· | 10.05 | Выпуск Xpra 6.0, аналога утилиты screen для GUI. Развитие Wprs, реализации Xpra для Wayland (46 +16) |
Опубликован выпуск проекта Xpra 6.0, развивающего подобие утилит screen и tmux для работы с графическими приложениями. Xpra позволяет запустить X11-приложения на локальной или удалённой системе, отсоединить сеанс, не завершая выполнение программ, и вернуться к работе с приложениями через какое-то время или продолжить работу с другого хоста (можно начать работу с программой на одной машине и продолжить на другой). Например, Xpra позволяет запустить графическое приложение на внешнем Linux-сервере и отобразить содержимое на экране текущей рабочей станции, функционирующей под управлением Linux, Windows или macOS. Код проекта написан на языке Python и распространяется под лицензией GPLv2+.
Возможно как подключение к имеющимся сеансам рабочего стола, так и создание новых сеансов для организации работы с графическими Linux-программами в окружениях Windows и macOS. Более того, в Xpra имеется встроенный HTML5-клиент, позволяющий подключаться к сеансам через браузер. Кроме доступа к окнам в Xpra реализована поддержка многих сопутствующих возможностей рабочих столов, таких как трансляция звука на удалённую систему, проброс принтеров и web-камер, организация доступа к буферу обмена, поддержка синхронизации состояния системного лотка и уведомлений. Имеются встроенные функции для передачи и синхронизации файлов между системами. Среди новых возможностей, появившихся в версии Xpra 6.0, можно отметить поддержку архитектуры riscv64, переход на использование базового профиля OpenGL, добавление отдельного клиента для GNOME, реализацию команды "xpra configure" для упрощения настройки параметров Gstreamer, ускорение операций mmap, упрощение быстрого отключения расширенных возможностей для трансляции звука и видео, добавление поддержки виртуальных рабочих столов Windows 10. Дополнительно можно отметить проект wprs, который развивает аналог Xpra для систем на базе Wayland. Wprs позволяет запускать на локальной или внешней системе приложения, использующие Wayland, и возобновлять работу с ними на других системах. Через привлечение XWayland также обеспечивается возможность запуска приложений, собранных для X11. Для работы на удалённой системе необходимо запустить фоновый процесс wprsd, после чего на той системе можно запускать приложения с других компьютеров, используя команды "wprs run", "wprs detach" и "wprs attach". Код wprs написан на языке Rust и распространяется под лицензией Apache 2.0. Процесс wprsd включает реализацию композитного сервера Wayland, основанного на библиотеке Smithay и вместо отрисовки на экран выполняющего сериализацию сеанса Wayland для его передачи на другую систему. Сеанс воссоздаётся при помощи утилиты wprsc c реализацией Wayland-клиента на базе Smithay Client Toolkit. Для авторизации доступа и организации канала связи используется SSH. Из ограничений wprs отмечается поддержка только базового протокола Wayland и расширений XDG shell, что, например, не позволяет задействовать аппаратное ускорение отрисовки и dmabuf. Также пока не поддерживается трансляция событий от сенсорных экранов/тачпадов и ограничены возможности интерфейса Drag&drop.
| ||
Обсуждение (46 +16) |
Тип: Программы |
| ||
· | 10.05 | Релиз дистрибутива Rocky Linux 9.4, развиваемого основателем CentOS (46 +3) |
Представлен релиз дистрибутива Rocky Linux 9.4, нацеленного на создание свободной сборки RHEL, способной занять место классического CentOS. Дистрибутив бинарно совместим с Red Hat Enterprise Linux и может использоваться в качестве замены RHEL 9.4 и CentOS 4 Stream. Поддержка ветки Rocky Linux 9 будет осуществляться до 31 мая 2032 года. Установочные iso-образы Rocky Linux подготовлены для архитектур x86_64, aarch64, ppc64le и s390x (IBM Z). Дополнительно предложены live-сборки с рабочими столами GNOME, KDE, Cinnamon и Xfce, опубликованные для архитектуры x86_64.
Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. С обзором списка изменений в Rocky Linux 9.4 можно познакомиться в анонсе RHEL 9.4. Среди специфичных для Rocky Linux изменений можно отметить поставку в отдельном репозитории plus пакетов openldap-servers-2.6.6, а в репозитории NFV пакетов для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization). В Rocky Linux также поддерживаются репозитрии CRB (Code Ready Builder с дополнительными пакетами для разработчиков, пришёл на смену PowerTools), RT (пакеты для работы в режиме реального времени), HighAvailability, ResilientStorage, SAP () и SAPHANA (пакеты для SAP HANA). Добавлен экспериментальный пакет с ядром Linux - kernel-uki, предоставляющий унифицированный образ UKI (Unified Kernel Image), заверенный отдельным ключом для SecureBoot. В качестве источника исходных пакетов при формировании Rocky Linux 9.4 задействован репозиторий OpenELA, поддерживаемый совместно с Oracle и SUSE. Изменение процессов разработки обусловлено прекращением размещения компанией Red Hat исходных текстов rpm-пакетов RHEL в публичном репозитории git.centos.org. Исходные пакеты предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Дистрибутив Rocky Linux развивается под покровительством организации Rocky Enterprise Software Foundation (RESF), которая зарегистрирована как общественно-полезная корпорация (Public Benefits Corporation), не нацеленная на получение прибыли. Владельцем организации является Грегори Курцер (Gregory Kurtzer), основатель CentOS, но функции управления в соответствии с принятым уставом делегированы совету директоров, в который сообществом избираются участники, вовлечённые в работу над проектом. Параллельно для развития расширенных продуктов на базе Rocky Linux и поддержки сообщества разработчиков данного дистрибутива создана коммерческая компания Ctrl IQ, которая получила 26 млн долларов инвестиций. К разработке и финансированию проекта присоединились такие компании, как Google, Amazon Web Services, GitLab, MontaVista, 45Drives, OpenDrives и NAVER Cloud. Кроме Rocky Linux, в качестве альтернатив классическому CentOS также позиционируются AlmaLinux (развивается компанией CloudLinux, совместно с сообществом), VzLinux (подготовлен компанией Virtuozzo), Oracle Linux, SUSE Liberty Linux и EuroLinux. Кроме того, компания Red Hat предоставила возможность бесплатного использования RHEL в организациях, развивающих открытое ПО, и в окружениях индивидуальных разработчиков, насчитывающих до 16 виртуальных или физических систем.
| ||
Обсуждение (46 +3) |
Тип: Программы |
| ||
· | 10.05 | Предложение по включению режима TCP_NODELAY по умолчанию (51 +18) |
Марк Брукер (Marc Brooker), инженер из компании Amazon Web Services (AWS), разобрал заблуждения, связанные с повышением эффективности передачи мелких сообщений при использовании
алгоритма Нейгла, применяемого по умолчанию в TCP/IP стеке. Рекомендации сводятся к отключению по умолчанию алгоритма Нейгла, что в контексте отдельных приложений можно сделать через выставление опции TCP_NODELAY для сетевых сокетов при помощи вызова setsockopt, что уже давно делается в таких проектах, как Node.js и curl.
Алгоритм Нейгла позволяет агрегировать мелкие сообщения для снижения трафика - приостанавливает отправку новых сегментов TCP до получения подтверждения о приёме ранее отправленных данных. Например, без применения агрегирования при отправке 1 байта, дополнительно отправляется 40 байтов с TCP и IP заголовками пакета. В современных условиях использование алгоритма Нейгла приводит к заметному возрастанию задержек, неприемлемых для интерактивных и распределённых приложений. Приводится три основных довода в пользу использования по умолчанию опции TCP_NODELAY, отключающей алгоритм Нейгла:
| ||
Обсуждение (51 +18) |
Тип: Тема для размышления |
| ||
· | 09.05 | Опубликован Daphile 24.05, дистрибутив для создания музыкальных систем (55 +5) |
Состоялся релиз дистрибутива Daphile 24.05, основанного на Gentoo Linux и предназначенного для создания системы для хранения и воспроизведения музыкальной коллекции, замещаемой на компьютере без экрана. Управление воспроизведением и коллекцией производится через специально созданный web-интерфейс. Для загрузки доступна сборка с обычным ядром Linux (329 МБ) и сборка с компонентами для работы в режиме реального времени (319 МБ).
