Выпуск EasyOS 7.0, дистрибутива от создателя Puppy Linux

Особенности дистрибутива:

• Каждое приложение, а также сам рабочий стол, могут быть запущены в отдельных контейнерах, для изоляции которых используется собственный механизм Easy Containers.
• По умолчанию работа осуществляется с правами root со сбросом привилегий при запуске каждого приложения, так как EasyOS позиционируется как Live-система одного пользователя.
• Дистрибутив устанавливается в отдельный подкаталог и может сосуществовать с другими данными на накопителе (система устанавливается в /releases/easy-7.0, пользовательские данные сохраняются в каталоге /home, а дополнительные контейнеры с приложениями размещаются в каталоге /containers).
• Поддерживается шифрование отдельных подкаталогов (например, /home).
• Возможна установка мета-пакетов в формате SFS, представляющих собой монтируемые образы со Squashfs, объединяющие несколько обычных пакетов и, по сути, напоминающие форматы AppImage, Snap и Flatpak.
• Система обновляется в атомарном режиме (новая версия копируется в другой каталог и переключается активный каталог с системой) и поддерживает откат изменений в случае возникновении проблем после обновления.
• Имеется режим запуска из ОЗУ, в котором при загрузке система копируется в память и работает без обращения к дискам.
• Для сборки дистрибутива используется инструментарий WoofQ2 и исходные тексты пакетов от проекта Debian.
• Рабочий стол основан на оконном менеджере JWM и файловом менеджере ROX.
• В базовую поставку входят такие приложения, как Firefox, LibreOffice, Scribus, Inkscape, GIMP, mtPaint, Dia, Gpicview, текстовый редактор Geany, менеджер паролей Fagaros, система управления личными финансами HomeBank, персональная Wiki DidiWiki, органайзер Osmo, менеджер проектов Planner, система заметок Notecase, Pidgin, музыкальный проигрыватель Audacious, медиаплееры Celluloid, VLC и MPV, видеоредактор LiVES, система потокового вещания OBS Studio.
• Для упрощения обмена файлами и организации совместного доступа к принтерам предлагается собственное приложение EasyShare.

Среди изменений в EasyOS 7.0:

• Для сборки дистрибутива задействован новый инструментарий WoofQ2, основанный на пакетном менеджере APT от проекта Debian. Графический интерфейс к менеджеру пакетов PKGget переделан в обвязку над APT.
• Вместо пакетов OpenEmbedded задействованы пакеты из дистрибутива Devuan 13 (Debian 13 без systemd) с системой инициализации busybox init, расширенной механизмом управления сервисами pup_event.
• Добавлен запускаемый в один клик преднастроенный контейнер "devx", включающий набор инструментов для разработки приложений.
• В базовую поставку включён файловый менеджер SpaceFM и браузер SeaMonkey.
• Предложен новый апплет с системным лотком.

Выпуск Wine 10.13

Наиболее важные изменения:

• В панель управления джойстиком добавлена вкладка с настройками Windows.Gaming.Input.
• В библиотеку Bcrypt добавлена поддержка алгоритмов ECDSA_P521 и ECDH_P521.
• Сгенерированы все преобразователи вызовов OpenGL (thunk) для режима Wow64 (64-bit Windows-on-Windows), обеспечивающего выполнение 32-разрядных Windows-приложений в 64-разрядных Unix-системах.
• В реализации языка описания интерфейса WIDL (Wine Interface Definition Language) расширена поддержка генерации метаданных Windows Runtime (WinRT).
• Закрыты отчёты об ошибках, связанные с работой приложений: Microsoft Office 365, Microsoft SQL Server Management Studio Express 2005, FL Studio, Metasequoia 3.1.6.
• Закрыты отчёты об ошибках, связанные с работой игр: Call of Duty: Black Ops II, Nioh 2 - The Complete Edition, Amazing Adventures 2 CD, Doom 3: BFG Edition, Bejeweled 3, Gothic and Gothic II, Call of Duty: Black Ops II.

Выпуск KDE Gear 25.08, набора приложений от проекта KDE

Наиболее заметные изменения:

• В файловом менеджере Dolphin предоставлено два поисковых движка: File Indexing (использует при поиске индекс, формируемый специальным сервисом индексации) и Simple Search (перебирает файлы и каталоги в момент запроса). Переключение между движками осуществляется через кнопку Filter в интерфейсе, показываемом при нажатии Ctrl+F. Для поиска также можно использовать отдельную утилиту KFind.

  В Dolphin также предоставлена возможность вызова из меню "Инструменты" утилиты Filelight для наглядного обзора свободного и занятого места на дисках. В меню, показываемом при нажатии на кнопке выбора режима отображения файлов (View Mode), добавлены опции для включения/выключения показа миниатюр, вывода скрытых файлов, выбора режима сортировки.

  
• Представлено приложение KRFB, предоставляющее другому пользователю доступ для просмотра действий на рабочем столе текущего пользователя.
• Проведена работа по сокращению потребления ресурсов и повышению стабильности сервиса хранения Akonadi, применяемого в почтовом клиенте, календаре-планировщике, адресной книге и списке задач. По сравнению с прошлым выпуском потребление памяти при работе с различными ресурсами Akonadi снизилось в среднем на 75%. Улучшена интеграция со сторонними закрытыми сервисами аутентификации и совместной работы, такими как Microsoft InTune.
• В календаре-планировщике KOrganizer реализован новый интерфейс выбора даты, позволяющий быстрее выполнять навигацию по датам. Улучшены всплывающие подсказки для поисковых полей.
• В приложении Kleopatra, предоставляющем интерфейс для управления сертификатами и выполнения криптографических операций, реализовано открытие в отдельном окне редактора для написания шифрованных сообщений, вместо использования вкладки. Использование окон позволяет держать открытыми сразу несколько редакторов сообщений.
• В программу для обмена сообщениями Neochat, использующую протокол Matrix, встроена функция для проведения голосований и опросов. Реализовано контекстное меню для отдельных веток сообщений.
• В web-браузере Angelfish, развиваемом для KDE Plasma Mobie, но поддерживающем и работу на больших экранах, добавлена опция для отключения Adblock, а также включены новые комбинации клавиш, такие как "Ctrl + W" для закрытия вкладки и "Ctrl + Shift + O" для перехода к закладкам. Добавлено контекстное меню для быстрой навигации по истории текущей вкладки.

