home tags events about rss login

Things happen.

opennet honked 15 Jul 2024 23:00 +0200

Выпуск дистрибутива NomadBSD 141

Представлен выпуск Live-дистрибутива NomadBSD 141R-20240711, представляющего собой редакцию FreeBSD, адаптированную для использования в качестве переносного рабочего стола, загружаемого с USB-накопителя. Графическое окружение основано на Xfce. Для монтирования накопителей применяется DSBMD (поддерживаются ФС ISO-9660, FAT, NTFS, UFS, Ext2/3, Ext4, HFS+, exFAT, XFS и Btrfs). Размер загрузочного образа 2.5 ГБ (i386, amd64).

В новом выпуске базовое окружение обновлено до FreeBSD 14.1. Модуль fusefs изменён для сокращения возникновения ошибок при использовании unionfs. Специфичные для NomadBSD графические утилиты переведены с Qt5 на Qt6.



Источник: https://www.opennet.ru/opennews/art.shtml?num=61552

contrinitiator bonked 15 Jul 2024 21:26 +0200
original: continue@honk.any-key.press

@verdant_meadows

  • Велопрогулка
  • Sup
  • Стрельба из лука
  • Прогулка по лесу (лучше с ночёвкой)
  • Чтение книги
  • Рисование (карандаш/тушь/ручка)
  • Посадка деревьев/кустарников
  • Столярничество/плотничество
  • Прослушивание музыки
  • Готовка еды

Если включать занятия за экраном (стараюсь максимально уменьшить их количество):

  • Фильм
  • Игра
  • Программирование
  • Изучение новых технологий
  • Составление списков =)

continue honked back 15 Jul 2024 20:27 +0200
in reply to: https://mastodon.social/users/verdant_meadows/statuses/112791418830667511

@verdant_meadows

  • Велопрогулка
  • Sup
  • Стрельба из лука
  • Прогулка по лесу (лучше с ночёвкой)
  • Чтение книги
  • Рисование (карандаш/тушь/ручка)
  • Посадка деревьев/кустарников
  • Столярничество/плотничество
  • Прослушивание музыки
  • Готовка еды

Если включать занятия за экраном (стараюсь максимально уменьшить их количество):

  • Фильм
  • Игра
  • Программирование
  • Изучение новых технологий
  • Составление списков =)

opennet honked 15 Jul 2024 19:00 +0200

В драйвере Panthor для GPU Mali G610 обеспечена совместимость с OpenGL ES 3.1

Консорциум Khronos, занимающийся разработкой графических стандартов, признал полную совместимость открытого драйвера Panthor со спецификацией OpenGL ES 3.1. Драйвер успешно прошёл все тесты из набора CTS (Khronos Conformance Test Suite) и включён в список сертифицированных драйверов. Сертификация пройдена для GPU Mali G610. Проверка была выполнена на плате Rock5b (SoC RK3588) в окружении на базе Wayland, ядра Linux 6.10.0-rc1 и Mesa 24.1.1. Получение сертификата даёт возможность официально заявлять о совместимости с графическими стандартами и использовать связанные с ними торговые марки Khronos.

Драйвер Panthor, который включён в состав сегодняшнего выпуска ядра Linux 6.10, обеспечивает поддержку десятого поколения GPU Mali (G310, G510, G710). На стороне Mesa поддержка работы с новыми GPU Mali предложена в выпуске Mesa 24.1. В десятом поколении GPU Mali планировщик Job Manager заменён на интерфейс CSF (Command Stream Frontend), в котором вместо модели на основе отправки цепочки работ применяется модель на основе потока команд с планированием очереди потока команд на стороне прошивки. Для организации работы планировщика в GPU встроен отдельный микроконтроллер Cortex-M7, а для выполнения инструкций CSF предусмотрен специальный блок выполнения команд (Command Execution Unit).

Из дальнейших планов по развитию драйверов Panfrost и Panthor для GPU Mali отмечается поддержка счётчиков производительности, упрощающих оптимизацию работающего с графикой кода, расширение возможностей для отладки прошивки и графического драйвера, поддержка формата сжатия Arm AFRC для фреймбуферов, улучшение управления памятью, оптимизация для систем с небольшим размером ОЗУ, проведение общей оптимизации производительности и реализация поддержки графического API Vulkan.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61550

opennet honked 15 Jul 2024 11:00 +0200

Релиз ядра Linux 6.10

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.10. Среди наиболее заметных изменений: драйвер ntsync c примитивами синхронизации Windows NT, компоненты DRM Panic для реализации аналога "синего экрана смерти", прекращение поддержки старых CPU Alpha, возможность верификации целостности в ФС на базе FUSE, ограничение доступа к ioctl через механизм Landlock, подсистема для профилирования операций выделения памяти, системный вызов mseal(), возможность шифрованного обмена данными с устройствами TPM, поддержка высокоприоритетных рабочих очередей в dm-crypt, драйвер panthor для десятого поколения GPU Mali.

В новую версию принято 14564 исправлений от 1989 разработчиков, размер патча - 41 МБ (изменения затронули 12509 файлов, добавлено 547663 строк кода, удалено 312464 строк). В прошлом выпуске было 15680 исправлений от 2106 разработчиков, размер патча - 54 МБ. Около 41% всех представленных в 6.10 изменений связаны с драйверами устройств, примерно 15% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 13% связано с сетевым стеком, 5% - с файловыми системами и 4% c внутренними подсистемами ядра.

Основные новшества в ядре 6.9:

  • Дисковая подсистема, ввод/вывод и файловые системы
    • Добавлена новая fcntl-операция F_DUPFD_QUERY, при помощи которой процесс может определить, что два разных файловых дескриптора ссылаются на один и тот же файла. В отличие от похожих возможностей, предоставляемых системным вызовом kcmp(), F_DUPFD_QUERY не приводит к раскрытию лишней информации и работает на системах с отключённым kcmp().
    • В подсистеме FUSE, применяемой для реализации файловых систем в пространстве пользователя, реализована возможность применения механизма fs-verity для проверки целостности и подлинности файлов.
    • В модуль dm-crypt, применяемый для шифрования блочных устройств, добавлена опция "high_priority", позволяющая задействовать высокоприоритетные рабочие очереди для повышения производительности на мощных серверах. По умолчанию режим выключен, так как он может приводить на обычных ПК к повышению задержек при выполнении работ не связанных с шифрованием, таких как обработка звука.
    • Добавлен основанный на netlink протокол для управления NFS-сервером в ядре. В пространстве пользователя на базе данного протокола подготовлена утилита nfsdctl. Отключена по умолчанию поддержка монтирования NFS v2 (в утилите mount.nfs поддержка NFS v2 бвла прекращена ещё в 2021 году).
    • В файловой системе XFS продолжена работа над реализацией возможности применения утилиты fsck для проверки и исправления выявленных проблем в online-режиме, без отмонтирования файловой системы. Добавлен ioctl XFS_IOC_EXCHANGE_RANGE для обмена байтовыми диапазонами между двумя файлами в атомарном режиме.
    • В Btrfs реализована поддержка урезания (shrinker) незекреплённых карт экстентов, что может оказаться полезным для сокращения потребления памяти в условиях нехватки памяти в системе. Код для сжатия данных и функция put_file_data() переведены на использование фолиантов страниц памяти (page folios). Переработан механизм блокировки экстентов при выполнении операций обратной записи.
    • В ФС Ext4 добавлена поддержка ioctl FS_IOC_GETFSSYSFSPATH для определения местоположения заданной примонтированной ФС в иерархии /sys/fs.
    • Файловые системы OPENPROMFS, ISOFS, QNX6, NILFS2, MINIX и FREEVXFS переведены на использование нового API монтирования разделов.
    • В файловой системе EROFS (Extendable Read-Only File System), предназначенной для использования на разделах, доступных в режиме только для чтения, добавлена поддержка алгоритма сжатия Zstandard.
    • В Bcachefs проведена подготовка к выполнению fsck без отмонтирования раздела (online-проверка). Добавлены изменения и исправления для повышения надёжности работы. Предложен режим "nochnages" для тестирования работы fsck и восстановления после сбоев, при котором метаданные не сбрасываются на диск и отключены операции записи.
    • В файловую систему OverlayFS добавлена поддержка создания временных файлов, используя опцию O_TMPFILE.
    • Прекращена поддержка механизма ограничения пропускной способности блочных устройств "CONFIG_BLK_DEV_THROTTLING_LOW", который с 2017 года сохранил статус экспериментального, не получил распространения на практике и затрудняет сопровождения подсистемы блочных устройств.
  • Память и системные сервисы
    • Добавлен, но отключён при сборке, драйвер ntsync, реализующий символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Реализация подобных примитивов на уровне ядра позволяет существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя. Создание отдельного драйвера для ядра Linux объясняется проблематичностью корректной реализации API синхронизации NT поверх существующих примитивов в ядре.
    • Добавлена подсистема для профилирования операций выделения памяти в ядре Linux, позволяющая выявлять утечки памяти в ядре и упрощающая проведение оптимизаций потребления памяти. Подсистема обеспечивает низкие накладные расходы, что позволяет использовать её не только в отладочных сборках ядра, но на рабочих системах.
    • Добавлена начальная реализация обработчика аварийных ситуаций в ядре - DRM Panic, использующего подсистему DRM (Direct Rendering Manager) для отображения наглядного цветного отчёта в стиле "синего экрана смерти". В следующем выпуске планируется добавить возможность показа логотипа и QR-кода на экране при возникновении аварийного состояния.
    • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). Осуществлён переход на использование выпуска Rust 1.78, позволивший переключиться на использование штатной библиотеки alloc, вместо собственного ответвления. Добавлены абстракции для работы со временем в ядре (обвязка над структурой ktime_t). Добавлена поддержка использования компонентов ядра на языке Rust на системах с архитектурой RISC-V.
    • В BPF-программах реализована возможность использования очередей ожидания (wait queue) в ядре. Добавлены функции bpf_preempt_disable и bpf_preempt_enable, позволяющие создавать не прерываемые планировщиком задач секции с кодом. Предоставлена возможность доступа BPF-программ к криптографическим функциям ядра (crypto). Реализована поддержка JIT-компиляции BPF-программ на системах с 32-разрядными процессорами ARCv2.
    • Для 32-разрядных систем ARM реализована поддержка сборки ядра компилятором Clang с включённым режимом защиты CFI (Control Flow Integrity), блокирующим нарушения нормального порядка выполнения (control flow) в результате применения эксплоитов, изменяющих хранимые в памяти указатели на функции.
    • Добавлена возможность прямого отражения через mmap() кольцевых буферов трассировки для передачи их содержимого в пространство пользователя без дополнительного копирования.
    • Добавлен системный вызов "mseal", позволяющий процессам выставлять блокировку на изменение определённых частей своего адресного пространства. На практике новый системный вызов планируется использоваться в браузере Chrome для усиления sandbox-изоляции.
    • Для субархитектуры x32, которая предоставляет гибридный x86_64 ABI, позволяющий использовать на 64-разрядных системах 32-разрядную модель адресации памяти (процессор работает в 64-разрядном режиме, но использует 32-разрядные указатели и арифметические операции), добавлена поддержка механизма Shadow Stack, который позволяет блокировать работу многих эксплоитов, используя аппаратные возможности процессоров Intel для защиты от перезаписи адреса возврата из функции в случае переполнения буфера в стеке.
    • На системах с архитектурой ARM64 в системном вызове userfaultfd(), дающем возможность создавать обработчики обращений к невыделенным страницам памяти (page faults) в пространстве пользователя, реализованы возможности, связанные с защитой от записи областей памяти и элементов таблицы страниц памяти.
    • Удалён код для поддержки выпускаемых с 1995 года процессоров Alpha 21164 (EV5) и более ранних серий. Сопровождение кода для данных процессоров было усложнено из-за отсутствия в них возможности доступа к памяти на уровне отдельных байтов. Alpha была первой архитектурой, на которой было портировано ядро Linux, изначально доступное только для систем x86.
  • Виртуализация и безопасность
    • Добавлена поддержка шифрованного обмена данными с устройствами TPM (Trusted Platform Module) и проверки целостности транзакций.
    • В LSM-модуль Landlock, позволяющий ограничить взаимодействие группы процессов с внешним окружением, добавлена возможность применения правил для ограничения доступа к вызовам ioctl().
    • Предложена выставляемая на этапе загрузки опция init_mlocked_on_free, обеспечивающая обнуление содержимого памяти, защищённой от вытеснения в раздел подкачки при помощи вызова mlock(), если данная память будет освобождена без разблокировки вызовом munlock(). Использование данной опция позволяет исключить оседание криптографических ключей в памяти в случае аварийного завершения, работающего с ними приложения.
    • В подсистеме crypto ускорено выполнение операций дискового шифрования с использованием алгоритма AES-XTS на системах x86_64 с процессорами Intel и AMD, поддерживающими расширения VAES, AVX2, VPCLMULQDQ, AVX10 или AVX512.
    • Удалена возможность сбора статистики об использовании криптоподсистемы ядра (CONFIG_CRYPTO_STATS). Данная возможность не использовалась на практике и приводила к значительному снижению производительности, а также создавала ощутимую дополнительную нагрузку на сопровождающих.
  • Сетевая подсистема
    • Значительно повышена производительность операций отправки данных в режиме zero-copy при использовании подсистемы io_uring. Добавлена возможность объединения ("bundle") нескольких буферов для операций отправки и приёма данных.
    • Переписан код сборки мусора, применяемый при отправке файловых дескрипторов через Unix-сокеты c использованием сообщений SCM_RIGHTS. Изменение позволяет решить проблему с накоплением зацикленных счётчиков ссылок.
    • Добавлена возможность установки фильтров для протокола PFCP (Packet Forwarding Control Protocol), используемого в сетях 4G и 5G.
    • Добавлена поддержка опции сетевых сокетов SO_PEEK_OFF, которая по аналогии с такой же опцией для Unix-сокетов позволяет определить смещение данных в очереди, используемое системным вызовом recv при указании флага MSG_PEEK (помечает данные непрочитанными и они будут опять выданы при следующем вызове recv).
    • В подсистему io_uring добавлена поддержка операции IORING_CQE_F_SOCK_NONEMPTY, позволяющей определить у сетевого сокета наличие запросов на соединение, ожидающих обработки.
    • Предложена реализация технологии PoE (Power over Ethernet), основанная на ранее доступном коде для поддержки PoDL (Power over Data Line) и совместимая с PoE-контроллерами Microchip PD692x0 и TI TPS23881.
    • Для протоколов TCP, DCCP и MPTC добавлена поддержка механизма rstreason, позволяющего определять причину отправки RST-пакетов (например, NO_SOCKET).
  • Оборудование
    • В состав включён драйвер panthor для десятого поколения GPU Mali (G310, G510, G710), в котором применяется технология CSF (Сommand Stream Frontend), выносящая на сторону прошивки некоторые функции драйвера для снижения нагрузки на CPU и предлагающая новую модель организации выполнения работ на GPU. Изменения для поддержки нового драйвера также приняты в Mesa и включены в состав Gallium-драйвера panfrost для GPU Mali.
    • В драйвер i915 добавлены PCI-идентификаторы новых дискретных видеокарт Intel Arc (DG2/Alchemist).
    • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлена поддержка CPU Arrow Lake H. Продолжена реализация поддержки процессоров Lunar Lake. Добавлена начальная поддержка механизма SR-IOV (Single Root I/O Virtualization).
    • В драйвере AMDGPU добавлена поддержка SMU 14.0 (System Management Unit). Добавлена возможность использования новых GPU AMD на системах с архитектурой RISC-V.
    • Добавлен драйвер для ускорителя криптографических операций Tegra Security Engine, который можно использовать для ускорения AES и различных алгоритмов хэширования.
    • Добавлена поддержка экранных панелей LG SW43408, Innolux G121XCE-L01 LVDS, RK3326 GameForce Chi, Crystal Clear CMT430B19N00, POWERTIP PH128800T006-ZHC01, Startek KD050HDFIA020-C020A, Pixel 3a, Khadas TS050 V2, Raydium RM69380,BOE NT116WHM-N44, CMN N116BCA-EA1 и AUO B120XAN01.0.
    • Добавлена поддержка звуковой подсистемы ноутбуков Lenovo Thinkbook 13x Gen 4, Lenovo Thinkbook 16P Gen 5, Lenovo Thinkbook 13X и ASUS Zenbook 2024 HN7306W. Добавлена поддержка внешних звуковых карт Vocaster One и Vocaster Two. Добавлен драйвер для усилителей NAU8325 от компании Nuvoton Technology.
    • В драйвер HID-Steam добавлена поддержка IMU (Inertial Measurement Unit) игрового контроллера Steam Deck, позволяющая использовать отдельный узел evdev для доступа к данным гироскопа и акселерометра.
    • Включены изменения для поддержки ARM SoC Snapdragon X Elite, в котором используется собственный 12-ядерный CPU Qualcomm Oryon и GPU Qualcomm Adreno. Чип нацелен на использование в ноутбуках и ПК, и опережает во многих тестах производительности чипы Apple M3 и Intel Core Ultra 155H.
    • Добавлена поддержка ARM-плат, SoC и устройств: PocketBook 614 Plus, Sony Xperia Z3, Xperia 1 V, Samsung Galaxy S5 China, Motorola Moto G, RK3326 GameForce Chi, Anbernic RG35XX (Plus/H/2024), Airoha EN7581, Radxa ROCK 3C, ArmSom Sige7, Tanix TX1, Toradex Colibri iMX8DX, Renesas RZ/V2H, Forlinx OK3588-C, Protonic MECSBC, Emcraft Systems NavQ+, NXP S32G3, Wolfvision pf5, Amlogic A4/A5, ASUS RT-AC3200, ASUS RT-AC5300, ASrock E3C256D4I, IBM system1 BMC, Meta Harma BMC(AST2600), ASRock X570D4U BMC, Au-Zone Maivin AI Vision Starter Kit.
    • Добавлена поддержка плат Milkv Mars, использующих SoC Starfive JH7110 на базе архитектуры RISC-V.

