Компания Qualcomm раскрыла сведения о 20 уязвимостях в прошивках и драйверах для своих чипов, большинство из которых используются в устройствах на базе платформы Android. Одной проблеме присвоен критический уровень опасности, 12 - высокий и 7 - средний. Отдельно выделена уязвимость CVE-2024-43047, которая по данным группы анализа угроз из компании Google уже применяется для совершения атак (0-day) сецслужбами и поставщиками программ, шпионящих за пользователями.
Уязвимость присутствует в открытом драйвере FastRPC для DSP-чипов Qualcomm, применяемом для организации выполнения операций на стороне DSP. Проблема вызвана обращением к памяти после её освобождения и позволяет локальному атакующему инициировать повреждение памяти и выполнение кода на уровне привилегированного системного сервиса, взаимодействующего с DSP. Исправление доступно в виде патча, который ещё не интегрирован в прошивки производителей устройств, использующих DSP от Qualcomm (например, уязвимый драйвер применяется во многих Android-смартфонах). Проблема затрагивает более 60 моделей чипов, среди которых серии FastConnect и Snapdragon.
Что касается критической уязвимости CVE-2024-33066, то она выявлена группой Claroty Research и доведена до производителя в рамках инициативы Trend Micro Zero Day. Уязвимость может быть эксплуатирована удалённо через беспроводную сеть. Проблема вызвана некорректной проверкой входных параметров во WLAN Resource Manager, что может привести к перенаправлению файла с логом в любой файл в системе. Проблема затрагивает системы с чипами различных серий Immersive Home, IPQxxxx, QCAxxxx, QCFxxxx, QCNxxxx, SDXxx и Snapdragon X65 5G Modem-RF.
Также выделяются 11 опасных уязвимостей, приводящих к повреждению памяти в проприетарных компонентах, закрытом драйвере камеры и открытых компонентах для беспроводной сети, GPU и DSP Qualcomm.
Компания Qualcomm раскрыла сведения о 20 уязвимостях в прошивках и драйверах для своих чипов, большинство из которых используются в устройствах на базе платформы Android. Одной проблеме присвоен критический уровень опасности, 12 - высокий и 7 - средний. Отдельно выделена уязвимость
Компания Microsoft предложила для включение в основной состав ядра Linux первую серию патчей, связанных с работой в качестве хост-окружения (Dom0, root partition) для гипервизора Hyper-V. Хост-окружение отвечает за управление гипервизором, организацию запуска гостевых систем, выделение ресурсов и обеспечение взаимодействия виртуальных машин с оборудованием.
Изначально возможность использования Linux в роли хост-окружения для системы виртуализации Hyper-V была представлена в 2020 году и уже применяется в инфраструктуре Microsoft, но до сих пор развивалась в форме отдельных патчей. Новая инициатива направлена на интеграцию данных патчей в основной состав ядра. Необходимость использования Linux для управления гипервизором Hyper-V обусловлена желанием упростить сопровождение и повысить производительность серверов, обслуживающих облачные системы Microsoft, в условиях того, что с 2018 года число гостевых систем с Linux в облачном сервисе Azure превышает число окружений с Windows.
Начальный набор патчей пока ограничивается добавлением заголовочных файлов, используемых в гипервизоре Hyper-V и дополняющих ранее включённые в ядро заголовочные файлы, применяемые в драйверах для гостевых систем. SPEC-файл пакета с ядром 5.15, включающим реализацию хост-окружения для гипервизора Hyper-V, можно найти в репозитории дистрибутива Azure Linux, но использование устройства /dev/mshv для управления Hyper-V пока не документировано.
Компания Microsoft предложила для включение в основной состав ядра Linux первую серию патчей, связанных с работой в качестве хост-окружения (Dom0, root partition) для гипервизора Hyper-V. Хост-окружение отвечает за управление гипервизором, организацию запуска гостевых систем, выделение ресурсов и обеспечение взаимодействия виртуальных машин с оборудованием.
Разработчики проекта Asahi Linux, выполняющего портирование Linux для компьютеров Mac с ARM-чипами Apple, представили инструментарий для запуска современных компьютерных игр в Linux-окружениях, работающих на системах с чипом Apple M1. Речь про игры класса AAA, доступные в каталоге Steam и собранные для архитектуры x86_64. Инструментарий обеспечивает интеграцию созданных проектом драйверов, реализующих API Vulkan 1.3 и OpenCL 3.0, с компонентами, обеспечивающими эмуляцию архитектуры x86_64 и совместимость с Windows.
Необходимые для работы пакеты уже добавлены в штатный репозиторий дистрибутива Fedora Asahi Remix - для запуска игр достаточно обновить драйверы командой "dnf upgrade --refresh" и установить Steam командой "dnf install steam" и она подтянет все необходимые зависимости. Используемый для запуска игр стек построен на основе Vulkan-драйвера Honeykrisp, эмулятора FEX, позволяющего выполнять x86-приложений на системах ARM, проекта Wine и прослоек DXVK и vkd3d-proton с реализацией API DirectX поверх Vulkan.
Из-за дополнительных накладных расходов, вызванных эмуляцией, рекомендуется наличие в системе 16 ГБ ОЗУ. Проблемы с выравниванием из-за несоответствия размера страниц памяти, используемого в операционной системе и необходимого приложениям (программы собранные для x86 рассчитаны на страницы 4К, в то время как на системах Apple используются страницы 16K), удалось решить через запуск в виртуальном окружении второго ядра Linux, собранного с другим размером страниц памяти. Для запуска игр в отдельных виртуальных машинах со своим ядром задействован инструментарий muvm. Например, таким образом удалось запустить игру Fallout 4.
Для обеспечения работы игр, таких как The Witcher 3 и Ghostrunner, в которых используются тесселяция и геометрические шейдеры, задействована эмуляция при помощи вычислительных шейдеров. Из пока не реализованных возможностей отмечается поддержка в драйвере Honeykrisp мозаичного текстурирования (sparse texturing), необходимого для запуска некоторых игр на базе DX12, таких как Cyberpunk 2077. Кроме того, ведётся работа по оптимизации производительности для достижения в эмулируемом окружении уровня 60 FPS.
Разработчики проекта Asahi Linux, выполняющего портирование Linux для компьютеров Mac с ARM-чипами Apple, представили инструментарий для запуска современных компьютерных игр в Linux-окружениях, работающих на системах с чипом Apple M1. Речь про игры класса AAA, доступные в каталоге Steam и собранные для архитектуры x86_64. Инструментарий обеспечивает интеграцию созданных проектом драйверов, реализующих API Vulkan 1.3 и OpenCL 3.0,...
- Рабочий стол обновлён до выпуска GNOME 47, в котором предложен новый стиль диалоговых окон, улучшена работа на системах с низким разрешением экрана, задействовано аппаратное ускорение кодирования видео при записи скринкастов, полностью переработаны диалоги открытия и сохранения файлов. В GNOME Shell и Mutter добавлены ещё не принятые в основной состав GNOME дополнительные патчи, исправляющие проблемы со стабильностью и вносящие оптимизации производительности. В панели обеспечена визуализация обновления программ в snap-пакетах и улучшена обработка PWA-приложений, установленных с использованием snap-пакета с браузером Chromium. https://honk.any-key.press/d/vZy2jV94nq95CsrHz8.png
- На системах с видеокартами NVIDIA по умолчанию задействован сеанс GNOME на базе Wayland. Для продолжения использования ранее предлагавшегося по умолчанию сеанса с X-сервером в менеджере входа в систему следует выбрать режим "Ubuntu on Xorg".
- Добавлена экспериментальная поддержка вывода запросов полномочий, требующих у пользователя подтверждения доступа из snap-пакетов к файлам в домашнем каталоге. Для включения и отключений данных запросов предложен новый центр управления безопасностью (Security Center). Динамическое предоставление доступа организовано с использованием механизма AppArmor. В будущем дополнительно планируют предоставить отдельные возможности для управления доступом к функциям дискового шифрования и пакетного фильтра. https://honk.any-key.press/d/MrvyxLD6R141HPM3m5.pnghttps://honk.any-key.press/d/mwdkD4c294rQ2Scz1M.png
- Предложенновый выпуск инсталлятора Subiquity, в котором реализована поддержка автоматического режима установки Ubuntu Desktop и семи официальных редакций Ubuntu (Kubuntu, Xubintu и т.п.), предоставлена поддержка шифрования для ZFS, добавлен новый экран с информацией об ошибках и реализована экспериментальная поддержка установки с использованием "NVMe over TCP". https://honk.any-key.press/d/mg1bcf1WB323hqmDmb.png
- В инсталляторе для Ubuntu Desktop добавлена поддержка использования локальных файловых путей при импорте сценария автоматической установки. https://honk.any-key.press/d/TF1zZ8d3WT3K7PN4d7.png
- В менеджере приложений (App Center) обеспечен показ индикатора прогресса установки пакетов, улучшена обработка операций самообновления (решена проблема с блокированием операции "update all" при запущенных snap-пакетах), реализован вывод информации о запущенных snap-пакетах, добавлена поддержка операции прямого удаления приложений в формате snap (direct uninstall), добавлена поддержка установки сторонних пакетов в формате deb, реализована возможность прокрутки для сенсорных экранов. https://honk.any-key.press/d/wRq92J1gzB9HG9z4Xg.png
- В рамках празднования 20-летия с момента первого выпуска Ubuntu (4.10) временно возвращены старая загрузочная звуковая заставка (можно отключить в настройках звука) и коричневый акцентный цвет, а также добавлен юбилейный логотип. https://honk.any-key.press/d/V1KgxDbCSq1l41n2Vn.pnghttps://honk.any-key.press/d/P335Ff8MkQ37wT1ftX.png
- Ядро Linux обновлено до версии 6.11.
