Обновление дистрибутива для одноплатных ПК DietPi 9.12
Сформирован выпуск DietPi 9.12, дистрибутива для одноплатных ПК на базе архитектур ARM и RISC-V, таких как Raspberry Pi, Orange Pi, NanoPi, BananaPi, BeagleBone Black, Rock64, Rock Pi, Quartz64, Pine64, Asus Tinker, Odroid и VisionFive 2. Дистрибутив построен на пакетной базе Debian и доступен в сборках для более, чем 50 плат. DietPi также может применяться для создания компактных окружений для виртуальных машин и обычных ПК на базе архитектуры x86_64. Сборки для плат отличаются небольшим размером (в среднем 130 МБ) по сравнению с Raspberry Pi OS и Armbian. Инструментарий для сборки и сопровождения дистрибутива распространяется под лицензией GPLv2.
Проект оптимизирован для минимального потребления ресурсов и развивает несколько собственных утилит: интерфейс для установки приложений DietPi-Software, конфигуратор DietPi-Config, система резервного копирования DietPi-Backup, механизм ведения временных логов DietPi-Ramlog (также поддерживается rsyslog), интерфейс для установки приоритетов выполнения процессов DietPi-Services и система доставки обновлений DietPi-Update. Утилиты предоставляют консольный интерфейс пользователя с меню и диалогами на базе whiptail. Поддерживается режим полной автоматизации установки, позволяющий провести инсталляцию на платы без участия пользователя.
Среди изменений:
- В интерфейс DietPi-Software в список предлагаемых для установки приложений добавлен пакет Fish, который теперь можно использовать в качестве альтернативной командной оболочки.
- В скриптах DietPi при открытии текстовых файлов вместо редактора nano задействован вызов обработчика sensible-editor, использующий функциональность update-alternatives для выбора редактора на свой вкус (например, можно выбрать vim).
- В DietPi-Backup добавлена поддержка сохранения резервных копий на внешний хост при помощи SSHFS.
- Amiberry (эмулятор Amiga) обновлён до версии 7. Добавлен вариант Amiberry-Lite, рекомендуемый для плат ARM и RISC-V, отстающих по производительности от Raspberry Pi 4.
- В WiringPi (библиотека для GPIO) добавлена поддержка плат Orange Pi.
- В Spotify-клиент Spotifyd добавлена поддержка систем ARMv8 и x86_64.
- В RPi.GPIO (GPIO-библиотека для Raspberry Pi) для взаимодействия с
GPIO задействован пакет python3-rpi-lgpio.
- В системе блокирования рекламы Pi-hole включён приём HTTPS-запросов на сетевом порту 8489.
- Решены проблемы в приложениях DietPi-Config, O!MPD и FreshRSS.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63107
Выпуск СУБД MySQL 9.3.0
Компания Oracle сформировала новую ветку СУБД MySQL 9.3.0. Сборки MySQL Community Server 9.3.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. В соответствии с внедрённой в 2023 году новой моделью формирования релизов, MySQL 9.3 отнесён к веткам "Innovation". Innovation-ветки рекомендованы для тех, кто хочет раньше получать доступ к новой функциональности, публикуются каждые 3 месяца и поддерживаются только до публикации следующего значительного релиза (например, после появления ветки 9.3 прекращена поддержка ветки 9.2). Летом планируют сформировать LTS-релиз 9.4, рекомендованный для внедрений, которым необходима предсказуемость и длительное сохранение неизменного поведения. Следом за LTS-веткой будет сформирована новая Innovation-ветка - MySQL 10.0.
Основные изменения в MySQL 9.3:
- В утилиту mysqldump добавлена опция "--users" для создания логических дампов с информацией о всех учётных записях, выводимой через SQL-выражения "CREATE USER" и "GRANT". Для вставки выражения "DROP USER" перед "CREATE USER" предусмотрена опция "--add-drop-user", а для выборочного отражения в дампе отдельных пользователей - опции "--include-user=user@host" и "--exclude-user=user@host", который можно указывать несколько раз.
- В движке MLE (Multilingual Engine Component), позволяющем использовать в хранимых процедурах и функциях код на языках, отличных от SQL, улучшена поддержка JavaScript.
Для хранимых процедур на языке JavaScript реализован тип "DECIMAL", который можно использовать для входящих и возвращаемых аргументов. По умолчанию для безопасности MySQL-тип DECIMAL преобразуется в JavaScript-тип "String", но данное поведение можно переопределить командой 'SELECT mle_set_session_state('{"decimal_type":"Number"}')', после которой будет использован JavaScript-тип "Number". Поддерживается приведение к типу DECIMAL значений с JavaScript-типами Boolean, Number, String и BigInt.
- В хранимые процедуры на JavaScript добавлена поддержка выставления параметров локализации, используя JavaScript API Intl. Например для определения текущей локали можно использовать свойства "Intl.DateTimeFormat().resolvedOptions().locale", а для переопределения локали - метод "toLocaleString()".
- Расширены возможности для управления библиотеками JavaScript: для изменения списка импортируемых библиотек теперь можно использовать выражения "ALTER PROCEDURE" и "ALTER FUNCTION". Добавлена возможность использования выражения "ALTER LIBRARY" для добавления, удаления или изменения SQL-комментария к библиотеке. Для получения сведений о библиотеке реализовано выражение "SHOW LIBRARY STATUS".
- Добавлена поддержка динамической загрузки JavaScript-библиотек.
Для динамического импорта библиотеки следует использовать ключевое слово "await", например "let module = await import('/db1/lib_${object_type}')".
- Расширены оптимизации запросов, использующих квантифицированные операторы сравнения. Помимо поддержки операторов "=ANY" и "‹›ALL" при оптимизации подзапросов в новой версии добавлена поддержка операторов "›ANY", "›=ANY", "‹ANY", "‹=ANY", "›ALL", "›=ALL", "‹ALL" и "‹=ALL".
- Удалён плагин "version_tokens", ранее объявленный устаревшим.
- Запрещено выставление значения 0 в системную переменную replica_parallel_workers.
- Устранено 28 уязвимостей, из которых 26 могут быть эксплуатированы удалённо при наличии доступа для отправки запросов к СУБД. Шесть наиболее серьёзных проблем имеют уровень опасности 6.5 и связаны с уязвимостями в движке InnoDB, парсере и оптимизаторе. Менее опасные уязвимости затрагивают mysqldump, InnoDB, оптимизатор, DDL, UDF, парсер и систему репликации.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63106
В Python задействованы криптоалгоритмы с математическим доказательством надёжности
Объявлено об успешном завершении инициативы по замене в Python реализаций криптографических алгоритмов, предлагаемых в модулях hashlib и hmac, на варианты с математическим доказательством надёжности, подготовленные проектом "HACL*". Работа по переходу на функции с математическим доказательством надёжности велась с 2022 года и была инициирован после выявления переполнения буфера в реализации алгоритма SHA3, используемой в Python-модуле hashlib.
В основной репозиторий проекта СPython принят код с новыми реализациями криптографических хэш-функций и алгоритмов HMAC (механизм проверки подлинности сообщений). Все предоставляемые по умолчанию в Python хэш-функции и HMAC заменены на верифицированные варианты. Среди прочего, добавлена реализация HMAC-BLAKE2, использующая SIMD-инструкции AVX2 для ускорения вычислений. Предполагается, что верифицированный код войдёт в состав осеннего релиза Python 3.14.
Новые реализации криптографических функций перенесены из библиотеки HACL*, развиваемой исследователями из французского государственного института исследований в информатике и автоматике (INRIA), подразделения Microsoft Research и университета Карнеги — Меллона. Библиотека HACL* поддерживает типовые криптографические функции, которых достаточно для работы TLS 1.3 и полной поддержки API NaCl (Networking and Cryptography library), такие как Curve25519, Ed25519, AES-GCM, Chacha20, Poly1305, SHA-2, SHA-3, HMAC и HKDF. По производительности библиотека HACL* близка к OpenSSL, но в отличие от последней предоставляет дополнительные гарантии надёжности и безопасности.
Код HACL* написан на подмножестве функционального языка F*, предлагающем систему зависимых типов и уточнений, позволяющих задавать точные спецификации (математическую модель) и гарантировать отсутствие ошибок в реализации при помощи SMT-формул и вспомогательных инструментов доказательства. Эталонный код на F* транслируется в код на языке Си при помощи компилятора KaRaMeL и доступен для интеграции с другими проектами.
Проведение верификации подразумевает определение подробных спецификаций, описывающих все варианты поведения программы, и формирование математического доказательства, что написанный код полностью соответствует подготовленным спецификациям. Верификация даёт гарантию, что программа будет выполняться только как задумали разработчики и в ней отсутствуют определённые классы ошибок, такие как переполнение буфера, разыменование указателей, обращение к уже освобождённым областям памяти или двойное освобождение блоков памяти.
В процессе компиляции обеспечивается жёсткая проверка типов и значений - один компонент никогда не передаст другому компоненту параметры, не соответствующие спецификации, и не получит доступ ко внутренним состояниям других компонентов.
Процесс перехода на верифицированный код занял два с половиной года и потребовал доработки библиотеки HACL*, функциональность которой была расширена возможностями, необходимыми для прозрачной замены имеющейся функциональности hashlib. Например, в HACL* была добавлена поддержка потокового режима работы HMAC, предоставлены дополнительные режимы работы алгоритмов Blake2, реализован новый API для SHA3, охватывающий все варианты алгоритмов семейства Keccak, обеспечены необходимые средства уведомления об ошибках (например, при проблемах с выделением памяти), разработаны скрипты для автоматизации переноса в репозиторий Python новых версий HACL*.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63104
Выпуск NTP-сервера NTPsec 1.2.4
После более года разработки опубликован выпуск сервера синхронизации точного времени NTPsec 1.2.4. Проект был создан как форк эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированный на переработке кодовой базы с целью повышения безопасности. Исходный код NTPsec распространяется под лицензиями BSD, MIT и NTP.
NTPsec развивается под руководством Эрика Реймонда (Eric S. Raymond) при участии некоторых разработчиков оригинального NTP Classic, инженеров из компаний Hewlett Packard и Akamai Technologies, а также проектов GPSD и RTEMS. Из отличий от NTP Classic выделяется добавление поддержки протокола NTS (Network Time Security), сокращение размера кодовой базы более чем в два раза (удалены устаревшие возможности и неактуальные платформы), реализация режима автономной работы, задействование методов предотвращения атак (например, фильтрация системных вызовов), переход на защищённые функции для работы с памятью и строками.
В новой версии:
- Добавлена настройка "extra port xxxx" для приёма запросов на дополнительном сетевом порту, помимо основного порта, настраиваемого через "nts port xxxx". Дополнительный порт может быть полезен для обхода блокировок обращения к внешним NTP-серверам, выставленных на межсетевых экранах.
- Добавлена поддержка сборки на Linux-системах с архитектурой armhf.
- Обеспечена поддержка работы ntpd на системах в режиме FIPS.
- Система сборки Waf обновлена до версии 2.1.4. В Debian установка утилит, написанных на Python, таких как ntpq и ntpmon, теперь осуществляется в каталог "/usr/local/lib/python3.xx/site-packages", а не в "/usr/local/lib/python3.xx/dist-packages". В команде "waf install" включено тестирвоание устанавливаемых исполняемых файлов, а через команду "waf configure --enable-Werror" теперь можно включить обработку предупреждений компилятора как ошибок.
- В качестве минимальной версии Python заявлен выпуск 2.7. Поддержку Python 2 планирую прекратить в следующей версии.
- По умолчанию применена опция "--disable-fuzz", отключающая механизм "Clock fuzzing" (внесение миллисекундных случайных смещений в отдаваемое клиентам время, не влияющих на общую точность, но не позволяющих злоумышленникам предсказать фактическое значение времени).
- Удалены остатки кода, связанного с работой в режимах broadcast и multicast.
- В ntpdig добавлена опция для привязки к указанному IP-адресу.
- В конфигурацию NTS-KE добавлена опция для настройки списка предпочтительных алгоритмов шифрования для TLS.
- Вместо ntp_adjtime задействован вызов ntp_gettime.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63103
Выпуск Chrome OS 135
Представлен релиз операционной системы Chrome OS 135, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 135. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Вывод на экран осуществляется при помощи графического стека Freon (ведётся работа по переходу на использование Wayland) и оконного менеджера Aura. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 135 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex.
Основные изменения в Chrome OS 135:
- В ChromeOS Flex задействован новый Bluetooth-стек, основанный на стеке Fluoride, перенесённом из платформы Android и продолжающем развитие стека BlueDroid от компании Broadcom. Для возвращения старого стека можно использовать настройку chrome://flags/#bluetooth-use-floss.
- В интерфейс запуска программ (Launcher) добавлена возможность поиска изображений не только по названию файла, но и по содержимому.
- Для манипуляторов мышь с интерфейсом Bluetooth включено использование режима быстрого сопряжения (Fast Pair). После включения новой мыши или её приближения к компьютеру система автоматически определит новое устройство и отобразит приглашение подключить её одним нажатием.
- Добавлен режим "Mouse Keys", позволяющий управлять курсором мыши при помощи клавиатуры. Возможность может оказаться полезной для людей с двигательными нарушениями (например, с тремором конечностей), у которых имеются трудности при работе с мышью.
- Упрощён процесс определения активности и выключения "фейс-контроля", режима, позволяющего использовать движение готовы для управления перемещением указателя мыши и совершением кликов.