Одновременно латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 6.10 - Linux-libre 6.10-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В выпуске 6.10 обновлён код чистки блобов в драйверах Intel i915, rtl8xxxu, qla2xxx и QCAI sahara. Проведена чистка имён блобов в dts-файлах (devicetree) для архитектуры Aarch64. Очищены от блобов новые файлы, добавленные в драйверах Adreno, Intel IPU3 и PRUEth. Проведена чистка новых драйверов Panthor, Intel IPU6, PRUEth SR1, rtw8703b, tps23881, air_en8811h, Intel ISH HID и pcm6240. Прекращена чистка USB-драйвера Prism2.5/3 USB, который был удалён из ядра.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61521

continue bonked 15 Jul 2024 10:24 +0200
original: kirill@s.zholnay.name

#podcast #interview #DNS

Мне очень понравился ламповый подкаст @Chia
Решил сделать свой. В одно лицо вещать сложно, поэтому позвал в гости @Revertron распросить про #ALFIS, который должен был похоронить рынок доменов за ненадобностью.

Мой #Castopod сломан, поэтому выложу пока здесь. Обсудили кто такой этот ваш DNS так чтобы неайтишнику было понятно. Причём тут блокчейн и DNS-койны, и почему бесплатное решение не так привлекательно как платное.

Ссылки:
- Тут будет RSS на подкаст
- Сайт ALFIS: https://alfis.name
- Чат в Телеге: https://t.me/ALFIS_RU
- Альтернативы:
ENS (Ethereum Name Service), Handshake, Namecoin, Unstoppable Domains, Blockstack
- Музончик https://ccmixter.org/files/Javolenus/68576

UPD: Чуть рассинхрон дорожек пофиксил

External Attachment: Транскибт будет как починю Castopod

contrinitiator honked 15 Jul 2024 08:40 +0200

Улыбающееся болото манило, но в такую жару не решился.
При этом, несмотря на солнечную погоду, дороги там состоят из какой-то адовой склизкой глины.

Фрагмент карты с болотом, напоминающем улыбающуюся рожицу)))

opennet honked 15 Jul 2024 08:00 +0200

Выпуск Wine 9.13 и Wine staging 9.13

Опубликован экспериментальный выпуск открытой реализации Win32 API - Wine 9.13. С момента выпуска 9.12 было закрыто 22 отчёта об ошибках и внесено 336 изменений.

Наиболее важные изменения:

  • Добавлена поддержка загрузки собранных для Windows ODBC-драйверов к СУБД.
  • Продолжена работа по размещению в разделяемой памяти структур данных библиотеки user32.
  • Продолжено переписывание движка, используемого в командном интерпретаторе CMD.EXE.
  • Закрыты отчёты об ошибках, связанные с работой приложений: Photoshop CC 2024, CUERipper 2.2.5, MEGA TECH Faktura Small Business, Virtual Desktop, RegEdit.
  • Закрыты отчёты об ошибках, связанные с работой игр: Victoria 2: A House Divided, Lylian, Guild Wars 2, The Witcher 3, Assassin's Creed : Revelations, So Blonde.

Кроме того, сформирован выпуск проекта Wine Staging 9.13, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 430 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 9.13 и перенесены свежие изменения из vkd3d. Обновлён набор патчей gdi32-rotation. Добавлен патч odbc32-fixes, решающий проблемы c записью в СУБД и с поддержкой ODBC 2.0.



Источник: https://www.opennet.ru/opennews/art.shtml?num=61548

opennet honked 15 Jul 2024 00:00 +0200

Доступна система фильтрации спама Rspamd 3.9

Состоялся релиз системы фильтрации спама Rspamd 3.9, предоставляющей средства для оценки сообщений по различным критериям, включая правила, статистические методы и чёрные списки, на основе которых формируется итоговый вес сообщения, используемый для принятия решения о необходимости блокировки. Rspamd поддерживает практически все возможности, реализованные в SpamAssassin, и имеет ряд особенностей, позволяющих фильтровать почту в среднем в 10 раз быстрее, чем SpamAssassin, а также обеспечивать лучшее качество фильтрации. Код системы написан на языке Си и распространяется под лицензией Apache 2.0.

Rspamd построен с использованием событийно-ориентированной архитектуры (Event-driven) и изначально рассчитан на применение в высоконагруженных системах, позволяя обрабатывать сотни сообщений в секунду. Правила для выявления признаков спама отличаются высокой гибкостью и в простейшем виде могут содержать регулярные выражения, а в более сложных ситуациях могут оформляться на языке Lua. Расширение функциональности и добавление новых типов проверок реализуется через модули, которые могут создаваться на языках Си и Lua. Например, доступны модули для проверки отправителя с использованием SPF, подтверждения домена отправителя через DKIM, формирования запросов в списки DNSBL. Для упрощения настройки, создания правил и отслеживания статистики предоставляется административный web-интерфейс.