- Системный менеджер обновлён до версии systemd 256. По умолчанию прекращена поддержка загрузки с cgroup v1. Объявлена устаревшей и будет удалена в будущих выпусках поддержка скриптов инициализации System V. Для запуска sshd задействован сервис systemd-ssh-generator, использующий активацию по сокету для локальных сокетов AF_VSOCK и AF_UNIX. По умолчанию задействован юнит tmp.mount, который использует tmpfs для размещения раздела /tmp в оперативной памяти. Пакеты systemd-cryptsetup, systemd-cryptenroll и systemd-veritysetup с утилитами cryptsetup объединены в один пакет systemd-cryptsetup.
- Обновлены версии GCC 14.2, LLVM 19, glibc 2.40, Go 1.23, Python 3.12.7, Rust 1.80, PHP 8.3.9, .NET 9, OpenSSL 3.3, Ruby 3.3, PostgreSQL 16.4, OpenJDK 24. Вместо СУБД Redis в состав включён форк Valkey 7.2.5.
- Обновлены пользовательские приложения: Firefox 130, LibreOffice 24.8 и Thunderbird 128, GIMP 2.10.38, OBS Studio 30.2.3.
- Обновлены подсистемы: Mesa 24.2.2, CUPS 2.4.10, BlueZ 5.77, Netplan 1.1, Cairo 1.18.2, NetworkManager 1.48, Pipewire 1.2.4, Poppler 24.08, xdg-desktop-portal 1.18, Snapd 2.65.3.
- Обновлены серверные пакеты: nginx 1.26.0, apache httpd 2.4.62, clamav 1.3.1, cloud-init 24.3.1, Containerd 1.7.19, Django 4.2.15, Docker 26.1.3, HAProxy 2.9.9, libvirt 10.6.0, OpenLDAP 2.6.8, OpenVmTools 12.4.5, Xtrabackup 8.0.35-31, QEMU 9.0.2, Samba 4.20.4, Squid 6.10, SSSD 2.9.5, Pacemaker 2.1.8, multipath-tools 0.9, Ceph 19.2.0, Open vSwitch 3.3.0.
- В менеджер профилей энергопотребления (Power Profiles Manager) внесены улучшения и оптимизации для новых CPU и GPU AMD, разрешено использование нескольких драйверов оптимизации и автоматического изменения уровня оптимизации при работе от аккумулятора.
- В fprintd и libfprint расширен спектр поддерживаемых устройств считывания отпечатков пальцев.
- Предоставлены экспериментальные сборки, включающие пакеты собранные с использованием в GCC режима оптимизации "-O3" вместо "-O2".
- По умолчанию в состав включена утилита Sysprof, упрощающая выявления проблем с производительностью в приложениях.
- В сервере OpenSSH прекращено чтение файла ~/.pam_environment при подключении к системе (из соображений безопасности параметр user_readenv=1 в модуле pam_env.so объявлен устаревшим, для отправки и приёма переменных окружения в ssh и sshd рекомендовано использовать настройки AcceptEnv и SendEnv).
- Удалён пакет dmraid, который был исключён из ветки Debian unstable. Вместо dmraid для поддержки предоставляемых прошивками программных RAID (BIOS RAID, Firmware RAID, Fake RAID) рекомендовано использовать инструментарий mdadm.
- Для интеграции с облачными системами аутентификации вместо aad_auth задействован сервис authd, помимо Microsoft Azure Active Directory (Entra ID) поддерживающий многофакторную аутентификацию и OpenID Connect.
- Значительно улучшена работа snap-пакета с клиентом Steam, в котором благодаря предоставлению дополнительных прав доступа через AppArmor удалось решить основные проблемы совместимости с играми и драйверами NVIDIA, которые не наблюдались при установке Steam из deb-пакета.
- Добавлен цветной шрифт Noto Color Emoji 2.047 с поддержкой Unicode 16.
- В Xubuntu обеспечена поставка компонентов из ветки Xfce 4.19, в которой развивается будущий стабильный релиз Xfce 4.20. Например. обновлены панель, рабочий стол, файловый менеджер, конфигуратор и многие апплеты.
- Редакция Ubuntu Studio перешла на использование KDE Plasma 6.1 и штатного ядра Linux, собираемого для Ubuntu, вместо ядра "lowlatency". Добавлен режим минимальной установки. В состав включена утилита Ubuntu Studio Audio Configuration для настройки PipeWire. Объявлена устаревшей поддержка звуковых серверов PulseAudio и JACK. Обновлены версии OBS Studio 30.2, Ardour 8.6.0, Audacity 3.6.1, digiKam 8.4.0, Kdenlive 24.08.1, Krita 5.2.3.
- В Ubuntu Cinnamon предложены версии среды рабочего стола Cinnamon 6.0.4, конфигуратора Cinnamon Control Center 6.2.0 и файлового менеджера Nemo 6.0.2.
- В Lubuntu в поставку включён выпуск среды рабочего стола LXQt 2.0.0 и осуществлён переход на Qt6. Вместо темы оформления Breeze из KDE задействована новая тема Kvantum, по стилю напоминающая прошлое оформление, но избавлена от несовместимостей с новой веткой LXQt, свойственных теме Breeze. https://honk.any-key.press/d/G9hKMps8KJGLL2491h.png
- В Ubuntu Budgie основные силы при разработке нового выпуска были сосредоточены на обеспечении поддержка протокола Wayland. Среда рабочего стола Budgie обновлена до версии 10.9.2. В меню реализован показ приложений, запускаемых в терминале (таких как Neovim). Изменена раскладка элементов на рабочем столе, вместо панели Plank задействована собственная панель с темой оформления Pocillo. Добавлена поддержка формата изображений Jpeg-xl. https://honk.any-key.press/d/ZbcBl91zpjXSzmPxV3.png
- В Ubuntu Mate задействован выпуск среды рабочего стола MATE 1.26.2 и осуществлён переход на использование экрана входа в систему Slick Greeter с возможностью настройки в графическом режиме. Размер iso-образа сокращён с 4.1 до 3.3 ГБ за счёт сокращения числа пактов, необходимых для запуска Live-сеанса. https://honk.any-key.press/d/D9D87V8TBwK1zv7316.png
- В Kubuntu осуществлён переход на технологии KDE 6. Задействованы выпуски KDE Plasma 6.1.5, KDE Gear 24.08, Qt 6.6, KDE Frameworks 6.5.0. По умолчанию предложен сеанс на базе Wayland, а поддержка X11 переведена в разряд опции. https://honk.any-key.press/d/c5y89QvcF5yjr3t5z1.png
Опубликован релиз дистрибутива Ubuntu 24.10 "Oracular Oriole", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев (поддержка будет осуществляться до июля 2025 года). Готовые установочные образы созданы для Ubuntu, Ubuntu Server
Опубликован выпуск платформы Deno 2.0, предназначенной для обособленного выполнения серверных приложений на языках JavaScript и TypeScript с использованием движка V8, применяемого в браузерах на основе Chromium. Проект Deno развивает Райан Даль (Ryan Dahl), создатель Node.js, с целью предоставления более защищённого окружения и устранения концептуальных ошибок, допущенных в архитектуре Node.js. Для повышения безопасности обвязка вокруг движка V8 написана на языке Rust, а для обработки запросов в неблокирующем режиме применяется платформа Tokio. Код проекта распространяется под лицензией MIT. Сборки подготовлены для Linux, Windows и macOS.
При подготовке новой ветки основное внимание было уделено совместимости со старой инфраструктурой JavaScript и расширению спекта поддерживаемых JavaScript-проектов без ущерба обеспечению безопасности. Среди изменений:
- Реализована обратная совместимость с Node.js и npm, позволяющая запускать немодифицированные приложения, созданные для Node.js. Поддержка Node.js также даёт возможность постепенно переводить существующие проекты с Node.js на использование Deno или подключать к Deno-проектам зависимости из NPM через указание спецификатора "npm:" при импорте пакетов в deno.json.
- Добавлена встроенная поддержка файла package.json и каталога с модулями node_modules, применяемых в Node.js.
