Game of Trees 0.126 released

Тест...

UPD:

• Странно.... как будто #honk не рассылает новые посты другим серверам...
• Откатился к honk-1.5.1: не помогло. Вернул обратно версию 1.5.2
• Посты с других серверов приходят. Но сервер honk упорно не рассылает посты: я, например, не вижу новые посты от https://honk.any-key.press/u/opennet
• Запустил honk в консоли (с аргументом -debug): когда правлю пост никакой отладочной печати о том, что идёт рассылка кому бы то ни было нет. Ошибок тоже нет :(
• Пробовал откатиться до go-1.25.1 -- нет эффекта. Вернул обратно.

Основной репозиторий хонка (https://humungus.tedunangst.com/r/honk) недоступен: у меня нет идей как дальше отлаживать эту проблему.
UPD2: Нашел тарбол исходников хонка в артефактах сборки на французском зеркале OpenBSD: https://ftp.fr.openbsd.org/pub/OpenBSD/distfiles/honk-1.5.2.tgz
Сохранил копию себе (на всякий случай): https://ftp.any-key.press/honk-1.5.2.tgz
Хэш и размер совпадет с указанными в ports/www/honk/distinfo:

$ openssl dgst -sha256 -binary honk-1.5.2.tgz | openssl base64
7dIui+VMHn916yMdhqN6Pk2P/s0vvXzVKFsTZ5wp12A=

Осталось теперь только найти время собрать и по-отлаживать сервер.

UPD3: Кажется нашёл суть проблемы. Встроенный в #golang резолвер имён не работает, например так:

DEBUG failed to post json inbox=https://metalhead.club/inbox err="Post \"https://metalhead.club/inbox\": dial tcp: lookup metalhead.club: no such host"

Что бы заставить программу резолвить сетевые имена стандартными функциями ОС нужно при сборке добавить опцию -tags netcgo:

-       env CGO_ENABLED=1 go build -mod=`ls -d vendor 2> /dev/null` -o honk
+       env CGO_ENABLED=1 go build -tags netcgo -mod=`ls -d vendor 2> /dev/null` -o honk

Что бы не нагружать сеть оставлю работать хонк на ночь. Если я правильно понял, то часов через 9 должна разобраться таблица повторной отправки.

Сообщения от @opennet прокилял, должны приходить только новые.

P.S. В случае необходимости для связи со мной можно использовать почту: continue(собака)to.any-key.press

Стоит ли говорить о революционности воззрений Толстого в современном капиталистическом обществе, где и без того царит культ продуктивности и "достигаторства", ну а в России, на фоне войны, демографической ситуации, санкций и нарастающего пиздеца в экономике законодательно увеличивают лимиты сверхурочной работы, олигархи призывают трудиться 6 дней в неделю (прибавочная стоимость, как говорится, сама себя не прибавит) и появляются скрытые формы принудительного труда (отработка студентов медвузов)? Наша история снова вернулась в то состояние, когда даже 6-часовой рабочий день кажется утопией, не то что посткапиталистическое общество без труда как такового.

Самым сложным в новом восхождении на "Перунову" гору было смотреть под ноги, чтобы не услышать под ботинками хруст улиточьих панцирей. Ну и главная новость в том, что в мокрых низменных смешанных лесах, которыми поросла некогда стоявшая тут усадьба, уже КОМАРЫ!
Стоят ветреные дни - озёра в окнах электрички шли белыми бурунами, облака стремительно неслись на низком небе, но и на вершине духи воздуха были явно в ударе: такого постоянно сильного напора Ветра я не припомню, он буквально вырывал кружки с сакральными напитками из рук.
После нашего последнего визита природа явно взяла своё: изрытая и истерзанная рабочей техникой вершина поросла деревьями: пока крошечными дубками, берёзками, а также рябиной и многочисленными кустами дикой малины, между которыми недавно бродили лоси. Надо будет наведаться сюда осенью, которая наверняка порадует обильным урожаем.
Про это таинственное место нет никаких исторических свидетельств, и ничем оно не примечательно, но зато чувствуется, как всё вокруг живое и яростное, и именно там был недавно получен опыт необъяснимого, а сакральную географию стоунхенджей перешейка ещё предстоить выявить нам, практикам ландшафтного спиритизма.