В новой версии:

  • Улучшены настройки байесовского классификатора. Размер окна по умолчанию уменьшен с 5 до 2 слов, что позволило добиться повышения производительности и в 4 раза сократить потребление места в хранилище без деградации уровня классификации спама. Для тестирования работы классификатора с разными настройками предложена утилита "rspamadm classifier_test".
  • Добавлен модуль GPT, использующий API OpenAI GPT для классификации текста через запрос к большим языковым моделям, таким как GPT-3.5 Turbo и GPT-4o. Точность классификации спама при помощи нового модуля ниже, чем у байесовского классификатора, но его достоинство в том, что он не требует предварительной тренировки и может учитывать контекст в сообщениях, в то время как для эффективной работы байесовского классификатора необходима качественная и сбалансированная тренировка движка. Кроме непосредственного выявления спама в сообщениях модуль GPT может применяться для тренировки байесовского классификатора.
  • Реализована возможность совместного использования модулей known_senders и replies для пометки верифицированных отправителей, используя в качестве признака то, что им ранее направлялись ответы.
  • По умолчанию отключено динамическое изменение ограничений интенсивности отправки сообщений (dynamic ratelimit), связанных с одним отправителем, получателем или IP-адресом.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61544

opennet honked 14 Jul 2024 23:00 +0200

Выпуск пакетного менеджера Pacman 7.0

Доступен релиз пакетного менеджера Pacman 7.0, применяемого в дистрибутиве Arch Linux. Из изменений можно выделить:
  • В настройки добавлен параметр DownloadUser, позволяющий сбросить привилегии при выполнении операций загрузки файлов и сохранить загруженные файлы во временный каталог, принадлежащий указанному в директиве пользователю.
  • В системах на базе ядра Linux задействованы механизмы изоляции, запрещающие процессу, выполняющему загрузку, запись в области ФC, вне каталога для загрузки. Для отключения режима изоляции при загрузке предложены настройка DisableSandbox и опция командной строки "--disable-sandbox".
  • Добавлена проверка того, что БД и цифровая подпись загружены из одного источника.
  • В коде для предотвращения переполнений буфера вместо функции sprintf задействована функция snprintf, в которой задаётся лимит на размер результирующей строки.
  • Налажена возможность сборки в режиме "-D_FORTIFY_SOURCE=3", выявляющем возможные переполнения буфера при выполнении строковых функций, определённых в заголовочном файле string.h.
  • Устранена проблема, которая могла привести к переполнению буфера при обработке очень длинных файловых путей к скриплетам.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61546

opennet honked 14 Jul 2024 21:00 +0200

Обновление ОС Qubes 4.2.2, использующей виртуализацию для изоляции приложений

Доступен выпуск операционной системы Qubes 4.2.2, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для работы рекомендуется система с 16 Гб ОЗУ (минимум - 6 Гб) и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы). Размер установочного образа - 6 ГБ (x86_64).

Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений (например, работа, развлечения, банковские операции), а также системные сервисы (сетевая подсистема, межсетевой экран, работа с хранилищем, USB-стек и т.п.), работают в отдельных виртуальных машинах, запускаемых с использованием гипервизора Xen. При этом указанные приложения доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.

В качестве основы для формирования виртуальных окружений может применяться пакетная база Fedora и Debian, также сообществом поддерживаются шаблоны для Ubuntu, Gentoo и Arch Linux. Возможна организация доступа к приложениям в виртуальной машине с Windows, а также создание виртуальных машин на базе Whonix для обеспечения анонимного доступа через Tor. Пользовательская оболочка построена на основе Xfce. Когда пользователь запускает из меню приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов.

В новом выпуске отмечено обновление версий программ, формирующих базовое системное окружение (dom0). Подготовлен шаблон для формирования виртуальных окружений на базе Fedora 40.

В ветке 4.2 для защиты от атак, связанных с манипуляцией с unicode-символами и некорректными кодами символов в именах файлах, были введены ограничения, связанные с использованием расширенных символов в именах файлов. Данное изменение привело к проблемам с копированием и перемещением файлов, содержащих не латинские буквы в имени. В версии 4.2.2 по умолчанию восстановлено старое поведение при обработке имён файлов, а для настройки в сервис qubes.Filecopy добавлен параметр "allow-all-names".

Источник: https://www.opennet.ru/opennews/art.shtml?num=61545

opennet honked 14 Jul 2024 21:00 +0200

Выпуск fheroes2 1.1.1, открытого движка Heroes of Might and Magic 2

Доступен выпуск проекта fheroes2 1.1.1, который воссоздаёт движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить из оригинальной игры Heroes of Might and Magic II.

Основные изменения:

  • Добавлена возможность создавать карты с особыми условиями победы и поражения.
  • Добавлено окно настройки ежедневных событий в игре.
  • Добавлено окно настройки слухов, появляющихся в таверне.
  • Новое окно выбора героя в редакторе.
  • Реализована возможность запрещать постройку любых зданий в городе или замке.
  • Исправления в логике ИИ.
  • Уменьшены и оптимизированы преимущества, который получает ИИ на режимах высокой сложности.
  • На карте приключений дорисована отсутствующая часть спрайта объекта "Сфинкс".
  • Новая вариация объекта "пещера" для найма кентавров на карте приключений.
  • Улучшены и исправлены переводы на поддерживаемые движком языки.
  • Закрыто свыше 40 уведомлений об ошибках и предложений по улучшению проекта.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61543

undeadly honked 14 Jul 2024 18:00 +0200

Enable local-to-anchors tables in PF rules

In a recent post to tech@ titled let's make pf(4) anchors and tables better friends (possibly originating at the ongoing hackathon) Alexandr Nedvedicky (sashan@) introduced code to enable creating local tables inside anchors in pf(4) rulesets:

Date: Sat, 13 Jul 2024 14:32:21 +0200
From: Alexandr Nedvedicky <sashan () fastmail ! net>
To: tech@openbsd.org
Subject: let's make pf(4) anchors and tables better friends

Hello,

the change presented in diff below allows user to define table
inside the anchor. Consider rules here:

Read more…

continue honked back 14 Jul 2024 11:59 +0200
in reply to: https://mastodon.social/users/dmitry84/statuses/112783868800348493

@dmitry84

Так его и ругают именно из-за бессмысленного внедрения ради внедрения:
Например: deraadt@ - Re: Integrating "safe" languages into OpenBSD? (2017-12-03)

Есть отличные решения, которые изначально проектировались на расте. Я, например, с интересном слежу за redox. И это очень показательный пример: ОС уже много чего может запускать, но до сих пор не вышла на self-host (на сборку ОС под этой же ОС). Сборочные механизмы rust очень развесисты и тяжелы.

Проблема в том, когда в устаканившийся проект начинают добавлять раст. Проект начинает раздуваться сборочными механизмами и внутренними обёртками-переходниками.

Мне в этом плане нравится позиция Daniel Stenberg'а: curl не будет переписан на раст, но если кто-то напишет свой отдельный curl сразу на раст, то у него, безусловно, будет востребованность и своя область применения. Ничего плохого, если часть существующих "потребителей" curl'а переедут на этот новый curl-на-rust.

continue bonked 14 Jul 2024 08:39 +0200
original: kidchai@mastodon.ml

Интернациональная церковь каннабиса в Денвере — место яркое и красочное, но при этом расслабленное. С дружелюбной обстановкой формата «проходи, чувствуй себя как дома». В двадцать минут после каждого часа — световое шоу/медитация. Вне храмового зала можно почиллить за аркадными играми, настольным теннисом, оригами или раскрасками.

Сложилось ощущение, что место процветает не только благодаря своей туристической привлекательности, но и местного комьюнити, сформировавшегося вокруг церкви.

На фотографии изображено здание с надписью "International Church of Cannabis" на разноцветных ступенях перед входом. Фасад здания выполнен из кирпича, украшен окнами с витражами и обвит плющом. На фотографии изображен интерьер церкви с яркими разноцветными фресками на стенах и потолке. На стенах нарисованы красочные фигуры женщин-птиц, сидящих на облаках. В помещении находятся скамьи для прихожан, а люди сидят и беседуют. На фотографии изображены ноги в чёрных сандалиях, на фоне яркого ковра с узором тай-дай. На заднем плане видны открытые деревянные двери и лестница, ведущая в другое помещение. На фотографии изображена стеклянная витрина с растениями каннабиса внутри и надписью "In case of depression break glass". Витрина освещена зеленым светом.

continue bonked 14 Jul 2024 08:39 +0200
original: linka@pixelfed.social

Жёлтая лилия - а вокруг нее очень вкусный аромат!😍
В середине 90х папа принёс домой лилии - небольшие черенки. Из них скоро выросли красивые лилии - оранжевые - они вкусно пахли, и вообще здорово цвели!!!
А потом мама где-то услышала (наверное по ТВ), что мол лилии вредные и дома их держать нельзя, ну и да... подоконники снова опустели (
А теперь вот она их высаживает на клумбе на даче!☺️🌟⚜️

Кстати, очень проблематично оказалось сфотографировать именно жёлтую - телефон категорически отказывается фотографировать жёлтый цвет - как жёлтый, пытаясь из него сделать оранжевый 🍊

Дождалась вечерних сумерек и вот - теперь она действительно жёлтая на фото!)

#лилия #lilies

Жёлтая лилия на фоне розовых лилий

opennet honked 14 Jul 2024 08:00 +0200

Выпуск Whonix 17.2, дистрибутива для обеспечения анонимных коммуникаций

Доступен выпуск дистрибутива Whonix 17.2, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2.1 ГБ c Xfce и 1.4 ГБ консольный). Образ также может быть сконвертирован для использования с гипервизором KVM.

Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Оба компонента поставляются внутри одного загрузочного образа. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, работающего на базе Whonix-Gateway, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы, как VLC, Tor Browser, Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. Сравнение Whonix с Tails, Tor Browser, Qubes OS TorVM и corridor можно найти на данной странице. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что даёт возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные изменения:

  • Обновлены сборки на базе компонентов защищённого дистрибутива Kicksecure, расширяющего Debian дополнительными механизмами и настройками для повышения безопасности (AppArmor для изоляции, установка обновлений через Tor, использование PAM-модуля tally2 для защиты от подбора паролей, расширение энтропии для RNG, отключение suid, отсутствие открытых сетевых портов по умолчанию, использование рекомендаций от проекта KSPP (Kernel Self Protection Project), добавление защиты от утечки сведений об активности CPU и т.п.).
  • Обеспечено подключение к сети Tor по умолчанию (без вызова мастера подключения при первой загрузке). Пользователям, которым необходимо прямое подключение к сети, предлагается отдельно вызывать ACW (Anon Connection Wizard).
  • Межсетевой экран Whonix-Firewall переведён c iptables на nftables.
  • Улучшена поддержка IPv6.
  • Продолжена работа над экспериментальной Live-сборкой Whonix-Host, оснащённой инсталлятором. Сборка основана на окружении Kicksecure и рассчитана на предоставление защищённого хост-окружения для запуска виртуальных машин с "Whonix-Gateway" и "Whonix-Workstation".
  • Обновлены версии Tor и Tor Browser.
  • Внесены изменения для поддержки децентрализованной P2P-сети Bisq 2, предназначенной для обмена и торговли криптовалютами.
  • Обновлены шаблоны для ОС Qubes. Осуществлён переход с pulseaudio на pipewire. Для направления трафика через Tor задействован tinyproxy и протокол SOCKS.
  • При запуске под управлением гипервизора KVM размер ОЗУ в параметрах виртуальной машины Whonix-Gateway увеличен до 1280 MB, а Whonix-Workstation - до 2048 MB, что соответствует ранее использовавшимся настройкам для VirtualBox.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61538

opennet honked 13 Jul 2024 06:00 +0200

Выпуск системы потокового видеовещания OBS Studio 30.2

Опубликован выпуск OBS Studio 30.2, пакета для потокового вещания, композитинга и записи видео. Код написан на языках C/C++ и распространяется под лицензией GPLv2. Сборки сформированы для Linux (flatpak), Windows и macOS.

Целью разработки OBS Studio было создание переносимого варианта приложения Open Broadcaster Software (OBS Classic), не привязанного к платформе Windows, поддерживающего OpenGL и расширяемого через плагины. Отличием также является использование модульной архитектуры, подразумевающей разделение интерфейса и ядра программы. Поддерживается перекодирование исходных потоков, захват видео во время игр и стриминг в PeerTube, Twitch, Facebook Gaming, YouTube, DailyMotion, Hitbox и другие сервисы. Для обеспечения высокой производительности возможно использование механизмов аппаратного ускорения (например, NVENC, Intel QSV и VAAPI).

Предоставляется поддержка композитинга с построением сцены на основе произвольных видеопотоков, данных с web-камер, карт захвата видео, изображений, текста, содержимого окон приложений или всего экрана. В процессе вещания допускается переключение между несколькими предопределёнными вариантами сцен (например, для переключения представлений с акцентом на содержимое экрана и изображение с web-камеры). Программа также предоставляет инструменты для микширования звука, фильтрации при помощи VST-плагинов, выравнивая громкости и подавления шумов.

