Новости Linux

vladimir59

Модератор
Сообщения
28,692
Баллы
113
В SUSE/openSUSE будет отключена по умолчанию поддержка нетипичных файловых систем

Разработчики SUSE объявили о намерении отключить по умолчанию устаревшие или редко применяемые файловые системы, поддерживаемые ядром Linux. Изменение планируется включить в состав будущих выпусков SLE 15-SP1 и OpenSUSE Leap 15.1. В качестве причины называется желание защитить систему от возможных атак, проводимых через подключение носителей со специально модифицированными ФС, эксплуатирующих уязвимости в их реализациях.

Модули с реализацией 21 ФС занесены в чёрный список и не будут загружаться по умолчанию при подключении накопителя с данными ФС. Изменение влияет только на автозагрузку модулей при монтировании с автоматическим определением ФС - пользователь по-прежнему может вручную примонтировать ФС при помощи команды mount, явно указав тип ФС (например, "mount -t jfs"), или загрузив нужный модуль (например, "modprobe jfs"). Отмечается, что для многих из помещённых в чёрный список ФС сопровождение давно сводится лишь к поддержанию совместимости с API ядра и их код никогда не проходил аудит и возможно содержит уязвимости, которые можно эксплуатировать при подключении вредоносного внешнего накопителя.

В список блокируемых по умолчанию ФС в том числе попала активно развиваемая компанией Samsung файловая система F2FS, используемая на Flash-накопителях мобильных устройств. В качестве причины помещения F2FS в чёрный список называется отсутствие в данной ФС механизма определения версии ФС, что не позволяет гарантировать сохранение совместимости при бэкпортировании исправлений проблем с безопасностью.

Состав чёрного списка:

adfs
affs
bfs
befs
cramfs
efs
erofs
exofs
freevxfs
f2fs
hfs (автозагрузка модуля hfsplus сохранена)
hpfs (OS/2)
jffs2
jfs
minix
nilfs2
qnx4
qnx6
sysv
ubifs
ufs
В список планируется также добавить omfs и ntfs (давно не развивается, следует использовать ntfs-3g)
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Избавиться от вредного ПО под Linux можно, заразившись неуживчивым майнером


Новая вредоносная программа сочетает фрагменты кода Xbash и Korkerds, с помощью которых обеспечивается ее устойчивое присутствие в системе, а также уничтожение конкурирующих майнеров и всего, что с ними связано.

Неуживчивый вредонос

Эксперты компании Trend Micro выявили новую вредоносную программу, которая устанавливает на платформы под управлением Linux криптомайнер и пытается истребить конкурирующие с ним программы.

Скрипт, устанавливающий криптомайнер XMR-Stak Cryptonight, попался в одну из ловушке (honeypot) Trend Micro, так что экспертам удалось его проанализировать во всех подробностях.

Как оказалось, код содержит фрагменты от других вредоносных программ, в частности, Xbash и Korkerds. Оригинальный Xbash — это многофункциональный вредонос, обнаруженный осенью 2018 г. Он сочетает функции шифровальщика, майнера, ботнета и червя. Korkerds, в свою очередь, также является майнером, который однако содержит также функции руткита, обеспечивающие ему устойчивую сохранность в зараженной системе.

Новообнаруженный гибрид использует функции руткита и для установки непосредственно майнера, и для сохранения присутствия в системе после всевозможных перезагрузок и удалений. Эксперты особо отмечают, что вредоносная программа инсталлируется и в систему, и в таблицы планировщика заданий Cron (crontab).

Согласно описанию экспертов, злоумышленники начинают заражать системы с некоторых IP-камер и веб-сервисов: через TCP-порт 8161 осуществлялась загрузка в специально подготовленный файл crontab.

Этот файл, в случае его успешной загрузки, позволял запускать атаку второго этапа, в рамках которой вредонос производил ряд действий. В частности, он удалял все установленные ранее криптомайнеры и любые связанные с ними службы, создавал новые директории и файлы, чтобы предотвратить запуск системных процессов, устанавливающих соединения с определенным списком IP-адресов.

Также он скачивал двоичный файл криптомайнера и запускал его, скачивал скрипт, сохраняя его в файл /usr/local/bin/dns, и создавал новый файл crontab для вызова этого скрипта в час ночи по местному времени. Кроме того он скачивал картинку под названием 1.jpg, которая сохранялась в другом файле crontab.

Заодно программа зачищала все системные логи, чтобы скрыть свое присутствие в системе.

Будущий тренд?

Эксперты отметили, что впервые наблюдают столь «всеобъемлющий» подход к истреблению конкурирующего вредоносного ПО под Linux, какой демонстрирует эта программа.

«Вполне логично, что создатели криптомайнера хотят, чтобы их программа использовали ресурсы зараженных систем в эксклюзивном порядке, — присутствие других майнеров снижает ее эффективность, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Не исключено, что такая зачистка конкурентов со временем станет стандартной функцией для вредоносных криптомайнинговых программ. Впрочем, для конечных пользователей зараженных систем от этого ничего не меняется: вредоносный криптомайнер — в любом случае проблема».
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Проект Hangover для запуска Windows-приложений на системах ARM64 c Linux и Android

Разработчики проекта Wine опубликовали первый публичный выпуск эмулятора Hangover, позволяющего запускать 32- и 64-разрядные Windows-приложения, собранные для архитектур x86 и x86_64, в окружениях Linux и Android на базе архитектуры ARM64 (Aarch64). Выпуск основан на кодовой базе Wine 4.0, что отражено в номере версии Hangover 0.4.0. Слой эмуляции базируется на наработках проекта QEMU.

В отличие от запуска Wine с минимальным системным окружением при помощи QEMU в режиме эмуляции на уровне системных вызовов (используется одно ядро с основной системой), проект Hangover позволяет добиться существенно более высокой производительности. Ускорение достигается за счёт переноса слоя эмуляции на уровень API Win32/Win64, вместо эмуляции штатных системных вызовов с последующей эмуляцией на их основе API Win32/Win64.

В настоящее время проект позволяет запускать лишь простые приложения и игры, использующие API Win64 и Win32. Для Linux реализована поддержка Direct3D, которая пока отсутствует для Android из-за неполной поддержки OpenGL ES в Wine. Для обеспечения работы используется штатная установка Wine, дополненная рядом DLL-библиотек и прослоек. В окружении Linux приложения Windows запускаются автоматически при наличии qemu в каталоге Wine ("C:\x86\qemu-x86_64.exe.so"). В Android для запуска предлагается использовать утилиту cmd.

Производительность Hangover пока оставляет желать лучшего. Основным узким местом является производительность кода, который генерирует QEMU. Тем не менее при запуске на устройстве Nvidia Shield Android TV производительности достаточно для выполнения игр начала двухтысячных годов. Среди протестированных в Hangover приложений отмечаются Notepad++, ANNO 1602, Age of Wonders, Warhammer 40k: Dawn of War, The Settlers II 10th Anniversary, Prince of Persia 3D, Worms 2 и Worms Armageddon. Примеры из DirectX 9 SDK также выполняется с приемлемой скоростью.