#ЛенинградНутряной

В субботу вечером во двор с трудом въехал громадный грузовик с поддонами, а потом допоздна что-то усиленно и громко долбали. Что же это было, терялмя я в догадках? Оказывается, будут менять плитку!
Безумие.

Вот идёшь обычно - о, тут была пивнуха, а здесь ларёк стоял. А теперь что там? Какой-то "спортклуб такого-то района", поставили заборчик, все играют в волейбол, забеги устраивают. Ну хрен его знает, ребята. Неужели это потому что родное государство заботится о нашем здоровье? Очевидно же, что эта мысль бредовая, и сразу её от себя гоню.

GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость

Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость

Flipper One - устройство-мультитул для хакеров с AI-движком, Wi-Fi рутером и сетевым анализатором

Демка на 16 байт, которая воспроизводит визуальные (текстовые) и звуковые эффекты. Обожаю такое.

wake up! 16b

In the demoscene, exploring what can be achieved within extreme constraints is a rewarding technical challenge. The following 16 bytes of x86 real-mode DOS assembly code represent a careful exercise in algorithmic density. When executed, it utilizes the computer's video memory as a calculation space to draw an infinite Sierpinski fractal, while simultaneously interpreting that geometry as audio data.

https://www.youtube.com/watch?v=MvycyU-kLjg

P.S. Что бы объяснить 16 байт машинного кода автору понадобилось более 9 тысяч символов текста (и ещё не стоит забывать про иллюстрации):

$ w3m https://hellmood.111mb.de/wake_up_16b_writeup.html -dump | wc -c
9943

(#demoscene)

В кое-каком районе кое-что в деревьях вызвало переполох.
Накануне в медиа рассказали об эвакуации жителей многоквартирного дома.
Фиксируется перекрытие движения. На месте работают оперативные службы.
В пресс-службе администрации района вопреки обыкновению ничего не сообщили о случившемся. В МЧС сказали, что вопрос не по адресу. В Росгвардии дали похожий ответ: случившееся не в их компетенции.

(#новояз)

Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов

Выпуск композитного сервера Wayland Maker 0.8

Релиз полностью свободного Linux-дистрибутива PureOS 11, используемого на смартфонах Librem

Цветёт всё как в последний раз, перед закрытием проекта!

Незаконно подключён к объектам жизнеобеспечения.

(#новояз)

Представлен обновлённый интерфейс Firefox

Релиз OpenBSD 7.9

Выпуск браузера Vivaldi 8.0

А у меня небольшой анонс!

В эту субботу, 23 мая в 17:15, я в поучаствую в ещё одной дискуссии, посвящённой видеоиграм и архитектуре: "Виртуальная архитектура: видеоигры как вызов архитекторам и музейщикам". Поговорим о влиянии игр и видеоигровой архитектуры на наше восприятие повседневности, о том как игры могут помочь сохранять культурное и архитектурное наследие, и как музеям и видеоиграм предстоит сотрудничать без конкуренции, чтобы обмениваться аудиторией и формировать новый взгляд на пространство.

Разговор в Инженерном корпусе Третьяковской галереи, так что если возникали сомнения, что игры - серьёзный медиум, давно проникший во все области, а классические институции формата музеев - слишком консервативны для игр, то эта дискуссия - отличный способ их развеять. В качестве иллюстрации к посту - мой снимок Индики, потому что невозможно говорить о сохранении наследия посредством видеоигр, не упоминая её.

Буду рада всех увидеть и поболтать :blobfoxbongo:
https://intermuseum.culture.ru/tproduct/1-602941092322-virtualnaya-arhitektura-videoigri-kak-vi

Релиз дистрибутива Red Hat Enterprise Linux 10.2

Пакеты RHEL не размещены в публичном репозитории git.centos.org и предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, загруженных через клиентский портал, что создаёт юридические риски при использовании этих пакетов для создания производных дистрибутивов. Исходные тексты RHEL остаются доступны в репозитории CentOS Stream, но он не полностью синхронизирован с RHEL и версии пакетов в нём не всегда совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.