Ключевые изменения:

  • Реализована поддержка гибридного формата вывода MP4, более стойкого к потере данных, но сохраняющего совместимость с MP4. Формат сочетает в себе устойчивый к сбоям фрагментированный вариант MP4 с распространённым и обеспечивающий быстрый доступ обычный MP4.
  • Добавлена поддержка стриминга многотрекового видео (соответствует режиму "Enhanced Broadcasting" в Twitch). Данная возможность пока доступна только на системах с Windows при наличии GPU NVIDIA GTX 900, GTX 10, RTX 20, AMD RX 6000 или более новых серий. При вещании в данном режиме на стриминговый сервис отправляются такие данные как версия OBS, выставленные настройки звука и видео, информация о памяти, операционной системе, GPU и CPU
  • Добавлена поддержка передачи многотрекового звука и видео с использованием расширенного формата RTMP/FLV.
  • Реализована возможность использования кодировщика NVENC AV1 на платформе Linux.
  • На системах с Linux в кодировщиках на базе NVENC, QuickSync и VA-API обеспечена поддержка разделяемых текстур (shared texture), используемых несколькими объектами в 3D-сцене.
  • При выводе через WebRTC реализована возможность использования формата HEVC.
  • Добавлена система 'Composable Themes' для упрощения создания и сопровождения тем оформления. Возможно создание базовых тем, и основанных на них вариантов, переключаемых во вкладке "Appearance". Поддержка старого формата тем оформления прекращена.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61537

opennet honked 12 Jul 2024 18:00 +0200

Выпуск почтового клиента Thunderbird 128

Спустя год после публикации прошлого значительного выпуска опубликован релиз почтового клиента Thunderbird 128, развиваемого силами сообщества и основанного на технологиях Mozilla. Thunderbird 128 построен на кодовой базе ESR-выпуска Firefox 128 и отнесён к категории версий с длительным сроком поддержки, обновления для которых выпускаются в течение года.

Основные изменения в Thunderbird 128:

  • Добавлена возможность разработки компонентов на языке Rust. Отмечается, что использование языка Rust даст возможность снизить вероятность совершения ошибок при работе с памятью, обеспечит увеличение производительности и позволит вписаться в существующую экосистему, развивающую связанные с электронной почтой модули на языке Rust.

    Первым из компонентов на Rust станет реализация почтового протокола Microsoft Exchange Web Services (EWS), позволяющая обойтись без установки сторонних дополнений, через которые до сих пор предоставлялась поддержка Microsoft Exchange. Встроенную поддержку MS Exchange планируют активировать в одном из будущих промежуточных выпусков 128.x.

  • Модернизировано оформление режима вертикальной компоновки списка сообщений (Card View), стилизованного под мобильные интерфейсы в которых элементы показываются в форме "плоских" карт. Упрощена навигация по нитям переписки и обеспечена автоматическая корректировка высоты карт в зависимости от настроек. Добавлена индикация непрочитанных сообщений зелёной точкой, а появившихся с момента прошлого открытия новых сообщений - жёлтой звёздочкой.
  • Расширены возможности панели со списком почтовых папок (Folder Pane). Ускорена отрисовка и поиск унифицированных папок. Добавлена возможность выделения сразу нескольких папок.
  • Добавлена поддержка использования заданных в темах оформления акцентных цветов (accent), применяемых для выделения активных элементов. Изменение позволяет добиться единого цветового оформления с другими приложениями в дистрибутивах, активно использующих акцентные цвета в темах оформления, таких как Ubuntu и Linux Mint.
  • Предоставлена возможность выбора цвета для визуального выделения разных учётных записей. При написании письма поле "From" подсвечивается цветом, в зависимости от выбранной учётной записи.
  • Упрощена навигация с использованием меню.
  • На платформе Windows при выводе уведомлений задействована штатная система уведомлений. При щелчке мышью на уведомлении, оно закрывается и осуществляется переход к соответствующему сообщению в интерфейсе Thunderbird.
  • Проведена реорганизация контекстного меню, наиболее значимые операции представлены в виде пиктограмм для быстрого доступа. Добавлено контекстное меню для кнопки "Get Messages", через которое можно инициировать получение новых сообщений для отдельных учётных записей.
  • Реализована обработка почтовых заголовков List-Unsubscribe, Archived-At и List-Archive для предоставления действий по отписке от списка рассылки или перехода на сайт с архивом рассылки.
  • Подготовлена, но пока не включена по умолчанию, возможность синхронизации настроек между разными системами, реализованная через привязку к учётной записи в Mozilla Account.
  • Добавлена настройка mail.addressDisplayFormat для постоянного отображения в списке сообщений полного имени и email всех получателей.
  • В режим древовидного просмотра переписки добавлен счётчик новых сообщений.
  • В менеджере ключей OpenPGP реализована процедура для отзыва любого ключа.
  • Для сообщений S/MIME реализована поддержка шифрования и расшифровки с использованием протокола ECDH.
  • В изменён применяемый по умолчанию порядок сортировки списка сообщений - новые сообщения теперь показываются вверху.
  • Переработана панель инструментов в адресной книге.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61534

opennet honked 12 Jul 2024 17:00 +0200

Выпуск GNU Automake 1.17, инструментария для генерации сборочных файлов

Спустя шесть лет с момента прошлого выпуска опубликован релиз Automake 1.17, утилиты для автоматической генерации make-файлов, соответствующих стандартам кодирования проекта GNU. В новой версии параметр AM_PATH_PYTHON изменён для использования в качестве приоритетной ветки Python 3 вместо Python 2, в случае наличия обеих веток в системе. Добавлено определение версий Python новее 3.9. В скрипте py-compile прекращена поддержка выпусков Python 0.x и 1.x, в качестве минимальной заявлена версия Python 2.0, выпущенная в 2000 году.

Остальные значимые изменения в Automake 1.17 в основном связаны с проведением работы по улучшению переносимости и исправлению накопившихся ощибок. Например:

  • Добавлена новая опция "posix" для создания специальной сборочной цели .POSIX для утилиты make.
  • Добавлена поддержка систем, поведение команды "rm -f" в которых не соответствует спецификации POSIX.
  • Разрешено использование экранированной последовательности "\#" в переменных.
  • В утилиту aclocal добавлен флаг "--aclocal-path" для переопределения значения переменной $ACLOCAL_PATH.
  • В скрипт missing добавлена поддержка autoreconf, autogen и perl.
  • В лог test-suite.log добавлена основная информация о системе.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61533

continue honked back 12 Jul 2024 15:04 +0200
in reply to: https://mastodon.ml/users/EredYasibu/statuses/112773569450367774

@rf @EredYasibu

1) Знакомьтесь: honk
2) Редкие проблемы с очень экзотическими реализациями, которые, обычно, исправляются в следующем релизе
3) В документации описывается возможность импорта архива mastodon, но лично я не пробовал

opennet honked 12 Jul 2024 13:00 +0200

FreeBSD переходит на сокращённый цикл подготовки релизов

Колин Персиваль (Colin Percival), лидер команды, отвечающей за подготовку релизов FreeBSD, объявил об изменении процессов формирования и сопровождения выпусков. Начиная с ветки FreeBSD 15, намеченной на конец 2025 года, время сопровождения значительных веток после формирования первого релиза (15.0) будет сокращено с 5 до 4 лет. При этом новые значительные ветки будут формироваться раз в два года.

Промежуточные выпуски (15.1, 15.2, 15.3) будут разрабатываться в рамках фиксированного цикла разработки, подразумевающего публикацию новых версий в одной ветке примерно через каждые 6 месяцев, а не раз в год как было до сих пор. C учётом одновременного сопровождения двух разных значительных веток, новый промежуточный выпуск будет публиковаться раз в 3 месяца (15.4, 16.1, 15.5, 16.2 и т.п.), за исключением подготовки первых релизов новых значительных веток, перед которыми будет 6-месячный перерыв в релизах (например, релиз 15.3 будет сформирован в июне 2027 года, 16.0 в декабре 2027, 15.4 - в марте 2028, 16.1 - в июне 2028).

Отмечается, что проведённые в последнее время оптимизации взаимодействия команд, отвечающих за формирование релизов и разработку, позволили свести процесс подготовки релизов к 3 бета-версиям и одному кандидату в релизы, вместо 3-4 бета-версий и 3-6 кандидатов в релизы. При подобной организации разработки 3 месяцев для подготовки промежуточного выпуска вполне достаточно. Сокращение цикла подготовки релизов позволит более оперативно доводить до пользователей новые возможности и снизить нагрузку при подготовке каждого выпуска. Общая предсказуемая модель разработки упростит планирование пользователями перехода на новые выпуски, но в случае выявления критических проблем разработчики оставляют за собой право отложить релиз до готовности исправления.

Новый график формирования и сопровождения выпусков FreeBSD:

  • 13.3: Mar 2024 Dec 2024
  • 14.1: Jun 2024 Mar 2025
  • 13.4: Sep 2024 Jun 2025
  • 14.2: Dec 2024 Sep 2025
  • 13.5: Mar 2025 Apr 2026
  • 14.3: Jun 2025 Jun 2026
  • 15.0: Dec 2025 Sep 2026
  • 14.4: Mar 2026 Dec 2026
  • 15.1: Jun 2026 Mar 2027
  • 14.5: Sep 2026 Jun 2027
  • 15.2: Dec 2026 Sep 2027
  • 14.6: Mar 2027 Nov 2028
  • 15.3: Jun 2027 Jun 2028
  • 16.0: Dec 2027 Sep 2028
  • 15.4: Mar 2028 Dec 2028
  • 16.1: Jun 2028 Mar 2029
  • 15.5: Sep 2028 Jun 2029
  • 16.2: Dec 2028 Sep 2029
  • 15.6: Mar 2029 Dec 2029
  • 16.3: Jun 2029 Jun 2030
  • 17.0: Dec 2029 Sep 2030


Источник: https://www.opennet.ru/opennews/art.shtml?num=61532

continue bonked 12 Jul 2024 10:16 +0200
original: opennet@honk.any-key.press

Утечка токена для полного доступа к GitHub-репозиториям проекта Python

Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.

По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре. Токен предоставлял доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa. Проблемный Docker-образ с токеном был опубликован в каталоге Docker Hub третьего марта 2023 года, а удалён 11 июня 2024 года т.е. 16 месяцев находится в открытом доступе. 28 июня токен был отозван.

Примечательно, что в доступных исходных текстах, на базе которых был сгенерирован проблемный файл с байткодом, упоминание токена отсутствует. Автор кода пояснил, что в процессе разработки инструментария cabotage-app5 на своей локальной системе столкнулся с ограничениями интенсивности доступа к API GitHub при выполнении функции автоматизированной загрузки файлов из GitHub, и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ.

    def _fetch_github_file(
   -    github_repository="owner/repo", ref="main", access_token=None, filename="Dockerfile"
   +    github_repository="owner/repo",
   +    ref="main",
   +    access_token="0d6a9bb5af126f73350a2afc058492765446aaad",
   +    filename="Dockerfile",
    ):

Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа с использованием раскрытого токена. С учётом того, что с 2017 года GitHub является первичной площадкой для разработки CPython, попадание токена в руки злоумышленника могло бы привести к полной компрометации инфраструктуры, используемой для разработки Python и репозитория PyPI, и возможности совершения попыток интеграции бэкдоров в CPython и пакетный менеджер PyPI.

Инцидент показывает важность анализа утечек не только в исходном коде, файлах конфигурации и переменных окружения, но и в бинарных файлах. В контексте Python пользователям также рекомендуется обращать внимание на наличие в загружаемых проектах pyc-файлов со скомпилированным байткодом, так как данные файлы могут содержать скрытые модификации, отсутствующие в исходном коде.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61531

opennet honked 12 Jul 2024 10:00 +0200

Утечка токена для полного доступа к GitHub-репозиториям проекта Python

Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.

По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре. Токен предоставлял доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa. Проблемный Docker-образ с токеном был опубликован в каталоге Docker Hub третьего марта 2023 года, а удалён 11 июня 2024 года т.е. 16 месяцев находится в открытом доступе. 28 июня токен был отозван.