Релиз системы виртуализации VirtualBox 7.2

Основные изменения:

• В графическом интерфейсе глобальные операции перенесены из выпадающего меню в боковую панель, размещённую слева, а инструменты для виртуальных машин перемещены в отдельные вкладки, показываемые над областью с правой панелью.
• В графическом интерфейсе улучшены страницы с настройками. Улучшено управление светодиодными индикаторами на клавиатуре. Из настроек ARM VM убран IO-APIC.
• Для хост-систем на базе Linux добавлена поддержка аппаратного ускорения декодирования видео.
• Для хост-систем на базе macOS и архитектуры ARM добавлена поддержка 3D-ускорения при помощи DXMT.
• В состав открытой кодовой базы перенесён код для эмуляции контроллеров NVMe.
• Налажена работа возможностей для вложенной виртуализации (Nested Virtualization) на CPU Intel.
• Добавлена поддержка виртуализации на хост системах с Windows, использующих процессоры на базе архитектуры ARM.
• Добавлена поддержка запуска гостевых систем с Windows 11 для архитектуры ARM. В наборе дополнений для гостевых систем реализован новый тип ОС - "Windows 11/Arm".
• Нарушена совместимость с состоянием виртуальных машин на базе архитектуры ARM, сохранённым в VirtualBox 7.1, а также сохранёнными снапшотами ARM VM. Перед переходом на ветку VirtualBox 7.2 требуется завершить выполнение подобных виртуальных машин.
• В состав компонентов для хост-систем на базе архитектуры ARM включён web-сервис vboxwebsrv для управления через web-интерфейс.
• В виртуальных машинах на базе архитектуры ARM реализована поддержка ACPI.
• Из числа зависимостей удалены libIDL и IASL.
• На системах, использующих Windows Hyper-V в качестве движка виртуализации, в менеджере виртуальных машин улучшен вывод сведений о возможностях CPU x86_64 и ARM. Добавлена обработка инструкций xsave/xrestor и задействованы расширения набора команд x86_64-v3, такие как AVX и AVX2.
• Улучшена работа транслятора адресов, например, улучшено сохранение настроек виртуальной машины и работа с DNS-серверами, а также унифицировано использование связанного с NAT кода в различных подсистемах.
• В дополнениях для хостов и гостевых систем с Linux добавлена поддержка ядра Linux 6.16 и начальная поддержка 6.17.
• Для гостевых систем с Windows, использующих платформу ARM, добавлен графический драйвер WDDM и реализована поддержка совместных папок (Shared Folder).

Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

Суть проблемы в том, что клиент может создать очень большое число одновременно обрабатываемых потоков, независимо от лимита SETTINGS_MAX_CONCURRENT_STREAMS, сбрасывая каждый поток на начальном этапе. Подобный сброс приводит к тому, что для отправки нового запроса в установленном соединении HTTP/2 клиенту не требуется жать ответа от сервера и можно сразу направить большой непрерывный поток запросов, насколько позволяет пропускная способность канала связи.

Клиент перестаёт зависеть от задержек между отправкой запроса и получением ответа (RTT, round-trip time) и может провести атаку с минимальными накладными расходами, при том что сервер продолжает тратить ресурсы на обработку поступающих запросов. Например, сервер осуществляет выделение структур данных под новые потоки, разбор запроса, распаковку заголовка и сопоставление URL с ресурсом. При атаке на обратные прокси, атака может распространиться на бэкенды, на которые прокси успеет перенаправить запрос до его сброса.

Уязвимость напоминает ранее известную проблему Rapid Reset (CVE-2023-44487) и вызвана расхождением логики сброса потоков, определённой в спецификации протокола HTTP/2 и реализованной в конечных продуктах. В спецификации предусмотрена возможность сброса потока клиентом и сервером в любой момент, но во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться. Ключевым отличием новой атаки является то, что сброс обработки запроса осуществляется по инициативе сервера, а не через отправку клиентом кадра с флагом RST_STREAM.

Сброс по инициативе сервера происходит при поступлении некорректных запросов, но подобные запросы отбрасываются сразу без начала их полноценной обработки и без передачи бэкенду. Для того, чтобы добиться полного цикла обработки запроса атакующий вначале может отправить корректный HTTP-запрос, но следом за ним передать некорректную последовательность управляющих кадров HTTP/2. Подобная активность приведёт к тому, что сервер начнёт полноценно обрабатывать запрос, но потом из-за ошибки при обработке следом идущих кадров сбросит поток (переведёт поток с корректным запросом в состояние RST_STREAM).

Наличие проблемы подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, Zephyr RTOS. Проблема проявляется также на сайтах и серверных сервисах Mozilla. Apache httpd, Apache Traffic Server, Node.js, LiteSpeed и HAProxy проблеме не подвержены. Статус наличия уязвимости в nginx не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63726

Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme

В новом выпуске:

• Устранена уязвимость (CVE-2025-53859) в модуле ngx_mail_smtp_module, приводящая к чтению данных из области памяти вне буфера при обработке специально оформленных значений логина и пароля при использовании метода аутентификации "none". Уязвимость может привести к утечке содержимого памяти рабочего процесса nginx в HTTP-запросе к внешнему серверу аутентификации. Патч.
• По умолчанию отключено сжатие сертификатов TLSv1.3.
• Добавлена директива "ssl_certificate_compression" для управления сжатием TLS-сертификатов.
• В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.
• Устранена ошибка, приводившая к буферизации HTTP-ответа 103 при использовании HTTP/2 и директивы "early_hints".
• Устранена ошибка в обработчике параметра "none" в директиве "smtp_auth".
• В реализации HTTP/3 решена проблема с обработкой номера порта в заголовке "Host".
• Устранена проблема, проявлявшаяся при использовании одинаковых значений в заголовках "Host" и ":authority" при использовании HTTP/2.
• Налажена сборка в NetBSD 10.0.