Дистрибутив может работать в режиме звукового сервера, сетевого хранилища (NAS, Network-Attached Storage) и точки беспроводного доступа. Поддерживается воспроизведение со внутренних накопителей, c сетевых потоковых сервисов и c внешних USB-накопителей. Для обеспечения максимального качества звука и создания мультизональных аудиосистем поддерживается подключения компьютера с Daphile к аналоговым усилителям через цифро-аналоговые преобразователи с интерфейсом USB. В новой версии:
| ||
Обсуждение (55 +5) |
Тип: Программы |
| ||
· | 09.05 | Выпуск Nebula 1.9, системы для создания оверлейных P2P-сетей (32 +10) |
Опубликован выпуск проекта Nebula 1.9, предлагающего инструментарий для построения защищённых оверлейных сетей, позволяющих объединить территориально разделённые хосты в отдельную изолированную сеть, работающую поверх глобальной сети. Проект предназначен для создания своих собственных оверлейных сетей для любых нужд, например, для объединения корпоративных компьютеров в разных офисах, серверов в разных ЦОД или виртуальных окружений у разных облачных провайдеров. Код написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack, развивающей одноимённый корпоративный мессенджер. Поддерживается работа в Linux, FreeBSD, macOS, Windows, iOS и Android.
Узлы в сети Nebula взаимодействуют друг с другом напрямую в режиме P2P - по мере появления необходимости передачи данных между узлами динамически создаются прямые VPN-соединения. Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов. Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем каждой отдельной сети на своих мощностях и применяемым для заверения полномочий хостов, имеющих право подключения к конкретной оверлейной сети, привязанной к удостоверяющему центру. Для создания аутентифицированного защищённого канала связи в Nebula применяется собственный туннельный протокол, основанный на протоколе обмена ключами Диффи—Хеллмана и шифре AES-256-GCM. Реализация протокола базируется на готовых и проверенных примитивах, предоставляемых фреймворком Noise, который также применяется в таких проектах, как WireGuard, Lightning и I2P. Утверждается, что проект прошёл независимый аудит безопасности. Для обнаружения других узлов и координации подключении к сети создаются специальные узлы "lighthouse", глобальные IP-адреса которых фиксированы и известны участникам сети. У узлов-участников нет привязки к внешнему IP-адресу, они идентифицируются по сертификатам. Владельцы хостов самостоятельно не могут внести изменения в подписанные сертификаты и в отличие от традиционных IP-сетей не могут притвориться другим хостом простой сменой IP-адреса. При создании туннеля идентичность хоста подтверждается индивидуальным закрытым ключом. Создаваемой сети выделяется определённый диапазон интранет адресов (например, 192.168.10.0/24) и осуществляется связывание внутренних адресов с сертификатами хостов. Предоставляются различные механизмы для обхода трансляторов адресов (NAT) и межсетевых экранов. Возможна организации маршрутизации через оверлейную сеть трафика сторонних хостов, не входящих в сеть Nebula (unsafe route). Из участников оверлейной сети могут формироваться группы, например, для разделения серверов и рабочих станций, к которым применяются отдельные правила фильтрации трафика. Поддерживается создание межсетевых экранов для разделения доступа и фильтрации трафика между узлами в оверлейной сети Nebula. Для фильтрации применяются ACL с привязкой тегов. Каждый хост в сети может определять собственные правила фильтрации по хостам, группам, протоколам и сетевым портам. При этом хосты фильтруются не по IP-адресам, а по заверенным цифровой подписью идентификаторам хоста, которые невозможно подделать без компрометации удостоверяющего центра, координирующего работу сети. В новом выпуске:
| ||
Обсуждение (32 +10) |
Тип: Программы |
| ||
· | 09.05 | В Rustls обеспечена совместимость с OpenSSL и nginx (26 +13) |
Организация ISRG (Internet Security Research Group), которая является учредителем проекта Let's Encrypt и способствует развитию технологий для повышения защищённости интернета, объявила о публикации прослойки rustls-openssl-compat, позволяющей использовать библиотеку Rustls в качестве прозрачной замены OpenSSL. В настоящее время проектом предоставлена реализация rustls-libssl, обеспечивающая совместимость с libssl, а в разработке находится реализация libcrypto.