- Обеспечена поддержка приватных NPM-репозиториев, определённых через файлы ".npmrc".
- Добавлена поддержка популярных JavaScript-фреймворков, таких как Next.js, Astro, Remix, Angular, SvelteKit и QwikCity.
- Добавлена поддержка рабочих пространств npm (workspace) и моно-репозиториев (monorepo) с раздельной обработкой зависимостей.
- Добавлены новые команды управления пакетами: "deno install" для установки зависимостей, "deno add" для добавления пакетов в package.json или deno.json, "deno remove" для удаления пакетов. Отмечается, что "deno install" работает примерно на 15 быстрее npm при отсутствия пакетов в кэше и на 90% быстрее при наличии пакета в кэше (поддерживается как node_modules, так и собственный глобальный кэш).
- Стабилизирована стандартная библиотека.
- Обеспечен длительный цикл поддержки (LTS).
- Представлен JSR - репозиторий с JavaScript- и TypeScript-библиотеками, которые можно использовать в различными JavaScript Runtime.
- В команде "deno fmt" появилась возможность форматирования контента в форматах HTML, CSS и YAML.
- В команду "deno lint" добавлена поддержка специфичных для Node.js правил и исправлений.
- В команде "deno test" реализована возможность запуска тестов, созданных с использованием node:test.
- В команде "deno task" реализована поддержка запуска скриптов через package.json.
- В команде "deno compile" появилась возможность заверения кода цифровой подписью.
- В команде "deno serve" реализовано распараллеливания операций HTTP-серверов с задействованием нескольких ядер CPU.
- В команде "deno coverage" появилась поддержка сохранения отчётов в формате HTML.
- Проведена оптимизация производительности.
- Ориентация на безопасность в конфигурации по умолчанию. Обращения к файлам, сетевые возможности и доступ к переменным окружения по умолчанию блокированы и требуют явного включения. Приложения по умолчанию запускаются в изолированных sandbox-окружениях и не могут получить доступ к системным возможностям без предоставления явных полномочий;
- Встроенная поддержка языка TypeScript помимо JavaScript. Для проверки типов и генерации JavaScript задействован штатный компилятор TypeScript, что приводит к проседанию производительности по сравнению с разбором JavaScript в V8;
- Runtime поставляется в форме одного самодостаточного исполняемого файла ("deno"). Для запуска приложений при помощи Deno достаточно загрузить для своей платформы один исполняемый файл, размером около 40 МБ, не имеющий внешних зависимостей и не требующий какой-то особой установки в систему. При этом deno не является монолитным приложением, а представляет собой коллекцию crate-пакетов на Rust (deno_core, rusty_v8), которые могут использоваться по отдельности;
- При запуске программы, а также для загрузки модулей можно использовать адресацию через URL. Например, для запуска программы welcome.js можно использовать команду "deno https://deno.land/std/examples/welcome.js". Код с внешних ресурсов загружается и кэшируется на локальной системе, но никогда автоматически не обновляется (для обновления требуется явно запустить приложение с флагом "--reload");
- Эффективная обработка в приложениях сетевых запросов по HTTP, платформа рассчитана на создание высокопроизводительных сетевых приложений;
- Возможность создания универсальных web-приложений, которые могут выполниться как в Deno, так и в обычном web-браузере;
- Наличие стандартного набора модулей, использование которых не требует привязки к внешним зависимостям. Модули из стандартной коллекции прошли дополнительный аудит и проверку на совместимость;
- Кроме runtime платформа Deno также выполняет роль пакетного менеджера и позволяет внутри кода обращаться к модулям по URL. Например, для загрузки модуля можно указать в коде "import * as log from "https://deno.land/std/log/mod.ts". Файлы, загруженные с внешних серверов по URL, кэшируются. Привязка к версиям модулей определяются через указания номеров версий внутри URL, например, "https://unpkg.com/liltest@0.0.5/dist/liltest.js";
- Ориентация на использование Web-стандартов, поддержка Promise, fetch и ECMAScript-модулей.
- Совместимость с пакетами, размещёнными в репозитории NPM и созданными для платформы Node.js.
- В состав интегрирована система инспектирования зависимостей (команда "deno info") и утилита для форматирования кода (deno fmt);
- Все скрипты приложения могут быть объединены в один JavaScript-файл.
Опубликован выпуск платформы Deno 2.0, предназначенной для обособленного выполнения серверных приложений на языках JavaScript и TypeScript с использованием движка V8, применяемого в браузерах на основе Chromium. Проект Deno развивает Райан Даль (
Опубликованы корректирующий выпуски Firefox 131.0.2, Firefox ESR 115.16.1, Firefox ESR 128.3.1 и Tor Browser 13.5.7, в которых устранена критическая уязвимость (CVE-2024-9680), приводящая к выполнению кода на уровне процесса обработки контента при открытии специально оформленных страниц. Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах. Опасность уязвимости усугубляется тем, что ещё до появления исправления компанией ESET выявлены факты её использования в эксплоитах для совершения атак (0-day). Детальная информация о сути уязвимости пока не раскрывается.
Дополнительно можно отметить о выявлении в выпуске Firefox 131 проблем (1, 2, 3), приводящих к нарушению отображения элементов интерфейса при запуске браузера в окружениях на базе X11/Xorg без композитного менеджера. Проблемы проявляются в Xfce при выключенном композитном режиме в настройках и в простых оконных менеджерах. Например, пропадают тени и закругления всплывающих меню, отображается чёрный фон вместо прозрачности на индикаторе автопрокрутки.
Предупреждение об утечке передано администрации archive.org, но официальных заявлений и пояснений пока опубликовано. Появившийся в сети SQL-дамп БД сервиса занимает более 6 ГБ и среди прочего включает хэши паролей пользователей в формате bcrypt, а также время изменения пароля, email и имя пользователя. Наиболее свежая запись в БД датирована 28 сентября.
Актуальность БД подтвердил известный исследователь безопасности Скот Хельме (Scott Helme), хэш пароля и время изменения из утекшего SQL-дампа у которого совпали с данными из его менеджера паролей. Компрометацию своих учётных записей можно проверить через сервис haveibeenpwned.com, в который уже добавлены сведения об учётных записях из утекшей БД archive.org. В общем виде проверка в haveibeenpwned.com охватывает 14 миллиардов паролей и включает сведения о взломах 817 сайтов.
Трой Хант (Troy Hunt), создатель сервиса проверки скомпрометированных паролей "Have I Been Pwned" (haveibeenpwned.com), получил сведения об утечке пользовательской базы организации Internet Archive (archive.org), сопровождающей архив состояния сайтов и крупнейшую библиотеку оцифрованного контента. Совершившие атаку передали Трою SQL-дамп (6 ГБ), включающий учётные записи 31 млн. пользователей archive.org. Кроме того,
После четырёх лет разработки опубликован релиз проекта XCP-ng 8.3, развивающего свободную и бесплатную замену проприетарной платформе XenServer для развертывания облачной инфраструктуры и управления её работой. XCP-ng воссоздаёт функциональность, которую компания Citrix исключила из бесплатного варианта Citrix Hypervisor/XenServer, начиная c версии 7.3, и позволяет быстро развернуть систему виртуализации серверов и рабочих станций, предлагая средства для централизованного управления неограниченным числом серверов и виртуальных машин. Для загрузки подготовлен установочный образ размером 640 Мб.
Среди особенностей системы: возможность объединения нескольких серверов в пул (кластер), средства обеспечения высокой доступности (High Availability), поддержка снапшотов, совместное использование разделяемых ресурсов при помощи технологии XenMotion. Поддерживается живая миграция виртуальных машин между хостами кластера и между разными кластерами/отдельными хостами (не имеющими общего хранилища), а также живая миграция дисков VM между хранилищами. Платформа может работать с большим числом систем хранения данных и отличается наличием простого и понятного интерфейса для установки и администрирования.
Отмечается, что ветка XCP-ng 8.3 станет последней в серии 8.x и следующим станет выпуск 9.0, который ознаменует уход проекта от повторения XenServer в сторону реализации своего видения построения платформы. XCP-ng 9.0 и будет нацелен на области применения, на которые проект XenServer не фокусировал своё внимание, например, на предоставление инструментов для миграции с платформ VMware.
- В состав платформы встроен web-интерфейс XO Lite, реализующий упрощённый вариант web-интерфейса Xen Orchestra. Поддерживаются такие операции, как навигация по пулам, хостам и виртуальным машинам, доступ к консолям виртуальных машин, мониторинг, доступ к статистике, отслеживание потребления ресурсов, управление жизненным циклом виртуальных машин (запуск, остановка, миграция, удаление, создание снапшотов), фильтрация и сортировка списков объектов виртуальных машин, открытие консоли в отдельном окне. До конца года планируют добавить функции для создания виртуальных машин и управления сетью. https://honk.any-key.press/d/5PDr8zCLPV64P1wNXq.png
- Реализована новая тема оформления для консольного интерфейса xsconsole. https://honk.any-key.press/d/V424Z98rTF34l6dm4n.png
- Добавлена новая заставка, показываемая при загрузке и завершении работы. https://honk.any-key.press/d/bbx5cDcKPKZwbshnXN.png
- Добавлена поддержка виртуальных чипов для хранения криптографических ключей (vTPM, virtualized Trusted Platform Module), которую можно использовать для запуска Windows 11 в виртуальных машинах.