Что касается запуска 32-разрядных Windows-приложений (x86), их обработка производится на уровне трансляции структур, передаваемых между приложением и Wine (модель LLP64 в Windows подразумевает сохранение базовой совместимости структур между 32- и 64-разрядными WinAPI). Для запуска 32-разрядных Windows приложений используются 64-разрядные сборки Wine и каждый процесс перед обрабатывается как 64-разрядный. На стороне хост-систем пока поддерживаются только архитектуры ARM64 и x86_64, но код унифицирован, что позволяет без больших трудозатрат портировать проект и под другие архитектуры c порядком следования байт от младшего к старшему (little-endian).
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Релиз дистрибутива для исследования безопасности систем Kali Linux 2019.1

Представлен релиз дистрибутива Kali Linux 2019.1, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ (3.2 Гб) и сокращённый образ (929 Мб). Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17.

Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети, до программ для считывания данных с идентификационных RFID чипов. В комплект входит коллекция эксплоитов и более 300 специализированных утилит для проверки безопасности, таких как Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap, p0f. Помимо этого, в дистрибутив включены средства для ускорения подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit) через задействование технологий CUDA и AMD Stream, позволяющих использовать GPU видеокарт NVIDIA и AMD для выполнения вычислительных операций.

В новом выпуске обновлены версии входящих в состав компонентов, в том числе задействовано ядро Linux 4.19 (в прошлом выпуске было ядро 4.18), платформа для анализа уязвимостей Metasploit 5.0, а также пакеты theHarvester 3.0.0 и DBeaver 5.2.3. В сборку для систем ARM добавлена поддержка плат Banana Pi и Banana Pro. Унифицированы сборки для Raspberry Pi (в состав добавлен скрипт kalipi-tft-config для настройки TFT LCD, что позволило избавиться от раздельной поставки образов для плат с подключенными экранами).
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе

В ядре Linux выявлена уязвимость (CVE-2019-8912), которая позволяет непривилегированному пользователю выполнить свой код на уровне ядра. По мнению некоторых поставщиков потенциально возможно нахождение векторов для эксплуатации уязвимости по сети, но данные сведения пока не подтверждены. В том числе Национальный институт стандартов и технологий США (NIST) отметил проблему как удалённо эксплуатируемую и легко воспроизводимую.

Уязвимость вызвана ошибкой в реализации функции af_alg_release(), представленной в файле crypto/af_alg.c. Игнорирование установки значения NULL в некоторых полях структуры sockfs_setattr (sock->sk не выставлялся в NULL) может привести к обращению к уже освобождённым областям памяти (use-after-free) и созданию условий для выполнения кода непривилегированного локального пользователя в контексте ядра. Прототип эксплоита пока не подготовлен (потенциально атака может быть совершена через манипуляции с Crypto API с использованием сокета с типом AF_ALG).

Проблема была найдена в результате использования разработанного компанией Google анализатора KASAN (KernelAddressSanitizer), нацеленного на выявление ошибок при работе с памятью и фактов некорректного обращения к памяти, таких как обращения к освобождённым областям памяти и помещение кода в области памяти, не предназначенные для подобных манипуляций. KASAN был добавлен в состав ядра 4.0 и включается опцией "CONFIG_KASAN=y".

Уязвимость проявляется начиная с ветки ядра 2.6 и устранена в сегодняшних обновлениях ядра 4.20.11, 4.19.24, 4.14.102, 4.9.159, 4.4.175 и 3.18.135. Из дистрибутивов обновление пока выпущено только для Fedora. В Debian и Ubuntu уязвимость остаётся неисправленной. В ядрах из состава SUSE 11/12 и Red Hat Enterprise Linux 5/6/7 проблема не проявляется (не может быть эксплуатирована).
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Локальная root-уязвимость в реализации SCTP в ядре Linux

В реализации протокола SCTP, предлагаемой в ядре Linux, выявлена уязвимость (CVE-2019-8956), потенциально позволяющая локальному пользователю получить root привилегии в системе (выполнить код в контексте ядра). Прототип эксплоита пока не подготовлен.

Проблема вызвана ошибкой в коде функции sctp_sendmesg(), которая позволяет через манипуляцию с локальным сокетом создать условия для обращения к уже освобождённой области памяти (use-after-free). В частности, проблема проявляется при обработке списка ассоциаций получателей, привязанных к сообщению, отправленному по нескольким адресам в режиме SCTP_SENDALL. В случае удаления ассоциации во время перебора продолжается обработка повреждённого списка, в то время как в ранее используемой для элементов списка памяти могут находиться уже другие структуры ядра.

Проблема проявляется начиная с ядра 4.17 и исправлена в обновлениях 4.20.8 и 4.19.21, а также в тестовом выпуске 5.0rc6. Уязвимость не затрагивает дистрибутивы с версией ядра меньше 4.17, например, проблеме не подвержены Debian (кроме тестовых веток sid и buster), SUSE/openSUSE и RHEL/CentOS. Обновления пакетов уже выпущены для Arch Linux и Fedora. В Ubuntu 18.10 применяется ядро 4.18 и обновление пока недоступно.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Организация Linux Foundation выпустила LTS-ветку на базе ядра Linux 4.19

Организация Linux Foundation объявила об обеспечении длительного цикла поддержки для ветки ядра Linux 4.19. Поддержка будет осуществляться в рамках программы SLTS (Super Long Term Support), которая в отличие от выпусков LTSI (Long Term Support Initiative) обеспечивает более длительный цикл поддержки, ориентированный на применение ядра в технических системах гражданской инфраструктуры и в важных промышленных системах. Утверждается, что ветка SLTS будет поддерживаться 10-20 лет, на протяжении которых в ядро будут переноситься исправления, влияющие на надёжность и безопасность.

Для отслеживания обновлений в SLTS-ветке 4.19 предложен git-репозиторий linux-cip. Поддержанием SLTS ветки будет заниматься работающий под эгидой Linux Foundation проект Civil Infrastructure Platform (CIP), развивающийся при участии таких компаний, как Toshiba, Siemens, Renesas, Hitachi и MOXA. Кроме представителей вышеотмеченных компаний в сопровождение ядра SLTS будут вовлечены мэйнтейнеры LTS-веток основного ядра, разработчики Debian и создатели проекта KernelCI.

Кроме того, объявлено о добавлении систем ARM64 в число поддерживаемых платформой CIP. Платы на базе ARM64 добавлены в инфраструктуру тестирования ядра 4.19 SLTS и будут сопровождаться в числе основных архитектур. В дальнейшем рассматривается возможность распространения сверхдлительной поддержки на Glibc и BusyBox, которые вместе с ядром образуют минимальное системное окружение для критически важных систем. Также ведётся работа по созданию SLTS-ветки на базе ядра с патчами PREEMPT_RT, обеспечивающими поддержку работы в режиме реального времени.

Cписок LTS-веток, поддерживаемых разработчиками ядра Linux:

4.19 - поддержка до декабря 2020 года (поддерживает Greg Kroah-Hartman, SLTS-ветка сопровождается отдельно и будет поддерживаться 10-20 лет);
4.14 - поддержка до января 2020 года (поддерживает Greg Kroah-Hartman);
4.9 - поддержка до января 2023 года (поддерживает Greg Kroah-Hartman);
4.4 - поддержка до февраля 2022 года (до февраля 2018 поддерживал Greg Kroah-Hartman, а затем Google);
3.16 - поддержка до апреля 2020 (поддерживает Ben Hutchings из Debian);
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Атака с использованием вредоносных устройств с интерфейсом Thunderbolt

Группа исследователей из Кембриджского университета представила новый вид атак Thunderclap (PDF), позволяющий получить доступ к содержимому всей памяти компьютера при подключении специально модифицированных периферийных устройств с интерфейсом Thunderbolt. Проблема проявляется в Windows, мacOS, Linux и FreeBSD. Для демонстрации атаки на основе FPGA Arria 10 исследователями подготовлен прототип вредоносного устройства, а также эмулятор вредоносной сетевой карты на базе QEMU и необходимая для атаки программная начинка.