Обновлял вчера опёнка (до 7.9) на ноуте: отвалился openvpn до офиса.
В логах была ошибка, что на сервере используется TLS 1.0, а моя обновлённая ОС такое уже не поддерживает. Нашел в описании выпуска LibreSSL 4.3.1 следущее:

- In addition to what was done in LibreSSL 4.0 for the version handling, disable TLSv1.1 and lower also on the method level.

Благо в портах есть openvpn-mbedtls, установка которого решила проблему.

Сегодня попробую попинать людей, отвечающих за серверную инфраструктуру на работе. Ну негоже в 2026-ом TLS 1.0 использовать.

(#openbsd #openvpn #libressl)

Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 9.4, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

В Fedora решено удалить пакеты со средой рабочего стола Deepin

Создан виртуальный музей операционных систем

Для загрузки доступны две версии: полная (121 ГБ zip), включающая всю коллекцию из примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная (14G), содержащая только Linux-систему, инсталлятор, набор эмуляторов и графическое приложение для динамической загрузкой выбранных системных образов операционных систем . Поддерживается загрузка виртуальной машины в QEMU, VirtualBox и UTM.

Все элементы коллекции преднастроены и готовы к ознакомительному запуску. Поддерживается откат окружений с тестируемыми ОС к исходному состоянию для восстановления работы в случае повреждения системы в ходе экспериментов. Графическое приложение, скрипты и метаданные распространяются под лицензией CC-BY-NC-SA, допускающей использование в некоммерческих целях.

Самый ранний экземпляр коллекции датирован 1948 годом (компьютер Manchester Baby). Для тестирования также доступны:

• Scheme A - первая ОС, выпущенная в 1951 году.
• IBM IBSYS, 1410 OS и 1410 POS, первые ОС от IBM, созданные с 1960 по 1971 год.
• B5000 MCP - первая ОС на высокоуровневом языке.
• CTSS - первая многопользовательская ОС (1961-72).
• Multics - первая ОС с иерархической файловой системой (1964), предок Unix.
• Различные ранние версии Unix (PDP-7 Unix "V0", PDP-11 Unix V1).
• ОС для мэйнфреймов.
• Xerox Alto OS и Smalltalk (1976-81) - первая ОС для рабочих станций и первый оконный графический интерфейс.
• Xerox ViewPoint/GlobalView - первый графический интерфейс с концепцией рабочего стола.
• Visi On (1983) - первый GUI для ПК.
• Разные редакции CP/M и DOS.
• Apple Lisa OS (1983-84) - первая графическая ОС от Apple, плюс разные ранние версии Mac OS и NeXTStep.
• Пререлизы старых ОС Windows.
• EPOC, Palm OS - ОС для первых карманных ПК.
• Linux-дистрибутивы 1990-х и 2000-х годов.
• Ранние версии Android (2007-11).
• Операционные системы, развиваемые энтузиастами.

Создан виртуальный музей операционных систем

Для загрузки доступны две версии: полная (121 ГБ zip), включающая всю коллекцию из примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная (14G), содержащая только Linux-систему, инсталлятор, набор эмуляторов и графическое приложение для динамической загрузкой выбранных системных образов операционных систем . Поддерживается загрузка виртуальной машины в QEMU, VirtualBox и UTM.

Все элементы коллекции преднастроены и готовы к ознакомительному запуску. Поддерживается откат окружений с тестируемыми ОС к исходному состоянию для восстановления работы в случае повреждения системы в ходе экспериментов. Графическое приложение, скрипты и метаданные распространяются под лицензией CC-BY-NC-SA, допускающей использование в некоммерческих целях.