Отдельно компания F5 представила предварительный выпуск модуля ngx_http_acme, предоставляющего возможности для автоматизации запроса, получения и обновления сертификатов с использованием протокола ACMEv2 (Automatic Certificate Management Environment), применяемого удостоверяющим центром Let’s Encrypt. При использовании http_acme администраторам не нужно заботиться об обновлении сертификатов, на основе параметров в конфигурации модуль сам получит необходимые сертификаты в Let’s Encrypt или другом сервисе, поддерживающем протокол ACME. Код модуля написан на языке Rust с использованием SDK NGINX-Rust.

   acme_issuer letsencrypt { 
       uri         https://acme-v02.api.letsencrypt.org/directory; 
       state_path  /var/cache/nginx/acme-letsencrypt; 
       accept_terms_of_service; 
   }
   server { 
       listen 80; # ACME HTTP-01 challenge
       location / { 
          return 404; 
       }  
   }

   server { 
       listen 443 ssl; 
       server_name  .example.com; 
       acme_certificate letsencrypt; 
       ssl_certificate       $acme_certificate; 
       ssl_certificate_key   $acme_certificate_key; 
       ssl_certificate_cache max=2; 
   }

Выпуск открытой P2P-системы синхронизации файлов Syncthing 2.0

Кроме решения задач по синхронизации данных между несколькими устройствами одного пользователя, при помощи Syncthing возможно создание больших децентрализованных сетей для хранения совместно используемых данных, которые распределены по системам участников. Предоставляются средства контроля доступа и создания исключений для синхронизации. Возможно определение хостов, которые будут только получать данные, т.е. изменение данных на этих хостах не будет отражаться на экземплярах данных, хранимых на других системах. Поддерживается несколько режимов версионирования файлов, при которых сохраняются прошлые версии изменившихся данных.

При синхронизации файл логически разбивается на блоки, которые неделимы при передаче данных между системами пользователя. При синхронизации на новое устройство, в случае наличия идентичных блоков на нескольких устройствах, копирование блоков производится с разных узлов, по аналогии с работой системы BitTorrent. Чем больше устройств участвуют в синхронизации, тем быстрее будет проходить репликация новых данных за счёт распараллеливания. В процессе синхронизации изменённых файлов, по сети передаются только изменившиеся блоки данных, а при переименовании или изменении прав доступа синхронизируются только метаданные.

Каналы передачи данных формируются при помощи TLS, все узлы аутентифицируют друг друга по сертификатам и идентификаторам устройств, для контроля целостности применяется SHA-256. Для определения узлов синхронизации в локальной сети может быть использован протокол UPnP, при котором не требуется ручной ввод IP-адресов синхронизируемых устройств. Для настройки системы и мониторинга предусмотрен встроенный web-интерфейс, CLI-клиент и GUI на базе библиотеки GTK, в котором дополнительно предоставляются средства управления узлами синхронизации и репозиториями.

Ключевые изменения в новой ветке:

• Бэкенд хранения переведён с БД LevelDB на SQLite. Миграция данные производится автоматически при первом запуске после обновления. Предполагается, что использование SQLite упростит сопровождение и анализ данных, а также сократит число ошибок.
• Изменён формат ведения логов, которые теперь формируются в структурированном виде (сообщение + параметры в формате ключ-значение). Добавлен новый уровень логов - WARNING, который не столь подробен как INFO, но охватывает больше информации по сравнению с уровнем ERROR. Предоставлена возможность назначать разные уровни логов разным пакетам.
• Прекращено вечное хранение удалённых элементов в БД, подобные элементы теперь удаляются через 6 месяцев (время можно изменить через опцию "--db-delete-retention-interval".
• Улучшен код для разбора опций командной строки и прекращена поддержка устаревшего формата с одним тире (т.е. вместо "-home" следует указывать "--home"). Переименованы или переведены в разряд подкоманд некоторые опции.
• Прекращено создание каталога по умолчанию при первом запуске.
• Задействована установка нескольких сетевых соединений между устройствами, использующими Syncthing 2.x. По умолчанию создаётся три соединения - одно для метаданных индекса и два для обмена данными.
• Изменён алгоритм разрешения конфликтов в ситуации удаления файлов.
• Из-за сложностей кросс-компиляции SQLite прекращена сборка готовых исполняемых файлов для платформ dragonfly/amd64, illumos/amd64, solaris/amd64, linux/ppc64, netbsd/*, openbsd/386, openbsd/arm и windows/arm.

Выпуск языка программирования Go 1.25

Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Оберон. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет добиться производительности, сопоставимой с программами на языке Си.

Проект изначально разрабатывается с оглядкой на многопоточное программирование и эффективную работу на многоядерных системах. Например, на уровне операторов реализованы средства для организации параллельных вычислений и взаимодействия между параллельно выполняемыми методами. Язык также предоставляет встроенные средства защиты от выхода за границы буфера и обеспечивает возможность использования сборщика мусора.