- Реализована полная поддержка IPv6 на стороне хост-системы (Dom0), которую можно использовать в управляющем интерфейсе, хранилищах и для сетевой загрузки виртуальных машин. Доступно три режима работы: только IPv6, только IPv4 и IPv4+IPv6. Поддержка IPv6 также добавлена в инсталлятор.
- Расширена поддержка оборудования, например, добавлены драйверы igc и r8125 для сетевых адаптеров Intel i225 и устройств на базе чипа Realtek RTL8125. Добавлен драйвер largeblock для эффективной работы с дисками с физическими секторами 4K.
- В XAPI API добавлены обработчики для удалённого управления пробросом PCI-устроств в виртуальные машины. https://honk.any-key.press/d/Yd7FDX7bss23z4Mf1W.png
- При создании снапшотов виртуальных машин разрешено исключение отдельных дисков, что позволяет, например, для экономии места не добавлять в снапшот диски с временными и возобновляемыми данными, такими как кэши, разделы подкачки и резервные копии.
- Добавлена возможность сжатия данных при их передаче в процессе live-миграции.
- Добавлен XAPI-плагин для показа состояния дисков, используя пакет smartmontools.
- Добавлена возможность использования сертификатов для верификации содержимого пулов виртуальных машин.
- Упрощено управление ключами и шифрами OpenSSH.
- Добавлена опция для закрытия сетевого порта 80 для ограничения доступа к управляющему интерфейсу.
- В xsconsole добавлена возможность просмотра VLAN.
- Добавлены новые шаблоны виртуальных машин. Добавлены типовые шаблоны для Linux-систем, использующих BIOS и UEFI.
- Скрипты на языке Python переписаны с использованием Python 3.
После четырёх лет разработки опубликован релиз проекта XCP-ng 8.3, развивающего свободную и бесплатную замену проприетарной платформе XenServer для развертывания облачной инфраструктуры и управления её работой. XCP-ng воссоздаёт функциональность, которую компания Citrix исключила из бесплатного варианта Citrix Hypervisor/XenServer, начиная c версии
Организация GNOME Foundation объявила о проведении оптимизации расходов для выравнивая баланса между доходами и расходами. Последние годы в организации наблюдается большой перерасход средств, например, в 2023 финансовом году организация получила 556 тысяч долларов, а израсходовала - 676 тысяч долларов (перерасход $120 тысяч), в 2022 году проект получил $363 тысяч, а израсходовал $649 тысяч (перерасход $286 тысяч), в 2021 году проект получил $287 тысяч, а израсходовал $927 тысяч (перерасход $640 тысяч). Совет директоров GNOME Foundation принял решение избавиться от подобного дисбаланса в 2024 финансовом году (с 1 октября 2024 по 30 сентября 2025) для восстановления необходимого уровня резервов на случай непредвиденных проблем (до сих пор перерасход компенсировался отложенными ранее накоплениями).
Для экономии средств решено уменьшить штат сотрудников, сократив должности креативного директора и директора по развитию сообщества (Director of Community Development). Обязанности ранее занимавших данные должности работников, такие как организация мероприятий, маркетинговые инициативы, проведение кампаний по сбору средств и создание графического дизайна, будут распределены среди оставшегося персонала. Расходы также планируют уменьшить за счёт значительного снижения оплачиваемых за счёт GNOME Foundation поездок на различные мероприятия. На прежнем уровне останется финансирование проведения конференций Linux App Summit, GNOME.Asia и GUADEC, поддержания инфраструктуры gnome.org и программы Outreach (оплата стажировок женщин и меньшинств).
Организация GNOME Foundation объявила о проведении оптимизации расходов для выравнивая баланса между доходами и расходами. Последние годы в организации наблюдается большой перерасход средств, например, в 2023 финансовом году организация получила 556 тысяч долларов, а израсходовала - 676 тысяч долларов (перерасход $120 тысяч), в 2022 году проект получил $363 тысяч, а израсходовал $649 тысяч (перерасход $286 тысяч), в 2021 году проект...
Опубликован релиз свободной загрузочной прошивки Libreboot 20241008, который имеет статус экспериментального выпуска, сосредоточенного на развитии функциональности (стабильные релизы в основном содержат исправления и публикуются примерно раз в год, прошлый стабильный релиз был в июне). Проект развивает готовую сборку проекта Coreboot, предоставляющую замену проприетарным прошивкам UEFI и BIOS, отвечающим за инициализации CPU, памяти, периферийных устройств и других компонентов оборудования, с минимизацией бинарных вставок.
Libreboot нацелен на формирование системного окружения, позволяющего обойтись без проприетарного ПО настолько, насколько это возможно, не только на уровне операционной системы, но и прошивки, обеспечивающей загрузку. Libreboot дополняет Coreboot средствами для упрощения применения конечными пользователями, формируя готовый дистрибутив, которым может воспользоваться любой пользователь, не имеющий специальных навыков.
В новой версии проведена работа по сокращению кодовой базы и упрощению сборочной системы - размер задействованных при сборке shell-скриптов сокращён с 1482 до 1159 строк кода без потери функциональности. Добавлена поддержка игровой приставки Sony PlayStation 1 в прошивке для которой вместо CoreBoot задействован код Open BIOS от проекта PCSX Redux. Добавлена поддержка пяти моделей ноутбуков Dell Latitude (E6220, E6320, E6330, E6230, E4300) и трёх моделей ПК Dell OptiPlex (3050 Micro, 7010 SFF, 9010 SFF). Осуществлена синхронизация с кодовыми базами: Coreboot по состоянию на 29 июля, SeaBIOS - 24 июня, Flashprog - 2 августа, GRUB - 17 июня. U-Boot обновлён до версии 2024.07.
Опубликован релиз свободной загрузочной прошивки Libreboot 20241008, который имеет статус экспериментального выпуска, сосредоточенного на развитии функциональности (стабильные релизы в основном содержат исправления и публикуются примерно раз в год, прошлый стабильный релиз был в июне). Проект развивает готовую сборку проекта
Представлен выпуск свободной UNIX-подобной операционной системы OpenBSD 7.6. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается 13 аппаратных платформ), стандартизация, корректная работа, проактивная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 7.6 составляет 702 МБ.
Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (форк OpenSSL), OpenSSH, пакетный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (аналог GNU screen) tmux, демон identd с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc, протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер, утилита синхронизации файлов OpenRSYNC.
- Расширена поддержка архитектуры ARM64. Включена поддержка ARM8-расширения EPAN (Enhanced Privileged Access Never), блокирующего привилегированный доступ к страницам памяти, используемым только для исполнения кода. Добавлена поддержка процессора Qualcomm Snapdragon X Elite (X1E80100) и реализовано определение CPU Cortex-A520AE (Hayes AE) и Cortex-A720AE (Hunter AE). Для систем на базе архитектуры ARM64 реализована защита от уязвимостей класса Spectre-V4, а также улучшена защита от уязвимостей Spectre-BHB.
- Для систем на базе архитектуры AMD64 добавлена поддержка инструкций AVX-512. Реализована защита от уязвимости RFDS в процессорах Intel Atom.
- Добавлена поддержка платы Milk-V Pioneer на базе архитектуры RISC-V.
- Удалён механизм msyscall, применяемый для пометки областей памяти из которых допускается выполнение системных вызовов. На смену msyscall пришли системные вызовы mimmutable и pinsyscalls.
- Проведена работа по улучшению поддержи энергосберегающих состояний S0 и перехода в спящий режим на современном оборудовании. На системах amd64 реализован режим "suspend-to-idle", который можно применять на оборудовании без поддержки спящего режима S3. Решены многие проблемы в драйверах, мешавшие использованию спящего режима.
- В системный вызов readdir добавлена проверка на наличие символа '/' в именах файлов для блокирования возможных атак на приложения при работе с не заслуживающими доверия файловыми системами.
- Усовершенствована поддержка многопроцессорных систем (SMP). Добавлены возможности по параллельной обработке на разных ядрах CPU входящих UDP -пакетов и raw-сокетов IPv4/IPv6. Улучшена работа с блокировками для сокетов unix4 и UDP. Переведены на новую схему работы с блокировками сокеты AF_ROUTE. Избавлен от глобальной блокировки системные вызовы shutdown, sigsuspend и kbind, а также таймеры TCP и многие sysctl.
- Внесены улучшения в гипервизор VMM. Добавлена поддержка механизма AMD SEV (Secure Encrypted Virtualization) для защиты виртуальных машин от вмешательства со стороны гипервизора или администратора хост-системы. Улучшен доступ к возможностям CPU из виртуальных машин. В vmctl добавлена команда "status -r" для показа состояния только запущенных виртуальных машин.
- Реализация фреймворка drm (Direct Rendering Manager) синхронизирована с ядром Linux 6.6.52 (в прошлом выпуске - 6.6.19). В драйвере inteldrm реализована поддержка GPU, применяемого в процессорах Intel на базе микроархитектуры Meteor Lake.
- Из FreeBSD перенесена функция scandirat для перебора содержимого каталогов.
- Добавлен sysctl-параметр "net.inet.tcp.nodelay" для отключения алгоритма Нейгла, используемого для агрегирования мелких сообщений с целью снижения трафика. В современных высокоскоростных сетях использование алгоритма Нейгла может принести больше вреда чем пользы. Параметр действует на уровне всей системы и избавляет разработчиков приложений от выставления флага TCP_NODELAY для отдельных сокетов.
- Из базовой системы удалён старый DHCP-клиент dhclient, вместо которого предлагается использовать постоянно запущенный фоновый процесс dhcpleased, поставляющийся начиная с OpenBSD 6.9 и использующий утилиту ifconfig для включения автоконфигурации сетевых интерфейсов через DHCP (включается через запуск "ifconfig $if autoconf" или добавление "inet autoconf" в /etc/hostname.$if).
- Запрещено использование символа с нулевым кодом в shell-скриптах, обрабатываемых используемым по умолчанию командным интерпретатором ksh. Наличие нулевых символов в скриптах теперь будет приводить к завершению выполнения с выводом ошибки, за исключением случаев их размещения среди данных, прикреплённых в конце файла следом за кодом.
- Утилита tar переведена на использование по умолчанию формата PAX при создании архивов. Использование формата PAX даст возможность сохранять более длинные имена файлов, обрабатывать ссылки, использовать точные сведения о времени и помещать в архив файлы очень большого размера.
- В состав X11-стека Xenocara, применяемого в OpenBSD для формирования графического окружения, добавлена библиотека libva, позволяющая использовать программный интерфейс VA-API (Video Acceleration API) для аппаратного ускорения кодирования и декодирования видео в различных форматах. Работа аппаратного ускорения протестирована с драйверами для GPU Intel и AMD при использовании браузера Firefox и видеопроигрывателя mpv. Необходимые для работы драйверы для GPU Intel предложены в портах graphics/intel-media-driver и graphics/intel-vaapi-driver, а для работы с GPU AMD используются штатные компоненты из состава Mesa.
- Предоставлена возможность запуска среды рабочего стола KDE Plasma 6.
- Добавлена поддержка нового оборудования и включены в состав новые драйверы, связанные с компонентами различных SoC и поддержкой Ethernet-контроллеров. В драйверы igc и dwqe добавлена поддержка аппаратного тэггирования VLAN, а в драйверах dwqe, vmx, igc и vio(4) обеспечен вынос выполнения сетевых операций на сторону сетевых карт.
- В компилятор добавлена опция "-fret-clean", выполняющая очистку адреса возврата в стеке после завершения вызова.
- Обеспечена работа PPP-интерфейсов в домене маршрутизации (rdomain).
- Для IPv6 добавлен режим "sysctl net.inet6.ip6.forwarding = 2", разрешающий перенаправление пакетов только для IPsec.
- В функцию getsockopt() добавлена поддержка флага SO_ACCEPTCONN, позволяющего проверить был ли выполнен для сокета вызов функции listen().
- В iked, реализации протокола IKEv2 для IPsec, добавлена поддержка аутентификации, авторизации и аккаунтинга через протокол RADIUS.
- В RADIUS-сервер radiusd добавлена поддержка DAE (Dynamic Authorization Extensions), а также возможность размещения настроек аккаунтинга в radiusd.conf. Добавлены модули: radiusd_ipcp для настройки пула IP-адресов, radiusd_file для аутентификации через локальный файл. В radiusctl добавлена команда "ipcp delete" для удаления определённого сеанса без разрыва соединения.
- В OpenSMTPD добавлен API smtpd-tables использования таблиц в smtpd и реализован сервис K_AUTH для извлечения учётных данных из таблиц.
- Добавлен фоновый процесс dhcp6leased для получения префиксов (8), a IPv6 от серверов DHCPv6.
- Обновлён OpenSSH. Список изменений можно посмотреть в анонсах OpenSSH 9.8 и OpenSSH 9.9.
- Число портов для архитектуры AMD64 составило : 12312 (было 12309), для aarch64 - 12148 (было 12145), для i386 - 10534 (было 10830). Среди версий приложений в портах:
- Asterisk 16.30.1, 18.24.3, 20.9.3
- Audacity 3.6.3
- CMake 3.30.1
- Chromium 128.0.6613.137
- Emacs 29.4
- FFmpeg 4.4.5
- GCC 8.4.0 и 11.2.0
- GHC 9.6.6
- GNOME 46
- Go 1.23.1
- JDK 8u402, 11.0.24, 17.0.12 и 21.0.4
- KDE Applications 24.05.2
- KDE Frameworks 6.5.0
- KDE Plasma 6.1.4
- Krita 5.2.3
- LLVM/Clang 13.0.0, 16.0.6 и 17.0.6
- LibreOffice 24.8.1.2
- Lua 5.1.5, 5.2.4, 5.3.6 и 5.4.7
- MariaDB 10.9.8
- Mono 6.12.0.199
- Mozilla Firefox 130.0.1 и ESR 128.2.0
- Mozilla Thunderbird 128.2.3
- Node.js 20.17.0
- OpenLDAP 2.6.8
- PHP 8.1.29, 8.2.23 и 8.3.11
- Postfix 3.9.0
- PostgreSQL 16.4
- Python 2.7.18, 3.11.10
- Qt 5.15.13 (+ патчи от kde) и 6.6.3
- R 4.4.1
- Ruby 3.1.6, 3.2.5 и 3.3.5
- Rust 1.81.0
- SQLite 3.44.2
- Shotcut 24.04.28
- Sudo 1.9.15.5
- Suricata 7.0.6
- Tcl/Tk 8.5.19 и 8.6.13
- TeX Live 2023
- Vim 9.1.707 и Neovim 0.10.1
- Xfce 4.18.1
- Обновлены компоненты от сторонних разработчиков, входящие в состав OpenBSD 7.6:
Представлен выпуск свободной UNIX-подобной операционной системы OpenBSD 7.6. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (
Представлен релиз специализированного дистрибутива Tails 6.8 (The Amnesic Incognito Live System), основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Tails 6.8 стал первым выпуском, сформированным после объявления о переходе дистрибутива под крыло проекта Tor. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 ГБ.
- В случае выявления ошибок при попытке разблокировки постоянного хранилища (Persistent Storage) теперь выводится диалог, предлагающий попытаться восстановить целостность ФС (fsck) или создать резервную копию раздела. Для проблем, которые не удаётся устранить автоматически, подготовлена подробная документация по устранению ошибок в ФС и восстановлению данных со сбойного раздела. https://honk.any-key.press/d/3FkxGl212j19fwBm69.png
- Улучшено уведомление, показываемое при отключении сетевого интерфейса после невозможности выставить фиктивный MAC-адрес. https://honk.any-key.press/d/1lpH2XcWy121rF2Sbq.png
- Обновлён Tor Browser 13.5.6.
Представлен релиз специализированного дистрибутива Tails 6.8 (The Amnesic Incognito Live System), основанного на пакетной базе Debian 12, поставляемого с рабочим столом GNOME 43 и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется...
- В композитном менеджере KWin включена поддержка Wayland-расширений управления цветом. Добавлена поддержка возможности "rendering intents", определяющей то, как цвета должны быть преобразованы из одного цветового пространства в другое. Добавлена поддержка метода компенсации чёрной точки (BPC, Black Point Сompensation), применяемого для улучшения отображения чёрного цвета при преобразовании цветовых пространств.
- Реализован Wayland-протокол alpha-modifier, позволяющий клиентам менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера, который в свою очередь может переадресовать эти операции KMS.
- В окружении на базе Wayland реализована возможность копирования и вставки из системного буфера обмена при активном обзорном режиме (Overview) и других эффектах KWin.
- Добавлена возможность сборки KWin только с поддержкой сеанса Wayland.
- Добавлена настройка, позволяющая использовать встроенные в монитор данные цветового профиля.
- В виджет управления яркостью экрана добавлены ползунки для раздельного изменения яркости на каждом подключённом мониторе. Для синхронизированного изменения яркости на всех мониторах можно использовать горячую клавишу или прокрутку колесом мыши на виджете. https://honk.any-key.press/d/41NS6whgnmyyw1LVHD.png
- Все компоненты KDE переведены на использования единого диалога выбора приложения для обработки контента ("Open With"). https://honk.any-key.press/d/Sq8bFfTQk476QklNQ4.jpg
- Вызываемые из панели всплывающие окна теперь по возможности выравниваются по краю панели. https://honk.any-key.press/d/CrX8qnq8KbCx3x1lVm.png
- Для графических планшетов добавлен интерфейс калибровки, предоставлена поддержка тестирования изменяемых настроек, реализована возможность переназначения клавиш на стилусе и появилась поддержка сопоставления поверхности планшета с определённой областью на экране.
- Предоставлена возможность переопределения поведения приложений в отношении блокировки перехода в спящий режим или запуска хранителя экрана.
- Возвращено отображение в процессе зарядки индикатора с уровнем заряда аккумулятора (в KDE Plasma 6.0 виджет отключался во время зарядки, а теперь будет отключаться только после завершения зарядки).
- Добавлена комбинация клавиш Meta+B для переключения профилей энергопотребления.
- В менеджере приложений (Discover) и связанном с ним индикаторе в системном лотке обеспечено постоянное отображение сведений о наличии обновлений. Добавлена кнопка "Install Updates & Shut Down" для установки накопившихся offline-обновлений и завершения работы (данная функция вначале перезагружает компьютер и выполняет offline-обновление во время загрузки, а затем завершает работу системы, после того как обновления будут установлены). Переработано представление информации о лицензиях и обеспечено явное разделения несвободных и проприетарных программ, вместо именования всех несвободных программ проприетарными. Встроена возможность установки и обновления пакетов для дистрибутива PostmarketOS. https://honk.any-key.press/d/HMfvxK3Q2Wnbt1p9b6.png
- При использовании альтернативных профилей энергопотребления, обеспечен показ специальных значков на индикаторе энергопотребления в системном лотке, что позволяет не только видеть состояние заряда аккумулятора, но и выбранный профиль энергопотребления. https://honk.any-key.press/d/mJDx2B93d3QXXB3GG4.pnghttps://honk.any-key.press/d/rnGRk24CGG1PBTTFd8.png
- Предоставлена возможность назначения отображаемого имени для ярлыков выполнения произвольных команд. https://honk.any-key.press/d/zs56yg7tmbq2452m51.png
- При использовании Wayland реализована поддержка механизма "sticky keys", который позволяет людям c нарушением мелкой моторики пальцев рук пользоваться клавиатурными комбинациями, требующими одновременного нажатия нескольких клавиш - в режиме "sticky keys" клавиши-модификаторы (Shift, Ctrl, Alt) можно нажимать заранее, перед нажатием другой клавиши (нажатие модификатора запоминается и применяется к следующей клавише).
- В виджет, показывающий прогноз погоды, добавлена поддержка отображения ощущаемой температуры, которая учитывает влияние влажности воздуха на субъективное ощущение температуры. Добавлена возможность загрузка прогнозом погоды из сервиса NOAA (National Oceanic and Atmospheric Administration). https://honk.any-key.press/d/7fhW5W4Xn5wLPK763k.png
- Добавлена поддержка изменения параметров автоматической прокрутки в драйвере Libinput, а также возможность отключения режима плавной прокрутки в приложениях.
- В виджет управления сетевым соединением добавлена поддержка WebAuth аутентификации на базе SAML (Security Assertion Markup Language). Реализована поддержка метода согласования соединения OWE (Opportunistic Wireless Encryption, RFC 8110) для генерации ключей шифрования в открытых беспроводных сетях (расширение OWE задействовано в стандарте WPA3 для шифрования всех потоков данных между клиентом и точкой доступа в общедоступных публичных беспроводных сетях, не требующих аутентификации).
- Предоставлена возможность изменения цвета выделения активных элементов (акцентный цвет) для тем оформления Breeze Dark и Breeze Twilight.
- Размещение сетки элементов в системном лотке оптимизировано с учётом длины строковых названий на выбранном в системе языке. https://honk.any-key.press/d/hkwJ4HytX6gDtXwl6C.png
- Переделан интерфейс навигации по виджетам (Widget Explorer).
- Всплывающее окно операций с буфером обмена, показываемое при нажатии Meta+V, унифицировано с интерфейсом виджета буфера обмена.
- В конфигураторе (System Settings) предложено новое оформление страницы для настройки параметров клавиатуры, переработана страница с настройками Thunderbolt, а также модернизирован интерфейс страниц, продолжающих использовать QtWidgets (данные страницы сделаны более похожими на части, использующие QML). https://honk.any-key.press/d/683JpGb2yvVH1qshB4.png
- В интерфейсе приветствия входа в систему (Welcome Center) предложен более наглядный обзор возможностей KDE Plasma.
- Реализована звуковая индикация подключения и отключения монитора.
- В KWin удалена поддержка эффекта морфинга всплывающих окон из-за наличия нерешаемых проблем.
- По умолчанию разрешено перемещение окон, соответствующих теме оформления Breeze, только за область заголовка, а не любые части окна.
- В выпадающем меню, показываемом при перемещении мышью файла или изображения из браузера на рабочий стол или в файловый менеджер, теперь показываются только действия, имеющие отношение к перемещённому файлу (загрузка файла или помещение ссылки). https://honk.any-key.press/d/GH3Fk5rc1Fj5p3p9T7.png
- В виджете Pager добавлена опция для отключения контуров окна.
- В виджете "Minimize All" обеспечено сворачивание окон только на текущем виртуальном рабочем столе.
- В интерфейс добавления аватара пользователя встроен инструмент для обрезки изображения.
- Добавлено всплывающее уведомление с запросом пожертвований, которое будет выводиться только раз в год (в декабре). https://honk.any-key.press/d/5B13vhmxJw7cVz2TJR.png
- В программу Info Center добавлена страница с параметрами и характеристиками памяти. https://honk.any-key.press/d/F9J2Wl222fZF3b2GX4.png
- В виджет завершения сеанса и конфигуратор добавлена опция "Show logout screen" для показа экрана выбора доступных операций (завершение работы, выход или перезагрузка). https://honk.any-key.press/d/dL4K8PcfFs32j3bw6T.jpg
- В настройки Bluetooth добавлена отдельная секция с заблокированными устройствами, а на страницу с параметрами устройства добавлено подсказка о том, к чему приводит выставление блокировки. https://honk.any-key.press/d/VYJKmTg12kpvp861p6.jpg
- Предоставлена возможность настройки ширины пиктограмм и текста, показываемых при активации менеджера задач.
- Со 100 до 200 символов в секунду увеличена максимальная частота обработки повторного нажатия клавиши.
- Предложена начальная реализация тем курсоров в формате SVG, которая задействована в темах Breeze.
После четырёх месяцев разработки опубликован релиз среды рабочего стола KDE Plasma 6.2. Для оценки работы новых выпусков KDE можновоспользоваться сборками от проектов KDE Neon и openSUSE (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE Tumbleweed).
Объявлено о начале работы над дистрибутивом openSUSE Leap 16.0, построенным на технологиях следующей значительной ветки коммерческого дистрибутива SLES 16, переходящего на новую платформу SLFO (SUSE Linux Framework One), ранее известную под именем ALP (Adaptable Linux Platform). Отмечается, что в ветке openSUSE Leap 16.0 предпринята попытка совместить традиционные возможности дистрибутива с новыми технологиями SLFO. Новая ветка позиционируется как традиционный дистрибутив, поставляемый в принципиальной новой форме и использующий пакеты из SLES 16 и поддерживаемого сообществом репозитория Factory.
Релиз openSUSE Leap 16.0 планируют выпустить в октябре 2025 года. Опубликованный в июне релиз openSUSE Leap 15.6 станет последним выпуском ветки 15.x, а доступ к обновлениям пакетов из SLES 15 SP7 планируют предоставить через Package HUB. Для тестирования сформированы сборки предварительной альфа-версии openSUSE Leap 16.0. Предлагается три режима установки: базовый, GNOME и KDE. Для установки задействован новый инсталлятор Agama.
Платформа SLFO позиционируется как продолжение развития дистрибутива SUSE Linux Enterprise и отличается разделением базовой основы дистрибутива на части. Основной дистрибутива SUSE 16 станет урезанное окружение "host OS", включающее только компоненты, минимально необходимые для работы поверх оборудования и управления. Все приложения и компоненты пространства пользователя будут запускаться не в смешанном окружении, а в отдельных контейнерах или в виртуальных машинах, выполняемых поверх "host OS" и изолированных друг от друга.
Из особенностей системного окружения SLFO можно отметить использование по умолчанию дискового шифрования (FDE, Full Disk Encryption) с возможностью хранения ключей в TPM. Корневой раздел монтируется в режиме только для чтения и не меняется в процессе работы. В окружении применяется механизм атомарной установки обновлений, основанный на использовании штатного пакетного менеджера и механизма снапшотов в ФС Btrfs. Предусмотрен настраиваемый режим автоматической установки обновлений. Для поддержания живучести системы (self-healing) осуществляется фиксация последнего стабильного состояния при помощи снапшотов Btrfs (в случае выявление аномалий после применения обновлений или изменения настроек система автоматически переводится в предыдущее состояние).