Присутствующей в прослойке функциональности достаточно чтобы обеспечить работу nginx на базе Rustls. Для перевода nginx на Rustls следует просто заменить библиотеки, без необходимости пересборки или изменения nginx. Из ближайших планов по развитию Rustls отмечается проведение оптимизации производительности в областях, в которых Rustls пока отстаёт от OpenSSL, и обеспечение поддержки RFC 8879 для сжатия сертификатов. Кроме того, в анонсе упомянут план перевода элементов инфраструктуры удостоверяющего центра Let's Encrypt с OpenSSL на Rustls. Проект Rustls развивает клиентскую и серверную реализацию протоколов TLS1.2 и TLS1.3 для использования в приложениях на языке Rust. Rustls не предоставляет собственную реализацию криптографических примитивов, а использует подключаемые провайдеры криптографических функций (поддерживаются алгоритмы ECDSA, Ed25519, RSA, ChaCha20-Poly1305, AES128-GCM и AES256-GCM). По умолчанию в Rustls используется криптопровайдер на базе библиотеки aws-lc-rs, которая развивается компанией Amazon и базируется на С++ коде BoringSSL, сопровождаемого Google форка OpenSSL. В качестве криптопровайдера также может использоваться библиотека ring, частично основанная на BoringSSL и комбинирующая код на ассемблере, С++ и Rust. Примечательно, что nginx имеет встроенную поддержку сборки с BoringSSL, что позволяет использовать данную библиотеку напрямую без лишних прослоек. При этом кроме встроенной в Rustls поддержки библиотек aws-lc-rs и ring, основанных на коде BoringSSL, для Rustls также развивается несколько сторонних криптопровайдеров, позволяющих использовать библиотеки mbedtls (код на Си), BoringSSL (C++) и RustCrypto (Rust).
| ||
Обсуждение (26 +13) |
Тип: К сведению |
| ||
· | 08.05 | Red Hat представил дистрибутив RHEL AI и режим сборки RHEL на базе OSTree и bootc (53 +6) |
Компания Red Hat представила дистрибутив Red Hat Enterprise Linux AI (RHEL AI), который специально адаптирован для выполнения задач машинного обучения и призван упростить создание серверных решений, использующих большие диалоговые модели. В состав входит подборка инструментов и фреймворков для машинного обучения, а также драйверы для использования различных аппаратных ускорителей AMD, Intel и NVIDIA, и компоненты для задействования возможностей серверов Dell, Cisco, HPE, Lenovo и SuperMicro, оптимизированных для AI-систем.
RHEL AI предназначен для разработки, тестирования и выполнения систем машинного обучения на базе большой языковой модели Granite, открытой компанией IBM под лицензией Apache 2.0, способной учитывать при генерации текста до 4 тысячи токенов и охватывающей 7 миллиардов параметров. Для взаимодействия с моделью Granite в дистрибутив интегрирован открытый инструментарий InstructLab, поддерживающий методологию LAB (Large-scale Alignment for chatBots) для подгонки под свои нужды и оптимизации моделей, а также для добавления дополнительных знаний и реализации новых навыков в предварительно натренированных моделях. Платформа может применяться для разработки AI-приложения для корпоративных нужд и для внедрения сервисов для генерации контента, создания диалоговых систем и интеграции в приложения виртуальных ассистентов, поддерживающих такие навыки, как возможность отвечать на вопросы на естественном языке, решать математические задачи, генерировать осмысленный текст на заданную тему, составлять краткое изложение содержимого, исправлять ошибки в тексте, выполнять рерайтинг другими словами, помогать в написании кода на различных языках программирования, формировать письма и документы по шаблону. Кроме того, компания Red Hat представила новый режим для создания и управления системными образами на базе Red Hat Enterprise Linux - "image mode", который позволяет использовать для развёртывания операционной системы инструменты и технологии, применяемые для создания и запуска контейнеров приложений. Новый режим манипулирует монолитными системными образами, формируемыми при помощи инструментария rpm-ostree и обновляемыми атомарно без разбивки на отдельные пакеты. Сборки могут формироваться в виде образов в форматах OCI (как в Docker), ISO, QCOW2, AMI, VMI и VMDK. Содержимое образа выбирается через редактирование файла Containerfile. Для создания и управления образами могут использоваться стандартные инструменты управления контейнерами, такие как Podman и OpenShift Container Platform. Для установки образов может применяться как штатный инсталлятор Anaconda, так и инструментарий bootc-image-builder, позволяющий сконвертировать образ контейнера в загрузочный дисковый образ. Для обновления загрузочных образов контейнеров, которые поставляются с ядром Linux и способны загружаться по аналогии с обычными сборками системы, применяется инструментарий bootc.