Среди изменений в новом выпуске:

• Добавлен экспериментальный сборщик мусора "greenteagc", рассчитанный на повышения производительности создания и сканирования мелких объектов. В приложениях, в которых активно применяется сборка мусора, при использовании "greenteagc" отмечается сокращение накладных расходов на сборку мусора на 10—40%.
• Добавлены экспериментальные пакеты encoding/json/v2 и encoding/json/jsontext. Первый пакет включает переработанную высокопроизводительную реализацию пакета encoding/json. Второй пакет предлагает функции для низкоуровневой обработки синтаксиса JSON.
• В состав включён новый пакет testing/synctest для тестирования синхронизации между разными потоками параллельно выполняемого кода.
• В команде "go build" по умолчанию активирована опция "-asan", выполняющая проверку утечек памяти при завершении работы программы.
• В команду "go vet" добавлены новые анализаторы "waitgroup" и "hostport" для проверки некорректного использования sync.WaitGroup.Add и fmt.Sprintf("%s:%d", host, port).
• При вычислении значения GOMAXPROCS теперь не просто выставляется число доступных логических CPU, но и учитываются применяемые в контейнерах ограничения производительности CPU.
• В компиляторе и компоновщике реализована поддержка генерации отладочной информации в формате DWARF5, обеспечивающем более компактное представление данных.

Выпуск проприетарного драйвера NVIDIA 580.76.05

Основные изменения:

• Обновлены компоненты egl-x11 1.0.3 и egl-wayland 1.1.20.
• В параметр MetaMode добавлен атрибут "OutputBitsPerComponent", позволяющий управлять числом бит для каждого компонента цвета, передаваемого через дисплейный порт.
• Решены проблемы с зависанием и аварийным завершением приложений, использующих графический API Vulkan. Среди прочего, исправлено аварийное завершение приложений GTK 4, использующих бэкенд на базе Vulkan в окружениях Wayland, а также аварийное завершение llama.cpp при использовании Vulkan.
• Добавлена поддержка Wayland-протокола fifo-v1, реализующего FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности. С практической стороны протокол позволяет при выводе использовать ожидание завершения вертикальной развёртки (vblank) вместо использования callback-вызовов при каждой готовности отобразить новый кадр, что решает проблему с высокой нагрузкой на GPU при использовании VSync.
• Включён по умолчанию параметр RMIntrLockingMode, активирующий режим обработки прерываний дисплейного контроллера с минимальными задержками. Режим полезен для сокращения подвисаний в системах виртуальной реальности в условиях высокой нагрузки на систему.
• Добавлен экспериментальный режим для сокращения процессорного времени, затрачиваемого на обработку прерываний на экранах с низкими задержками вывода. Для включения в модуле nvidia.ko можно использовать параметр "NVreg_RegistryDwords==RmEnableAggressiveVblank=1".
• Решена проблема с отрисовкой пустого экрана при запуске GXL-приложений, использующих одинарную буферизацию, под управлением Xwayland.
• Устранена ошибка, приводившая после выхода из спящего режима к увеличению потребления памяти в приложениях, использующих X11 OpenGL и Vulkan.
• Устранено аварийное завершение 32-разрядных приложений на системах с новыми сборами glibc.

Выпуск Whonix 17.4, дистрибутива для анонимных коммуникаций

Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Компоненты представляют собой отдельные системные окружения, поставляемые внутри одного загрузочного образа и запускаемые в разных виртуальных машинах. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера или эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, работающего на базе Whonix-Gateway, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы, как VLC, Tor Browser, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что позволяет обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные изменения:

• Обновлены сборки на базе компонентов защищённого дистрибутива Kicksecure, расширяющего Debian дополнительными механизмами и настройками для повышения безопасности: AppArmor для изоляции, установка обновлений через Tor, использование PAM-модуля tally2 для защиты от подбора паролей, расширение энтропии для RNG, отключение suid, отсутствие открытых сетевых портов по умолчанию, использование рекомендаций от проекта KSPP (Kernel Self Protection Project), добавление защиты от утечки сведений об активности CPU и т.п.
• В мастере анонимных соединений (anon-connection-wizard) повышена надёжность конфигурации прокси.
• По умолчанию прекращена установка Mozilla Thunderbird из-за изменения условий использования от Mozilla.
• В пакете anon-gw-base-files реализован автозапуск панели sysmaint (управление системой и выполнения административных задач) на системах Whonix-Gateway, не использующих Qubes.
• В sysmaint-panel скрыты лишние кнопки и добавлены инструменты управления Tor для Whonix-Gateway.
• В systemcheck из списка поддерживаемых виртуализаторов удалён QEMU.
• Сообщается, что вероятно Whonix 17.4 станет последним выпуском на базе Debian 12. В настоящее время уже началось портирование на Debian 13.

Релиз CrossOver 25.1 для Linux и macOS

В новой версии:

• Решены проблемы с launcher-ами Electronic Arts (EA) и Ubisoft.
• Решены проблемы с игровыми контроллерами, среди прочего повышена совместимость с контроллерами Xbox и 8BitDo Pro.
• Обновлена база данных совместимости с играми, предоставляющая необходимые настройки.
• Решены проблемы с загрузкой игр из Steam при включении msync, а также проблемы с соединением со Steam.
• Устранены проблемы при подключении к учётной записи Outlook в Office 365.
• Повышена стабильность работы MS Office 2016 в Linux.

Bcachefs будет исключён из ядра Linux из-за конфликта между разработчиком и мэйнтейнерами

Bcachefs — одна из файловых систем Linux, конкурирующая с Btrfs и ZFS, и использующая механизм Copy-on-Write (COW), при котором изменения не приводят к перезаписи данных - новое состояние записывается в новое место, после чего меняется указатель актуального состояния. Исключение Bcachefs из основного дерева ядра усложнит жизнь пользователям, которым придётся полагаться на сторонние сборки или ждать официального возвращения в основную ветку разработки.