Самый ранний экземпляр коллекции датирован 1948 годом (компьютер Manchester Baby). Для тестирования также доступны:

• Scheme A - первая ОС, выпущенная в 1951 году.
• IBM IBSYS, 1410 OS и 1410 POS, первые ОС от IBM, созданные с 1960 по 1971 год.
• B5000 MCP - первая ОС на высокоуровневом языке.
• CTSS - первая многопользовательская ОС (1961-72).
• Multics - первая ОС с иерархической файловой системой (1964), предок Unix.
• Различные ранние версии Unix (PDP-7 Unix "V0", PDP-11 Unix V1).
• ОС для мэйнфреймов.
• Xerox Alto OS и Smalltalk (1976-81) - первая ОС для рабочих станций и первый оконный графический интерфейс.
• Xerox ViewPoint/GlobalView - первый графический интерфейс с концепцией рабочего стола.
• Visi On (1983) - первый GUI для ПК.
• Разные редакции CP/M и DOS.
• Apple Lisa OS (1983-84) - первая графическая ОС от Apple, плюс разные ранние версии Mac OS и NeXTStep.
• Пререлизы старых ОС Windows.
• EPOC, Palm OS - ОС для первых карманных ПК.
• Linux-дистрибутивы 1990-х и 2000-х годов.
• Ранние версии Android (2007-11).
• Операционные системы, развиваемые энтузиастами.

Релиз Firefox 151

Основные новшества в Firefox 151 (1, 2, 3, 4):

• Обновлено оформление страницы, показываемой при открытии новой вкладки (логотип перемещён в центр, смещена вниз строка поиска, включено фоновое изображение, которое можно сменить в настройках). Новый дизайн оптимизирован для интеграции на страницу новых возможностей (например, виджеты и улучшение работы с ярлыками), включение которых ожидается в следующем релизе.
• В режиме приватного просмотра реализована новая кнопка "End Private Session" (пиктограмма с изображением огня справа от адресной строки), через которую можно мгновенно очистить все данные текущего приватного сеанса, не закрывая при этом окно браузера (сайты, до этого открытые в режиме приватного просмотра, закрываются и остаётся пустой сеанс).
• Во встроенном просморщике PDF реализована функция объединения нескольких страниц в документе.
• Встроенный интерфейс перевода с одного языка на другой теперь доступен для вызова через секцию "More Tools" в основном меню.
• Строка поиска в конфигураторе (about:preferences) расширена и теперь занимает всю доступную ширину.
• В сборках для Linux реализована поддержка резервного копирования профилей, позволяющая сохранить выбранный профиль в файл, после чего использовать этот файл для восстановления настроек на другой системе. Ранее данная функция была доступна только в Windows.
• При переносе каталога с профилем Firefox в другие части ФС или на системы с другими операционными системами обеспечено восстановление установленных дополнений и тем оформления.
• Усилена защита от скрытой идентификации пользователя (Fingerprinting Protection), применяемая при включении стандартной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Standard). Отмечается, что внесённые изменения позволили в среднем на 14% (49% для macOS) снизить долю пользователей, идентифицируемых с помощью типовых методов скрытой идентификации по сравнению с ранее имевшейся защитой.
• В интегрированный бесплатный VPN-сервис Firefox VPN добавлена возможность выбора страны используемого VPN-сервера. Сервис позволяет обращаться к сайтам не напрямую, а через промежуточные прокси-серверы в разных странах, скрывающие IP-адрес пользователя. Имеется возможность включать VPN только для выбранных сайтов. Для активации VPN необходима регистрация учётной записи в Mozilla. В VPN-сервисе действует ограничение в 50 гигабайт трафика в месяц.
• При запросе web-приложением доступа к данным о местоположении на платформе Windows теперь учитываются системные настройки предоставления подобного доступа.
• Добавлена возможность использования API Web Serial для управления микроконтроллерами, подключаемыми через последовательный порт. Например, после подтверждения полномочий можно из web-приложения программировать ESP чипы, платы Raspberry Pi Picos, 3D-принтеры и оборудование с ЧПУ. API Web Serial также можно использовать в браузерных дополнениях, но не из контекста moz-extension.
• Для всех пользователей включено применение спецификации LNA (Local Network Access) для ограничения обращений к локальной системе (loopback, 127.0.0.0/8) или внутренней сети (192.168.0.0/16, 10.0.0.0/8 и т.п.) при взаимодействии с публичными сайтами. Для обращения к внутренним ресурсам пользователь должен предоставить web-приложению специальные полномочия, так как подобная активность используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети. Ранее подобная защита действовала только при включении режима усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict).
• Реализован API Fullscreen Keyboard Lock, добавляющий в метод requestFullscreen аргумент keyboardLock, позволяющий полноэкранным web-приложениям перехватывать обработку некоторых клавиш и клавиатурных комбинаций, например, можно перехватить обработку нажатия на клавишу Esc (в этом случае для выхода из полноэкранного режима потребуется не нажатие, а удержание Esc).
• Улучшена отрисовка элементов с абсолютным позиционированием внутри многоколоночных блоков или при выводе на печать.
• В правилах "@container" разрешено одновременное перечисление нескольких условий по аналогии с медиа-запросами.
• Внутри правил @container разрешено использование функции style() для проверки вычисленных значений CSS-свойств контейнера.
• Добавлено свойство CSSContainerRule.conditions, содержащие список всех условий контейнерного запроса. Старые свойства CSSContainerRule.containerName и CSSContainerRule.containerQuery объявлены устаревшими.
• Изменено поведение якорного позиционирования в CSS (CSS Anchor Positioning). Свойство position-anchor теперь по умолчанию принимает значением "normal", а при использовании свойства position-area неявные якоря применяются автоматически. Всплывающие окна (popovers), использующие anchor() или anchor-center, теперь требуют явного указания свойства "position-anchor: auto".
• Добавлена поддержка API Document Picture-in-Picture для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через новый API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.
• В API Permissions обеспечена корректная обработка временных полномочий, предоставленных сайту.
• Предоставлена возможность использования декларативного синтаксиса для определения того, как элементы распределяются в слоты внутри Shadow DOM.
• В Firefox для Android добавлена поддержка быстрого переключения между вкладками, используя вертикальный скользящий жест в области панели. В конфигуратор по аналогии с десктоп-версией добавлен переключатель для отключения всех функций, использующих AI, а также реализованы настройки для выборочного включения отдельных AI-функций.