В платформе применяется многоверсионный программный стек - благодаря применению контейнеров можно одновременно использовать разные версии инструментов и приложений. Например, можно запускать приложения, использующие разные версии Python, Java и Node.js, разделяя несовместимые между собой зависимости. Базовые зависимости поставляются в форме наборов BCI (Base Container Images). Пользователь может создавать, обновлять и удалять программные стеки не затрагивая другие окружения.
Объявлено о начале работы над дистрибутивом openSUSE Leap 16.0, построенным на технологиях следующей значительной ветки коммерческого дистрибутива SLES 16, переходящего на новую платформу SLFO (SUSE Linux Framework One), ранее известную под именем ALP (Adaptable Linux Platform). Отмечается, что в ветке openSUSE Leap 16.0 предпринята попытка совместить традиционные возможности дистрибутива с новыми технологиями SLFO. Новая ветка позиционируется как...
Опубликован легковесный Live-дистрибутив AntiX 23.2, построенный на пакетной базе Debian и нацеленный на установку на устаревшее оборудование. Выпуск основан на пакетной базе Debian 12, но поставляется без системного менеджера systemd и с eudev вместо udev. Для инициализации на выбор могут использоваться runit или sysvinit. Пользовательское окружение по умолчанию сформировано при помощи оконного менеджера IceWM, но дополнительно в поставку включены fluxbox, jwm и herbstluftwm. Размер iso-образов: 2.1 ГБ (полный, включает LibreOffice и 4 оконных менеджера – IceWM, fluxbox, jwm и herbstluftwm), 1.2 ГБ (базовый), 564 МБ (без графики) и 249 МБ (установка по сети). Сборки подготовлены для архитектур x86_64 и i386.
В новом выпуске выполнена синхронизация с пакетной базой Debian 12 (Bookworm). В полной сборке предложено ядро Linux 6.1.105, а в остальных сборках 5.10.224. Обновлены версии приложений, например, LibreOffice 24.8.2, Firefox 128.3.0esr, Seamonkey 2.53.19.1. Прекращена поставка приложения smtube для просмотра YouTube.
Состав:
- Пользовательское окружение по умолчанию построено на основе оконного менеджера IceWM и файлового менеджера zzzFM.
- Мультимедийный сервер pipewire и менеджер звуковых сеансов WirePlumber в полных редакциях (в остальных редакциях ALSA).
- Воспроизведение звука: xmms.
- Просмотр видео: celluloid и mpv.
- Просмотр изображений: mirage.
- Прослушивание интернет-радио: streamtuner2.
- Ведение заметок: cherrytree.
- Просмотр PDF-документов: qpdfview.
- Навигация по приложениям: App Select.
- Файловые менеджеры: zzzFM, rox-filer, mc.
- Конвертация звука и видео: winff и asunder.
- Настройка сети: connman, gnome-ppp и ceni.
- Текстовые редакторы: geany, leafpad.
- Инструменты для ремастеринга и создания снимков установленной системы: iso-snapshot и remaster.
- Резервное копирование: luckybackup.
- Работа с электронной почтой: Claws Mail.
- Сканирование документов: simple-scan.
- Загрузка торрентов: transmission-gtk.
- Настройка: antiX Control Centre.
- Разное: bootrepair, Package Installer, Network Assistant, User Manager, ddm-mx (установщик драйверов NVIDIA).
- Консольные приложения: редакторы nano и vim-tiny, RSS-ридер newsboat, чат irssi, аудиоплеер mocp, радио pmrp, видеоплеер mpv, загрузчик YouTube ytfzf, торрент rtorrent.
Дополнительно можно отметить обновление легковесного дистрибутива MX Linux 23.4, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве используется система инициализации sysVinit и собственные инструменты для настройки и развёртывания системы. Для загрузки доступны 32- и 64-разрядные сборки (x86_64, i386) с рабочим столом Xfce (2.3 ГБ), а также 64-разрядные сборки с рабочим столом KDE (2.8 ГБ) и сборки (1.8 ГБ) с оконным менеджером Fluxbox.
В новом выпуске:
- Осуществлена синхронизация с пакетной базой Debian 12.5. Обновлены версии приложений. Как и в прошлых выпусках по умолчанию продолжает использоваться система инициализации sysVinit, а systemd можно установить в качестве опции. Пакет с ядром Linux обновлён до версии 6.1.106. В сборке с расширенной поддержкой оборудования задействовано ядро 6.10.10 с патчами от проекта liqourix.
- Обновлены компоненты Xfce 4.18.
- В MX Packageinstaller обеспечен показ всех установленных пакетов во вкладках "Enabled", "test" и "backports", а не только установленных пакетов, которые имеются в настроенном репозитории. Более заметно выделены отличия в версиях пакетов, установленных и имеющихся в репозитории. Во вкладке "flatpak" добавлена возможность использования фильтра для показа только верифицированных пакетов.
- В утилите live-usb-maker при создании live-накопителей с шифрованием разделов по умолчанию задействован формат LUKS2.
- Улучшен интерфейс MX-usb-unmounter, добавлена опция для показа индикатора в системном лотке при вставке внешнего накопителя.
- В pipewire-setup-mx повышена стабильность работы pipewire/wireplumber для пользователей KDE.
- В MX Tweak добавлена настройка для включения или отключения автозапуска обработчика для вывода уведомлений о появлении обновлений в системном лотке.
- В сборку на базе оконного менеджера Fluxbox добавлен интерфейс job-scheduler для настройки crontab. https://honk.any-key.press/d/7z8qrK2SX7WrxkbkPg.jpg
Опубликован легковесный Live-дистрибутив AntiX 23.2, построенный на пакетной базе Debian и нацеленный на установку на устаревшее оборудование. Выпуск основан на пакетной базе Debian 12, но поставляется без системного менеджера systemd и с eudev
После года разработки опубликован значительный выпуск языка программирования Python 3.13. Новая ветка будет поддерживаться в течение полутора лет, после чего ещё три с половиной года для неё будут формироваться исправления с устранением уязвимостей.
- Добавлена экспериментальная реализация JIT-компилятора, позволяющего добиться существенного повышения производительности. Для включения JIT в CPython добавлена сборочная опция "--enable-experimental-jit", использование которой требует установки LLVM в качестве дополнительной зависимости. Процесс трансляции машинного кода в JIT построен c использованием архитектуры "Copy-and-Patch", при которой при помощи LLVM собирается объектный файл в формате ELF, содержащий данные об инструкциях байткода и информацию о необходимой замене данных. JIT заменяет сгенерированные в ходе интерпретации программы инструкции байткода на их представления в машинном коде, попутно подставляя необходимые для вычислений данные (JIT копирует готовые шаблоны уже скомпилированных функций и подставляет в них необходимые значения, такие как аргументы и константы).
- Добавлен экспериментальный режим сборки CPython без глобальной блокировки интерпретатора (GIL, Global Interpreter Lock), который включается при помощи опции "--without-gil" и позволяет избавиться от проблемы с распараллеливанием операций на многоядерных системах, вызванной тем, что глобальная блокировка не допускает параллельное обращение к разделяемым объектам из разных потоков. Отключение GIL приводит к дополнительным накладным расходам, вызванным изменениями в сборщике мусора, системе управления памятью и примитивах для организации блокировок. Например, из-за использования подсчёта ссылок для изоляции потоков наблюдается снижение производительности однопоточных сценариев примерно на 10%. При этом подобные накладные расходы могут компенсироваться распараллеливанием операций.
- Предложен новый улучшенный интерактивный интерпретатор, основанный на наработках проекта PyPy и поддерживающий такие возможности, как многострочное редактирование, сохранение и просмотр истории, цветное оформление запросов и трассировок, использование REPL-подобных команд (help, exit, quit и т.п.) без привлечения функций, интерактивная справка, режим вставки больших блоков кода.
- Семантика встроенной функции locals(), возвращающей все локальные переменные и их значения в текущей области видимости, изменена для оптимизированных областей видимости, таких как функции, генераторы и сопрограммы, для которых теперь возвращаются независимые снапшоты выставленных в данный момент локальных переменных и не локальных переменных, отражённых в замыканиях.
- В состав по умолчанию включена изменённая версия библиотеки mimalloc с открытой компанией Microsoft системой распределения памяти, демонстрирующей очень высокую производительность. Библиотека задействована при сборке без GIL.
- Обеспечена очистка компилятором лидирующих пробелов из каждой документирующей строки (docstring), что позволило сократить потребляемую память и уменьшить размер кэша с байткодом (файлов .pyc).
- В модуле dbm реализован бэкенд dbm.sqlite3, который использует SQLite и применяется по умолчанию при создании новых файлов.
- Реализована поддержка указания значений по умолчанию в параметрах типов (typing.TypeVar, typing.ParamSpec и typing.TypeVarTuple). Например: 'T = TypeVar("T", default=int)'.
- Добавлена новая аннотация typing.TypeIs для уточнения типов, более интуитивно понятная, чем typing.TypeGuard.
- Добавлена возможность использования аннотации typing.ReadOnly для пометки элементов TypeDicts, доступных только для чтения.
- Добавлена новая аннотация warnings.deprecated() для пометки устаревших элементов в системе типов.
- Из стандартной библиотеки удалены модули aifc, audioop, chunk, cgi, cgitb, crypt, imghdr, mailcap, msilib, nis, nntplib, ossaudiodev, pipes, sndhdr, spwd, sunau, telnetlib, uu, xdrlib и lib2to3, ранее объявленные устаревшими.
- В модуль copy добавлена функция copy.replace().
- В модуль os добавлены функции для работы с таймером через дескрипторы timerfd.
- Для модуля random реализован интерфейс командной строки.
- Прекращена поддержка версий macOS c 10.9 по 10.12.
- Обеспечена поддержка мобильных платформ iOS и Android, которая отнесена к третьему уровню (Tier 3), на котором гарантируется надёжная сборка и сопровождение платформы обеспечивает как минимум один ключевой разработчик, но связанные с платформой сбои не блокируют релиз и не охватываются SLA-поддержкой.
- Поддержка платформы wasm32-wasi (WebAssembly System Interface) переведена на второй уровень, на котором сбои блокируют релиз, а вызывающие их изменения исправляются или отменяются в течение 24 часов. Прекращена официальная поддержка платформы wasm32-emscripten.
В ближайшие часы начнётся альфа-тестирование ветки Python 3.14, которая будет находиться на стадии альфа-выпусков в течение семи месяцев, во время которых будут добавляться новые возможности и производиться исправление ошибок (в соответствии с новым графиком разработки работа над новой веткой начинается за пять месяцев до релиза предыдущей ветки и к моменту очередного релиза достигает стадии альфа-тестирования). После этого в течение трёх месяцев будет проводиться тестирование бета-версий, во время которого добавление новых возможностей будет запрещено и всё внимание будет уделяться исправлению ошибок. Последние два месяца перед релизом ветка будет находиться на стадии кандидата в релизы, на которой будет выполнена финальная стабилизация.
После года разработки опубликован значительный выпуск языка программирования Python 3.13. Новая ветка будет поддерживаться в течение полутора лет, после чего ещё три с половиной года для неё будут формироваться исправления с устранением уязвимостей.
Группа, отвечающая за безопасность сети доставки контента Akamai, выявила дополнительный вектор атаки на процесс cups-browsed, помимо его использования в качестве одного из звеньев в эксплоите, приводящем к выполнению кода в системе. Через отправку запросов к процессу cups-browsed, без ограничений принимающему соединения на 631 порту, можно добиться отправки данных на другой хост, размер которых будет превышать исходный запрос до 600 раз. Для сравнения коэффициент усиления для memcached может достигать 10-50 тысяч раз, NTP - 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6.
Подобная особенность позволяет использовать системы с cups-browsed в качестве усилителя трафика при осуществлении DDoS-атак. Метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика. В ходе сканирования сети было выявлено более 198 тысяч уязвимых систем с CUPS, из которых 34% (58 тысяч систем) оказались пригодны для усиления трафика в DDoS-атаке.
В отличии от методов усиления трафика, требующих отправки UDP-пакетов с подставным обратным адресом жертвы, использование cups-browsed позволяет обойтись без спуфинга. Cервис cups-browsed имеет штатную возможность загрузки PPD-файла с произвольного сервера в ответ на неавторизированный внешний запрос, в ходе которого клиент передаёт URL, а cups-browsed пытается загрузить PPD-файл с указанного сервера.
При отправке запроса на загрузку PPD-файла в cups-browsed можно добиться прикрепление к значению "IPP URI" добавочного заполнения, которое может достигать 989 байт. При этом в инициируемом cups-browsed обращении значение "IPP URI" дублируется - один раз в HTTP-заголовке, а второй раз внутри тела POST-запроса, а запросы циклично повторяются после неудачных попыток загрузки и возвращения сервером 404 кода ошибки.
На 62% (35900) проверенных системах cups-browsed отправил как минимум 10 TCP/IPP/HTTP-запросов к атакуемой системе в ответ на один исходный UDP-запрос. В среднем для 58000 подверженных проблеме систем число повторных обращений составило 45. При оптимальном сценарии отправка одного 30-байтового исходного запроса при 45 повторных попытках загрузки приведёт к отправке на целевую систему 18000 байт данных, т.е. будет наблюдаться усиление трафика в 600 раз. В наихудшем сценарии усиление составляет 108 раз.
Дополнительно можно отметить об отражении компанией Cloudflare рекордной DDoS-атаки, в результате которой на систему жертвы был направлен поток в 3.8 терабит в секунду (2.14 миллиардов пакетов в секунду). Отмечается, что атака была организована с использованием большого числа скомпрометированных домашних маршрутизаторов Asus и Mikrotik, а также DVR-устройств и web-серверов, взломанных среди прочего с использованием относительно свежих уязвимостей.
Группа, отвечающая за безопасность сети доставки контента Akamai, выявила дополнительный вектор атаки на процесс cups-browsed, помимо его использования в качестве одного из звеньев в эксплоите, приводящем к выполнению кода в системе. Через отправку запросов к процессу cups-browsed, без ограничений принимающему соединения на 631 порту, можно добиться отправки данных на другой хост, размер которых будет превышать исходный запрос...
В библиотеке libgsf, развиваемой проектом GNOME, выявленауязвимость (CVE-2024-42415), которая может привести к выполнению кода при обработке специально оформленного файла. Уязвимость вызвана целочисленным переполнением, приводящим к записи данных за пределы выделенного буфера при обработке таблицы распределения секторов в процессе разбора параметров из заголовка файлов в формате CDF (Compound Document Format).
Библиотека libgsf предоставляет функции для разбора различных структурированных форматов файлов, среди которых архивы и форматы документов. Помимо приложений, таких как AbiWord, Gnumeric, GNOME Commander и Nemo, библиотека применяется проектом GNOME в поисковом движке tracker-miners и используется как зависимость в пакете tracker-extract, автоматически собирающем метаданные о новых файлах.
Опасность состоит в том, что использующий libgsf сервис GNOME автоматически индексирует и разбирает все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки необходимо добиться появления в каталоге пользователя специально созданного файла (например, для попадания файла каталог ~/Downloads в некоторых случаях достаточно нажатия на ссылку в браузере) и уязвимость будет эксплуатирована во время его автоматической индексации.
Уязвимость устранена в обновлении библиотеки libgsf 1.14.53. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. В большинстве дистрибутивов с GNOME компонент tracker-miners активируется по умолчанию и загружается как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). Для отключения tracker-miners для текущего пользователя можно использовать команды:
В библиотеке libgsf, развиваемой проектом GNOME, выявленауязвимость (CVE-2024-42415), которая может привести к выполнению кода при обработке специально оформленного файла. Уязвимость вызвана целочисленным переполнением, приводящим к записи данных за пределы выделенного буфера при обработке таблицы распределения секторов в процессе разбора параметров из заголовка файлов в формате CDF (
Линус Торвальдс выступил с новойкритикой методов сопровождения Bcachefs в основном ядре Linux. Суть претензий сводится к тому, что Кент Оверстрит (Kent Overstreet), автор Bcachefs, всегда присылает много изменений в последний момент перед выходом очередной предварительной версии ("-RC") и на этот раз его изменения привели к нарушению сборки 6.12-RC1 на системах с порядком байт "big-endian" при включении Bcachefs, так как патчи были протестированы только в локальной ветке Кента и для их рецензирования не были привлечены другие участники.
В итоге pull-запрос все же был принят, однако разгорелась дискуссия насчёт тестирования, систем непрерывной интеграции и взаимодействия с сообществом, в которой несколько людей отметили, что Кент явно испытывает проблемы в взаимодействии с остальными разработчиками и считает себя всегда правым, что создаёт проблемы для проекта в основном составе ядра. Линус предупредил Кента, что он подумывает просто удалить Bcachefs из основного ядра, так как Кент продолжает играть один в своей песочнице, не подключается к совместной работе и не желает принимать правила игры сообщества разработчиков ядра.
Линус Торвальдс выступил с новойкритикой методов сопровождения Bcachefs в основном ядре Linux. Суть претензий сводится к тому, что Кент Оверстрит (Kent Overstreet), автор Bcachefs, всегда присылает много изменений в последний момент перед выходом очередной предварительной версии ("-RC") и на этот раз его изменения привели к нарушению сборки 6.12-RC1 на системах с порядком байт "big-endian" при включении Bcachefs, так как патчи были протестированы...
ВСовете