Конфликт между Кентом и рядом ключевых мэйнтейнеров продолжается уже несколько лет. По словам участников, дело не столько в технических аспектах или нарушении процедур разработки ядра, сколько в потере доверия. Недавний спор о том, была ли функция journal_rewind исправлением ошибки или новой функциональностью, стала последней каплей и Линус Торвальдс прямо заявил, что для восстановления доверия необходима длительная демонстрация конструктивной работы с другими мэйнтейнерами.

Линус Торвальдс считает, что проблема носит системный характер и касается не только его лично, но и всей группы мейнтейнеров файловых систем и подсистемы виртуальной памяти. Любые обещания "вести себя лучше" недостаточны — нужны реальные доказательства, что взаимодействие с другими разработчиками проходит без конфликтов. По мнению Линуса, это должно происходить, пока Bcachefs будет поддерживаться вне основного дерева ядра.

Кент Оверстрит считает, что Bcachefs уже стабилен и имеет широкую пользовательскую базу. Он уверяет, что соблюдает правила слияния изменений и вносит исправления только в критических случаях. При этом Кент выступает за работающий процесс подготовки релизов, который позволит быстро доставлять исправления пользователям.

Судьба Bcachefs в ближайшей перспективе, по всей видимости, будет связана с его развитием вне основной кодовой базы ядра — через дистрибутивы Linux и сторонние репозитории. Восстановление доверия может занять годы и потребует от Кента активного участия в других проектах ядра и сотрудничества с уважаемыми мэйнтейнерами.

Материал написан, как результат личной переписки с Линусом и Кентом, которая, к сожалению, не позволяет разглашать более подробные детали.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63717

Релиз сборочной системы CMake 4.1.0

CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки.

Основные изменения:

• В cmake-configure-log обеспечен вывод событий из команд find_package(), find_path(), find_file(), find_library() и find_program() при их первом вызове, когда результат меняет статус с "не найден" на "найден".
• В команду cmake_pkg_config() добавлена поддержка подкоманд IMPORT и POPULATE для работы с зависимостями на базе pkg-config.
• Добавлена переменная CMAKE_FIND_REQUIRED, выставляющая режим REQUIRED в командах find_package(), find_path(), find_file(), find_library() и find_program(). Для игнорирования значения переменной в командах может применяться ключевое слово OPTIONAL.
• В модулях FindBLAS и FindLAPACK реализована поддержка NVPL (NVIDIA Performance Libraries).
• В операциях string(REGEX MATCHALL), string(REGEX REPLACE) и list(TRANSFORM REPLACE) реализована поддержка метки начала ("^") в регулярных выражениях.
• Выражение генератора TARGET_PROPERTY теперь охватывает свойства LINK_LIBRARIES и INTERFACE_LINK_LIBRARIES.

Организации AOUSD и ASWF представили новые рекомендации по инклюзивной терминологии

Помимо ранее не рекомендованных к применению терминов, новые рекомендации предлагают избегать использование следующих слов:

• Sanity Check → validation check, consistency check, logic check, gut check
• Dummy → placeholder, stub, sample
• Hung → stalled, unresponsive
• Native feature/support → core feature/support, built-in feature/support
• Pow-wow → huddle, sync, meeting

Остальные рекомендации по заменам:

• Социальное неравенство
  • Master, slave → primary/main, secondary/replica
  • Owner, master → lead, manager, expert, primary
  • Blacklist/whitelist → deny/allow list, exclusion/inclusion list
  • Black box/white box → closed/open, opaque/transparent
  • Black hat/white hat → malicious hacker/approved hacker, hostile/friendly
• Упоминание гендеров
  • Man hours → labor hours, work hours
  • Manpower → labor, workforce
  • Guys → folks, people, engineers/artists, team
  • Girl/Girls → woman/women (для женщин старше 18 лет)
  • Middleman → middle person, mediator, liaison, go-between
  • he/him/his, she/her/hers → they, them, theirs
• Превосходство над другими
  • Crazy, insane → unpredictable, unexpected, hectic
  • Normal → typical, usual
  • Abnormal → atypical, unusual
• Привязка к возрасту
  • Legacy, Grandfather, grandfathering → flagship, established, rollover, carryover
• Агрессия
  • Crushing it, killing it → elevating, exceeding expectations, excelling

Microsoft берёт на себя управление GitHub

После поглощения компанией Microsoft сервис GitHub функционировал как независимое бизнес-подразделение, имеющее собственное руководство, сохранявшее прежнюю философию в отношении построения продуктов и ориентированное на удовлетворение интересов и потребностей разработчиков.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63711

Уязвимость в ядре Linux, позволяющая обойти sendbox-изоляцию Chrome

Уязвимость вызвана ошибкой в реализации флага MSG_OOB, который можно выставить для сокетов AF_UNIX. Флаг MSG_OOB ("out-of-band") позволяет прикрепить дополнительный байт к отправляемым данным, который получатель может прочитать до получения остальных данных. Данный флаг был добавлен в ядре Linux 5.15 по запросу Oracle и в прошлом году предлагался для перевода в разряд устаревших, как не получивший широкого распространения.

В реализации sandbox-окружении Chrome разрешены операции с UNIX-сокетами и системные вызовы send()/recv(), в которых флаг MSG_OOB допускался наряду c другими опциями и не был отдельно отфильтрован. Ошибка в реализации MSG_OOB позволяла добиться обращения к памяти после её освобождения (use-after-free) после выполнения определённой последовательности системных вызовов:

   char dummy;
   int socks[2];
   socketpair(AF_UNIX, SOCK_STREAM, 0, socks);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, 0);
   recv(socks[0], &dummy, 1, MSG_OOB);

Выпуск СУБД Redis 8.2

СУБД Redis поддерживает транзакции, позволяющие выполнить за один шаг группу команд, гарантируя непротиворечивость и последовательность (команды от других запросов не могут вклиниться) выполнения заданного набора команд, а в случае проблем позволяя откатить изменения. Все данные в полном объёме кэшируются в оперативной памяти. Клиентские библиотеки доступны для большинства популярных языков, включая Perl, Python, PHP, Java, Ruby и Tcl.