В отличие от атак BadUSB, в которых вредоносное USB-устройство эксплуатирует уязвимости в USB-стеке или притворяется USB-клавиатурой или сетевой картой для подстановки данных или перенаправления трафика, атака Thunderclap основана на методе обхода ограничений IOMMU и использовании DMA для выполнении операций в режиме прямого доступа устройства к памяти. При помощи DMA периферийное устройство может выполнить чтение и запись в любую область системной памяти. Для ограничения доступа через DMA в операционных системах и хост-контроллерах обычно применяется IOMMU (Input-Ouptut Memory Management Unit), который должен блокировать возможность совершения подобных атак и ограничивать доступ только к явно определённым областям совместно используемой памяти.



На деле ограничения IOMMU оказалось легко обойти во всех протестированных операционных системах путём симулирования подключения сетевого адаптера, для работы c которым операционной системой применяются иные методы взаимодействия без использования IOMMU. Особенности обработки пакетов с сетевой карты не позволяют в полной мере применять IOMMU, так как возникают существенные накладные расходы, заметно снижающие производительность. Например, в Linux можно полностью обойти защиту IOMMU через установку определённых флагов в сообщениях, отправляемых сетевой картой.

Более того, некоторые операционные системы обычно размещают различные внутренние структуры в областях памяти которые также используются для взаимодействия с периферийными устройствами, что позволяет осуществить атаку даже при применении IOMMU. Например, область памяти, используемая для отправки и получения пакетов, позволяет вредоносному устройству получить доступ к данным Unix-сокетов или незашифрованным данным, предназначенным для отправки через VPN. Кроме того, в случае использование общей памяти для всех устройств, одно устройство может получить доступ к данным других устройств, например, вредоносный сетевой адаптер может прочитать содержимое информации на экране или перехватить клавиатурный ввод.

Воспользовавшись предложенной техникой злоумышленник, имеющий физический доступ к компьютеру жертвы, во время отсутствия пользователя может подключить через порт Thunderbolt (в том числе Thunderbolt 3 поверх USB Type-C, Mini DisplayPort и PCI Express) специально подготовленное устройство и получить полный контроль за системой, в том числе извлечь из памяти конфиденциальные данные, такие как ключи доступа и платёжные идентификаторы, или организовать выполнение кода с максимальными привилегиями. Атака также может быть проведена для интеграции скрытой вредоносной функциональности в различное периферийное оборудование, такое как зарядные устройства и проекторы.



В Linux исправления, блокирующие проблему, будут предложены в ядре 5.0, выпуск которого запланирован на следующую неделю. Защита реализована через обязательное применение IOMMU для Thunderbolt и блокирование обходных путей работы в обход IOMMU, основанных на использовании ATS (Address Translation Services) в PCI Express. Также сообщается, что во многих дистрибутивах Linux, включая Ubuntu, Fedora и RHEL, для оптимизации производительности IOMMU для Thunderbolt не включен по умолчанию.



Разработчики FreeBSD посчитали проблему не заслуживающей исправления, так как в данной ОС не поддерживается горячее подключение Thunderbolt-устройств. В macOS 10.12.4 добавлена блокировка конкретной атаки на базе сетевой карты, но сама уязвимость остаётся неисправленной. В Windows поддержка IOMMU для Thunderbolt добавлено в обновлении Windows 10-1803, до этого IOMMU не применялся.

В качестве обходного пути защиты рекомендуется отключить Thunderbolt в настройках BIOS/UEFI или дополнительно использовать USB-хаб без поддержки Thunderbolt, не позволяющий перевести порт USB-C в режим Thunderbolt. Также рекомендуется не оставлять свой ноутбук во включенном состоянии без присмотра и не пользоваться чужими зарядными устройствами с разъёмом USB-C. Производители были уведомлены о проблеме ещё в 2016 году и для выработки должного решения по блокированию уязвимости потребовалось почти три года.

Отмечается также дополнительный вектор проведения атаки через компрометацию прошивок изначально подключенных устройств с интерфейсом PCI Express. Например, после успешного взлома, эксплуатации уязвимостей в прошивках или на этапе доставки/производства оборудования в прошивки сетевых карт или BMC-контроллеров может быть интегрирована функциональность для скрытого получения полного доступа к памяти основной системы.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Опубликованы Linux From Scratch 8.4 и Beyond Linux From Scratch 8.4

Опубликованы новые выпуски руководств Linux From Scratch 8.4 (LFS) и Beyond Linux From Scratch 8.4 (BLFS), а также редакций LFS и BLFS с системным менеджером systemd. В Linux From Scratch приведены инструкции по созданию с нуля базовой Linux-системы, используя лишь исходные тексты необходимого программного обеспечения. Beyond Linux From Scratch дополняет инструкции LFS информацией о сборке и настройке около 1000 программных пакетов, охватывающих различные области применения, от СУБД и серверных систем, до графических оболочек и медиапроигрывателей.

В Linux From Scratch 8.4 произведено обновление 34 пакетов, исправлены ошибки в загрузочных скриптах, выполнены редакторские работы в пояснительных материалах по всей книге. Обновлены требования для хост системы (в число зависимостей добавлен python). В новой версии осуществлён переход на ядро Linux 4.20, glibc 2.29, binutils 2.32, bash 5.0, Eudev 3.2.7, Meson 0.49.2, Openssl 1.1.1a, Perl 5.28.1, Python 3.7.2, Sed 4.7, Tar 1.31, Util-Linux 2.33.1. Упрощены инструкции для glibc в главе 5. Внесены изменения в структуру файловой системы в главе 2. Обновлена информация об SBU (Standard Build Unit) и размерах пакетов. Актуализирован список зависимостей.

В Beyond Linux From Scratch 8.4 по сравнению с прошлым выпуском отмечено около 730 обновлений программ, среди которых GNOME 3.30, KDE Plasma 5.15, KDE Applications 18.12.2, LibreOffice 6.2, Cups 2.2.10, FFmpeg 4.1.1, VLC 3.0.6, PulseAudio 12.2, Inkscape 0.92.4, GIMP 2.10.8 SeaMonkey 2.49.4 и т.п.

Кроме LFS и BLFS в рамках проекта ранее выпускалось несколько дополнительных книг:

"Automated Linux From Scratch" - фреймворк для автоматизации сборки LFS-системы и управлению пакетами;
"Cross Linux From Scratch" - описание кроссплатформенной сборки LFS-системы, поддерживаются архитектуры: x86, x86_64, sparc, mips, PowerPC, alpha, hppa, arm;
"Hardened Linux From Scratch" - инструкции по повышению безопасности LFS, применению дополнительных патчей и ограничений;
"LFS Hints" - подборка дополнительных советов с описанием альтернативных решений для описанных в LFS и BLFS шагов;
"LFS LiveCD" - проект по подготовке LiveCD. На данный момент не развивается.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Организация Linux Foundation опубликовала автомобильный дистрибутив AGL UCB 7.0

Организация Linux Foundation представила седьмой выпуск дистрибутива AGL UCB (Automotive Grade Linux Unified Code Base), в рамках которого развивается универсальная платформа для использования в различных автомобильных подсистемах, от приборных панелей до автомобильных информационно-развлекательных систем.