Кроме новшеств и исправления ошибок в Firefox 151 устранено 154 уязвимости (65 собрано под CVE-2026-8973, 54 под CVE-2026-8974 и 7 под CVE-2026-8975). 146 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В ночных сборках Firefox началось тестирование переделанного интерфейса конфигуратора, в котором расширены средства для поиска настроек, улучшена навигация, обновлены метки и описание настроек.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65481

#сегодня в городе удивительный коктейль запахов: цветут барбарис, акация и сирень.
И это буквально какие-нибудь сотни метров от метро до офиса.

(#спб)

Как деревенский простак в сказке, который всеми силами старался вызвать нечистого, а когда тот явился ему, -- лишился языка от страха и со всех ног бросился бежать; так и знатные господа Франции: на протяжении многих лет они нарушали все заповеди, читали отче-наш наоборот, творили бесовские заклинания и всячески вызывали дьявола, а когда он явился им во всей своей адской силе, бросились бежать без оглядки, не помня себя от страха.

Чарльз Диккенс. Повесть о двух городах

cc: @litclub

(#чтопочитать #федичитает)

Атакующие получили доступ к внутренним репозиториям GitHub и OpenAI

Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).

Дополнительно стоит упомянуть компрометацию 11 мая двух рабочих станций сотрудников компании OpenAI, установивших вредоносные обновления NPM-пакетов TanStack, содержащие саморастространяющийся червь. Вредоносные версии были опубликованы в результате атаки на процесс формирования релизов на базе GitHub Actions в проекте TanStack. В результате активности червя на сервер злоумышленников были отправлены учётные данные и ключи доступа, находящиеся на скомпрометированных компьютерах сотрудников OpenAI. Отмечается, что у скомпрометированных систем был ограниченный доступ к некоторым внутренним репозиториям OpenAI, в которых среди прочего хранились сертификаты для формирования цифровых подписей к продуктам для платформ Windows, macOS, iOS и Android. После выявления проблемы в OpenAI был инициирован процесс замены сертификатов, используемых для заверения цифровой подписью ChatGPT Desktop, Codex App, Codex CLI и Atlas.