Для управления данными предоставляются такие команды, как инкремент/декремент, стандартные операции над списками и множествами (объединение, пересечение), переименование ключей, множественные выборки и функции сортировки. Поддерживается два режима хранения: периодическая синхронизация данных на диск и ведение на диске лога изменений. Во втором случае гарантируется полная сохранность всех изменений. Возможна организация master-slave репликации данных на несколько серверов, осуществляемая в неблокирующем режиме. Доступен также режим обмена сообщениями "публикация/подписка", при котором создаётся канал, сообщения из которого распространяются клиентам по подписке.

Ключевые изменения в Redis 8.2:

• Проведена оптимизация более 70 команд, которые стали работать быстрее, чем в Redis 8.0. Например, команда BITCOUNT стала быстрее на 35%, а команды для операции со списками LINSERT, LREM и LPOS - быстрее на 25%. 17 из оптимизированных команд стали быстрее минимум на 5%, а 52 - минимум на 2%.
  
  
• Проведены оптимизации кода обработки одновременных операций и многопоточного ввода/вывода, позволившие на 49% увеличить число обрабатываемых операций в секунду в тестах c 8 потоками ввода/вывода при распределении нагрузки в 20% запросов на запись и 80% на чтение. На одном сервере удалось превысить рубеж в 1 миллион обрабатываемых операций в секунду.
  
  
• Фундаментально изменён метод хранения данных в формате ключ/значение - для хранения теперь используется унифицированная структура kvobj, позволяющая упаковывать имя ключа, короткое значение и время жизни в одном блоке выделяемой памяти и обойтись одной ссылкой на эту структуру в хэш таблицах, вместо отдельных ссылок на ключи, данные и TTL. При хранении коротких строковых значений новый метод хранение позволил сократить потребление памяти на 25-37%.
  
  
• Проведена оптимизация хранения данных в формате JSON, позволившая снизить потребление памяти на 25-67% при хранении целых чисел и чисел с плавающей запятой.
• В механизм Streams, применяемый для обработки и хранения потока сообщений, добавлены новые команды XACKDEL и XDELEX, упрощающие работу с потоками, к которым подключено несколько получателей (consumer groups). Команды решают задачу удаления сообщения только после того, как его получение будет подтверждено всеми обработчиками.
• В команду BITOP, предназначенную для выполнение битовых операций, добавлены новые логические операторы DIFF, DIFF1, ANDOR и ONE.
• Добавлен новый тип индексов векторов SVS-VAMANA, поддерживающий сжатие векторов.
• Добавлены новые метрики: нагрузка в разрезе отдельных слотов и распределение размеров ключей для базовых типов данных.

Выпуск программы для перекодирования видео HandBrake 1.10.0

Программа может перекодировать видео с BluRay/DVD-дисков, копий каталогов VIDEO_TS и любых файлов, формат которых поддерживается библиотеками libavformat и libavcodec из состава FFmpeg. На выходе могут быть сформированы файлы в таких контейнерах, как WebM, MP4 и MKV, для кодирования видео могут быть применены кодеки AV1, H.266, H.265, H.264, MPEG-2, VP8, VP9 и Theora, для звука - AAC, MP3, AC-3, Flac, Vorbis и Opus. Из дополнительных функций присутствуют: калькулятор битрейта, предпросмотр в процессе кодирования, изменение размера и масштабирование картинки, интегратор субтитров, широкий набор профилей конвертации для заданных типов мобильных устройств.

В новом выпуске:

• Добавлен набор преднастроек "Social 10MB", позволяющий формировать видео для online-сервисов, таких как Discord, допускающих бесплатную загрузку роликов, размером до 10МБ.
• Улучшен проброс метаданных с переносом в новое видео сведений о дате создания, обложке и местоположении.
• Добавлена опция для отключения проброса "Dolby Vision" и "HDR10+".
• Для видео с высоким разрешением уличшены метрики производительности Framerate Shaper.
• Добавлена возможность настройки цветового диапазона в кодировщике видео.
• Для звуковых файлов добавлена опция для отключения проброса имён треков и отключения автонаименования.
• Обновлены версии библиотек, включая FFmpeg 7.1.1, HarfBuzz 11.3.3, libjpeg-turbo 3.1.1, libogg 1.3.6, SVT-AV1 3.1.0, x264 и x265.
• Добавлена поддержка аппаратного декодировщика VideoToolbox AV1. Снижена нагрузка на CPU при использовании кодировщиков и декодировщиком VideoToolbox.

Релиз Debian GNU/Hurd 2025

Debian GNU/Hurd остаётся единственной активно развиваемой платформой Debian, созданной на базе ядра, отличного от Linux (ранее развивался порт Debian GNU/KFreeBSD, но он давно находится в заброшенном состоянии). Платформа GNU/Hurd не входит в число официально поддерживаемых архитектур Debian, поэтому релизы Debian GNU/Hurd формируются отдельно и имеют статус неофициального выпуска Debian.

GNU Hurd представляет собой ядро, развиваемое в качестве замены ядра Unix и оформленное в виде набора серверов, работающих поверх микроядра GNU Mach и реализующих различные системные сервисы, такие как файловые системы, сетевой стек, система управления доступом к файлам. Микроядро GNU Mach предоставляет IPC-механизм, используемый для организации взаимодействия компонентов GNU Hurd и построения распределённой мультисерверной архитектуры.