| ||
Обсуждение (53 +6) |
Тип: К сведению |
| ||
· | 08.05 | Выпуск 9front 10522, ответвления от операционной системы Plan 9 (66 +33) |
Представлен новый выпуск операционной системы 9front, который опубликован под кодовым именем "DO NOT INSTALL" (приуроченная к релизу песня). В рамках проекта 9front с 2011 года сообществом развивается независимый от компании Bell Labs форк распределённой операционной системы Plan 9. Готовые установочные сборки сформированы для архитектур i386, x86_64 и плат Raspberry Pi 1-4. Код проекта распространяется под лицензией MIT.
Из особенностей 9front отмечается реализация дополнительных механизмов защиты, расширение поддержки оборудования, улучшение работы в беспроводных сетях, добавление новых файловых систем, реализация звуковой подсистемы и кодировщиков/декодировщиков звуковых форматов, поддержка USB, создание web-браузера Mothra, замена загрузчика и системы инициализации, применение шифрования данных на диске, поддержка Unicode, наличие эмулятора реального режима, поддержка архитектуры AMD64 и 64-разрядного адресного пространства. Основная идея Plan 9 связана со стиранием различий между локальными и удалёнными ресурсами. Система представляет собой распределенную среду, базирующуюся на трех базовых принципах: все ресурсы можно рассматривать как иерархический набор файлов; нет различия в доступе к локальным и внешним ресурсам; каждый процесс имеет собственное изменчивое пространство имен. Для создания единой распределенной иерархии файлов-ресурсов используется протокол 9P. В новой версии:
| ||
Обсуждение (66 +33) |
Тип: Программы |
| ||
· | 08.05 | Опубликован Fedora Asahi Remix 40, дистрибутив для ARM-чипов Apple (110 +10) |
Представлен дистрибутив Fedora Asahi Remix 40, предназначенный для установки на компьютеры Mac, оснащённые ARM-чипами, разработанными компанией Apple. Fedora Asahi Remix 40 базируется на пакетной базе Fedora Linux 40 и оснащён инсталлятором Calamares. Это второй выпуск, опубликованный после перехода проекта Asahi с Arch на Fedora, который помог команде Asahi Linux сфокусировать усилия на обратном инжиниринге оборудования, не расходуя ресурсы на поддержку дистрибутива, которым теперь занимается рабочая группа Fedora Asahi SIG.
В Fedora Asahi Remix обеспечена возможность работы на системах Apple MacBook Air, MacBook Pro, Mac Mini, Mac Studio и iMac, оснащённых ARM-чипами Apple M1 и M2. В качестве основного пользовательского окружения поставляется KDE Plasma 6, но опционально доступен вариант на базе GNOME 46. В обеих редакциях используется Wayland, а для запуска X11-приложений применяется DDX-сервер XWayland. В графических драйверах обеспечена поддержка OpenGL 4.6 и OpenGL ES 3.2, которая официально сертифицирована консорциумом Khronos (в родных графических драйверах для чипов M1 от компании Apple реализована только спецификация OpenGL 4.1). Полностью поддерживается звуковая подсистема компьютеров Apple, а также камера, Wi-Fi, Bluetooth и устройства ввода. Пока не поддерживаются: подключение экрана через USB-C, Thunderbolt / USB4, микрофон и Touch ID.
| ||
Обсуждение (110 +10) |
Тип: Программы |
| ||
· | 08.05 | Представлен Raspberry Pi Connect, сервис для подключения к Raspberry Pi OS из браузера (41 +8) |
Разработчики проекта Raspberry Pi представили сервис Raspberry Pi Connect, предназначенный для удалённого подключения к рабочему столу дистрибутива Raspberry Pi OS через web-браузер. Сервис может использоваться в окружениях Raspberry Pi OS для плат Raspberry Pi 4, Raspberry Pi 400 и Raspberry Pi 5, построенных на базе Debian 12 и переведённых на графический стек на базе Wayland.