- Устранено 6 уязвимостей, одна из которых помечена как опасная (обращение к уже освобождённой памяти в Site Isolation). Размер вознаграждений, выплаченных выявившим проблемы исследователям, составил 9 тысяч долларов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63102
Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей
Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении устранено 378 уязвимостей.
Некоторые проблемы:
- 5 проблем с безопасностью в Java SE. Все уязвимости в Java SE могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасные проблемы в Java SE имеют уровень опасности 7.4-7.5 и затрагивают WebKitGTK, gstreamer и JSSE. Уязвимости устранены в выпусках Java SE 24.0.1, 21.0.7, 17.0.15, 11.0.27 и 8u442.
- 28 уязвимостей в сервере MySQL, из которых 26 могут быть эксплуатированы удалённо при наличии доступа для отправки запросов к СУБД. Шесть наиболее серьёзных проблем имеют уровень опасности 6.5 и связаны с уязвимостями в движке InnoDB, парсере и оптимизаторе. Менее опасные уязвимости затрагивают InnoDB, Thread Pooling, DDL, оптимизатор, парсер и систему аутентификации. Проблемы устранены в выпусках MySQL Community Server 9.3.0, 8.4.5 и 8.0.42.
- 3 уязвимости в VirtualBox, одна из которых помечена как опасная (8.1 из 10). Уязвимости, которые позволяют локальным пользователям повысить свои привилегии, устранены в обновлениях VirtualBox 7.1.8 и 7.0.26.
- 2 уязвимости в Solaris, которые затрагивают файловую систему (уровень опасности 7.2 из 10) и PAM (Pluggable Authentication Module). Уязвимости устранены в обновлении Solaris 11.4 SRU80. В новой версии Solaris также обновлены версии пакетов
Apache Tomcat 9.0.102,
BIND 9.18.33,
Firefox 128.8.0esr,
Golang 1.23.7,
Jinja2 3.1.6,
PHP 8.3.19,
Thunderbird 128.8.0esr,
openssl 1.0.2zl,
openssl-3 3.0.16 и Python.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63100
В ядре Linux 6.16 будет прекращена поддержка протокола DCCP
В состав ветки net-next, в которой накапливаются изменения для передачи в состав будущего выпуска ядра Linux 6.16, принято изменение, удаляющее поддержку сетевого протокола DCCP (Datagram Congestion Control Protocol). Поддержка netfilter-модулей для фильтрации пакетов DCCP сохранена. Протокол DCCP был стандартизирован и принят в состав ядра в 2006 году. Предполагалось, что DCCP позволит повысить эффективность потокового вещания и интернет-телефонии в перегруженных сетях, но на деле протокол оказался не востребован и не получил распространения.
Код DCCP в ядре остаётся без сопровождения уже пять лет, а изменения в последние годы ограничивались исправлениями из-за рефакторинга API ядра. Несколько лет назад в рамках проекта Multipath DCCP была предпринята попытка развития протокола DCCP в ядре, но часть кода этого проекта остаётся проприетарной. Разработчик Multipath DCCP планировал открыть код проприетарных частей, передать накопившиеся изменения в основной состав ядра и взять на себя обязанности мэйнтейнера DCCP в ядре Linux, но он уже несколько лет не выходит на связь.
Удаление DCCP из ядра Linux устранит преграды, мешающие переработать структуру данных inet_connection_sock для повышения эффективности работы стека TCP. В настоящее время структура inet_connection_sock совместно используется в TCP и DCCP, что не позволяет реализовать для TCP некоторые оптимизации без переделки кода
DCCP. В частности, переделка структуры inet_connection_sock даст возможность более эффективно использовать процессорный кэш при ускоренной обработке пакетов для уже установленного TCP соединения (TCP fastpath).
Источник: https://www.opennet.ru/opennews/art.shtml?num=63096
Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода
В библиотеке ssh, входящей в состав инструментария Erlang/OTP, выявлена уязвимость (CVE-2025-32433), позволяющая удалённо без прохождения аутентификации выполнить свой код на SSH-сервере, созданном с использованием уязвимой библиотеки. Проблема присвоен критический уровень опасности (10 из 10).
Один из исследователей безопасности уже подготовил рабочий эксплоит для выполнения кода на уязвимых SSH-серверах. Примечательно, что по словам исследователя код был создан с использованием AI-ассистентов GPT-4, Cursor и Sonnet на основе анализа изменения с исправлением уязвимости, включающего тест для проверки устранения проблемы.
Библиотека от проекта Erlang/OTP предоставляет готовые реализации клиента и сервера SSH и SFTP, поддерживающих протокол SSH 2.0. Отличить проблемные SSH-серверы можно по выводу заголовка "SSH-2.0-Erlang/версия". SSH-серверы на базе Erlang/OTP используются в специализированных системах, например, на IoT- и устройствах для edge-вычислений, а также в качестве отладочного инструмента - Erlang позволяет легко включить SSH-сервер для удалённой отладки своих приложений (предполагается, что подобная отладочная возможность могла быть оставлена включённой во многих проектах, написанных на Erlang). Проблема также проявляется в инструментарии Elixir (реализован поверх Erlang) и во фреймворке Phoenix на его основе, но SSH-сервер в Phoenix по умолчанию не принимает запросы из внешних сетей.
Уязвимость вызвана ошибкой в коде разбора сообщений, из-за которой сообщения SSH_MSG_CHANNEL_REQUEST, допускающие выполнение команды "exec", обрабатывались на стадии до прохождения аутентификации. Пример кода из эксплоита:
command = 'file:write_file("/lab.txt", ‹‹"pwned"››).'
return (
b"\x62" # SSH_MSG_CHANNEL_REQUEST
+ struct.pack(">I", channel_id)
+ string_payload("exec")
+ b"\x01" # want_reply = true
+ string_payload(command)
)
Уязвимость устранена в выпусках Erlang/OTP-27.3.3, 26.2.5.11 и 25.3.2.20. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Arch, FreeBSD.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63099
Arch Linux заменит пакеты с СУБД Redis на форк Valkey в репозитории extra
Разработчики дистрибутива Arch Linux объявили о замене в репозитории "extra" пакетов с СУБД Redis на пакеты с СУБД Valkey в связи с переходом Redis на проприетарную лицензию. В рамках проекта Valkey развивается форк Redis, продолжающий использовать лицензию BSD и сопровождаемый организацией Linux Foundation при участии бывшего мэйнтейнера Redis и компаний Amazon, Google, Oracle, Ericsson и Snap. Valkey уже поставляется вместо Redis в дистрибутивах Debian 13, Ubuntu 24.10, Fedora 41, RHEL 10, Azure Linux 3 и Alpine 3.20.
Начиная с выпуска 7.4 СУБД Redis перешла на использование лицензий RSALv2 (Redis Source Available License v2) и SSPLv1 (Server Side Public License v1), которые приводят к дискриминации отдельных категорий пользователей, что не позволяет считать их открытыми или свободными. По своим целям обе лицензии походят друг на друга, а отличия сводятся к тому, что лицензия SSPL основана на копилефт лицензии AGPLv3, а лицензия RSAL основана на пермиссивной лицензии BSD. Лицензия RSAL позволяет использовать, изменять, распространять и интегрировать код в приложения, за исключением случаев, когда эти приложения являются коммерческими или используются для предоставления управляемых платных сервисов. Лицензия SSPL дополнительно содержит требование поставки под той же лицензией не только кода самого приложения, но и исходных текстов всех компонентов, вовлечённых в предоставление облачного сервиса.
В Arch Linux пакет "redis" будет находится в репозитории "extra" ещё примерно две недели, после чего будет перемещён репозиторий AUR (Arch User Repository), пакеты в котором сопровождаются сторонними энтузиастами и не являются официально поддерживаемыми. После удаления из репозитория "extra" разработчики Arch Linux не намерены выпускать обновления для пакета redis в AUR. Какое-то время пакет redis в AUR будет иметь статус устаревшего, после чего будет удалён. Пользователям Arch Linux, применяющим СУБД Redis, рекомендуется как можно скорее перевести свои системы на пакет "valkey".
Источник: https://www.opennet.ru/opennews/art.shtml?num=63098
Опубликована среда рабочего стола LXQt 2.2.0
После 6 месяцев разработки представлен релиз среды рабочего стола LXQt 2.2.0 (Qt Lightweight Desktop Environment), продолжающей развитие проектов LXDE и Razor-qt. Интерфейс LXQt следует идеям классической организации рабочего стола, но привносит современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное окружение, вобравшее лучшие черты LXDE и Razor-qt. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux.
В новой версии:
- Улучшена поддержка протокола Wayland. В конфигурациях с несколькими экранами обеспечено назначение экранам имён вместо порядковых номеров.
- Обновлён компонент lxqt-wayland-session, позволяющий запускать LXQt в сочетании с различными композитными менеджерами Wayland. Добавлена поддержка актуальных версий композитных серверов
LabWC, WayFire, kwin_wayland, Sway, Hyprland, River и Niri.
- В файловом менеджере PCManFM-Qt предоставлена возможность указания собственных опций для запуска эмулятора терминала. В функцию массового переименования файлов добавлена поддержка операций замены строк. В контекстном меню "Open With", открытом при выборе нескольких файлов с разными MIME-типами, теперь предлагаются приложения, способные обрабатывать каждые из этих MIME-типов. Добавлена комбинация клавиш "Ctrl+Shift+NUMBER" для изменения режима просмотра списка файлов. Улучшена поддержка режима Drag-and-drop.
- В эмулятор терминала QTerminal и виджет QTermWidget добавлена поддержка мигающего текстового курсора и автоскрытия курсора мыши. Улучшена отрисовка текста, включающего спецсимволы. Добавлена поддержка комбинаций символов. При выходе из QTerminal обеспечен запрос подтверждения при наличии запущенных из QTerminal процессов. Добавлена настройка для перевода фокуса на другой терминал при наведении на него курсора мыши. Проведена чистка диалога с настройками.
- Добавлена поддержка профилей энергопотребления, для обработки которых задействован фоновый процесс power-profiles-daemon. Доступные профили отображаются в контекстном меню индикатора заряда аккумулятора, размещённого на панели задач. По умолчанию при закрытии крышки ноутбука активирован переход в спящий режим.
- В LXQt Session добавлена защита от запуска второго экземпляра процесса lxqt-session для того же пользователя. Добавлен метод D-Bus для запуска приложений в сеансе LXQt.
- В LXQt Panel добавлена настройка для изменения цвета текста в области плагина "Custom Command", позволяющего запускать произвольные команды и показывать результат их работы в панели. В меню приложений "Fancy Menu" добавлена поддержка навигации при помощи клавиш PageDown и PageUp.
- В LXQt Archiver по умолчанию включена сборка с поддержкой 7zip. Для работы с RAR-архивами задействована утилита 7z.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63097
Доступен дистрибутив Ubuntu 25.04
Опубликован дистрибутив Ubuntu 25.04 "Plucky Puffin", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Готовые установочные образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu, UbuntuKylin (редакция для Китая), Ubuntu Unity, Edubuntu и Ubuntu Cinnamon.
Основные изменения:
- Рабочий стол обновлён до выпуска GNOME 48, в котором реализована поддержка HDR, тройной буферизации, стековой компоновки уведомлений, глобальных сочетаний клавиш. Расширен конфигуратор. Добавлены оптимизации потребления памяти и производительности.
- В Ubuntu Desktop вместо Evince для просмотра PDF задействована программа Papers (форк Evince, переведённый на GTK4 и частично переписанный на языке Rust).
- По умолчанию задействована обвязка xdg-terminal-exec, упрощающая замену эмулятора терминала, вызываемого комбинацией клавиш Ctrl+Alt+T.
- После сворачивания проекта Mozilla Location Service, сервисы определения местоположения переведены на использование БД BeaconDB с информацией о размещении известных точек беспроводного доступа.
- Отключено по умолчанию звуковое сопровождение запуска системы.
- В инсталлятор в Ubuntu Desktop добавлен режим для замены существующих установок Ubuntu. При установке в режиме двойной загрузки, если в системе уже используются другие операционные системы, разрешена установка на шифрованные разделы и предоставлены расширенные настройки для дисковых разделов. Добавлена возможность установки Ubuntu на одном накопителе с Windows-системами, использующими шифрованные разделы на базе BitLocker.
- Вместо публикации отдельных сборок, специфичных для каждого ARM64-устройства, дистрибутив перешёл к предоставлению одного общего ISO-образа Ubuntu Desktop для устройств на базе архитектуры ARM64. Образ можно использовать для установки на рабочих станциях с процессорами Ampere, ноутбуках с чипами Snapdragon и в виртуальных машинах на Mac-системах Apple Silicon.
- Улучшены возможности для использования устройств на базе архитектуры ARM64 в качестве рабочих станций с графическим окружением. Добавлена поддержка новых устройств, например, на базе Qualcomm Snapdragon X Elite 13. Добавлены пакеты ubuntu-x1e-settings и qcom-firmware-extract.
- В дополнение к initramfs-tools добавлена опциональная поддержка инструментария Dracut для формирования образов начального RAM-диска (initrd). В Ubuntu осеннем выпуске 25.10 инструментарий Dracut намерены задействовать по умолчанию. Из проблем с initramfs-tools, которые будут решены после перехода на Dracut, упомянуты: невозможность использования systemd в initrd, отсутствие поддержки NVMe over Fabric (NVM-oF), сложность сопровождения из-за раздельной работы с initrd и корневой ФС, стагнация разработки initramfs-tools и обилие кода на shell в initrd.