В новом выпуске:

• Задействована пакетная база дистрибутива Debian 13.
• Реализована полноценная поддержка 64-разрядных систем. Степень поддержки пакетов в 64-разрядной сборке доведена до уровня i386.
• В 64-разрядном окружении задействованы драйверы дисков из NetBSD, работающие в пространстве пользователя и основанный на предложенном проектом NetBSD механизме rump (Runnable Userspace Meta Program).
• Через Rump обеспечена поддержка USB-дисков и CD-ROM.
• По умолчанию задействованы расширенные атрибуты файлов (xattr) для бутстрэппинга из других операционных систем, используя mmdebstrap.
• Для GNU/Hurd портирован Rust.
• Подготовлены пакеты для поддержки SMP.
• В консоли для переключения раскладки клавиатуры задействован xkb.
• Добавлена поддержка acpi, rtc, apic, hpet.

ФС Btrfs позволила компании Meta снизить затраты на инфраструктуру

Релиз Debian 13

Для загрузки доступны установочные образы, загрузить которые можно по HTTP, jigdo или BitTorrent. Для архитектуры amd64 разработаны LiveUSB, доступные в вариантах с GNOME, KDE, LXDE, Xfce, Cinnamon и MATE, а также многоархитектурный DVD, сочетающий пакеты для платформы amd64 с дополнительными пакетами для архитектуры i386. Перед процедурой миграции с Debian 12 следует ознакомиться со следующим документом.

В репозитории представлено 69830 бинарных пакетов, что на 5411 пакетов больше, чем было предложено в Debian 12. По сравнению с Debian 12 добавлено 14116 новых бинарных пакетов, удалено 8844 (12%) устаревших или заброшенных пакетов, обновлено 44326 (63%) пакетов. Общий суммарных размер всех предложенных в дистрибутиве исходных текстов составляет 1 463 291 186 строк кода. Суммарный размер всех пакетов - 403 GB.

Для 96.9% пакетов обеспечена поддержка воспроизводимых сборок, позволяющих подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних изменений, подстановка которых, например, может быть совершена путём атаки на сборочную инфраструктуру или закладки в компиляторе.

Ключевые изменения в Debian 13.0:

• Добавлен официальный порт дистрибутива для систем на базе 64-разрядной архитектуры RISC-V.
• Добавлен порт "loong64" для систем на базе архитектуры набора команд LoongArch, применяемой в процессорах Loongson 3 5000 и реализующей RISC ISA, похожий на MIPS и RISC-V. Порт не включён в число официально поддерживаемых.
• Удалены порты "mipsel" и "mips64el" для систем на базе архитектуры MIPS. Порт "mipsel" был одним из старейших поддерживаемых портов Debian, старше которого только порт для процессоров i386. Причиной удаления стали технические проблемы, такие как ограничение размера памяти в пространстве пользователя в 2Gb и наличие проблем со сборкой.
• Прекращено формирования официальных установочных сборок и пакетов с ядром для 32-разрядных систем x86, но сохранено наличие официально поддерживаемого репозитория пакетов и multi-arch-репозитория, возможности развёртывания 32-разрядных окружений в изолированных контейнерах и инструментария для обеспечения сборки 32-разрядных приложений. Архитектура i386 в Debian теперь ограничивается поддержкой запуска 32-разрядных приложений в 64-разрядном окружении x86_64 (при сборке используются инструкции SSE2, которые недоступны в большинстве 32-разрядных процессоров, поддерживавшихся в Debian 12).
• Полностью решена проблема 2038 года. Все пакеты переведены на использование 64-разрядного типа time_t в портах дистрибутива для 32-разрядных архитектур, в которых продолжал использоваться 32-разрядный тип time_t (не может применяться для обработки времени позднее 19 января 2038 года из-за переполнения счётчика секунд, прошедших после 1 января 1970 года).
• В инсталляторе изменена логика управления разделами EFI, и добавлен режим восстановления систем, установленных в подраздел Btrfs. Исключены прошивки, которые не требуются при установке, не могут работать без несвободных пакетов или бесполезны при текущих настройках ядра. Прекращена поддержка grub-legacy и win32-loader. Возобновлена поддержка использования не-ASCII символов в полном имени пользователя. Добавлена поддержка плат и устройств: Pine64 Pinebook, MNT Reform 2, AM64x HummingBoard-T, Pine64 Star64, Wandboard rev D1, а также ноутбуков и планшетов на базе ARM SoC Snapdragon X Elite.
• В инсталлятор и Live-сборки добавлен режим удалённой загрузки "HTTP Boot", при котором загрузочные образы доставляются при помощи протокола HTTP (URL iso-образа вводится в интерфейсе прошивки UEFI или U-Boot).
• Для хранения каталога со временными файлами /tmp задействована файловая система tmpfs, использующая размещаемый в оперативной памяти RAM-диск, который может быть вытеснен в раздел подкачки при нехватке свободной памяти. Применение tmpfs позволяет сократить число операций записи на физический накопитель, снизить энергопотребление жёстких дисков, продлить жизнь SSD-накопителей, увеличить производительность работы с временными файлами. Для возвращения хранения /tmp в обычной ФС можно использовать команду "systemctl mask tmp.mount".
• Исключены команды last, lastb и lastlog, которые были завязаны на файлы /var/log/wtmp, /var/log/btmp, /var/run/utmp и /var/log/lastlog, использующие 32-разрядный тип time_t, который невозможно заменить на 64-разрядный без изменения ABI Glibc и нарушения совместимости с приложениями. Вместо данных утилит рекомендовано использовать утилиты wtmpdb, lastlog2 и lslogins.
• Для определения и монтирования шифрованных ФС задействован пакет systemd-cryptsetup.
• На системах с архитектурой AMD64 и ARM64 задействованы расширения Intel CET (Control-flow Enforcement Technology), ARM PAC (Pointer Authentication) и BTI (Branch Target Identification) для защиты от эксплоитов, использующих методы возвратно-ориентированного программирования (ROP - Return-Oriented Programming). При использовании техники ROP атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Суть защиты в том, что после передачи управления функции, адреса возврата сохраняются процессором не только в обычном стеке, но и в отдельном теневом стеке, который не может быть изменён напрямую.
• Добавлена поддержка утилиты run0, поставляемой в systemd для выполнения процессов под идентификаторами других пользователей. Утилита реализована в форме надстройки над командой systemd-run и преподносится как более безопасная замена программы sudo.
• Задействована ветка пакетного менеджера APT 3.0, в которой переработан интерфейс пользователя, активирован движок разрешения зависимостей Solver3, добавлена поддержка снапшотов, прекращено использования утилиты apt-key, добавлен крипто-бэкенд для библиотеки OpenSSL и реализована команда 'dist-clean'.
• Добавлена команда debian-repro-status для проверки состояния воспроизводимой сборки для установленных в текущей системе пакетов.
• Завершена миграция дистрибутива с использования отдельного раздела /usr на представление, при котором каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr.
• Ядро Linux обновлено до версии 6.12. Задействованы новые выпуски systemd 257, bash 5.2.37, Glibc 2.41, OpenSSL 3.5.
• В состав вошли выпуски сред рабочего стола GNOME 48, KDE Plasma 6.3, LXDE 13, LXQt 2.1.0 и Xfce 4.20. Обновлён графический стек.
• Обновлены пользовательские приложения, например, LibreOffice 25.2. GIMP 3.0.2, Inkscape 1.4, Vim 9.1.
• Обновлены серверные приложения, например, BIND 9.20, Postfix 3.10, Exim 4.98, PostgreSQL 17, MariaDB 11.8, nginx 1.26, OpenJDK 21, OpenSSH 10.0, Samba 4.22, QEMU 10.0, Docker 26.1.5, Xen 4.20.
• Обновлены средства разработки, например, GCC 14.2, LLVM/Clang 19, Perl 5.40, PHP 8.4, Python 3.13, Rust 1.85, Go 1.24.
  