Интересно, что это не первый подобный инцидент в OpenAI - системы сотрудников данной компании также были поражены вредоносным ПО в апреле после установки вредоносного релиза NPM-пакета Axios, который атакующим удалось опубликовать в результате перехвата учётных данных главного сопровождающего. После данного инцидента на компьютерах разработчиков была реализована защита от установки вредоносных зависимостей, но на системы сотрудников, впоследствии скомпрометированных через TanStack, её не установили.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65484

Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 26

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 26.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Задействована новая система сборки на базе инструментария Chisel, позволяющего разделять и урезать Debian-пакеты с целью поставки только наиболее необходимых файлов. Chisel даёт возможность манипулировать не целыми пакетами, а слайсами (подмножеством пакетов) - наборами файлов, формируемых на основе содержимого и метаданных пакета. Каждый слайс может иметь своё содержимое и свой набор зависимостей, привязанный к другим слайсам. Каждый файл в файловой системе Ubuntu Core теперь привязан к слайсу и пакету с исходным кодом, что улучшает проверку целостности и отслеживания уязвимостей. Применение новой системы сборки позволило уменьшить размер базового системного образа на 7%.
• Сокращено время установки обновлений за счёт применения формата snap-delta для уменьшения размера загружаемых данных для большинства snap-пакетов. Например, размер файлов с обновлением базовых snap-пакетов сократился с 16 до 1.5 МБ.
• Обеспечено выполнение требований европейского закона CRA (Cyber Resilience Act), который вводит юридическую ответственность за несоблюдение требований безопасности.
• Добавлена возможность применения технологии Livepatch для внесения исправлений в работающее ядро Linux без перезагрузки и без остановки работы приложений.
• Обеспечена интеграция с инструментарием COS (Canonical Observability Stack), основанным на движке оркестровки Juju и платформе Kubernetes. Ubuntu Core теперь может передавать логи и метрики в централизованные системы мониторинга на базе Grafana, Loki и Prometheus.
• Добавлена поддержка компонентов, позволяющих разработчикам snap-пакетов распространять дополнительные крупные или не обязательные ресурсы, такие как отладочные данные, файлы с переводами и необязательные драйверы, отдельного от основного snap-пакета для сокращения размера базовой установки. Компонент формируется как образ в формате squashfs, монтируемый в окружение snap-пакета.
• В Snapd REST API обеспечена совместимость со спецификацией OpenAPI.
• В дисплейный сервер Ubuntu Frame, позволяющий создавать встраиваемые графические окружения (интернет-киоски, терминалы самообслуживания, информационные стенды, цифровые вывески), добавлена возможность размещения интерфейса нескольких приложений на одном экране. Добавлена возможность использования в приложениях GPU-ускорения.
• Добавлена системная настройка interface.allow-auto-connection для определения правил автоматического подключения интерфейсов.
• Добавлена поддержка механизма Confdb для централизованного определения настроек, не привязанных к конкретным snap-пакетам и устройствам.
• Из базового набора snap-пакетов исключён интерпретатор Python, который теперь следует устанавливать в форме отдельного плагина.

OpenBSD 7.9 Released

The OpenBSD project has announced OpenBSD 7.9, its 60^th release.

The new release contains a number of significant improvements, including but certainly not limited to:

• MAXCPU value on OpenBSD/amd64 increased to 255 [See earlier report]
• Preparations for supporting 52 disk partitions [See earlier report]
• Introduced selective blocking of cores from the scheduler with sysctl hw.blockcpu [See earlier report]
• Delayed hibernation support on OpenBSD/amd64 laptops [See earlier report]
• On amd64, implemented delayed hiberation [See earlier report]
• Parallel fault handling enabled on amd64 and arm64 platforms
• drm(4) code updated to linux 6.18.16 [See earlier report]
• Added sysctl(8) machdep.vmmode to indicate status as a host or guest [See commit]
• Added vmboot (on amd64), a tiny kernel for booting SEV VMs, which allows sysupgrade(8) to work [See commit]
• Made OpenBSD run as a guest under Apple Hypervisor [See earlier report]
• Converted vmd(8)'s virtio scsi device to a subprocess [See earlier report]
• Added nhi(4), a driver for USB4 controllers, which allows modern laptops with AMD CPUs to reach the appropriate low power idle states during S0ix suspend. [See commit]
• Added basic implementation of the low-level FUSE API
• Improved sysugprade(8) handling of low disk space in /usr [See earlier report]
• fw_update(8) now checks dmesg(8) output in addition to dmesg.boot [See earlier report]
• On amd64, added support for loading kernels from the EFI system partition [See commit]
• The pledge(2) "tmppath" promise has been retired [See earlier reports]
• Enabled IPv6 autoconf [SLAAC] by default in installer [See commit]
• Private VLAN (PVLAN) support added to veb(4) [See commit]
• LACP support removed from trunk(4) [See earlier report]
• Multiple pf(4) enhancements:
  • Source and state limiters introduced [See earlier report]
  • Print both nat-to and rdr-to in pfctl -s rules
• Added httpd.conf(5) "no banner" configuration directive to suppress generation of "Server" header [See commit]
• In relayd(8), added support for PROXY protocol in TCP relays
• In acme-client(1), added support for IP Address certificates
• OpenBGPD 9.1 [See earlier reports on releases of versions 9.0 & 9.1]
• rpki-client 9.8 [See earlier reports on releases of versions 9.7 & 9.8]
• LibreSSL 4.3.1 [See earlier report]
• OpenSSH 10.3 [See earlier report]
  • Several security enhancements were added
  • Added ssh(1) escape ~I showing information about the current SSH connection [See commit]
• chromium (and derivatives) gained VA-API support [See earlier report]
• chromium (and derivatives) gained (Open) Widevine support support [See earlier report]

See the full changelog for more details of the changes made over this latest six month development cycle.

The Installation Guide details how to get the system up and running with a fresh install, while those who already run earlier releases should follow the Upgrade Guide, in most cases using sysupgrade(8).

Readers are encouraged to celebrate the new release by donating to the project to support further development of our favourite OS!

Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux

Ветка Azure Linux 4 отмечена как находящаяся в процессе разработки. Для рабочих внедрений рекомендуется использовать ветку Azure Linux 3. Готовые сборки пока не предоставляются, но имеется инструкция по сборке. Специфичные для дистрибутива изменения поставляются под лицензией MIT.

При формировании дистрибутива вместо создания форка Fedora в Azure Linux 4 применён декларативный подход, позволяющий пересобирать RPM-пакеты с необходимыми изменениями и настройками из штатных репозиториев Fedora, используя конфигурационные файлы в формате TOML. Дополнительная функциональность определяется в форме оверлеев, позволяющих генерировать специфичные для Azure Linux spec-файлы пакетов на основе штатных SRPM-пакетов из Fedora Linux. Оверлеи определяют изменения, вносимые поверх пакетов Fedora, такие как дополнительные конструкции в spec-файлах, патчи и параметры сборки.

Пакетной единицей в Azure Linux 4 являются "компоненты" (исходный пакет), которые по большей части импортируются из Fedora через dist-git и могут формировать один или несколько RPM-пакетов. Все компоненты собираются из исходного кода, бинарные пакеты из Fedora не переносятся. Для генерации результирующих RPM-пакетов на основе оверлеев применяется инструментарий azldev, написанный на языке Go и поставляемый под лицензией MIT.

Из особенностей Azure Linux 4 отмечается поставка ядра Linux с дополнительными оптимизациями, защита от атак через зависимости (supply chain), предсказуемый цикл поддержки и выпуска обновлений, встроенные возможности для интеграции с облаком Azure, изменения для усиления безопасности. Система сборки Azure Linux позволяет генерировать как установочные окружения с RPM-пакетами, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа.

Из применяемых в Azure Linux мер по повышению безопасности:

• Фильтрация системных вызовов при помощи механизма seccomp.
• Шифрование дисковых разделов.
• Верификация пакетов по цифровой подписи.
• Рандомизация адресного пространства.
• Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
• Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
• Опция для запрета загрузки модулей ядра после инициализации системы.
• Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
• Поставка минимально необходимых пакетов, без активации лишних сервисов.