Примечательно, что в доступных исходных текстах, на базе которых был сгенерирован проблемный файл с байткодом, упоминание токена отсутствует. Автор кода пояснил, что в процессе разработки инструментария cabotage-app5 на своей локальной системе столкнулся с ограничениями интенсивности доступа к API GitHub при выполнении функции автоматизированной загрузки файлов из GitHub, и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ.

    def _fetch_github_file(
   -    github_repository="owner/repo", ref="main", access_token=None, filename="Dockerfile"
   +    github_repository="owner/repo",
   +    ref="main",
   +    access_token="0d6a9bb5af126f73350a2afc058492765446aaad",
   +    filename="Dockerfile",
    ):

Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа с использованием раскрытого токена. С учётом того, что с 2017 года GitHub является первичной площадкой для разработки CPython, попадание токена в руки злоумышленника могло бы привести к полной компрометации инфраструктуры, используемой для разработки Python и репозитория PyPI, и возможности совершения попыток интеграции бэкдоров в CPython и пакетный менеджер PyPI.

Инцидент показывает важность анализа утечек не только в исходном коде, файлах конфигурации и переменных окружения, но и в бинарных файлах. В контексте Python пользователям также рекомендуется обращать внимание на наличие в загружаемых проектах pyc-файлов со скомпилированным байткодом, так как данные файлы могут содержать скрытые модификации, отсутствующие в исходном коде.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61531

opennet honked 11 Jul 2024 22:00 +0200

Выпуск межсетевого экрана firewalld 2.2.0

Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Ключевые изменения:

  • Добавлены сервисы для поддержки протоколов STUN и STUNS.
  • Добавлен сервис для трафика Steam в локальной сети.
  • Добавлен сервис для протокола MNDP (MikroTik Neighbor Discovery Protocol).
  • Добавлен сервис для файлового сервера XRootD.
  • Добавлен сервис для протокола WS-Discovery (Web Services Dynamic Discovery).
  • Добавлены сервисы для сетевой активности утилит измерения пропускной способности iperf2 и iperf3.
  • Разрешено использование в nftables таблиц с флагами "owner" и "persist".
  • Добавлена поддержка режимов работы rpfilter (Reverse Path Filter): strict-forward, loose-forward и loose.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61530

contrinitiator honked 11 Jul 2024 20:05 +0200

На рукотворном полуострове Рожок буйным цветом цветут травы, лежат гранитные валуны, шлёпают по воде чаята и возжигают костры локальные резиденты. Слава духам, на берег Невы ещё можно проникнуть, но уже чуть дальше огорожена стройка и возвышается скелет строящегося упырями, только не смейтесь, дворца бракосочетаний. Точно так же дальше по течению упыри застраивают своим логовищем другой Охтинский мыс.

В таких местах явно проходят какие-то магические потоки, и мыс, омываемый течением Навьей реки, служит их вместилищем, иначе стремление во что бы то ни стало захватить такие знаковые места объяснить трудно.
#ЛенинградНутряной

opennet honked 11 Jul 2024 20:00 +0200

Выпуск графической библиотеки IGL 1.0, абстрагирующей работу с OpenGL, Metal, Vulkan и WebGL

Компания Meta* опубликовала релиз графической библиотеки IGL 1.0 (Intermediate Graphics Library), предоставляющей универсальный низкоуровневый API для управления GPU. Предложенный API охватывает типовую функциональность GPU и позволяет создавать кросс-платформенные приложения, способные работать поверх графических API OpenGL, Metal и Vulkan на системах с Android, iOS, Linux, macOS и Windows, а также использовать WebGL для отрисовки в Web при компиляции приложения в промежуточный код WebAssembly. Код IGL написан на языке С++ и распространяется под лицензией MIT.

Для отрисовки предоставляются бэкенды для API Metal 2+, OpenGL 2.x, OpenGL 3.1+, OpenGL ES 2.0+, Vulkan 1.1 и WebGL 2.0. Библиотека подходит для разработки игр, систем 3D-моделирования и любых других проектов, требующих поддержки высококачественной графики. Код IGL оптимизирован для достижения максимальной производительности даже при работе со сложными и детализированными моделями.

Структура API разработана с оглядкой на простоту использования и реализует типовые концепции, понятные большинству разработчиков, знакомых с одним из графических API. По уровню абстракций IGL близок к Vulkan и WebGPU, но при этом избавлен от привязанной к конкретным движкам специфики. Библиотека поддерживает подключение расширений, при помощи которых можно легко интегрировать дополнительную функциональности и реализовать возникающие нестандартные потребности разработчиков.



Источник: https://www.opennet.ru/opennews/art.shtml?num=61529

opennet honked 11 Jul 2024 13:00 +0200

Новая версия почтового сервера Exim 4.98

После восьми месяцев разработки опубликован релиз почтового сервера Exim 4.98, в который внесены накопившиеся исправления и добавлены новые возможности. Код проекта написан на языке Си и распространяется под лицензией GPLv2+. В соответствии с июньским автоматизированным опросом около 400 тысяч почтовых серверов, доля Exim составляет 59.06% (год назад 55.93%), Postfix используется на 34.68% (37.40%) почтовых серверов, Sendmail - 3.42% (3.45%), MailEnable - 1.81% (1.86%), MDaemon - 0.37% (0.48%), Microsoft Exchange - 0.17% (0.25%).

Основные изменения:

  • Устранена уязвимость (CVE-2024-39929), вызванная некорректным разбором имён файлов в почтовых вложениях. Уязвимость позволяет обойти фильтры, в которых используется переменная $mime_filename, и добиться передачи исполняемых файлов во вложениях, несмотря на их блокировку в настройках.
  • В ACL, применимым к данным, переменным командой DATA, разрешено использования условия dkim_status, позволяющего оценить результат проверки через механизм DKIM (DomainKeys Identified Mail).
  • При включении настройки dkim_verbose, выводящей в лог дополнительную отладочную информацию о работе DKIM, обеспечен вывод сведений о цифровых подписях.
  • В опции dkim_timestamps, управляющей включением в подпись информации о времени, разрешено указание значения "0" для добавления текущего времени.
  • В опции recipients_max, задающей лимит на число получателей для одного сообщения, разрешено использование подстановок и шаблонов.
  • При тестировании выражений через команду "exim -be" предоставлена возможность выставления tainted-значений (значения, полученные извне, например, выставленные отправителем письма).
  • Добавлена поддержка обработки и отражения в логах события "dns:fail", возникающего при сбое запроса к DNSBL-спискам.
  • В lookup-блоки dsearch добавлена поддержка поиска по неполному файловому пути ("${lookup {foo/bar} dsearch,key=path {/etc}}").
  • В состав включена утилита mailtest для проверки и диагностики SMTP-соединения.
  • Реализована поддержка SMTP-расширения WELLKNOWN, при помощи которого SMTP-сервер может передавать клиенту публичную информацию, например, контактные данные или параметры верификации при получении TLS-сертификата, используя протокол ACME.
  • Добавлена возможность использования SQLite3 для хранения внутренних БД, в дополнение к DBD, NDB, GBDM и TDB. Для использования SQLite3 перед сборкой в Local/Makefile необходимо указать "USE_SQLITE = y" и "DBMLIB = -lsqlite3".


Источник: https://www.opennet.ru/opennews/art.shtml?num=61527

opennet honked 11 Jul 2024 11:00 +0200

Выпуск дистрибутива Clonezilla Live 3.1.3

Опубликован релиз Linux-дистрибутива Clonezilla Live 3.1.3, предназначенного для быстрого клонирования дисков (копируются только используемые блоки). Задачи, выполняемые дистрибутивом сходны с проприетарным продуктом Norton Ghost. Размер iso-образа дистрибутива - 457МБ (i686, amd64).

Дистрибутив основан на Debian GNU/Linux и в своей работе использует код таких проектов, как DRBL, Partition Image, ntfsclone, partclone, udpcast. Возможна загрузка с CD/DVD, USB Flash и по сети (PXE). Поддерживаются LVM2 и ФС ext2, ext3, ext4, reiserfs, reiser4, xfs, jfs, btrfs, f2fs, nilfs2, FAT12, FAT16, FAT32, NTFS, HFS+, UFS, minix, VMFS3 и VMFS5 (VMWare ESX). Имеется режим массового клонирования по сети, в том числе с передачей трафика в multicast-режиме, позволяющем единовременно провести клонирование исходного диска на большое число клиентских машин. Возможно как клонирование с одного диска на другой, так и создание резервных копий через сохранение дискового образа в файл. Возможно клонирование на уровне целых дисков или отдельных разделов.

В новой версии:

  • Осуществлена синхронизация с пакетной базой Debian Sid по состоянию на 28 июня
  • Ядро Linux обновлено до ветки 6.9 (было ядро 6.5).
  • Инструментарий Partclone обновлён до версии 0.3.31.
  • Удалены пакеты deborphan, cpufrequtils (больше не поставляется в репозиториях Debian) и thin-provisioning-tools (имеет проблемы с зависимостями).
  • Добавлен пакет yq с утилитой для обработки форматов YAML, JSON, XML, CSV, TOML.
  • Обновлены пакеты live-boot и live-config.
  • В Live-окружении для упрощения отладки увеличен размер буфера сохранения данных при прокрутке содержимого на экране.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61526

opennet honked 11 Jul 2024 11:00 +0200

В многопользовательском редакторе кода Zed обеспечена поддержка Linux

Команда разработчиков текстового редактора Zed объявила о реализации поддержки платформы Linux. Готовые сборки, подготовленные для архитектур x86_64 и ARM64, поддерживают работу в большинстве дистрибутивов Linux. Редактор примечателен наличием возможностей для совместной работы над кодом, высокой отзывчивостью интерфейса и выполнением растеризации окон на стороне GPU.

Проект развивается под руководством Натана Собо (Nathan Sobo), автора редактора Atom (основа VS Code) при участии команды бывших разработчиков редактора Atom, платформы Electron и библиотеки для разбора синтаксиса Tree-sitter. Исходные тексты серверной части, обеспечивающей координацию многопользовательского редактирования, открыты под лицензией AGPLv3, а самого редактора - под лицензией GPLv3. Для формирования интерфейса пользователя задействована собственная библиотека GPUI, открытая под лицензией Apache 2.0. Код проекта написан на языке Rust.

Zed совмещает в одном продукте легковесный текстовый редактор и функциональность современных интегрированных сред разработки. При разработке учтён опыт создания Atom и предпринята попытка воплотить некоторые идеи о том, как должен выглядеть идеальный редактор для программиста. Большое внимание уделяется производительности и отзывчивости интерфейса - по задумке создателей проекта все действия при редактировании должны выполняться мгновенно, а задачи кодирования решаться наиболее эффективным способом. Высокая производительность Zed достигается благодаря активному использованию многопоточности с задействованием всех доступных ядер CPU и вовлечению GPU в процесс отрисовки.

Основные возможности Zed:

  • Совместная навигация по коду и редактирование кода одновременно несколькими разработчиками в одном общем рабочем пространстве.
  • Встроенная возможность предоставления другим участникам проекта доступа к своему экрану.
  • Средства для совместного обсуждения и планирования работ в команде. Поддержка ведения задач, создания заметок и отслеживания проектов, текстовый и голосовой чат.
  • Возможность подключения к работе с внешним проектом с любого компьютера, без привязки к данным на локальной системе. Работа с внешними проектами осуществляется по аналогии с работой с кодом, размещённым на локальном компьютере.
  • Учёт полного синтаксического дерева различных языков программирования для корректной подсветки синтаксиса, автоформатирования, структурного выделения и контекстного поиска;
  • Поддержка обращения к серверам LSP (Language Server Protocol) для автодополнения, навигации по коду, диагностики ошибок и рефакторинга.
  • Всплывающий диалог "Палитра команд" для быстрого доступа к поддерживаемым командам и изучения способов вызова команд по клавиатурным комбинациям.
  • Всплывающие подсказки для просмотра диагностических сообщений во время работы с кодом.
  • Настраиваемое размещение и прикрепление панелей.
  • Возможность использования сразу нескольких курсоров и выделенных блоков для одновременного набора в нескольких местах или манипуляций с типовыми блоками кода.
  • Панель для быстрой навигации по всем файлам проекта.
  • Возможность поиска внутри всех файлов проекта.
  • Инструменты для рефакторинга и переименования переменных, объектов, методов и функций с автоматической заменой во всех файлах проекта.
  • Поддержка подключения и изменения тем оформления. Наличие светлых и тёмных тем.
  • Использование по умолчанию клавиатурных комбинаций VS Code. Опциональный режим совместимости с клавиатурными комбинациями и командами Vim.
  • Поддержка интеграции с GitHub Copilot для помощи в написании и рефакторинге кода.
  • Интегрированный эмулятор терминала.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61524

continue honked back 11 Jul 2024 10:57 +0200
in reply to: https://honk.any-key.press/u/contrinitiator/h/ds3b3v3VDZDsj48qJM

@contrinitiator

Да, я по себе заметил, что даже минимальная сортировка:

  • органика в компост
  • дерево, картон и бумагу в огонь

очень сильно уменьшает количество мусора, отправляемого на свалку.