Для использования сервиса достаточно установить пакет "rpi-connect", после чего в системном лотке появится новый индикатор, через который можно активировать сервис. После регистрации подключиться к устройству из браузера можно через страницу connect.raspberrypi.com, которая используется только для координации подключений, а связь устанавливается между браузером и операционной системой напрямую при помощи протокола WebRTC. При невозможности установить прямое соединение опционально поддерживается проброс шифрованного туннеля через серверы организации Raspberry Pi Foundation (для обычных пользователей сервис обещают сохранить бесплатным). На стороне устройства для обработки соединений запускается фоновых процесс rpi-connect, который запускает VNC-сервер, к которому осуществляется подключения из VNC-клиента, оформленного для работы из браузера.
| ||
Обсуждение (41 +8) |
Тип: К сведению |
| ||
· | 08.05 | Выпуск пакетного менеджера pacstall 5.0, развивающего аналог AUR для Ubuntu (22 +9) |
Доступен выпуск пакетного менеджера pacstall 5.0, развивающего аналог концепции AUR для Ubuntu Linux и собственный репозиторий, в котором присутствует 518 пакетов, позволяющих установить в текущем окружении Ubuntu наиболее свежие версии интересующих программ, параллельно с имеющимися в системе программами. Пакеты оформляются в формате pacscript, похожем на PKGBUILD в AUR и также включающем сведения о загрузке, зависимостях, сборке и установке. Код утилиты написан на Shell и распространяется под лицензией GPLv3.
Среди особенностей инструментария:
В новой версии:
| ||
Обсуждение (22 +9) |
Тип: Программы |
| ||
· | 08.05 | Проект GNOME опубликовал финансовый отчёт за 2023 год (62 –15) |
Организация GNOME Foundation опубликовала финансовый отчёт за 2023 финансовый год, который охватывает показатели с октября 2022 года по сентябрь 2023 года. В отчёте также упомянуты основные события этого периода (релизы GNOME 44 и 45, назначение нового директора) и проведённые конференции разработчиков (GUADEC 2023 в Риге, GNOME Asia 2022 в Куала-Лумпуре, Linux App Summit в Брно).
Что касается финансовых показателей, то расходы за отчётный период заметно превысили поступление средств - получено 556 тысяч долларов, израсходовано 676 тысяч долларов (перерасход за счёт прошлых накоплений - $120 тысяч). При этом стоит отметить, что перерасход наблюдался и в прошлые периоды: в 2022 году проект получил $363 тысяч, а израсходовал $649 тысяч (перерасход $286 тысяч), в 2021 году проект получил $287 тысяч, а израсходовал $927 тысяч (перерасход $640 тысяч), в 2020 году проект получил $925 тысяч, а израсходовал $789 тысяч (остаток $136 тысяч), в 2019 году проект получил $915 тысяч, а израсходовал $608 тысяч (остаток $307 тысяч), в 2018 году проект получил 1.073 млн долларов, а израсходовал $365 тысяч (остаток $708 тысяч). В ноябре 2023 года проект также получил миллион евро от фонда Sovereign. Что касается источников поступления средств в 2023 году, то из полученных 556 тысяч долларов, $422 тысячи связаны с пожертвованиями и спонсорской помощью, $47 тысяч заработаны при проведении конференций, $80 тысяч связаны с проектом GIMP. По расходам $283 тысячи потрачены на проведение конференций, $105 тысяч на поддержку и инфраструктуру, $96 тысяч на программу Outreach (оплата стажировок женщин и меньшинств), $30 тысяч передано проекту GIMP, $121 тысяча потрачена на административные расходы и $39 тысяч передано на финансирование других проектов.
| ||
Обсуждение (62 –15) |
Тип: К сведению |
| ||
· | 08.05 | Выпуск NetBSD 8.3 (75 +6) |
Спустя четыре года с момента прошлого обновления ветки 8.x опубликован релиз операционной системы NetBSD 8.3, который завершил цикл сопровождения ветки netbsd-8. Таким оборазом, ветка NetBSD 8.x получала обновления на протяжении 6 лет. Выпуск отнесён к категории корректирующих обновлений и включает в исправления накопившихся проблем, связанных со стабильностью и безопасностью, выявленных с момента публикации NetBSD 8.2 в апреле 2020 года. Для тех, кому важна новая функциональность в марте был выпущен значительный релиз NetBSD 10.0, а в апреле предложено обновление NetBSD 9.4. Для загрузки подготовлены установочные образы размером 750 МБ, доступные в сборках для 57 системных архитектур и 16 различных семейств CPU.