Дистрибутив основан на наработках проектов Tizen, GENIVI и Yocto. Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы для QEMU, плат Renesas M3, Intel Minnowboard Max (Atom E38xx), TI Vayu и Raspberry Pi 3. При участии сообщества развиваются сборки для плат NXP i.MX6, DragonBoard 410c и Raspberry PI 2. Исходные тексты наработок проекта доступны через Git. В разработке проекта участвуют такие компании, как Toyota, Ford, Nissan, Honda, Jaguar Land Rover, Mazda, Mitsubishi и Subaru.

AGL UCB может использоваться автопроизводителями как каркас для создания конечных решений, после проведения необходимой адаптации для оборудования и кастомизации интерфейса. Платформа позволяет уделить основное внимание разработке приложений и собственных методов организации работы пользователя, не задумываясь о низкоуровневой инфраструктуре и минимизируя затраты на сопровождение. Проект является полностью открытым - все компоненты доступны под свободными лицензиями.

Предоставляется набор рабочих прототипов типовых приложений, написанных с использованием технологий HTML5 и Qt. Например, имеется реализация домашнего экрана, web-браузера, приборной панели, навигационной системы (используется Google Maps), климат-контроля, мультимедийного проигрывателя с поддержкой DLNA, интерфейса для настройки звуковой подсистемы, программы для чтения новостей. Предлагаются компоненты для голосового управления, поиска информации, взаимодействия со смартфоном по Bluetooth и подключения к CAN-сети для доступа к датчикам и передачи данных между узлами автомобиля.

Особенности новой версии:

API для распознавания и синтеза речи (API Voice Recognition и Speech) на базе подключаемых открытых движков;
Дополнительные профили устройств для телематики и приборных панелей;
Из WebOS Open Source Edition (OSE) перенесён компонент для управления жизненным циклом web-приложений WAM (Web App Manager), который интегрирован с AGL Application Framework и позволяет запускать web-приложения как нативные программы. Прослойка для запуска web-приложений основана на движке Chromium. Для загрузки предложена набор демонстрационных web-приложений;
Возможность обособленной сборки базовых сервисов AGL (Core AGL Service);
Обновлён набор эталонных приложений, включая мультимедийный проигрыватель, тюнер, систему навигации, браузер, интерфейсы для настройки Bluetooth, WiFi и HVAC, микшер звука и панель для управления автомобильными подсистемами. В число эталонных приложений добавлены интерфейс для управления громкостью и реализация виртуальной звуковой карты (Dynamic Virtual ALSA);
В API HVAC (управление кондиционером) и Telephony добавлена поддержка голосового управления и использования в web-приложениях;
Возможность одновременного отображения информации на экранах мультимедийной и приборной панелей;
Поддержка вывода не несколько экранов, включая мультимедийный экран для задних пассажиров;
Поддержки различных аппаратных платформ, включая платы от Renesas, Qualcomm Technologies, Intel, Texas Instrument, NXP и Raspberry Pi;
Наличие SDK (Software Development Kit) с шаблонами типовых приложений;
Поддержка технологии SmartDeviceLink для связывания работающих на смартфонах приложений с автомобильными информационно-развлекательными системами. Технология позволяет организовать взаимодействие с мобильными приложениями (поддерживается Apple CarPlay и Android Auto) при помощи штатных автомобильных интерфейсов, таких как сенсорный экран на консоли, система распознавания речевых команд и дополнительные кнопки и манипуляторы;
API (Application Services) для навигации, распознавания речи, Bluetooth, звука, тюнера и CAN-шины;
Значительно расширена поддержка NFC (Near Field Communication) и средств для идентификации пользователя;
Система безопасной доставки обновлений в режиме Over-the-Air (OTA);
Фреймворки для управления доступном с поддержкой RBAC (role-based-access control);
Запущен репозиторий пакетов;
Добавлены HAL-прослойки (Hardware Abstraction Layer) для USB Audio DAC (2CH, 8CH, Jabra), Intel Audio, Renesas Audio (M3 и M3+Kingfisher), QEMU, TI Vayu, UNICENS и Raspberry Pi 3.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Релиз ядра Linux 5.0

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.0. Среди наиболее заметных изменений в ядре 5.0: из Android перенесён энергоэффективный планировщик задач для CPU ARM big.LITTLE, добавлен механизм шифрования файловых систем Adiantum, в драйвере AMDGPU добавлена поддержка технологии FreeSync, реализована файловая система BinderFS, появилась возможность размещения файла подкачки в Btrfs, в UDP добавлена поддержка флага MSG_ZEROCOPY и GRO (Generic Receive Offload), в seccomp реализована возможность выноса обработчиков блокировок в пространство пользователя.

Значительная смена номера версии не является индикатором особых изменений, а сформирована из эстетических соображений и лишь свидетельствует о накоплении в ветке 4.x достаточного для начала новой нумерации числа выпусков. Смена первого номера в версии ядра является формальным шагом, снимающих дискомфорт из-за накопления большого числа выпусков в серии. Напомним, что переход к версиям 3.x был осуществлён в 2011 году, когда в ветке 2.6.x накопилось 39 релизов, а ветка 4.x была создана в 2015 году после подготовки 20 выпусков 3.x. При этом смена версий 3.x и 4.x хорошо коррелировала с числом git-объектов в репозитории - ядро 3.0 было выпущено, когда в репозитории находилось примерно 2 млн объектов, а ядро 4.0 - 4 млн объектов. Выпуск 5.0 разрывает данную логическую цепочку, так как в настоящее время репозиторий включает примерно 6.5 млн git-объектов.

Основные новшества:

Виртуализация и безопасность
Добавлен разработанный компанией Google механизм шифрования файловых систем Adiantum, который может применяться на маломощных устройствах, на которых из-за слишком больших накладных расходов невозможно использовать алгоритм блочного шифрования AES. Реализация Adiantum базируется на применении быстрой хэш-функции NH, алгоритме аутентификации сообщений (MAC) Poly1305 и потоковом шифре XChaCha12, а также единоразовой операции на базе блочного шифра AES-256 для 16 байт в каждом блоке. Поддержка Adiantum добавлена в подсистему fscrypt, которая используется для прозрачного шифрования файлов и каталогов в ФС ext4, f2fs и ubifs. При тестировании на системах с CPU ARM Cortex-A7 алгоритм Adiantum оказался быстрее в 4 раза при шифровании и в 5 раз при расшифровке по сравнению с AES-256-XTS;
В криптографическую подсистему добавлена хэш-функция Streebog, стандартизированная в РФ как ГОСТ 34.11-2012 (реализация разработана компанией "Базальт СПО");
Добавлена поддержка массивов NVM-памяти со встроенными операциями обеспечения безопасности, такими как защита данных паролем, очистка и блокировка;
Интегрирована часть патчей для блокирования лазеек для обхода ограничений UEFI Secure Boot. На данном этапе добавлены средства для управления применением системного вызова kexec_load_file(), который может быть использован для обхода UEFI Secure Boot путём замены проверенного ядра на другое ядро, не снабжённое цифровой подписью. Добавлено новое хранилище ключей (Kernel keyring), названное ".platform", предназначенное исключительно для ключей, предоставляемых платформой, и запрещающее обновлять ключи в процессе работы системы. Ключи из данного хранилища могут применяться для проверки образов, запускаемых через kexec_load_file();
В механизм фильтрации системных вызовов seccomp добавлен API для выноса обработчиков блокировки системных вызовов в пространство пользователя. Например, в системах управления контейнерами теперь можно организовать перехват системных вызовов mount() и finit_module();
Осуществлена переработка организации вызова функций в некоторых подсистемах с целью минимизации применения замедляющего работу метода защиты retpoline. Для блокировки проявления атак Spectre v2 косвенные переходы заменяются на прямые, при которых не применяется механизм спекулятивного выполнения инструкций и не создаются условия, необходимые для проведения атаки. В текущем выпуске подобным способом проведена оптимизация операций с DMA и сетевой подсистемы;
Изменена семантика системного вызова mincore() для противодействия атакам по сторонним каналам, анализирующим содержимое страничного кэша (page cache);
В отладочный инструмент KASan (Kernel address sanitizer), обеспечивающий выявление ошибок при работе с памятью, добавлена программная реализация режима подстановки проверочных тегов (по аналогии с HWASan в Clang), которая при сравнимом с ранее доступным режимом влиянии на производительности обеспечивает заметно меньшее потребление памяти. Новый режим пока доступен только на системах с архитектурой ARM64;
В драйвер virtio-gpu (виртуальный GPU, развиваемый в рамках проекта Virgil) добавлена поддержка симуляции метаданных EDID, что позволяет выдать в гостевой системе сведения о возможностях виртуального монитора;
В криптостек ядра добавлена поддержка алгоритмов XChaCha12 и XChaCha20 (варианты шифров ChaCha с конструкцией XSalsa);
Дисковая подсистема, ввод/вывод и файловые системы
Добавлена возможность размещения раздела подкачки в файлах внутри ФС Btrfs. Файл подкачки в Btrfs должен быть полностью заполнен в режиме "nocow" без применения сжатия и размещён только на одном накопителе. В Btrfs также реализована возможность изменения идентификатора ФС (FSID, видимый пользователю UUID) без перезаписи всех блоков с метаданными;
Реализована поддержка псевдо файловой системы BinderFS для механизма межпроцессного взаимодействия Binder. BinderFS позволяет запустить несколько экземпляров платформы Android в одном окружении благодаря присоединению разных пространств имён Binder IPC к разным точкам монтирования;
В механизм отслеживания событий в ФС fanotify() добавлен новый тип запросов FAN_OPEN_EXEC, позволяющий получать уведомления при открытии файла с целью его дальнейшего исполнения;
Удалён код старой подсистемы блочных устройств, на смену которой пришёл API blk-mq с многоуровневой системой очередей (multiqueue) для блочных устройств. Также удалены устаревшие планировщики ввода/вывода, включая CFQ и deadline;
В файловой системе F2FS добавлен вызов ioctl(F2FS_IOC_SHUTDOWN) с флагом NEED_FSCK для инициирования отложенного выполнения fsck;
Изменения в файловых системах Ext4 и XFS ограничились оптимизациями и исправлениями;
Сетевая подсистема
Для UDP реализована возможность отправки данных в сетевой сокет в режиме zero-copy (вызов send с флагом MSG_ZEROCOPY), позволяющем организовать передачу данных по сети без промежуточной буферизации. Поддержка zero-copy для TCP была предложена в ядре 4.14.
В стеке UDP реализована базовая поддержка GRO (Generic Receive Offload) для ускорения обработки большого числа входящих пакетов, благодаря агрегированию нескольких пакетов в более крупные блоки, не требующие отдельной обработки каждого пакета. Для включения GRO для сокетов UDP предложена новая опция (sockopt) UDP_GRO. В тестах включение GRO позволило поднять пропускную способность с 1079 MB/s до 1466 MB/s, а интенсивность запросов к ядру снизить с 769065 до 24877 вызовов в секунду;
Реализована поддержка обработки ошибок ICMP для UDP-туннелей;
В ipset добавлена возможность сопоставления по целевому MAC-адресу в наборах bitmap:ipmac, hash:ipmac и hash:mac;
Память и системные сервисы
Реализован новый режим работы планировщика задач для асимметричных процессоров ARM на базе архитектуры big.LITTLE, комбинирующих в одном чипе мощные, но потребляющие много энергии, ядра CPU, и менее производительные, но более энергоэффективные ядра. Новый режим позволяет снизить потребление энергии благодаря пробуждению задач в первую очередь на ядрах CPU, потребляющих меньше энергии, и привлечения более мощных ядер лишь тогда, когда производительности энергоэффективных ядер недостаточно. Представленная возможность перенесена в основное ядро из варианта ядра, поставляемого для платформы Android;
Для cgroup2 реализован контроллер ресурсов cpuset, предоставляющий механизм для ограничения размещения задач по NUMA-узлам памяти и CPU, разрешающий использование только ресурсов, определённых для группы задач через интерфейс псевдо-ФС cpuset;
Добавлена возможность использования в гостевых окружениях KVM средств трассировки, предоставляемых в процессорах Intel;
Для архитектуры ARM64 обеспечена поддержка системного вызова kexec_file_load(), горячего подключения памяти, 52-битной адресации виртуальной памяти для пространства пользователя, привязанных к потокам "канареечных" меток в стеке и аутентификации указателей;
Для 32-разрядных систем реализованы 64-разрядные версии системных вызовов ppoll(), pselect6(), io_pgetevents(), recvmmsg(), futex() и rt_sigtimedwait(), которые не затрагивает проблема 2038 года;
Для консоли добавлен более крупный шрифт Terminus (ter16x32), подходящий для использования на экранах с высокой плотностью пикселей (HiDPI);
Для архитектуры C-SKY реализована поддержка горячей замены CPU (hotplugging), ftrace и perf;
В подсистеме трассировки реализован новый интерфейс "dynamic events", в рамках которого унифицирована функциональность интерфейсов "kprobes", "uprobes" и "synthetic events";
Добавлена поддержка процессорной инструкции WBNOINVD, реализованной в процессорах AMD и Intel на базе архитектуры x86_64. Указанная инструкция записывает все изменённые каналы кэша на всех уровнях ассоциаций кэша с основной памятью, при этом сохраняя в кэше прокэшированные значения;
Добавлена поддержка группы расширении "Platform Quality of Service" (AMD QoS) для архитектуры AMD64, реализованных в следующем поколении процессоров AMD EPYC и позволяющих отслеживать использование определённых процессорных ресурсов и устанавливать ограничения по их использованию (например, распределение L3 кэша, обеспечение пропускной способности памяти и расстановка приоритетов межу кодом и данными в кэше). В процессорах Intel аналогичная функциональность реализована в расширениях Intel RDT (Intel Resource Director Technology);
Оборудование
В драйвер AMDGPU добавлена поддержка технологии адаптивной синхронизации FreeSync (VESA Adaptive-Sync), которая позволяет корректировать частоту обновления информации на экране монитора для обеспечения минимального времени отклика, плавности вывода и отсутствия разрывов во время игр и просмотра видео. FreeSync также позволяет снизить потребление энергии за счёт уменьшения интенсивности обновления при неизменности картинки на экране.

Кроме того, в AMDGPU добавлена возможность сброса GPU, поддержка которого включена для дискретных GPU CI, VI и SOC15. Для чипов vega12 и polaris12 добавлена поддержка KFD (Kernel Fusion Driver для вычислений на базе OpenCL). Улучшен код для загрузки микрокода. Добавлены новые идентификаторы графических карт;
В DRM-драйвере Intel улучшена поддержка чипов Icelake;
В драйвере tegra для чипов Tegra186 и Tegra194 добавлена поддержка проброса звука поверх HDMI;
В драйвере v3d (для GPU Broadcom Video Core V) включена поддержка TFU (Texture Formatting Unit);
В драйвере Nouveau добавлена начальная поддержка GPU NVIDIA Turing TU104 и TU106 (GeForce RTX 2000), пока ограниченная средствами для управления видеорежимами (управление питанием и ускорение 2D/3D графики пока не реализовано);
Реализована поддержка технологии DSC (Display Stream Compression), определённой в спецификации VESA DP 1.4 и предоставляющей средства для сжатия данных без потерь при обмене информацией с экранами, поддерживающими очень большое разрешение. Поддержка DSC включена для экранов Gen 10 eDP и Gen 11 eDP/DP при использовании драйвера i915;
Добавлен драйвер для сенсорных экранов Raspberry Pi;
Добавлена поддержка высокоточной прокрутки (события REL_WHEEL_HI_RES и REL_HWHEEL_HI_RES) для манипуляторов мышь с колесом прокрутки высокого разрешения (поддерживаются мыши Microsoft и Logitech с поддержкой протокола HID++);
Добавлена поддержка новых ARM SoC: Qualcomm QCS404 (4x Cortex-A53), Allwinner T3 (R40) и f1c100s (armv5), NXP/Freescale i.MX7ULP (1x Cortex-A7 + 1x Cortex-M4), NXP LS1028A (2x Cortex-A72), LX2160A (16x Cortex-A72), NXP LX2160AQDS, NXP LX2160ARDB, i.MX8 (NXP, 4x Cortex-A53 + Cortex-M4), RDA Micro RDA8810PL;
Добавлена поддержка новых ARM плат и платформ: Rockchip Gru Scarlet (RK3188 Tablet), Phicomm N1 (Amlogic S905D), Libretech S805-AC, Linksys EA6500 v2 Wi-Fi router (BCM4708), Facebook Backpack-CMM BMC, Renesas iWave G20D-Q7 (RZ/G1N), Allwinner t3-cqa3t-bv3 (T3/R40), Lichee Pi Nano (F1C100s), Allwinner Emlid Neutis N5, Mapleboard MP130, Marvell Macchiatobin Single Shot (Armada 8040), i.MX mtrion emCON-MX6, imx6ul-pico-pi, imx7d-sdb-reva, i.MX7D PICO Hobbit, BQ Edison 2 QC, OrangePi Lite2, OrangePi 2G и OrangePi i96;

Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 5.0 - Linux-libre 5.0-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В новом выпуске отключен запрос блобов в драйвере ipu3-imgu. Обновлён код чистки блобов в драйверах и подсистемах admgpu, adreno, tegra, bnx2x, iwlwifi, mt76x0, qtnfmac, и компонентах для поддержки звука в Intel SoC. Прекращена чистка блобов в драйвере Eicon DIVA ISDN, который был удалён из состава ядра. Также можно отметить инициативу libeRTy по созданию libre-варианта ядра Linux с патчами PREEMPT_RT для поддержки работы в режиме реального времени.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Прекращение поддержки формата исполняемых файлов a.out в ядре Linux

Линус Торвальдс согласился с предложением по удалению из ядра поддержки устаревшего формата исполняемых файлов a.out и принял в состав находящейся в разработке ветки 5.1 изменения, одно из которых переводит a.out в разряд устаревших технологии (deprecated), а другое удаляет код формирования core-файлов в этом формате.

Ядро Linux поддерживает формат ELF уже около 25 лет, и у a.out на машинах под управлением Linux давно не осталось применений, о которых было бы известно разработчикам ядра. Как следствие, в текущем виде код формирования core-файлов в a.out находится в заброшенном состоянии и требует дополнительных ресурсов для приведения его в порядок. Так как формат a.out давно вышел из обихода и генерация файлов a.out уже не поддерживается современными инструментальными средствами в конфигурациях для Linux по умолчанию, оказалось более целесообразным удалить поддержку core-файлов в формате a.out и объявить сам формат a.out устаревшим.

Код для поддержки a.out планируют удалить из ядра в одном из следующих выпусков, если не будут представлены доводы по сохранению его поддержки и не найдётся желающий взять на себя работу по его сопровождению в составе ядра. Удалению поддержки a.out из ядра также способствует то, что загрузчик для a.out файлов может вполне быть реализован целиком в пространстве пользователя.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Выпуск Proton 3.16-8, пакета для запуска Windows-игр в Linux

Компания Valve опубликовала сборку проекта Proton 3.16-8, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Обновления в ветке 3.16 помечены как имеющие статус бета-версий (номер 3.16 выбран как номер используемой версии Wine). Наработки проекта распространяются под лицензией BSD. По мере готовности в оригинальный Wine и сопутствующие проекты, такие как DXVK и vkd3d, переносятся развиваемые в Proton изменения, например, недавно в Wine была перенесена новая реализация API XAudio2 на основе проекта FAudio.

Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 11 (на базе DXVK) и 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. По сравнению с оригинальным Wine значительно увеличена производительность многопоточных игр.

В новой версии DXVK, реализация Direct3D 10/11 поверх API Vulkan, обновлена до выпуска 1.0. В API Steamworks расширена поддержка старых и некоторых новых игр, таких как Battlerite. Решены проблемы с перемещением курсора в нижний правый угол в играх на основе движка Unity. Налажен корректный сетевой доступ в некоторых играх, включая "Sword Art Online: Fatal Bullet". Устранены проблемы в некоторых играх, использующих DirectX 9, в том числе в игре "Final Fantasy XI".
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Выпуск Proton 4.2-1, пакета для запуска Windows-игр в Linux
27.03.2019 09:03


Компания Valve опубликовала сборку проекта Proton 4.2-1, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Proton 4.2-1 отмечен как первый стабильный выпуск проекта (прошлые выпуски имели статус бета-версий). Наработки проекта распространяются под лицензией BSD. По мере готовности в оригинальный Wine и сопутствующие проекты, такие как DXVK и vkd3d, переносятся развиваемые в Proton изменения.

Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 11 (на базе DXVK) и 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. По сравнению с оригинальным Wine значительно увеличена производительность многопоточных игр.

Новый выпуск примечателен обновлением кодовой базы до Wine 4.2. По сравнению с прошлой веткой, основанной на Wine 3.16, размер специфичных для Proton патчей существенно уменьшился, так как 166 патчей удалось передать в основную кодовую базу Wine. Например, недавно в Wine была перенесена новая реализация API XAudio2 на основе проекта FAudio. Общие различия между Wine 3.16 и Wine 4.2 включают более 2400 изменений.

Среди других изменений в Proton 4.2-1:

Прослойка DXVK (реализация DXGI, Direct3D 10 и Direct3D 11 поверх API Vulkan) обновлена до версии 1.0.1. В версии 1.0.1 устранены сбои с распределением памяти на системах с чипами Intel Bay Trail, исправлена регрессия в коде управления цветностью в DXGI и решены проблемы при запуске игр Star Wars Battlefront (2015), Resident Evil 2, Devil May Cry 5 и World of Warcraft;
FAudio обновлён до 19.03-13-gd07f69f;
Улучшено поведение курсора мыши в играх, включая Resident Evil 2 и Devil May Cry 5;
Решены проблемы с сетевой игрой в NBA 2K19 и NBA 2K18;
Устранены ошибки, приводящие к дублированию игровых контроллеров в играх на базе SDL2, включая RiME;
Добавлена поддержка новой версии графического API Vulkan 1.1.104 (для приложений передаются сведения о поддержке версии Vulkan 1.1 вместо 1.0);
Режим полноэкранного отображения теперь доступен и для игр на базе GDI;
Улучшена поддержка игр, использующих IVRInput для управления вводом в шлемах виртуальной реальности;
Внесены улучшения в систему сборки. Добавлена команда "make help" для сборки документации.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Сервис доставки обновлений прошивок для Linux перешёл под крыло Linux Foundation
30.03.2019 09:24


Проект LVFS (Linux Vendor Firmware Service), при помощи которого пользователи Linux без лишних усложнений могут получать обновления прошивок для различного оборудования, объявил о переходе под покровительство организации Linux Foundation. Linux Foundation выступит нейтральной площадкой для взаимодействия с производителями и позволит привлечь к проекту новых участников. В настоящее время к распространению прошивок через LVFS уже подключились такие компании, как Dell, Lenovo, HP, Intel, Foxconn и Logitech.

Из ближайших целей проекта отмечается доведение до 95% охвата поддержки нового потребительского оборудования, выпущенного в этом году. В настоящее время LVFS предоставляет прошивки для 72 устройств от 30 производителей. Через сервис пользователям уже доставлено около 5 млн обновлений.

Из долгосрочных планов упоминается становление LVFS как критически важной части инфраструктуры Linux. В условиях появления уязвимостей типа Spectre и превращения EFI BIOS в почти полноценную ОС с сетевыми возможностями, оперативная доставка обновлений прошивок переходит из разряда опций в насущную необходимость, настолько же важную, как и обновление ядра системы.

LVFS предоставляет производителям возможность загрузки прошивок в специальный централизованный каталог, который можно использовать в дистрибутивах Linux при помощи инструментария fwupd. Например, в RHEL, Fedora, Ubuntu и Debian на его базе уже реализован автоматизированный режим обновления прошивок. Поддержка LVFS также присутствует в интерфейсах управления установкой приложений GNOME Software и KDE Discover. При этом fwupd не ограничен настольными системами и также может применяться для обновления прошивок на смартфонах, планшетах, серверах и устройствах интернета-вещей.

Сервис LVFS позволяет упростить доставку прошивок производителями, которым теперь не нужно формировать пакеты для различных дистрибутивов и генерировать сопутствующие каждому обновлению метаданные. В качестве формата для загрузки прошивок в репозиторий LVFS применяются архивы ".cab" с дополнительным XML-файлом с метаданными. Данный формат уже используется производителями при оформлении обновлений прошивок для Windows, поэтому для поддержки Linux не придётся вносить изменения в существующие процессы.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Вышел AV Linux 2019.4.10, дистрибутив для создания аудио и видео контента
04.04.2019 07:31


Представлен дистрибутив AV Linux 2019.4.10, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив основан на пакетной базе Debian 9 "Stretch" и репозитории KXStudio с дополнительными пакетами собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). Пользовательское окружение основано на Xfce. Дистрибутив может функционировать в Live-режиме, размер iso-образа 3.6 Гб.

Ядро Linux поставляется с набором RT-патчей для увеличения отзывчивости системы во время выполнении работ, связанных с обработкой звука. В поставку входят звуковые редакторы Ardour, ArdourVST, Harrison, Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot, Kdenlive, LiVES и инструменты для преобразования мультимедийных форматов файлов. Для коммутации звуковых устройств предлагается JACK Audio Connection Kit (используется JACK1/Qjackctl, а не JACK2/Cadence). Дистрибутив снабжён подробным иллюстрированным руководством (PDF, 130 стр.)

В новом выпуске произведена синхронизация изменений с Debian и сторонними репозиториями, включая KXStudio. Обновлены версии специализированных приложений, в том числе Mixbus Demo 5.2.191, LSP Plugins 1.1.9, Dragonfly Reverb Plugins 1.1.2, KPP-Plugins 1.0+GIT и LinVST 2.4.3. Добавлена новая тема оформления Numix Circle Theme. Проведена чистка устаревших правил udev. В состав включён видеоредактор AViDemux. Предложенный выпуск является последним на основе пакетной базы Debian 9 "Stretch", следующая версия будет обновлена до Debian 10 "Buster". В следующем выпуске также планируется прекратить выпуск сборок для 32-разрядных систем - дистрибутив будет поставляться только для архитектуры x86_64.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Выпуск Bedrock Linux 0.7.3, сочетающего компоненты различных дистрибутивов
15.04.2019 08:34


Доступен выпуск мета-дистрибутива Bedrock Linux 0.7.3, позволяющего использовать пакеты и компоненты из различных дистрибутивов Linux, смешивая дистрибутивы в одном окружении. Системное окружение формируется из стабильных репозиториев Debian и CentOS, дополнительно можно установить более свежие версии программ, например, из Arch Linux/AUR, а также скомпилировать портежи Gentoo. Для установки сторонних проприетарных пакетов обеспечена совместимость на уровне библиотек с Ubuntu и CentOS.

Вместо установочных образов в Bedrock предложен скрипт, который изменяет окружение уже установленных типовых дистрибутивов. Например, заявлено о работоспособности замены Debian, Fedora, Manjaro, openSUSE, Ubuntu и Void Linux, но имеются отдельные проблемы при замене CentOS, CRUX, Devuan, GoboLinux, GuixSD, NixOS и Slackware. Установочный скрипт подготовлен для архитектур x86_64 и ARMv7.

В процессе работы пользователь может активировать в Bedrock репозитории других дистрибутивов и установить из них приложения, которые смогут запускаться бок о бок с программами из различных дистрибутивов. В том числе поддерживается установка из различных дистрибутивов графических приложений.

Для каждого дополнительно подключенного дистрибутива создаётся специальное окружение ("stratum"), в котором размещаются специфичные для дистрибутива компоненты. Разделение осуществляется с использованием chroot, bind-монтирования и символических ссылок (предоставляется несколько рабочих иерархий директорий с набором компонентов различных дистрибутивов, в каждое chroot-окружение примонтирован общий раздел /home). При этом Bedrock не нацелен на предоставление дополнительного уровня защиты и строгую изоляцию приложений.

Запуск специфичных для дистрибутивов команд выполняется при помощи утилиты strat, а управление дистрибутивами производится утилитой brl. Например, при желании использовать пакеты из Debian и Ubuntu вначале следует развернуть связанные с ними окружения при помощи команды "sudo brl fetch ubuntu debian". Затем для установки VLC из Debian можно выполнить команду "sudo strat debian apt install vlc", а из Ubuntu "sudo strat ubuntu apt install vlc". После этого можно запустить разные варианты VLC из состава Debian и Ubuntu - "strat debian vlc файл" или "strat ubuntu vlc файл".

В новом выпуске добавлена поддержка current-репозитория Slackware. Обеспечена возможность совместного использования библиотеки pixmap между окружениями. Добавлена поддержка resolvconf для унификайии настройки резолвера во всех окружениях. Решены проблемы с созданием окружения для Clear Linux и MX Linux.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
Началось тестирование сборок FreeBSD, переведённых на "ZFS on Linux"
20.04.2019 07:56


Крис Мур (Kris Moore), создатель проекта PC-BSD и вице-президент компании iXsystems, объявил о начале тестирования установочных сборок FreeBSD 12-STABLE и FreeBSD 13-HEAD, в которых изначально поддерживаемая во FreeBSD реализация файловой системы ZFS заменена на наработки проекта "ZFS on Linux".

Благодаря инициативе по обеспечению переносимости кода "ZFS on Linux" на другие системы, для FreeBSD были подготовлены порты sysutils/zol (утилиты) и sysutils/zol-kmod (модуль ядра), которые теперь предлагается протестировать. В контексте файловой системы наиболее простым способом тестирования является предоставление готовых установочных образов, в которых изначальная реализация ZFS отключена и предустановлены порты с "ZFS on Linux". В качестве ФС для корневого раздела могут использоваться UFS и ZFS.

Напомним, что в декабре прошлого года разработчики FreeBSD выступили с инициативой перехода на реализацию ZFS от проекта "ZFS on Linux" (ZoL), вокруг которого последнее время сосредоточилась вся активность, связанная с развитием ZFS. В качестве причины миграции была упомянута стагнация кодовой базы ZFS от проекта Illumos (форк OpenSolaris), которая ранее использовалась в качестве основы для переноса связанных с ZFS изменений во FreeBSD. Основной вклад в поддержку кодовой базы ZFS в Illumos до недавнего времени вносила компания Delphix, развивающая операционную систему DelphixOS (форк Illumos). Год назад компания Delphix приняла решение о переходе на "ZFS on Linux", что привело к стагнации ZFS от проекта Illumos и сосредоточением всей связанной с разработкой активности в проекте "ZFS on Linux", который теперь рассматривается как основная реализация OpenZFS.

Разработчики FreeBSD решили последовать общему примеру и не пытаться удержаться за Illumos, так как эта реализация уже сильно отстаёт по функциональности и требует больших ресурсов для сопровождения кода и переноса изменений. "ZFS on Linux" теперь рассматривается как основной единый совместный проект по разработке ZFS. Поддержка FreeBSD будет интегрирована непосредственно в код "ZFS on Linux" и развиваться в основном репозитории данного проекта.

Некоторые возможности, которые доступны в порте "ZFS on Linux" для FreeBSD, но отсутствуют в реализации ZFS от Illumos:

Режим multihost (MMP, Multi Modifier Protection);
Расширенная система квот;
Шифрование наборов данных;
Раздельный выбор классов распределения блоков (allocation classes);
Использование векторных процессорных инструкций для ускорения реализация RAIDZ и вычисления контрольных сумм;
Улучшенный инструментарий командной строки;
Исправление многих ошибок, связанных с состоянием гонки и блокировками.
 

vladimir59

Модератор
Сообщения
28,692
Баллы
113
В драйверах для беспроводных чипов Broadcom выявлено четыре уязвимости. В простейшем случае уязвимости могут использоваться для удалённого вызова отказа в обслуживании, но не исключаются и сценарии, при которых могут быть разработаны эксплоиты, позволяющие неаутентифицированному злоумышленнику выполнить свой код с привилегиями ядра Linux через отправку специальным образом оформленных пакетов.

Проблемы были выявлены в ходе обратного инжиниринга прошивок Broadcom. Подверженные уязвимостям чипы широко используются в ноутбуках, смартфонах и различных потребительских устройствах, от SmartTV до устройств интернета вещей. В частности, чипы Broadcom применяются в смартфонах таких производителей, как Apple, Samsung и Huawei. Примечательно, что компания Broadcom была уведомлена об уязвимостях ещё в сентябре 2018 года, но на скоординированный с производителями оборудования выпуск исправлений понадобилось около 7 месяцев.

Две уязвимости затрагивают внутренние прошивки и потенциально позволяют выполнить код в окружении используемой в чипах Broadcom операционной системы, что позволяет атаковать окружения не использующие Linux (например, подтверждена возможность совершения атаки на устройства Apple, CVE-2019-8564). Напомним, что некоторые Wi-Fi чипы Broadcom представляют собой специализированный процессор (ARM Cortex R4 или M3), на котором выполнятся подобие своей операционной системы с реализаций своего беспроводного стека 802.11 (FullMAC). В таких чипах драйвер обеспечивает взаимодействие основной системы с прошивкой Wi-Fi чипа. Для получения полного контроля за основной системой после компрометации FullMAC предлагается использовать дополнительные уязвимости или на некоторых чипах воспользоваться наличием полного доступа к системной памяти. В чипах с SoftMAC беспроводной стек 802.11 реализован на стороне драйвера и выполняется с применением системного CPU.


В драйверах уязвимости проявляются как в проприетарном драйвере wl (SoftMAC и FullMAC), так и в открытом brcmfmac (FullMAC). В драйвере wl выявлено два переполнения буфера, эксплуатируемые при передаче точкой доступа специально оформленных сообщений EAPOL в процессе согласования соединения (атака может быть совершена при подключении к вредоносной точке доступа). В случае чипа с SoftMAC уязвимости приводят к компрометации ядра системы, а в случае FullMAC код может быть выполнен на стороне прошивки. В brcmfmac присутствуют переполнение буфера и ошибка проверки обрабатываемых кадров, эксплуатируемые через отправку управляющих кадров. В ядре Linux проблемы в драйвере brcmfmac были устранены в феврале.

Выявленные уязвимости:
  • CVE-2019-9503 - некорректное поведение драйвера brcmfmac при обработке управляющих кадров, используемых для взаимодействия с прошивкой. Если кадр с событием прошивки поступает из внешнего источника драйвер его отбрасывает, но в случае если событие получено по внутренней шине, кадр пропускается. Проблема в том, что через внутреннюю шину передаются события от устройств, использующих USB, что позволяет атакующим успешно передавать управляющие прошивкой кадры в случае использования беспроводных адаптеров с интерфейсом USB;
  • CVE-2019-9500 - при включении функции "Wake-up on Wireless LAN" можно вызвать переполнение кучи в драйвере brcmfmac (функция brcmf_wowl_nd_results) через отправку специально изменённого управляющего кадра. Данная уязвимость может использоваться для организации выполнения кода в основной системе после компрометации чипа или в комбинации с уязвимостью CVE-2019-9503 для обхода проверок в случае удалённой отправки управляющего кадра;
  • CVE-2019-9501 - переполнение буфера в драйвере wl (функция wlc_wpa_sup_eapol), возникающее при обработке сообщений, содержимое поля с информацией о производителе в которых превышает 32 байта;
  • CVE-2019-9502 - переполнение буфера в драйвере wl (функция wlc_wpa_plumb_gtk), возникающее при обработке сообщений, содержимое поля с информацией о производителе в которых превышает 164 байта.
 

ze2019

Ze-widget example


Сверху Снизу