А когда начинаешь разделять стекло и пластик для повторной переработки (например сюда), то мусора остаётся совсем мало.

contrinitiator honked 11 Jul 2024 10:43 +0200

Если жить какое-то время в деревенском доме, кажется дичью количество выбрасываемого в городе мусора. А после недавних ураганов я вижу, как целые огромные ветки деревьев брошены прямо в мусорные баки. Тут и просто по нормальным понятиям дичь, тогда как всё это можно пустить в дело, или просто сжечь в печи. Да я бы и пластик сжигал с удовольствием, всяко лучше, чем он будет лежать годами в огромной мусорной горе.
#мусор

opennet honked 11 Jul 2024 09:00 +0200

Критическая уязвимость в GitLab

Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 17.1.2, 17.0.4 и 16.11.6, в которых устранены 6 уязвимостей. Одной из проблем (CVE-2024-6385) присвоен критический уровень опасности. Как и уязвимость, устранённая в прошлом месяце, новая проблема позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем.

Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя. Сведения об уязвимости переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей. Детальную информацию об уязвимости планируют раскрыть через 30 дней после публикации исправления.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61525

opennet honked 11 Jul 2024 09:00 +0200

Проект etcd-await-election для запуска процессов с учётом выбора лидирующего экземпляра

Команда Ænix представила новый проект etcd-await-election, который позволяет выполнять операцию "leader election" на нескольких узлах с помощью распределённого хранилища etcd, для того чтобы гарантировать выполнение только одного экземпляра процесса в кластерных окружениях. Проект продолжает развитие идеи k8s-await-election, гарантируя эксклюзивный запуск пользовательского процесса, только после проведения выборов лидирующего экземпляра сервиса, но в отличие от него не требует наличия Kubernetes и работает напрямую с etcd. Код написан на языке Go и распространяется под лицензией Apache 2.0.

Поддерживается SSL, быстрое восстановление при перезапуске, перехват блокировки в приоритетном режиме и контроль выполнения процесса. Если блокировка по какой-то причине была потеряна, пользовательский процесс незамедлительно будет остановлен.

Дополнительно можно отметить обновление развиваемой той же командой разработчиков PaaS-платформы Cozystack 0.9.0, которая позволяет запускать и предоставлять кластеры Kubernetes, базы данных и виртуальные машины. Платформа устанавливается напрямую на серверы и охватывает все аспекты подготовки инфраструктуры для предоставления управляемых сервисов. В новом выпуске разрешено изменять параметры для нод-групп и обновлены версии компонентов (Kubernetes 1.30.1, KubeVirt 1.2.2, Kamaji 1.0.0, Piraeus 2.5.1).

Источник: https://www.opennet.ru/opennews/art.shtml?num=61522

opennet honked 10 Jul 2024 20:00 +0200

Выпуск DXVK 2.4, реализации Direct3D 8/9/10/11 поверх API Vulkan

Доступен выпуск прослойки DXVK 2.4, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 8, 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.3, таких как Mesa RADV 22.0, NVIDIA 510.47.03, Intel ANV 22.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D 9/10/11, работающих поверх OpenGL.

Основные изменения:

  • Интегрированы наработки проекта D8VK, обеспечивающего трансляцию Direct3D 8 в API Vulkan. Разработчиками протестирована поддержка более 200 старых игр, завязанных на Direct3D 8, среди которых GTA III, The Elder Scrolls III: Morrowind, Freelancer, Postal 2, Warcraft III, Another World 15, Need for Speed: High Stakes, Need for Speed III: Hot Pursuit, Red Faction II, Max Payne 2, Unreal II: The Awakening, Silent Hill 3.
  • В dxvk-native, вариант DXVK, способный работать обособленно без Wine, добавлена возможность использования WSI-бэкендов (Window System Integration) для различных оконных систем. В настоящий момент предложены бэкенды для SDL2 и GLFW, которые могут загружаться динамически во время работы, а не во время связывания.
  • Добавлена поддержка эмуляции не поддерживаемой в системе частоты обновления экрана, что может быть использовано на системах, не позволяющих менять видеорежимы.
  • Снижено потребление памяти, благодаря задействованию Vulkan-расширения VK_NV_descriptor_pool_overallocation и улучшению управления пулом дескрипторов.
  • Устранены проблемы, проявляющиеся в играх:
    • Battlefield 2
    • Dead Space 2
    • Dragonshard
    • Fallout 4
    • Fallout New Vegas
    • Ghostbusters Remastered
    • Gothic 3
    • Guild Wars 2
    • Prototype
    • Red Faction Guerrila Remastered
    • Rise of Nations
    • Star Citizen
    • The Sims 2
    • Tomb Raider Legend
    • Watch Dogs
    • Watch Dogs 2
    • WRC 4


    Источник: https://www.opennet.ru/opennews/art.shtml?num=61518

opennet honked 10 Jul 2024 12:00 +0200

Уязвимость в протоколе RADIUS, позволяющая подделать ответ при аутентификации

Группа исследователей из нескольких американских университетов и компаний Cloudflare и Microsoft разработала новую технику атаки на протокол RADIUS, применяемый операторами связи, облачными сервисами и VPN-провайдерами для аутентификации, авторизации и аккаунтинга пользователей. Атака, которая получила кодовое имя Blast-RADIUS, даёт возможность подделать ответ RADIUS-сервера при прохождении аутентификации и организовать подключение абонента без знания пароля доступа.

Для эксплуатации уязвимости (CVE-2024-3596) атакующий должен иметь возможность перехвата транзитного трафика и проведения полноценной MITM-атаки, позволяющей читать, перехватывать, блокировать и изменять входящие и исходящие транзитные UDP-пакеты, отправляемые точками доступа для запроса аутентификации клиентов (Access-Request) и возвращаемые RADIUS-сервером с подтверждением или отклонением операции. Перехватив запрос аутентификации атакующий может направить фиктивный ответ, указав в этом ответе иной тип результата (например, Access-Accept вместо Access-Reject). Атакующий также потенциально может перехватить ответ Access-Challenge, используемый при двухфакторной аутентификации, и заменить его на ответ Access-Accept для обхода прохождения дополнительного этапа проверки.

Атака основана на том, что протокол RADIUS использует в качестве транспорта UDP и верифицирует целостность передаваемых сообщений при помощи алгоритма MD5. Для верификации сообщений, передаваемых между сервером доступа и RADIUS-сервером, применяется секретный ключ, известный точке доступа и RADIUS-серверу, но неизвестный атакующему. В ответ на запрос аутентификации RADIUS-сервер генерирует MD5-хэш, при помощи которого сервер доступа может удостовериться, что сообщение отправлено авторизированным сервером. MD5-хэш охватывает присланное в запросе случайное значение, идентификатор запроса, возвращаемые атрибуты и секретный ключ.

Атакующий в ходе MITM-атаки может перехватить переданный в запросе идентификатор и случайное значение, а также может предсказать код операции, размер и атрибуты. Задача сводится к формированию корректного проверочного хэша, который бы соответствовал изменённому результату операции и проходил проверку через хэширование с использованием секретного ключа. Алгоритм MD5 не является стойким к подбору коллизий, что позволяет атакующему, манипулируя с не имеющим значения добавочным заполнением, подобрать сочетание данных с нужными параметрами, MD5-хэш которого будет совпадать с MD5-хэшем исходного ответа, и отправить фиктивный ответ с кодом успешного прохождения аутентификации (Access-Accept) вместо сообщения с информацией об ошибке.

Так как при обработке пакетов с запросом доступа (Access-Request) не применяется аутентификация и проверка целостности, в ходе атаки в исходный запрос от сервера доступа атакующий может подставить дополнительный атрибут "Proxy-State", который будет отражён RADIUS-сервером в своём ответе. Содержимое "Proxy-State" подбирается с учётом коллизии так, что значение проверочного MD5-хэша в реальном и поддельном ответах будут идентичны. При проведении эксперимента поиск коллизии в MD5 для совершения атаки занял 3-6 минут, что больше чем типовой таймаут в 30-60 секунд, но время поиска коллизии может быть сокращено за счёт использования более мощного оборудования, привлечения GPU и распараллеливания операций.

В качестве основной меры для защиты от уязвимости предлагается задействовать протокол EAP (Extensible Authentication Protocol, RFC 3579), в котором для дополнительной верификации сообщений используется атрибут Message-Authenticator. Для защиты от атаки также можно использовать расширения протокола (RadSec), включающие передачу RADIUS-сообщений через шифрованные каналы на базе TLS или DTLS. Кроме того, можно сократить до минимума значения таймаутов получения ответа и заблокировать ответы с атрибутом Proxy-State. Передача RADIUS-сообщений поверх TCP усложняет атаку, но не исключает её проведение.

Код для проведения атаки пока не опубликован в открытом доступе, но проекту hashclash переданы изменения, улучшающие подбор коллизий в MD5 с учётом специфики атаки. В RADIUS-сервере FreeRADIUS проблема устранена в выпусках 3.0.27 и 3.2.5 через включение обязательного применения атрибута Message-Authenticator и добавление настройки для ограничения обработки пакетов с атрибутом Proxy-State.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61517

continue bonked 10 Jul 2024 09:03 +0200
original: opennet@honk.any-key.press

В Debian GNU/Hurd обеспечена сборка 71% пакетов Debian

Разработчики проекта Hurd объявили обеспечении возможности сборки в дистрибутиве Debian GNU/Hurd 71% пакетов архива Debian. В прошлом году этот показатель составлял 58%. Из других достижений GNU/Hurd отмечается портирование ядра Mach для архитектуры AArch64 и принятие патчей, позволяющих использовать GCC для сборки программ GNU/Hurd для AArch64. В настоящее время порт пока не обеспечивает всю желаемую функциональность, но уже может использоваться для запуска простых приложений. В ядре GNU Mach реализована экспериментальная поддержка симметричной многопоточности (SMP). Решены проблемы со сборкой с использования GCC 14. Добавлена поддержка компилятора rustc, что позволяет собирать для GNU/Hurd приложения, написанные на языке Rust.

Дистрибутив Debian GNU/Hurd сочетает программное окружение Debian c ядром GNU/Hurd и остаётся единственной активно развиваемой платформой Debian, созданной на базе ядра, отличного от Linux (ранее развивался порт Debian GNU/KFreeBSD, но он давно находится в заброшенном состоянии). GNU Hurd представляет собой ядро, развиваемое в качестве замены ядра Unix и оформленное в виде набора серверов, работающих поверх микроядра GNU Mach и реализующих различные системные сервисы, такие как файловые системы, сетевой стек, система управления доступом к файлам. Микроядро GNU Mach предоставляет IPC-механизм, используемый для организации взаимодействия компонентов GNU Hurd и построения распределённой мультисерверной архитектуры.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61515

opennet honked 10 Jul 2024 09:00 +0200

В Debian GNU/Hurd обеспечена сборка 71% пакетов Debian

Разработчики проекта Hurd объявили обеспечении возможности сборки в дистрибутиве Debian GNU/Hurd 71% пакетов архива Debian. В прошлом году этот показатель составлял 58%. Из других достижений GNU/Hurd отмечается портирование ядра Mach для архитектуры AArch64 и принятие патчей, позволяющих использовать GCC для сборки программ GNU/Hurd для AArch64. В настоящее время порт пока не обеспечивает всю желаемую функциональность, но уже может использоваться для запуска простых приложений. В ядре GNU Mach реализована экспериментальная поддержка симметричной многопоточности (SMP). Решены проблемы со сборкой с использования GCC 14. Добавлена поддержка компилятора rustc, что позволяет собирать для GNU/Hurd приложения, написанные на языке Rust.