Среди заметных изменений в NetBSD 8.3:
| ||
Обсуждение (75 +6) |
Тип: Программы |
| ||
· | 07.05 | Релиз набора компиляторов GCC 14 (160 +33) |
После года разработки опубликован релиз свободного набора компиляторов GCC 14.1, первый значительный выпуск в новой ветке GCC 14.x. В соответствии со схемой нумерации выпусков, версия 14.0 использовалась в процессе разработки, а незадолго до выхода GCC 14.1 уже ответвилась ветка GCC 15.0, на базе которой будет сформирован следующий значительный релиз GCC 15.1.
Основные изменения:
| ||
Обсуждение (160 +33) |
Тип: Программы |
| ||
· | 07.05 | Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP (116 +17) |
Вниманию публики предложен метод атаки TunnelVision, позволяющий при наличии доступа к локальной сети или контроля над беспроводной сетью, осуществить перенаправление на свой хост трафика жертвы в обход VPN (вместо отправки через VPN, трафик будет отправлен в открытом виде без туннелирования на систему атакующего). Проблеме подвержены любые VPN-клиенты, не использующие изолированные пространства имён сетевой подсистемы (network namespace) при направлении трафика в туннель или не выставляющие при настройке туннеля правила пакетного фильтра, запрещающие маршрутизацию VPN-трафика через имеющиеся физические сетевые интерфейсы.
Суть атаки в том, что атакующий может запустить свой DHCP-сервер и использовать его для передачи клиенту информации для изменения маршрутизации. В частности, атакующий может воспользоваться предоставляемой в протоколе DHCP опцией 121 (RFC-3442, принят в 2002 году), предназначенной для передачи сведений о статических маршрутах, для внесения изменений в таблицу маршрутизации на машине жертвы и направления трафика в обход VPN. Перенаправление осуществляется через выставления серии маршрутов для подсетей с префиксом /1, которые имеют более высокий приоритет, чем применяемый по умолчанию маршрут с префиксом /0 (0.0.0.0/0), соответственно трафик вместо выставленного для VPN виртуального сетевого интерфейса, будет направлен через физический сетевой интерфейс на хост атакующего в локальной сети. Атака может быть осуществлена в любых операционных системах, поддерживающих 121 опцию DHCP, включая Linux, Windows, iOS и macOS, независимо от используемого протокола VPN (Wireguard, OpenVPN, IPsec) и набора шифров. Платформа Android атаке не подвержена, так как не обрабатывает опцию 121 в DHCP. При этом атака позволяет получить доступ к трафику, но не даёт возможность вклиниться в соединения и определить содержимое, передаваемое с использованием защищённых протоколов уровня приложений, таких как TLS и SSH, например, атакующий не может определить содержимое запросов по HTTPS, но может понять к каким серверам они отправляются. Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace). Для экспериментов с проведением атаки опубликован набор скриптов.
Можно отметить, что идея локального изменения маршрутизации не нова и ранее обычно использовалась в атаках, нацеленных на подмену DNS-сервера. В похожей атаке TunnelCrack, в которой перенаправление трафика осуществлялось через замену шлюза по умолчанию, проблема затрагивала все проверенные VPN-клиенты для iOS, в 87.5% VPN-клиентов для macOS, 66.7% для Windows, 35.7% для Linux и 21.4% для Android. В контексте VPN и DHCP метод также упоминался ранее, например, ему посвящён один из докладов на прошлогодней конференции USENIX 2023 (исследование показало, что 64.6% из 195 протестированных VPN-клиентов подвержены атаке). Для подстановки маршрутов ранее также предлагалось использовать специально оформленный USB-брелок, симулирующий работу сетевого адаптера, который при подключении к компьютеру при помощи DHCP объявляет себя в качестве шлюза. Кроме того, при наличии контроля за шлюзом (например, при подключении жертвы к контролируемой атакующим беспроводной сети) была разработана техника подстановки пакетов в туннель, воспринимаемых в контексте сетевого интерфейса VPN. Потоки данных при использовании VPN: Потоки данных после совершения атаки:
| ||
Обсуждение (116 +17) |
Тип: Проблемы безопасности |
Интересно
| ||
Следующая страница (раньше) >> |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |