и моделями, который запускается без доступа к сети.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62051

Мигрантофобию в каждый дом: «Тренды порядка и хаоса», эпизод 179

Вышел новый эпизод нашего еженедельного подкаста « #Тренды порядка и хаоса» с анархистской точкой зрения на текущие события.

Этот эпизод подготовило Движение Иркутских Анархистов и Анархисток @diana_irk. В нём:

— Повседневная мигрантофобия
— Задержания вместо бомб
— Жильё признано незаконным и аварийным. Мы его у вас отберём.

https://avtonom.org/news/migrantofobiya-v-kazhdyy-dom-trendy-poryadka-i-haosa-epizod-179

#мигранты #FoodNotBombs #Иркутск #antifa #ЕдаВместоБомб #Екатеринбург #АвтономноеДействие

LibreSSL 4.0.0 Released

The release announcement reads,

Subject:    LibreSSL 4.0.0 Released
From:       Brent Cook <busterb () gmail ! com>

We have released LibreSSL 4.0.0, which will be arriving in the
LibreSSL directory of your local OpenBSD mirror soon. This is the
first stable release for the 4.0.x branch, also available with OpenBSD 7.6

It includes the following change from LibreSSL 3.9.2:

  * Portable changes
    - Added initial Emscripten support in CMake builds.
    - Removed timegm() compatibility layer since all uses were replaced
      with OPENSSL_timegm(). Cleaned up the corresponding test harness.
    - The mips32 platform is no longer actively supported.
    - Fixed Windows support for dates beyond 2038.

Read more…

Релиз дистрибутива Solus 4.6

Для управления пакетами задействован пакетный менеджер eopkg (форк PiSi из Pardus Linux), предоставляющий привычные средства для установки/удаления пакетов, поиска в репозитории и управления репозиториями. Пакеты могут выделяться в тематические компоненты, которые в свою очередь образуют категории и подкатегории. Например, Firefox отнесён к компоненту network.web.browser, входящему в категорию сетевых приложений и подкатегорию приложений для Web. Для установки из репозитория предлагается более 2000 пакетов.

Дистрибутив придерживается гибридной модели разработки, в соответствии с которой периодически выпускаются значительные выпуски, в которых предлагаются новые технологии и значительные улучшения, а в промежутке между значительными выпусками дистрибутив развивается с применением rolling-модели обновления пакетов.

Окружение Budgie базируется на технологиях GNOME и собственной реализации оболочки GNOME Shell (в следующей ветке Budgie 11 планируют отделить функциональность рабочего стола от слоя, обеспечивающего визуализацию и вывод информации). Для управления окнами задействован оконный менеджер Budgie Window Manager (BWM), являющийся расширенной модификацией базового плагина Mutter. Основу Budgie составляет панель, близкая по организации работы к классическим панелям рабочего стола. Все элементы панели являются апплетами, что позволяет гибко настраивать состав, менять размещение и заменять реализации основных элементов панели на свой вкус.

Среди доступных апплетов можно отметить классическое меню приложений, систему переключения задач, область со списком открытых окон, просмотр виртуальных рабочих столов, индикатор управления питанием, апплет управления уровнем громкости, индикатор состояния системы и часы. Для воспроизведения музыки в редакциях с рабочими столами Budgie и GNOME предложен проигрыватель Rhythmbox c расширением Alternate Toolbar, предлагающим интерфейс с компактной панелью, реализованной с применением декорирования окон на стороне клиента (CSD). Для воспроизведения видео в редакциях Budgie и GNOME задействован Celluloid. В редакции с KDE для воспроизведения музыки доступен Elisa, а для видео - Haruna. В редакции с Xfce для воспроизведения мультимедийных файлов использован плеер Parole.

Основные изменения:

• Завершена третья стадия переноса всех исполняемых файлов и библиотек из корневых каталогов в раздел /usr (каталоги /bin, /sbin и /lib* теперь унифицированы с соответствующими каталогами внутри /usr и оформлены через символические ссылки на них). Подобная реструктуризация избавит от путаницы с размещением файлов и приведёт дистрибутив к соответствию требованиям systemd, в котором начиная с выпуска 255 прекращена поддержка раздельных иерархий каталогов. Все пользователи Solus после установки обновлений будут переведены на унифицированный раздел /usr.
• Помимо предлагаемого по умолчанию интерфейса для установки приложений solus-sc (Solus Software Center) предоставлена экспериментальная возможность использования менеджеров приложений GNOME Software и KDE Discover для установки и обновления программ из репозиториев Solus, а также управления пакетами в формате Flatpak, устанавливаемыми из каталога Flathub. GNOME Software можно использовать в редакциях на базе Budgie, GNOME и Xfce, а KDE Discover в редакции на основе KDE Plasma.
• Обновлены системные компоненты и пользовательские программы, например, предложено ядро Linux 6.10.13 (в качестве опции доступны пакеты с LTS-ядром 6.6.54 и дополнительными патчами для AppArmor), Mesa 24.2.3, Firefox 131.0.3, LibreOffice 24.2.5.2, Thunderbird 128.3.1.
• Рабочий стол Budgie обновлён до выпуска 10.9.2. Вместо некоторых ранее поставлявшихся приложений GNOME по умолчанию задействованы аналоги из набора XApps, развиваемого проектом Linux Mint 22. В частности, просмотрщик документов Evince заменён на XReader, просмотрщик изображений Eye of GNOME на XViewer, а менеджер архивов File Roller на Engrampa.
• Рабочий стол GNOME обновлён до выпуска 46.5, в котором появилась функция глобального поиска, повышена производительность файлового менеджера, добавлена экспериментальная поддержка механизма VRR (Variable Refresh Rate), улучшено качество вывода при дробном масштабировании, расширены возможности подключением к внешним сервисам, обновлён конфигуратор и улучшена система уведомлений.
• Сборка на базе KDE Plasma обновлена до выпусков KDE Plasma 6.1.5, KDE Gear 24.08.1, KDE Frameworks 6.6.0, Qt 6.7.3 и sddm 0.21.0.
• В сборках с Xfce задействованы компоненты из ветки 4.18, а также пакеты Mousepad 0.6.2, Parole 4.18.1, Ristretto 0.13.2, Thunar 4.18.11 и Whiskermenu 2.8.3. Вместо менеджера архивов File Roller по умолчанию предложен Engrampa от проекта MATE, для просмотра PDF задействован XReader. В состав включён плагин для переключения раскладки клавиатуры. В репозиторий добавлены пакеты xfdashboard, xfce4-battery-plugin и xfce4-clipman-plugin.

Обновление Firefox 131.0.3

• Устранена уязвимость (CVE-2024-9936), вызванная неопределённым поведением в реализации кэша DOM-узлов, охватываемых при выделении текста на странице (selection node cache). Уязвимость помечена как опасная и может привести к аварийному завершению при обработке определённого контента.
• Решены проблемы, из-за которых перестал работать сервис Bill Pay на сайтах некоторых банков.
• Исправлена ошибка, приводившая к некорректному отображению в YouTube пространственных видео, снятых в режимах 360 и 180 (VR180) градусов.
• Устранено аварийное завершение при просмотре некоторых сайтов, проявляющееся на системах Windows с установленным антивирусом Avast или AVG.
• Исправлена ошибка, не позволявшая переместить из панели кнопку со списком всех вкладок ("List all tabs").