Дистрибутив Debian GNU/Hurd сочетает программное окружение Debian c ядром GNU/Hurd и остаётся единственной активно развиваемой платформой Debian, созданной на базе ядра, отличного от Linux (ранее развивался порт Debian GNU/KFreeBSD, но он давно находится в заброшенном состоянии). GNU Hurd представляет собой ядро, развиваемое в качестве замены ядра Unix и оформленное в виде набора серверов, работающих поверх микроядра GNU Mach и реализующих различные системные сервисы, такие как файловые системы, сетевой стек, система управления доступом к файлам. Микроядро GNU Mach предоставляет IPC-механизм, используемый для организации взаимодействия компонентов GNU Hurd и построения распределённой мультисерверной архитектуры.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61515

opennet honked 10 Jul 2024 09:00 +0200

Обновление Shotstars 0.2, инструмента для отслеживания убывающих звёзд на GitHub

Обновлен инструмент Shotstars 0.2, решающий проблему с отслеживанием исчезновения "звёзд" у проектов на GitHub. Штатные возможности GitHub не предоставляют пользователям информацию по убывающим "звёздам" в проекте и позволяют получить сведения только по их прибавлению. Проект написан на языке Python и распространяется под лицензией GPLv3+

Изменения:

  • Установить пакет Shotstars теперь можно и с помощью pip: pip install shotstars. Также подготовлены готовые сборки не требующие наличие Python в OS.
  • Работа скрипта ускорена в несколько раз за счёт распараллеливания задач.
  • В html-отчет добавлена расширенная метрика: накопление «New_Gone_Stars/Dates» за все время сканирований.
  • Изменён внешний вид CLI-таблиц. Обновлена функция прогресса. К расчетному времени снятия блокировки Github/API добавлено и оставшееся время ожидания в минутах. Переработан внешний вид html-отчета.
  • Расширенны проверки/оповещения на ошибки, например, если пользователь указал несуществующий или удаленный репозиторий для парсинга или пытался просканировать проект с более чем 6К+ звездами и т.д.
  • Добавлена новая функциональность в html-отчет: отображение аккумулированных данных по всем периодам сканирований с разбивкой по датам; суммарный расчет "new/gone stars/date" в заголовке; а также ведется подсчет дубликатов "username", которые неоднократно ставили или снимали звезды в отслеживаемом репозитории.
  • Добавлена новая метрика: реальная дата создания проекта (иногда дату создания проекта можно подделать с помощью коммитов, обманывая пользователей, Shotstars — не обмануть). В html-отчет также добавлены: рейтинг; реальная дата создания проекта и описание проекта (если присутствует).
  • Добавлен случайно выбираемый «User-Agent» для http запросов.
  • В случае использования старой версии Python 3.7 на OS Android/Termux или из-за ограничений новых версий OS Android быстрые процессы сменяются на безопасные потоки не вызывая ошибки.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61514

continue honked 10 Jul 2024 08:49 +0200

"Кто давал эти названия — «Серафим» или «Демон» — акварелям и рисункам Врубеля 1902—1906 гг.? У самого художника они безыменны, и причислить их к «Ангелу» или к «Демону» было в воле, а часто и в произволе, составителей каталогов и редакторов изданий, где воспроизводились эти создания последних лет жизни Врубеля."

Дурылин С. Н. "Врубель и Лермонтов"

opennet honked 10 Jul 2024 08:00 +0200

Встроенное в Chromium дополнение предоставляет расширенный API сервисам Google

Один из разработчиков JavaScript-платформы Deno, руководящий каталогом пакетов JSR.io, обратил внимание на дискриминацию в браузерном движке Chromium, связанную с предоставлением сервисам Google дополнительной функциональности, недоступной остальным сайтам без установки отдельного дополнения. Речь про встроенное дополнение hangout_services, которое активно по умолчанию и не отображается в списках работающих в браузере дополнений.

Дополнение предоставляет функции для получения информации о нагрузке на CPU и GPU в контексте отдельных вкладок и всей системы, а также о потреблении памяти в системе. Предоставляемый дополнением API открыт для запросов только с поддоменов "google.com". Дополнение предустановлено в Chrome, различных сборках Chromium, Microsoft Edge, Brave и вероятно в других браузерах на базе движка Chromium.

Поставка подобного встроенного дополнения воспринята как недобросовестная конкуренция и нарушение принципа предоставления единого API для всех сайтов, так как благодаря дополнению сервисы Google получают конкурентное преимущество из-за возможности доступа к информации о работе системы, недоступной сервисам других компаний. Например, сервис Google Meet может подстраивать работу в зависимости от нагрузки на системе пользователя, в то время как в Zoom и других сервисах для этого потребуется установка внешнего дополнения с подтверждением предоставляемых полномочий (для сервисов Google подобная функциональность доступна из коробки).

Предоставляемые дополнением данные отображаются в сервисе meet.google.com в панели "Troubleshooting". Для проверки наличия дополнения hangout_services можно выполнить поиск идентификатора "nkeimhogjdpnpccoofpliimaahmaaome" в файле resources.pak, идущем в поставке Chrome, а для проверки активности следует открыть в браузере любой сайт, относящийся к домену google.com, и отправить дополнению запрос из консоли в инструментах для web-разработчиков:

   chrome.runtime.sendMessage('nkeimhogjdpnpccoofpliimaahmaaome', {method: 'cpu.getInfo'}, response => {console.log(JSON.stringify(response, null, 2));});
   $ strings /opt/google/chrome/resources.pak| grep -A 10 "nkeimhogjdpnpccoofpliimaahmaaome"

   // Extension ID: nkeimhogjdpnpccoofpliimaahmaaome
  "key": "....",
  "name": "Google Hangouts",
  // Note: Always update the version number when this file is updated. Chrome
  // triggers extension preferences update on the version increase.
  "version": "1.3.21",
  "manifest_version": 2,
  "externally_connectable": {
    "matches": [
      "https://*.google.com/*"
    ]



Источник: https://www.opennet.ru/opennews/art.shtml?num=61513

opennet honked 09 Jul 2024 22:00 +0200

Доступна платформа OpenSilver 3.0, продолжающая развитие технологии Silverlight

Представлен выпуск проекта OpenSilver 3.0, продолжающего развитие платформы Silverlight и позволяющего создавать интерактивные web-приложения при помощи технологий C#, F#, XAML и .NET. Скомпилированные при помощи OpenSilver приложения Silverlight могут работать в любых настольных и мобильных браузерах с поддержкой WebAssembly, но компиляция пока возможна только в Windows с использованием среды Visual Studio. Код проекта написан на языке C# и распространяется под лицензией MIT.

В 2021 компания Microsoft прекратила разработку и сопровождение платформы Silverlight в пользу применения стандартных Web-технологий. Изначально проект OpenSilver был нацелен на предоставление инструментария для продления жизни существующих Silverlight-приложений в условиях отказа от сопровождения платформы компанией Microsoft и прекращения поддержки плагинов в браузерах. В OpenSilver поддерживаются все основные возможности движка Silverlight, включая полную поддержку языков C# и XAML, а также реализацию большей части API платформы, достаточную для использования таких C#-библиотек, как Telerik UI, WCF RIA Services, PRISM и MEF.

В текущем виде OpenSilver уже вышел за рамки прослойки для продления жизни Silverlight и может рассматриваться как самостоятельная платформа для создания новых приложений. Например, проектом развивается среда разработки (дополнение к Visual Studio), обеспечивается поддержка новых версий языка C# и платформы .NET, предоставляется совместимость с библиотеками на языке JavaScript.

В качестве основы OpenSilver задействован код открытых проектов Mono (mono-wasm) и Microsoft Blazor (часть ASP.NET Core), а для выполнения в браузере применяется компиляция приложений в промежуточный код WebAssembly. OpenSilver продолжает развитие проекта CSHTML5, позволяющего компилировать приложения C#/XAML/.NET в представление на языке JavaScript, пригодное для запуска в браузере, и расширяет его кодовую базу возможностями для компиляции C#/XAML/.NET в WebAssembly, а не в JavaScript.

В новой версии:

  • Предложен визуальный построитель интерфейса, позволяющий проектировать интерфейс приложений .NET и web-сайты в режиме drag&drop, используя более 100 встроенных блоков интерфейса.
  • Добавлен AI-помощник, позволяющий генерировать и изменять интерфейсы пользователя при помощи команд на естественном языке. Пользователю достаточно в свободной форме описать желаемые изменения или предложить картинку с макетом и AI-помощник сам обновит или сгенерирует XAML-код.
  • Расширены средства для интеграции с внешними интегрированными средами разработки. Добавлена поддержка редактора кода Visual Studio Code.
  • Введено в строй web-приложение XAML.io, позволяющее проектировать интерфейсы пользователя на базе XAML из браузера.
  • Предложена предварительная версия инструментария XAML 3D, позволяющего создавать 3D-сайты и приложения смешанной реальности, использующие WebXR и совместимые с различными 3D-шлемами, такими как Meta Quest и Apple Vision Pro.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61512

opennet honked 09 Jul 2024 20:00 +0200

Релиз Firefox 128

Состоялся релиз web-браузера Firefox 128. Firefox 128 отнесён к категории веток с длительным сроком поддержки (ESR), обновления для которых выпускаются в течение года. Кроме того, сформировано обновление прошлой ветки с длительным сроком поддержки - 115.13.0 (в дальнейшем ожидается ещё два обновления 115.14 и 115.15). На стадию бета-тестирования переведена ветка Firefox 129, релиз которой намечен на 6 августа.

Основные новшества в Firefox 128:

  • Добавлена поддержка машинного перевода выделенных на странице фрагментов текста (ранее поддерживался только перевод страницы целиком). Функция перевода вызывается через контекстное меню, показываемое при нажатии правой кнопки мыши на выделенном блоке. Для перевода задействована встроенная в Firefox система, которая выполняет перевод на локальной системе пользователя без обращения к внешним облачным сервисам. Система основана на открытом движке Bergamot, который представляет собой обвязку над фреймворком машинного перевода Marian, применяющим рекуррентную нейронную сеть (RNN) и языковые модели на основе трансформеров.
  • Предложен новый упрощённый и унифицированный диалог для очистки данных пользователя, в котором улучшено разделение данных на категории и добавлены сведения о размере данных, сохранённых за выбранный промежуток времени.

  • В выпадающем окне, показываемом во время набора в адресной строке, помимо рекомендуемых ссылок реализовано отображение недавно выполненных и набирающих популярность поисковых запросов. Возможность пока включена только для пользователей из США и Канады.
  • Добавлен виджет для показа прогноза погоды на странице, появляющейся при открытии новой вкладки. Для включения виджета в about:config предусмотрены настройки browser.newtabpage.activity-stream.showWeather и browser.newtabpage.activity-stream.system.showWeather.
  • В режиме приватного просмотра предоставлена возможность воспроизведения защищённого контента из стриминговых сервисов, таких как Netflix.
  • При работе через прокси с использованием протокола SOCKS5 по умолчанию включена отправка DNS-запросов тоже через прокси. Для SOCKS4 по-прежнему DNS-запросы отправляются через локальный резолвер.
  • Обеспечена отрисовка на лету различных видов контента с MIME-типами text/*, без необходимости предварительной загрузки подобных файлов перед просмотром.
  • Обновлён корневой сертификат, применяемый для верификации браузерных дополнений и контента, заверенного цифровой подписью Mozilla.
  • Добавлена поддержка экспериментального API IPA (Interoperable Private Attribution), предоставляющего рекламным сетям возможность получать и обрабатывать статистику об эффективности рекламных кампаний, соблюдая при этом конфиденциальность пользователей. Для исключения раскрытия данных о конкретных пользователях при обработке статистики применяются криптографические механизмы дифференциальной приватности и многосторонних конфиденциальных вычислений (MPC, Multi-Party Computation), позволяющие нескольким независимым участникам производить вычисления не получая информацию о чужих данных (web-сайты, браузеры и рекламодатели по отдельности не имеют доступ ко всей информации) и выполнять операции над зашифрованными данными. API доступен в режиме "origin trial" и может быть отключён в настройках конфиденциальности в секции "Website Advertising".
  • Добавлена поддержка увеличения или уменьшения размера объекта ArrayBuffer, а также увеличения размера объекта SharedArrayBuffer, что позволяет менять размер ArrayBuffer без создания нового буфер и переноса в него данных. Предложены новые методы ArrayBuffer.prototype.resize() и SharedArrayBuffer.prototype.grow().
  • В API WebRTC добавлен метод setCodecPreferences, позволяющий отключить определённые кодеки при согласовании соединения, а также изменить порядок предпочтения кодеков.
  • Значения в HTTP-заголовке Accept, передаваемые серверу при запросе документов и изображений, приведены к соответствию спецификации API Fetch и приближены к поведению других браузеров. В заголовке теперь передаётся "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8" (по сравнению с прошлой версией добавлено упоминание "image/png" и "image/svg+xml").
  • Добавлена поддержка интерфейса CSSPropertyRule, CSS-правила @property и метода registerProperty(), позволяющих регистрировать собственные CSS-свойства с наследованием, проверкой типов и значениями по умолчанию.
  • Добавлены методы Request.bytes() и Response.bytes(), позволяющие сформировать типизированный массив Uint8Array из объектов Request и Response.