- В репозиторий добавлен инструментарий crypto-config, предназначенный для работы с общим для всей системы профилем настроек, связанных с криптографией. В настоящее время доступны профили default, legacy и future.
- Ядро Linux обновлено до выпуска 6.14. Из связанных с ядром новшеств отмечена поддержка механизма "sched_ext" (SCX), позволяющего использовать eBPF для создания планировщиков CPU, а также реализация драйвера NTSYNC, предоставляющего набор примитивов синхронизации Windows NT, позволяющих существенно поднять производительность Windows-игр, запускаемых при помощи Wine. В отдельные пакеты выделены инструментарии bpftools и linux-perf.
Вместо отдельного пакета c ядром linux-lowlatency задействованы штатные возможности базового ядра и набор утилит lowlatency-kernel.
- Обновлены системные пакеты:
glibc 2.41, systemd 257, binutils 2.44, OpenSSL 3.4.1, GnuTLS 3.8.9, BlueZ 5.79, NetworkManager 1.52, Pipewire 1.2.7, Poppler 25.03, xdg-desktop-portal 1.20.
- Обновлены средства для разработчиков: GCC 15 (снапшот будущего релиза), LLVM 20, Python 3.13.3, Go 1.24, Rust 1.84, .NET 9.0, PHP 8.4, Ruby 3.3, OpenJDK 24, PostgreSQL 17, Valkey (форк Redis) 8.0.2, MySQL 8.4.4, Qt 6.8.3.
- Обновлены пользовательские приложения: GIMP 3.0, LibreOffice 25.2,
Firefox 137, Thunderbird 128.
- Обновлены серверные пакеты: Nginx 1.26.3, Apache httpd 2.4.63, OpenSSH 9.9, cloud-init 24.3.1, runc 1.2.5, Docker 27.5.1, Containerd 2.0.2, HAProxy 3.0.7, libvirt 10.10.0, ClamAV 1.4.2, OpenLDAP 2.6,
QEMU 9.2.0, Squid 6.13, SSSD 2.10.1, Samba 4.21.
- В Chrony для синхронизации времени по умолчанию задействованы серверы точного времени от проекта Ubuntu, использующие протокол NTS.
- Командная оболочка Fish обновлена до ветки 4.0, переписанной на Rust.
- На ноутбуках с GPU NVIDIA по умолчанию включён сервис nvidia-powerd, обеспечивающий поддержку механизма Dynamic Boost, позволяющего балансировать энергопотребление между CPU и GPU для повышения производительности. Проприетарные драйверы NVIDIA обновлены до ветки 570.x.
- Прекращено создание файла /run/utmp с данными о пользователях, в данный момент работающих в системе. Формат utmp, в котором задействовано 32-разрядное значение time_t, признан устаревшим из-за подверженности проблеме 2038 года. В следующем выпуске будет прекращена поддержка cgroup v1 и сервисов, запускаемых через скрипты в стиле System V init.
- Инструментарий для настройки параметров сети обновлён до выпуска
Netplan 1.1.2, в котором появилась возможность использования метода аутентификации "wpa-psk-sha256" в беспроводных сетях и добавлена поддержка параметра "routing-policy" в NetworkManager.
- В сборки для плат Raspberry Pi добавлен стек для работы с камерами, основанный на libcamera 0.4 и libpisp. Для начальной настройки системы задействован пакет gnome-initial-setup, выполняемый при первом запуске. Утилиты libraspberry-bin заменены на raspi-utils. Обеспечена возможность загрузки по сети при помощи nbd-client.
- В конфигурацию AppArmor внесены изменения, нацеленные на блокирование обхода ограничений доступа к "user namespace". Добавлен специальный профиль "bwrap-userns-restrict", позволяющий создавать "user namespace" и настраивать изолированные окружения на стадии до перехода к более строгому урезанию возможностей процессов. Удалены профили к busybox и nautilus, допускавшие создание "user namespace".
Расширено число приложений, защищённых профилями AppArmor.
- Обновлён пакет ADSys (Active Directory Certificate Auto Enrollment), позволяющий автоматически получать сертификаты из сервисов Active Directory при включении групповых политик. Автоматическое получение сертификатов через Active Directory также применяется при подключении к корпоративным беспроводным сетям и VPN.
- В основной состав включены библиотеки для поддержки формата изображений JPEG XL, не требующие установки дополнительных пакетов.
- В репозиторий "main" добавлен пакет va-driver-all, включающий библиотеку libva и необходимые для её работы компоненты, позволяющие использовать VA-API (Video Acceleration API) для аппаратного ускорения кодирования и декодирования видео.
- Продолжена работа над атомарно обновляемым вариантом Ubuntu Core Desktop, использующим технологии Ubuntu Core и включающим только приложения, оформленные с использованием пакетов в формате Snap.
- В Xubuntu задействован выпуск среды рабочего стола Xfce 4.20.
- В Ubuntu Cinnamon предложена версия рабочего стола Cinnamon 6.4.8. Проведена чистка пакетов, в которых нет необходимости, позволившая немного сократить размер сборки. Улучшена тема оформления Yaru-Cinnamon. Добавлены тёмный и светлый варианты применяемых по умолчанию обоев рабочего стола.
- В Ubuntu Mate продолжает поставляться рабочий стол MATE 1.26.
- В Lubuntu включён выпуск среды рабочего стола LXQt 2.1.0. Осуществлён переход с ветки Qt 6.6 на Qt 6.8. Значительно ускорена работа инсталлятора, основанного на фреймворке Calamares.
- В Ubuntu Studio по умолчанию использован рабочий стол KDE Plasma 6.3 и тёмный набор пиктограмм на панели. Обновлены версии программ, например, доступны Darktable 5.0.0, Ardour 8.12.0,
Qtractor 1.5.3,
Audacity 3.7.3,
digiKam 8.5.0,
Kdenlive 24.12.3,
Krita 5.2.9 и
GIMP 3.0.
- В Kubuntu задействованы выпуски KDE Plasma 6.3, Qt 6.8, KDE Frameworks 6.12.0 и KDE Gear 24.12.3. По умолчанию предложен сеанс на базе Wayland, а поддержка X11 реализована в форме опции.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63095
Выпуск KDE Gear 25.04, набора приложений от проекта KDE
После четырёх месяцев разработки представлено апрельское сводное обновление приложений KDE Gear 25.04, развиваемых проектом KDE. В составе набора опубликованы выпуски 250 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Новые версии отдельных приложений можно загрузить из каталогов Flathub и SnapCraft.
Наиболее заметные изменения:
- Проведена работа по повышению удобства работы в файловом менеджере Dolphin. Для людей с ограниченными возможностями улучшена интеграция Dolphin с экранным ридером Orca. Оптимизирован выбор фокуса ввода и упрощена навигация при помощи клавиатуры, например, в режиме выделения (активируется нажатием пробела) перемещаться между файлами теперь можно клавишами управления курсором, а для выделения файла достаточно нажать клавишу Enter, без необходимости удерживать клавишу Ctrl. Добавлена защита от случайной очистки корзины - пиктограмма очистки теперь выделена красным цветом, а кнопка восстановления отдалена от кнопки удаления в контекстном меню.
В боковой панели Places (Точки входа) при добавлении элементов теперь показываются пиктограммы каталогов, в которых размещены эти элементы, а сам элемент будет виден не только в файловом менеджере, но и в соответствующей области диалогов открытия файлов. Для экономии экранного пространства три отдельные кнопки переключения между режимами просмотра объединены в одну кнопку, а строка состояния оформлена более компактно. Добавлена поддержка переименования вкладок (в контекстное меню добавлена кнопка "Переименовать").
- В браузере Konqueror в диалоге "Save As" обеспечено запоминание местоположения последнего загруженного файла для упрощения последующего сохранения файлов в том же каталоге.
- В браузер Falkon добавлена поддержка блокировки API WebSocket.
- В KRDC, клиенте для подключения к удалённому рабочему столу по протоколам RDP и VNC, добавлена поддержка масштабирования размера рабочего стола для того, чтобы уместить его содержимое в границах текущего окна. Реализована поддержка новой версии протокола FreeRDP. Добавлена возможность указания домена при аутентификации.
- В KDE Connect, приложении для интеграции рабочего стола со смартфоном, повышена скорость передачи данных через Bluetooth.
- В ассистенте в путешествиях Itinerary расширен спектр поддерживаемых методов оплаты транспорта и различных видов сервисов. Добавлена отдельная страница My Data, на которой собраны сопутствующие путешествию данные, такие как медицинские страховки, списки достопримечательностей и статистика о ходе поездки. Возможен импорт и экспорт своих данных. Изменено оформление страниц с расписанием и результатами поиска транспорта, которые теперь корректно адаптируются для экранов небольшого размера.
- В приложении Kongress, предназначенном для сопровождения посетителей конференций, в календаре мероприятий реализована возможность указания имён докладчиков для каждого выступления.
- В приложении Merkuro (бывший Kalendar), сочетающем возможности адресной книги, менеджера задач и календаря-планировщика, добавлена возможность отдельной настройки выходных дней для каждого региона, а также пометки выходных при показе информации с разбивкой по неделям и месяцам. Добавлена возможность показывать только задачи, которые необходимо выполнить сегодня. Реализована поддержка выделения нескольких элементов в адресной книге для одновременного совершения действий над ними.
- В почтовом клиенте KMail упрощена проверка неизвестных сертификатов OpenPGP (при клике на сертификат автоматически запускается его проверка на серверах ключей).
- В календарь-планировщик KOrganizer добавлен новый интерфейс выбора
даты, ускоряющий переход на нужную дату.
- В просмотрщик документов Okular добавлена настройка для изменения уровня масштабирования по умолчанию. Реализована поддержка цифровых подписей на базе PGP/GPG (ранее поддерживался только S/MIME) и предоставлена возможность показа в списке только сертификатов для квалифицированных электронных подписей. При создании подписей обеспечено автоматическое масштабирование текста для его отображения в имеющейся области окна.
- В Keysmith, генератор OTP-токенов для двухфакторной аутентификации, добавлена поддержка загрузки токенов из QR-кодов и импорта токенов из программы andOTP.
- В редакторе видео Kdenlive появилась возможность импорта и экспорта проектов в формате OpenTimelineIO. Полностью переделана визуализация звуковой волны и значительно ускорена её генерация. Добавлена возможность использования "шахматного" фона в интерфейсе редактирования клипов.
- В звуковом редакторе Kwave значительно увеличена производительность при воспроизведении.
- В программе для обмена сообщениями Neochat, использующей протокол Matrix, добавлена возможность сортировки чатов в боковой панели на основе последней активности. В контекстное меню добавлен пункт "Copy Link Address" для создания web-ссылки на выбранное сообщение.
- В Tokodon, реализации клиента к децентрализованной платформе микроблогинга Mastodon, добавлена поддержка сохранения черновиков и отправки сообщений с задержкой. Добавлено меню для фильтрации содержимого, показываемого в ленте, а также кнопка для отключения уведомлений о поступлении новых сообщений в выбранных обсуждениях. Добавлен диалог для подтверждения отправки сообщений.
- В Kate, текстовом редакторе для разработчиков, добавлена поддержка LSP-сервера для сценариев debputy, используемых при создании пакетов для Debian. В настройках появилась возможность добавления своих путей в переменную окружения PATH для организации запуска LSP-серверов, утилит для форматирования кода и linter-ов, установленных в отдельные каталоги. В плагин "build", позволяющий запускать пересборку кода не выходя из Kate, добавлена возможность одновременной работы с несколькими проектами.
- В интегрированную среду разработки KDevelop помимо встроенной поддержки C++, PHP и Python добавлена возможность подключения обработчиков языков программирования, реализованных в виде LSP-серверов.
- В программе для чтения электронных книг Arianna реализован новый движок отрисовки, основанный на библиотеке foliate.js.
- В менеджере подкастов Kasts добавлен переключатель между мобильным и стационарным вариантами интерфейса.
- В музыкальном проигрывателе Elisa появилась возможность автоматического воспроизведения файлов при попытке их открытия в других приложениях (например, для запуска воспроизведения из Dolphin).
- В Audiotube, приложение для прослушивания музыки с Youtube Music, добавлена функция для загрузки лирики с сайта LRCLIB.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63093
Новые версии nginx 1.27.5, форка FreeNginx 1.27.6 и JavaScript-модуля njs 0.8.10
Представлен выпуск основной ветки nginx 1.27.5, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.26.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.27.x будет сформирована стабильная ветка 1.28. Код проекта написан на языке Си и распространяется под лицензией BSD.
Среди изменений в nginx 1.27.5:
- Для соединений, использующих протокол QUIC, добавлена поддержка алгоритма управления сетевой перегрузкой CUBIC (RFC 9438), работа которого сводится к постепенному увеличению размера окна перегрузки до появления потери пакетов, после чего размер окна откатывается на значение до начала потери. В проведённых тестах использование CUBIC позволило сократить время передачи файла размером 500МБ на 24% при задержках 40ms и BDP 750K (Bandwidth Delay Product) и на 73% при задержках 100ms и BDP 9M.
- Максимальный размер кэшируемых в разделяемой памяти сеансов SSL увеличен до 8192.
- Налажена сборка с Си-библиотекой Musl.
- Проведена работа по оптимизации производительности и устранению ошибок в реализации HTTP/3.
- Исправлены ошибки в реализации директив "grpc_ssl_password_file", "proxy_ssl_password_file" и "uwsgi_ssl_password_file", проявлявшиеся при загрузке SSL-сертификатов и ключей шифрования из переменных.
- Устранены проблемы с выставлением переменных $ssl_curve и $ssl_curves при использовании подключаемых реализаций эллиптических кривых в OpenSSL.
Дополнительно можно отметить публикацию стабильных версий проекта FreeNginx 1.27.5 и 1.27.6, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства.
Изменения во FreeNginx 1.27.5 и 1.27.6:
- Решены проблемы при использовании OpenSSL 3.5 (в переменных $ssl_curve и $ssl_curves не отображалось название группы X25519MLKEM768).
- Устранено аварийное завершение рабочего процесса в конфигурациях с директивой proxy_ssl_password_file, проявляющееся при указании переменных в директиве proxy_ssl_certificate или proxy_ssl_certificate_key.
- В директиву listen добавлена поддержка параметра multipath.
- Запрещено повторное использование SSL-сеансов между серверами, использующими разные сертификаты в директиве ssl_trusted_certificate, при включении проверки клиентских SSL-сертификатов.
- Решена проблема с повторным использованием сеансов в контексте другого виртуального сервера при использовании TLSv1.3 с OpenSSL 1.1.1e+.
- Решена проблема при использовании zlib-ng.
Кроме того, состоялся выпуск njs 0.8.10, интерпретатора языка JavaScript для веб-сервера nginx. Интерпретатор njs реализует стандарты ECMAScript и позволяет расширять возможности nginx по обработке запросов с помощью скриптов в конфигурации. Скрипты могут использоваться в файле конфигурации для определения расширенной логики обработки запросов, формирования конфигурации, динамической генерации ответа, модификации запроса/ответа или быстрого создания заглушек с решением проблем в web-приложениях.
Изменения в njs 0.8.10:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63092
Выпуск Tor Browser 14.5
После 6 месяцев разработки представлен значительный выпуск специализированного браузера Tor Browser 14.5, в котором продолжено развитие функциональности на базе ESR-ветки Firefox 128. Браузер сосредоточен на обеспечении конфиденциальности и безопасности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Android, Windows и macOS.
Для дополнительной защиты в Tor Browser включена настройка «HTTPS Only», позволяющая использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты.
Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.
В новой версии:
- В версию для платформы Android добавлен интерфейс Connection Assist, который ранее был доступен только в сборках для Linux, Windows и macOS. Интерфейс позволяет автоматизировать настройку доступа к сети Tor с учётом специфики конкретного пользователя, без необходимости вручную активировать мостовые узлы и выбирать альтернативный транспорт в случае проблем с подключением. Технически новая возможность реализована благодаря задействованию общего бэкенда для десктоп-редакций и Android.
- В версиях для десктоп-систем расширены средства для просмотра лога операций, отражающего активность при подключении к Tor, а также ошибки или предупреждения, возникающие в процессе взаимодействия с сетью. Добавляемая в лог информация не содержит конфиденциальных данных, таких как открываемые сайты, но может быть полезной для диагностики проблем. Информация в окне с логом теперь более наглядная и обновляется по мере поступления новых записей (больше не требуется переоткрывать окно с логом для обновления информации).
- Модернизирована логика работы интерфейса Connection Assist, который теперь совершает меньше вызовов инструментария moat, использующего технику "domain fronting", при диагностике проблем с соединением. Добавлен вывод предупреждений о сбоях при применении изменённых настроек, например, при смене мостовых узлов (ранее факт сбоя никак не показывался пользователю).
- В версии для Android завершение работы через меню "Quit" теперь приводит к выполнению дополнительных действий по завершению фоновых процессов и очистке недавно запущенных задач.
- В версиях для десктоп-систем и Android добавлена локализация для белорусского, болгарского и португальского языков. Выбрать язык можно в настройках "Settings > General > Language and Appearance > Language".
Источник: https://www.opennet.ru/opennews/art.shtml?num=63091
Выпуск дистрибутива Deepin 23.1, развивающего собственное графическое окружение
Опубликован релиз дистрибутива Deepin 23.1, развивающего собственный рабочий стол Deepin Desktop Environment (DDE), а также около 40 пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект основан группой разработчиков из Китая, но трансформировался в международный проект и поддерживает русский язык. Репозиторий дистрибутива включает более 8000 пакетов. Все наработки распространяются под лицензией GPLv3. Размер загрузочных iso-образов от 3.3 до 5 ГБ (amd64, arm64 и loongarch64).
Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ и Go. Графический интерфейс построен с использованием библиотеки Qt. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов работы. В классическом режиме осуществляется более явное отделение открытых окон и предлагаемых для запуска приложений, отображается область системного лотка. Эффективный режим чем-то напоминает Unity, смешивая индикаторы запущенных программ, избранных приложений и управляющих апплетов (настройка громкости/яркости, подключённые накопители, часы, состояние сети и т.п.). Интерфейс запуска программ предоставляет два режима - просмотр избранных приложений и навигация по каталогу установленных программ.
Основные новшества:
- Добавлена возможность использования ядра Linux 6.12. Базовое ядро обновлено до версии 6.6.84. Обновлены драйверы NVIDIA, а также микрокод к CPU Intel и AMD CPU. Добавлен пакет nvidia-cuda-toolkit.
- В конфигураторе реализован компактный режим компоновки интерфейса. В раздел настроек "Control Center > Update Settings" добавлена поддержка умного управления выбором зеркал (smart mirror), а в разделе "Control Center > Time & Format > Region & Format" предложены специфичны для выбранного региона параметры.
- В Deepin Desktop Environment предоставлена возможность перемещения мышью ярлыков приложений из меню программ (Launcher) в панель задач (для закрепления ярлыков в панели).
- В систему поиска Global Search добавлена поддержка запросов на естественном языке, обрабатываемых на локальной системе. Встроены AI-функции для краткого изложения содержимого, перевода на другой язык и
уточнения информации.
- Каталог приложений App Store адаптирован для быстрого запуска приложений в окружениях на базе подсистем Debian, Ubuntu, Fedora и Arch. Добавлена поддержка фильтрации пакетов в зависимости от формата.
- Добавлена утилита для управления внешними репозиториями. Проведена оптимизация сборочного инструментария.
- Движок по умолчанию в AI-помощнике переключён на использование модели DeepSeek. Обеспечена интеграция AI-помощника с поиском в Web. Добавлена возможность запуска AI-моделей на локальной системе. Реализованы функции для исправления ошибок в тексте.
- В файловый менеджер добавлена поддержка протоколов dav, davs и nfs.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63090
Опубликована Linux-версия инструмента стресс-тестирования оборудования OCCT
Для платформы Linux опубликован официальный порт пакета OCCT, предназначенного для тестирования стабильности системы в штатном режиме и во время разгона. Инструментарий является проприетарным, но доступен бесплатно с некоторыми ограничениями. Для загрузки предлагается бинарный файл размером 263 мегабайта.
Доступные функции:
- Всесторонние стресс-тесты - позволяют оценить производительность CPU, GPU и памяти при высоких нагрузках, чтобы убедиться в стабильности и надёжности системы.
- Расширенные инструменты мониторинга - предоставляет в реальном времени информацию о температуре, напряжении, энергопотреблении и других критических показателях системы.
- Заявлена совместимость с основными дистрибутивами Linux, включая Ubuntu, Debian, Fedora, RHEL и Arch Linux.
- Заявлена всесторонняя поддержка тестирования GPU для серверов, однако не указано, работает ли программа в режиме headless (без графики).
Замечания, связанные с работой OCCT:
- Не сохраняйте приложение в каталог /tmp под именем OCCT - это приведёт к краху при запуске. Программа создаёт дерево каталогов по этому пути.
- Программа используют подсистему lm-sensors, NVIDIA SMI и публичные интерфейсы псевдо-ФС /sys, поэтому возможности мониторинга по сравнению с Windows крайне ограничены. Под Windows используются проприетарные драйверы с полным доступом к оборудованию, которые в виду соглашения о неразглашении (NDA) портировать в Linux не представляется возможным.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63088
Для независимого ведения CVE учреждена организация CVE Foundation
Правительство США возобновило финансирование деятельности MITRE, связанной с поддержанием базы CVE. Контракт продлён на 11 месяцев. Несмотря на это, участники управляющего совета CVE (CVE Board) объявили о создании некоммерческой организации CVE Foundation, нацеленной на поддержание стабильной деятельности и независимости проекта CVE.
Отмечено, что в управляющем совете проекта CVE уже давно обсуждались опасения об устойчивости и нейтральности сервиса, используемого по всему миру, но целиком зависящего от государственного финансирования. Последний год коалиция из активных членов совета CVE вела разработку стратегии перевода CVE в независимый некоммерческий фонд, который сосредоточится исключительно на продолжении миссии по идентификации уязвимостей и сохранению доступности данных CVE.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63089
В Android появится опция для автоматической перезагрузки после 3 дней неактивности
Компания Google реализовала в обновлении сервисов Google Play 25.14 возможность для автоматической перезагрузки смартфона после 3 дней неактивности (отсутствия разблокировки экрана). Для активации данной функции в настройки намерены добавить соответствующую опцию. Обновление сервисов Google Play 25.14 будет доведено до пользователей на следующей неделе.
Ранее функция автоматической перезагрузки была реализована в Android-платформе GrapheneOS. Перезагрузка применяется для сброса расшифрованных разделов с пользовательскими данными в исходное нерасшифрованное состояние. Данные пользовательского профиля после перезапуска устройства находятся в зашифрованном виде и расшифровываются только после ввода пользователем пароля входа. Предполагается, что в случае попадания устройства в другие руки автоматическая перезагрузка защитит от атак по анализу содержимого памяти и эксплуатации уязвимостей, позволяющих обойти блокировку экрана.
Дополнительно можно упомянуть прекращение публикации исправлений с устранением уязвимостей для платформы Android 12, выпущенной в 2021 году. В апрельском отчёте с информацией об устранённых уязвимостях упомянуты только выпуски Android 13, 14 и 15.
Кроме того, отмечается повышение системных требований - начиная с выпуска Android 15 минимально возможный для поставки платформы размер Flash-памяти увеличен с 16 до 32 ГБ, из которых 75% должны быть выделены под раздел с данными. Для поставки Android 15 аппаратное обеспечение смартфона также должно поддерживать
графический API Vulkan 1.3. При невыполнении данных требований производитель Android-устройства не сможет пройти сертификацию в Google для использования Android 15.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63087
Инциденты с безопасностью в репозиториях PyPI и crates.io
Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа.
О связанном с безопасностью инциденте также сообщили разработчики репозитория crates.io, через который распространяются пакеты на языке Rust. В инфраструктуре crates.io при возникновении ошибок на стороне бэкенда информация о обрабатываемых в момент возникновения проблемы запросах отправляется в сервис мониторинга Sentry. Проблема связана с тем, что среди отправляемых данных присутствовало поле с содержимым Cookie "cargo_session", в котором находился сессионный ключ, идентифицирующий пользователя. Посторонний, получивший данный ключ, мог осуществлять любые действия в незавершённом сеансе пользователя.
Отмечается, что доступ к серверу мониторинга Sentry имели только отдельные участники команд, обслуживающих инфраструктуру проекта и репозиторий crates.io, которые и без того имеют привилегированный доступ к рабочим серверам crates.io. Свидетельств о том, что осевшие в логах сессионные ключи использовались кем-то, не выявлено. После устранения проблемы подобные Cookie были удалены из всех записей о событиях в Sentry, а связанные с ними активные сеансы пользователей завершены.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63086
MITRE не получил финансирования для дальнейшего ведения базы CVE-индентификаторов уязвимостей
Правительство США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если MITRE не найдёт альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE.
На момент написания новости содержимое БД обновляется, а сайт cve.mitre.org продолжает работать (в США пока ночь, отключение может быть произведено позднее). В случае прекращение работы сервисов MITRE исторические данные об уже выданных CVE-идентификаторах сохранятся в зеркале БД на GutHub.
CVE-идентификаторы имеют критическое значение для инфраструктуры обеспечения безопасности так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Все системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно корпорации найдут способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.
Назначение CVE уже частично децентрализовано, так как многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE-идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE-номеров.
Статус CNA имеют 453 проекта и компании, среди которых разработчики ядра Linux, Curl, Debian, Apache, Eclipse, Fedora, FreeBSD, Glibc, Gitea, Go, Kubernetes, Node.js, LibreOffice, Mozilla, OpenSSL, PHP, Perl, PostgreSQL, Python, Xen, ISC, Red Hat, Canonical, SUSE, GitHub и Google. Роль MITRE при взаимодействии с CNA сводится к координации выделения CVE-диапазонов и отслеживанию возможных пересечений CVE-идентификаторов (с одной уязвимостью должен быть связан только один идентификатор CVE). При этом основная работа по выдаче отдельных CVE-номеров по запросу до сих порт проводилась силами MITRE.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63085
Выпуск дистрибутива для создания сетевых хранилищ TrueNAS 25.04
Компания iXsystems опубликовала дистрибутив TrueNAS 25.04, в котором используется ядро Linux и пакетная база Debian. После перевода ветки TrueNAS Core, основанной на FreeBSD, в режим сопровождения, Linux-редакцию вместо TrueNAS SCALE стали именовать TrueNAS. Размер
iso-образа 1.9 ГБ. Исходные тексты специфичных для TrueNAS сборочных сценариев, web-интерфейса и прослоек опубликованы на GitHub.
Из особенностей TrueNAS отмечается возможность создавать хранилища, размещаемые на нескольких узлах, использование изолированных контейнеров и пригодность для создания программно-определяемых инфраструктур. В качестве файловой системы применяется ZFS (OpenZFS). Предоставляется поддержка контейнеров Docker, виртуализации на базе KVM и масштабирования на несколько узлов при помощи Minio или Syncthing.
Для организации доступа к хранилищу поддерживается SMB, NFS, iSCSI Block Storage, S3 Object API и Cloud Sync. Хранилище может быть развёрнуто на одном узле и в дальнейшем при увеличении потребностей постепенно горизонтально расширяться через добавление дополнительных узлов. Кроме выполнения задач, связанных с организацией работы хранилища, узлы также могут использоваться для предоставления сервисов и запуска приложений в контейнерах, оркестируемых при помощи платформы Docker, или в виртуальных машинах на базе KVM. Для обеспечения защищённого доступа подключение может осуществляться через VPN (OpenVPN).
Среди изменений в новой версии:
- Ядро Linux обновлено до версии 6.12 (ранее использовался выпуск 6.6).
- В OpenZFS включён режим "fast_dedup", при котором используется новый формат таблиц дедупликации, значительно ускоряющий операции, связанные с дедупликацией блоков данных.
- В пять раз ускорен процесс расширения массивов RAID-Z.
- Добавлена экспериментальная поддержка контейнеров LXC и виртуализации на базе QEMU/KVM. Для управления контейнерами и виртуальными машинами задействован инструментарий Incus (форк LXD).
- Добавлена возможность указания IP-адресов для дополнительных приложений, выполняемых в изолированных контейнерах.
- Улучшен интерфейс входа в web-интерфейс.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63084
Обновление VirtualBox 7.1.8
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.1.8, в котором отмечено 27 изменений. Одновременно сформировано обновление прошлой ветки VirtualBox 7.0.26 с 21 исправлением. Помимо перечисленных ниже изменений в новых версиях устранены 3 уязвимости (максимальный уровень опасности 8.1 из 10), подробности о которых пока не раскрываются.
- В дополнениях для гостевых систем с Linux:
- Реализована начальная поддержка ядра Linux 6.14, а также пакета с ядром из состава будущего выпуска RHEL 9.6. Улучшена поддержка ядра Linux из состава RHEL 9.4.
- Устранена ошибка, приводившая к аварийному завершению VBoxClient при использовании XWayland.
- Решена проблема с нарушением нормального отображения курсора при использовании в виртуальной машине графического адаптера VBoxVGA.
- Исправлена недоработка, приводившая к сбою установки дополнений VirtualBox на системах без библиотек X11.
- Улучшена проверка 'rcvboxadd status-kernel'.
- В инсталляторе для хост-систем на базе Linux устранён сбой установки, возникавший из-за некорректной проверки выполнения ранее установленной версии VirtualBox.
- Исправлена ошибка, приводившая к неопределению беспроводного адаптера в окружении на базе новых Linux-дистрибутивов.
- Решена проблема, приводившая к обратному отчёту времени в виртуальной машине.
- В GUI устранена проблема с неверным отображением курсора.
- В DevVirtioSCSI решена проблема с восстановлением сохранённого состояния.
- Устранён сбой при восстановлении состояния VM при использовании графического адаптера VMSVGA без включения 3D-ускорения.
- Налажена возможность выставить ограничения пропускной способности диска командой 'VBoxManage bandwidthctl'.
- В реализации транслятора адресов (NAT) устранена проблема с пропаданием сетевого соединения при использовании на хост-системах с Windows.
- Устранено 6 проблем, связанных с работой дополнений для гостевых систем с Windows (например, 100% загрузка CPU из-за VBoxTray и проблемы при установке драйверов), и 2 проблемы в инсталляторе для Windows.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63083
Компания Oracle опубликовала ядро Unbreakable Enterprise Kernel 8
Компания Oracle представила первый стабильной выпуск Unbreakable Enterprise Kernel 8 (UEK R8), варианта ядра Linux, развиваемого для использования в дистрибутиве Oracle Linux в качестве альтернативы штатному пакету с ядром из Red Hat Enterprise Linux. Ядро доступно только для архитектур x86_64 и ARM64 (aarch64). Исходный код ядра, включая разбивку на отдельные патчи, опубликован в публичном Git-репозитории Oracle.
Пакет Unbreakable Enterprise Kernel 8 основан на ядре Linux 6.12 (выпуск UEK R7 базировался на ядре 5.4, а в бета-версии RHEL 10 предлагалось ядро 6.11), которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и src-пакеты с ядром UEK R8 подготовлены для Oracle Linux 9.5 (нет никаких препятствий по использованию данного ядра в аналогичных версиях RHEL, CentOS, Alma Linux и Rocky Linux).
Ключевые новшества Unbreakable Enterprise Kernel 8:
- Изменено разделение компонентов ядра UEK на отдельные пакеты. Модули ядра отделены от базового образа ядра и вынесены в коллекции, поставляемые в отдельных пакетах: kernel-uek-modules-core (базовый минимум), kernel-uek-modules (для серверов), kernel-uek-modules-desktop, kernel-uek-modules-extra-netfilter, kernel-uek-modules-usb и kernel-uek-modules-wireless. Сопутствующие утилиты вынесены из базового пакета kernel-uek-core в отдельный пакет kernel-uek-tools. Файлы конфигурации со списком запрещённых для загрузки модулей переименованы из 'blacklist' в 'denylist' в рамках инициативы по использованию инклюзивной терминологии.
- Для систем ARM Ampere, применяемых в Oracle Cloud, сформирована отдельная сборка ядра kernel-uek64k, базовый размер страниц памяти в которой увеличен с 4 до 64 КБ.
- Добавлена поддержка предоставляемой в Intel SGX2 (Software Guard Extensions) аппаратной реализации механизма EDMM (Enclave Dynamic Memory Management), позволяющего управлять доступом к отдельным страницам памяти анклава и динамически добавлять/удалять страницы памяти для анклава.
- В драйвер Intel QAT с поддержкой устройств Intel Quick Assist Technology (QAT) добавлена поддержка 4 поколения процессоров Intel Xeon.
- Добавлена система выявления расщеплённых блокировок ("split-lock"), возникающих при доступе к невыровненным данным в памяти из-за того, что при выполнении атомарной инструкции данные пересекают две линии кеша CPU. Подобные блокировки приводят к значительному падению производительности (на 1000 циклов медленнее, чем атомарная операция с данными, попадающими в одну линию кеша).
- Реализован новый метод защиты от уязвимости Retbleed в CPU Intel и AMD, использующий отслеживание глубины вызовов, что не настолько замедляет работу, как ранее присутствующая защита от Retbleed.
- На системах x86 обеспечена одновременная активации вторичных ядер CPU, что позволило сократить время загрузки ядра на системах с большим количеством ядер.
- Добавлен параметр командой строки ядра "ia32_emulation", позволяющий на стадии загрузки включать и отключать поддержку эмуляции 32-разрядного режима в ядрах, собранных для архитектуры x86-64.
- По умолчанию вместо CFS (Completely Fair Scheduler) задействован планировщик задач EEVDF (Earliest Eligible Virtual Deadline First). При выборе следующего процесса для передачи выполнения новый планировщик учитывает процессы, которые недополучили процессорных ресурсов или получили незаслуженно много процессорного времени. В первом случае форсируется передача управления процессу, а во втором, наоборот, откладывается. Старый планировщик CFS использовал для определения процессов, требующих отдельного внимания, эвристику и тонкие настройки, в то время как новый планировщик отслеживает их более явно и не требует тонкой настройки. EEVDF позволит снизить задержки при выполнении задач, с которыми у CFS возникали проблемы с планированием.
- Продолжена поставка системы динамической отладки DTrace 2.0, которая переведена на использование подсистемы ядра eBPF. DTrace 2.0 работает поверх eBPF, по аналогии с тем, как поверх eBPF работают существующие в Linux инструменты трассировки.
- В гипервизоре KVM разрешено использовать до 4096 виртуальных CPU (VCPU).
- Продолжено использование KTLS, реализации протокола TLS на уровне ядра.
- Обновлена реализация генератора псевдослучайных чисел RDRAND, отвечающего за работу устройства /dev/random, которая переведена на использование хеш-функции BLAKE2s вместо SHA1 для операций смешивания энтропии. Изменение позволило повысить безопасность генератора псевдослучайных чисел. Для ускорения получения случайных чисел через системный вызов getrandom() задействован механизм vDSO (virtual dynamic shared object), переносящий обработчик системного вызова из ядра в пространство пользователя для того, чтобы избежать переключений контекста.
- Добавлена поддержка расширения BIG TCP, позволяющего увеличить максимальный размер TCP-пакета до 4ГБ для оптимизации работы высокоскоростных внутренних сетей дата-центров. Подобное увеличение размера пакета при 16-битном размере поля в заголовке достигается через реализацию "jumbo"-пакетов, размер в IP-заголовке которых выставляется в 0, а фактический размер передаётся в отдельном 32-разрядном поле в отдельном прикреплённом заголовке.
- Для сетевых сокетов реализована опция SO_RESERVE_MEM, при помощи которой можно зарезервировать для сокета определённый объём памяти, который всегда останется доступным для сокета и не будет изъят. Использование данной опции позволяет добиться увеличения производительности за счёт сокращения в сетевом стеке операций выделения и возвращения памяти, особенно при возникновении условий нехватки памяти в системе.
- Проведена оптимизация производительности планировщика пакетов fq (Fair Queuing), позволившая поднять пропускную способность на 5% при больших нагрузках в тесте tcp_rr (TCP Request/Response) и на 13% при неограниченном потоке UDP-пакетов.
- Проведена реорганизация сетевых структур ядра для повышения эффективности кэширования данных процессором, позволившая поднять производительность TCP-стека на системах, обслуживающих большое число параллельных запросов.
- Добавлена поддержка библиотеки ASMLib 3 для автоматического управления хранилищем в СУБД Oracle.
- Проведена работа по оптимизации производительности и повышению безопасности механизма асинхронного ввода/вывода io_uring. Добавлены основанные на io_uring оптимизации для ФС XFS и Ext4, обеспечивающие возможность параллельной прямой записи в файл в несколько потоков.
- Улучшена поддержка файловой системы Btrfs. Для устройств с поддержкой trim/discard включена по умолчанию опция монтирования "discard=async", позволяющая выполнять данные операции сразу для всех ФС в асинхронном режиме. Добавлена поддержка отправки и получения сжатых данных без преобразований. Добавлена поддержка записи блоками больше 64 КБ. Упрощён учёт квот. Реализована поддержка монтирования клонированных устройств. Улучшены проверки записи в режиме NOCOW (пропускная способность возросла на 9%). Добавлены опции монтирования
"ignoremetacsums" и "ignoresuperflags" для игнорирования неверных контрольных сумм метаданных и флагов суперблока. Обеспечено выполнение задач по удалению устройств, балансировке и перераспределению блоков в параллельном режиме.
- В ФС XFS разрешено использование размера блока, превышающего размер страницы памяти. Добавлены большие счётчики экстентов для очень больших виртуальных дисков. Добавлен режим атомарной фиксации (commit) содержимого файлов. Предложена экспериментальная реализация проверки (fsck) и восстановления ФС в online-режиме.
- В NFS включено по умолчанию использование операции READ_PLUS, определённой в спецификации NFS 4.2 и применяемой для более эффективного чтения данных из файлов, содержащих пустоты.
- Система управления памятью переведена на использование структуры данных folios (фолианты страниц памяти). Фолианты напоминают объединённые страницы памяти (compound pages), но отличаются улучшенной семантикой и более понятной организацией работы.
- Для операций маппинга памяти задействована структура данных "maple tree", которая позиционируется как более эффективная замена структуре "red-black tree". Maple tree представляет собой вариант B-tree, поддерживающий индексацию по диапазонам значений и спроектированный для эффективного использования кэша современных процессоров.
- В mmap реализованы блокировки на уровне отдельных VMA (Virtual Memory Area), позволяющие поднять производительность многопоточных приложений.
- Добавлена структура данных ptdesc, оптимизирующая работу с таблицами страниц памяти за счёт разделения структур с метаданными и данными для страниц памяти.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63081
Выпуск дистрибутива Fedora Linux 42
Представлен релиз дистрибутива Fedora Linux 42. Для загрузки подготовлены продукты Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Server, Fedora IoT, Fedora CoreOS, Fedora Cloud Base, Fedora IoT Edition, Fedora Silverblue, Fedora Kinoite и Live-сборки, поставляемые в форме спинов c пользовательскими окружениями Xfce, MATE, Cinnamon, LXDE, Phosh, Miracle, LXQt, Budgie, Sway и Cosmic. Сборки сформированы для архитектур x86_64, Power64 и ARM64 (AArch64).
Наиболее значимые изменения в Fedora Linux 42:
- Сборка Fedora KDE Plasma Desktop получила статуса базовой редакции дистрибутива, идентичной по уровню поддержки с Fedora Workstation. Таким образом, варианты дистрибутива с GNOME и KDE отныне имеют идентичный статус и преподносятся на равных. Специфичные для KDE серьёзные проблемы теперь рассматриваться как блокирующие релиз, так же, как ранее блокировали релиз серьёзные проблемы в GNOME. Кроме того, в Fedora KDE Plasma Desktop добавлена поддержка архитектуры Power (ppc64le), для которой доступен полный стек приложений KDE, включая KDE PIM. Для систем OpenPOWER, таких как Talos Workstation, подготовлены Live-сборки с KDE, поддерживающие возможность установки.
- Добавлены официальные Spin-сборки дистрибутива со средой рабочего стола COSMIC, разрабатываемой компанией System76 на языке Rust. COSMIC предоставляет режимы гибридной мозаичной компоновки окон и стекового закрепления окон (группировка окон по аналогии со вкладками в браузере), которые могут включаться в привязке к виртуальным рабочим столам.
- Рабочий стол в Fedora Workstation обновлён до ветки GNOME 48. Обновлены рабочие столы Xfce 4.20
и LXQt 2.1.
- В Fedora Workstation задействован по умолчанию новый вариант инсталлятора Anaconda, в котором вместо интерфейса на основе библиотеки GTK используется web-интерфейс. Web-интерфейс построен с использованием JavaScript-фреймворка React, элементов оформления PatternFly и компонентов из проекта Cockpit, уже применяемого в продуктах Red Hat для настройки и управления серверами. Вместо главного экрана с перечнем действий в новом интерфейсе работа организована в форме мастера (Wizard), подразумевающего последовательное выполнение определённых шагов без возвращения к основному экрану. Web-интерфейс допускает взаимодействие через web-браузер для удалённого управления установкой.
Предложенный интерфейс избавлен от усложнений и более понятен для начинающих пользователей. В качестве базового предлагается использовать автоматизированный (guided) режим разбивки диска, при котором инсталлятор сам выбирает параметры создания или изменения разделов на основе настроек, выбранных пользователем. Добавлена опция для переустановки дистрибутива (например, для восстановления работы при повреждении каких-то системных файлов), а также возможность установки в режиме двойной загрузки для использования на одном компьютере нескольких ОС.
- Классический инсталлятор Anaconda переведён на использование протокола Wayland, что позволило исключить связанные с X11 зависимости из установочных носителей. Процесс удалённой установки переведён с VNC-клиента TigerVNC на приложение grd (Gnome Remote Desktop), использующее протокол RDP. По умолчанию для всех поддерживаемых архитектур задействована разбивка на разделы с использованием GPT.
- Объединено содержимое каталогов /usr/bin и /usr/sbin. Каталог /usr/sbin заменён на символическую ссылку, указывающую на /usr/bin. Разделение исполняемых файлов по каталогам bin и sbin признано устаревшей практикой, которая потеряла смысл в современных дистрибутивах. Унификация bin и sbin упростит работу сопровождающих пакеты, которым не придётся гадать в какой каталог разместить исполняемый файл; сделает систему более предсказуемой и понятной для пользователей; увеличит совместимость с другими дистрибутивами; уменьшит число проверок каталогов при выполнении execvp() и похожих вызовов.
- Добавлены новые группы flatpak и diskadmin для обеспечения доступа непривилегированных пользователей к функциям управления системными пакетами в формате Flatpak и внешними накопителями. Изменение позволило избавиться от необходимости добавления пользователя в группу wheel, т.е. даёт возможность работать с flatpak и внешними дисками без предоставления доступа к остальным операциям администрирования. Для пользователей, входящих в группу wheel, дополнительно предоставлена возможность разблокировки (LUKS) и монтирования внешних накопителей без запроса ввода пароля.
- Разрешено включать в пакеты дополнительные варианты исполняемых файлов, собранные с оптимизациями для микроархитектур x86-64-v2, x86-64-v3 и x86-64-v4. В большинстве случаев прирост производительности при сборке для подобных архитектур не превышает 10%, но в отдельных ситуациях приводит к заметному повышению производительности (до 120%). Решение о добавлении дополнительно оптимизированных исполняемых файлов принимают сопровождающие, в зависимости от результатов тестирования производительности конкретных пакетов.
- Live-сборки дистрибутива, использующие системный образ в режиме только для чтения, переведены со SquashFS на файловую систему EROFS.
В качестве причин перехода упоминается более активная разработка EROFS (последний выпуск инструментария SquashFS был весной 2023 года) и наличие в EROFS расширенных возможностей, которые могут быть задействованы в будущем. По сравнению со SquashFS в EROFS хуже уровень сжатия (размер образа 2.7 GiB в EROFS против 2.0 GiB в SquashFS при использовании алгоритма сжатия XZ и 3.9 GiB против 3.1 GiB при использовании LZ4), но более высокая скорость случайного доступа и пропускная способность (7.1 MiB/s в EROFS против 5.0 MiB/s в SquashFS для XZ и 30.9 MiB/s против 26.3 MiB/s для LZ4).
- Атомарно обновляемые редакции дистрибутива для настольных систем (Fedora Atomic Desktops), такие как Fedora Silverblue (GNOME), Fedora Kinoite (KDE), Fedora Sway Atomic и Fedora Budgie Atomic, по умолчанию переведены на файловую систему Composefs, что позволило использовать в данных сборках корневой раздел, работающий в режиме только для чтения, а также в дальнейшем задействовать для системного раздела средства верификации целостности, позволяющие выявлять возникающие проблемы во время работы. Разделы /etc и /var продолжают монтироваться с возможностью записи. Файловая система Composefs реализована в виде надстройки над уже присутствующими в ядре ФС OverlayFS и EROFS, и оптимизирована для эффективного совместного хранения содержимого нескольких примонтированных дисковых образов.
- В редакции Fedora Kinoite (атомарно обновляемый вариант с KDE) по умолчанию включена автоматическая установка обновлений.
- Предоставлены официальные сборки Fedora для подсистемы WSL (Windows Subsystem for Linux), которые включены в перечень Linux-дистрибутивов, предлагаемых для быстрой установки в WSL. Сборки сформированы в новом формате, позволяющем распространять дистрибутив со своих серверов без загрузки в каталог Microsoft Store, без упаковки в формате appx и без размещения в сборке кода, специфичного для Windows.
- Задействована новая ветка мультимедийной библиотеки SDL 3. Для приложений на базе SDL по умолчанию задействован протокол Wayland. Библиотеки SDL 2 заменены на прослойку sdl2-compat, работающую поверх SDL 3.
- В пакетный менеджер DNF5 добавлена поддержка удаления из системы устаревших или прекративших действовать PGP-ключей репозиториев, что позволило автоматизировать управление ключами при установке и обновлении программ.
- В пакетный менеджер RPM добавлена поддержка создания пользователей и групп на основе поставляемых в пакетах файлов конфигурации, размещённых в каталоге Sysusers.d, используемом в systemd.
- Добавлен генератор зависимостей для расширений к GNOME Shell, позволяющий привязать rpm-пакеты с дополнениями к версиям GNOME Shell.
- В DNF и RPM по умолчанию включён режим "Copy on Write", реализованный при помощи reflink в Btrfs.
- Обновлены версии пакетов: LLVM 20, GCC 15-test, binutils 2.44, glibc 2.41, gdb 15, Go 1.24, Tcl/Tk 9.0, Ruby 3.4, Zlib-ng 2.2.x, Setuptools 74, Django 5.x, Ansible 11, PHP 8.4, numpy 2.1.3.
- В репозиторий для архитектуры AArch64 добавлен эмулятор FEX, позволяющий выполнять исполняемые файлы, собранные для архитектур x86 и x86-64, в окружении ARM64 (AArch64). Основанные на FEX компоненты для запуска x86-программ интегрированы в сборки Fedora со средой рабочего стола KDE.
- Расширена поддержка web-камер с интерфейсом MIPI (Mobile Industry Processor Interface), который всё чаще используются на ноутбуках и планшетах вместо UVC (USB Video Class).
- Добавлена поддержка шифрования памяти виртуальных машин при помощи технологий AMD SEV-SNP и Intel TDX.
- Пакеты, использующие только исполняемый файл git, переведены на привязку к зависимости git-core, а не к полному пакету git.
- Загрузочная заставка Plymouth переведена на использование модуля ядра simpledrm, что избавило от ожидания инициализации драйвера для GPU.
- В Firewalld в сборках для рабочих станций для IPv6 по умолчанию включён режим работы rpfilter (Reverse Path Filter) "loose" вместо "strict".
Для Fedora 42 введены в строй "free" и "nonfree" репозиториев проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами и эмуляторами.
Одновременно представлен релиз дистрибутива Fedora Asahi Remix 42, предназначенного для установки на компьютеры Mac, оснащённые ARM-чипами, разработанными компанией Apple. Fedora Asahi Remix 42 основан на пакетной базе Fedora Linux 42 и оснащён инсталлятором Calamares. Обеспечена возможность работы на системах Apple MacBook Air, MacBook Pro, Mac Mini, Mac Studio и iMac, оснащённых ARM-чипами Apple M1
и M2.
В Fedora Asahi полностью поддерживаются: звуковая подсистема компьютеров Apple, камера, Wi-Fi, Bluetooth, устройства ввода, USB Type C (USB 3.0) и беспроводная зарядка MagSafe. Пока не поддерживается: подключение экрана через USB-C, Thunderbolt/USB4, микрофон и Touch ID. В графических драйверах поддерживается OpenGL 4.6, OpenGL ES 3.2 и Vulkan 1.4. Для запуска приложений, собранных для систем x86_64, задействован инструментарий muvm и слой эмуляции на базе пакета FEX.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63082
Релиз дистрибутива Manjaro Linux 25.0 и альфа-выпуск атомарной редакции Manjaro Summit
Опубликован релиз дистрибутива Manjaro Linux 25.0, построенного на основе Arch Linux и ориентированного на начинающих пользователей. Дистрибутив примечателен наличием упрощённого и дружественного пользователю процесса установки, поддержкой автоматического определения оборудования и установки необходимых для его работы драйверов. Manjaro поставляется в виде live-сборок с графическими окружениями KDE (4.5 ГБ и 3.7 ГБ), GNOME (4.3 ГБ и 3.1 ГБ) и Xfce (4 ГБ и 3.2 ГБ), сформированными для архитектуры x86_64 и различных плат на базе процессоров ARM. При участии сообщества дополнительно развиваются сборки с Budgie, Cinnamon, Deepin, LXQt и i3.
Для управления репозиториями в Manjaro используется собственный инструментарий BoxIt, спроектированный по образу Git. Репозиторий поддерживается по принципу непрерывного включения обновлений (rolling), но новые версии проходят дополнительную стадию стабилизации. Кроме собственного репозитория, имеется поддержка использования репозитория AUR (Arch User Repository). Дистрибутив снабжён графическим инсталлятором и графическим интерфейсом для настройки системы.
Особенности выпуска:
- Редакция на базе GNOME обновлена до выпуска GNOME 48, в котором реализована поддержка HDR, тройной буферизации, стековой компоновки уведомлений, глобальных сочетаний клавиш. Расширен конфигуратор. Добавлены оптимизации потребления памяти и производительности.
- Редакция на основе KDE обновлена до версий KDE Plasma 6.3 и KDE Gear 24.12.
- Редакция на основе Xfce обновлена до версии 4.20.
- Ядро Linux обновлено до версии 6.14. Дополнительно доступны пакеты с LTS-выпусками ядра 6.1 и 6.6.
Отдельно
представлен первый альфа-выпуск редакции Manjaro Summit, системное окружение в которой распространяется в виде единого монолитного образа, монтируемого в режиме только для чтения и обновляемого целиком в атомарном режиме. Для загрузки доступен установочный образ с GNOME, размером 2 ГБ (x86_64), поддерживающий загрузку только на системах с UEFI. Из рабочих столов пока поддерживается только GNOME, но доступны шаблоны для создания сборок с KDE Plasma, Xfce и COSMIC (например, для установки KDE можно выполнить команду "arkdep deploy manjaro-summit-kde").
Монолитный системный образ формируется на основе пакетной базы Arch Linux при помощи инструментария arkdep, развиваемого проектом Arkane Linux. Инструментарий написан на Bash и представляет собой обвязку над GNU Coreutils, wget, curl и Systemd. Для установки обновления следует использовать команду "sudo arkdep deploy", а для оценки изменений в предложенном обновлении - "arkdep diff".
В качестве файловой системы задействована Btrfs. Обновление производится через загрузку нового системного образа
в отдельный подраздел (subvolume) Btrfs и переключение на него во время загрузки. В случае проблем предусмотрена возможность отката на прошлое состояние (при сбое в процессе загрузки нового образа подобный откат производится автоматически при помощи systemd-bless-boot). Новые обновления формируются раз в неделю.
Дополнительные программы устанавливаются в пакетах в формате Flatpak. Программы также можно устанавливать в виде отдельных от системы слоёв, например, для установки Firefox можно выполнить "arkdep layer firefox". Для установки графических программ в контейнерах и создания окружений с начинкой из других дистрибутивов в поставку включён инструментарий Distrobox и графический интерфейс BoxBuddy. Предусмотрен режим отключения блокировки изменений в корневом разделе и использования штатного пакетного менеджера pacman, но установленные таким образом пакеты будут потеряны после очередного обновления системы и их придётся устанавливать заново.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63080
Компания Qualcomm открыла компоновщик ELD, пригодный для замены GNU Linker
Компания Qualcomm перевела в разряд открытых проектов компоновщик ELD, используемый в наборе компиляторов Qualcomm (на базе LLVM) и оптимизированный для связывания объектных файлов в проектах для встраиваемых систем. В ELD учтена такая специфика, как активное использование linker-скриптов и потребность в модификации и расширении процесса компоновки. Код написан на языке C++ и распространяется под лицензией BSD.
Проект может использоваться в качестве прозрачной замены GNU linker, потребляющей меньше памяти, обеспечивающей более высокую скорость связывания и позволяющей менять поведение процесса компоновки. Архитектура ELD рассчитана на возможность лёгкого добавления поддержки новых платформ через подключение бэкендов. В текущем виде предложены бэкенды для целевых платформ Qualcomm Hexagon NPU, AArch32, AArch64 и RISC-V (c расширениями Xqiu). В качестве основы при разработке использован MCLinker.
Основные возможности:
- Статическое, динамическое и частичное (опция "--relocatable") связывание.
- Работа с форматом исполняемых и компонуемых файлов ELF (Executable and Linking Format).
- Поддержка оптимизации на этапе связывания (LTO - Link-Time Optimization) и специфичных для компоновки оптимизаций, таких как слияние строк.
- Совместимость с GNU ld на уровне опций командной строки.
- Соответствие методам разрешения символов, работы с входящими файлами и генерации исполняемых файлов, используемых в утилитах от проекта GNU.
- Поддержка linker-скриптов для управления связыванием, синтаксис которых совпадает со скриптами для GNU ld.
- Возможность генерации детализированных и удобочитаемых карт связывания (map-файлов), которые можно использовать как для ручной диагностики проблем и отладки, так и как источник данных для автоматизированной генерации собственных отчётов.
- Поддержка подключения плагинов, позволяющих программно менять поведение компоновщика и добавлять новые стадии, запускаемые во время компоновки. Плагины также могут применяться для передачи дополнительной информации от компилятора к компоновщику и проведения специфичных оптимизаций.
- Функциональность воспроизведения (reproduce), позволяющая создавать tar-архивы для воспроизведения компоновки без каких-либо зависимостей. Подобные архивы удобно использовать в процессе разбора проблем, возникающих на этапе связывания - пользователь может отправить разработчику архив, позволяющий воспроизвести проявление проблемы.
- Расширенные опции для диагностики и отладки запутанных проблем, например, связанных со сборкой мусора при обработке отладочных символов.
В компании Qualcomm компоновщик ELD используется в таких областях, как сборка прошивок и драйверов, подготовка компонентов для анклавов TrustZone, сборка продуктов для AI, 5G-модемов и беспроводных сетевых устройств, создание образов Zephyr RTOS для архитектур AArch32, AArch64 и RISC-V, разработка прошивок для микроконтроллеров на базе архитектуры RISC-V.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63073
Механизм Kexec HandOver для перезагрузки ядра Linux без потери состояния
В списке рассылки ядра Linux представлена шестая версия патчей с реализацией механизма Kexec HandOver (KHO), развиваемого инженерами из компаний Amazon, Microsoft и Google. Патчи уже приняты в ветку mm-everything, в которой осуществляется накопление изменений для будущей ветки ядра 6.16, связанных с управлением памятью. На базе Kexec HandOver компания Google разрабатывает подсистему Live Update Orchestrator (LUO), позволяющую перезагружать ядро без остановки работы устройств.
Kexec HandOver предоставляет возможности для запуска нового ядра из старого без потери состояния системы. В данный момент вызов kexec() работает лишь как загрузчик, просто запускающий новое ядро, которое после этого полностью реинициализирует систему, что эквивалентно перезагрузке, только без участия прошивки. Предлагаемая серия патчей реализует другой подход. До передачи управления новой версии ядра, состояние ключевых подсистем ядра сериализируется в регион памяти, который не будет затронут дальнейшими операциями. Новое ядро, получив управление, восстанавливает сериализированное состояние обратно. С точки зрения остальных программ операция замены ядра является незаметной.
Kexec HandOver может оказаться полезным в ситуациях, когда остановка недопустима и необходимо обеспечить непрерывный цикл работы отдельных устройств. Например, на серверах виртуализации Kexec HandOver может применяться для обновления ядра (и гипервизора KVM), не затрагивая память, занятую виртуальными машинами, и сохраняя состояние их выполнения.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63075
Релиз T2 SDE 25.4, платформы для создания дистрибутивов
Опубликован релиз мета-дистрибутива T2 SDE 25.4, предоставляющего окружение для формирования собственных дистрибутивов, кросс-компиляции и поддержания версий пакетов в актуальном состоянии. Из популярных дистрибутивов, построенных на базе системы T2, можно отметить Puppy Linux. Проектом предоставляется 25 загрузочных iso-образов с минимальным графическим окружением в вариантах с библиотеками Musl, uClibc и Glibc. Для актуальных архитектур подготовлены сборки с графическим окружением на базе GNOME и Wayland.
Платформа сосредоточена на создании сборок на базе ядра Linux, но отдельно развиваются прототипы, позволяющие собирать пакеты для различных ОС, включая macOS, Haiku и BSD-системы. В планах поддержка создания окружений на основе других ядер, например, на базе L4, Fuchsia и RedoxOS, и формирование сборок на базе Android (AOSP). Для сборки доступно более 5000 пакетов.
В T2 обеспечивается поддержка 25 аппаратных архитектур, применяемых как в современных встраиваемых системах, так и на устаревшем оборудовании. Например, обеспечена поддержка игровых приставок Nintendo Wii U и Sony PS3, рабочих станций SGI, Sun и HP. Для некоторых архитектур возможна работа в окружениях с 512 МБ ОЗУ. Готовые сборки сформированы для архитектур Alpha, Arc, ARM64, Avr32, HPPA64, IA64, Loongarch64, M68k, Microblaze, MIPS64, Nios2, OpenRISC, PowerPC 64, RISC-V 64, s390x, SPARC 64, SuperH, i486, x86-64 и x32.
Среди изменений в новой версии:
- Реализован простой инсталлятор "Web Installer", предоставляющий возможности для замены ранее установленных Linux-систем или создания новых системных окружений (sys-root или контейнеров).
- Добавлен порт стека AMD ROCm для систем RISC-V и ARM64,
который можно использовать для ускорения операций, связанных с машинным обучением.
- В Mesa по умолчанию включена поддержка OpenCL.
- Для архитектур sparc64/32 добавлены пакеты с Rust и QEMU.
- Восстановлена поддержка ReiserFS и беспроводных драйверов Orinoco (AirPort), удалённых из ядра linux.
- Предложена новая система для использования альтернативных реализаций типовых программ и библиотек, таких, как libjpeg-turbo и sdl-compat.
- Проведена работа по переводу зависимостей в категорию необязательных.
- Продолжена работа над созданием полностью динамической системой разрешения зависимостей. Выставление приоритета пакетам через тег "Priority" теперь не является обязательным.
- Добавлено 527 пакетов или новых возможностей, обновлено 4558 пакетов, удалено 138 пакетов. Например, обновлены ядро Linux 6.14, GCC 14.2.
LLVM/Clang 20.1, Glibc 2.41, Musl 1.2.5, uClibC 1.0.49, Mesa 25.0.3,
- Обновлены версии пользовательских окружений KDE, GNOME и Xfce.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63079
Доступен web-браузер qutebrowser 3.5.0
Опубликован релиз web-браузера qutebrowser 3.5.0, предоставляющего минимальный графический интерфейс, не отвлекающий от просмотра содержимого, и систему навигации в стиле текстового редактора Vim, построенную целиком на клавиатурных комбинациях. Код написан на языке Python с использованием PyQt и QtWebEngine. Исходные тексты распространяются под лицензией GPLv3. Применение Python не сказывается на производительности, так как отрисовка и разбор контента осуществляется силами движка Blink и библиотеки Qt.
Браузер поддерживает систему вкладок, менеджер загрузок, режим приватного просмотра, встроенный просмотрщик PDF (pdf.js), систему блокировки рекламы (на уровне блокировки хостов), интерфейс для просмотра истории посещений. Для просмотра видео в YouTube можно настроить вызов внешнего видеопроигрывателя. Перемещение по странице осуществляется при помощи клавиш "hjkl", для открытия новой страницы можно нажать "o", переключение между вкладками производится через клавиши "J" и "K" или "Alt-номер вкладки". При нажатии ":" выводится приглашение командной строки, в которой можно осуществить поиск по странице и выполнить типовые команды, как в vim, например, ":q" для выхода и ":w" для записи страницы. Для быстрого перехода к элементам страницы предлагается система "хинтов", которыми помечаются ссылки и изображения.
В новой версии:
- Идентификатор браузера (user agent) переведён на использование сокращённого номера версии Chromium, без упоминания QtWebEngine, т.е. заголовок User Agent теперь эквивалентен заголовку, выставляемому обычным Chromium. Изменение внесено для обхода блокировок антибот-систем, распознающих запросы от QtWebEngine, как обращения ботов (например, QtWebEngine блокируют сайты Whatsapp Web, UPS и Digitec Galaxus).
- Сборки для Windows и macOS переведены на использование Qt 6.9.0. В качестве основы использован движок Chromium 130.0.6723.192 в который перенесены исправления уязвимостей из Chromium 133.0.6943.141.
- В настройке "content.headers.user_agent" реализована поддержка подстановки "{upstream_browser_version_short}", содержащей версию используемого движка Chromium.
- Расширены возможности userscripts: в qute-bitwarden добавлена поддержка передачи пароля в дочерний процесс через переменную окружения вместо указания в числе опций командной строки.
- Добавлен отладочный флаг "-D no-system-pdfjs" для игнорирования системного PDF-просмотрщика PDF.js.
- Добавлено обвязка для поддержки метода URL.parse, отсутствующего в QtWebEngine ‹ 6.9 и используемого в PDF.js 5.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63078
Выпуск дистрибутива OpenWrt 24.10.1
Представлен выпуск дистрибутива OpenWrt 24.10.1, развиваемого для сетевых устройств, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает 2779 устройств и предлагает систему сборки, упрощающую кросс-компиляцию и создание собственных сборок. Подобные сборки позволяют формировать готовые прошивки с желаемым набором предустановленных пакетов, оптимизированные под конкретные задачи. Готовые сборки опубликованы для 39 целевых платформ.
Основные изменения в OpenWrt 24.10.1:
- Добавлена поддержка устройств:
- bmips: Actiontec T1200H.
- mediatek: CMCC A10, Huasifei WH3000, Keenetic KN-3811, Keenetic KN-3911 и netis NX31.
- qualcommax: Linksys MX4300 (LN1301).
- ramips: Cudy M1200 v1, Cudy M1300 v2, Genexis / Inteno Pulse EX400 и Hongdian H8922 v30.
- Решены проблемы с устройствами: Mikrotik Routerboard 911G, NEC Aterm, Gateworks, ASUS: RT-AX59U/TUF-AX4200/TUF-AX6000, Xiaomi AX3000t, Zyxel EX5601-T0, Dovado Tiny AC, hiwifi hc5962, LAVA LR-25G001, HPE 1920, TP-Link Deco M4R v4.
- Для Raspberry Pi обновлена прошивка и драйверы для GPU, решены проблемы с Ethernet.
- Для устройств на чипах Realtek добавлен новый драйвер MDIO.
- В ядре Linux по умолчанию включена настройка CONFIG_PCPU_DEV_REFCNT и возвращено наименование устройств cdc-ethernet как "usb%d"
- Задействован выпуск ядра Linux 6.6.86. Переведены на свежую кодовую базу компоненты: mt76 2025-02-14, mwlwifi 2025-02-06, wireless-regdb 2025.02.20, ucode 2025-02-10, unetd 2025-03-09, umdns 2025-02-10, omcproxy 2025-02-27, libnl-tiny 2025-03-19, bcm27xx-gpu-fw 2025.03.0, bcm27xx-utils 2025.03.14, bcm63xx-cfe 2025-04-02, intel-microcode 20250211, firmware-utils 2025-02-16.
- Обновлены версии пакетов: ethtool 6.11, openssl 3.0.16, mbedtls 3.6.3, r8125 9.015.00, r8126 10.015.00, r8168 8.055.00.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63077
В драйвере PanVK сертифицирована поддержка Vulkan 1.1
Консорциум Khronos, занимающийся разработкой графических стандартов,
признал полную совместимость открытого драйвера PanVK со спецификацией Vulkan 1.1. PanVK обеспечивает поддержку графического API Vulkan на устройствах с GPU ARM на базе архитектуры V10, таких как Mali-G610 и Mali-G310. Драйвер успешно прошёл все тесты из набора CTS (Khronos Conformance Test Suite) и включён в список сертифицированных драйверов.
Получение сертификата даёт возможность официально заявлять о совместимости с графическими стандартами и использовать связанные с ними торговые марки Khronos. Проверка была выполнена на системах с процессорами ARM (armhf и aarch64) для семейства GPU Mali-G610 в окружении на базе Debian GNU/Linux 13 (testing) c Mesa 25.0.2. Из планов отмечается обеспечение совместимости с Vulkan 1.2 (поддержка почти достигнута) и переход работе над поддержкой Vulkan 1.3 и 1.4, а также реализация поддержки новых моделей GPU Mali.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63074
Выпуск дистрибутива MX Linux 23.6
Опубликован релиз легковесного дистрибутива MX Linux 23.6, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве используется система инициализации sysVinit и собственные инструменты для настройки и развёртывания системы. Для загрузки доступны 32- и 64-разрядные сборки (x86_64, i386) с рабочим столом Xfce (2.3 ГБ), а также 64-разрядные сборки с рабочим столом KDE (2.9 ГБ) и сборки (1.8 ГБ) с оконным менеджером Fluxbox.
В новом выпуске:
- Осуществлена синхронизация с пакетной базой Debian 12.10. Обновлены версии приложений. Как и в прошлых выпусках по умолчанию продолжает использоваться система инициализации sysVinit, а systemd можно установить в качестве опции.
- Базовый пакет с ядром Linux обновлён до версии 6.1.133. Отдельно подготовлены сборки с расширенной поддержкой оборудования (AHS), которые поставляются с Xfce и ядром 6.14 c патчами от проекта liquorix.
- Обновлена сборка MX Raspberry Pi Respin (RPI) для плат Raspberry Pi, поставляемая с Xfce.
- Продолжает поставляться выпуск среды рабочего стола Xfce обновлена до выпуска Xfce 4.20. В утилите mx-system-sounds в окружении с Xfce реализовано ожидание готовности звукового сервера перед началом воспроизведения звука. На 32-разрядных системах решены проблемы с изменение настроек обоев и рабочего стола в Xfce.
- Улучшен графический интерфейс для установки пакетов - MX Packageinstaller. Расширены возможности для работы с пакетами в формате Flatpak.
- В различных утилитах MX улучшен запрос привилегий.
- Добавлена утилита UEFI Manager для управления настройками UEFI
Источник: https://www.opennet.ru/opennews/art.shtml?num=63072
В postmarketOS и Alpine добавлена поддержка среды рабочего стола COSMIC
Разработчики проекта postmarketOS, развивающего дистрибутив Linux для смартфонов, базирующийся на пакетной базе Alpine Linux, стандартной Си-библиотеке Musl и наборе утилит BusyBox, объявили о добавлении поддержки среды рабочего стола COSMIC, разрабатываемой на языке Rust. Готовые сборки postmarketOS с COSMIC сформированы для систем x86_64, а также доступен отдельный вариант, оптимизированный для ноутбуков Thinkpad X13s (при желании кастомизированную сборку можно собрать самостоятельно, используя утилиту pmbootstrap). До этого в postmarketOS предоставлялась возможность использования KDE Plasma Mobile, Phosh, GNOME Mobile, Sxmo, MATE и Xfce.
COSMIC развивается компанией System76 как универсальный проект, не привязанный к конкретному дистрибутиву и соответствующий спецификациям Freedesktop. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует безопасные типы, модульную архитектуру и модель реактивного программирования. Проектом также разрабатывается собственный композитный сервер cosmic-comp на базе Wayland. Помимо использования языка Rust из особенностей COSMIC выделяются режимы гибридной мозаичной компоновки окон и стекового закрепления окон (группировка окон по аналогии со вкладками в браузере), которые могут включаться в привязке к виртуальным рабочим столам. Первый стабильный релиз COSMIC намечен на первый квартал 2025 года.
Из других недавних изменений в postmarketOS отмечается реализация портов для устройств Samsung Galaxy S10+, Amlogic P241, Microsoft Lumia 640, и Ugoos AM3. Для устройств OnePlus 6, Motorola Moto E5 Plus, Motorola Moto G5s, Xiaomi Redmi 3S, Xiaomi Redmi 4 Standard и Xiaomi Redmi 4A добавлена начальная поддержка камеры. Улучшена поддержка устройств: Samsung Galaxy Tab 3, Samsung Galaxy S9, Samsung Galaxy Note 9, Google Pixel 3a XL, Google Pixel C, LG G7 ThinQ, LG V35 ThinQ, ODROID HC2, Lenovo ThinkPad X13s, Apple Macbook Air M1, Amazon Echo Dot 2nd gen и Xiaomi Mi Note 10 / Mi CC9 Pro.
В репозиторий postmarketOS добавлен выпуск GNOME 48. В сборках в KDE Plasma Mobile вместо файлового менеджера Index задействован Dolphin.
Обновлён пакет mobile-config-firefox с набором настроек для улучшения работы Firefox на мобильных устройствах и отключения компонентов, влияющих на приватность. Продолжается адаптация пакетов для работы с системным менеджером systemd, который можно будет использовать вместо системы инициализации OpenRC.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63071
Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней
Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение. Помимо времени действия сертификатов решено заметно сократить и сроки повторного использования данных валидации объектов: для SAN (Subject Alternative Name, когда один сертификат охватывает несколько ресурсов, например, действует сразу для нескольких доменов) срок будет сокращен с 398 до 10 дней, а для не-SAN - с 825 до 398 дней.
Изменение намерены продвигать постепенно: начиная с 15 марта 2026 года максимальный срок действия TLS-сертификатов будет уменьшен до 250 дней, с 15 марта 2027 года - до 100 дней, а с марта 2029 года - до 47 дней.
После наступления каждого этапа обработка новых сертификатов, не соответствующим упомянутым критериям, будет приводить к выводу в браузерах ошибки "ERR_CERT_VALIDITY_TOO_LONG". Ранее производителям браузеров удалось отстоять постепенное сокращение времени жизни сертификатов с 8 лет до 398 дней (13 месяцев).
За новое сокращение времени жизни TLS-сертификатов проголосовали 29 участников, 6 воздержались и никто не отдал голос против. Участники, проголосовавшие "за": Apple, Google, Microsoft, Mozilla, Amazon, Asseco Data Systems SA (Certum), Buypass AS, Certigna (DHIMYOTIS), Certinomis, DigiCert, Disig, D-TRUST, eMudhra, Fastly, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, NAVER Cloud Trust Services, OISTE Foundation, Sectigo, SHECA, SSL.com, SwissSign, Telia Company, TrustAsia, VikingCloud, Visa. Участники, которые воздержались: Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems, TWCA.
Предполагается, что генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности. Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Более частая валидация и сокращение сроков действия сертификатов также уменьшат вероятность того, что сертификат продолжит действовать после потери актуальности содержащейся в нем информации и снизят риск распространения неправильно выпущенных сертификатов.
Кроме того, короткодействующие сертификаты станут стимулом для внедрения автоматических систем управления сертификатами, избавленными от человеческого фактора. При этом, изжитие практики ручного обновления сертификатов может привести и к негативным последствиям. Отмечается, что некоторые устройства, допускающие загрузку сертификатов только в ручном режиме, могут остаться с недействительными сертификатами из-за сложности организации ручного обновления каждые полтора месяца. Изменение также может негативно повлиять на бизнес удостоверяющих центров, не предоставляющих API для автоматического получения сертификатов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63069
Переполнение буфера в Perl, связанное с обработкой символов
Опубликованы корректирующие обновления интерпретатора Perl 5.40.2 и 5.38.4, в которых устранена уязвимость (CVE-2024-56406), приводящая к переполнению буфера при транслитерации специально оформленных не-ASCII символов при помощи оператора "tr/../../". Не исключается возможность эксплуатации уязвимости для организации выполнения своего кода в системе. Проблема проявляется в стабильных релизах Perl начиная с 2021 года и затрагивает ветки Perl 5.34, 5.36, 5.38 и 5.40. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, Arch, FreeBSD. Дистрибутивы на основе RHEL 9, SUSE 15 и openSUSE Leap 15.6 уязвимости не подвержены, так как включают версии Perl 5.32 и 5.26.
Уязвимость затрагивает программы, использующие непроверенные внешние данные в левой части оператора "tr", в которой указывается переменная с данными для замены символов (например, "$external_string =~ tr/a/b/"). В обеспечивающей работу оператора функции S_do_trans_invmap() при обработке некоторых не-ASCII байтов происходит обращение к памяти вне выделенного буфера. Переполнение возникает из-за того, что некоторые последовательности байтов в исходном наборе данных могут быть преобразованы в последовательности UTF-8, для которых требуется два байта вместо одного.
Примечательно, что уязвимость возникла после добавленного в 2020 году изменения, убирающего дополнительную проверку достаточного выделения памяти под предлогом того, что при расчёте размера можно обойтись округлением размера в большую сторону. Для проверки наличия уязвимости можно выполнить код:
perl -e '$_ = "\x{FF}" x 1000000; tr/\xFF/\x{100}/;'
Segmentation fault (core dumped)
Источник: https://www.opennet.ru/opennews/art.shtml?num=63068
Успехи в портировании графических драйверов NVIDIA для ОС Haiku
Илья Чугин (x512) и Герасим Троеглазов (3dEyes) продемонстрировали новые достижения в портировании для ОС Haiku графических драйверов от компании NVIDIA. Порт развивается на базе открытых модулей для ядра Linux, публикуемых компанией NVIDIA и задействованных в её проприетарных драйверах, а также работающего в пространстве пользователя Vulkan-драйвера NVK
из состава Mesa. Отличительной особенностью применённого подхода является возможность обойтись без портирования драйвера Nouveau из состава ядра Linux, завязанного на Libdrm и специфичные для Linux подсистемы ядра. Показано, что на текущем этапе развития порта удалось запустить с использованием аппаратного ускорения такие игры, как S.T.A.L.K.E.R. - Clear Sky (openxray), Doom 3 (dhewm3), Minecraft (1.20.4) и AssaultCube.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63066
Выпуск графического редактора Pinta 3.0
После двух лет разработки представлен релиз открытого растрового графического редактора Pinta 3.0, основанного в 2010 году в качестве попытки создать более простой аналог программы Paint.NET, написанный с использованием GTK. Редактор ориентирован на начинающих пользователей и предоставляет базовый набор возможностей для рисования и обработки изображений. Интерфейс по возможности упрощён. Редактор поддерживает неограниченный буфер отката изменений, позволяет работать с несколькими слоями, укомплектован набором инструментов для наложения различных эффектов и корректировки изображений. Код Pinta распространяется под лицензией MIT. Проект написан на языке C# с использованием Mono и обвязки Gtk#. Бинарные сборки подготовлены для Linux (Flatpak, Snap), macOS и Windows.
В новой версии:
- Переработан и оптимизирован интерфейс, который был
переведён на использование библиотек GTK4 и libadwaita. Изменения коснулись как внешнего вида, переделанного в соответствии с рекомендациями GNOME HIG (GNOME Human Interface Guidelines), так и процесса редактирования изображений, который стал более очевиден для пользователей, имеющих опыт работы с распространёнными проприетарными графическими пакетами.
- На платформе Linux включено декорирование окон на стороне клиента, что позволило вынести панель инструментов и меню в заголовок окна. Меню разделено на три секции, вызываемых через разные кнопки в правом верхнем углу окна. Задействована адаптивная компоновка интерфейса, динамически меняющая раскладку элементов в окне в зависимости от размеров и ориентации экрана. Улучшена интеграция с пользовательскими окружениями macOS и Windows.
- Предложен новый набор символьных пиктограмм.
- В меню добавлен переключатель между светлой и тёмной темами оформления. Тема также может выбираться в зависимости от включения светлого и тёмного режима в системе.
- Проведена оптимизация производительности, позволившая повысить отзывчивость интерфейса.
- Улучшена поддержка управления жестами, например, добавлена возможность масштабирование щипком на трекпадах.
- Во встроенный инструмент для создания скриншотов добавлена поддержка XDG-портала Screenshot, предоставляющего доступ к экрану при запуске программы в изолированном режиме. Улучшена поддержка Wayland.
- Предложена новая реализация сетки для выравнивания элементов изображения, допускающая изменение размера ячеек.
- Добавлена возможность скрытия правой панели инструментов, что позволяет высвободить дополнительное горизонтальное пространство для редактируемого изображения. Левая и верхние панели автоматически адаптируются в зависимости от размера окна, например, при уменьшении окна инструменты для скрываются, а перегруппируются в два столбца.
- Переделан интерфейс выбора цвета, который теперь доступен в двух режимах - полном и компактном. Возможно изменение цветовых компонентов RGB и HSV, а также прозрачности. Недавно выбранные цвета сохраняются в отдельной палитре.
- Улучшено управление с клавиатуры, например, добавлена возможность изменения размера кисти клавишами '[' и ']'.
- В меню 'Edit' добавлена опция "Offset Selection" для изменения размера выделенной области при помощи ползунков (slider).
- Добавлено предупреждение о слиянии слоёв, выводимое при попытки сохранения многослойного изображения в однослойных форматах, таких как PNG и WEBP.
- B инструменте для работы с текстом улучшена совместимость с системой ввода IME (Input Method Editor).
- В инструмент "Кривые" (Curves) добавлен режим создания сплошных линий.
- В инструменте "Штамп" (Stamp) обеспечено сохранение смещений между штрихами.
- Добавлены новые эффекты: "Дизеринг" (уменьшение цветовой глубины для винтажного вида), "Диаграмма Вороного" (геометрические узоры), "Размытие объекта" (сглаживание краёв), "Контур объекта" (добавляет границы вокруг текста и фигур), "Выравнивание объекта" (точное позиционирование объектов). В эффектах для создания фракталов и облаков реализована поддержка определения собственных градиентов.
- Возобновлена поддержка дополнений, позволяющих добавлять дополнительные эффекты и форматы.
- Добавлена возможность масштабирования с использованием алгоритма интерполяции методом ближайшего соседа.
- Добавлена поддержка экспорта в формате PPM.
- Для работы теперь требуется как минимум платформа .NET 8.0.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63064