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=63702

Выпуск дистрибутива PocketHandyBox, предназначенного для тестирования ПК и ноутбуков

Версии ядра Linux: 6.12 и 5.10 для x86_64, 6.1 для i686. Для x86_64 ядер собраны модули OpenZFS. Ядро 5.10 собрано с патчем intel-nvme-remap из EndlessOS для обеспечения доступа к NVMe SSD при включенной в UEFI Setup настройке "Intel RST Premium With Optane" на платформах Intel Core i3/i5/i7 6-10ого поколений. Для задействования драйвера Broadcom WL для WiFi адаптеров 802.11n которые не работают со свободными драйверами предусмотрен скрипт "bcmwload".

В поставку включены четыре версии проприетарных драйверов NVIDIA - актуальная 570.x, и legacy 470.x, 390.x и 340.x. В скрипте начальной загрузки реализовано автоматическое определение видеокарт NVIDIA на основе PCI ID и загрузка модуля с соответствующей версией драйвера. Если требуется 340.x драйвер - при загрузке необходимо выбирать 5.10 ядро Linux.

Размер дистрибутива оптимизирован для использования в режиме copy2ram (даёт возможность после загрузки извлечь USB-носитель/сетевой кабель). При этом копируются в оперативную память только задействованные squashfs-модули, а не все содержимое .iso образа целиком.

Initrd базируется на коде Porteus, адаптированном для использования с Debian и OverlayFS проектом DogLinux. Используются система инициализации SysVinit. Для монтирования накопителей используется pup-volume-monitor (вместо gvfs и udisks2), при загрузке с ядрами 6.1 и 6.12 задействован драйвер ntfs3 вместо ntfs-3g.

Скрипт "mod-get" позволяет скачать следующие проприетарные приложения с сайтов их разработчиков: DMDE, Hard Disk Sentinel Linux Edition, R-TT R-Linux, Geeks3D FurMark2 и GpuTest, Unigine Heaven и Valley. Создает из них squashfs-модули, которые нужно поместить на USB носитель в каталог "phb/modules" (и "phb/modules32" для i686 версии соответственно) для автоматического подключения при загрузке.

Для ноутбуков с гибридными видеоподсистемами предусмотрен скрипт "gpu-switch-launcher", который позволяет запустить FurMark2, GpuTest, Unigine Heaven и Valley на дискретной видеокарте, передав необходимые переменные окружения. Скриптом поддерживаются как драйвера NVIDIA, так и драйвера из состава Mesa (для видеокарт AMD и Intel). Для legacy драйверов 390.x и 340.x (из за отсутствия в них поддержки PRIME render offload) переключение на NVIDIA производится без возможности выбора.

Можно устанавливать необходимое дополнительное ПО из репозиториев Debian, а также создавать модули с помощью скриптов "apt2squashfs" и "changes2sfs". Поддерживается активация squashfs-модулей после загрузки системы с помощью скрипта "loadmodule" или пункта "Activate module" в меню файлового менеджера Thunar.

Shell-cкрипты и файлы конфигурации можно копировать на USB-носитель в каталог "phb/rootcopy" и они будут применены при загрузке без необходимости пересборки .iso образа и модулей.

Поддерживается загрузка в UEFI и режиме Legacy/CSM, в том числе по сети через PXE с NFS. Поддерживается загрузка с устройств USB/SATA/NVMe и с файловых систем FAT32/exFAT/Ext2/3/4/NTFS, а также загрузка .iso образа в Ventoy (требуется версия 1.0.80 или новее), grub2 и grub4dos (версия 0.4.6a chenall). Secure Boot не поддерживается, его требуется отключать. Загрузка с файловой системы ZFS не поддерживается.

Источник: https://www.opennet.ru/opennews/art.shtml?num=63703