  • В инструментах для web-разработчиков при наведении курсора на селектор CSS-правила реализован вывод всплывающей подсказки с информацией о специфичности CSS-правила, позволяющей понять почему заданное CSS-правило применено раньше другого правила.
  • В панели инспектирования теперь подсвечивается некорректное применение пользовательских CSS-свойств, если их определение не соответствует использованному значению. Например, ниже отмечена ситуация, когда в свойстве "--b" вместо размера указали цвет:
  • На платформе macOS для записи звука с микрофона при помощи API getUserMedia задействован предоставляемый системой движок обработки звука, позволяющий добиться более высокого качества.
  • В версии для Android на устройствах с Android 14 и более новыми версиями платформы разрешено создание и использования ключей Passkey в сторонних приложениях управления аутентификацией без паролей с использованием биометрических идентификаторов, таких как отпечаток пальца или распознавание лица.

Кроме новшеств и исправления ошибок в Firefox 128 устранено 20 уязвимостей. 8 уязвимостей помечены как опасные, из которых 6 вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

Источник: https://www.opennet.ru/opennews/art.shtml?num=61511

continue honked 09 Jul 2024 16:47 +0200

#bggp5 ещё решения для Binary Golf Grand Prix 5, теперь #python:

$ python3.10 print\(__import__\(\'urllib.request\',fromlist=\(None,\)\).urlopen\(chr\(47\).join\(\(\'https:\',\'\',\'binary.golf\',\'5\',\'5\'\)\)\).read\(\)\)
b'Another #BGGP5 download!! @binarygolf@haunted.computer https://binary.golf\n'

Подробности описал в своей #gemini капсуле:

=> gemini://any-key.press/esoteric/bggp5_pyc.gmi

opennet honked 09 Jul 2024 14:00 +0200

Выпуск эмутятора Box64 0.3.0, позволяющего запускать x86-игры на системах ARM64 и RISC-V

Опубликован выпуск эмулятора Box64 0.3.0, предназначенного для запуска Linux-программ, собранных для архитектуры x86_64, на оборудовании с процессорами ARM64, RISC-V и Loongarch64. Проект уделяет большое внимание организации запуска игровых приложений и предоставляет возможность запуска Windows-сборок через wine и Proton. Исходные тексты проекта написаны на языке Си и распространяются под лицензией MIT.

Особенностью проекта является применение гибридной модели выполнения, при которой эмуляция применяется только к машинному коду самого приложения и специфичных библиотек. Типовые системные библиотеки, включая libc, libm, GTK, SDL, Vulkan и OpenGL, подменяются на варианты, родные для целевых платформ. Таким образом, библиотечные вызовы выполняются без эмуляции, что позволяет добиться значительного увеличения производительности.

Эмуляция кода, для которого отсутствуют родные для целевой платформы замены, выполняется с использованием техники динамической перекомпиляции (DynaRec) из одного набора машинных инструкций в другой. По сравнению с интерпретацией машинных инструкций динамическая перекомпиляция демонстрирует в 5-10 раз более высокую производительность.

В новой версии:

  • Реализована поддержка процессорных расширений AVX, AVX2, BMI1, BMI2, ADX, FMA, F16C и RDRAND.
  • Добавлена переменная окружения BOX64_AVX, выставление 1 в которой включает поддержку AVX, BMI1, F16C и VAES, а в 2 - AVX2, BMI2, FMA, ADX, VPCLMULQDQ и RDRAND.
  • Добавлена поддержка динамической перекомпиляции (DynaRec) AVX, AVX2 и подобных инструкций в представление на базе инструкций NEON, предоставляемых в CPU на базе архитектуры ARM64.
  • Добавлена начальная поддержка перекомпиляции инструкций SIMD в инструкции RVV на системах RISC-V.
  • Проведена оптимизация механизма DynaRec, добавлена поддержка новых покодов для RISC-V и Loongarch64.
  • Обновлён список опкодов CPUID, по умолчанию вместо Pentium IV через CPUID теперь выдаётся CPU серии Haswell.
  • Добавлена поддержка Wayland и предосатвлена возможность динамической перекомпиляции связанных с Wayland библиотек, что позволило добиться совместимости с Wine-wayland.
  • Расширено число поддерживаемых игр, например, добавлена совместимость с игрой Death Stranding. Обеспечено определение использования библиотеки UnityPlayer.dll в запускаемых в Wine программах и автоматическое выставление параметра BOX64_DYNAREC_STRONGMEM=1.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61510

opennet honked 09 Jul 2024 13:00 +0200

Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода

В процессе изучения выявленной на прошлой неделе критической уязвимости в OpenSSH, обнаружена ещё одна похожая уязвимость (CVE-2024-6409), позволяющая добиться удалённого выполнения кода без прохождения аутентификации. Новая уязвимость не столь опасна как прошлая, так как проявляется после сброса привилегий в запущенном SSH-сервером дочернем процессе. Уязвимость присутствует в пакетах openssh из дистрибутива Red Hat Enterprise Linux 9, основанных на опубликованном в 2021 году выпуске OpenSSH 8.7. Проблема также затрагивает пакеты для Fedora Linux 36 и 37, основанные на выпусках OpenSSH 8.7 и 8.8.

По своей сути уязвимость аналогична прошлой проблеме и также вызвана состоянием гонки в обработчике прерывания SIGALRM, возникающем из-за выполнения функций, не рассчитанных на вызов в асинхронном режиме из обработчиков сигналов. Обработчик срабатывает при наступлении таймаута, определённого через параметр LoginGraceTime, и прерывает текущее выполнение кода. Использование в обработчике прерываний не рассчитанных на асинхронное выполнение функций, в которых применяется динамическое выделение памяти, таких как syslog(), может привести к повреждению внутренних структур malloc при срабатывании SIGALRM во время выполнения определённого кода.

Новая уязвимость отличается тем, что состояние гонки возникает из-за вызова в обработчике сигнала grace_alarm_handler() функции cleanup_exit(). В основной кодовой базе OpenSSH данная функция может использоваться в асинхронно выполняемом коде, но в пакетах к RHEL 9 и Fedora был применён дополнительный патч, добавляющий в cleanup_exit() вызов функции для генерации событий аудита, на рассчитанной на использование в обработчиках сигналов.

Данный патч использовался в RHEL 9 и производных дистрибутивах в пакетах, основанных на OpenSSH 8.7p1. В актуальных выпусках Fedora проблема не проявляется, так как начиная с Fedora 38 дистрибутив перешёл на более новую версию OpenSSH без изменения cleanup_exit(). В отличие от прошлой уязвимости, для блокирования новой проблемы не подходит обходной способ защиты, основанный на использовании в sshd опции "-e", отключающей вывод лога через syslog. Но при этом для блокирования уязвимости в sshd_config можно выставить параметр "LoginGraceTime=0".

Источник: https://www.opennet.ru/opennews/art.shtml?num=61509

contrinitiator honked 09 Jul 2024 09:56 +0200

Ещё одна особенность поздней электрички - проезжали погрузку или разгрузку столыпинского вагона.
Представляю, какой здец там творится, совсем рядом со свободными пассажирами мучают и издеваются над загнанными в почти рабское состояние (при этом я не уверен, что люди там по своим человеческим качествам хуже тех, кто с другой стороны).
Конечно, я радуюсь, что не там, хотя тяжело порой и в гражданском вагоне, особенно в жару и в выходные, да и свобода пассажира довольно условна, особенно когда идёшь в толпе по вокзальной "кишке" окружённый безопасниками, вооружённых видеорегистраторами и спецсредствами.

continue bonked 09 Jul 2024 08:37 +0200
original: FediFollows@social.growyourown.services

#BSD picks of the day:

➡️ @netbsd - Free open source operating system available for many different types of hardware

➡️ @openbsdnow - Unofficial OpenBSD news

➡️ @bsdfund - Raising money for BSD events, hardware & development

➡️ @EuroBSDCon - BSD conference in Europe for users & devs

➡️ @bsdcan - Conference in Canada for BSD-based operating systems & related projects

➡️ @bsd_nl - BSD community in the Netherlands

➡️ @bsd - Unofficial bot posting links to BSD security advisories

🧵 1/2

opennet honked 09 Jul 2024 00:00 +0200

Выпуск отладчика GDB 15

Представлен релиз отладчика GDB 15.1 (первый выпуск серии 15.x, ветка 15.0 использовалась для разработки). GDB поддерживает отладку на уровне исходных текстов для широкого спектра языков программирования (Ada, C, C++, D, Fortran, Go, Objective-C, Modula-2, Pascal, Rust и т.д.) на различных аппаратных (i386, amd64, ARM, Power, Sparc, RISC-V и т.д.) и программных платформах (GNU/Linux, *BSD, Unix, Windows, macOS).

Ключевые улучшения:

  • Для сборки GDB и GDBserver теперь необходим компилятор, поддерживающий C++17 (как минимум GCC 9).
  • Внесены улучшения в Python API. Добавлены функции gdb.notify_mi, gdb.missing_debug.register_handler и gdb.interrupt, класс gdb.missing_debug.MissingDebugInfo, модуль db.missing_debug, атрибуты gdb.Value.bytes и gdb.InferiorThread.ptid_string, константы gdb.SYMBOL_TYPE_DOMAIN, gdb.SYMBOL_FUNCTION_DOMAIN и gdb.SEARCH_*_DOMAIN. В объектах gdb.Inferior и gdb.InferiorThread реализована возможность добавления пользовательских атрибутов.
  • Продолжена реализация протокола DAP (Debugger Adapter Protocol). Добавлена команда "set debug dap-log-level" для управления ведением логов для DAP. Добавлена поддержка запроса "cancel" и возможность формирования события "process".
  • В протокол удалённой отладки добавлена поддержка пакетов QThreadOptions и qIsAddressTagged, а также реализована команда "set/show remote thread-options-packet".
  • В GDBserver прекращена поддержка опций "--remote-debug" и "--event-loop-debug", а также команд 'monitor set remote-debug' и 'monitor set event-loop-debug', вместо которых в опции "--debug" реализована возможность передачи разделённого запятыми списка компонентов для отладки (all, threads, event-loop и remote). Аналогично возможность указания компонентов реализована в команде 'monitor set debug'.
  • В индекс добавлена информация о функции main, что позволяет ускорить запуск при использовании с некоторыми большими исполняемыми файлами.
  • Объявлены устаревшими MPX-команды "show/set mpx bound", поддержка которых прекращена Intel в 2019 году.
  • Добавлены новые команды:
    • "set/show direct-call-timeout"
    • "set/show indirect-call-timeout"
    • "set/show unwind-on-timeout on|off"
    • "set/show unwind-on-signal on|off"
  • В командах "gcore" и "generate-core-file" добавлена поддержка оптимизации хранения пустых областей в генерируемых core-файлах.


Источник: https://www.opennet.ru/opennews/art.shtml?num=61507